Lo scopo di questo blog è spiegare la necessitĂ di metodi di analisi manuale (non basati su avvisi) nel threat hunting. Viene fornito un esempio di analisi manuale efficace tramite aggregazioni/conta stack. L’automazione è necessaria L’automazione è assolutamente cruciale e come threat hunters dobbiamo automatizzare il piĂą possibile dove possibile. Tuttavia, l’automazione si basa su […]
Introduzione a Sigma Sigma, creato da Florian Roth e Thomas Patzke, è un progetto open source per creare un formato di firma generico per i sistemi SIEM. L’analogia comune è che Sigma è l’equivalente del file di log di ciò che Snort è per gli IDS e di ciò che YARA è per il rilevamento […]
Ciao. Nell’ultimo articolo abbiamo considerato la creazione di regole, e oggi voglio descrivere il metodo che aiuterĂ gli amministratori di SIEM a rispondere piĂą rapidamente a possibili incidenti di sicurezza. Quando si lavora con gli incidenti di sicurezza informatica in QRadar, è estremamente importante aumentare la velocitĂ di operazione degli operatori e degli analisti nel […]
Nell’articolo precedente ho dimostrato come creare una semplice dashboard che monitora l’accessibilitĂ delle fonti in Splunk. Oggi voglio mostrarti come rendere qualsiasi tabella nella dashboard piĂą evidente e comoda. Diamo un’occhiata a il mio ultimo articolo e continuiamo a migliorare la funzionalitĂ della tabella che ho ottenuto come risultato evidenziando le righe della tabella con […]
Nel mio articolo precedente, ho scritto di come aggiornare il tuo IBM QRadar. Ma il corretto funzionamento di qualsiasi SIEM non consiste solo nell’aggiornamento della build o nella raccolta e archiviazione degli eventi da varie fonti di dati. Il compito principale di un SIEM è identificare gli incidenti di sicurezza. Il fornitore fornisce regole di […]
Il funzionamento efficiente del SIEM dipende direttamente dalla risoluzione delle vulnerabilitĂ rilevate e dei problemi nel suo funzionamento. Il metodo principale per farlo è aggiornare il sistema all’ultima versione. Gli aggiornamenti possono includere la risoluzione di problemi di sicurezza, il rilascio di nuove funzionalitĂ , il miglioramento delle prestazioni del sistema, patch e così via. Nel […]
Quasi tutti i principianti di ArcSight si trovano di fronte a una situazione in cui ci sono EPS in entrata elevate dalle fonti di log, specialmente quando è critico per i limiti della licenza o causa problemi di prestazioni. Per ridurre gli EPS in entrata, ArcSight ha due metodi nativi per la elaborazione degli eventi: […]
Nell’articolo precedente, abbiamo esaminato Campi di dati aggiuntivi e come usarli. Ma cosa succede se gli eventi non hanno le informazioni necessarie/obbligatorie/neccessarie nemmeno nei campi di Dati Aggiuntivi? Può capitare di trovarsi nella situazione in cui gli eventi in ArcSight non contengano tutte le informazioni necessarie per gli Analisti. Ad esempio, ID utente invece del […]
Lavorando con SIEM, ci si imbatte prima o poi in una situazione in cui il proprio strumento deve essere aggiornato all’ultima versione, spostato in un altro data center o migrato a un’installazione piĂą produttiva. Una parte integrante di questo processo è la creazione di backup e il trasferimento successivo di dati, configurazioni o contenuti personalizzati […]
L’integrazione semplice aiuta a cercare processi malevoli Saluti a tutti! Continuiamo a trasformare Splunk in uno strumento polivalente che può rilevare rapidamente qualsiasi minaccia. Il mio ultimo articolo ha descritto come creare eventi di correlazione usando gli Avvisi. Ora ti dirò come effettuare una semplice integrazione con la base di Virus Total. Molti di noi […]