Créer une règle personnaliséeVous pouvez créer une règle personnalisée pour générer une infraction ou envoyer des notifications lorsque les journaux cessent de provenir de toute source de journal. Aller à la section Règles : Accédez à Infractions > Règles. Cliquez sur Actions > Nouvelle règle d’événement. Ensuite vous Assistant de règle fenêtre.À cette étape, utilisez le paramètre par défaut. après cela, vous verrez […]
Bonjour. Dans le dernier article, nous avons envisagé créer des règles, et aujourd’hui je veux décrire la méthode qui aidera les administrateurs SIEM à répondre plus rapidement aux incidents de sécurité possibles. Lors de la gestion des incidents de sécurité de l’information dans QRadar, il est extrêmement important d’augmenter la vitesse de travail des opérateurs […]
Dans mon article précédent, j’ai écrit sur comment mettre à jour votre IBM QRadar. Mais le bon fonctionnement de tout SIEM ne consiste pas seulement à mettre à jour la version, ou à collecter et stocker des événements de diverses sources de données. La tâche principale du SIEM est d’identifier les incidents de sécurité. Le […]
Le bon fonctionnement du SIEM dépend directement de la correction des vulnérabilités et problèmes détectés dans son fonctionnement. La méthode principale pour ce faire est de mettre à jour le système vers la dernière version. Les mises à jour peuvent inclure la correction de problèmes de sécurité, le déploiement de nouvelles fonctionnalités, l’amélioration des performances […]
En travaillant avec le SIEM, vous finirez par rencontrer une situation où votre outil nécessite d’être mis à jour vers la dernière version, déplacé vers un autre centre de données ou migré vers une installation plus productive. Une partie intégrante de cela est la création de sauvegardes et le transfert ultérieur de données, de configurations […]
Lors de la configuration d’un outil SIEM (y compris IBM QRadar), les administrateurs prennent souvent la mauvaise décision : « Envoyons tous les journaux à SIEM, puis nous déciderons quoi en faire. » De telles actions mènent le plus souvent à une utilisation énorme des licences, une charge de travail énorme sur un outil SIEM, l’apparition d’une file […]
Lors de l’implémentation et de l’utilisation d’IBM QRadar, les utilisateurs posent souvent les questions suivantes : que sont les Ressources ? Pourquoi sont-elles nécessaires ? Que pouvons-nous faire avec elles ? Comment automatiser le remplissage du modèle des Ressources ? Les ‘Ressources’ est un modèle qui décrit l’infrastructure et permet au système IBM QRadar de […]
La hiérarchie du réseau est une description du modèle interne du réseau de l’organisation. Le modèle de réseau vous permet de décrire tous les segments internes du réseau, y compris le segment de serveur, DMZ, segment utilisateur, Wi-Fi, etc. Ces données sont nécessaires pour enrichir les données des infractions enregistrées ; vous pouvez utiliser les […]
Tous les produits QRadar peuvent être divisés en deux groupes : les versions antérieures à 7.2.8 et toutes les versions les plus récentes. Dans les versions 7.2.8+ de QRadar, tous les changements de parsing sont effectués depuis la console WEB. Pour résoudre un problème de parsing, vous devez effectuer les étapes suivantes : Créez une recherche sur […]
Le 24.11.2016, SOC Prime, Inc a organisé la première conférence internationale sur la cybersécurité « Cyber For All » à Kyiv, en Ukraine. Le personnel de SOC Prime et ses partenaires commerciaux ont fait des présentations et plusieurs clients ont partagé leurs véritables histoires de succès sur leur utilisation des produits SOC Prime. La conférence a été […]