Tag: Events

Dans l’article précédent, nous avons examiné champs de données supplémentaires et comment les utiliser. Mais que faire si les événements ne contiennent pas les informations nécessaires/mêmes requises, même dans les champs de données supplémentaires ? Vous pouvez toujours vous retrouver dans une situation où les événements dans ArcSight ne contiennent pas toutes les informations nécessaires […]

En travaillant avec le SIEM, vous finirez par rencontrer une situation où votre outil nécessite d’être mis à jour vers la dernière version, déplacé vers un autre centre de données ou migré vers une installation plus productive. Une partie intégrante de cela est la création de sauvegardes et le transfert ultérieur de données, de configurations […]

Lors de la configuration d’un outil SIEM (y compris IBM QRadar), les administrateurs prennent souvent la mauvaise décision : « Envoyons tous les journaux à SIEM, puis nous déciderons quoi en faire. » De telles actions mènent le plus souvent à une utilisation énorme des licences, une charge de travail énorme sur un outil SIEM, l’apparition d’une file […]

De nombreux utilisateurs de SIEM posent une question : Comment les outils SIEM de Splunk et HPE ArcSight diffèrent-ils ? Les utilisateurs d’ArcSight sont convaincus que les événements de corrélation dans ArcSight sont un argument de poids en faveur de l’utilisation de ce SIEM, car Splunk n’a pas les mêmes événements. Détruisons ce mythe. Splunk […]

Que faire si j’ai déployé ou conçu un nouveau cas d’utilisation et je veux savoir si mon entreprise a été exposée à la menace dans le passé? Dans ArcSight, beaucoup de personnes se demandent s’il existe un moyen de réaliser une corrélation historique. Ils ont même plusieurs scénarios réels pour cela. Le premier est les […]

Tous les produits QRadar peuvent être divisés en deux groupes : les versions antérieures à 7.2.8 et toutes les versions les plus récentes. Dans les versions 7.2.8+ de QRadar, tous les changements de parsing sont effectués depuis la console WEB. Pour résoudre un problème de parsing, vous devez effectuer les étapes suivantes : Créez une recherche sur […]

La corrélation d’événements joue un rôle important dans la détection des incidents et nous permet de nous concentrer sur les événements qui importent vraiment pour les services métiers ou les processus IT/sécurité.