Dans mon article précédent, j’ai écrit sur comment mettre à jour votre IBM QRadar. Mais le bon fonctionnement de tout SIEM ne consiste pas seulement à mettre à jour la version, ou à collecter et stocker des événements de diverses sources de données. La tâche principale du SIEM est d’identifier les incidents de sécurité. Le […]
Utilisation des panneaux de dépendance dans Splunk pour créer des drilldowns pratiques
Dans l’article précédent, nous avons examiné une intégration simple avec des ressources web externes en utilisant des drilldowns. Si vous l’avez manqué, suivez le lien : https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Aujourd’hui, nous allons nous familiariser avec une autre variante intéressante de drilldowns dans Splunk : l’utilisation des panels dépendants. Panels dépendants dans Splunk : une façon intéressante d’utiliser les drilldowns dans […]
Avis de sécurité. Ver de ransomware Bad Rabbit.
La recherche est basée sur l’analyse des preuves OSINT, des preuves locales, des retours des victimes d’attaques et de la méthodologie MITRE ATT&CK utilisée pour l’attribution des acteurs. SOC Prime souhaite exprimer sa gratitude aux chercheurs en sécurité indépendants et aux entreprises spécialisées en sécurité qui ont partagé les rapports de rétro-ingénierie et l’analyse des […]
Mise à jour d’IBM QRadar
Le bon fonctionnement du SIEM dépend directement de la correction des vulnérabilités et problèmes détectés dans son fonctionnement. La méthode principale pour ce faire est de mettre à jour le système vers la dernière version. Les mises à jour peuvent inclure la correction de problèmes de sécurité, le déploiement de nouvelles fonctionnalités, l’amélioration des performances […]
ArcSight. Optimisation des EPS (Agrégation et Filtration)
Presque tous les débutants sur ArcSight font face à une situation où il y a un nombre élevé d’EPS entrant provenant des sources de journaux, surtout lorsque cela critique les limites de licence ou cause des problèmes de performance. Pour réduire l’EPS entrant, ArcSight dispose de deux méthodes natives pour le traitement des événements : […]
Enrichir les événements avec des données supplémentaires
Dans l’article précédent, nous avons examiné champs de données supplémentaires et comment les utiliser. Mais que faire si les événements ne contiennent pas les informations nécessaires/mêmes requises, même dans les champs de données supplémentaires ? Vous pouvez toujours vous retrouver dans une situation où les événements dans ArcSight ne contiennent pas toutes les informations nécessaires […]
Configuration, événements et sauvegarde de contenu dans IBM QRadar
En travaillant avec le SIEM, vous finirez par rencontrer une situation où votre outil nécessite d’être mis à jour vers la dernière version, déplacé vers un autre centre de données ou migré vers une installation plus productive. Une partie intégrante de cela est la création de sauvegardes et le transfert ultérieur de données, de configurations […]
Intégration simple de Virus Total avec les tableaux de bord Splunk
Une intégration simple aide à rechercher des processus malveillants Salutations à tous ! Continuons à transformer Splunk en un outil polyvalent qui peut détecter rapidement toute menace. Mon dernier article décrivait comment créer des événements de corrélation à l’aide des Alertes. Maintenant, je vais vous expliquer comment faire une intégration simple avec la base Virus […]
DNSmasq peut déclencher une cyberattaque plus grande que WannaCry et Mirai
Bonne nouvelle à tous ! Cela fait maintenant 10 jours que Google Security a publié 7 vulnérabilités critiques avec le code d’exploitation PoC pour le service dnsmasq populaire, et le monde est toujours tel que nous le connaissons. Combien de temps cela va-t-il durer ? Si nous nous référons à l’épidémie WannaCry, il faut un […]
Filtrage d’Événements dans IBM QRadar
Lors de la configuration d’un outil SIEM (y compris IBM QRadar), les administrateurs prennent souvent la mauvaise décision : « Envoyons tous les journaux à SIEM, puis nous déciderons quoi en faire. » De telles actions mènent le plus souvent à une utilisation énorme des licences, une charge de travail énorme sur un outil SIEM, l’apparition d’une file […]