SOARin käyttöönotto ja sen vaikutukset SOC:n toimintaan
Hopponen, Saku (2019)
Hopponen, Saku
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019121426697
https://urn.fi/URN:NBN:fi:amk-2019121426697
Tiivistelmä
Opinnäytetyön toimeksiantajana toimi Viria Security Oy. Opinnäytetyön tavoitteena oli tehdä Security Orchestration, Automation and Response (SOAR) -alustan käyttöönotto ja havainnoida sen vaikutuksia Security Operations Center (SOC) -tiimin toimintaan ja suorituskykyyn valvontatyössä. SOC:n suorituskykyä haluttiin parantaa nopeuttamalla poikkeaman hallinnan manuaalisia työvaiheita automatisoimalla ja orkestroimalla työkaluja yhdestä alustasta, SOARista.
Opinnäytetyön teoriaosuudessa pyrittiin esittelemään SOC ja siihen liittyvät keskeiset aiheet kuten työkalut, poikkeaman hallinta ja SOAR. Toteutusvaiheessa käsiteltiin alustan käyttäjiin liittyvät asetukset, SOC:n työkalujen integrointi alustaan pelikirjoineen ja poikkeaman käsittelyn tekeminen SOARilla.
Tuloksissa havaittiin, että joitain SOARin hyötyjä pystyttiin havaitsemaan jo tärkeimpien työkalujen integroimisen jälkeen. SOC-valvonnan tekeminen yhdestä järjestelmästä sekä hälytystietojen haun automatisointi pelikirjoilla nopeutti analyysiprosessia ja mahdollisti paremman kokonaiskuvan saamisen poikkeaman hallinnassa. Alustan käyttöönotto todettiin hyvin laajaksi ja jatkuvasti kehittyväksi projektiksi. Alusta on modulaarinen ja sen muovaaminen toimeksiantajan tarpeisiin vaatii aikaa.
Lopputuloksena todettiin, että opinnäytetyössä käsitelty osuus oli SOARin alkuaskelia. Projekti on pitkä ja automatisoitavia prosesseja on paljon, mutta SOARin tuoma lisäarvo SOC:n suorituskyvylle prosessien automatisoinnilla ja kokonaiskuvan parantamisella oli jo huomattavissa. Todettiin myös, että vaikutusten mittaaminen opinnäytetyön käsittelemässä vaiheessa käyttöönottoa oli vielä hankalaa, koska mm. tiketöintiä ei ehditty integroida alustaan.
Opinnäytetyön teoriaosuudessa pyrittiin esittelemään SOC ja siihen liittyvät keskeiset aiheet kuten työkalut, poikkeaman hallinta ja SOAR. Toteutusvaiheessa käsiteltiin alustan käyttäjiin liittyvät asetukset, SOC:n työkalujen integrointi alustaan pelikirjoineen ja poikkeaman käsittelyn tekeminen SOARilla.
Tuloksissa havaittiin, että joitain SOARin hyötyjä pystyttiin havaitsemaan jo tärkeimpien työkalujen integroimisen jälkeen. SOC-valvonnan tekeminen yhdestä järjestelmästä sekä hälytystietojen haun automatisointi pelikirjoilla nopeutti analyysiprosessia ja mahdollisti paremman kokonaiskuvan saamisen poikkeaman hallinnassa. Alustan käyttöönotto todettiin hyvin laajaksi ja jatkuvasti kehittyväksi projektiksi. Alusta on modulaarinen ja sen muovaaminen toimeksiantajan tarpeisiin vaatii aikaa.
Lopputuloksena todettiin, että opinnäytetyössä käsitelty osuus oli SOARin alkuaskelia. Projekti on pitkä ja automatisoitavia prosesseja on paljon, mutta SOARin tuoma lisäarvo SOC:n suorituskyvylle prosessien automatisoinnilla ja kokonaiskuvan parantamisella oli jo huomattavissa. Todettiin myös, että vaikutusten mittaaminen opinnäytetyön käsittelemässä vaiheessa käyttöönottoa oli vielä hankalaa, koska mm. tiketöintiä ei ehditty integroida alustaan.