Introduction à Sigma Sigma, créé par Florian Roth et Thomas Patzke, est un projet open source visant à créer un format de signature générique pour les systèmes SIEM. L’analogie courante est que Sigma est l’équivalent des journaux de ce que Snort est pour IDS et YARA pour la détection de logiciels malveillants basés sur des […]
La Théorie et la Réalité du ROI des SIEM
Beaucoup de choses sont écrites sur le SIEM, mais mon expérience personnelle avec ces merveilleux outils a commencé en 2007. Aujourd’hui, la technologie elle-même a plus de 18 ans et le SIEM est à tous égards un marché mature. Avec des clients, une équipe et des partenaires, j’ai eu le privilège de participer activement à […]
Enquête Stealthphish : 528 domaines impliqués dans une attaque BEC contre des entreprises du Fortune 500
Il y a environ une semaine, nous avons reçu cette info de l’un de nos partenaires : « Nous voyons des e-mails de phishing circulant dans notre environnement (Interne à Interne) » accompagnée d’un échantillon de courriel partagé avec nous. Aujourd’hui, nous allons analyser les récentes attaques de phishing ciblant les entreprises Fortune 500 et […]
Intégration de QRadar avec VirusTotal
Bonjour. Dans le dernier article, nous avons envisagé créer des règles, et aujourd’hui je veux décrire la méthode qui aidera les administrateurs SIEM à répondre plus rapidement aux incidents de sécurité possibles. Lors de la gestion des incidents de sécurité de l’information dans QRadar, il est extrêmement important d’augmenter la vitesse de travail des opérateurs […]
Splunk. Comment colorer les lignes de tableau en fonction des conditions.
Dans l’article précédent, j’ai démontré comment créer un tableau de bord simple qui surveille l’accessibilité des sources dans Splunk. Aujourd’hui, je veux vous montrer comment rendre tout tableau du tableau de bord plus évident et pratique. Regardons mon dernier article et continuons à améliorer la fonctionnalité du tableau que j’ai obtenu en ajoutant des lignes […]
Listes actives dans ArcSight, nettoyage automatique. Partie 2
Une tâche très courante pour tous les développeurs de contenu ArcSight est de nettoyer les listes actives de manière planifiée ou à la demande automatiquement. Dans le précédent article, j’ai décrit comment effacer les listes actives de manière planifiée en utilisant les tendances : https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Aujourd’hui, je vais vous montrer deux autres façons d’y parvenir. Nettoyage […]
Créer un tableau de bord simple pour surveiller l’accessibilité des sources dans Splunk
Dans l’article précédent, nous avons examiné l’utilisation du panneau dépendant pour créer des visualisations pratiques dans les tableaux de bord. Si vous l’avez manqué, suivez le lien : https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Beaucoup de personnes qui commencent à étudier Splunk se posent des questions sur la surveillance de la disponibilité des données entrantes : quand les données sont-elles venues […]
Créer des règles dans IBM QRadar
Dans mon article précédent, j’ai écrit sur comment mettre à jour votre IBM QRadar. Mais le bon fonctionnement de tout SIEM ne consiste pas seulement à mettre à jour la version, ou à collecter et stocker des événements de diverses sources de données. La tâche principale du SIEM est d’identifier les incidents de sécurité. Le […]
Utilisation des panneaux de dépendance dans Splunk pour créer des drilldowns pratiques
Dans l’article précédent, nous avons examiné une intégration simple avec des ressources web externes en utilisant des drilldowns. Si vous l’avez manqué, suivez le lien : https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Aujourd’hui, nous allons nous familiariser avec une autre variante intéressante de drilldowns dans Splunk : l’utilisation des panels dépendants. Panels dépendants dans Splunk : une façon intéressante d’utiliser les drilldowns dans […]
Avis de sécurité. Ver de ransomware Bad Rabbit.
La recherche est basée sur l’analyse des preuves OSINT, des preuves locales, des retours des victimes d’attaques et de la méthodologie MITRE ATT&CK utilisée pour l’attribution des acteurs. SOC Prime souhaite exprimer sa gratitude aux chercheurs en sécurité indépendants et aux entreprises spécialisées en sécurité qui ont partagé les rapports de rétro-ingénierie et l’analyse des […]