L’objectif de ce blog est d’expliquer la nécessité des méthodes d’analyse manuelles (non basées sur des alertes) dans la traque des menaces. Un exemple d’analyse manuelle efficace via l’agrégation/compte des piles est fourni. L’automatisation est nécessaire L’automatisation est absolument cruciale et en tant que traqueurs de menaces, nous devons automatiser autant que possible là où […]
Introduction à Sigma Sigma, créé par Florian Roth et Thomas Patzke, est un projet open source visant à créer un format de signature générique pour les systèmes SIEM. L’analogie courante est que Sigma est l’équivalent des journaux de ce que Snort est pour IDS et YARA pour la détection de logiciels malveillants basés sur des […]
Bonjour. Dans le dernier article, nous avons envisagé créer des règles, et aujourd’hui je veux décrire la méthode qui aidera les administrateurs SIEM à répondre plus rapidement aux incidents de sécurité possibles. Lors de la gestion des incidents de sécurité de l’information dans QRadar, il est extrêmement important d’augmenter la vitesse de travail des opérateurs […]
Dans l’article précédent, j’ai démontré comment créer un tableau de bord simple qui surveille l’accessibilité des sources dans Splunk. Aujourd’hui, je veux vous montrer comment rendre tout tableau du tableau de bord plus évident et pratique. Regardons mon dernier article et continuons à améliorer la fonctionnalité du tableau que j’ai obtenu en ajoutant des lignes […]
Dans mon article précédent, j’ai écrit sur comment mettre à jour votre IBM QRadar. Mais le bon fonctionnement de tout SIEM ne consiste pas seulement à mettre à jour la version, ou à collecter et stocker des événements de diverses sources de données. La tâche principale du SIEM est d’identifier les incidents de sécurité. Le […]
Le bon fonctionnement du SIEM dépend directement de la correction des vulnérabilités et problèmes détectés dans son fonctionnement. La méthode principale pour ce faire est de mettre à jour le système vers la dernière version. Les mises à jour peuvent inclure la correction de problèmes de sécurité, le déploiement de nouvelles fonctionnalités, l’amélioration des performances […]
Presque tous les débutants sur ArcSight font face à une situation où il y a un nombre élevé d’EPS entrant provenant des sources de journaux, surtout lorsque cela critique les limites de licence ou cause des problèmes de performance. Pour réduire l’EPS entrant, ArcSight dispose de deux méthodes natives pour le traitement des événements : […]
Dans l’article précédent, nous avons examiné champs de données supplémentaires et comment les utiliser. Mais que faire si les événements ne contiennent pas les informations nécessaires/mêmes requises, même dans les champs de données supplémentaires ? Vous pouvez toujours vous retrouver dans une situation où les événements dans ArcSight ne contiennent pas toutes les informations nécessaires […]
En travaillant avec le SIEM, vous finirez par rencontrer une situation où votre outil nécessite d’être mis à jour vers la dernière version, déplacé vers un autre centre de données ou migré vers une installation plus productive. Une partie intégrante de cela est la création de sauvegardes et le transfert ultérieur de données, de configurations […]
Une intégration simple aide à rechercher des processus malveillants Salutations à tous ! Continuons à transformer Splunk en un outil polyvalent qui peut détecter rapidement toute menace. Mon dernier article décrivait comment créer des événements de corrélation à l’aide des Alertes. Maintenant, je vais vous expliquer comment faire une intégration simple avec la base Virus […]