Bei der Konfiguration eines SIEM-Tools (einschließlich IBM QRadar) treffen Administratoren oft die falsche Entscheidung: „Schicken wir alle Logs an das SIEM und schauen dann, was wir damit machen.“ Solche Maßnahmen führen meist zu enormer Lizenznutzung, hoher Arbeitslast für das SIEM-Tool, Auftreten einer Cache-Warteschlange und manchmal zum Verlust von Ereignissen. Dies führt dazu, dass das SIEM […]
Bei der Implementierung und Nutzung von IBM QRadar stellen die Benutzer häufig folgende Fragen: Was sind Assets? Wofür werden sie benötigt? Was können wir mit ihnen tun? Wie kann man das Ausfüllen des Asset-Modells automatisieren? ‚Assets‘ ist ein Modell, das die Infrastruktur beschreibt und dem IBM QRadar-System ermöglicht, unterschiedlich auf die Ereignisse zu reagieren, die […]
Viele SIEM-Nutzer stellen eine Frage: Wie unterscheiden sich die SIEM-Tools von Splunk und HPE ArcSight? ArcSight-Nutzer sind zuversichtlich, dass Korrelationsereignisse in ArcSight ein gewichtiges Argument für die Nutzung dieses SIEM sind, da Splunk diese Ereignisse nicht hat. Lassen Sie uns diesen Mythos zerstören. Splunk hat viele Möglichkeiten, Ereignisse zu korrelieren. In diesem Artikel werden wir […]
Jeder, der jemals einen einzelnen ArcSight SmartConnector installiert hat, kennt das Kapitel ‚Zuordnung von Gerätereignissen zu ArcSight-Feldern‘ im Installationshandbuch, in dem Informationen zur Zuordnung gerätespezifischer Felder zum ArcSight-Ereignisschema zu finden sind. Es ist ein wesentliches Kapitel für Analysten, oder? Sicherlich haben Sie bemerkt, dass es für einige SmartConnectors ‚Zusätzliche Daten‘-Felder gibt. Zum Beispiel:Woher kommen sie? […]
Netzwerkhierarchie ist eine Beschreibung des internen Modells des Netzwerks einer Organisation. Das Netzwerkmodell ermöglicht es Ihnen, alle internen Segmente des Netzwerks zu beschreiben, einschließlich Serversegment, DMZ, Benutzersegment, WLAN usw. Diese Daten sind notwendig, um die Daten der registrierten Vorfälle anzureichern; Sie können die Netzwerkmodelldaten in Regeln, Suchen, Filtern und Berichten verwenden und sie sind auch […]
Anfänger und erfahrene Benutzer von ArcSight stehen sehr oft vor der Situation, dass sie in einem Use Case die Active List automatisch leeren müssen. Es könnte sich um folgendes Szenario handeln: die heutigen Anmeldungen für jeden Benutzer in Echtzeit zählen oder einige Zähler zurücksetzen, die sich zu einem bestimmten Zeitpunkt in der Active List befinden.
Was, wenn ich einen neuen Use Case bereitgestellt oder entworfen habe und wissen möchte, ob mein Unternehmen in der Vergangenheit der Bedrohung ausgesetzt war? Während der Arbeit mit ArcSight fragen sich viele Leute, ob es eine Möglichkeit gibt, eine historische Korrelation zu realisieren. Sie haben sogar mehrere reale Szenarien dafür. Das erste sind gebündelte Ereignisse, […]
Alle QRadar-Produkte können in zwei Gruppen unterteilt werden: Versionen vor 7.2.8 und alle neuesten Versionen. In QRadar-Versionen 7.2.8+ werden alle Parsing-Änderungen über die WEB-Konsole durchgeführt. Um ein Parsing-Problem zu beheben, müssen Sie die folgenden Schritte ausführen: Erstellen Sie eine Suche auf der Seite Log-Aktivität in QRadar, wo Sie Ereignisse mit Parsing-Problemen abrufen können. Wählen Sie […]
Jeder ArcSight-Benutzer oder Administrator steht vor der Herausforderung, falsche positive Regeltriggers zu erleben, während er einen Bedrohungsnachrichten-Feed in ArcSight einspeist. Dies geschieht meist, wenn Ereignisse aus Bedrohungsquellen nicht von der Regelbedingung ausgeschlossen werden oder der Connector versucht, alle verarbeiteten IP-Adressen und Hostnamen aufzulösen.
Ereigniskorrelation spielt eine wichtige Rolle bei der Vorfallerkennung und ermöglicht es uns, uns auf die Ereignisse zu konzentrieren, die für die Geschäftsservices oder IT/Sicherheitsprozesse wirklich relevant sind.