| |
Titel: |
Erkennung von Angriffen in Campus Netzwerken mittels SIEM Elastic Stack |
| |
AutorIn: |
Roswitha Angelika Bachbauer |
| |
Typ: |
Masterarbeit
|
| |
ÖFOS 2012 Code: |
|
| |
Institution: |
Ferdinand Porsche FernFH, Wiener Neustadt, WIMA |
| |
Betreuung: |
Thomas Krabina |
| |
Datum: |
2023 |
| |
Abstract (de): |
Die Gefährdungslage der IT-Sicherheit steigt kontinuierlich. Ein SIEM kann zur Erkennung von Angriffen vor Eintritt des Schadens eingesetzt werden. Ziel der vorliegenden Arbeit ist es zu beantworten, wie aktuelle Angriffe mittel Elastic Stack in Campus Netzwerken erkannt werden können. Die nötigen Voraussetzungen und Informationen werden geklärt. Zur Beantwortung der Forschungsfrage erfolgt die Entwicklung eines Prototyps. Es werden Erkennungsregeln für ausgewählter Techniken der MITRE ATT&CK Taktik Lateral Movement erstellt und im SIEM Elastic Stack implementiert. Die Validierung des Prototyps erfolgt mit gezielten Angriffen. Zentrale Ergebnisse der Arbeit sind, dass Kenntnisse über aktuelle Angriffe, deren Ablauf, Techniken, Tools und Prozeduren sowie Kenntnis über die Erkennungsmöglichkeiten dieser in der vorhandenen Infrastruktur nötig sind. Im Campus Netzwerk existieren verringerte Erkennungsmöglichkeiten. Weiters ist die Kenntnis der vorhandenen Umgebung, der eingesetzten Systeme und Arbeitsweisen der IT-Abteilung zur wirksamen Erkennung nötig.
|
| |
Abstract (en): |
The threat level of IT security is continuously increasing. A SIEM can be used to detect attacks before the damage occurs. The goal of this paper is to answer how current attacks can be detected using Elastic Stack in campus networks. The necessary requirements and information are clarified. To answer the research question, a prototype is developed. Detection rules for selected techniques of the MITRE ATT&CK tactic Lateral Movement are created and implemented in the SIEM Elastic Stack. Validation of the prototype is performed with targeted attacks. Key findings of the work are that knowledge of current attacks, their sequence, techniques, tools, and procedures, as well as knowledge of the detection capabilities of these in the existing infrastructure are necessary. Reduced detection capabilities exist in the campus network. Furthermore, knowledge of the existing environment, the systems used, and the working methods of the IT department is necessary for effective detection.
|
| |
Keywords (de): |
SIEM, Campus Netzwerk, Elastic, MITRE ATT&CK, Threathunting, ELK, TTP |
| |
Keywords (en): |
SIEM, campus network, elastic, MITRE ATT&CK, threat hunting, ELK, TTP |
| |
|
|
| |
|
