Introduzione Molti team di difesa informatica utilizzano MITRE ATT&CK per avanzare nella maturitĂ della loro capacitĂ di rilevamento e risposta. L’arsenale degli strumenti EDR del team di difesa, i log degli eventi e gli strumenti di triage stanno tutti aprendo la storia di ciò che sta accadendo sugli endpoint. Tuttavia, le anomalie sono normali e […]
Sfide Quotidiane del CFO in un’Azienda di Cyber Sicurezza
Ho lavorato in azienda sin dalla sua fondazione nel 2015 e, durante questo periodo, SOC Prime è evoluta da piccola startup a azienda internazionale in rapida crescita. Anche i nostri dipendenti stanno crescendo professionalmente per stare al passo con il ritmo dello sviluppo. Per ciascuno di noi, lavorare in SOC Prime ha portato sfide ed […]
Contenuto di rilevamento proattivo: CVE-2019-0708 vs ATT&CK, Sigma, Elastic e ArcSight
Penso che la maggior parte della comunitĂ di sicurezza abbia concordato che la vulnerabilitĂ CVE-2019-0708 sia di prioritĂ critica da affrontare. E mentre dire “aggiorna le tue cose!” sembra la prima cosa a cui si dovrebbe pensare, i ricordi di WannaCry e NotPetya sono ancora freschi nella mia mente. Sappiamo che l’applicazione delle patch non […]
Guida alle Regole Sigma per ArcSight
Introduzione a Sigma Sigma, creato da Florian Roth e Thomas Patzke, è un progetto open source per creare un formato di firma generico per i sistemi SIEM. L’analogia comune è che Sigma è l’equivalente del file di log di ciò che Snort è per gli IDS e di ciò che YARA è per il rilevamento […]
La Teoria e la RealtĂ del ROI del SIEM
Molte cose sono state scritte sui SIEM, eppure la mia esperienza personale con questi meravigliosi strumenti è iniziata nel 2007. Oggi la tecnologia stessa ha piĂą di 18 anni e il mercato dei SIEM è ormai maturo sotto ogni aspetto. Insieme a clienti, team e partner ho avuto il privilegio di partecipare attivamente a piĂą […]
Indagine su Stealthphish: 528 domini coinvolti in attacco BEC contro aziende Fortune 500
Circa una settimana fa abbiamo ricevuto questa informazione da uno dei nostri partner “Stiamo vedendo arrivare delle email di phishing nel nostro ambiente (interno a interno)” insieme alla condivisione di un campione di email con noi. Oggi analizzeremo i recenti attacchi di phishing mirati alle aziende Fortune 500 e Global 2000 soprannominati “Stealthphish” volti a […]
Integrazione di QRadar con VirusTotal
Ciao. Nell’ultimo articolo abbiamo considerato la creazione di regole, e oggi voglio descrivere il metodo che aiuterĂ gli amministratori di SIEM a rispondere piĂą rapidamente a possibili incidenti di sicurezza. Quando si lavora con gli incidenti di sicurezza informatica in QRadar, è estremamente importante aumentare la velocitĂ di operazione degli operatori e degli analisti nel […]
Splunk. Come colorare le righe della tabella in base alle condizioni.
Nell’articolo precedente ho dimostrato come creare una semplice dashboard che monitora l’accessibilitĂ delle fonti in Splunk. Oggi voglio mostrarti come rendere qualsiasi tabella nella dashboard piĂą evidente e comoda. Diamo un’occhiata a il mio ultimo articolo e continuiamo a migliorare la funzionalitĂ della tabella che ho ottenuto come risultato evidenziando le righe della tabella con […]
Liste Attive in ArcSight, Pulizia Automatica. Parte 2
Un compito molto comune per tutti gli sviluppatori di contenuti ArcSight è la pulizia delle liste attive su base programmata o su richiesta automaticamente. Nel post precedente ho descritto come pulire le Liste Attive su base programmata utilizzando i trend: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Oggi ti mostrerò altri due modi in cui ciò può essere realizzato. Pulizia automatica delle […]
Creare una dashboard semplice che monitora l’accessibilitĂ delle fonti in Splunk
Nell’articolo precedente, abbiamo esaminato l’uso dei pannelli dipende per creare visualizzazioni convenienti nei dashboard. Se te lo sei perso, segui il link: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Molte persone che iniziano a studiare Splunk hanno domande sul monitoraggio della disponibilitĂ dei dati in ingresso: quando è stata l’ultima volta che i dati sono arrivati da una particolare fonte, quando i […]