Durante l’implementazione e l’uso di IBM QRadar, gli utenti spesso pongono le seguenti domande: cosa sono gli Asset? A cosa servono? Cosa possiamo fare con essi? Come automatizzare il riempimento del modello Assets? ‘Assets’ è un modello che descrive l’infrastruttura e consente al sistema IBM QRadar di reagire in modo diverso agli eventi associati agli […]
Creazione di Eventi di Correlazione in Splunk utilizzando gli Avvisi
Molti utenti SIEM pongono una domanda: in cosa differiscono gli strumenti SIEM di Splunk e HPE ArcSight? Gli utenti di ArcSight sono convinti che gli eventi di correlazione in ArcSight siano un argomento ponderato a favore dell’utilizzo di questo SIEM perché Splunk non ha gli stessi eventi. Distruggiamo questo mito. Splunk ha molte opzioni per […]
Dati Aggiuntivi in ArcSight ESM
Tutti coloro che hanno mai installato un singolo ArcSight SmartConnector conoscono il capitolo ‘Mappatura degli eventi del dispositivo sui campi ArcSight’ nella guida all’installazione, dove è possibile trovare informazioni sulla mappatura dei campi specifici del dispositivo con lo schema degli eventi ArcSight. È un capitolo essenziale per gli analisti, giusto? Sicuramente, hai notato che per […]
Che cos’è la gerarchia di rete e come utilizzarla in IBM QRadar
La gerarchia di rete è una descrizione del modello interno della rete dell’organizzazione. Il modello di rete consente di descrivere tutti i segmenti interni della rete, inclusi il segmento server, la DMZ, il segmento utente, il Wi-Fi e così via. Questi dati sono necessari per arricchire i dati degli Offenses registrati; puoi utilizzare i dati […]
Liste Attive in ArcSight, pulizia automatica. Parte 1
I principianti e gli utenti esperti di ArcSight spesso si trovano in una situazione in cui è necessario cancellare automaticamente l’Active List in un caso d’uso. Potrebbe essere il seguente scenario: contare i login di oggi per ogni utente in tempo reale o resettare alcuni contatori che sono nell’Active List all’orario specificato.
Correlazione Storica
E se avessi distribuito o progettato un nuovo Use Case e volessi sapere se la mia azienda è stata esposta alla minaccia in passato? Lavorando con ArcSight, molte persone si chiedono se esista un modo per realizzare una correlazione storica. Hanno persino diversi scenari di vita reale per questo. Il primo è relativo agli eventi […]
Come risolvere i problemi di parsing in QRadar senza supporto tecnico
Tutti i prodotti QRadar possono essere suddivisi in due gruppi: versioni prima della 7.2.8 e tutte le versioni più recenti. Nelle versioni QRadar 7.2.8+, tutte le modifiche di parsing vengono effettuate dalla console WEB. Per risolvere un problema di parsing, è necessario seguire i seguenti passaggi: Crea una ricerca nella pagina di Log Activity in […]
Consegnare i feed TI in ArcSight senza l’attivazione di falsi positivi
Ogni utente o amministratore di ArcSight si trova di fronte a falsi positivi nei trigger delle regole mentre fornisce il feed di intelligence sulle minacce in ArcSight. Questo avviene principalmente quando gli eventi delle fonti di intelligence non sono esclusi dalla condizione della regola o il connettore cerca di risolvere tutti gli indirizzi IP e […]
Scenario di correlazione semplice per Splunk utilizzando tabelle di lookup
La correlazione degli eventi svolge un ruolo importante nella rilevazione degli incidenti e ci consente di concentrarci sugli eventi che contano davvero per i servizi aziendali o i processi IT/sicurezza.
Petya.A / NotPetya è un’arma cibernetica potenziata dall’IA, le TTP portano al gruppo APT Sandworm
È stata un’estate calda per l’industria della sicurezza: in meno di una settimana dal sospetto iniziale che Petya.A fosse un ransomware si è rivelato essere molto più di quanto sembri. I ricercatori di sicurezza di tutto il mondo lo hanno giustamente soprannominato NotPetya e EternalPetya, poiché il malware non era mai stato pensato per chiedere […]