L’objectif de ce blog est d’expliquer la nécessité des méthodes d’analyse manuelles (non basées sur des alertes) dans la traque des menaces. Un exemple d’analyse manuelle efficace via l’agrégation/compte des piles est fourni. L’automatisation est nécessaire L’automatisation est absolument cruciale et en tant que traqueurs de menaces, nous devons automatiser autant que possible là où […]
Introduction De nombreuses équipes bleues utilisent MITRE ATT&CK pour développer la maturité de leur détection et réponse. L’arsenal des équipes bleues comprenant les outils EDR, les journaux d’événements et les outils de triage révèlent ce qui se passe sur les points d’extrémité. Cependant, les anomalies sont normales et ces alertes et sources de données doivent […]
Beaucoup de choses sont écrites sur le SIEM, mais mon expérience personnelle avec ces merveilleux outils a commencé en 2007. Aujourd’hui, la technologie elle-même a plus de 18 ans et le SIEM est à tous égards un marché mature. Avec des clients, une équipe et des partenaires, j’ai eu le privilège de participer activement à […]
Bonjour. Dans le dernier article, nous avons envisagé créer des règles, et aujourd’hui je veux décrire la méthode qui aidera les administrateurs SIEM à répondre plus rapidement aux incidents de sécurité possibles. Lors de la gestion des incidents de sécurité de l’information dans QRadar, il est extrêmement important d’augmenter la vitesse de travail des opérateurs […]
Dans l’article précédent, j’ai démontré comment créer un tableau de bord simple qui surveille l’accessibilité des sources dans Splunk. Aujourd’hui, je veux vous montrer comment rendre tout tableau du tableau de bord plus évident et pratique. Regardons mon dernier article et continuons à améliorer la fonctionnalité du tableau que j’ai obtenu en ajoutant des lignes […]
Une tâche très courante pour tous les développeurs de contenu ArcSight est de nettoyer les listes actives de manière planifiée ou à la demande automatiquement. Dans le précédent article, j’ai décrit comment effacer les listes actives de manière planifiée en utilisant les tendances : https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Aujourd’hui, je vais vous montrer deux autres façons d’y parvenir. Nettoyage […]
Dans l’article précédent, nous avons examiné l’utilisation du panneau dépendant pour créer des visualisations pratiques dans les tableaux de bord. Si vous l’avez manqué, suivez le lien : https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Beaucoup de personnes qui commencent à étudier Splunk se posent des questions sur la surveillance de la disponibilité des données entrantes : quand les données sont-elles venues […]
Dans mon article précédent, j’ai écrit sur comment mettre à jour votre IBM QRadar. Mais le bon fonctionnement de tout SIEM ne consiste pas seulement à mettre à jour la version, ou à collecter et stocker des événements de diverses sources de données. La tâche principale du SIEM est d’identifier les incidents de sécurité. Le […]
Dans l’article précédent, nous avons examiné une intégration simple avec des ressources web externes en utilisant des drilldowns. Si vous l’avez manqué, suivez le lien : https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Aujourd’hui, nous allons nous familiariser avec une autre variante intéressante de drilldowns dans Splunk : l’utilisation des panels dépendants. Panels dépendants dans Splunk : une façon intéressante d’utiliser les drilldowns dans […]
Le bon fonctionnement du SIEM dépend directement de la correction des vulnérabilités et problèmes détectés dans son fonctionnement. La méthode principale pour ce faire est de mettre à jour le système vers la dernière version. Les mises à jour peuvent inclure la correction de problèmes de sécurité, le déploiement de nouvelles fonctionnalités, l’amélioration des performances […]