SIEM & EDR

거의 모든 ArcSight 초보자들은 로그 소스에서 높은 EPS(초당 이벤트 수)가 들어올 때, 특히 라이선스 한계에 가깝거나 성능 문제가 발생할 때 상황에 직면하게 됩니다. 들어오는 EPS를 줄이기 위해 ArcSight는 이벤트 처리를 위한 두 가지 기본 방법인 이벤트 집계와 필터링을 제공합니다. 이 기사에서는 이 두 가지 옵션을 사용하여 들어오는 EPS를 최적화하는 방법을 설명하고자 합니다. 이벤트 집계 첫 […]

이전 글에서는 우리가 살펴보았습니다 추가 데이터 필드 그리고 그것들을 어떻게 사용하는지. 하지만 이벤트에 필요한 정보가 추가 데이터 필드에도 없다면 어떻게 해야 할까요? ArcSight에서 이벤트가 분석가들에게 모든 필요한 정보를 포함하지 않는 상황에 항상 직면할 수 있습니다. 예를 들어, 사용자 이름 대신 사용자 ID, 호스트 이름 대신 호스트 ID 등입니다. 확실히, 분석에서 Active List를 사용하고 알림/상관 이벤트에 […]

SIEM을 사용하다 보면 도구를 최신 버전으로 업데이트하거나, 다른 데이터 센터로 이동하거나, 더욱 생산성 있는 설치로 마이그레이션해야 하는 상황이 종종 발생합니다. 이 과정의 필수적인 부분은 백업을 생성하고, 데이터, 설정 또는 사용자 지정 콘텐츠를 새 설치로 전송하는 것입니다. 이를 수행하는 몇 가지 방법이 있습니다. 옵션 1: 구성 백업 IBM QRadar 웹 콘솔에서 실행할 수 있습니다. 1. 다음으로 […]

단순 통합은 악성 프로세스를 검색하는 데 도움이 됩니다. 안녕하세요 여러분! Splunk를 다목적 도구로 계속 변모시켜 어떤 위협도 신속하게 탐지할 수 있도록 하겠습니다. 제 마지막 기사에서는 경고를 사용하여 상관 이벤트를 생성하는 방법을 설명했습니다. 이제 Virus Total 기반과 간단한 통합을 하는 방법을 알려드리겠습니다. 우리 중 많은 사람들이 네트워크 연결을 모니터링하고, 프로세스를 생성하며, 파일 생성 시간의 변경 사항을 […]

SIEM 도구(IBM QRadar 포함)를 설정하는 동안, 관리자들은 종종 오류를 범합니다: “모든 로그를 SIEM으로 보내고, 나중에 어떻게 처리할지 고민하자.” 이러한 행동은 대개 엄청난 라이선스 사용, SIEM 도구에 대한 엄청난 작업량, 캐시 큐의 출현, 때로는 이벤트 손실로 이어집니다. 결과적으로 SIEM은 사건을 너무 늦게 등록하거나 전혀 등록하지 못하는 상황에 이르게 됩니다. 이 문제를 어떻게 해결할 수 있을까요? 주요 […]

IBM QRadar를 구현하고 사용할 때, 사용자들은 종종 다음과 같은 질문을 합니다: 자산이란 무엇인가? 왜 필요한가? 우리는 자산으로 무엇을 할 수 있는가? 자산 모델을 자동으로 채우는 방법은? ‘자산’은 인프라를 설명하고 지정된 객체와 관련된 이벤트에 대해 IBM QRadar 시스템이 다르게 반응할 수 있게 하는 모델입니다. 규모와 심각도의 증가뿐만 아니라 응답도 시스템의 오탐을 최소화하고 인프라의 중요한 객체와 관련된 […]

많은 SIEM 사용자들은 다음과 같은 질문을 합니다: Splunk과 HPE ArcSight SIEM 도구는 어떻게 다른가요? ArcSight 사용자는 ArcSight의 상관 이벤트가 이 SIEM을 사용하는데 있어 중요한 이유라는 점에 자신감을 가지고 있습니다. 왜냐하면 Splunk에는 같은 이벤트가 없기 때문입니다. 이 신화를 파괴해 봅시다. Splunk에는 이벤트를 상관시킬 수 있는 많은 옵션이 있습니다. 그래서 이 기사에서는 ArcSight 상관 이벤트와 유사한 이벤트 […]

ArcSight SmartConnector를 설치한 적이 있는 모든 사람은 설치 가이드의 ‘ArcSight 필드로의 디바이스 이벤트 매핑’ 장에 대해서 알고 있습니다. 이는 디바이스-특정 필드를 ArcSight 이벤트 스킴으로 매핑하는 정보가 제공되는 곳입니다. 분석가들에게는 필수적인 장이죠, 그렇지 않나요? 확실히, 일부 SmartConnector에 대해 ‘추가 데이터’ 필드가 있다는 것을 눈치채셨을 겁니다. 예를 들어:어디서 나오는 걸까요? 왜 우리가 그것들을 필요로 할까요? 어떻게 사용해야 […]

네트워크 계층 구조는 조직의 네트워크 내부 모델에 대한 설명입니다. 네트워크 모델을 통해 서버 세그먼트, DMZ, 사용자 세그먼트, Wi-Fi 등 네트워크의 모든 내부 세그먼트를 설명할 수 있습니다. 이 데이터는 등록된 보안위반 사건의 데이터를 풍부하게 하는 데 필요하며, 규칙, 검색, 필터 및 보고서에서 네트워크 모델 데이터를 사용할 수 있으며, 정확한 리소스 식별을 위해 필요합니다.

ArcSight 초보자와 경험이 많은 사용자들은 종종 사용 사례에서 액티브 리스트를 자동으로 지워야 하는 상황에 직면합니다. 이러한 시나리오가 있을 수 있습니다: 모든 사용자의 오늘 로그인 횟수를 실시간으로 세거나 지정된 시간에 액티브 리스트에 있는 몇몇 카운터를 초기화합니다.