Tag: Events

Nell’articolo precedente, abbiamo esaminato Campi di dati aggiuntivi e come usarli. Ma cosa succede se gli eventi non hanno le informazioni necessarie/obbligatorie/neccessarie nemmeno nei campi di Dati Aggiuntivi? Può capitare di trovarsi nella situazione in cui gli eventi in ArcSight non contengano tutte le informazioni necessarie per gli Analisti. Ad esempio, ID utente invece del […]

Lavorando con SIEM, ci si imbatte prima o poi in una situazione in cui il proprio strumento deve essere aggiornato all’ultima versione, spostato in un altro data center o migrato a un’installazione più produttiva. Una parte integrante di questo processo è la creazione di backup e il trasferimento successivo di dati, configurazioni o contenuti personalizzati […]

Durante la configurazione di uno strumento SIEM (incluso IBM QRadar), gli amministratori spesso prendono la decisione sbagliata: “Invieremo tutti i log al SIEM, e poi capiremo cosa farne.” Tali azioni portano più spesso a un enorme utilizzo della licenza, un carico di lavoro enorme su uno strumento SIEM, la comparsa di una coda di cache […]

Molti utenti SIEM pongono una domanda: in cosa differiscono gli strumenti SIEM di Splunk e HPE ArcSight? Gli utenti di ArcSight sono convinti che gli eventi di correlazione in ArcSight siano un argomento ponderato a favore dell’utilizzo di questo SIEM perché Splunk non ha gli stessi eventi. Distruggiamo questo mito. Splunk ha molte opzioni per […]

E se avessi distribuito o progettato un nuovo Use Case e volessi sapere se la mia azienda è stata esposta alla minaccia in passato? Lavorando con ArcSight, molte persone si chiedono se esista un modo per realizzare una correlazione storica. Hanno persino diversi scenari di vita reale per questo. Il primo è relativo agli eventi […]

Tutti i prodotti QRadar possono essere suddivisi in due gruppi: versioni prima della 7.2.8 e tutte le versioni più recenti. Nelle versioni QRadar 7.2.8+, tutte le modifiche di parsing vengono effettuate dalla console WEB. Per risolvere un problema di parsing, è necessario seguire i seguenti passaggi: Crea una ricerca nella pagina di Log Activity in […]

La correlazione degli eventi svolge un ruolo importante nella rilevazione degli incidenti e ci consente di concentrarci sugli eventi che contano davvero per i servizi aziendali o i processi IT/sicurezza.