Objective Cyber Intelligence

Abstract

A ubiquidade de acessos á rede global levou a um aumento exponencial do número de ameaças a sistemas digitais. A vasta quantidade e diversidade de vectores de ataque tornaram a área de Ciber Segurança um foco de pesquisa e desenvolvimento na tentativa de minimizar riscos para recursos digitais empresariais e de consumidores.A geração de eventos para catalogar acções e interações de sistemas tornou-se um dos principais meios de perceber e monitorizar tanto o estado actual como o comportamento a longo prazo.A utilização e disponibilização de cada vez mais recursos e tecnologias causou o aumento do volume de eventos gerados. As equipas de Segurança e Resposta a Incidentes que eram responsáveis for reunir, analisar e responder á chegada de Eventos não conseguem responder aos milhares de pontos de dados de diversos sistemas e tipos que recebem apenas com recursos humanos.Para resolver esse problema e ajudar Equipas de Resposta a Incidentes, desenvolver plataformas de monitorização e análise de dados tem sido um foco de profissionais na área de Ciber Segurança. Não só ajudam a apresentar os dados recolhidos, como os conseguem processar, analisar e enriquecer, gerando nova informação com vista global a partir de Eventos originalmente isolados.Este Projecto serve para acrescentar valor a uma dessas plataformas. O Portolan, produto da Dognædis, é uma plataforma de monitorização de segurança com o objectivo de reunir e enriquecer dados de múltiplas fontes externas e formatá-los para um modelo de dados uniforme, com o objectivo de adicionar mais informação ao contexto de segurança interna da empresa cliente. Este Documento detalha o processo que levou ao planeamento, implementação e avaliação de um novo módulo para o Portolan capaz de Processamento de Eventos Complexos.

With the ubiquity of access to the global network, threats to computer systems have increased exponentially. The sheer amount and width of attack vectors make Cyber Security a focus of research and development, trying to minimize risk to individuals and corporations' technological assets.A means to get a sense of how systems are behaving is the generation of \glspl{event} based on their current status and behavior, whether by the systems themselves or by outside sources.However, the amount of Events generated has increased exponentially as more and more resources and technologies are made available and used worldwide. Security Operations Center (SOC) teams were initially responsible for gathering, parsing and acting upon \glspl{event} as they arrived, but have recently become a bottleneck, as their manpower pales in comparison to the thousands of incoming data entries, possibly from multiple, highly diverse sources.To solve that problem, and aid incident response teams, development of monitoring and analysis platforms has been a focus of Cyber Security experts. Not only can they help by making data presentable, they can also process, analyse and enrich it, creating new information from a multitude of originally "loose" Events.This project aims to add value to one such platform. Portolan, a Dognaedis product, is a security monitoring platform outfitted for gathering and enriching data from multiple independent sources, formatting it into an uniform data model. Portolan gathers events from external sources in order add more context to internal security events. This document details the planning, implementation and evaluation of a module capable of Complex Event Processing, creating Complex Events from the data already gathered by Portolan.