Ziel dieses Blogs ist es, die Notwendigkeit von manuellen (nicht alarmbasierten) Analysemethoden im Threat Hunting zu erklären. Ein Beispiel für eine effektive manuelle Analyse mittels Aggregationen/Stack Counting wird bereitgestellt. Automatisierung ist notwendig Automatisierung ist absolut entscheidend und als Threat Hunter müssen wir dort, wo es möglich ist, so viel wie möglich automatisieren. Allerdings basiert Automatisierung […]
Einführung in Sigma Sigma, entwickelt von Florian Roth und Thomas Patzke, ist ein Open-Source-Projekt zur Erstellung eines generischen Signaturformats für SIEM-Systeme. Die gängige Analogie besagt, dass Sigma das Logdatei-Äquivalent zu dem ist, was Snort für IDS und YARA für dateibasierte Malware-Erkennung darstellt. Im Gegensatz zu Snort und Yara muss jedoch die Unterstützung für Sigma nicht […]
Hallo. Im letzten Artikel haben wir betrachtet Regeln erstellen, und heute möchte ich die Methode beschreiben, die SIEM-Administratoren helfen wird, schneller auf mögliche Sicherheitsvorfälle zu reagieren. Beim Umgang mit Informationssicherheitsvorfällen in QRadar ist es äußerst wichtig, die Arbeitsgeschwindigkeit von Operatoren und Analysten im SOC zu erhöhen. Die Nutzung von integrierten Tools bietet viele Möglichkeiten, aber […]
Im vorherigen Artikel habe ich gezeigt, wie man ein einfaches Dashboard erstellt, das die Zugänglichkeit von Quellen in Splunk überwacht. Heute möchte ich Ihnen zeigen, wie Sie jede Tabelle im Dashboard offensichtlicher und bequemer gestalten können. Schauen wir auf meinen letzten Artikel und fahren wir fort, die Funktionalität der Tabelle, die ich als Ergebnis mit […]
In meinem vorherigen Artikel schrieb ich über wie man seinen IBM QRadar aktualisiert. Aber die korrekte Funktionsweise eines beliebigen SIEM ist nicht nur die Aktualisierung des Builds oder die Sammlung und Speicherung von Ereignissen aus verschiedenen Datenquellen. Die Hauptaufgabe eines SIEM ist das Erkennen von Sicherheitsvorfällen. Der Anbieter stellt vorkonfigurierte Erkennungsregeln für IBM QRadar zur […]
Der effiziente Betrieb eines SIEM hängt direkt davon ab, erkannte Schwachstellen und Probleme in seiner Funktionsweise zu beheben. Die primäre Methode hierfür ist das Aktualisieren des Systems auf die neueste Version. Updates können die Behebung von Sicherheitsproblemen, die Einführung neuer Funktionen, die Verbesserung der Systemleistung, Patches und so weiter umfassen. In meinem jüngsten Artikel haben […]
Fast alle ArcSight-Anfänger stehen vor der Situation, dass eine hohe eingehende EPS von den Protokollquellen vorliegt, insbesondere wenn dies kritisch für die Lizenzgrenzen ist oder Leistungsprobleme verursacht. Um die eingehende EPS zu reduzieren, bietet ArcSight zwei einheimische Methoden zur Ereignisverarbeitung: Ereignisaggregation und Filterung. In diesem Artikel werde ich versuchen zu erklären, wie man die eingehende […]
Im vorherigen Artikel haben wir untersucht Zusätzliche Datenfelder und wie man sie verwendet. Aber was, wenn Ereignisse nicht die benötigten/erforderlichen/notwendigen Informationen selbst in den zusätzlichen Datenfeldern enthalten? Sie können immer auf die Situation stoßen, in der Ereignisse in ArcSight nicht alle benötigten Informationen für Analysten enthalten. Zum Beispiel Benutzer-ID statt Benutzername, Host-ID statt Hostname usw. […]
Bei der Arbeit mit SIEM stoßen Sie irgendwann auf eine Situation, in der Ihr Tool aktualisiert werden muss, um die neueste Version zu erhalten, in ein anderes Rechenzentrum verlegt oder zu einer produktiveren Installation migriert werden muss. Ein integraler Bestandteil davon ist die Erstellung von Backups und der anschließende Transfer von Daten, Konfigurationen oder benutzerdefinierten […]
Einfache Integration hilft bei der Suche nach bösartigen Prozessen Grüße an alle! Lassen Sie uns weiterhin Splunk in ein multifunktionales Tool verwandeln, das schnell jede Bedrohung erkennen kann. In meinem letzten Artikel habe ich beschrieben, wie man Korrelationsevents mit Alerts erstellt. Jetzt erzähle ich Ihnen, wie man eine einfache Integration mit der VirusTotal-Datenbank herstellt. Viele […]