Introduction à Sigma Sigma, créé par Florian Roth et Thomas Patzke, est un projet open source visant à créer un format de signature générique pour les systèmes SIEM. L’analogie courante est que Sigma est l’équivalent des journaux de ce que Snort est pour IDS et YARA pour la détection de logiciels malveillants basés sur des […]
Presque tous les débutants sur ArcSight font face à une situation où il y a un nombre élevé d’EPS entrant provenant des sources de journaux, surtout lorsque cela critique les limites de licence ou cause des problèmes de performance. Pour réduire l’EPS entrant, ArcSight dispose de deux méthodes natives pour le traitement des événements : […]
Dans l’article précédent, nous avons examiné champs de données supplémentaires et comment les utiliser. Mais que faire si les événements ne contiennent pas les informations nécessaires/mêmes requises, même dans les champs de données supplémentaires ? Vous pouvez toujours vous retrouver dans une situation où les événements dans ArcSight ne contiennent pas toutes les informations nécessaires […]
Tous ceux qui ont déjà installé un seul SmartConnector ArcSight connaissent le chapitre ‘Mappage des événements de l’appareil aux champs ArcSight’ dans le guide d’installation où vous pouvez trouver des informations sur le mappage des champs spécifiques aux appareils au schéma d’événement ArcSight. C’est un chapitre essentiel pour les analystes, n’est-ce pas ? Certainement, vous […]
Les débutants et les utilisateurs expérimentés d’ArcSight font très souvent face à une situation où ils ont besoin d’effacer automatiquement la liste active dans un cas d’utilisation. Il pourrait s’agir du scénario suivant : compter les connexions d’aujourd’hui pour chaque utilisateur en temps réel ou réinitialiser certains compteurs qui se trouvent dans la liste active […]
Que faire si j’ai déployé ou conçu un nouveau cas d’utilisation et je veux savoir si mon entreprise a été exposée à la menace dans le passé? Dans ArcSight, beaucoup de personnes se demandent s’il existe un moyen de réaliser une corrélation historique. Ils ont même plusieurs scénarios réels pour cela. Le premier est les […]
Chaque utilisateur ou administrateur d’ArcSight est confronté à des déclenchements de règles faux positifs lors de la livraison des flux de renseignements sur les menaces à ArcSight. Cela se produit principalement lorsque les événements sources de renseignement sur les menaces ne sont pas exclus de la condition de la règle ou que le connecteur tente […]
Le 24.11.2016, SOC Prime, Inc a organisé la première conférence internationale sur la cybersécurité « Cyber For All » à Kyiv, en Ukraine. Le personnel de SOC Prime et ses partenaires commerciaux ont fait des présentations et plusieurs clients ont partagé leurs véritables histoires de succès sur leur utilisation des produits SOC Prime. La conférence a été […]