📄Работа №53430
Тема: РЕАЛИЗАЦИЯ СИСТЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СУБД MYSQL НА БАЗЕ SIEM SPLUNK
Тип работы
Бакалаврская работа
Предмет
информационная безопасность
Объем:
59 листов
Год:
2016
Просмотров:
798
4340
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
ВВЕДЕНИЕ 4
1 . SIEM-СИСТЕМЫ 7
1.1 Основные компоненты SIEM-систем 8
1.2 Функционирование SIEM-систем 8
1.3 Основные источники SIEM 11
1.4 Эффективность внедрения SIEM-систем 13
1.5 SIEM- система Splunk 14
1.5.1 Краткое описание Splunk 14
1.5.2 Основные возможности Splunk 15
1.5.3 Использование Splunk для анализа логов 15
1.5.4 Использование Splunk как SIEM 21
1.5.5 MapReduce и Splunk 24
2. MYSQL 27
2.1 Понятие БД и СУБД 27
2.2 Краткое описание СУБД MySQL 28
2.3 Технические возможности СУБД MySQL 29
2.4 Структура MySQL 29
2.4.1 Серверная и клиентская части MySQL 29
2.4.2 Три основных уровня структуры MySQL 30
2.5 Безопасность в СУБД Му SQL 31
2.6 Требования к аппаратному и программному обеспечению 31
2.7 Лог- файлы в СУБД MySQL 32
2.7.1 Бинарный лог 32
2.7.2 Лог ошибок 34
2.7.3 Лог медленных запросов 35
2.7.4 Лог запросов 36
2.7.5 Лог репликаций 37
3. НАСТРОЙКА И УСТАНОВКА SPLUNK ДЛЯ СБОРА И АНАЛИЗА ЛОГОВ 38
3.1 Первые шаги установки Splunk 38
3.2 Сбор лог-файлов системой Splunk 40
3.3 Получение «сырого» отчета 40
3.4 Получение отчета об изменении в таблице users через phpMyAdmin ... 42
3.5 Получение отчета об изменении в таблице users из СMS Drupal 44
3.6 Получение отчета об изменении в таблице users из удаленного компьютера 46
3.7 Диаграмма операций, которые выполнялись в системе 49
3.7.1 Их процентное соотношение 50
3.8 Диаграмма посетителей системы 53
3.8.1 Их процентное соотношение 53
3.9 Полный отчет Splunk 55
ЗАКЛЮЧЕНИЕ 56
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 58
1 . SIEM-СИСТЕМЫ 7
1.1 Основные компоненты SIEM-систем 8
1.2 Функционирование SIEM-систем 8
1.3 Основные источники SIEM 11
1.4 Эффективность внедрения SIEM-систем 13
1.5 SIEM- система Splunk 14
1.5.1 Краткое описание Splunk 14
1.5.2 Основные возможности Splunk 15
1.5.3 Использование Splunk для анализа логов 15
1.5.4 Использование Splunk как SIEM 21
1.5.5 MapReduce и Splunk 24
2. MYSQL 27
2.1 Понятие БД и СУБД 27
2.2 Краткое описание СУБД MySQL 28
2.3 Технические возможности СУБД MySQL 29
2.4 Структура MySQL 29
2.4.1 Серверная и клиентская части MySQL 29
2.4.2 Три основных уровня структуры MySQL 30
2.5 Безопасность в СУБД Му SQL 31
2.6 Требования к аппаратному и программному обеспечению 31
2.7 Лог- файлы в СУБД MySQL 32
2.7.1 Бинарный лог 32
2.7.2 Лог ошибок 34
2.7.3 Лог медленных запросов 35
2.7.4 Лог запросов 36
2.7.5 Лог репликаций 37
3. НАСТРОЙКА И УСТАНОВКА SPLUNK ДЛЯ СБОРА И АНАЛИЗА ЛОГОВ 38
3.1 Первые шаги установки Splunk 38
3.2 Сбор лог-файлов системой Splunk 40
3.3 Получение «сырого» отчета 40
3.4 Получение отчета об изменении в таблице users через phpMyAdmin ... 42
3.5 Получение отчета об изменении в таблице users из СMS Drupal 44
3.6 Получение отчета об изменении в таблице users из удаленного компьютера 46
3.7 Диаграмма операций, которые выполнялись в системе 49
3.7.1 Их процентное соотношение 50
3.8 Диаграмма посетителей системы 53
3.8.1 Их процентное соотношение 53
3.9 Полный отчет Splunk 55
ЗАКЛЮЧЕНИЕ 56
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 58
📖 Введение
Принятие решений во всех областях жизнедеятельности компании либо крупнейшего предприятия в большей степени основывается на информационных процессах. Исследование данных процессов с дальнейшей выработкой распоряжающихся решений исполняется на базе информационных моделей, созданных на современных информационно - телекоммуникационных технологиях. Вследствие этого сохранность данных представляет собой самостоятельную составляющую безопасности компании в целом, значение которой с каждым годом увеличивается.
Информационная безопасность становится одним из главных источников экономической эффективности предприятия. На практике прослеживается тенденция, в которой все сферы жизнедеятельности компании зависят от информационного развития, в процессе которого они сами порождают информацию и сами же ее потребляют.
На современном этапе развития главными угрозами безопасности компании являются те угрозы, которые подрывают информационную безопасность предприятия. Результатами эффективного исполнения информационных атак могут стать нарушение конфиденциальности, целостности и доступности информации, которые могут повлечь за собой очень серьезные экономические потери, создать угрозу жизни и здоровью персонала предприятий и населению, навязать ложную информации, нарушить установленный регламент сбора, обработки и передачи информации, провести отказы и сбои в работе системы. Всё это вызвано преднамеренными и непреднамеренными действиями как со стороны конкурентов, преступных сообществ, организаций и групп, так и со стороны самого персонала.
Потребность в защите информации осознавалась народом еще с глубокой древности. Ведь не зря до нас дошли сведения о применявшихся раннее способах зашиты информации — технических (например, знаменитый полибианский квадрат, изобретённый греческим философом Полибием, «дисковой шифр» Томаса Джефферсона, код Цезаря) и организационных (как правило, они сводились к физическому устранению людей, которые владели какой-либо информацией).
С течением времени модернизировались не только методы защиты информации, но и методы атак на информационную систему. Современная экономическая и политическая обстановка в мире такова, что темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы, руководящих документов. Поэтому решение вопроса о разработке эффективной системы информационной безопасности на современном предприятии напрямую связано с проблемой эффективности корпоративной системы защиты информации, за которую в ожесточенной конкурентной схватке ведет борьбу масса крупнейших предприятий. Поэтому вопросы защиты информации в современном обществе имеют первостепенное значение.
В современном мире весьма актуальной является проблема количества информации, которая обрабатывается в информационных системах, масштабы которой растут с каждым разом. Интенсивность информационного обмена автоматизированных систем обусловлена развитием и разнообразием бизнеспроцессов и задач, решаемых в рамках систем управления предприятиями и организациями различных форм собственности. Вместе с тем растет и количество вредоносной информации, такой как вирусы, троянские программы и т.д., а также разнообразие злоумышленных информационных атак на ресурсы систем [2]. При этом варианты и пути проникновения вредоносной информации в корпоративные информационные системы также постоянно видоизменяются и модифицируются, что делает задачу обеспечения информационной безопасности подобных систем достаточно сложной. Интенсивность информационных событий в корпоративных сетях может достигать нескольких миллионов в день, поэтому возникает проблема нахождения и локализации вредоносной информации в огромных информационных массивах. При этом обработка подобных событий в ручном режиме не представляется возможной, так как потребовала бы значительных человеческих и временных затрат, а также недопустимых с точки зрения эффективности аппаратно-программных ресурсов. Решение данной проблемы целесообразно на основе применения SIEM систем.
Цель работы: Реализовать систему управления событиями информационной безопасности СУБД MySQL на базе SIEM Splunk.
Для достижения поставленной цели необходимо решить следующие задачи:
1) анализ потоков данных журналов событий в СУДБ MSSQL;
2) реализация тестового стенда для сбора логов промышленной либо веб системы;
3) систематизация полученных сведений;
4) реализация сбора и анализа полученных журналов событий в СОИБ Splunk.
Практическая ценность работы. Когда аналитик информационной безопасности сталкивается с инцидентом, ему необходим инструмент, который бы позволил из разрозненных источников собрать информацию и в одном месте их проанализировать. Для этих целей и применяется SIEM- система Splunk.
Информационная безопасность становится одним из главных источников экономической эффективности предприятия. На практике прослеживается тенденция, в которой все сферы жизнедеятельности компании зависят от информационного развития, в процессе которого они сами порождают информацию и сами же ее потребляют.
На современном этапе развития главными угрозами безопасности компании являются те угрозы, которые подрывают информационную безопасность предприятия. Результатами эффективного исполнения информационных атак могут стать нарушение конфиденциальности, целостности и доступности информации, которые могут повлечь за собой очень серьезные экономические потери, создать угрозу жизни и здоровью персонала предприятий и населению, навязать ложную информации, нарушить установленный регламент сбора, обработки и передачи информации, провести отказы и сбои в работе системы. Всё это вызвано преднамеренными и непреднамеренными действиями как со стороны конкурентов, преступных сообществ, организаций и групп, так и со стороны самого персонала.
Потребность в защите информации осознавалась народом еще с глубокой древности. Ведь не зря до нас дошли сведения о применявшихся раннее способах зашиты информации — технических (например, знаменитый полибианский квадрат, изобретённый греческим философом Полибием, «дисковой шифр» Томаса Джефферсона, код Цезаря) и организационных (как правило, они сводились к физическому устранению людей, которые владели какой-либо информацией).
С течением времени модернизировались не только методы защиты информации, но и методы атак на информационную систему. Современная экономическая и политическая обстановка в мире такова, что темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы, руководящих документов. Поэтому решение вопроса о разработке эффективной системы информационной безопасности на современном предприятии напрямую связано с проблемой эффективности корпоративной системы защиты информации, за которую в ожесточенной конкурентной схватке ведет борьбу масса крупнейших предприятий. Поэтому вопросы защиты информации в современном обществе имеют первостепенное значение.
В современном мире весьма актуальной является проблема количества информации, которая обрабатывается в информационных системах, масштабы которой растут с каждым разом. Интенсивность информационного обмена автоматизированных систем обусловлена развитием и разнообразием бизнеспроцессов и задач, решаемых в рамках систем управления предприятиями и организациями различных форм собственности. Вместе с тем растет и количество вредоносной информации, такой как вирусы, троянские программы и т.д., а также разнообразие злоумышленных информационных атак на ресурсы систем [2]. При этом варианты и пути проникновения вредоносной информации в корпоративные информационные системы также постоянно видоизменяются и модифицируются, что делает задачу обеспечения информационной безопасности подобных систем достаточно сложной. Интенсивность информационных событий в корпоративных сетях может достигать нескольких миллионов в день, поэтому возникает проблема нахождения и локализации вредоносной информации в огромных информационных массивах. При этом обработка подобных событий в ручном режиме не представляется возможной, так как потребовала бы значительных человеческих и временных затрат, а также недопустимых с точки зрения эффективности аппаратно-программных ресурсов. Решение данной проблемы целесообразно на основе применения SIEM систем.
Цель работы: Реализовать систему управления событиями информационной безопасности СУБД MySQL на базе SIEM Splunk.
Для достижения поставленной цели необходимо решить следующие задачи:
1) анализ потоков данных журналов событий в СУДБ MSSQL;
2) реализация тестового стенда для сбора логов промышленной либо веб системы;
3) систематизация полученных сведений;
4) реализация сбора и анализа полученных журналов событий в СОИБ Splunk.
Практическая ценность работы. Когда аналитик информационной безопасности сталкивается с инцидентом, ему необходим инструмент, который бы позволил из разрозненных источников собрать информацию и в одном месте их проанализировать. Для этих целей и применяется SIEM- система Splunk.
✅ Заключение
В результате проделанной работы над дипломным проектом была реализована система управления событиями информационной безопасности СУБД MySQL на базе СОИБ Splunk. Изучена и проанализирована документация по лог-файлам, SIEM- системам, СУБД MySQL, СОИБ- системе Splunk.
Проведен анализ потоков данных журналов событий(лог-файлов) в СУБД MySQL, после которого были выявлены следующие лог-файлы и способы их подключения:
1) бинарный лог (bin log);
2) лог ошибок (error log);
3) лог медленных запросов (slow_query log);
4) лог запросов (general log);
5) лог репликаций (relay log).
Создан тестовый стенд для сбора лог-файлов, реализованный следующим образом:
1) установка локального сервера Denwer, который содержит в себе (Apache, PHP, MySQL);
2) установка системы управления содержимым - CMS Drupal, которая используется как каркас для веб-приложений, написанная на языке PHP и использующая в качестве хранилища данных реляционную базу данных MySQL;
3) установка и настройка СОИБ Splunk;
4) установка и настройка расширения Splunk DB Connect v2 для соединения с базами данных MySQL и извлечения из них лог-файлов.
В практической работе были смоделированы атаки, цель которых нарушить конфиденциальность и целостность информации в СУБД MySQL.
С помощью SIEM-системы Splunk были собраны лог - файлы СУБД MySQL, которые были подробно проанализированы. Инсценированные действия злоумышленника были выявлены и наглядно отражены в виде отчетов и диаграмм.
Таким образом, все поставленные задачи были решены, реализована интеграция журналов СУБД MySQL с системой управления событиями информационной безопасности на базе СОИБ Splunk.
Проведен анализ потоков данных журналов событий(лог-файлов) в СУБД MySQL, после которого были выявлены следующие лог-файлы и способы их подключения:
1) бинарный лог (bin log);
2) лог ошибок (error log);
3) лог медленных запросов (slow_query log);
4) лог запросов (general log);
5) лог репликаций (relay log).
Создан тестовый стенд для сбора лог-файлов, реализованный следующим образом:
1) установка локального сервера Denwer, который содержит в себе (Apache, PHP, MySQL);
2) установка системы управления содержимым - CMS Drupal, которая используется как каркас для веб-приложений, написанная на языке PHP и использующая в качестве хранилища данных реляционную базу данных MySQL;
3) установка и настройка СОИБ Splunk;
4) установка и настройка расширения Splunk DB Connect v2 для соединения с базами данных MySQL и извлечения из них лог-файлов.
В практической работе были смоделированы атаки, цель которых нарушить конфиденциальность и целостность информации в СУБД MySQL.
С помощью SIEM-системы Splunk были собраны лог - файлы СУБД MySQL, которые были подробно проанализированы. Инсценированные действия злоумышленника были выявлены и наглядно отражены в виде отчетов и диаграмм.
Таким образом, все поставленные задачи были решены, реализована интеграция журналов СУБД MySQL с системой управления событиями информационной безопасности на базе СОИБ Splunk.
ИЛИ
Поиск аналога
📕 Список литературы
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.