Bei der Arbeit mit SIEM stoĂźen Sie irgendwann auf eine Situation, in der Ihr Tool aktualisiert werden muss, um die neueste Version zu erhalten, in ein anderes Rechenzentrum verlegt oder zu einer produktiveren Installation migriert werden muss. Ein integraler Bestandteil davon ist die Erstellung von Backups und der anschlieĂźende Transfer von Daten, Konfigurationen oder benutzerdefinierten […]
Einfache VirusTotal-Integration mit Splunk-Dashboards
Einfache Integration hilft bei der Suche nach bösartigen Prozessen GrĂĽĂźe an alle! Lassen Sie uns weiterhin Splunk in ein multifunktionales Tool verwandeln, das schnell jede Bedrohung erkennen kann. In meinem letzten Artikel habe ich beschrieben, wie man Korrelationsevents mit Alerts erstellt. Jetzt erzähle ich Ihnen, wie man eine einfache Integration mit der VirusTotal-Datenbank herstellt. Viele […]
DNSmasq kann einen Cyberangriff größer als WannaCry und Mirai entfachen
Gute Nachrichten, alle zusammen! Es sind jetzt 10 Tage vergangen, seit Google Security 7 kritische SicherheitslĂĽcken zusammen mit Exploit-Beispielcode fĂĽr den beliebten dnsmasq-Dienst veröffentlicht hat, und die Welt lebt immer noch, wie wir sie kennen. Wie lange wird das anhalten? Wenn wir uns auf den WannaCry-Ausbruch beziehen, dauert es eine Weile von der Veröffentlichung des […]
Ereignisfilterung in IBM QRadar
Bei der Konfiguration eines SIEM-Tools (einschlieĂźlich IBM QRadar) treffen Administratoren oft die falsche Entscheidung: „Schicken wir alle Logs an das SIEM und schauen dann, was wir damit machen.“ Solche MaĂźnahmen fĂĽhren meist zu enormer Lizenznutzung, hoher Arbeitslast fĂĽr das SIEM-Tool, Auftreten einer Cache-Warteschlange und manchmal zum Verlust von Ereignissen. Dies fĂĽhrt dazu, dass das SIEM […]
Vermögenswerte und Beschreibung kritischer Infrastrukturobjekte
Bei der Implementierung und Nutzung von IBM QRadar stellen die Benutzer häufig folgende Fragen: Was sind Assets? WofĂĽr werden sie benötigt? Was können wir mit ihnen tun? Wie kann man das AusfĂĽllen des Asset-Modells automatisieren? ‚Assets‘ ist ein Modell, das die Infrastruktur beschreibt und dem IBM QRadar-System ermöglicht, unterschiedlich auf die Ereignisse zu reagieren, die […]
Erstellung von Korrelationsereignissen in Splunk mithilfe von Alerts
Viele SIEM-Nutzer stellen eine Frage: Wie unterscheiden sich die SIEM-Tools von Splunk und HPE ArcSight? ArcSight-Nutzer sind zuversichtlich, dass Korrelationsereignisse in ArcSight ein gewichtiges Argument fĂĽr die Nutzung dieses SIEM sind, da Splunk diese Ereignisse nicht hat. Lassen Sie uns diesen Mythos zerstören. Splunk hat viele Möglichkeiten, Ereignisse zu korrelieren. In diesem Artikel werden wir […]
Zusätzliche Daten in ArcSight ESM
Jeder, der jemals einen einzelnen ArcSight SmartConnector installiert hat, kennt das Kapitel ‚Zuordnung von Gerätereignissen zu ArcSight-Feldern‘ im Installationshandbuch, in dem Informationen zur Zuordnung gerätespezifischer Felder zum ArcSight-Ereignisschema zu finden sind. Es ist ein wesentliches Kapitel fĂĽr Analysten, oder? Sicherlich haben Sie bemerkt, dass es fĂĽr einige SmartConnectors ‚Zusätzliche Daten‘-Felder gibt. Zum Beispiel:Woher kommen sie? […]
Was ist Netzwerkhierarchie und wie nutzt man sie in IBM QRadar
Netzwerkhierarchie ist eine Beschreibung des internen Modells des Netzwerks einer Organisation. Das Netzwerkmodell ermöglicht es Ihnen, alle internen Segmente des Netzwerks zu beschreiben, einschlieĂźlich Serversegment, DMZ, Benutzersegment, WLAN usw. Diese Daten sind notwendig, um die Daten der registrierten Vorfälle anzureichern; Sie können die Netzwerkmodelldaten in Regeln, Suchen, Filtern und Berichten verwenden und sie sind auch […]
Aktive Listen in ArcSight, automatische Bereinigung. Teil 1
Anfänger und erfahrene Benutzer von ArcSight stehen sehr oft vor der Situation, dass sie in einem Use Case die Active List automatisch leeren müssen. Es könnte sich um folgendes Szenario handeln: die heutigen Anmeldungen für jeden Benutzer in Echtzeit zählen oder einige Zähler zurücksetzen, die sich zu einem bestimmten Zeitpunkt in der Active List befinden.
Historische Korrelation
Was, wenn ich einen neuen Use Case bereitgestellt oder entworfen habe und wissen möchte, ob mein Unternehmen in der Vergangenheit der Bedrohung ausgesetzt war? Während der Arbeit mit ArcSight fragen sich viele Leute, ob es eine Möglichkeit gibt, eine historische Korrelation zu realisieren. Sie haben sogar mehrere reale Szenarien dafĂĽr. Das erste sind gebĂĽndelte Ereignisse, […]