Einführung Viele Blue Teams nutzen MITRE ATT&CK, um ihre Erkennungs- und Reaktionsfähigkeit zu verbessern. Die Werkzeugsammlung der Blue Teams, bestehend aus EDR-Tools, Ereignisprotokollen und Triage-Tools, eröffnet die Geschichte dessen, was auf Endpunkten geschieht. Anomalien sind jedoch normal und diese Warnungen und Datenquellen müssen triagiert werden, um die Reaktionsmaßnahmen oder das Filtern fortzusetzen. Das ATT&CK-Projekt bietet […]
Tägliche Herausforderungen des CFO in einem Cybersicherheitsunternehmen
Ich arbeite seit der Gründung des Unternehmens im Jahr 2015 für die Firma und in dieser Zeit hat sich SOC Prime von einem kleinen Startup zu einem schnell wachsenden internationalen Unternehmen entwickelt. Unsere Mitarbeiter wachsen auch professionell, um mit dem Entwicklungstempo Schritt zu halten. Für jeden von uns brachte die Arbeit bei SOC Prime unerwartete […]
Proaktive Erkennungsinhalte: CVE-2019-0708 vs ATT&CK, Sigma, Elastic und ArcSight
Ich denke, dass sich der Großteil der Sicherheitsgemeinschaft darauf geeinigt hat, dass die CVE-2019-0708-Schwachstelle von kritischer Priorität ist, um behandelt zu werden. Und während der Satz „Patcht eure Systeme!“ wie das Erste klingt, woran man denken sollte, sind die Erinnerungen an WannaCry und NotPetya noch frisch. Wir wissen, dass das Patchen nicht mit der Geschwindigkeit […]
Sigma-Regeln Handbuch für ArcSight
Einführung in Sigma Sigma, entwickelt von Florian Roth und Thomas Patzke, ist ein Open-Source-Projekt zur Erstellung eines generischen Signaturformats für SIEM-Systeme. Die gängige Analogie besagt, dass Sigma das Logdatei-Äquivalent zu dem ist, was Snort für IDS und YARA für dateibasierte Malware-Erkennung darstellt. Im Gegensatz zu Snort und Yara muss jedoch die Unterstützung für Sigma nicht […]
Die Theorie und Realität des SIEM-ROI
Über SIEM wird viel geschrieben, doch meine persönliche Erfahrung mit diesen wunderbaren Werkzeugen begann bereits im Jahr 2007. Heute ist die Technologie selbst über 18 Jahre alt und der SIEM-Markt ist in jeder Hinsicht reif. Zusammen mit Kunden, dem Team und Partnern hatte ich das Privileg, aktiv an mehr als hundert SIEM-Projekten weltweit teilzunehmen. Gemeinsam […]
Stealthphish-Untersuchung: 528 Domains in BEC-Angriff auf Fortune-500-Unternehmen verwickelt
Vor etwa einer Woche erhielten wir von einem unserer Partner die Nachricht: „Wir sehen Phishing-E-Mails, die in unserer Umgebung herumfliegen (intern zu intern)“, zusammen mit einem E-Mail-Beispiel. Heute werden wir die jüngsten Phishing-Angriffe analysieren, die auf Fortune 500- und Global 2000-Unternehmen abzielen, die als „Stealthphish“ bekannt sind und darauf abzielen, geschäftliche E-Mails (BEC) zu gefährden […]
Integration von QRadar mit VirusTotal
Hallo. Im letzten Artikel haben wir betrachtet Regeln erstellen, und heute möchte ich die Methode beschreiben, die SIEM-Administratoren helfen wird, schneller auf mögliche Sicherheitsvorfälle zu reagieren. Beim Umgang mit Informationssicherheitsvorfällen in QRadar ist es äußerst wichtig, die Arbeitsgeschwindigkeit von Operatoren und Analysten im SOC zu erhöhen. Die Nutzung von integrierten Tools bietet viele Möglichkeiten, aber […]
Splunk. Wie man Zeilen in Tabellen basierend auf Bedingungen färbt.
Im vorherigen Artikel habe ich gezeigt, wie man ein einfaches Dashboard erstellt, das die Zugänglichkeit von Quellen in Splunk überwacht. Heute möchte ich Ihnen zeigen, wie Sie jede Tabelle im Dashboard offensichtlicher und bequemer gestalten können. Schauen wir auf meinen letzten Artikel und fahren wir fort, die Funktionalität der Tabelle, die ich als Ergebnis mit […]
Aktive Listen in ArcSight, automatische Bereinigung. Teil 2
Eine sehr häufige Aufgabe für alle ArcSight-Content-Entwickler ist das regelmäßige oder bedarfsorientierte, automatische Bereinigen von aktiven Listen. Im vorherigen Beitrag habe ich beschrieben, wie man Active Lists auf planmäßiger Basis mit Trends bereinigt: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Heute zeige ich Ihnen zwei weitere Möglichkeiten, wie dies erreicht werden kann. Automatisches Bereinigen von Active Lists basierend auf Befehlszeilenbefehlen auf dem […]
Erstellung eines einfachen Dashboards zur Überwachung der Erreichbarkeit von Quellen in Splunk
Im vorherigen Artikel haben wir die Verwendung des Depends-Panels untersucht, um praktische Visualisierungen in Dashboards zu erstellen. Wenn Sie es verpasst haben, folgen Sie dem Link: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Viele Menschen, die beginnen, Splunk zu studieren, haben Fragen zur Überwachung der Verfügbarkeit eingehender Daten: wann die Daten das letzte Mal aus einer bestimmten Quelle kamen, wann die Daten […]