Introducción a Sigma Sigma, creado por Florian Roth y Thomas Patzke, es un proyecto de código abierto para crear un formato de firma genérico para sistemas SIEM. La analogÃa común es que Sigma es el equivalente en archivos de registro de lo que Snort es para IDS y lo que YARA es para la detección […]
Casi todos los principiantes de ArcSight enfrentan una situación en la que hay un alto EPS entrante de las fuentes de registro, especialmente cuando es crÃtico para los lÃmites de licencia o causa problemas de rendimiento. Para reducir el EPS entrante, ArcSight tiene dos métodos nativos para el procesamiento de eventos: Agregación de Eventos y […]
En el artÃculo anterior, examinamos Campos de Datos Adicionales y cómo utilizarlos. Pero, ¿qué pasa si los eventos no tienen la información necesaria incluso en los Campos de Datos Adicionales? Siempre puedes enfrentar la situación en la que los eventos en ArcSight no contienen toda la información necesaria para los analistas. Por ejemplo, ID de […]
Todos los que alguna vez instalaron un solo ArcSight SmartConnector conocen el capÃtulo ‘Mapeo de Eventos del Dispositivo a Campos de ArcSight’ en la guÃa de instalación donde se puede encontrar información sobre el mapeo de campos especÃficos del dispositivo al esquema de eventos de ArcSight. Es un capÃtulo esencial para los analistas, ¿verdad? Ciertamente, […]
Los principiantes y usuarios experimentados de ArcSight a menudo se enfrentan a una situación cuando necesitan borrar automáticamente la Lista Activa en un caso de uso. PodrÃa ser el siguiente escenario: contar los inicios de sesión de hoy para cada usuario en tiempo real o reiniciar algunos contadores que están en la Lista Activa a […]
¿Qué pasa si implemento o diseño un nuevo Caso de Uso y quiero saber si mi empresa estuvo expuesta a la amenaza en el pasado? Mientras trabajaba con ArcSight, muchas personas se preguntan si hay una forma de realizar correlación histórica. Incluso tienen varios escenarios de la vida real para esto. El primero son los […]
Cada usuario o administrador de ArcSight se enfrenta a disparadores falsos positivos de reglas mientras integra el feed de inteligencia de amenazas en ArcSight. Esto sucede principalmente cuando los eventos de la fuente de inteligencia de amenazas no están excluidos de la condición de la regla o cuando el conector intenta resolver todas las direcciones […]
El 24.11.2016 SOC Prime, Inc organizó la primera conferencia internacional sobre ciberseguridad «Cyber For All» en Kiev, Ucrania. El personal de SOC Prime y sus socios comerciales realizaron presentaciones y varios clientes compartieron sus historias de éxito reales de su uso de los productos de SOC Prime. La conferencia contó principalmente con la asistencia de […]