En el artículo anterior, examinamos Campos de Datos Adicionales y cómo utilizarlos. Pero, ¿qué pasa si los eventos no tienen la información necesaria incluso en los Campos de Datos Adicionales? Siempre puedes enfrentar la situación en la que los eventos en ArcSight no contienen toda la información necesaria para los analistas. Por ejemplo, ID de […]
Respaldo de Configuración, Eventos y Contenido en IBM QRadar
Mientras trabajas con SIEM, eventualmente te encuentras en una situación donde tu herramienta necesita ser actualizada a la última versión, trasladada a un centro de datos diferente o migrada a una instalación más productiva. Una parte integral de esto es la creación de copias de seguridad y la posterior transferencia de datos, configuraciones o contenido […]
Integración simple de Virus Total con paneles de Splunk
La integración simple ayuda a buscar procesos maliciosos ¡Saludos a todos! Continuemos convirtiendo Splunk en una herramienta multipropósito que pueda detectar rápidamente cualquier amenaza. Mi último artículo describió cómo crear eventos de correlación usando Alertas. Ahora te contaré cómo hacer una integración simple con la base de Virus Total. Muchos de nosotros usamos Sysmon en […]
DNSmasq puede desencadenar un ciberataque más grande que WannaCry y Mirai
¡Buenas noticias a todos! Han pasado ya 10 días desde que Google Security liberó 7 vulnerabilidades críticas junto con el código de prueba de concepto de explotación para el popular servicio dnsmasq y el mundo sigue vivo tal como lo conocemos. ¿Cuánto tiempo durará esto? Si nos referimos al brote de WannaCry, pasa un tiempo […]
Filtrado de Eventos en IBM QRadar
Al configurar una herramienta SIEM (incluyendo IBM QRadar), los administradores a menudo toman la decisión equivocada: «Enviemos todos los registros a SIEM, y luego decidiremos qué hacer con ellos.» Tales acciones suelen llevar a un uso enorme de la licencia, una carga de trabajo enorme en una herramienta SIEM, aparición de una cola de caché […]
Activos y descripción de objetos críticos de infraestructura
Mientras se implementa y utiliza IBM QRadar, los usuarios a menudo preguntan lo siguiente: ¿qué son los Activos? ¿Para qué se necesitan? ¿Qué podemos hacer con ellos? ¿Cómo automatizar el llenado del modelo de Activos? ‘Activos’ es un modelo que describe la infraestructura y permite al sistema IBM QRadar reaccionar de manera diferente a los […]
Creación de Eventos de Correlación en Splunk usando Alertas
Muchos usuarios de SIEM hacen una pregunta: ¿En qué se diferencian las herramientas SIEM de Splunk y HPE ArcSight? Los usuarios de ArcSight están seguros de que los eventos de correlación en ArcSight son un argumento de peso a favor del uso de este SIEM porque Splunk no tiene los mismos eventos. Vamos a desmontar […]
Datos adicionales en ArcSight ESM
Todos los que alguna vez instalaron un solo ArcSight SmartConnector conocen el capítulo ‘Mapeo de Eventos del Dispositivo a Campos de ArcSight’ en la guía de instalación donde se puede encontrar información sobre el mapeo de campos específicos del dispositivo al esquema de eventos de ArcSight. Es un capítulo esencial para los analistas, ¿verdad? Ciertamente, […]
¿Qué es la jerarquía de red y cómo usarla en IBM QRadar
La jerarquía de red es una descripción del modelo interno de la red de la organización. El modelo de red te permite describir todos los segmentos internos de la red, incluidos el segmento de servidores, DMZ, segmento de usuarios, Wi-Fi, etc. Estos datos son necesarios para enriquecer los datos de los delitos registrados; puedes utilizar […]
Listas Activas en ArcSight, limpieza automática. Parte 1
Los principiantes y usuarios experimentados de ArcSight a menudo se enfrentan a una situación cuando necesitan borrar automáticamente la Lista Activa en un caso de uso. Podría ser el siguiente escenario: contar los inicios de sesión de hoy para cada usuario en tiempo real o reiniciar algunos contadores que están en la Lista Activa a […]