Εμφάνιση απλής εγγραφής

Ενίσχυση των δυνατοτήτων ανίχνευσης απειλών σε περιβάλλοντα Windows και CentOS μέσω της ανάλυσης συστημικών και firewall logs από το QRadar

dc.contributor.advisorΑλέπης, Ευθύμιος
dc.contributor.authorΑνδριώτης, Ναπολέων
dc.date.accessioned2024-11-25T05:38:27Z
dc.date.available2024-11-25T05:38:27Z
dc.date.issued2024-09
dc.identifier.urihttps://dione.lib.unipi.gr/xmlui/handle/unipi/17098
dc.identifier.urihttp://dx.doi.org/10.26267/unipi_dione/4521
dc.description.abstractΟ σκοπός της εργασίας είναι να αναδυχθεί η τέχνη του εντοπισμού και αντιμετώπισης κινδύνων σε ένα Security Operation Center(SOC). Για τη δημιουργία του χρησιμοποιώντας το IBM QRadar, η διαδικασία ξεκίνησε με την εγκατάσταση του VMware σε έναν windows 10 υπολογιστή και την ανάπτυξη ενός εικονικού μηχανήματος QRadar Community Edition 7.5.0 από ένα αρχείο ISO. To QRadar λειτουργεί ως κεντρική πλατφόρμα παρακολούθησης και ανάλυσης. Στη συνέχεια, δημιουργήθηκαν αρκετά εικονικά μηχανήματα: ένας υπολογιστής με Windows 10 Pro, ένας υπολογιστής με Kali Linux και ένα honeypot με CentOS 8. Κάθε υπολογιστής ρυθμίστηκε για τη δημιουργία και την αποστολή καταγραφών στο QRadar, όπου παραμετροποιήθηκαν τα αντίστοιχα Log Sources για την εισαγωγή και την ερμηνεία αυτών των δεδομένων. Μόλις η υποδομή ήταν έτοιμη, καθορίστηκαν εννέα Use Cases για να προσομοιώσουν διάφορα σενάρια επίθεσης, με στόχο να δοκιμαστεί και να επικυρωθεί το Rule Correlation Engine του QRadar. Η μεθοδολογία περιλάμβανε την εκτέλεση επιθέσεων κατά των εικονικών μηχανημάτων, την παρακολούθηση και την ανάλυση των καταγραφών που δημιουργήθηκαν μέσα στο QRadar. Βασιζόμενοι στα παρατηρούμενα πρότυπα και συμπεριφορές, δημιουργήθηκαν και εφαρμόστηκαν προσαρμοσμένοι κανόνες συσχέτισης στο QRadar για την ανίχνευση και την αντιμετώπιση αυτών των προσομοιωμένων απειλών. Στη συνέχεια, η αποτελεσματικότητα αυτών των κανόνων επικυρώθηκε με την επανεκτέλεση των επιθέσεων για να εξασφαλιστεί ότι το QRadar αναγνώρισε σωστά και ανταποκρίθηκε σε κάθε σενάριο. Αυτή η ολοκληρωμένη εγκατάσταση εργαστηρίου και διαδικασία δοκιμής αναπαριστά αποτελεσματικά τη ροή εργασίας και τις δυνατότητες ενός πραγματικού SOC, επιδεικνύοντας πώς οι προσαρμοσμένοι κανόνες μπορούν να ενισχύσουν την προστασία δικτύου με την ανίχνευση και την απόκριση ενεργειών ασφαλείας.el
dc.format.extent42el
dc.language.isoelel
dc.publisherΠανεπιστήμιο Πειραιώςel
dc.rightsΑναφορά Δημιουργού 3.0 Ελλάδα*
dc.rightsΑναφορά Δημιουργού 3.0 Ελλάδα*
dc.rights.urihttp://creativecommons.org/licenses/by/3.0/gr/*
dc.titleΕνίσχυση των δυνατοτήτων ανίχνευσης απειλών σε περιβάλλοντα Windows και CentOS μέσω της ανάλυσης συστημικών και firewall logs από το QRadarel
dc.title.alternativeEnhancing threat detection capabilities in Windows and Centos environments through QRadar analysis of system and Firewall logsel
dc.typeBachelor Dissertationel
dc.contributor.departmentΣχολή Τεχνολογιών Πληροφορικής και Επικοινωνιών. Τμήμα Πληροφορικήςel
dc.description.abstractENThe purpose of this work is to explore the art of identifying and addressing risks within a Security Operations Center (SOC). For its creation using IBM QRadar, the process began with the installation of VMware on a Windows 10 computer and the deployment of a QRadar Community Edition 7.5.0 virtual machine from an ISO file. QRadar functions as a central monitoring and analysis platform. Subsequently, several virtual machines were created: a Windows 10 Pro computer, a Kali Linux computer, and a honeypot running CentOS 8. Each machine was configured to generate and send logs to QRadar, where the respective Log Sources were configured for the ingestion and interpretation of this data. Once the infrastructure was ready, nine use cases were defined to simulate various attack scenarios, aiming to test and validate QRadar’s Rule Correlation Engine. The methodology involved executing attacks against the virtual machines, monitoring, and analyzing the logs generated within QRadar. Based on the observed patterns and behaviors, custom correlation rules were created and implemented in QRadar to detect and respond to these simulated threats. The effectiveness of these rules was then validated by re-executing the attacks to ensure that QRadar accurately recognized and responded to each scenario. This comprehensive lab setup and testing process effectively represent the workflow and capabilities of a real SOC, demonstrating how custom rules can enhance network protection through the detection and response to security incidents.el
dc.subject.keywordSOCel
dc.subject.keywordQradarel
dc.subject.keywordCybersecurityel
dc.subject.keywordWindowsel
dc.subject.keywordCentOSel
dc.date.defense2024-09


Αρχεία σε αυτό το τεκμήριο

Thumbnail

Αυτό το τεκμήριο εμφανίζεται στις ακόλουθες συλλογές

Εμφάνιση απλής εγγραφής

Αναφορά Δημιουργού 3.0 Ελλάδα
Εκτός από όπου διευκρινίζεται διαφορετικά, το τεκμήριο διανέμεται με την ακόλουθη άδεια:
Αναφορά Δημιουργού 3.0 Ελλάδα

Βιβλιοθήκη Πανεπιστημίου Πειραιώς
Επικοινωνήστε μαζί μας
Στείλτε μας τα σχόλιά σας
Created by ELiDOC
Η δημιουργία κι ο εμπλουτισμός του Ιδρυματικού Αποθετηρίου "Διώνη", έγιναν στο πλαίσιο του Έργου «Υπηρεσία Ιδρυματικού Αποθετηρίου και Ψηφιακής Βιβλιοθήκης» της πράξης «Ψηφιακές υπηρεσίες ανοιχτής πρόσβασης της βιβλιοθήκης του Πανεπιστημίου Πειραιώς»