Personal SOC Training Center

AI Quick Summary

Studierende der Hochschule Luzern Informatik im Cyber Security Lehrgang lernen im Verlauf des Studiums viele Techniken und Technologien rund um die Cyber Security kennen.Teilweise bleibt aber die Praxis bzw. die praktische Arbeit mit diesen Technologien auf der Strecke.Um das zu verbessern soll eine einfache, durch jeden Studierenden selbst betreibbare Infrastruktur entwickelt werden, welche abgegeben werden kann und welche sie auf ihren eigenen Notebook bzw. PC betreiben. Studierende der Hochschule Luzern Informatik im Cyber Security Lehrgang lernen im Verlauf des Studiums viele Techniken und Technologien rund um die Cyber Security kennen.Teilweise bleibt aber die Praxis bzw. die praktische Arbeit mit diesen Technologien auf der Strecke.Um das zu verbessern soll eine einfache, durch jeden Studierenden selbst betreibbare Infrastruktur entwickelt werden, welche den Studierenden zur Verfügung gestellt werden kann.Diese Trainingsumgebung soll einerseits aus einer SOC Komponente und andererseits einem zu überwachenden System bestehen. Interaktionen, Events und Alarme auf dem überwachten System fliessen in die Systeme der SOC Komponente ein und können dort weiterverarbeitet und behandelt werden.Folgende Anforderungen sollen erfüllt werden:Die beiden Systeme sind als VM zu realisieren und schlussendlich im OVA Format zur Verfügung stehen.Das SOC System soll neben der Logging/Monitoringkomponente auch IDS und OSSEC Funktionalität aufweisen. Als Grundlage kann z.B. eine massgeschneiderte Version der Distribution "Security Onion" verwendet werden Auf dem SOC System soll via GUI (entweder direkt via VM Oberfläche oder per Browser) Events und Logs angezeigt werden können, Dashboards für die Unterstützung des Analysten sind ebenfalls vorzusehen. Die IDS Komponenten sollen sich mit aktuellen Signaturen versorgen können also muss Internetaccess möglich sein. Das gilt auch für das überwachte System.Grundsätzlich soll die SOC Komponente einem Analysten bei der Bewältigung eines Cybervorfalles auf dem überwachten System unterstützen.Das zu überwachendes System soll alle wichtigen Events (welche das sind ist im Rahmen der Arbeit festzulegen) an das SOC System zur Auswertung schicken. OS ist nicht vorgeschrieben, ebenso sind die auf dem System benötigen Tools und Agents entsprechend auszuwählen und zu konfigurieren.Betrieben werden die VMs vorzugsweise in einer Oracle VirtualBox Umgebung, ggf. kann ein entsprechendes Setup, beispielsweise mit einem entsprechend ausgelegten Netzwerk (Bridged, Host-Only etc.) versehen und definiert werden. Aufgrund der Limitationen sind die beiden Systeme möglichst schlank aufzubauen. Die Studierenden sollten sie auf einem System mit 8Cores und 16GB RAM betreiben können.Es ist ausserdem sicherzustellen, dass das betreibende Hostsystem nicht sicherheitstechnisch tangiert wird oder in Mitleidenschaft gezogen wird sobald man auf der überwachten VM diverse Angriffstaktiken durchspielt.Schlussendlich muss das ganze Setup gut und nachvollziehbar dokumentiert werden, so dass eine Nachbau bzw. zu einem späteren Zeitpunkt anstehende Änderungen leichter implementieren lassen.

Project Idea Metadata

• Project Idea Name: Personal SOC Training Center
• Date: 1/11/2023 2:11:11 PM
• Administrators:
  • Peter Infanger

Project Idea Description

Studierende der Hochschule Luzern Informatik im Cyber Security Lehrgang lernen im Verlauf des Studiums viele Techniken und Technologien rund um die Cyber Security kennen.

Teilweise bleibt aber die Praxis bzw. die praktische Arbeit mit diesen Technologien auf der Strecke.

Um das zu verbessern soll eine einfache, durch jeden Studierenden selbst betreibbare Infrastruktur entwickelt werden, welche den Studierenden zur Verfügung gestellt werden kann.

Diese Trainingsumgebung soll einerseits aus einer SOC Komponente und andererseits einem zu überwachenden System bestehen. Interaktionen, Events und Alarme auf dem überwachten System fliessen in die Systeme der SOC Komponente ein und können dort weiterverarbeitet und behandelt werden.

Folgende Anforderungen sollen erfüllt werden:

Die beiden Systeme sind als VM zu realisieren und schlussendlich im OVA Format zur Verfügung stehen.

Das SOC System soll neben der Logging/Monitoringkomponente auch IDS und OSSEC Funktionalität aufweisen. Als Grundlage kann z.B. eine massgeschneiderte Version der Distribution "Security Onion" verwendet werden

Auf dem SOC System soll via GUI (entweder direkt via VM Oberfläche oder per Browser) Events und Logs angezeigt werden können, Dashboards für die Unterstützung des Analysten sind ebenfalls vorzusehen. Die IDS Komponenten sollen sich mit aktuellen Signaturen versorgen können also muss Internetaccess möglich sein. Das gilt auch für das überwachte System.

Grundsätzlich soll die SOC Komponente einem Analysten bei der Bewältigung eines Cybervorfalles auf dem überwachten System unterstützen.

Das zu überwachendes System soll alle wichtigen Events (welche das sind ist im Rahmen der Arbeit festzulegen) an das SOC System zur Auswertung schicken. OS ist nicht vorgeschrieben, ebenso sind die auf dem System benötigen Tools und Agents entsprechend auszuwählen und zu konfigurieren.

Betrieben werden die VMs vorzugsweise in einer Oracle VirtualBox Umgebung, ggf. kann ein entsprechendes Setup, beispielsweise mit einem entsprechend ausgelegten Netzwerk (Bridged, Host-Only etc.) versehen und definiert werden. Aufgrund der Limitationen sind die beiden Systeme möglichst schlank aufzubauen. Die Studierenden sollten sie auf einem System mit 8Cores und 16GB RAM betreiben können.

Es ist ausserdem sicherzustellen, dass das betreibende Hostsystem nicht sicherheitstechnisch tangiert wird oder in Mitleidenschaft gezogen wird sobald man auf der überwachten VM diverse Angriffstaktiken durchspielt.

Schlussendlich muss das ganze Setup gut und nachvollziehbar dokumentiert werden, so dass eine Nachbau bzw. zu einem späteren Zeitpunkt anstehende Änderungen leichter implementieren lassen.

Studierende der Hochschule Luzern Informatik im Cyber Security Lehrgang lernen im Verlauf des Studiums viele Techniken und Technologien rund um die Cyber Security kennen.

Teilweise bleibt aber die Praxis bzw. die praktische Arbeit mit diesen Technologien auf der Strecke.

Um das zu verbessern soll eine einfache, durch jeden Studierenden selbst betreibbare Infrastruktur entwickelt werden, welche abgegeben werden kann und welche sie auf ihren eigenen Notebook bzw. PC betreiben.