Opinnäytetyö tehtiin Itä-Suomen yliopistolle, jolla on tarve keskitettyyn lokienhallintaan ja tietoturvan monitorointiin. Työn päätavoitteena on toimia apuvälineenä Security Information and Event Management -järjestelmiin perehtymiseen. Tästä aiheesta on tehty aiemmin vain vähän suomenkielisiä julkaisuja.
Teoriaosuudessa esitellään liiketoiminnallista näkökulmaa ja projektin läpivientiä. Osuudessa käsitellään myös SIEMin keskeiset käsitteet ja teknologiat. Esitetyt laskukaavat auttavat järjestelmän mitoittamista IT-ympäristöön sopivaksi. Yhtenä opinnäytetyön tehtävänä oli esitellä eri valmistajien SIEM-ratkaisuja. Käsiteltäväksi valittiin tuotteita kahdeksalta eri valmistajalta, joista avoimen lähdekoodin AlienVault OSSIM kuvataan tarkemmin.
Opinnäytetyötä varten tehty demoympäristö esittelee AlienVault OSSIMin käyttöönottoa pienessä ympäristössä. Teknisen dokumentaation tarkoituksena ei ole toimia asennusohjeena, vaan esitellä SIEMin toiminnallisuutta käytännön esimerkkien avulla. Tiedonkulku on kuvattu datan keräämisestä korreloidun tapahtuman analysointiin.This thesis was commissioned by the University of Eastern Finland. There is a demand for a centralized log management and information security monitoring. The main goal was to provide aid for familiarization with Security Information and Event Management systems. There are not many Finnish publications about this topic yet.
The theory section describes the business perspective and the completion of the project. SIEM concept and its technologies are also explained. The introduced formulas help the scaling system to fit for an IT environment. One objective of the thesis was to demonstrate various SIEM solutions from different vendors. Products from eight different vendors are introduced. An open source SIEM system AlienVault OSSIM is described in more detail.
The test environment was made to demonstrate AlienVault OSSIM’s deployment in a small network. The technical documentation is not a deployment guide for SIEM. It presents the functionality of SIEM with practical examples. The information flow is described from data collection to analysis of correlated events
