Hallo. Im letzten Artikel haben wir betrachtet Regeln erstellen, und heute möchte ich die Methode beschreiben, die SIEM-Administratoren helfen wird, schneller auf mögliche Sicherheitsvorfälle zu reagieren. Beim Umgang mit Informationssicherheitsvorfällen in QRadar ist es äuĂźerst wichtig, die Arbeitsgeschwindigkeit von Operatoren und Analysten im SOC zu erhöhen. Die Nutzung von integrierten Tools bietet viele Möglichkeiten, aber […]
Splunk. Wie man Zeilen in Tabellen basierend auf Bedingungen färbt.
Im vorherigen Artikel habe ich gezeigt, wie man ein einfaches Dashboard erstellt, das die Zugänglichkeit von Quellen in Splunk ĂĽberwacht. Heute möchte ich Ihnen zeigen, wie Sie jede Tabelle im Dashboard offensichtlicher und bequemer gestalten können. Schauen wir auf meinen letzten Artikel und fahren wir fort, die Funktionalität der Tabelle, die ich als Ergebnis mit […]
Aktive Listen in ArcSight, automatische Bereinigung. Teil 2
Eine sehr häufige Aufgabe fĂĽr alle ArcSight-Content-Entwickler ist das regelmäßige oder bedarfsorientierte, automatische Bereinigen von aktiven Listen. Im vorherigen Beitrag habe ich beschrieben, wie man Active Lists auf planmäßiger Basis mit Trends bereinigt: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Heute zeige ich Ihnen zwei weitere Möglichkeiten, wie dies erreicht werden kann. Automatisches Bereinigen von Active Lists basierend auf Befehlszeilenbefehlen auf dem […]
Erstellung eines einfachen Dashboards zur Ăśberwachung der Erreichbarkeit von Quellen in Splunk
Im vorherigen Artikel haben wir die Verwendung des Depends-Panels untersucht, um praktische Visualisierungen in Dashboards zu erstellen. Wenn Sie es verpasst haben, folgen Sie dem Link: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Viele Menschen, die beginnen, Splunk zu studieren, haben Fragen zur Ăśberwachung der VerfĂĽgbarkeit eingehender Daten: wann die Daten das letzte Mal aus einer bestimmten Quelle kamen, wann die Daten […]
Erstellen von Regeln in IBM QRadar
In meinem vorherigen Artikel schrieb ich ĂĽber wie man seinen IBM QRadar aktualisiert. Aber die korrekte Funktionsweise eines beliebigen SIEM ist nicht nur die Aktualisierung des Builds oder die Sammlung und Speicherung von Ereignissen aus verschiedenen Datenquellen. Die Hauptaufgabe eines SIEM ist das Erkennen von Sicherheitsvorfällen. Der Anbieter stellt vorkonfigurierte Erkennungsregeln fĂĽr IBM QRadar zur […]
Verwendung von Depends-Panels in Splunk zur Erstellung praktischer Drilldowns
Im vorherigen Artikel haben wir eine einfache Integration mit externen Webressourcen mithilfe von Drilldowns untersucht. Wenn Sie ihn verpasst haben, folgen Sie dem Link: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Heute machen wir uns mit einer weiteren interessanten Variante von Drilldowns in Splunk vertraut: der Verwendung von Abhängigkeits-Panels. Abhängigkeits-Panels in Splunk: eine interessante Möglichkeit, Drilldowns in Dashboards zu verwenden Sehr oft […]
Sicherheitswarnung. Bad Rabbit Ransomware-Wurm.
Die Forschung basiert auf der Analyse von OSINT-Beweisen, lokalen Beweisen, Feedback von Angriffsopfern und der MITRE ATT&CK-Methodik, die fĂĽr die Attribution von Akteuren verwendet wird. SOC Prime möchte unabhängigen Sicherheitsforschern und spezialisierten Sicherheitsfirmen danken, die die Reverse-Engineering-Berichte und Angriffsanalysen auf öffentlichen Quellen und ihren Unternehmensblogs geteilt haben. Auf unserer Seite teilen wir diesen TTP-Attributions-Bedrohungsbericht sowie […]
Aktualisierung von IBM QRadar
Der effiziente Betrieb eines SIEM hängt direkt davon ab, erkannte Schwachstellen und Probleme in seiner Funktionsweise zu beheben. Die primäre Methode hierfĂĽr ist das Aktualisieren des Systems auf die neueste Version. Updates können die Behebung von Sicherheitsproblemen, die EinfĂĽhrung neuer Funktionen, die Verbesserung der Systemleistung, Patches und so weiter umfassen. In meinem jĂĽngsten Artikel haben […]
ArcSight. Optimierung von EPS (Aggregation und Filterung)
Fast alle ArcSight-Anfänger stehen vor der Situation, dass eine hohe eingehende EPS von den Protokollquellen vorliegt, insbesondere wenn dies kritisch fĂĽr die Lizenzgrenzen ist oder Leistungsprobleme verursacht. Um die eingehende EPS zu reduzieren, bietet ArcSight zwei einheimische Methoden zur Ereignisverarbeitung: Ereignisaggregation und Filterung. In diesem Artikel werde ich versuchen zu erklären, wie man die eingehende […]
Veranstaltungen mit zusätzlichen Daten anreichern
Im vorherigen Artikel haben wir untersucht Zusätzliche Datenfelder und wie man sie verwendet. Aber was, wenn Ereignisse nicht die benötigten/erforderlichen/notwendigen Informationen selbst in den zusätzlichen Datenfeldern enthalten? Sie können immer auf die Situation stoĂźen, in der Ereignisse in ArcSight nicht alle benötigten Informationen fĂĽr Analysten enthalten. Zum Beispiel Benutzer-ID statt Benutzername, Host-ID statt Hostname usw. […]