SIEM & EDR

이 블로그의 목적은 위협 사냥에서 수동(경고 기반이 아닌) 분석 방법의 필요성을 설명하는 것입니다. 집계/스택 카운팅을 통한 효과적인 수동 분석의 예가 제공됩니다. 자동화는 필수적이다 자동화는 절대적으로 중요하며 위협 사냥꾼으로서 가능한 한 최대한 자동화해야 합니다. 하지만 자동화는 데이터에 대한 가정이나 주어진 환경에서 자동화가 효과적일지에 대한 가정에 기반하여 구축됩니다. 많은 경우 이러한 가정은 다른 분석가, 엔지니어, 시스템 소유자 […]

소개 많은 블루 팀들은 탐지 및 대응 성숙도를 높이기 위해 MITRE ATT&CK을 사용하고 있습니다. 블루 팀의 EDR 도구, 이벤트 로그, 트라이에이지 도구 등의 무기는 엔드포인트에서 발생하는 일을 열어주고 있습니다. 그러나 이상 현상은 정상적인 것이며, 이러한 경보와 데이터 소스는 대응 조치나 필터링을 진행하기 위해 우선 순위 분류가 필요합니다. ATT&CK 프로젝트는 공격을 이해하기 위한 도구로 사용할 수 […]

SIEM에 대해 많은 것이 쓰여지고 있지만, 제 개인적인 경험은 2007년에 이 훌륭한 도구들과 함께 시작되었습니다. 오늘날 이 기술은 18년 이상 되었으며, SIEM은 모든 면에서 성숙한 시장입니다. 고객, 팀, 파트너들과 함께 전 세계 백여 개의 SIEM 프로젝트에 적극적으로 참여할 수 있는 특권을 누렸습니다. 우리는 함께 SOC를 처음부터 구축하고, 중요한 SOX 로그 소스를 구현하여 엄격한 감사 기한을 […]

안녕하세요. 지난 기사에서는 규칙 생성에 대해 논의했습니다, 오늘은 SIEM 관리자들이 보안 사고에 더 빠르게 대응할 수 있도록 도와줄 방법을 설명하고자 합니다. QRadar에서 정보 보안 사건을 처리할 때, SOC에서 운영자와 분석가의 운영 속도를 높이는 것이 매우 중요합니다. 내장 도구 사용은 충분한 기회를 제공하지만 기술은 발전하고 새로운 제품과 플랫폼이 등장하고 있습니다. SOC에서 IS 전문가의 업무를 더욱 효율적으로 […]

이전 기사에서는 Splunk에서 소스 접근성을 모니터링하는 간단한 대시보드를 만드는 방법을 시연했습니다. 오늘은 대시보드의 모든 표를 더욱 명확하고 편리하게 만드는 방법을 시연하고자 합니다. 다음의 내용을 살펴보겠습니다. 제 마지막 기사 그리고 색상 표 행을 사용하여 결과로 얻은 표의 기능을 계속 개선하겠습니다. 셀의 색상 표 행 만들기 더욱 명확하게 하기 위해 ‘Minutes_ago’ 열의 결과에 따라 셀을 꾸미고자 합니다: […]

모든 ArcSight 콘텐츠 개발자들에게 아주 일반적인 작업은 예약된 기준이나 요구에 따라 자동으로 활성 리스트를 정리하는 것입니다. 이전 게시물에서는 트렌드를 사용하여 활성 리스트를 정기적으로 정리하는 방법을 설명했습니다: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/오늘은 이것을 달성할 수 있는 두 가지 방법을 더 보여드리겠습니다. ESM에서 명령줄 명령어를 기반으로 활성 리스트 자동 정리하기 주된 아이디어는 처음에 콘텐츠 패키지를 제거한 다음 명령줄에서 다시 설치하는 것입니다. […]

이전 기사에서는 대시보드에서 편리한 시각화를 만들기 위해 의존 패널을 사용하는 방법을 살펴보았습니다. 놓친 경우, 다음 링크를 따르세요: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Splunk를 연구하기 시작한 많은 사람들은 수신 데이터의 가용성을 모니터링하는 것에 대해 질문합니다: 특정 소스로부터 마지막으로 데이터를 수신한 시점, 데이터가 더 이상 도착하지 않는 시점이나 현재 사용 불가능한 소스는 무엇인지. 따라서 오늘 우리는 Splunk 내에서 소스의 가용성에 대한 정보를 […]

전에 쓴 기사에서, 저는 IBM QRadar를 업데이트하는 방법에 대해 썼습니다. 하지만 어떤 SIEM의 올바른 운영은 빌드 업데이트, 다양한 데이터 소스에서 이벤트 수집 및 저장뿐만이 아닙니다. SIEM의 주요 과제는 보안 사건을 식별하는 것입니다. 공급업체는 IBM QRadar에 대한 사전 구성된 탐지 규칙을 제공합니다. 그러나 대부분의 경우, 이러한 규칙은 귀하의 인프라, 보안 정책 및 사건 대응 절차에 맞게 […]

이전 기사에서는 드릴다운을 사용하여 외부 웹 리소스와의 간단한 통합을 살펴보았습니다. 놓쳤다면 링크를 따라가세요: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/오늘 우리는 Splunk에서 드릴다운의 또 다른 흥미로운 변형인 종속 패널을 알아볼 것입니다. Splunk의 종속 패널: 대시보드에서 드릴다운을 사용하는 흥미로운 방법 대시보드 테이블에서 이벤트에 대한 더 자세한 정보를 얻기 위해 다른 이벤트로 드릴다운해야 할 때가 자주 있습니다. 예를 들어, 우리는 서비스에 대한 잠재적인 […]

효율적인 SIEM 운영은 발견된 취약점과 문제의 수정에 직접적으로 의존합니다. 이것의 주요 방법은 시스템을 최신 버전으로 업데이트하는 것입니다. 업데이트에는 보안 문제 해결, 새 기능 릴리스, 시스템 성능 향상, 패치 등이 포함될 수 있습니다. 최근 기사에서 우리는 만들기를 검토했습니다. IBM QRadar에서 백업했습니다. SIEM 도구를 업데이트하기 전에 이를 생성하는 것이 강력히 권장됩니다. IBM QRadar를 업데이트하려면 다음 옵션 중 […]