Avoimen lähdekoodin työkalujen tutkiminen ja vertailu tilannetietoisuutta varten poikkeamanhallinnassa
Heimonen, Jere (2017)
Heimonen, Jere
Jyväskylän ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201705025927
https://urn.fi/URN:NBN:fi:amk-201705025927
Tiivistelmä
Opinnäytetyön toimeksiantajana toimi Jyväskylän ammattikorkeakoulun JYVSECTEC kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus. JYVSECTEC tarjoaa kyberturvallisuuteen liittyvää harjoitustoimintaa, konsultointia, testausta, tutkimusta ja koulutusta.
Opinnäytetyön toimeksiantona oli vertailla kahta työkalua tietoturvapoikkeamien kirjaamiseen sekä perehtyä poikkeamanhallinnan toimintaan. Työkalut, joita vertailtiin, olivat TheHive ja FIR (Fast Incident Response). Näistä työkaluista tuli tutkia ja vertailla niiden ominaisuuksia sekä rajapintoja tiedon tuontiin järjestelmään ja tiedon vientiin järjestelmästä. Tässä oli tarkoituksena saada selville saako järjestelmään tuotua monitorointidataa ja saadaanko järjestelmästä vietyä dataa ulos järkevässä muodossa toisiin työkaluihin/järjestel-miin, tässä tapauksessa aikajana/visualisointityökaluun.
Opinnäytetyön tuloksina oli TheHive- ja FIR-järjestelmien esittely ja ominaisuuksien dokumentointi, oleellisten ominaisuuksien vertailu ja tiedon tuonnin ja viennin testaaminen järjestelmistä. Ominaisuuksien vertailussa kummassakin järjestelmässä oli hyödyllisiä ja oleellisia ominaisuuksia, joita ei toisessa järjestelmässä ollut. Tämän takia on hankala valita, kumpi näistä järjestelmistä on parempi. Järkevintä on valita käyttötilanteen mukaan pa-rempi järjestelmä. Kuitenkin TheHive-järjestelmä vaikuttaa selkeämmältä ja havainnollisemmalta. Tiedon tuontiin ja vientiin ei ollut käyttöliittymässä toimintoja kummassakaan järjestelmässä, eikä tiedon tuonti onnistu kuin manuaalisesti tapaus ja havainto kerrallaan. Tiedon vienti testattiin TheHive:ssa API-rajapinnan kautta HTTP:n välityksellä ja FIR:ssä MySQL-tietokannan kautta PHP-skriptillä. Tiedon vienti onnistuu molemmista järjestelmistä sellaisessa muodossa, että sitä saa vietyä mahdolliseen aikajanatyökaluun.
Opinnäytetyön toimeksiantona oli vertailla kahta työkalua tietoturvapoikkeamien kirjaamiseen sekä perehtyä poikkeamanhallinnan toimintaan. Työkalut, joita vertailtiin, olivat TheHive ja FIR (Fast Incident Response). Näistä työkaluista tuli tutkia ja vertailla niiden ominaisuuksia sekä rajapintoja tiedon tuontiin järjestelmään ja tiedon vientiin järjestelmästä. Tässä oli tarkoituksena saada selville saako järjestelmään tuotua monitorointidataa ja saadaanko järjestelmästä vietyä dataa ulos järkevässä muodossa toisiin työkaluihin/järjestel-miin, tässä tapauksessa aikajana/visualisointityökaluun.
Opinnäytetyön tuloksina oli TheHive- ja FIR-järjestelmien esittely ja ominaisuuksien dokumentointi, oleellisten ominaisuuksien vertailu ja tiedon tuonnin ja viennin testaaminen järjestelmistä. Ominaisuuksien vertailussa kummassakin järjestelmässä oli hyödyllisiä ja oleellisia ominaisuuksia, joita ei toisessa järjestelmässä ollut. Tämän takia on hankala valita, kumpi näistä järjestelmistä on parempi. Järkevintä on valita käyttötilanteen mukaan pa-rempi järjestelmä. Kuitenkin TheHive-järjestelmä vaikuttaa selkeämmältä ja havainnollisemmalta. Tiedon tuontiin ja vientiin ei ollut käyttöliittymässä toimintoja kummassakaan järjestelmässä, eikä tiedon tuonti onnistu kuin manuaalisesti tapaus ja havainto kerrallaan. Tiedon vienti testattiin TheHive:ssa API-rajapinnan kautta HTTP:n välityksellä ja FIR:ssä MySQL-tietokannan kautta PHP-skriptillä. Tiedon vienti onnistuu molemmista järjestelmistä sellaisessa muodossa, että sitä saa vietyä mahdolliseen aikajanatyökaluun.