Lors de la configuration d’un outil SIEM (y compris IBM QRadar), les administrateurs prennent souvent la mauvaise décision : « Envoyons tous les journaux à SIEM, puis nous déciderons quoi en faire. » De telles actions mènent le plus souvent à une utilisation énorme des licences, une charge de travail énorme sur un outil SIEM, l’apparition d’une file […]
Lors de l’implémentation et de l’utilisation d’IBM QRadar, les utilisateurs posent souvent les questions suivantes : que sont les Ressources ? Pourquoi sont-elles nécessaires ? Que pouvons-nous faire avec elles ? Comment automatiser le remplissage du modèle des Ressources ? Les ‘Ressources’ est un modèle qui décrit l’infrastructure et permet au système IBM QRadar de […]
De nombreux utilisateurs de SIEM posent une question : Comment les outils SIEM de Splunk et HPE ArcSight diffèrent-ils ? Les utilisateurs d’ArcSight sont convaincus que les événements de corrélation dans ArcSight sont un argument de poids en faveur de l’utilisation de ce SIEM, car Splunk n’a pas les mêmes événements. Détruisons ce mythe. Splunk […]
Tous ceux qui ont déjà installé un seul SmartConnector ArcSight connaissent le chapitre ‘Mappage des événements de l’appareil aux champs ArcSight’ dans le guide d’installation où vous pouvez trouver des informations sur le mappage des champs spécifiques aux appareils au schéma d’événement ArcSight. C’est un chapitre essentiel pour les analystes, n’est-ce pas ? Certainement, vous […]
La hiérarchie du réseau est une description du modèle interne du réseau de l’organisation. Le modèle de réseau vous permet de décrire tous les segments internes du réseau, y compris le segment de serveur, DMZ, segment utilisateur, Wi-Fi, etc. Ces données sont nécessaires pour enrichir les données des infractions enregistrées ; vous pouvez utiliser les […]
Les débutants et les utilisateurs expérimentés d’ArcSight font très souvent face à une situation où ils ont besoin d’effacer automatiquement la liste active dans un cas d’utilisation. Il pourrait s’agir du scénario suivant : compter les connexions d’aujourd’hui pour chaque utilisateur en temps réel ou réinitialiser certains compteurs qui se trouvent dans la liste active […]
Que faire si j’ai déployé ou conçu un nouveau cas d’utilisation et je veux savoir si mon entreprise a été exposée à la menace dans le passé? Dans ArcSight, beaucoup de personnes se demandent s’il existe un moyen de réaliser une corrélation historique. Ils ont même plusieurs scénarios réels pour cela. Le premier est les […]
Tous les produits QRadar peuvent être divisés en deux groupes : les versions antérieures à 7.2.8 et toutes les versions les plus récentes. Dans les versions 7.2.8+ de QRadar, tous les changements de parsing sont effectués depuis la console WEB. Pour résoudre un problème de parsing, vous devez effectuer les étapes suivantes : Créez une recherche sur […]
Chaque utilisateur ou administrateur d’ArcSight est confronté à des déclenchements de règles faux positifs lors de la livraison des flux de renseignements sur les menaces à ArcSight. Cela se produit principalement lorsque les événements sources de renseignement sur les menaces ne sont pas exclus de la condition de la règle ou que le connecteur tente […]
La corrélation d’événements joue un rôle important dans la détection des incidents et nous permet de nous concentrer sur les événements qui importent vraiment pour les services métiers ou les processus IT/sécurité.