El propósito de este blog es explicar la necesidad de métodos de análisis manual (no basados en alertas) en la caza de amenazas. Se proporciona un ejemplo de análisis manual efectivo a través de agregaciones/contado por stack. La Automatización es Necesaria La automatización es absolutamente crítica y como cazadores de amenazas debemos automatizar tanto como […]
Introducción Muchos equipos azules están utilizando MITRE ATT&CK para avanzar en la madurez de su detección y respuesta. El arsenal de herramientas EDR, registros de eventos y herramientas de triaje del equipo azul están desvelando la historia de lo que ocurre en los endpoints. Sin embargo, las anomalías son normales y estas alertas y fuentes […]
Se escriben muchas cosas sobre SIEM, sin embargo, mi experiencia personal con estas maravillosas herramientas comenzó en 2007. Hoy en día la tecnología en sí tiene más de 18 años y SIEM es por todos los medios un mercado maduro. Junto con clientes, equipo y socios tuve el privilegio de participar activamente en más de […]
Hola. En el último artículo consideramos crear reglas, y hoy quiero describir el método que ayudará a los administradores de SIEM a responder más rápidamente a posibles incidentes de seguridad. Cuando se trabaja con incidentes de seguridad de la información en QRadar, es extremadamente importante aumentar la velocidad de operación de los operadores y analistas […]
En el artículo anterior he demostrado cómo crear un sencillo panel de control que monitorea la accesibilidad de las fuentes en Splunk. Hoy quiero mostrarte cómo hacer que cualquier tabla en el panel sea más evidente y conveniente. Veamos mi último artículo y continuemos mejorando la funcionalidad de la tabla que obtuve como resultado con […]
Una tarea muy común para todos los desarrolladores de contenido de ArcSight es limpiar listas activas de forma programada o bajo demanda automáticamente. En el post anterior he descrito cómo limpiar Listas Activas de forma programada usando tendencias: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Hoy te mostraré otras dos formas de lograrlo. Limpieza automática de Listas Activas basada en comandos de […]
En el artículo anterior, hemos examinado el uso de paneles dependientes para crear visualizaciones convenientes en los tableros. Si te lo perdiste, sigue el enlace: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Muchas personas que comienzan a estudiar Splunk tienen preguntas sobre el monitoreo de la disponibilidad de los datos entrantes: cuándo fue la última vez que llegaron datos de una fuente […]
En mi artículo anterior, escribí sobre cómo actualizar tu IBM QRadar. Pero el correcto funcionamiento de cualquier SIEM no es solo actualizar la versión, o la recopilación y almacenamiento de eventos de diversas fuentes de datos. La tarea principal del SIEM es identificar incidentes de seguridad. El proveedor ofrece reglas de detección preconfiguradas para IBM […]
En el artículo anterior, hemos examinado la integración simple con recursos web externos usando drilldowns. Si te lo perdiste, sigue el enlace: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Hoy nos familiarizaremos con una variante más interesante de drilldowns en Splunk: usando paneles dependientes. Paneles dependientes en Splunk: una forma interesante de usar drilldowns en paneles de control Muy a menudo, se […]
La operación eficiente de SIEM depende directamente de la corrección de vulnerabilidades detectadas y problemas en su funcionamiento. El método principal para esto es actualizar el sistema a la versión más reciente. Las actualizaciones pueden incluir la corrección de problemas de seguridad, lanzar nueva funcionalidad, mejorar el rendimiento del sistema, parches, etc. En mi artículo […]