Introduzione a Sigma Sigma, creato da Florian Roth e Thomas Patzke, è un progetto open source per creare un formato di firma generico per i sistemi SIEM. L’analogia comune è che Sigma è l’equivalente del file di log di ciò che Snort è per gli IDS e di ciò che YARA è per il rilevamento […]
Quasi tutti i principianti di ArcSight si trovano di fronte a una situazione in cui ci sono EPS in entrata elevate dalle fonti di log, specialmente quando è critico per i limiti della licenza o causa problemi di prestazioni. Per ridurre gli EPS in entrata, ArcSight ha due metodi nativi per la elaborazione degli eventi: […]
Nell’articolo precedente, abbiamo esaminato Campi di dati aggiuntivi e come usarli. Ma cosa succede se gli eventi non hanno le informazioni necessarie/obbligatorie/neccessarie nemmeno nei campi di Dati Aggiuntivi? Può capitare di trovarsi nella situazione in cui gli eventi in ArcSight non contengano tutte le informazioni necessarie per gli Analisti. Ad esempio, ID utente invece del […]
Tutti coloro che hanno mai installato un singolo ArcSight SmartConnector conoscono il capitolo ‘Mappatura degli eventi del dispositivo sui campi ArcSight’ nella guida all’installazione, dove è possibile trovare informazioni sulla mappatura dei campi specifici del dispositivo con lo schema degli eventi ArcSight. È un capitolo essenziale per gli analisti, giusto? Sicuramente, hai notato che per […]
I principianti e gli utenti esperti di ArcSight spesso si trovano in una situazione in cui è necessario cancellare automaticamente l’Active List in un caso d’uso. Potrebbe essere il seguente scenario: contare i login di oggi per ogni utente in tempo reale o resettare alcuni contatori che sono nell’Active List all’orario specificato.
E se avessi distribuito o progettato un nuovo Use Case e volessi sapere se la mia azienda è stata esposta alla minaccia in passato? Lavorando con ArcSight, molte persone si chiedono se esista un modo per realizzare una correlazione storica. Hanno persino diversi scenari di vita reale per questo. Il primo è relativo agli eventi […]
Ogni utente o amministratore di ArcSight si trova di fronte a falsi positivi nei trigger delle regole mentre fornisce il feed di intelligence sulle minacce in ArcSight. Questo avviene principalmente quando gli eventi delle fonti di intelligence non sono esclusi dalla condizione della regola o il connettore cerca di risolvere tutti gli indirizzi IP e […]
Il 24.11.2016 SOC Prime, Inc ha ospitato la prima conferenza internazionale sulla sicurezza informatica “Cyber For All” a Kyiv, Ucraina. Personale di SOC Prime e partner commerciali hanno fatto presentazioni e diversi clienti hanno condiviso le loro storie di successo reale sull’uso dei prodotti SOC Prime. La conferenza è stata frequentata principalmente da rappresentanti della […]