Les débutants et les utilisateurs expérimentés d’ArcSight font très souvent face à une situation où ils ont besoin d’effacer automatiquement la liste active dans un cas d’utilisation. Il pourrait s’agir du scénario suivant : compter les connexions d’aujourd’hui pour chaque utilisateur en temps réel ou réinitialiser certains compteurs qui se trouvent dans la liste active […]
Corrélation Historique
Que faire si j’ai déployé ou conçu un nouveau cas d’utilisation et je veux savoir si mon entreprise a été exposée à la menace dans le passé? Dans ArcSight, beaucoup de personnes se demandent s’il existe un moyen de réaliser une corrélation historique. Ils ont même plusieurs scénarios réels pour cela. Le premier est les […]
Comment résoudre les problèmes de parsing dans QRadar sans support technique
Tous les produits QRadar peuvent être divisés en deux groupes : les versions antérieures à 7.2.8 et toutes les versions les plus récentes. Dans les versions 7.2.8+ de QRadar, tous les changements de parsing sont effectués depuis la console WEB. Pour résoudre un problème de parsing, vous devez effectuer les étapes suivantes : Créez une recherche sur […]
Fournir des flux TI dans ArcSight sans déclenchements de faux positifs
Chaque utilisateur ou administrateur d’ArcSight est confronté à des déclenchements de règles faux positifs lors de la livraison des flux de renseignements sur les menaces à ArcSight. Cela se produit principalement lorsque les événements sources de renseignement sur les menaces ne sont pas exclus de la condition de la règle ou que le connecteur tente […]
Scénario de corrélation simple pour Splunk utilisant des tables de recherche
La corrélation d’événements joue un rôle important dans la détection des incidents et nous permet de nous concentrer sur les événements qui importent vraiment pour les services métiers ou les processus IT/sécurité.
Petya.A / NotPetya est une arme cybernétique alimentée par l’IA, les TTP mènent au groupe APT Sandworm
Cet été a été brûlant pour l’industrie de la sécurité : en moins d’une semaine depuis que le ransomware initialement suspecté Petya.A s’est avéré être bien plus que ce qui se révèle à première vue. Les chercheurs en sécurité du monde entier l’ont justement surnommé NotPetya et EternalPetya, car le malware n’a jamais été destiné […]
Fini le WannaCry : IOC de vers de rançongiciel, C2 Tor et analyse technique + règles SIEM
Bonne nouvelle à tous ! Après une longue journée, nuit et matinée à étudier les nouvelles, rechercher et traquer le runçongiciel #WannaCry, il y a quelques découvertes à partager. Cela inclut des IOCs pour Host et Network, leur analyse obtenue avec l’aide de chercheurs en sécurité et praticiens, une révision de l’infrastructure C2 et ses […]
Conférence internationale sur la cybersécurité 1 Cyber For All 7
Le 24.11.2016, SOC Prime, Inc a organisé la première conférence internationale sur la cybersécurité « Cyber For All » à Kyiv, en Ukraine. Le personnel de SOC Prime et ses partenaires commerciaux ont fait des présentations et plusieurs clients ont partagé leurs véritables histoires de succès sur leur utilisation des produits SOC Prime. La conférence a été […]
Digest du botnet Mirai : aperçu des menaces, analyses et remédiation
Une citation d’un célèbre professeur « Bonne nouvelle à tous ! » conviendrait le mieux aux événements récents lorsque l’ Internet des choses a semé le chaos dans le monde numérique entier, avec le botnet Mirai étant l’un de ses sbires infâmes. Avant que les détecteurs de sarcasme ne cassent : la situation est effectivement […]
Hameçonnage des comptes DHL : « DHL & MOTS DE PASSE »
Bonjour à tous ! Aujourd’hui, nous allons nous concentrer sur un exemple récent de phishing simple issu de la pratique actuelle comme toujours. Analysons la lettre suivante :