Bibliographic Metadata

Title
Implementierung und Erweiterung eines Open Source-SIEM-Systems
Additional Titles
Implementation and extension of an Open Source SIEM system
AuthorMaché, Aaron
Thesis advisorSupper, Roland
Published2012
Date of SubmissionMay 2012
LanguageGerman
Document typeBachelor Thesis
Keywords (DE)SIEM / Logs / Systemmeldungen / Korrelation / Compliance
Keywords (EN)SIEM / Logs / System messages / Correlation / Compliance
Restriction-Information
 _
Classification
Abstract (German)

Diese Arbeit beschäftigt sich mit dem umfassenden Konzept des Security Information and Event Managements (SIEM).

SIEM-Systeme dienen dem Zweck der zentralen Überwachung des Sicherheitsstatus eines Netzwerks und kombinieren unterschiedliche Tools. Der Funktionsumfang beinhaltet auszugsweise die Integration von Vulnerability Scans, Intrusion Detection und die zentrale Sammlung und Normalisierung von Systemmeldungen relevanter Netzwerkgeräte, Server oder Dienste, um diese in Korrelation auf möglich Angriffe oder Zugriffsverletzungen analysieren zu können.

Der Aufbau der Arbeit sieht in weiterer Folge die Implementierung eines Open Source- SIEM vor. Definiertes Ziel ist, anhand eines beispielhaften Netzwerkaufbaus, eine vollständige Überwachung zu realisieren. Dabei wird im Zuge der Implementierung ein nicht unterstütztes Netzwerkgerät exemplarisch durch die Entwicklung eines Normalisierungs-Plugins integriert.

Dadurch soll das Verständnis für die sogenannte Correlation Engine einer SIEM-Lösung zusätzlich vertieft werden.

Abstract (English)

This thesis deals with the concept of Security Information and Event Managements (SIEM). The first part describes the detailed functionality of these systems.

SIEM are used to centralize the security monitoring of a network and combine different tools. The primary features are for instance the integration of vulnerability scanning, intrusion detection and the centralized collection and normalization of logs and system messages from relevant network devices, servers or services in order to analyze these information in correlation to detect possible attacks or access violations.

The second part of the thesis provides the implementation of an open source SIEM in an exemplary network structure. The intention is the realization of a full-featured security monitoring of the used network. In the course of this implementation an unsupported network device will be integrated by developing a normalization plugin.

This step is for better understanding the so-called correlation engine of a SIEM.

Stats
The PDF-Document has been downloaded 0 times.