Test av logganalysverktyget SnIPS
Publiceringsdatum: 2016-11-30
Rapportnummer: FOI-R--4323--SE
Sidor: 31
Skriven på: Svenska
Nyckelord:
- Snort
- alarmkorrelation
- logganalys
- cybersäkerhet
- SnIPS
- alarmverifiering
Sammanfattning
Det finns ett stort antal verktyg som ska hjälpa logganalytiker i cyberdomänen att utföra sina uppgifter. Få av dessa har dock testats mot realistisk data och lite är känt om deras effektivitet. Denna rapport beskriver resultatet av ett tekniskt test av verktyget Snort Intrusion Analysis using Proof Strengthening (SnIPS). SnIPS korrelerar larm från den populära säkerhetssensorn Snort för att bedöma om datorer i ett datornätverk har blivit komprometterade. Resultatet visar (1) att de sannolikheter SnIPS producerar för att en dator blivit komprometterad inte är kalibrerade, men korrelerar med faktiska frekvenser, (2) att SnIPS sannolikt skulle stödja logganalytiker i deras analysarbete genom att prioritera händelser och (3) att SnIPS står sig väl jämfört med alternativa tekniker. SnIPS och andra korrelationsverktyg som bygger på samma idé bedöms vara värda att undersöka vidare.