Azure Sentinel -palvelun SOAR-integraatio

Abstract

Toimeksiantona oli kehittää integraatio Security Orchestration, Automation and Response (SOAR) -järjestelmän ja Azure Sentinel -palvelun välille. Integraation oli tarkoitus mahdollistaa Sentinelin muodostamien tietoturvatapahtumien valvonta SOARin keskitetystä hälytysjonosta Security Operations Centerissä (SOC). Työn tavoitteena oli mahdollistaa Sentinelin tietoturvapoikkeamien käsittely SOAR-järjestelmän kautta. Opinnäytetyö toteutettiin liitosohjelmiston kehitystyönä. Työssä kehitettiin SOARiin liitosohjelmisto, joka hakee tietoa Sentinelin tietoturvapoikkeamista Azure Sentinel REST API -ohjelmointirajapintaa hyödyntäen. Opinnäytetyön tietoperustassa esiteltiin kehitysongelma ja integroitavat palvelut sekä ohjelmiston kehityksessä käytettävä ohjelmointirajapinta. Toteutusvaiheessa esiteltiin liitosohjelmiston vaatimusmäärittely ja dokumentoitiin sen kehittämisprosessi sekä toteutetut testit. Kehitystyön tuloksena oli tuotantoon käyttöönotettu liitosohjelmisto SOARissa. Liitosohjelmistolla Sentineliin muodostuvat tietoturvapoikkeamat saadaan automaattisesti SOARin hälytysjonoon. Integraation ansiosta SOCin analyytikot voivat seurata Sentinelin tietoturvapoikkeamia keskitetystä SOARin hälytysjonosta, johon muodostuvat eri palveluiden tietoturvahälytykset. Liitos myös mahdollistaa Sentinelin tietoturvapoikkeaman tilan muuttamisen ja kommentoimisen SOARin kautta. Integraation ansiosta Sentinel-palvelun tietoturvapoikkeamia voi käsitellä saman käyttöliittymän kautta, josta muidenkin palveluiden muodostamia hälytyksiä käsitellään. Liitosohjelmiston avulla analyytikoiden ei tarvitse seurata kahden eri palvelun hälytysnäyttöjä. Opinnäytetyön takia tiimissä on kokemusta SOARin liitosohjelmiston kehittämisestä, joten tulevia palveluliitoksia varten ei tarvitse tehdä selvitystyötä liitosohjelmistojen toimintaperiaatteista.The assignment was to develop the integration between the Security Orchestration, Automation and Response (SOAR) system and the Azure Sentinel service. The purpose of the integration was to enable the monitoring of security incidents generated by Sentinel from SOAR’s centralized alert queue in the Security Operations Center (SOC). The objective of the thesis was to enable the handling of Sentinel’s security incidents through the SOAR system. The thesis was carried out as a software development work. A connector software was developed for SOAR, which retrieves incident information from Sentinel using the Azure Sentinel REST API. The theory section of the thesis introduced the development problem, the services to be integrated and the application programming interface used in the connector software. In the implementation section, the software’s specification of requirements and its development process was presented, and the implemented tests were documented. The result of the development work was the connector software at SOAR which was taken into production. Sentinel’s security incidents are automatically fetched by the connector software which creates alerts from them into SOAR’s alert queue. Thanks to the integration, SOC analysts can monitor Sentinel’s security incidents from a centralized alert queue in SOAR where all the alerts from different sources are shown. The connector software also allows changing the status of Sentinel’s incident and commenting it through SOAR. The integration enables handling Sentinel’s security incidents through the same graphical user interface from where the alerts generated by other sources are handled. This simplifies the work of SOC analysts as they do not have to monitor alarm queues of two different services. Due to the development process of the software, Security Operations Center now has experience in the development of connector software for SOAR. Therefore, future integrations will be easier to develop because the team already has experience with the operational principles of connector software for SOAR