Ausschreibung

Hintergrund der Arbeit:
Das Prelude-Framework (https://www.prelude-ids.org/) bietet eine sehr flexible und mächtige Security Information & Event Management (SIEM) Lösung, die neben den reinen SIEM-Funktionalitäten auch als hybrides Intrusion Detection System einsetzbar ist. Es ist modular aufgebaut. Neben der Library, die die Anbindung verschiedenster Komponenten unterstützt, gibt es einen Manager, der für das Empfangen und Weiterverarbeiten aller Meldungen verantwortlich ist. An diesen kann man entweder Plugins oder Agenten binden, die dann die Weiterverarbeitung der Meldungen übernehmen. Daneben gibt es eine Anzeige der Meldungen in einem Webfrontend namens Prewikka und eine Korrelationsengine, die mehrere Alarme zusammenfassen kann und regelbasiert Aktionen durchführt.

Das verwendete Datenschema basiert auf dem veröffentlichten RFC 4765, dem XML-basierten IDMEF. Dieses gibt verschiedene Felder und Attribute vor, die von Sensoriken nach einem fest vorgegebenen Schema befüllt werden können. Gerade die Regelsätze der Korrelationsengine basieren auf diesen IDMEF-Feldern.

Ziel der Arbeit:
Da das Prelude-Framework in einem aktuellen Forschungsgebiet produktiv eingesetzt wird, sollen eine Reihe von Verbesserungen durchgeführt werden. Dabei sollen folgende Funktionalitäten in das Webfrontend Prewikka integriert werden:

Die Erstellung von neuen oder die Änderung von bestehenden Regelsätzen der Korrelationsengine oder anderer Komponenten muss momentan per Konsole in Konfigurationsdateien durchgeführt werden. Im Rahmen der Arbeit soll mit Hilfe der webbasierten Lösung eine Regelsatzänderung möglich gemacht werden.
Weiterhin ist es momentan per Plugin-Lösung möglich, sich interessante Meldungen per E-Mail zuschicken zu lassen. Die Konfiguration dieses Plugin soll ebenfalls in dem zu entwickelnden Webfrontend durchführbar sein.
Weiterhin ist das Prelude-Framework in der momentanen Implementierung eine reine Meldeinfrastruktur, das heißt, dass Meldungen, die von dem System empfangen und verarbeitet wurden, zu keiner automatisierten Reaktion führen. Um die automatisierte Reaktion nachzurüsten, soll die Möglichkeit implementiert werden, dass die Korrelationsengine beim Vorliegen bestimmter Kriterien auch Systembefehle wie Shell-Scripte ausführen kann.

Aufgabensteller:
Priv. Doz. Dr. H. Reiser

Anforderungen:
Linux; Security; Python; C; XML

Dauer des FoPras/SEPs bzw. der Bachelorarbeit: 3 Monate

Anzahl Bearbeiter: 1

Betreuer:

Last Change: Mon, 11 Dec 2023 07:33:30 +0100 - Viewed on: Fri, 03 May 2024 14:51:39 +0200
Copyright © MNM-Team http://www.mnm-team.org - Impressum / Legal Info - Datenschutz / Privacy

Institut für Informatik der Ludwig-Maximilians-Universität München

Lehr- und Forschungseinheit für Kommunikationssysteme und Systemprogrammierung

Prof. Dr. Dieter Kranzlmüller, Prof. Dr. Heinz-Gerd Hegering (em.)

Konfigurationsunterstützung und Weiterentwicklung der Open Source SIEM Lösung Prelude