Тип работы:
 Предмет:
 Язык работы:


АВТОМАТИЗАЦИЯ ПРОЦЕССА ЛОГ-МЕНЕДЖМЕНТА В ЦЕНТРЕ МОНИТОРИНГА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Работа №185775

Тип работы

Бакалаврская работа

Предмет

программирование

Объем работы54
Год сдачи2025
Стоимость4540 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
12
Не подходит работа?

Узнай цену на написание


АННОТАЦИЯ 3
Перечень условных обозначений, символов, сокращений, терминов 3
Введение 4
1 Введение в предметную область 6
1.1 Процесс обработки событий 7
1.2 Акторы процессов SOC 11
2 Анализ процесса настройки сбора логов 12
2.1 Описание типового процесса настройки 12
2.2 Нетиповые процессы настройки 16
2.3 Оценка существующего процесса настройки сбора логов 17
2.4 Выводы по анализу 19
3 Изменения во взаимодействии с Kafka 20
3.1 Использование привилегированной сервисной учетной записи 21
3.2 Миграция в Kafka as a Service 22
3.3 Вывод 24
4 Изменение процесса конфигурации балансировщиков 26
4.1 Варианты решения проблемы 27
5 Проектирование автоматизации 29
5.1 Единый «источник правды» 29
5.2 Организация пайплайна автоматизации 32
5.3 Оптимизация процесса выбора свободного порта для сетевых коллекторов 34
5.4 Описание выбранных инструментов 36
6 Реализация автоматизации 38
6.1 Структура Git-репозитория 38
6.2 Алгоритм применения изменений 40
6.3 Предоставление данных о развернутом экземпляре заинтересованным лицам 47
6.4 Итоговый процесс 48
Заключение 49
Список использованных источников и литературы 50


Security Operations Center (SOC) - специализированное подразделение, обеспечивающее круглосуточный мониторинг и реагирование на инциденты информационной безопасности (ИБ) [4]. Работа SOC основана на анализе данных, поступающих от разнообразных компонентов контролируемых информационных систем. Каждую фиксируемую запись о значимом событии SOC рассматривает как лог (событие). Лог представляет собой краткую структурированную запись, содержащую временную метку, идентификатор источника и описание действия (например, аутентификация пользователя, возникновение ошибки или установление сетевого соединения). Анализ таких записей позволяет выявлять отклонения в поведении систем и потенциальные инциденты ИБ.
Централизованный прием, хранение и обработка логов выполняются системой управления событиями и информацией безопасности (Security Information and Event Management, SIEM). Помимо агрегации данных SIEM осуществляет их обогащение сведениями из внешних источников и корреляционный анализ, формируя сложные цепочки взаимосвязанных событий, указывающих на инциденты.
При нагрузках, достигающих сотен тысяч событий в секунду, в архитектуре SIEM используется промежуточная шина сообщений; в данной инфраструктуре эту функцию выполняет распределенная платформа Apache Kafka. Kafka обеспечивает балансировку потоков между компонентами, временное хранение сообщений, высокую отказоустойчивость и горизонтальное масштабирование, позволяя обрабатывать данные асинхронно с минимальными задержками [5].
Ряд устаревших или специализированных источников логов не поддерживает прямую передачу данных в Kafka. Для обеспечения совместимости применяется промежуточный сервис - коллектор. Коллектор принимает логи по доступным источнику протоколам и перенаправляет их в Kafka без изменения содержимого сообщения, сохраняя целостность данных и снижая трудоемкость интеграции.
Быстрый рост инфраструктуры привел к регулярному появлению новых источников (один-два ежемесячно); их общее количество уже исчисляется десятками. Анализ текущего состояния выявил две основные проблемы.
1. Подготовка нового коллектора занимает до двух рабочих дней; в течение этого времени инженер должен контролировать процесс, что не позволяет ему решать другие задачи.
2. Учет подключенных источников ведется вручную и выполняется параллельно настройке приема событий.
Указанные трудности обусловлены недостаточной автоматизацией существующих процедур. Цель работы - разработать и внедрить автоматизированный процесс подключения источников логов, включающий развертывание и конфигурирование коллекторов и сопутствующих компонентов.
Для достижения этой цели в работе необходимо решить следующие задачи.
1. Проанализировать существующий процесс развертывания коллекторов; выявить операции, подлежащие автоматизации.
2. Спроектировать и разработать инструменты автоматизации, которые позволят исключить или минимизировать ручные операции
3. Внедрить разработанное решение в инфраструктуру SOC и провести оценку его эффективности.


Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

В рамках данной работы была выполнена задача автоматизации процесса лог- менеджмента. Проведенный анализ существующего процесса настройки приема логов выявил ключевые недостатки, включая высокие временные затраты, значительную долю ручных операций, нарушение принципа наименьших привилегий и зависимость от согласований с внешними командами. Эти проблемы снижали эффективность работы SOC и создавали риски для безопасности и масштабируемости системы.
Для устранения выявленных недостатков был спроектирован и реализован целевой процесс, основанный на централизованном управлении конфигурациями через Git- репозиторий и автоматизации ключевых операций с использованием CI/CD-пайплайнов. Разработанное решение включает автоматизацию создания топиков и учетных записей, настройки коллекторов, а также предварительную конфигурацию балансировщиков, что позволило сократить время настройки нового источника логов до 2-3 часов.
Внедрение решения обеспечило выполнение функциональных и нефункциональных требований, включая повышение безопасности за счет соблюдения принципа наименьших привилегий, улучшение масштабируемости и отказоустойчивости системы, а также совместимость с существующей инфраструктурой SOC. Реализация мониторинга и предоставление информации заинтересованным лицам через дашборд дополнительно повысили прозрачность и управляемость процесса.
Сравнение прежнего и обновленного процессов показало значительное сокращение временных затрат и устранение большинства качественных недостатков, таких как ручные операции и зависимости от внешних команд. Разработанное решение создает основу для дальнейшего развития подсистемы сбора логов SOC, обеспечивая ее адаптивность к росту числа источников и повышению сложности инфраструктуры.
В перспективе возможно дальнейшее совершенствование процесса за счет автоматизации верификации парсеров, интеграции с системами мониторинга для более глубокого анализа метрик и разработки механизмов автоматического удаления неактуальных сущностей, что позволит минимизировать технический долг и повысить общую эффективность работы SOC.



1. Инцидент информационной безопасности // WikiSec - [Б.м.]., 2025 - URL:
https://wikisec.iTi/index.php‘.’title Инцидент информационной безопасности (дата
обращения: 02.04.2025)
2. Аудит информационной безопасности информационных систем // CFO Russia - [Б.м.]., 2025 - URL: https://www.cfo-russia.ru/glossariy/229/80048 (дата обращения: 04.04.2025)
3. What is CI/CD Pipeline // RedHat - [Б.м.]., 2025 - URL:
https://www.redhat.com/en/topics/devops/what-cicd-pipeline (дата обращения: 04.04.2025)
4. Cybersecurity Operations Handbook / S. S. Bhadauria, R. Sahu - Elsevier, 2020 (дата обращения: 06.04.2025).
5. Designing Data-Intensive Applications / M. Kleppmann - O’Reilly Media, 2019 (дата обращения: 18.04.2025).
6. What is SIEM? // Microsoft - [Б.м.]., 2025 - URL: https://www.microsoft.com/en- us/security/business/security- 101/what-is-siem (дата обращения: 12.04.2025)
7. What is SOAR? // Palo Alto Networks - [Б.м.]., 2025 - URL:
https://www.paloaltonetworks.com/cyberpedia/what-is-soar (дата обращения: 16.04.2025)
8. Accessing Jira Audit Information through the Database // Atlassian Support - [Б.м.]., 2025 - URL: https://support.atlassian.com/jira/kb/accessing-jira-audit-information-through-the- database (дата обращения: 19.04.2025)
9. Apache Kafka Documentation // Apache Kafka - [Б.м.]., 2025 - URL: https://kafka.apache.org/documentation (дата обращения: 24.04.2025)
10. What Is the Principle of Least Privilege? // Palo Alto Networks - [Б.м.]., 2025 - URL:
https://www.paloaltonetworks.com/cyberpedia/what-is-the-principle-of-least-privilege (дата
обращения: 27.04.2025)
11. Elasticsearch: The Definitive Guide / C. Gormley, Z. Tong - O’Reilly Media, 2015 (дата обращения: 29.04.2025).
12. Site Reliability Engineering: How Google Runs Production Systems / J. Petoff, B. Beyer, C. Jones, N.R. Murphy - O’Reilly Media, 2016 (дата обращения: 11.05.2025).
13. Infrastructure as Code: Managing Servers in the Cloud // K. Morris - O’Reilly Media, 2016 (дата обращения: 22.05.2025).
14. Duck Typing in Python: Writing Flexible and Decoupled Code // Real Python - [Б.м.]., 2025. - URL: https://realpython.com/duck-typing-python (дата обращения: 03.05.2025)
15. YAML 1.2 Specification. // YAML - [Б.м.]., 2025. - URL:
https://yaml.org/spec/L2/spec.html (дата обращения: 08.05.2025)
..17
Содержание бакалаврской работы
Содержание бакалаврской работы
Часть главы

Работу высылаем на протяжении 30 минут после оплаты.



Подобные работы


©2025 Cервис помощи студентам в выполнении работ
.