Erstellen Sie eine benutzerdefinierte RegelSie können eine benutzerdefinierte Regel erstellen, um eine Warnung zu generieren oder Benachrichtigungen zu senden, wenn keine Protokolle mehr von einer Protokollquelle eingehen. Gehen Sie zum Abschnitt Regeln: Navigieren Sie zu Verstöße > Regeln. Klicken Sie auf Aktionen > Neue Ereignisregel. Dann sehen Sie das Regel-Assistent Fenster.In diesem Schritt verwenden Sie die Standardparameter. danach sehen Sie endlich die Hauptkonfiguration […]
Hallo. Im letzten Artikel haben wir betrachtet Regeln erstellen, und heute möchte ich die Methode beschreiben, die SIEM-Administratoren helfen wird, schneller auf mögliche Sicherheitsvorfälle zu reagieren. Beim Umgang mit Informationssicherheitsvorfällen in QRadar ist es äußerst wichtig, die Arbeitsgeschwindigkeit von Operatoren und Analysten im SOC zu erhöhen. Die Nutzung von integrierten Tools bietet viele Möglichkeiten, aber […]
In meinem vorherigen Artikel schrieb ich über wie man seinen IBM QRadar aktualisiert. Aber die korrekte Funktionsweise eines beliebigen SIEM ist nicht nur die Aktualisierung des Builds oder die Sammlung und Speicherung von Ereignissen aus verschiedenen Datenquellen. Die Hauptaufgabe eines SIEM ist das Erkennen von Sicherheitsvorfällen. Der Anbieter stellt vorkonfigurierte Erkennungsregeln für IBM QRadar zur […]
Der effiziente Betrieb eines SIEM hängt direkt davon ab, erkannte Schwachstellen und Probleme in seiner Funktionsweise zu beheben. Die primäre Methode hierfür ist das Aktualisieren des Systems auf die neueste Version. Updates können die Behebung von Sicherheitsproblemen, die Einführung neuer Funktionen, die Verbesserung der Systemleistung, Patches und so weiter umfassen. In meinem jüngsten Artikel haben […]
Bei der Arbeit mit SIEM stoßen Sie irgendwann auf eine Situation, in der Ihr Tool aktualisiert werden muss, um die neueste Version zu erhalten, in ein anderes Rechenzentrum verlegt oder zu einer produktiveren Installation migriert werden muss. Ein integraler Bestandteil davon ist die Erstellung von Backups und der anschließende Transfer von Daten, Konfigurationen oder benutzerdefinierten […]
Bei der Konfiguration eines SIEM-Tools (einschließlich IBM QRadar) treffen Administratoren oft die falsche Entscheidung: „Schicken wir alle Logs an das SIEM und schauen dann, was wir damit machen.“ Solche Maßnahmen führen meist zu enormer Lizenznutzung, hoher Arbeitslast für das SIEM-Tool, Auftreten einer Cache-Warteschlange und manchmal zum Verlust von Ereignissen. Dies führt dazu, dass das SIEM […]
Bei der Implementierung und Nutzung von IBM QRadar stellen die Benutzer häufig folgende Fragen: Was sind Assets? Wofür werden sie benötigt? Was können wir mit ihnen tun? Wie kann man das Ausfüllen des Asset-Modells automatisieren? ‚Assets‘ ist ein Modell, das die Infrastruktur beschreibt und dem IBM QRadar-System ermöglicht, unterschiedlich auf die Ereignisse zu reagieren, die […]
Netzwerkhierarchie ist eine Beschreibung des internen Modells des Netzwerks einer Organisation. Das Netzwerkmodell ermöglicht es Ihnen, alle internen Segmente des Netzwerks zu beschreiben, einschließlich Serversegment, DMZ, Benutzersegment, WLAN usw. Diese Daten sind notwendig, um die Daten der registrierten Vorfälle anzureichern; Sie können die Netzwerkmodelldaten in Regeln, Suchen, Filtern und Berichten verwenden und sie sind auch […]
Alle QRadar-Produkte können in zwei Gruppen unterteilt werden: Versionen vor 7.2.8 und alle neuesten Versionen. In QRadar-Versionen 7.2.8+ werden alle Parsing-Änderungen über die WEB-Konsole durchgeführt. Um ein Parsing-Problem zu beheben, müssen Sie die folgenden Schritte ausführen: Erstellen Sie eine Suche auf der Seite Log-Aktivität in QRadar, wo Sie Ereignisse mit Parsing-Problemen abrufen können. Wählen Sie […]
Am 24.11.2016 veranstaltete SOC Prime, Inc die erste internationale Konferenz zur Cybersicherheit „Cyber For All“ in Kiew, Ukraine. Mitarbeiter von SOC Prime und Geschäftspartner hielten Präsentationen, und mehrere Kunden berichteten über ihre erfolgreichen Erfahrungen mit den Produkten von SOC Prime. Die Konferenz wurde hauptsächlich von Vertretern der Telekommunikations- und Finanzwirtschaft der Ukraine besucht. Kiew war […]