Tag: Events

En el artículo anterior, examinamos Campos de Datos Adicionales y cómo utilizarlos. Pero, ¿qué pasa si los eventos no tienen la información necesaria incluso en los Campos de Datos Adicionales? Siempre puedes enfrentar la situación en la que los eventos en ArcSight no contienen toda la información necesaria para los analistas. Por ejemplo, ID de […]

Mientras trabajas con SIEM, eventualmente te encuentras en una situación donde tu herramienta necesita ser actualizada a la última versión, trasladada a un centro de datos diferente o migrada a una instalación más productiva. Una parte integral de esto es la creación de copias de seguridad y la posterior transferencia de datos, configuraciones o contenido […]

Al configurar una herramienta SIEM (incluyendo IBM QRadar), los administradores a menudo toman la decisión equivocada: «Enviemos todos los registros a SIEM, y luego decidiremos qué hacer con ellos.» Tales acciones suelen llevar a un uso enorme de la licencia, una carga de trabajo enorme en una herramienta SIEM, aparición de una cola de caché […]

Muchos usuarios de SIEM hacen una pregunta: ¿En qué se diferencian las herramientas SIEM de Splunk y HPE ArcSight? Los usuarios de ArcSight están seguros de que los eventos de correlación en ArcSight son un argumento de peso a favor del uso de este SIEM porque Splunk no tiene los mismos eventos. Vamos a desmontar […]

¿Qué pasa si implemento o diseño un nuevo Caso de Uso y quiero saber si mi empresa estuvo expuesta a la amenaza en el pasado? Mientras trabajaba con ArcSight, muchas personas se preguntan si hay una forma de realizar correlación histórica. Incluso tienen varios escenarios de la vida real para esto. El primero son los […]

Todos los productos QRadar se pueden dividir en dos grupos: versiones antes de la 7.2.8 y todas las versiones más recientes. En las versiones de QRadar 7.2.8+, todos los cambios de análisis se realizan desde la consola WEB. Para solucionar un problema de análisis, debes seguir los siguientes pasos: Crea una búsqueda en la página […]

La correlación de eventos juega un papel importante en la detección de incidentes y nos permite centrarnos en los eventos que realmente importan a los servicios de negocio o procesos de TI/seguridad.