Тип работы:
 Предмет:
 Язык работы:


Использование журналов СУБД MSSQL для построения системы обеспечения информационной безопасности (SIEM)

Работа №53713

Тип работы

Бакалаврская работа

Предмет

информационная безопасность

Объем работы57
Год сдачи2016
Стоимость4320 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
362
Не подходит работа?

Узнай цену на написание


Введение 3
1. Теоретические аспекты изучения SIEM Splunk 6
1.1. Использование Splunk для анализа логов 6
1.2. Реализация СОИБ на базе Splunk 8
2. Угрозы, специфичные для систем управления базами данных 10
2.1. Угрозы конфиденциальности информации 10
2.2. Угрозы целостности информации 11
2.3. Угрозы доступности информации 11
3. Аудит и протоколирование в MS SQL 13
3.1. Работа с протоколированием SQL Server 13
3.2. Лог-файл для поддержания целостности данных и производительности
операций 19
4. Практические тесты нагрузки на производительность базы данных при
различном протоколировании и трассировки объектов 25
5. Практическая реализация системы управления событиями
информационной безопасности СУБД MS SQL на базе SIEM SPLUNK 30
5.1. Установка и надстройка 1С Предприятие 8.2 и создание информационной базы 31
5.2. Установка конфигураций SIEM Splunk и его дополнений 35
5.3. Создание объектов аудита в Microsoft SQL Server для Splunk DB Connect 41
5.4. Создание угроз для базы данных SQL Server и их дальнейший анализ с
помощью Splunk 44
Заключение 50
Список литературы 52
Приложение


Современным компьютерам (будь то сервер либо рабочая станция) приходится обрабатывать количество информации, которое сложно представить человеку. Огромное количество расчетов означает и огромное количество трудностей и ошибок, с коими сталкиваются машины. Естественно, программы пробуют справиться с ошибками самостоятельно, однако иногда внимание и вмешательство человека просто необходимы.
В большой корпоративной сети нередко действуют сотни рабочих станций и десятки серверов, маршрутизаторов и иных функциональных приборов. Все они регулярно генерируют информацию для администратора, как извещения об ошибках, так и просто отчеты о происходящем. Данный процесс и результирующий отчет именуются одним словом - «лог».
Логи, либо как их также именуют, файлы регистрации событий - незаменимый инструмент для мониторинга сетевой активности, состояния системы и ее производительности. К сожалению, они изредка используются с наибольшей эффективностью. Главные предпосылки этому - большой объем информации, сложность ее разбора, а еще то, что разными программами генерируются разные форматы лог-файлов.
Если некоторые программы ведут лог приблизительно одного формата, то некоторые другие - разных форматов. Так, к примеру, стандартный для UNIX syslog представляет собой текстовый файл, в котором каждое новое сообщение представлено отдельной строчкой. В Windows же за запись и отображение логов отвечает Event Manager - методика его работы более сложна. Сетевые устройства Cisco традиционно более или менее придерживаются Unix-way.
Что касается объема информации, то в маленьких организациях еще удается как-то справляться с ее обработкой и разбором. Однако по мере роста организации, ей, как правило, приходится внедрять более структурированный подход к управлению файлами логов и их хранению, иначе многочисленные устройства, находящиеся в той или иной мере большой сети, станут вхолостую производить большое множество отчетов самого различного вида, храня их «у себя». Для разбора данной информации потребуется бывать внутри каждого устройства и просматривать его логи вручную. Другими словами, сколько-нибудь действенный прогноз в настоящее время не предвидится.
Таким образом, получается, что необходимо собирать все сообщения лога в одно пространство, на один сервер, с помощью которого можно будет получать информацию обо всех устройствах сразу и обрабатывать ее.
Unix-системы и Microsoft Windows могут сами перенаправлять сообщения лога на удаленные компьютеры, однако делают это каждая своеобразно. Следовательно, желателен программный комплекс, который сумеет централизованно собирать и обрабатывать данные, поступающие с различных платформ, а еще давать возможности просматривать сообщения в удобной форме (к примеру, выделяя принципиальные сообщения вроде ошибок или окончания длительных по времени, либо просто важных процессов), к тому же анализировать их в режиме настоящего времени.
Любому системному администратору в собственной деятельности приходится иметь дело со сбором и анализом логов. Собранные логи необходимо хранить — они имеют все шансы пригодиться для самых различных целей: для отладки программ, для разбора инцидентов, в качестве подспорья для службы техподдержки и т.п. К тому же, нужно обеспечить возможность поиска по всему массиву данных.
Организация сбора и анализа логов выглядит таким образом, что приходится объединять логи различных систем, которые между собой могут не иметь ничего общего. Собранные данные еще желательно привязать к единой временной шкале, чтоб прослеживать взаимосвязи между событиями. Осуществление поиска по логам представляет собой отдельную задачу.
В течение последнего времени возникли интересные программные инструменты позволяющие решать описанные выше проблемы. Всё большую популярность обретают решения, позволяющие хранить и обрабатывать логи онлайн: Splunk, Loggly, Papertrail, Logentries и другие. В числе плюсов данных сервисов следует отметить удобный интерфейс и невысокую цену использования.
Актуальность дипломной работы заключается в том, что есть необходимость обнаружения и предотвращения мошеннических действий, краж и злоупотреблений в виду того, что типичные виды внешнего и внутреннего мошенничества часто связаны с огромными объемами неструктурированных машинных данных и файлов журналов, создаваемых приложениями и системами.
Целями выпускной квалификационной работы является реализация системы управления событиями информационной безопасности СУБД MSSQL на базе SIEM Splunk, а также создание рекомендации о том, как нейтрализовать протоколирование MSSQL с учетом производительности.
В соответствии с поставленными целями необходимо решить следующие задачи:
- реализация тестовой системы для сбора логов;
- анализ потоков данных журналов событий в СУБД MSSQL;
- реализация сбора полученных журналов событий в SIEM Splunk и их дальнейшего анализа;
- систематизация полученных сведений.
Объектом исследования является СУБД MSSQL Server, который управляется системой 1С Предприятие.
Предметом исследования являются логи, возникающие в процессе функционирования СУБД MSSQL.
Новизна исследования характерна тем, что в выпускной квалификационной работе подробно проанализированы логи, что позволяет разобраться в сущности лога, раскрыть его понятие, определить его предназначение для аналитика информационной безопасности.

Возникли сложности?

Нужна помощь преподавателя?

Помощь студентам в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
Курсовые Статьи Диплом Рязань

В настоящей выпускной квалификационной работе была создана система для сбора логов, включающая в себя систему обеспечения информационной безопасности Splunk, а также систему управления базами данных MS SQL.
В СУБД MS SQL Server создан сервер таким программным продуктом как 1С Предприятие. На нем была создана информационная база, представляющая собой базу данных предприятия.
В теории изучены различные типы лог-файлов, такие как ERRORLOG, в котором хранятся сведения о системе, о пользователях, о применяемых библиотеках и т.д., AUDITLOG, в котором имеются пользовательские события аудита, TRACELOG, в нем содержится информация о событиях в системе, и также SYSTEMHEALTH, в котором располагается информация о сеансах пользователей.
Все эти логи передаются из СУБД в Splunk с помощью приложений, являющимися дополнениями к Splunk. Так, TRACELOG и AUDITLOG передаются путем приложения DB Connec t.
Оставшиеся логи отправляются на Splunk с помощью приложения Forwarder. Forwarder - расширение, подключающееся к операционной системе и извлекающая текстовые логи.
В теории были разобраны угрозы безопасности СУБД. Они бывают трех типов: конфиденциальности, целостности, доступности информации.
В практической работе были реализованы такие угрозы конфиденциальности, как несанкционированный UPDATE и несанкционированный INSERT.
Задачи сбора, анализа и систематизации полученных данных об угрозах MS SQL Server были выполнены в полном объеме.
В нашем исследовании мы также выяснили, что методы сбора данных создают существенную нагрузку на производительность сервера.
На основании тестов на производительность, можно сделать следующие выводы:
- наименьшую нагрузку создают расширенные события, нежели трассировка;
- следует избегать использования SQL Server Profiler на загруженных производственных серверах, так как показано десятикратное увеличение продолжительности выполнения операций и значительное снижение пропускной способности для их воспроизведения.
Практическая значимость нашего исследования состоит в том, что крупные организации не поддерживают самописный код. В виду этого, используются готовые решения. И именно настройка системы обеспечения информационной безопасности и интеграция ее в СУБД составляют решающую роль.
Наша работа позволяет сделать вывод о том, что в сфере информационной безопасности есть необходимость создания журнала логов в базах данных и создания прикладной информационной системы для ее систематизации и анализа.
Таким образом, все поставленные задачи были решены, цели создания системы управления событиями информационной безопасности СУБД MS SQL на базе SIEM Splunk и дальнейшее создание рекомендации о том, как нейтрализовать протоколирование MSSQL с учетом производительности были достигнуты.



1) Михеев Р. Н., MS SQL Server 2005 для администраторов / Р. Н. Михеев. - М.: БХВ-Петербург, 2007. - 518 с.
2) Фленов М. Е., Web-сервер глазами хакера. / М. Е. Фленов. - М.: БХВ-Петербург, 2009. - 320 с.
3) Скембрей Д., Секреты хакеров. Безопасность Windows server 2008 / Д. Скембей. - М.: И. Д. Вильямс, 2009. - 512 с.
4) Андрианов В. В., Обеспечение информационной безопасности бизнеса / В. В. Андрианов. - М.: Альпина Паблишерз, 2011. - 373 с.
5) Бондарь А. Г., MS SQL Server 2012. Создание баз данных и разработка программ / А. Г. Бондарь. - М.: БХВ-Петербург, 2013. - 608 с.
6) Эйри Д., Функции SQL. Справочник программиста / Д. Эйри. - М.: И. Д. Вильямс, 2007. - 768 с.
7) Петкович Д., Microsoft SQL Server 2012. Руководство для начинающих / Д. Петкович, 2013. - 816 с.
8) Волков Д., Мир/ Д. Волков // Открытые системы. СУБД. 2016. -№2. - С 38-43.
9) Станек У Р., Microsoft SQL Server 2012. Справочник администратора / У Р. Станек. - М.: Русская Редакция, 2013. -576 с.
10) Грабер М., Введение в SQL / М. Грабер. - М.: Лори, 2014. - 374 с.
11) Кенин А. М., Практическое руководство системного администратора / А. М. Кенин. - М.:БХВ-Петербург, 2013. - 544 с.
12) Жуков Ю. В., Основы веб-хакинга: нападение и защита / Ю. В. Жуков. - М.: Питер, 2012. - 208 с.
13) Информационная база Splunk [splunk.com].
https://docs.splunk.com


Работу высылаем на протяжении 30 минут после оплаты.



Заказать работу

Заявка на оценку стоимости

Это краткая форма заказа. После ее заполнения вы перейдете на полную форму заказа работы

Каталог работ (129833)

Новости

06.01.2018 Помощь студентам и аспирантам в выполнении работ от наших партнеров Помощь студентам и аспирантам в выполнении работ от наших партнеров

Помощь в выполнении учебных и научных работ на заказ ОФОРМИТЬ ЗАКАЗ

дальше

»» Все новости

Заказать работу

Заявка на оценку стоимости

Это краткая форма заказа. После ее заполнения вы перейдете на полную форму заказа работы

Заказать диплом

Приглашаем авторов студенчесчких работ


©2024 Cервис помощи студентам в выполнении работ
.