Deploying Open-Source SIEM System for Waldur-based Services at the University of Tartu

Abstract

Security Information and Event Management (SIEM) systems are cybersecurity tools that are used by organizations to monitor and analyze log information from different sources, allowing the detection and response to security threats in a timely manner. Waldur is an open-source platform used to manage hybrid cloud resources with multiple services built on top of it and with a large user base. To address the security requirements of the platform in regard to business event data, this thesis work aims to identify and implement a suitable open-source SIEM solution for Waldur that aligns with the operational requirements provid-ed by the University of Tartu HPC team. An overview of Waldur’s architecture, business event logging and SIEM requirements has been conducted. OpenSearch, an open-source data management platform with SIEM functionality, was selected for a proof of concept implementation. A high-level design of the architecture and components of the implementa-tion as well as sample security rules based on Waldur’s logs and requirements were devel-oped. Validation using synthetic and real data was performed in the proof of concept imple-mentation, providing insight into OpenSearch’s SIEM capabilities, with challenges being encountered for complex detection scenarios. This study demonstrates the development of a SIEM architecture for Waldur platform’s business event logging and validates it with a selected SIEM solution, providing insights into the setup, usage, and potential limitations.

Infoturbe ja sündmuste haldamise (SIEM) süsteemid on küberturbe tööriistad, mida organisatsioonid kasutavad erinevatest allikatest pärineva logiteabe jälgimiseks ja analüüsimiseks. See võimaldab õigeaegselt tuvastada ja reageerida turvaohtudele. Waldur on avatud lähtekoodiga hübriidpilve ressursside haldamise platvorm, mis on aluseks mitmetele teistele teenustele ning millel on märkimisväärne kasutajabaas. Antud lõputöö eesmärgiks on tuvastada ja rakendada Walduri jaoks sobiva avatud lähtekoodiga SIEM-lahenduse, mis tagab äri-andmete turvalisust ja vastab Tartu Ülikooli HPC meeskonna poolt kehtestatud operatiivnõuetele. Selleks sai läbi viidud Walduri arhitektuuri ja sündmuste logi ning SIEM-nõuete analüüs. Kontseptsiooni tõestamiseks valiti avatud lähtekoodiga OpenSearch andmehaldusplatvorm, millel on SIEM-funktsionaalsus. Vastavalt Walduri nõutele ja logidele loodi arhitektuur, arendati rakendamiseks vajalikud komponendid ning näidisturvareeglid. Valideerimisprotsessi käigus kasutatud tehis- ja reaalandmed võimaldasid hinnata OpenSearch-i SIEM-võimekust ning see tõi esile, et keerukate ohutuvastusstsenaariumite puhul tekkisid valitud lahendusel raskused. Koostatud uurimistöö eesmärgiks on Walduri platvormi andmete logimise jaoks SIEM-arhitektuuri väljatöötamine ja valideerimine valitud SIEM-lahendusega. Lisaks sellele annab tehtud töö ülevaate valitud tarkvara seadistamisest, kasutamisest ja võimalikest piirangutest.