Ziel dieses Blogs ist es, die Notwendigkeit von manuellen (nicht alarmbasierten) Analysemethoden im Threat Hunting zu erklären. Ein Beispiel für eine effektive manuelle Analyse mittels Aggregationen/Stack Counting wird bereitgestellt. Automatisierung ist notwendig Automatisierung ist absolut entscheidend und als Threat Hunter müssen wir dort, wo es möglich ist, so viel wie möglich automatisieren. Allerdings basiert Automatisierung […]
Einführung Viele Blue Teams nutzen MITRE ATT&CK, um ihre Erkennungs- und Reaktionsfähigkeit zu verbessern. Die Werkzeugsammlung der Blue Teams, bestehend aus EDR-Tools, Ereignisprotokollen und Triage-Tools, eröffnet die Geschichte dessen, was auf Endpunkten geschieht. Anomalien sind jedoch normal und diese Warnungen und Datenquellen müssen triagiert werden, um die Reaktionsmaßnahmen oder das Filtern fortzusetzen. Das ATT&CK-Projekt bietet […]
Über SIEM wird viel geschrieben, doch meine persönliche Erfahrung mit diesen wunderbaren Werkzeugen begann bereits im Jahr 2007. Heute ist die Technologie selbst über 18 Jahre alt und der SIEM-Markt ist in jeder Hinsicht reif. Zusammen mit Kunden, dem Team und Partnern hatte ich das Privileg, aktiv an mehr als hundert SIEM-Projekten weltweit teilzunehmen. Gemeinsam […]
Hallo. Im letzten Artikel haben wir betrachtet Regeln erstellen, und heute möchte ich die Methode beschreiben, die SIEM-Administratoren helfen wird, schneller auf mögliche Sicherheitsvorfälle zu reagieren. Beim Umgang mit Informationssicherheitsvorfällen in QRadar ist es äußerst wichtig, die Arbeitsgeschwindigkeit von Operatoren und Analysten im SOC zu erhöhen. Die Nutzung von integrierten Tools bietet viele Möglichkeiten, aber […]
Im vorherigen Artikel habe ich gezeigt, wie man ein einfaches Dashboard erstellt, das die Zugänglichkeit von Quellen in Splunk überwacht. Heute möchte ich Ihnen zeigen, wie Sie jede Tabelle im Dashboard offensichtlicher und bequemer gestalten können. Schauen wir auf meinen letzten Artikel und fahren wir fort, die Funktionalität der Tabelle, die ich als Ergebnis mit […]
Eine sehr häufige Aufgabe für alle ArcSight-Content-Entwickler ist das regelmäßige oder bedarfsorientierte, automatische Bereinigen von aktiven Listen. Im vorherigen Beitrag habe ich beschrieben, wie man Active Lists auf planmäßiger Basis mit Trends bereinigt: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Heute zeige ich Ihnen zwei weitere Möglichkeiten, wie dies erreicht werden kann. Automatisches Bereinigen von Active Lists basierend auf Befehlszeilenbefehlen auf dem […]
Im vorherigen Artikel haben wir die Verwendung des Depends-Panels untersucht, um praktische Visualisierungen in Dashboards zu erstellen. Wenn Sie es verpasst haben, folgen Sie dem Link: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Viele Menschen, die beginnen, Splunk zu studieren, haben Fragen zur Überwachung der Verfügbarkeit eingehender Daten: wann die Daten das letzte Mal aus einer bestimmten Quelle kamen, wann die Daten […]
In meinem vorherigen Artikel schrieb ich über wie man seinen IBM QRadar aktualisiert. Aber die korrekte Funktionsweise eines beliebigen SIEM ist nicht nur die Aktualisierung des Builds oder die Sammlung und Speicherung von Ereignissen aus verschiedenen Datenquellen. Die Hauptaufgabe eines SIEM ist das Erkennen von Sicherheitsvorfällen. Der Anbieter stellt vorkonfigurierte Erkennungsregeln für IBM QRadar zur […]
Im vorherigen Artikel haben wir eine einfache Integration mit externen Webressourcen mithilfe von Drilldowns untersucht. Wenn Sie ihn verpasst haben, folgen Sie dem Link: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Heute machen wir uns mit einer weiteren interessanten Variante von Drilldowns in Splunk vertraut: der Verwendung von Abhängigkeits-Panels. Abhängigkeits-Panels in Splunk: eine interessante Möglichkeit, Drilldowns in Dashboards zu verwenden Sehr oft […]
Der effiziente Betrieb eines SIEM hängt direkt davon ab, erkannte Schwachstellen und Probleme in seiner Funktionsweise zu beheben. Die primäre Methode hierfür ist das Aktualisieren des Systems auf die neueste Version. Updates können die Behebung von Sicherheitsproblemen, die Einführung neuer Funktionen, die Verbesserung der Systemleistung, Patches und so weiter umfassen. In meinem jüngsten Artikel haben […]