Les dĂ©butants et les utilisateurs expĂ©rimentĂ©s d’ArcSight font très souvent face Ă une situation oĂą ils ont besoin d’effacer automatiquement la liste active dans un cas d’utilisation. Il pourrait s’agir du scĂ©nario suivant : compter les connexions d’aujourd’hui pour chaque utilisateur en temps rĂ©el ou rĂ©initialiser certains compteurs qui se trouvent dans la liste active […]
Corrélation Historique
Que faire si j’ai dĂ©ployĂ© ou conçu un nouveau cas d’utilisation et je veux savoir si mon entreprise a Ă©tĂ© exposĂ©e Ă la menace dans le passĂ©? Dans ArcSight, beaucoup de personnes se demandent s’il existe un moyen de rĂ©aliser une corrĂ©lation historique. Ils ont mĂŞme plusieurs scĂ©narios rĂ©els pour cela. Le premier est les […]
Comment résoudre les problèmes de parsing dans QRadar sans support technique
Tous les produits QRadar peuvent ĂŞtre divisĂ©s en deux groupes : les versions antĂ©rieures Ă 7.2.8 et toutes les versions les plus rĂ©centes. Dans les versions 7.2.8+ de QRadar, tous les changements de parsing sont effectuĂ©s depuis la console WEB. Pour rĂ©soudre un problème de parsing, vous devez effectuer les Ă©tapes suivantes : CrĂ©ez une recherche sur […]
Fournir des flux TI dans ArcSight sans déclenchements de faux positifs
Chaque utilisateur ou administrateur d’ArcSight est confrontĂ© Ă des dĂ©clenchements de règles faux positifs lors de la livraison des flux de renseignements sur les menaces Ă ArcSight. Cela se produit principalement lorsque les Ă©vĂ©nements sources de renseignement sur les menaces ne sont pas exclus de la condition de la règle ou que le connecteur tente […]
Scénario de corrélation simple pour Splunk utilisant des tables de recherche
La corrĂ©lation d’Ă©vĂ©nements joue un rĂ´le important dans la dĂ©tection des incidents et nous permet de nous concentrer sur les Ă©vĂ©nements qui importent vraiment pour les services mĂ©tiers ou les processus IT/sĂ©curitĂ©.
Petya.A / NotPetya est une arme cybernĂ©tique alimentĂ©e par l’IA, les TTP mènent au groupe APT Sandworm
Cet Ă©tĂ© a Ă©tĂ© brĂ»lant pour l’industrie de la sĂ©curitĂ© : en moins d’une semaine depuis que le ransomware initialement suspectĂ© Petya.A s’est avĂ©rĂ© ĂŞtre bien plus que ce qui se rĂ©vèle Ă première vue. Les chercheurs en sĂ©curitĂ© du monde entier l’ont justement surnommĂ© NotPetya et EternalPetya, car le malware n’a jamais Ă©tĂ© destinĂ© […]
Fini le WannaCry : IOC de vers de rançongiciel, C2 Tor et analyse technique + règles SIEM
Bonne nouvelle Ă tous ! Après une longue journĂ©e, nuit et matinĂ©e Ă Ă©tudier les nouvelles, rechercher et traquer le runçongiciel #WannaCry, il y a quelques dĂ©couvertes Ă partager. Cela inclut des IOCs pour Host et Network, leur analyse obtenue avec l’aide de chercheurs en sĂ©curitĂ© et praticiens, une rĂ©vision de l’infrastructure C2 et ses […]
Conférence internationale sur la cybersécurité 1 Cyber For All 7
Le 24.11.2016, SOC Prime, Inc a organisĂ© la première confĂ©rence internationale sur la cybersĂ©curitĂ© « Cyber For All » Ă Kyiv, en Ukraine. Le personnel de SOC Prime et ses partenaires commerciaux ont fait des prĂ©sentations et plusieurs clients ont partagĂ© leurs vĂ©ritables histoires de succès sur leur utilisation des produits SOC Prime. La confĂ©rence a Ă©tĂ© […]
Digest du botnet Mirai : aperçu des menaces, analyses et remédiation
Une citation d’un cĂ©lèbre professeur « Bonne nouvelle Ă tous ! » conviendrait le mieux aux Ă©vĂ©nements rĂ©cents lorsque l’ Internet des choses a semĂ© le chaos dans le monde numĂ©rique entier, avec le botnet Mirai Ă©tant l’un de ses sbires infâmes. Avant que les dĂ©tecteurs de sarcasme ne cassent : la situation est effectivement […]
Hameçonnage des comptes DHL : « DHL & MOTS DE PASSE »
Bonjour Ă tous ! Aujourd’hui, nous allons nous concentrer sur un exemple rĂ©cent de phishing simple issu de la pratique actuelle comme toujours. Analysons la lettre suivante :