Dans l’article précédent, nous avons examiné champs de données supplémentaires et comment les utiliser. Mais que faire si les événements ne contiennent pas les informations nécessaires/mêmes requises, même dans les champs de données supplémentaires ? Vous pouvez toujours vous retrouver dans une situation où les événements dans ArcSight ne contiennent pas toutes les informations nécessaires […]
Configuration, événements et sauvegarde de contenu dans IBM QRadar
En travaillant avec le SIEM, vous finirez par rencontrer une situation où votre outil nécessite d’être mis à jour vers la dernière version, déplacé vers un autre centre de données ou migré vers une installation plus productive. Une partie intégrante de cela est la création de sauvegardes et le transfert ultérieur de données, de configurations […]
Intégration simple de Virus Total avec les tableaux de bord Splunk
Une intégration simple aide à rechercher des processus malveillants Salutations à tous ! Continuons à transformer Splunk en un outil polyvalent qui peut détecter rapidement toute menace. Mon dernier article décrivait comment créer des événements de corrélation à l’aide des Alertes. Maintenant, je vais vous expliquer comment faire une intégration simple avec la base Virus […]
DNSmasq peut déclencher une cyberattaque plus grande que WannaCry et Mirai
Bonne nouvelle à tous ! Cela fait maintenant 10 jours que Google Security a publié 7 vulnérabilités critiques avec le code d’exploitation PoC pour le service dnsmasq populaire, et le monde est toujours tel que nous le connaissons. Combien de temps cela va-t-il durer ? Si nous nous référons à l’épidémie WannaCry, il faut un […]
Filtrage d’Événements dans IBM QRadar
Lors de la configuration d’un outil SIEM (y compris IBM QRadar), les administrateurs prennent souvent la mauvaise décision : « Envoyons tous les journaux à SIEM, puis nous déciderons quoi en faire. » De telles actions mènent le plus souvent à une utilisation énorme des licences, une charge de travail énorme sur un outil SIEM, l’apparition d’une file […]
Actifs et description des objets d’infrastructures critiques
Lors de l’implémentation et de l’utilisation d’IBM QRadar, les utilisateurs posent souvent les questions suivantes : que sont les Ressources ? Pourquoi sont-elles nécessaires ? Que pouvons-nous faire avec elles ? Comment automatiser le remplissage du modèle des Ressources ? Les ‘Ressources’ est un modèle qui décrit l’infrastructure et permet au système IBM QRadar de […]
Créer des événements de corrélation dans Splunk en utilisant des alertes
De nombreux utilisateurs de SIEM posent une question : Comment les outils SIEM de Splunk et HPE ArcSight diffèrent-ils ? Les utilisateurs d’ArcSight sont convaincus que les événements de corrélation dans ArcSight sont un argument de poids en faveur de l’utilisation de ce SIEM, car Splunk n’a pas les mêmes événements. Détruisons ce mythe. Splunk […]
Données supplémentaires dans ArcSight ESM
Tous ceux qui ont déjà installé un seul SmartConnector ArcSight connaissent le chapitre ‘Mappage des événements de l’appareil aux champs ArcSight’ dans le guide d’installation où vous pouvez trouver des informations sur le mappage des champs spécifiques aux appareils au schéma d’événement ArcSight. C’est un chapitre essentiel pour les analystes, n’est-ce pas ? Certainement, vous […]
Qu’est-ce que la hiérarchie de réseau et comment l’utiliser dans IBM QRadar
La hiérarchie du réseau est une description du modèle interne du réseau de l’organisation. Le modèle de réseau vous permet de décrire tous les segments internes du réseau, y compris le segment de serveur, DMZ, segment utilisateur, Wi-Fi, etc. Ces données sont nécessaires pour enrichir les données des infractions enregistrées ; vous pouvez utiliser les […]
Listes actives dans ArcSight, nettoyage automatique. Partie 1
Les débutants et les utilisateurs expérimentés d’ArcSight font très souvent face à une situation où ils ont besoin d’effacer automatiquement la liste active dans un cas d’utilisation. Il pourrait s’agir du scénario suivant : compter les connexions d’aujourd’hui pour chaque utilisateur en temps réel ou réinitialiser certains compteurs qui se trouvent dans la liste active […]