Il y a environ une semaine, nous avons reçu cette info de l’un de nos partenaires : « Nous voyons des e-mails de phishing circulant dans notre environnement (Interne à Interne) » accompagnée d’un échantillon de courriel partagé avec nous. Aujourd’hui, nous allons analyser les récentes attaques de phishing ciblant les entreprises Fortune 500 et […]
Intégration de QRadar avec VirusTotal
Bonjour. Dans le dernier article, nous avons envisagé créer des règles, et aujourd’hui je veux décrire la méthode qui aidera les administrateurs SIEM à répondre plus rapidement aux incidents de sécurité possibles. Lors de la gestion des incidents de sécurité de l’information dans QRadar, il est extrêmement important d’augmenter la vitesse de travail des opérateurs […]
Splunk. Comment colorer les lignes de tableau en fonction des conditions.
Dans l’article précédent, j’ai démontré comment créer un tableau de bord simple qui surveille l’accessibilité des sources dans Splunk. Aujourd’hui, je veux vous montrer comment rendre tout tableau du tableau de bord plus évident et pratique. Regardons mon dernier article et continuons à améliorer la fonctionnalité du tableau que j’ai obtenu en ajoutant des lignes […]
Listes actives dans ArcSight, nettoyage automatique. Partie 2
Une tâche très courante pour tous les développeurs de contenu ArcSight est de nettoyer les listes actives de manière planifiée ou à la demande automatiquement. Dans le précédent article, j’ai décrit comment effacer les listes actives de manière planifiée en utilisant les tendances : https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Aujourd’hui, je vais vous montrer deux autres façons d’y parvenir. Nettoyage […]
Créer un tableau de bord simple pour surveiller l’accessibilité des sources dans Splunk
Dans l’article précédent, nous avons examiné l’utilisation du panneau dépendant pour créer des visualisations pratiques dans les tableaux de bord. Si vous l’avez manqué, suivez le lien : https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Beaucoup de personnes qui commencent à étudier Splunk se posent des questions sur la surveillance de la disponibilité des données entrantes : quand les données sont-elles venues […]
Créer des règles dans IBM QRadar
Dans mon article précédent, j’ai écrit sur comment mettre à jour votre IBM QRadar. Mais le bon fonctionnement de tout SIEM ne consiste pas seulement à mettre à jour la version, ou à collecter et stocker des événements de diverses sources de données. La tâche principale du SIEM est d’identifier les incidents de sécurité. Le […]
Utilisation des panneaux de dépendance dans Splunk pour créer des drilldowns pratiques
Dans l’article précédent, nous avons examiné une intégration simple avec des ressources web externes en utilisant des drilldowns. Si vous l’avez manqué, suivez le lien : https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Aujourd’hui, nous allons nous familiariser avec une autre variante intéressante de drilldowns dans Splunk : l’utilisation des panels dépendants. Panels dépendants dans Splunk : une façon intéressante d’utiliser les drilldowns dans […]
Avis de sécurité. Ver de ransomware Bad Rabbit.
La recherche est basée sur l’analyse des preuves OSINT, des preuves locales, des retours des victimes d’attaques et de la méthodologie MITRE ATT&CK utilisée pour l’attribution des acteurs. SOC Prime souhaite exprimer sa gratitude aux chercheurs en sécurité indépendants et aux entreprises spécialisées en sécurité qui ont partagé les rapports de rétro-ingénierie et l’analyse des […]
Mise à jour d’IBM QRadar
Le bon fonctionnement du SIEM dépend directement de la correction des vulnérabilités et problèmes détectés dans son fonctionnement. La méthode principale pour ce faire est de mettre à jour le système vers la dernière version. Les mises à jour peuvent inclure la correction de problèmes de sécurité, le déploiement de nouvelles fonctionnalités, l’amélioration des performances […]
ArcSight. Optimisation des EPS (Agrégation et Filtration)
Presque tous les débutants sur ArcSight font face à une situation où il y a un nombre élevé d’EPS entrant provenant des sources de journaux, surtout lorsque cela critique les limites de licence ou cause des problèmes de performance. Pour réduire l’EPS entrant, ArcSight dispose de deux méthodes natives pour le traitement des événements : […]