Azure REST -rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla

Pilvipalveluiden käyttö kasvaa eri kokoisissa organisaatioissa. Kasvua lisää pilvipalveluista saatavat hyödyt. Hyödyistä huolimatta pilvipalveluissa on kuitenkin olemassa samoja ja uusia tietoturvauhkia, kuin omassa konesalissa toteutetuissa palveluissa. Sovelluksien toteuttaminen pilviympäristöön t...

Full description

Bibliographic Details
Main Author: Kangas, Marko
Other Authors: Informaatioteknologian tiedekunta, Faculty of Information Technology, Informaatioteknologia, Information Technology, Jyväskylän yliopisto, University of Jyväskylä
Format: Master's thesis
Language:fin
Published: 2020
Subjects:
Online Access: https://jyx.jyu.fi/handle/123456789/68158
_version_ 1826225754823720960
author Kangas, Marko
author2 Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä
author_facet Kangas, Marko Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä Kangas, Marko Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia Information Technology Jyväskylän yliopisto University of Jyväskylä
author_sort Kangas, Marko
datasource_str_mv jyx
description Pilvipalveluiden käyttö kasvaa eri kokoisissa organisaatioissa. Kasvua lisää pilvipalveluista saatavat hyödyt. Hyödyistä huolimatta pilvipalveluissa on kuitenkin olemassa samoja ja uusia tietoturvauhkia, kuin omassa konesalissa toteutetuissa palveluissa. Sovelluksien toteuttaminen pilviympäristöön tuo mahdollisesti lisää uusia tietoturva haasteita. Täten on hyödyllistä tutkia Azure Sentinel -palvelun käyttöä uhkien tunnistamiseen pilviympäristössä. Azure Sentinel -palvelu on Azure-pilvipalvelussa oleva SIEM-järjestelmä. Tutkimuksessa tutkitaan palvelun tarjoamia analysointikyselyitä sekä luodaan omia analysointikyselyitä. Analysointikyselyitä tehdään rajattuun joukkoon käyttäjätunnukseen kohdistuvia tietoturvauhkaskenaarioita. Tutkimuksessa käytetään uhkasimulointia rajapintapalvelun avulla. Tutkimuksessa luotiin REST-rajapinta, johon kohdistettiin valittuja käyttäjätunnukseen liittyviä uhkia, joita muissa tutkimuksissa on nostettu esiin. Uhkien tunnistamisen aineistoksi muodostui REST-rajapinnan sovelluslokia ja Azure Active Directory -palvelun kirjautumislokia. Tutkimuksessa saatiin tietoa Azure Sentinel -palvelun käytöstä rajattuun joukkoon uhkia sekä sovelluslokin käytöstä omissa analysointikyselyissä. Tutkimuksen mukaan voidaan päätellä, että on kannattavaa käyttää Azure Sentinel -palvelun olemassa olevia sekä itse luotuja analysointikyselyitä käyttäjätunnuksien kohdistuvien tietoturvauhkien tunnistukseen. REST-rajapinnan tuottaman sovelluslokin käyttäminen ja siirtäminen Azure Sentinel -palveluun voitiin todeta hyödylliseksi. Organizations increase usage of cloud computing. There is draw back, its increased cloud computing usages and it has same risks than on-premise computing. There are also new threats which can be problems for cloud services. For this reason, it is good to research new ways to lower threats for cloud computing. This research investigates Azure Sentinel service which is used to analyze threats in cloud environment. Azure Sentinel is a cloud based SIEM system. In this research we try investigating usage of Azure Sentinel and using its own analytics queries and, we made our own custom queries for the purpose. Analyzation queries are made for user account-based security threat scenarios. In this research we created a REST service which was used for simulating user accountbased security threats. Research is done based on REST service logs and Azure Active Directory authentication logs. In this research we get new information about using Azure Sentinel, whether can you make your own analytics queries for it and also we get if there is a good reason to use application logs for analytics. As a result, we can assume it is good to use Azure Sentinal analytics for user account-based threat detection. It can be used with custom or ready-made analytic queries for analyzation. Also, its recommended to use application logs for detection queries in Azure Sentinel.
first_indexed 2020-03-16T21:02:21Z
format Pro gradu
free_online_boolean 1
fullrecord [{"key": "dc.contributor.advisor", "value": "Viinikainen, Ari", "language": "", "element": "contributor", "qualifier": "advisor", "schema": "dc"}, {"key": "dc.contributor.author", "value": "Kangas, Marko", "language": "", "element": "contributor", "qualifier": "author", "schema": "dc"}, {"key": "dc.date.accessioned", "value": "2020-03-16T06:31:58Z", "language": null, "element": "date", "qualifier": "accessioned", "schema": "dc"}, {"key": "dc.date.available", "value": "2020-03-16T06:31:58Z", "language": null, "element": "date", "qualifier": "available", "schema": "dc"}, {"key": "dc.date.issued", "value": "2020", "language": "", "element": "date", "qualifier": "issued", "schema": "dc"}, {"key": "dc.identifier.uri", "value": "https://jyx.jyu.fi/handle/123456789/68158", "language": null, "element": "identifier", "qualifier": "uri", "schema": "dc"}, {"key": "dc.description.abstract", "value": "Pilvipalveluiden k\u00e4ytt\u00f6 kasvaa eri kokoisissa organisaatioissa. Kasvua lis\u00e4\u00e4 pilvipalveluista\nsaatavat hy\u00f6dyt. Hy\u00f6dyist\u00e4 huolimatta pilvipalveluissa on kuitenkin olemassa samoja ja uusia tietoturvauhkia, kuin omassa konesalissa toteutetuissa palveluissa. Sovelluksien toteuttaminen pilviymp\u00e4rist\u00f6\u00f6n tuo mahdollisesti lis\u00e4\u00e4 uusia tietoturva haasteita. T\u00e4ten on hy\u00f6dyllist\u00e4 tutkia Azure Sentinel -palvelun k\u00e4ytt\u00f6\u00e4 uhkien tunnistamiseen pilviymp\u00e4rist\u00f6ss\u00e4.\nAzure Sentinel -palvelu on Azure-pilvipalvelussa oleva SIEM-j\u00e4rjestelm\u00e4. Tutkimuksessa\ntutkitaan palvelun tarjoamia analysointikyselyit\u00e4 sek\u00e4 luodaan omia analysointikyselyit\u00e4.\nAnalysointikyselyit\u00e4 tehd\u00e4\u00e4n rajattuun joukkoon k\u00e4ytt\u00e4j\u00e4tunnukseen kohdistuvia tietoturvauhkaskenaarioita. Tutkimuksessa k\u00e4ytet\u00e4\u00e4n uhkasimulointia rajapintapalvelun avulla.\nTutkimuksessa luotiin REST-rajapinta, johon kohdistettiin valittuja k\u00e4ytt\u00e4j\u00e4tunnukseen liittyvi\u00e4 uhkia, joita muissa tutkimuksissa on nostettu esiin. Uhkien tunnistamisen aineistoksi\nmuodostui REST-rajapinnan sovelluslokia ja Azure Active Directory -palvelun kirjautumislokia.\nTutkimuksessa saatiin tietoa Azure Sentinel -palvelun k\u00e4yt\u00f6st\u00e4 rajattuun joukkoon uhkia\nsek\u00e4 sovelluslokin k\u00e4yt\u00f6st\u00e4 omissa analysointikyselyiss\u00e4. Tutkimuksen mukaan voidaan\np\u00e4\u00e4tell\u00e4, ett\u00e4 on kannattavaa k\u00e4ytt\u00e4\u00e4 Azure Sentinel -palvelun olemassa olevia sek\u00e4 itse luotuja analysointikyselyit\u00e4 k\u00e4ytt\u00e4j\u00e4tunnuksien kohdistuvien tietoturvauhkien tunnistukseen.\nREST-rajapinnan tuottaman sovelluslokin k\u00e4ytt\u00e4minen ja siirt\u00e4minen Azure Sentinel -palveluun voitiin todeta hy\u00f6dylliseksi.", "language": "fi", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.abstract", "value": "Organizations increase usage of cloud computing. There is draw back, its increased cloud computing usages and it has same risks than on-premise computing. There are\nalso new threats which can be problems for cloud services. For this reason, it is good to\nresearch new ways to lower threats for cloud computing. This research investigates Azure\nSentinel service which is used to analyze threats in cloud environment. Azure Sentinel is a\ncloud based SIEM system. In this research we try investigating usage of Azure Sentinel and\nusing its own analytics queries and, we made our own custom queries for the purpose. Analyzation queries are made for user account-based security threat scenarios.\nIn this research we created a REST service which was used for simulating user accountbased security threats. Research is done based on REST service logs and Azure Active Directory authentication logs.\nIn this research we get new information about using Azure Sentinel, whether can you make\nyour own analytics queries for it and also we get if there is a good reason to use application\nlogs for analytics. As a result, we can assume it is good to use Azure Sentinal analytics for\nuser account-based threat detection. It can be used with custom or ready-made analytic queries for analyzation. Also, its recommended to use application logs for detection queries in\nAzure Sentinel.", "language": "en", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Submitted by Miia Hakanen (mihakane@jyu.fi) on 2020-03-16T06:31:58Z\nNo. of bitstreams: 0", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Made available in DSpace on 2020-03-16T06:31:58Z (GMT). No. of bitstreams: 0\n Previous issue date: 2020", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.format.extent", "value": "85", "language": "", "element": "format", "qualifier": "extent", "schema": "dc"}, {"key": "dc.format.mimetype", "value": "application/pdf", "language": null, "element": "format", "qualifier": "mimetype", "schema": "dc"}, {"key": "dc.language.iso", "value": "fin", "language": null, "element": "language", "qualifier": "iso", "schema": "dc"}, {"key": "dc.rights", "value": "In Copyright", "language": "en", "element": "rights", "qualifier": null, "schema": "dc"}, {"key": "dc.subject.other", "value": "SIEM", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "Azure", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "lokit", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "Azure Sentinel", "language": "", "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.title", "value": "Azure REST -rajapintapalvelun k\u00e4ytt\u00e4j\u00e4tunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla", "language": "", "element": "title", "qualifier": null, "schema": "dc"}, {"key": "dc.type", "value": "master thesis", "language": null, "element": "type", "qualifier": null, "schema": "dc"}, {"key": "dc.identifier.urn", "value": "URN:NBN:fi:jyu-202003162405", "language": "", "element": "identifier", "qualifier": "urn", "schema": "dc"}, {"key": "dc.type.ontasot", "value": "Pro gradu -tutkielma", "language": "fi", "element": "type", "qualifier": "ontasot", "schema": "dc"}, {"key": "dc.type.ontasot", "value": "Master\u2019s thesis", "language": "en", "element": "type", "qualifier": "ontasot", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Informaatioteknologian tiedekunta", "language": "fi", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Faculty of Information Technology", "language": "en", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.department", "value": "Informaatioteknologia", "language": "fi", "element": "contributor", "qualifier": "department", "schema": "dc"}, {"key": "dc.contributor.department", "value": "Information Technology", "language": "en", "element": "contributor", "qualifier": "department", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "Jyv\u00e4skyl\u00e4n yliopisto", "language": "fi", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "University of Jyv\u00e4skyl\u00e4", "language": "en", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Tietotekniikka", "language": "fi", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Mathematical Information Technology", "language": "en", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "yvv.contractresearch.funding", "value": "0", "language": "", "element": "contractresearch", "qualifier": "funding", "schema": "yvv"}, {"key": "dc.type.coar", "value": "http://purl.org/coar/resource_type/c_bdcc", "language": null, "element": "type", "qualifier": "coar", "schema": "dc"}, {"key": "dc.rights.accesslevel", "value": "openAccess", "language": null, "element": "rights", "qualifier": "accesslevel", "schema": "dc"}, {"key": "dc.type.publication", "value": "masterThesis", "language": null, "element": "type", "qualifier": "publication", "schema": "dc"}, {"key": "dc.subject.oppiainekoodi", "value": "602", "language": "", "element": "subject", "qualifier": "oppiainekoodi", "schema": "dc"}, {"key": "dc.subject.yso", "value": "rajapinnat (tietokoneohjelmat)", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "tietoturva", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "pilvipalvelut", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.format.content", "value": "fulltext", "language": null, "element": "format", "qualifier": "content", "schema": "dc"}, {"key": "dc.rights.url", "value": "https://rightsstatements.org/page/InC/1.0/", "language": null, "element": "rights", "qualifier": "url", "schema": "dc"}, {"key": "dc.type.okm", "value": "G2", "language": null, "element": "type", "qualifier": "okm", "schema": "dc"}]
id jyx.123456789_68158
language fin
last_indexed 2025-02-18T10:54:18Z
main_date 2020-01-01T00:00:00Z
main_date_str 2020
online_boolean 1
online_urls_str_mv {"url":"https:\/\/jyx.jyu.fi\/bitstreams\/258224be-bfba-4799-ac7b-6d58b528811d\/download","text":"URN:NBN:fi:jyu-202003162405.pdf","source":"jyx","mediaType":"application\/pdf"}
publishDate 2020
record_format qdc
source_str_mv jyx
spellingShingle Kangas, Marko Azure REST -rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla SIEM Azure lokit Azure Sentinel Tietotekniikka Mathematical Information Technology 602 rajapinnat (tietokoneohjelmat) tietoturva pilvipalvelut
title Azure REST -rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla
title_full Azure REST -rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla
title_fullStr Azure REST -rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla Azure REST -rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla
title_full_unstemmed Azure REST -rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla Azure REST -rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla
title_short Azure REST -rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla
title_sort azure rest rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen azure sentinel palvelulla
title_txtP Azure REST -rajapintapalvelun käyttäjätunnuksiin kohdistuvien uhkien tunnistaminen Azure Sentinel -palvelulla
topic SIEM Azure lokit Azure Sentinel Tietotekniikka Mathematical Information Technology 602 rajapinnat (tietokoneohjelmat) tietoturva pilvipalvelut
topic_facet 602 Azure Azure Sentinel Mathematical Information Technology SIEM Tietotekniikka lokit pilvipalvelut rajapinnat (tietokoneohjelmat) tietoturva
url https://jyx.jyu.fi/handle/123456789/68158 http://www.urn.fi/URN:NBN:fi:jyu-202003162405
work_keys_str_mv AT kangasmarko azurerestrajapintapalvelunkäyttäjätunnuksiinkohdistuvienuhkientunnistaminenazuresent