Circa una settimana fa abbiamo ricevuto questa informazione da uno dei nostri partner “Stiamo vedendo arrivare delle email di phishing nel nostro ambiente (interno a interno)” insieme alla condivisione di un campione di email con noi. Oggi analizzeremo i recenti attacchi di phishing mirati alle aziende Fortune 500 e Global 2000 soprannominati “Stealthphish” volti a […]
Integrazione di QRadar con VirusTotal
Ciao. Nell’ultimo articolo abbiamo considerato la creazione di regole, e oggi voglio descrivere il metodo che aiuterĂ gli amministratori di SIEM a rispondere piĂą rapidamente a possibili incidenti di sicurezza. Quando si lavora con gli incidenti di sicurezza informatica in QRadar, è estremamente importante aumentare la velocitĂ di operazione degli operatori e degli analisti nel […]
Splunk. Come colorare le righe della tabella in base alle condizioni.
Nell’articolo precedente ho dimostrato come creare una semplice dashboard che monitora l’accessibilitĂ delle fonti in Splunk. Oggi voglio mostrarti come rendere qualsiasi tabella nella dashboard piĂą evidente e comoda. Diamo un’occhiata a il mio ultimo articolo e continuiamo a migliorare la funzionalitĂ della tabella che ho ottenuto come risultato evidenziando le righe della tabella con […]
Liste Attive in ArcSight, Pulizia Automatica. Parte 2
Un compito molto comune per tutti gli sviluppatori di contenuti ArcSight è la pulizia delle liste attive su base programmata o su richiesta automaticamente. Nel post precedente ho descritto come pulire le Liste Attive su base programmata utilizzando i trend: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Oggi ti mostrerò altri due modi in cui ciò può essere realizzato. Pulizia automatica delle […]
Creare una dashboard semplice che monitora l’accessibilitĂ delle fonti in Splunk
Nell’articolo precedente, abbiamo esaminato l’uso dei pannelli dipende per creare visualizzazioni convenienti nei dashboard. Se te lo sei perso, segui il link: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Molte persone che iniziano a studiare Splunk hanno domande sul monitoraggio della disponibilitĂ dei dati in ingresso: quando è stata l’ultima volta che i dati sono arrivati da una particolare fonte, quando i […]
Creare Regole in IBM QRadar
Nel mio articolo precedente, ho scritto di come aggiornare il tuo IBM QRadar. Ma il corretto funzionamento di qualsiasi SIEM non consiste solo nell’aggiornamento della build o nella raccolta e archiviazione degli eventi da varie fonti di dati. Il compito principale di un SIEM è identificare gli incidenti di sicurezza. Il fornitore fornisce regole di […]
Utilizzo dei pannelli dipendenti in Splunk per creare drilldown convenienti
Nel precedente articolo, abbiamo esaminato una semplice integrazione con risorse web esterne utilizzando i drilldowns. Se lo hai perso, segui il link: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Oggi ci familiarizziamo con un’altra interessante variante di drilldowns in Splunk: l’uso dei pannelli ‘depends’. Pannelli ‘depends’ in Splunk: un modo interessante di usare i drilldowns nei dashboard Molto spesso c’è la necessitĂ […]
Consiglio di Sicurezza. Ransomware Worm Bad Rabbit.
La ricerca si basa sull’analisi di prove OSINT, prove locali, feedback delle vittime degli attacchi e metodologia MITRE ATT&CK utilizzata per l’attribuzione degli attori. SOC Prime desidera esprimere gratitudine ai ricercatori di sicurezza indipendenti e alle aziende specializzate in sicurezza che hanno condiviso i report di reverse engineering e l’analisi degli attacchi sulle fonti pubbliche […]
Aggiornamento di IBM QRadar
Il funzionamento efficiente del SIEM dipende direttamente dalla risoluzione delle vulnerabilitĂ rilevate e dei problemi nel suo funzionamento. Il metodo principale per farlo è aggiornare il sistema all’ultima versione. Gli aggiornamenti possono includere la risoluzione di problemi di sicurezza, il rilascio di nuove funzionalitĂ , il miglioramento delle prestazioni del sistema, patch e così via. Nel […]
ArcSight. Ottimizzazione EPS (Aggregazione e Filtrazione)
Quasi tutti i principianti di ArcSight si trovano di fronte a una situazione in cui ci sono EPS in entrata elevate dalle fonti di log, specialmente quando è critico per i limiti della licenza o causa problemi di prestazioni. Per ridurre gli EPS in entrata, ArcSight ha due metodi nativi per la elaborazione degli eventi: […]