Publicação
Integrating Disparate Security Tools into a Single Splunk Interface
| datacite.subject.fos | Engenharia e Tecnologia::Outras Engenharias e Tecnologias | |
| dc.contributor.advisor | Cordeiro, Paulo Jorge Ferreira Batista Pinheiro | |
| dc.contributor.author | Jerónimo, Alexandre Leal Marques Batista | |
| dc.date.accessioned | 2026-06-24T18:42:07Z | |
| dc.date.available | 2026-06-24T18:42:07Z | |
| dc.date.issued | 2026-06-05 | |
| dc.description.abstract | Security analysts at the host organisation rely on separate platforms for infrastructure management, log source monitoring, vulnerability scanning, email monitoring, and identity verification. Switching between these tools delays investigations and leaves processes such as monthly reporting dependent on manual procedures. USO API is a custom Splunk search command that lets analysts query six operational data domains directly from Splunk’s search interface. Built on a modular architecture, the command is organised into six modules covering managed hosts, vulnerabilities, Splunk health, database connectivity, email processing, and identity records. A centralised tabbed dashboard consolidates every module into a single view. Three companion subsystems extend the solution: one automates compliance reporting with automatic retries on failure; another supports low-noise infrastructure diagnostics through historical baseline comparison; a third adds a privacy-monitoring extension that scans indexed data for personal information. The project shows that a single Splunk search command can give a small security team direct access to five external platforms and one internal data consolidation layer without deploying additional middleware or monitoring infrastructure. The project yields three core transferable engineering contributions, validated within the Splunk environment: a SIEM-centric integration pattern for unified infrastructure querying, a multi-level priority architecture for efficient dashboard loading with staggered searches, and a historical-baseline diagnostics approach that maintained low-noise monitoring whilst reducing reliance on manual calibration. A secondary engineering contribution extends the same platform with a high-throughput patternscanning approach for Personally Identifiable Information (PII) detection within a Security Information and Event Management (SIEM) pipeline. | eng |
| dc.description.abstract | Os analistas de segurança da entidade de acolhimento recorrem a plataformas distintas para gestão de infraestrutura, monitorização de logs, análise de vulnerabilidades, monitorização de correio eletrónico e verificação de identidades. A alternância entre estas ferramentas atrasa as investigações e torna processos como relatórios mensais dependentes de procedimentos manuais. O USO API é um comando de pesquisa Splunk personalizado que permite consultar seis domínios operacionais de dados diretamente a partir da interface de pesquisa do Splunk. Assente numa arquitetura modular, o comando está organizado em seis módulos que abrangem máquinas geridas, vulnerabilidades, instâncias Splunk, conectividade a bases de dados, processamento de correio eletrónico e registos de identidade. Um painel centralizado com separadores reúne todos os módulos numa vista única. Três subsistemas complementares estendem a solução: o primeiro automatiza relatórios de conformidade com repetição automática em caso de falha; o segundo suporta diagnósticos de infraestrutura com baixo ruído através de comparação com histórico; o terceiro acrescenta uma extensão de monitorização de privacidade que deteta dados pessoais em conteúdos indexados. O projeto mostra que um único comando de pesquisa Splunk permite a uma equipa de segurança de pequena dimensão aceder diretamente a cinco plataformas externas e uma camada de consolidação de dados internos sem recorrer a software intermediário ou a infraestruturas de monitorização adicionais. Do trabalho resultam três contribuições centrais de engenharia transferíveis, validadas no ambiente Splunk: um padrão de integração centrado no SIEM para consulta unificada de infraestrutura, uma arquitetura de prioridades multinível para carregamento eficiente de painéis com pesquisas faseadas, e uma abordagem de diagnóstico baseada em histórico que manteve monitorização com baixo ruído e reduziu a dependência de calibração manual. Uma contribuição de engenharia secundária estende a mesma plataforma com uma abordagem de análise intensiva de padrões para deteção de Personally Identifiable Information (PII) num pipeline Security Information and Event Management (SIEM). | por |
| dc.identifier.tid | 204318467 | |
| dc.identifier.uri | http://hdl.handle.net/10400.8/16454 | |
| dc.language.iso | eng | |
| dc.rights.uri | N/A | |
| dc.subject | SIEM | |
| dc.subject | Splunk | |
| dc.subject | Comando de pesquisa personalizado | |
| dc.subject | Integração de infraestrutura | |
| dc.subject | Deteção de anomalias | |
| dc.subject | Automação de conformidade | |
| dc.subject | Deteção de dados pessoais | |
| dc.title | Integrating Disparate Security Tools into a Single Splunk Interface | |
| dc.type | master thesis | |
| dspace.entity.type | Publication |
Ficheiros
Principais
1 - 1 de 1
A carregar...
- Nome:
- 2230467_Integrating Disparate Security Tools into a Single Splunk Interface.pdf
- Tamanho:
- 3.26 MB
- Formato:
- Adobe Portable Document Format
Licença
1 - 1 de 1
Miniatura indisponível
- Nome:
- license.txt
- Tamanho:
- 1.32 KB
- Formato:
- Item-specific license agreed upon to submission
- Descrição: