Agregace hlášení o bezpečnostních událostech

Abstract

V tejto práci sa venujem analýze bezpečnostných hlásení zo systému Mentat vo formáte IDEA a návrhu a implementácii metód pre ich agregáciu a koreláciu. V analýze dát poukážem na rozmanitosť hlásení. Ďalej predstavím návrh jednoduchého frameworku a systému šablón, ktorý slúži ako základ pre tvorbu agregačných a korelačných metód. Tiež popíšem návrh a implementáciu jednotlivých metód. Na záver vyhodnotím niektoré navrhnuté metódy na dostupných vzorkách dát. Ukážem, že navrhnuté agregačné metódy v niektorých prípadoch dokážu znížiť množstvo hlásení až o 90% pri zachovaní všetkých podstatných informácií.

In this thesis, I present analysis of security incident reports in IDEA format from Mentat and their aggregation and correlation methods design and implementation. In data analysis, I show huge security reports diversity. Next, I show design of simple framework and system of templates. This framework and system of templates simplify aggregation and correlation methods design and implementation. Finally, I evaluate designed methods using Mentat database dumps. The results showed that designed methods can reduce the number of security reports up to 90% without loss of any significant information.