หลักสูตร/ปี พ.ศ. วิศวกรรมศาสตรมหาบัณฑิต สาขาวิชาวิศวกรรมคอมพิวเตอร์ ปี พ.ศ. 2567
ภาคและปีการศึกษาที่สำเร็จการศึกษา ภาคฤดูร้อน ปีการศึกษา 2566
ประเภทโครงงาน
วิทยานิพนธ์
ชื่อโครงงานภาษาไทย
การออกแบบและปรับใช้โครงสร้างหลายผู้เช่าสำหรับ SIEM แบบยืดหยุ่นและขยายขนาดได้
ชื่อโครงงานภาษาอังกฤษ
Designing and Deploying a Multi-Tenant Platform for Resilient and Scalable SIEM (Security Information and Event Management)
ผู้พัฒนา
6414500283 นายวราฤทธิ์ หงษ์กำเนิด
อาจารย์ที่ปรึกษาหลัก
สุรศักดิ์ สงวนพงษ์
อาจารย์ที่ปรึกษาร่วม
พีรวัฒน์ วัฒนพงศ์
บทคัดย่อ
ระบบจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM) ทำหน้าที่รวบรวมและวิเคราะห์ข้อมูลความปลอดภัยจากแหล่งต่าง ๆ เพื่อการตรวจจับและตอบสนองต่อภัยคุกคาม อย่างไรก็ตาม SIEM แบบโอเพ่นซอร์สโดยทั่วไป ยังขาดความสามารถที่จำเป็นสำหรับการให้บริการ MSSP (Managed Security Service Provider) นั่นคือความสามารถในการให้บริการโครงสร้างหลายผู้เช่า (multi-tenant) ซึ่งต้องการการแยกตัวของข้อมูลระหว่างกลุ่มลูกค้าเพื่อลดความเสี่ยงจากข้อมูลรั่วไหล แต่เมื่อให้การแยกตัวของข้อมูลสูง แต่ละระบบย่อยจะบริหารจัดการได้ยาก
นอกจากนี้ การกู้คืนระบบ SIEM เมื่อเกิดปัญหาเป็นสิ่งสำคัญเพื่อรักษาความปลอดภัยอย่างต่อเนื่อง การกู้คืนระบบมีหลายรูปแบบ ตั้งแต่การรีสตาร์ทซอฟต์แวร์ไปจนถึงการรีบูตหรือคืนค่าจากสำเนาสำรอง ในกรณีที่ต้องรีบูตหรือคืนค่า ระบบจำเป็นต้องใช้เวลาในการกู้คืน ทำให้เกิดช่องโหว่ในช่วงเวลาที่ SIEM ไม่สามารถใช้งานได้
วิทยานิพนธ์นี้ได้เสนอสถาปัตยกรรม SIEM ที่มีระดับการแยกตัวสูง โดยปรับใช้กับ Security Onion ซึ่งเป็น SIEM แบบโอเพ่นซอร์ส สถาปัตยกรรมนี้เสนอพร้อมกับระบบบริหารจัดการที่ช่วยให้ผู้ดูแลระบบสามารถจัดการกับสิทธิ์ของผู้ใช้งานได้จากส่วนกลาง นอกจากนี้ จากผลการทดลองพบว่าเมื่อให้บริการแต่ละระบบ SIEM ย่อยด้วย Security Onion แบบ VM มีเรื่องที่ควรคำนึงถึงเมื่อระบบเกิดข้อผิดพลาดที่ไม่สามารถทำงานได้ คือการแย่งใช้งานซีพียู และ I/O จะทำให้กู้คืนระบบได้ช้าลง โดยเฉพาะที่ manager node ที่ต้องการทรัพยากรมากกว่า search node
Abstract
The Security Information and Event Management (SIEM) system collects and analyzes security data from various sources to detect and respond to threats. However, open-source SIEMs often lack certain functionalities essential for Managed Security Service Providers (MSSPs), particularly the ability to serve multiple clients in a multi-tenant environment while ensuring data isolation to prevent data leaks. However, high levels of data isolation can complicate the management of individual subsystems.
Additionally, recovery SIEM systems after a failure is crucial for maintaining continuous security. Recovery methods range from software restarts to reboots or restores from backup images. Rebooting or restoring systems can cause downtime and lead to vulnerabilities.
In this thesis, we propose a SIEM architecture deployed with Security Onion, an open-source SIEM. The architecture is proposed with high data isolation levels and a management system that simplifies the administrators’ task for user permission management. Besides, experimental results indicate that when deploying individual SIEM systems using Security Onion on VMs, resource contention, especially CPU and I/O, can slow down recovery times, particularly to the manager node, which requires more resources than the search nodes.
คำสำคัญ (Keywords)
SIEM
Security Onion
การกู้คืน
โครงสร้างหลายผู้เช่า
เว็บไซต์โครงงาน
-
วีดีโอคลิปของโครงงาน
-
ที่เก็บเวอร์ชันซอร์สโค้ด
-
ผู้นำเข้าข้อมูลครั้งแรก
นายวราฤทธิ์
หงษ์กำเนิด
(g6414500283)
แก้ไขครั้งสุดท้าย
เมื่อ Aug. 15, 2024, 4:43 p.m. โดย
นายวราฤทธิ์
หงษ์กำเนิด
(g6414500283)
สถานะการอนุมัติ
รออนุมัติ