Nel mio articolo precedente, ho scritto di come aggiornare il tuo IBM QRadar. Ma il corretto funzionamento di qualsiasi SIEM non consiste solo nell’aggiornamento della build o nella raccolta e archiviazione degli eventi da varie fonti di dati. Il compito principale di un SIEM è identificare gli incidenti di sicurezza. Il fornitore fornisce regole di […]
Utilizzo dei pannelli dipendenti in Splunk per creare drilldown convenienti
Nel precedente articolo, abbiamo esaminato una semplice integrazione con risorse web esterne utilizzando i drilldowns. Se lo hai perso, segui il link: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Oggi ci familiarizziamo con un’altra interessante variante di drilldowns in Splunk: l’uso dei pannelli ‘depends’. Pannelli ‘depends’ in Splunk: un modo interessante di usare i drilldowns nei dashboard Molto spesso c’è la necessitĂ […]
Consiglio di Sicurezza. Ransomware Worm Bad Rabbit.
La ricerca si basa sull’analisi di prove OSINT, prove locali, feedback delle vittime degli attacchi e metodologia MITRE ATT&CK utilizzata per l’attribuzione degli attori. SOC Prime desidera esprimere gratitudine ai ricercatori di sicurezza indipendenti e alle aziende specializzate in sicurezza che hanno condiviso i report di reverse engineering e l’analisi degli attacchi sulle fonti pubbliche […]
Aggiornamento di IBM QRadar
Il funzionamento efficiente del SIEM dipende direttamente dalla risoluzione delle vulnerabilitĂ rilevate e dei problemi nel suo funzionamento. Il metodo principale per farlo è aggiornare il sistema all’ultima versione. Gli aggiornamenti possono includere la risoluzione di problemi di sicurezza, il rilascio di nuove funzionalitĂ , il miglioramento delle prestazioni del sistema, patch e così via. Nel […]
ArcSight. Ottimizzazione EPS (Aggregazione e Filtrazione)
Quasi tutti i principianti di ArcSight si trovano di fronte a una situazione in cui ci sono EPS in entrata elevate dalle fonti di log, specialmente quando è critico per i limiti della licenza o causa problemi di prestazioni. Per ridurre gli EPS in entrata, ArcSight ha due metodi nativi per la elaborazione degli eventi: […]
Arricchire gli eventi con dati aggiuntivi
Nell’articolo precedente, abbiamo esaminato Campi di dati aggiuntivi e come usarli. Ma cosa succede se gli eventi non hanno le informazioni necessarie/obbligatorie/neccessarie nemmeno nei campi di Dati Aggiuntivi? Può capitare di trovarsi nella situazione in cui gli eventi in ArcSight non contengano tutte le informazioni necessarie per gli Analisti. Ad esempio, ID utente invece del […]
Configurazione, Eventi e Backup dei Contenuti in IBM QRadar
Lavorando con SIEM, ci si imbatte prima o poi in una situazione in cui il proprio strumento deve essere aggiornato all’ultima versione, spostato in un altro data center o migrato a un’installazione piĂą produttiva. Una parte integrante di questo processo è la creazione di backup e il trasferimento successivo di dati, configurazioni o contenuti personalizzati […]
Integrazione semplice di Virus Total con dashboard di Splunk
L’integrazione semplice aiuta a cercare processi malevoli Saluti a tutti! Continuiamo a trasformare Splunk in uno strumento polivalente che può rilevare rapidamente qualsiasi minaccia. Il mio ultimo articolo ha descritto come creare eventi di correlazione usando gli Avvisi. Ora ti dirò come effettuare una semplice integrazione con la base di Virus Total. Molti di noi […]
DNSmasq può innescare un attacco informatico più grande di WannaCry e Mirai
Buone notizie a tutti! Ora sono passati 10 giorni da quando Google Security ha rilasciato 7 vulnerabilitĂ critiche insieme al codice exploit PoC per il servizio dnsmasq popolare e il mondo è ancora vivo come lo conosciamo. Quanto durerĂ ? Se ci riferiamo all’epidemia di WannaCry, ci vuole un po’ di tempo tra il rilascio di […]
Filtraggio Eventi in IBM QRadar
Durante la configurazione di uno strumento SIEM (incluso IBM QRadar), gli amministratori spesso prendono la decisione sbagliata: “Invieremo tutti i log al SIEM, e poi capiremo cosa farne.” Tali azioni portano piĂą spesso a un enorme utilizzo della licenza, un carico di lavoro enorme su uno strumento SIEM, la comparsa di una coda di cache […]