El propósito de este blog es explicar la necesidad de métodos de análisis manual (no basados en alertas) en la caza de amenazas. Se proporciona un ejemplo de análisis manual efectivo a través de agregaciones/contado por stack. La Automatización es Necesaria La automatización es absolutamente crítica y como cazadores de amenazas debemos automatizar tanto como […]
Introducción a Sigma Sigma, creado por Florian Roth y Thomas Patzke, es un proyecto de código abierto para crear un formato de firma genérico para sistemas SIEM. La analogía común es que Sigma es el equivalente en archivos de registro de lo que Snort es para IDS y lo que YARA es para la detección […]
Hola. En el último artículo consideramos crear reglas, y hoy quiero describir el método que ayudará a los administradores de SIEM a responder más rápidamente a posibles incidentes de seguridad. Cuando se trabaja con incidentes de seguridad de la información en QRadar, es extremadamente importante aumentar la velocidad de operación de los operadores y analistas […]
En el artículo anterior he demostrado cómo crear un sencillo panel de control que monitorea la accesibilidad de las fuentes en Splunk. Hoy quiero mostrarte cómo hacer que cualquier tabla en el panel sea más evidente y conveniente. Veamos mi último artículo y continuemos mejorando la funcionalidad de la tabla que obtuve como resultado con […]
En mi artículo anterior, escribí sobre cómo actualizar tu IBM QRadar. Pero el correcto funcionamiento de cualquier SIEM no es solo actualizar la versión, o la recopilación y almacenamiento de eventos de diversas fuentes de datos. La tarea principal del SIEM es identificar incidentes de seguridad. El proveedor ofrece reglas de detección preconfiguradas para IBM […]
La operación eficiente de SIEM depende directamente de la corrección de vulnerabilidades detectadas y problemas en su funcionamiento. El método principal para esto es actualizar el sistema a la versión más reciente. Las actualizaciones pueden incluir la corrección de problemas de seguridad, lanzar nueva funcionalidad, mejorar el rendimiento del sistema, parches, etc. En mi artículo […]
Casi todos los principiantes de ArcSight enfrentan una situación en la que hay un alto EPS entrante de las fuentes de registro, especialmente cuando es crítico para los límites de licencia o causa problemas de rendimiento. Para reducir el EPS entrante, ArcSight tiene dos métodos nativos para el procesamiento de eventos: Agregación de Eventos y […]
En el artículo anterior, examinamos Campos de Datos Adicionales y cómo utilizarlos. Pero, ¿qué pasa si los eventos no tienen la información necesaria incluso en los Campos de Datos Adicionales? Siempre puedes enfrentar la situación en la que los eventos en ArcSight no contienen toda la información necesaria para los analistas. Por ejemplo, ID de […]
Mientras trabajas con SIEM, eventualmente te encuentras en una situación donde tu herramienta necesita ser actualizada a la última versión, trasladada a un centro de datos diferente o migrada a una instalación más productiva. Una parte integral de esto es la creación de copias de seguridad y la posterior transferencia de datos, configuraciones o contenido […]
La integración simple ayuda a buscar procesos maliciosos ¡Saludos a todos! Continuemos convirtiendo Splunk en una herramienta multipropósito que pueda detectar rápidamente cualquier amenaza. Mi último artículo describió cómo crear eventos de correlación usando Alertas. Ahora te contaré cómo hacer una integración simple con la base de Virus Total. Muchos de nosotros usamos Sysmon en […]