En el artículo anterior, hemos examinado el uso de paneles dependientes para crear visualizaciones convenientes en los tableros. Si te lo perdiste, sigue el enlace: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Muchas personas que comienzan a estudiar Splunk tienen preguntas sobre el monitoreo de la disponibilidad de los datos entrantes: cuándo fue la última vez que llegaron datos de una fuente […]
Creación de Reglas en IBM QRadar
En mi artículo anterior, escribí sobre cómo actualizar tu IBM QRadar. Pero el correcto funcionamiento de cualquier SIEM no es solo actualizar la versión, o la recopilación y almacenamiento de eventos de diversas fuentes de datos. La tarea principal del SIEM es identificar incidentes de seguridad. El proveedor ofrece reglas de detección preconfiguradas para IBM […]
Uso de paneles dependientes en Splunk para crear desgloses convenientes
En el artículo anterior, hemos examinado la integración simple con recursos web externos usando drilldowns. Si te lo perdiste, sigue el enlace: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Hoy nos familiarizaremos con una variante más interesante de drilldowns en Splunk: usando paneles dependientes. Paneles dependientes en Splunk: una forma interesante de usar drilldowns en paneles de control Muy a menudo, se […]
Aviso de Seguridad. Gusano de ransomware Bad Rabbit.
La investigación se basa en el análisis de evidencia OSINT, evidencia local, comentarios de las víctimas del ataque y la metodología MITRE ATT&CK utilizada para la atribución de actores. SOC Prime quisiera expresar su gratitud a los investigadores de seguridad independientes y las empresas especializadas en seguridad que compartieron los informes de ingeniería inversa y […]
Actualización de IBM QRadar
La operación eficiente de SIEM depende directamente de la corrección de vulnerabilidades detectadas y problemas en su funcionamiento. El método principal para esto es actualizar el sistema a la versión más reciente. Las actualizaciones pueden incluir la corrección de problemas de seguridad, lanzar nueva funcionalidad, mejorar el rendimiento del sistema, parches, etc. En mi artículo […]
ArcSight. Optimización de EPS (Agregación y Filtración)
Casi todos los principiantes de ArcSight enfrentan una situación en la que hay un alto EPS entrante de las fuentes de registro, especialmente cuando es crítico para los límites de licencia o causa problemas de rendimiento. Para reducir el EPS entrante, ArcSight tiene dos métodos nativos para el procesamiento de eventos: Agregación de Eventos y […]
Enriqueciendo eventos con datos adicionales
En el artículo anterior, examinamos Campos de Datos Adicionales y cómo utilizarlos. Pero, ¿qué pasa si los eventos no tienen la información necesaria incluso en los Campos de Datos Adicionales? Siempre puedes enfrentar la situación en la que los eventos en ArcSight no contienen toda la información necesaria para los analistas. Por ejemplo, ID de […]
Respaldo de Configuración, Eventos y Contenido en IBM QRadar
Mientras trabajas con SIEM, eventualmente te encuentras en una situación donde tu herramienta necesita ser actualizada a la última versión, trasladada a un centro de datos diferente o migrada a una instalación más productiva. Una parte integral de esto es la creación de copias de seguridad y la posterior transferencia de datos, configuraciones o contenido […]
Integración simple de Virus Total con paneles de Splunk
La integración simple ayuda a buscar procesos maliciosos ¡Saludos a todos! Continuemos convirtiendo Splunk en una herramienta multipropósito que pueda detectar rápidamente cualquier amenaza. Mi último artículo describió cómo crear eventos de correlación usando Alertas. Ahora te contaré cómo hacer una integración simple con la base de Virus Total. Muchos de nosotros usamos Sysmon en […]
DNSmasq puede desencadenar un ciberataque más grande que WannaCry y Mirai
¡Buenas noticias a todos! Han pasado ya 10 días desde que Google Security liberó 7 vulnerabilidades críticas junto con el código de prueba de concepto de explotación para el popular servicio dnsmasq y el mundo sigue vivo tal como lo conocemos. ¿Cuánto tiempo durará esto? Si nos referimos al brote de WannaCry, pasa un tiempo […]