SIEM & EDR

ArcSight. Ottimizzazione EPS (Aggregazione e Filtrazione)

Quasi tutti i principianti di ArcSight si trovano di fronte a una situazione in cui ci sono EPS in entrata elevate dalle fonti di log, specialmente quando è critico per i limiti della licenza o causa problemi di prestazioni. Per ridurre gli EPS in entrata, ArcSight ha due metodi nativi per la elaborazione degli eventi: […]

Arricchire gli eventi con dati aggiuntivi

Nell’articolo precedente, abbiamo esaminato Campi di dati aggiuntivi e come usarli. Ma cosa succede se gli eventi non hanno le informazioni necessarie/obbligatorie/neccessarie nemmeno nei campi di Dati Aggiuntivi? Può capitare di trovarsi nella situazione in cui gli eventi in ArcSight non contengano tutte le informazioni necessarie per gli Analisti. Ad esempio, ID utente invece del […]

Configurazione, Eventi e Backup dei Contenuti in IBM QRadar

Lavorando con SIEM, ci si imbatte prima o poi in una situazione in cui il proprio strumento deve essere aggiornato all’ultima versione, spostato in un altro data center o migrato a un’installazione più produttiva. Una parte integrante di questo processo è la creazione di backup e il trasferimento successivo di dati, configurazioni o contenuti personalizzati […]

Integrazione semplice di Virus Total con dashboard di Splunk

L’integrazione semplice aiuta a cercare processi malevoli Saluti a tutti! Continuiamo a trasformare Splunk in uno strumento polivalente che può rilevare rapidamente qualsiasi minaccia. Il mio ultimo articolo ha descritto come creare eventi di correlazione usando gli Avvisi. Ora ti dirò come effettuare una semplice integrazione con la base di Virus Total. Molti di noi […]

Filtraggio Eventi in IBM QRadar

Durante la configurazione di uno strumento SIEM (incluso IBM QRadar), gli amministratori spesso prendono la decisione sbagliata: “Invieremo tutti i log al SIEM, e poi capiremo cosa farne.” Tali azioni portano più spesso a un enorme utilizzo della licenza, un carico di lavoro enorme su uno strumento SIEM, la comparsa di una coda di cache […]

Asset e descrizione degli oggetti di infrastruttura critica

Durante l’implementazione e l’uso di IBM QRadar, gli utenti spesso pongono le seguenti domande: cosa sono gli Asset? A cosa servono? Cosa possiamo fare con essi? Come automatizzare il riempimento del modello Assets? ‘Assets’ è un modello che descrive l’infrastruttura e consente al sistema IBM QRadar di reagire in modo diverso agli eventi associati agli […]

Creazione di Eventi di Correlazione in Splunk utilizzando gli Avvisi

Molti utenti SIEM pongono una domanda: in cosa differiscono gli strumenti SIEM di Splunk e HPE ArcSight? Gli utenti di ArcSight sono convinti che gli eventi di correlazione in ArcSight siano un argomento ponderato a favore dell’utilizzo di questo SIEM perché Splunk non ha gli stessi eventi. Distruggiamo questo mito. Splunk ha molte opzioni per […]

Dati Aggiuntivi in ArcSight ESM

Tutti coloro che hanno mai installato un singolo ArcSight SmartConnector conoscono il capitolo ‘Mappatura degli eventi del dispositivo sui campi ArcSight’ nella guida all’installazione, dove è possibile trovare informazioni sulla mappatura dei campi specifici del dispositivo con lo schema degli eventi ArcSight. È un capitolo essenziale per gli analisti, giusto? Sicuramente, hai notato che per […]

Che cos’è la gerarchia di rete e come utilizzarla in IBM QRadar

La gerarchia di rete è una descrizione del modello interno della rete dell’organizzazione. Il modello di rete consente di descrivere tutti i segmenti interni della rete, inclusi il segmento server, la DMZ, il segmento utente, il Wi-Fi e così via. Questi dati sono necessari per arricchire i dati degli Offenses registrati; puoi utilizzare i dati […]

Liste Attive in ArcSight, pulizia automatica. Parte 1

I principianti e gli utenti esperti di ArcSight spesso si trovano in una situazione in cui è necessario cancellare automaticamente l’Active List in un caso d’uso. Potrebbe essere il seguente scenario: contare i login di oggi per ogni utente in tempo reale o resettare alcuni contatori che sono nell’Active List all’orario specificato.