Processing of Notifications Produced by Intrusion Detection Systems in CERN’s Security Operations Centre

Abstract

This thesis focuses on the implementation of an application processing notifications produced by intrusion detection systems. Notifications are produced upon detection of a known indicator of compromise in the network traffic between CERN’s internal network and the internet. The enrichment is a part of CERN’s security operations centre, and should provide the data analyst a better, more informative and correct overview of the incident in question. The application retrieves notifications from a time window, processes them by inflating fields to contain data about involved devices and information about the threats that are linked to this indicator of compromise. Finally the notifications are aggregated and sent to the relevant persons by email.

Avhandlingen omhandler utvikling av an applikasjon for å behandle varslinger produsert av inntrengningsdetekterende programvare. Varslingene oppstår når kjente indikatorer på inntrengning detekteres i nettverkstrafikken mellom CERNs interne nettverk og internet. Berikelsen er en del av CERNs operasjonssenter for informasjonssikkerhet, og skal gi behandleren av varslingene et bedre, mer informativt og korrekt overblikk av hendelsen. Applikasjonen henter varslinger i en gitt tidsperiode, behandler de ved å inkludere data som enheter involvert og hvilke trusler som er koblet til denne indikatoren. Til slutt blir varslingene gruppert og sendt som email til de rette personene.