IBM QRadar -testiympäristön toteutus tietoturvavalvomolle

Abstract

Kyberuhkat ovat nykyään arkipäivää yrityksille. Kyberuhkien torjumiseen ja ennaltaehkäisyyn tarvitaan tehokkaita tietoturvan valvontatyökaluja. Yksi yleisesti käytössä oleva työkalu on IBM QRadar, joka oli tämän työn keskiössä. Toimeksiantajana opinnäytetyölle toimi Insta Advance Oy ja tässä työssä toteutettiin IBM QRadar -testiympäristö tietoturvavalvomon käyttöön. Yhtenä tavoitteena oli saada aikaan testiympäristö, joka valmentaisi työntekijöitä suorittamaan työnantajan vaatiman sertifioinnin IBM QRadariin liittyen. Toisena tavoitteena oli myös kartoittaa sitä, minkälainen testiympäristö vastaisi parhaiten työntekijöiden harjoittelun tarpeisiin. Opinnäytetyön tietoperusta koostuu tieteellisistä verkkojulkaisuista sekä IBM:n teknisistä dokumentaatioista. Teoriaosuudessa kerrotaan tietoturvavalvomon toiminnasta, IBM QRadarista ja sen arkkitehtuurista sekä yleisesti SIEM-järjestelmistä, jotka keräävät loki- ja tapahtumatietoja, joiden avulla voidaan tunnistaa ja seurata tietoturvarikkomuksia. Kyseessä oli toiminnallinen opinnäytetyö. Käytännönosuus koostui kahdesta osasta. Aluksi kartoitettiin tietoturvavalvomon työntekijöiden odotuksia testiympäristölle kyselytutkimuksen avulla. Tämän jälkeen testiympäristö asennettiin ja siihen tehtiin tarvittavat määritykset. Testiympäristölle generoitiin tarkoituksella epäilyttäviä lokitapahtumia, jotta niistä muodostuneita rikkomuksia voidaan analysoida ja hyödyntää testaustarkoituksiin. Työn tuloksena rakentui toimiva testiympäristö tietoturvavalvomon käyttöön, jonka avulla työntekijät voivat harjoitella mm. vaaditun IBM QRadar -sertifioinnin suorittamista. Testiympäristöstä saatiin hyvää palautetta työntekijöiltä sekä työn ohjaajalta. Myös ympäristön määritys saatiin dokumentoitua tarkasti.