Einführung in Sigma Sigma, entwickelt von Florian Roth und Thomas Patzke, ist ein Open-Source-Projekt zur Erstellung eines generischen Signaturformats für SIEM-Systeme. Die gängige Analogie besagt, dass Sigma das Logdatei-Äquivalent zu dem ist, was Snort für IDS und YARA für dateibasierte Malware-Erkennung darstellt. Im Gegensatz zu Snort und Yara muss jedoch die Unterstützung für Sigma nicht […]
Fast alle ArcSight-Anfänger stehen vor der Situation, dass eine hohe eingehende EPS von den Protokollquellen vorliegt, insbesondere wenn dies kritisch für die Lizenzgrenzen ist oder Leistungsprobleme verursacht. Um die eingehende EPS zu reduzieren, bietet ArcSight zwei einheimische Methoden zur Ereignisverarbeitung: Ereignisaggregation und Filterung. In diesem Artikel werde ich versuchen zu erklären, wie man die eingehende […]
Im vorherigen Artikel haben wir untersucht Zusätzliche Datenfelder und wie man sie verwendet. Aber was, wenn Ereignisse nicht die benötigten/erforderlichen/notwendigen Informationen selbst in den zusätzlichen Datenfeldern enthalten? Sie können immer auf die Situation stoßen, in der Ereignisse in ArcSight nicht alle benötigten Informationen für Analysten enthalten. Zum Beispiel Benutzer-ID statt Benutzername, Host-ID statt Hostname usw. […]
Jeder, der jemals einen einzelnen ArcSight SmartConnector installiert hat, kennt das Kapitel ‚Zuordnung von Gerätereignissen zu ArcSight-Feldern‘ im Installationshandbuch, in dem Informationen zur Zuordnung gerätespezifischer Felder zum ArcSight-Ereignisschema zu finden sind. Es ist ein wesentliches Kapitel für Analysten, oder? Sicherlich haben Sie bemerkt, dass es für einige SmartConnectors ‚Zusätzliche Daten‘-Felder gibt. Zum Beispiel:Woher kommen sie? […]
Anfänger und erfahrene Benutzer von ArcSight stehen sehr oft vor der Situation, dass sie in einem Use Case die Active List automatisch leeren müssen. Es könnte sich um folgendes Szenario handeln: die heutigen Anmeldungen für jeden Benutzer in Echtzeit zählen oder einige Zähler zurücksetzen, die sich zu einem bestimmten Zeitpunkt in der Active List befinden.
Was, wenn ich einen neuen Use Case bereitgestellt oder entworfen habe und wissen möchte, ob mein Unternehmen in der Vergangenheit der Bedrohung ausgesetzt war? Während der Arbeit mit ArcSight fragen sich viele Leute, ob es eine Möglichkeit gibt, eine historische Korrelation zu realisieren. Sie haben sogar mehrere reale Szenarien dafür. Das erste sind gebündelte Ereignisse, […]
Jeder ArcSight-Benutzer oder Administrator steht vor der Herausforderung, falsche positive Regeltriggers zu erleben, während er einen Bedrohungsnachrichten-Feed in ArcSight einspeist. Dies geschieht meist, wenn Ereignisse aus Bedrohungsquellen nicht von der Regelbedingung ausgeschlossen werden oder der Connector versucht, alle verarbeiteten IP-Adressen und Hostnamen aufzulösen.
Am 24.11.2016 veranstaltete SOC Prime, Inc die erste internationale Konferenz zur Cybersicherheit „Cyber For All“ in Kiew, Ukraine. Mitarbeiter von SOC Prime und Geschäftspartner hielten Präsentationen, und mehrere Kunden berichteten über ihre erfolgreichen Erfahrungen mit den Produkten von SOC Prime. Die Konferenz wurde hauptsächlich von Vertretern der Telekommunikations- und Finanzwirtschaft der Ukraine besucht. Kiew war […]