Al configurar una herramienta SIEM (incluyendo IBM QRadar), los administradores a menudo toman la decisión equivocada: «Enviemos todos los registros a SIEM, y luego decidiremos qué hacer con ellos.» Tales acciones suelen llevar a un uso enorme de la licencia, una carga de trabajo enorme en una herramienta SIEM, aparición de una cola de caché […]
Mientras se implementa y utiliza IBM QRadar, los usuarios a menudo preguntan lo siguiente: ¿qué son los Activos? ¿Para qué se necesitan? ¿Qué podemos hacer con ellos? ¿Cómo automatizar el llenado del modelo de Activos? ‘Activos’ es un modelo que describe la infraestructura y permite al sistema IBM QRadar reaccionar de manera diferente a los […]
Muchos usuarios de SIEM hacen una pregunta: ¿En qué se diferencian las herramientas SIEM de Splunk y HPE ArcSight? Los usuarios de ArcSight están seguros de que los eventos de correlación en ArcSight son un argumento de peso a favor del uso de este SIEM porque Splunk no tiene los mismos eventos. Vamos a desmontar […]
Todos los que alguna vez instalaron un solo ArcSight SmartConnector conocen el capítulo ‘Mapeo de Eventos del Dispositivo a Campos de ArcSight’ en la guía de instalación donde se puede encontrar información sobre el mapeo de campos específicos del dispositivo al esquema de eventos de ArcSight. Es un capítulo esencial para los analistas, ¿verdad? Ciertamente, […]
La jerarquía de red es una descripción del modelo interno de la red de la organización. El modelo de red te permite describir todos los segmentos internos de la red, incluidos el segmento de servidores, DMZ, segmento de usuarios, Wi-Fi, etc. Estos datos son necesarios para enriquecer los datos de los delitos registrados; puedes utilizar […]
Los principiantes y usuarios experimentados de ArcSight a menudo se enfrentan a una situación cuando necesitan borrar automáticamente la Lista Activa en un caso de uso. Podría ser el siguiente escenario: contar los inicios de sesión de hoy para cada usuario en tiempo real o reiniciar algunos contadores que están en la Lista Activa a […]
¿Qué pasa si implemento o diseño un nuevo Caso de Uso y quiero saber si mi empresa estuvo expuesta a la amenaza en el pasado? Mientras trabajaba con ArcSight, muchas personas se preguntan si hay una forma de realizar correlación histórica. Incluso tienen varios escenarios de la vida real para esto. El primero son los […]
Todos los productos QRadar se pueden dividir en dos grupos: versiones antes de la 7.2.8 y todas las versiones más recientes. En las versiones de QRadar 7.2.8+, todos los cambios de análisis se realizan desde la consola WEB. Para solucionar un problema de análisis, debes seguir los siguientes pasos: Crea una búsqueda en la página […]
Cada usuario o administrador de ArcSight se enfrenta a disparadores falsos positivos de reglas mientras integra el feed de inteligencia de amenazas en ArcSight. Esto sucede principalmente cuando los eventos de la fuente de inteligencia de amenazas no están excluidos de la condición de la regla o cuando el conector intenta resolver todas las direcciones […]
La correlación de eventos juega un papel importante en la detección de incidentes y nos permite centrarnos en los eventos que realmente importan a los servicios de negocio o procesos de TI/seguridad.