Tag: Events

Im vorherigen Artikel haben wir untersucht Zusätzliche Datenfelder und wie man sie verwendet. Aber was, wenn Ereignisse nicht die benötigten/erforderlichen/notwendigen Informationen selbst in den zusätzlichen Datenfeldern enthalten? Sie können immer auf die Situation stoßen, in der Ereignisse in ArcSight nicht alle benötigten Informationen für Analysten enthalten. Zum Beispiel Benutzer-ID statt Benutzername, Host-ID statt Hostname usw. […]

Bei der Arbeit mit SIEM stoßen Sie irgendwann auf eine Situation, in der Ihr Tool aktualisiert werden muss, um die neueste Version zu erhalten, in ein anderes Rechenzentrum verlegt oder zu einer produktiveren Installation migriert werden muss. Ein integraler Bestandteil davon ist die Erstellung von Backups und der anschließende Transfer von Daten, Konfigurationen oder benutzerdefinierten […]

Bei der Konfiguration eines SIEM-Tools (einschließlich IBM QRadar) treffen Administratoren oft die falsche Entscheidung: „Schicken wir alle Logs an das SIEM und schauen dann, was wir damit machen.“ Solche Maßnahmen führen meist zu enormer Lizenznutzung, hoher Arbeitslast für das SIEM-Tool, Auftreten einer Cache-Warteschlange und manchmal zum Verlust von Ereignissen. Dies führt dazu, dass das SIEM […]

Viele SIEM-Nutzer stellen eine Frage: Wie unterscheiden sich die SIEM-Tools von Splunk und HPE ArcSight? ArcSight-Nutzer sind zuversichtlich, dass Korrelationsereignisse in ArcSight ein gewichtiges Argument für die Nutzung dieses SIEM sind, da Splunk diese Ereignisse nicht hat. Lassen Sie uns diesen Mythos zerstören. Splunk hat viele Möglichkeiten, Ereignisse zu korrelieren. In diesem Artikel werden wir […]

Was, wenn ich einen neuen Use Case bereitgestellt oder entworfen habe und wissen möchte, ob mein Unternehmen in der Vergangenheit der Bedrohung ausgesetzt war? Während der Arbeit mit ArcSight fragen sich viele Leute, ob es eine Möglichkeit gibt, eine historische Korrelation zu realisieren. Sie haben sogar mehrere reale Szenarien dafür. Das erste sind gebündelte Ereignisse, […]

Alle QRadar-Produkte können in zwei Gruppen unterteilt werden: Versionen vor 7.2.8 und alle neuesten Versionen. In QRadar-Versionen 7.2.8+ werden alle Parsing-Änderungen über die WEB-Konsole durchgeführt. Um ein Parsing-Problem zu beheben, müssen Sie die folgenden Schritte ausführen: Erstellen Sie eine Suche auf der Seite Log-Aktivität in QRadar, wo Sie Ereignisse mit Parsing-Problemen abrufen können. Wählen Sie […]

Ereigniskorrelation spielt eine wichtige Rolle bei der Vorfallerkennung und ermöglicht es uns, uns auf die Ereignisse zu konzentrieren, die für die Geschäftsservices oder IT/Sicherheitsprozesse wirklich relevant sind.