Netzwerkhierarchie ist eine Beschreibung des internen Modells des Netzwerks einer Organisation. Das Netzwerkmodell ermöglicht es Ihnen, alle internen Segmente des Netzwerks zu beschreiben, einschließlich Serversegment, DMZ, Benutzersegment, WLAN usw. Diese Daten sind notwendig, um die Daten der registrierten Vorfälle anzureichern; Sie können die Netzwerkmodelldaten in Regeln, Suchen, Filtern und Berichten verwenden und sie sind auch […]
Aktive Listen in ArcSight, automatische Bereinigung. Teil 1
Anfänger und erfahrene Benutzer von ArcSight stehen sehr oft vor der Situation, dass sie in einem Use Case die Active List automatisch leeren müssen. Es könnte sich um folgendes Szenario handeln: die heutigen Anmeldungen für jeden Benutzer in Echtzeit zählen oder einige Zähler zurücksetzen, die sich zu einem bestimmten Zeitpunkt in der Active List befinden.
Historische Korrelation
Was, wenn ich einen neuen Use Case bereitgestellt oder entworfen habe und wissen möchte, ob mein Unternehmen in der Vergangenheit der Bedrohung ausgesetzt war? Während der Arbeit mit ArcSight fragen sich viele Leute, ob es eine Möglichkeit gibt, eine historische Korrelation zu realisieren. Sie haben sogar mehrere reale Szenarien dafür. Das erste sind gebündelte Ereignisse, […]
Wie man Parsing-Probleme in QRadar ohne technischen Support behebt
Alle QRadar-Produkte können in zwei Gruppen unterteilt werden: Versionen vor 7.2.8 und alle neuesten Versionen. In QRadar-Versionen 7.2.8+ werden alle Parsing-Änderungen über die WEB-Konsole durchgeführt. Um ein Parsing-Problem zu beheben, müssen Sie die folgenden Schritte ausführen: Erstellen Sie eine Suche auf der Seite Log-Aktivität in QRadar, wo Sie Ereignisse mit Parsing-Problemen abrufen können. Wählen Sie […]
TI-Feeds in ArcSight einspielen ohne Fehlalarme auszulösen
Jeder ArcSight-Benutzer oder Administrator steht vor der Herausforderung, falsche positive Regeltriggers zu erleben, während er einen Bedrohungsnachrichten-Feed in ArcSight einspeist. Dies geschieht meist, wenn Ereignisse aus Bedrohungsquellen nicht von der Regelbedingung ausgeschlossen werden oder der Connector versucht, alle verarbeiteten IP-Adressen und Hostnamen aufzulösen.
Einfache Korrelationsszenario für Splunk mit Verwendung von Lookup-Tabellen
Ereigniskorrelation spielt eine wichtige Rolle bei der Vorfallerkennung und ermöglicht es uns, uns auf die Ereignisse zu konzentrieren, die für die Geschäftsservices oder IT/Sicherheitsprozesse wirklich relevant sind.
Petya.A / NotPetya ist eine KI-gestützte Cyberwaffe, TTPs führen zur Sandworm APT-Gruppe
Es war ein heißer Sommer für die Sicherheitsbranche: In weniger als einer Woche seit dem anfänglich verdächtigten Ransomware Petya.A stellte sich heraus, dass sie viel mehr als es auf den ersten Blick scheint. Sicherheitsforscher weltweit haben es zu Recht NotPetya und EternalPetya genannt, da die Malware nie darauf ausgelegt war, ein Lösegeld zu fordern – […]
WannaCry nein mehr: Ransomware-Wurm IOC’s, Tor C2 und technische Analyse + SIEM-Regeln
Gute Neuigkeiten, alle zusammen! Nach einem recht langen Tag, einer Nacht und einem Morgen voller Recherche über die Nachrichten und das Jagen der #WannaCry Ransomware-Wurm gibt es einige Entdeckungen zu berichten. Dazu gehören Host- und Netzwer-IOCs, deren Analyse mit Hilfe von Sicherheitsexperten und Praktikern gewonnen wurde, die Überprüfung der C2-Infrastruktur und deren Interaktionen mit Tor. […]
Internationale Konferenz zur Cybersicherheit Cyber For All
Am 24.11.2016 veranstaltete SOC Prime, Inc die erste internationale Konferenz zur Cybersicherheit „Cyber For All“ in Kiew, Ukraine. Mitarbeiter von SOC Prime und Geschäftspartner hielten Präsentationen, und mehrere Kunden berichteten über ihre erfolgreichen Erfahrungen mit den Produkten von SOC Prime. Die Konferenz wurde hauptsächlich von Vertretern der Telekommunikations- und Finanzwirtschaft der Ukraine besucht. Kiew war […]
Mirai-Botnet-Digest: Bedrohungsübersicht, Analysen und Abhilfemaßnahmen
Ein Zitat eines berühmten Professors „Gute Nachrichten, alle zusammen!“ würde am besten zu den jüngsten Ereignissen passen, als das Internet der Dinge Dinge die Hölle in der gesamten digitalen Welt entfesselt hat, wobei das Mirai-Botnet einer seiner berüchtigten Handlanger ist. Vor kaputten Sarkasmus-Detektoren: Die Situation ist tatsächlich angespannt, angesehene Forscher im Sicherheitsbereich glauben, dass wir […]