前回の記事で、 IBM QRadarの更新方法について書きました。SIEMの正しい運用は、単にビルドの更新や、さまざまなデータソースからのイベントの収集と保存だけではありません。SIEMの主要な役割は、セキュリティインシ […]
Splunkでドリルダウンを便利にするdependsパネルの使用法
前回の記事では、ドリルダウンを使用して外部ウェブリソースとの簡単な統合を検討しました。まだ見ていない方は、以下のリンクを参照してください: https://socprime.com/en/blog/simple-viru […]
セキュリティアドバイザリ。Bad Rabbitランサムウェアワーム。
調査は、OSINTの証拠分析、ローカル証拠、攻撃被害者からのフィードバック、アクターのアトリビューションに使用されるMITRE ATT&CKの方法論に基づいています。SOC Primeは、独立したセキュリティ研究 […]
IBM QRadar の更新
効率的なSIEMの運用は、検出された脆弱性や機能上の問題を修正することに直接依存しています。このための主な方法は、システムを最新バージョンに更新することです。更新には、セキュリティ問題の修正や新機能のリリース、システムの […]
ArcSight. EPSの最適化(集約とフィルタリング)
ほとんどすべてのArcSightの初心者は、ログソースからのEPS(秒当たりのイベント数)の入力が多い状況に直面します。特に、ライセンスの制限に重大であるか、パフォーマンスの問題を引き起こす場合です。 入力EPSを減少さ […]
イベントを追加データで充実させる
前回の記事では、 追加データフィールド とその使用方法について調べました。しかし、追加データフィールドにすら必要な情報がない場合はどうしますか? ArcSight のイベントにアナリストに必要なすべての情報が含まれていな […]
IBM QRadar における設定、イベント、およびコンテンツのバックアップ
SIEMを使用していると、ツールを最新バージョンに更新する必要がある、異なるデータセンターに移動する、またはより生産性の高いインストールに移行する状況に直面することがあります。これには、バックアップの作成、およびデータ、 […]
簡単なVirusTotalのSplunkダッシュボード統合
シンプルな統合で悪意のあるプロセスを検索するのを助けます 皆さん、こんにちは!Splunkを多目的ツールに変えて、あらゆる脅威を迅速に検出する方法を続けましょう。前回の記事では アラートを使用して相関イベントを作成する方 […]
DNSmasqはWannaCryやMiraiを超えるサイバー攻撃を引き起こす可能性がある
良いニュースです! Googleセキュリティが人気のあるdnsmasqサービスのための7つの重大な脆弱性とPoCエクスプロイトコードを公開してから10日が経過しても、世界は依然として無事です。これはどれくらい続くのでしょ […]
IBM QRadar のイベントフィルタリング
SIEMツール(IBM QRadarを含む)を構成する際、管理者はよく誤った判断をします:「すべてのログをSIEMに送信し、その後でそれらをどう処理するかを考えよう」 このような行動は、ほとんどの場合、ライセンスの膨大な […]