UNITesi

The Cybersecurity in a company is increasingly felt due to the progressive computerization concerning the collection and storage of sensitive data and information on production, development of patents and projects, internal operators, and customers. A first aspect is represented by their safe conservation, given that sometimes some external administrations, such as the Revenue Agency and banks, may request their supply. Another equally important aspect is linked to the use of data aimed at improving the production and management of the company. Finally, there is the need to protect the corporate IT network from internal and/or external attacks that can seriously compromise the functionality of corporate processes. SIEM – Security Information and Event management – is a software for the security of IT infrastructures in a company network. This system controls the access to machines and services in the Active Directory environment within the corporate network, by both internal and external users, and it is currently the most widely used management system at international level. This paper describes in detail the SIEM implementation work carried out at the company Cornaglia S.p.a. during the internship. The software chosen to create the SIEM server is ManageEngine because of the possibilities offered in terms of configuration. In fact, it was able to integrate itself with a particularly complex business context such as the one inside the company where the internship was held. There are three software modules chosen, represented by Eventlog Analyser, ADaudit Plus and ADmanager Plus. The first module deals with real-time data collection from three different categories of network objects: servers and hosts; switch-level equipment; firewalls. The second module collects and tracks audits coming exclusively from the Active Directory, such as user logins, tickets, accesses to services, changes to GPOs - Group Policy Objects -. The third module deals with the managerial management of objects within the Active Directory using LDAP protocol. The configuration of these modules has highlighted anomalies at the network level, regarding failed log-in attempts, coming from the administrator and root accounts. These problems were overcome through data collection and interpolation which brought to highlight a series of vulnerabilities concerning an internal server used by external users, accessible via the web. The solution adopted was to intervene on the server by introducing a specific patch.

Il problema della sicurezza informatica a livello aziendale è sempre più sentito a causa della progressiva informatizzazione riguardante la raccolta e la conservazione di dati sensibili e informazioni sulla produzione, lo sviluppo di brevetti e progetti, gli operatori interni, i clienti. Un aspetto fondamentale è rappresentato dalla loro conservazione in modo sicuro, tenuto conto che in particolari circostanze alcune amministrazioni esterne, quali Agenzia delle Entrate e banche, possono richiedere la loro fornitura. Un altro aspetto altrettanto importante è legato all’utilizzo dei dati finalizzato al miglioramento dell’organizzazione produttiva e gestionale interna all’azienda. Infine, vi è l’esigenza di proteggere la rete informatica aziendale da attacchi interni e/o esterni che possono compromettere in modo pesante la funzionalità dei processi aziendali. SIEM – Security Information and Event management – costituisce un software per la sicurezza delle infrastrutture informatiche nel network di un’azienda. Questo sistema controlla all’interno della rete aziendale gli accessi alle macchine e ai servizi in ambiente Active Directory, da parte sia di utenti interni che esterni, e rappresenta al momento il sistema manageriale più utilizzato a livello internazionale. Il presente elaborato descrive dettagliatamente il lavoro di implementazione del SIEM, svolto presso l’azienda Cornaglia S.p.a. nel corso dello stage. Il software scelto per realizzare il SIEM è quello della ManageEngine per le possibilità offerte in termini di configurazione, in grado di integrarsi con un contesto aziendale particolarmente articolato quale quello dell’azienda sede del tirocinio. I moduli del software prescelti sono tre, rappresentati da Eventlog Analyser, ADaudit Plus e ADmanager Plus. Il primo modulo si occupa della raccolta dati in tempo reale provenienti da tre diverse categorie di oggetti della rete: server e host; apparati a livello di switch; firewall. Il secondo modulo raccoglie e tiene traccia degli audit provenienti esclusivamente dall’Active Directory, quali log-in degli utenti, ticket, accesso a servizi, modifiche alle GPO – Group Policy Object –. Il terzo modulo si occupa della gestione manageriale degli oggetti all’interno dell’Active Directory tramite protocollo LDAP. La configurazione dei suddetti moduli ha evidenziato anomalie a livello di rete, riguardanti tentativi di log-in falliti, provenienti da account administrator e root. A tali problemi si è ovviato attraverso una raccolta dati e un’interpolazione che ha portato alla luce una serie di vulnerabilità riguardanti un server interno adibito a servizi verso l’esterno della rete, accessibili via web. La soluzione adottata è stata quella intervenire sul server introducendo una patch specifica.

SIEM per il monitoraggio rete aziendale in ambiente Active Directory

JANNON, ALBERTO
2021/2022

Abstract

Il problema della sicurezza informatica a livello aziendale è sempre più sentito a causa della progressiva informatizzazione riguardante la raccolta e la conservazione di dati sensibili e informazioni sulla produzione, lo sviluppo di brevetti e progetti, gli operatori interni, i clienti. Un aspetto fondamentale è rappresentato dalla loro conservazione in modo sicuro, tenuto conto che in particolari circostanze alcune amministrazioni esterne, quali Agenzia delle Entrate e banche, possono richiedere la loro fornitura. Un altro aspetto altrettanto importante è legato all’utilizzo dei dati finalizzato al miglioramento dell’organizzazione produttiva e gestionale interna all’azienda. Infine, vi è l’esigenza di proteggere la rete informatica aziendale da attacchi interni e/o esterni che possono compromettere in modo pesante la funzionalità dei processi aziendali. SIEM – Security Information and Event management – costituisce un software per la sicurezza delle infrastrutture informatiche nel network di un’azienda. Questo sistema controlla all’interno della rete aziendale gli accessi alle macchine e ai servizi in ambiente Active Directory, da parte sia di utenti interni che esterni, e rappresenta al momento il sistema manageriale più utilizzato a livello internazionale. Il presente elaborato descrive dettagliatamente il lavoro di implementazione del SIEM, svolto presso l’azienda Cornaglia S.p.a. nel corso dello stage. Il software scelto per realizzare il SIEM è quello della ManageEngine per le possibilità offerte in termini di configurazione, in grado di integrarsi con un contesto aziendale particolarmente articolato quale quello dell’azienda sede del tirocinio. I moduli del software prescelti sono tre, rappresentati da Eventlog Analyser, ADaudit Plus e ADmanager Plus. Il primo modulo si occupa della raccolta dati in tempo reale provenienti da tre diverse categorie di oggetti della rete: server e host; apparati a livello di switch; firewall. Il secondo modulo raccoglie e tiene traccia degli audit provenienti esclusivamente dall’Active Directory, quali log-in degli utenti, ticket, accesso a servizi, modifiche alle GPO – Group Policy Object –. Il terzo modulo si occupa della gestione manageriale degli oggetti all’interno dell’Active Directory tramite protocollo LDAP. La configurazione dei suddetti moduli ha evidenziato anomalie a livello di rete, riguardanti tentativi di log-in falliti, provenienti da account administrator e root. A tali problemi si è ovviato attraverso una raccolta dati e un’interpolazione che ha portato alla luce una serie di vulnerabilità riguardanti un server interno adibito a servizi verso l’esterno della rete, accessibili via web. La soluzione adottata è stata quella intervenire sul server introducendo una patch specifica.
INFORMATICA
INFORMATICA
ITA
The Cybersecurity in a company is increasingly felt due to the progressive computerization concerning the collection and storage of sensitive data and information on production, development of patents and projects, internal operators, and customers. A first aspect is represented by their safe conservation, given that sometimes some external administrations, such as the Revenue Agency and banks, may request their supply. Another equally important aspect is linked to the use of data aimed at improving the production and management of the company. Finally, there is the need to protect the corporate IT network from internal and/or external attacks that can seriously compromise the functionality of corporate processes. SIEM – Security Information and Event management – is a software for the security of IT infrastructures in a company network. This system controls the access to machines and services in the Active Directory environment within the corporate network, by both internal and external users, and it is currently the most widely used management system at international level. This paper describes in detail the SIEM implementation work carried out at the company Cornaglia S.p.a. during the internship. The software chosen to create the SIEM server is ManageEngine because of the possibilities offered in terms of configuration. In fact, it was able to integrate itself with a particularly complex business context such as the one inside the company where the internship was held. There are three software modules chosen, represented by Eventlog Analyser, ADaudit Plus and ADmanager Plus. The first module deals with real-time data collection from three different categories of network objects: servers and hosts; switch-level equipment; firewalls. The second module collects and tracks audits coming exclusively from the Active Directory, such as user logins, tickets, accesses to services, changes to GPOs - Group Policy Objects -. The third module deals with the managerial management of objects within the Active Directory using LDAP protocol. The configuration of these modules has highlighted anomalies at the network level, regarding failed log-in attempts, coming from the administrator and root accounts. These problems were overcome through data collection and interpolation which brought to highlight a series of vulnerabilities concerning an internal server used by external users, accessible via the web. The solution adopted was to intervene on the server by introducing a specific patch.
DRAGO, Idilio
IMPORT DA TESIONLINE
Corso di Laurea
File in questo prodotto:
File Dimensione Formato  
860948_tesilaurea_alberto_jannon_deposito.pdf

non disponibili

Tipologia: Altro materiale allegato
Dimensione 3.59 MB
Formato Adobe PDF
3.59 MB Adobe PDF

I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14240/104594