Durante la configurazione di uno strumento SIEM (incluso IBM QRadar), gli amministratori spesso prendono la decisione sbagliata: “Invieremo tutti i log al SIEM, e poi capiremo cosa farne.” Tali azioni portano più spesso a un enorme utilizzo della licenza, un carico di lavoro enorme su uno strumento SIEM, la comparsa di una coda di cache […]
Durante l’implementazione e l’uso di IBM QRadar, gli utenti spesso pongono le seguenti domande: cosa sono gli Asset? A cosa servono? Cosa possiamo fare con essi? Come automatizzare il riempimento del modello Assets? ‘Assets’ è un modello che descrive l’infrastruttura e consente al sistema IBM QRadar di reagire in modo diverso agli eventi associati agli […]
Molti utenti SIEM pongono una domanda: in cosa differiscono gli strumenti SIEM di Splunk e HPE ArcSight? Gli utenti di ArcSight sono convinti che gli eventi di correlazione in ArcSight siano un argomento ponderato a favore dell’utilizzo di questo SIEM perché Splunk non ha gli stessi eventi. Distruggiamo questo mito. Splunk ha molte opzioni per […]
Tutti coloro che hanno mai installato un singolo ArcSight SmartConnector conoscono il capitolo ‘Mappatura degli eventi del dispositivo sui campi ArcSight’ nella guida all’installazione, dove è possibile trovare informazioni sulla mappatura dei campi specifici del dispositivo con lo schema degli eventi ArcSight. È un capitolo essenziale per gli analisti, giusto? Sicuramente, hai notato che per […]
La gerarchia di rete è una descrizione del modello interno della rete dell’organizzazione. Il modello di rete consente di descrivere tutti i segmenti interni della rete, inclusi il segmento server, la DMZ, il segmento utente, il Wi-Fi e così via. Questi dati sono necessari per arricchire i dati degli Offenses registrati; puoi utilizzare i dati […]
I principianti e gli utenti esperti di ArcSight spesso si trovano in una situazione in cui è necessario cancellare automaticamente l’Active List in un caso d’uso. Potrebbe essere il seguente scenario: contare i login di oggi per ogni utente in tempo reale o resettare alcuni contatori che sono nell’Active List all’orario specificato.
E se avessi distribuito o progettato un nuovo Use Case e volessi sapere se la mia azienda è stata esposta alla minaccia in passato? Lavorando con ArcSight, molte persone si chiedono se esista un modo per realizzare una correlazione storica. Hanno persino diversi scenari di vita reale per questo. Il primo è relativo agli eventi […]
Tutti i prodotti QRadar possono essere suddivisi in due gruppi: versioni prima della 7.2.8 e tutte le versioni più recenti. Nelle versioni QRadar 7.2.8+, tutte le modifiche di parsing vengono effettuate dalla console WEB. Per risolvere un problema di parsing, è necessario seguire i seguenti passaggi: Crea una ricerca nella pagina di Log Activity in […]
Ogni utente o amministratore di ArcSight si trova di fronte a falsi positivi nei trigger delle regole mentre fornisce il feed di intelligence sulle minacce in ArcSight. Questo avviene principalmente quando gli eventi delle fonti di intelligence non sono esclusi dalla condizione della regola o il connettore cerca di risolvere tutti gli indirizzi IP e […]
La correlazione degli eventi svolge un ruolo importante nella rilevazione degli incidenti e ci consente di concentrarci sugli eventi che contano davvero per i servizi aziendali o i processi IT/sicurezza.