In meinem vorherigen Artikel schrieb ich über wie man seinen IBM QRadar aktualisiert. Aber die korrekte Funktionsweise eines beliebigen SIEM ist nicht nur die Aktualisierung des Builds oder die Sammlung und Speicherung von Ereignissen aus verschiedenen Datenquellen. Die Hauptaufgabe eines SIEM ist das Erkennen von Sicherheitsvorfällen. Der Anbieter stellt vorkonfigurierte Erkennungsregeln für IBM QRadar zur […]
Verwendung von Depends-Panels in Splunk zur Erstellung praktischer Drilldowns
Im vorherigen Artikel haben wir eine einfache Integration mit externen Webressourcen mithilfe von Drilldowns untersucht. Wenn Sie ihn verpasst haben, folgen Sie dem Link: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Heute machen wir uns mit einer weiteren interessanten Variante von Drilldowns in Splunk vertraut: der Verwendung von Abhängigkeits-Panels. Abhängigkeits-Panels in Splunk: eine interessante Möglichkeit, Drilldowns in Dashboards zu verwenden Sehr oft […]
Sicherheitswarnung. Bad Rabbit Ransomware-Wurm.
Die Forschung basiert auf der Analyse von OSINT-Beweisen, lokalen Beweisen, Feedback von Angriffsopfern und der MITRE ATT&CK-Methodik, die für die Attribution von Akteuren verwendet wird. SOC Prime möchte unabhängigen Sicherheitsforschern und spezialisierten Sicherheitsfirmen danken, die die Reverse-Engineering-Berichte und Angriffsanalysen auf öffentlichen Quellen und ihren Unternehmensblogs geteilt haben. Auf unserer Seite teilen wir diesen TTP-Attributions-Bedrohungsbericht sowie […]
Aktualisierung von IBM QRadar
Der effiziente Betrieb eines SIEM hängt direkt davon ab, erkannte Schwachstellen und Probleme in seiner Funktionsweise zu beheben. Die primäre Methode hierfür ist das Aktualisieren des Systems auf die neueste Version. Updates können die Behebung von Sicherheitsproblemen, die Einführung neuer Funktionen, die Verbesserung der Systemleistung, Patches und so weiter umfassen. In meinem jüngsten Artikel haben […]
ArcSight. Optimierung von EPS (Aggregation und Filterung)
Fast alle ArcSight-Anfänger stehen vor der Situation, dass eine hohe eingehende EPS von den Protokollquellen vorliegt, insbesondere wenn dies kritisch für die Lizenzgrenzen ist oder Leistungsprobleme verursacht. Um die eingehende EPS zu reduzieren, bietet ArcSight zwei einheimische Methoden zur Ereignisverarbeitung: Ereignisaggregation und Filterung. In diesem Artikel werde ich versuchen zu erklären, wie man die eingehende […]
Veranstaltungen mit zusätzlichen Daten anreichern
Im vorherigen Artikel haben wir untersucht Zusätzliche Datenfelder und wie man sie verwendet. Aber was, wenn Ereignisse nicht die benötigten/erforderlichen/notwendigen Informationen selbst in den zusätzlichen Datenfeldern enthalten? Sie können immer auf die Situation stoßen, in der Ereignisse in ArcSight nicht alle benötigten Informationen für Analysten enthalten. Zum Beispiel Benutzer-ID statt Benutzername, Host-ID statt Hostname usw. […]
Konfiguration, Ereignisse und Content-Backup in IBM QRadar
Bei der Arbeit mit SIEM stoßen Sie irgendwann auf eine Situation, in der Ihr Tool aktualisiert werden muss, um die neueste Version zu erhalten, in ein anderes Rechenzentrum verlegt oder zu einer produktiveren Installation migriert werden muss. Ein integraler Bestandteil davon ist die Erstellung von Backups und der anschließende Transfer von Daten, Konfigurationen oder benutzerdefinierten […]
Einfache VirusTotal-Integration mit Splunk-Dashboards
Einfache Integration hilft bei der Suche nach bösartigen Prozessen Grüße an alle! Lassen Sie uns weiterhin Splunk in ein multifunktionales Tool verwandeln, das schnell jede Bedrohung erkennen kann. In meinem letzten Artikel habe ich beschrieben, wie man Korrelationsevents mit Alerts erstellt. Jetzt erzähle ich Ihnen, wie man eine einfache Integration mit der VirusTotal-Datenbank herstellt. Viele […]
DNSmasq kann einen Cyberangriff größer als WannaCry und Mirai entfachen
Gute Nachrichten, alle zusammen! Es sind jetzt 10 Tage vergangen, seit Google Security 7 kritische Sicherheitslücken zusammen mit Exploit-Beispielcode für den beliebten dnsmasq-Dienst veröffentlicht hat, und die Welt lebt immer noch, wie wir sie kennen. Wie lange wird das anhalten? Wenn wir uns auf den WannaCry-Ausbruch beziehen, dauert es eine Weile von der Veröffentlichung des […]
Ereignisfilterung in IBM QRadar
Bei der Konfiguration eines SIEM-Tools (einschließlich IBM QRadar) treffen Administratoren oft die falsche Entscheidung: „Schicken wir alle Logs an das SIEM und schauen dann, was wir damit machen.“ Solche Maßnahmen führen meist zu enormer Lizenznutzung, hoher Arbeitslast für das SIEM-Tool, Auftreten einer Cache-Warteschlange und manchmal zum Verlust von Ereignissen. Dies führt dazu, dass das SIEM […]