Aufsetzen und Testen eines Security Information und Event Management Systems, Alexander Seigies

Alexander Seigies

Kurzfassung

In dieser Bachelorarbeit werden die Security-Information-und-Event-Management(SIEM)-Systeme IBM QRadar in der Community Edition sowie Splunk Enterprise in virtuellen Maschinen (VM) eingerichtet und deren Funktionsweisen getestet. Dazu wird jeweils ein Netzwerk aus Client-Rechnern in VM erstellt, die Log-Daten an den jeweiligen SIEM-Server senden und durch diesen überwacht werden. Um die Funktionsweise des jeweiligen SIEM-Systems zu testen, werden verschiedene Angriffe auf die Clients und das Netzwerk des SIEM-Servers mit dem Zweck realisiert, Warnungen im SIEM-System auszulösen. Ziel ist es, durch diese Angriffe die Zuverlässigkeit eines SIEM-Systems zu testen. Des Weiteren wird untersucht, ob die SIEM-Systeme ihrerseits eine Schwachstelle in einem Netzwerk darstellen und durch gezielte Angriffe gestört werden können. Mit Man-in-the-Middle(MITM)-Angriffen im Netzwerk des SIEM-Systems werden durch die Clients übertragene Log-Daten modifiziert und an die SIEM-Server weitergeleitet. Es wird getestet, ob die SIEM-Systeme gefälschte Log-Daten von anderen Quellen erkennen. Bei den durchgeführten Angriffen zeigte sich, dass die getesteten SIEM-Systeme die Übertragung von gefälschten und modifizierten Log-Daten nicht erkennen. Durch die Modifikation von Log-Daten ist es möglich, für beliebige Clients des SIEM-Systems Warnungen auszulösen.

Schlagwörter: Security Information und Event Management, SIEM, Log-management, Netzwerksicherheit, IBM QRadar, Splunk Enterprise, Angriffe, Man-in-the-Middle, Kali Linux
 

Abstract

In this thesis, the Security Information and Event Management systems, IBM QRadar Community Edition, and Splunk Enterprise are installed in virtual machines, and their functionality is tested. For this, a network of clients was installed in VMs that send log data to the SIEM server to be monitored. To test the functionality of the SIEM systems, multiple attacks are performed on the clients and the network of the SIEM server to generate warnings in the SIEM systems. The purpose of the attacks is to demonstrate the reliability of the SIEM system. Additionally, tests are conducted to determine whether the SIEM server is a vulnerability in the network and can have its functionality impaired by attacks. With man-in-the-middle attacks implemented in the network of the SIEM server, the log data of the clients is modified and forwarded to the SIEM server. A series of tests are executed to verify whether the SIEM servers detect the modification of log data from a different source. The performed attacks revealed that the tested SIEM systems did not detect the modification and falsification of log data. By modifying the log data, it is possible to generate warnings for any client of the SIEM server.


Keywords: Security Information and Event Management, SIEM, log management, network security, IBM QRadar, Splunk Enterprise, attacks, man-in-the-middle, Kali Linux