IBM QRadar에서 규칙 생성하기

Posted on by Eugene Tkachenko

전에 쓴 기사에서, 저는 IBM QRadar를 업데이트하는 방법에 대해 썼습니다. 하지만 어떤 SIEM의 올바른 운영은 빌드 업데이트, 다양한 데이터 소스에서 이벤트 수집 및 저장뿐만이 아닙니다. SIEM의 주요 과제는 보안 사건을 식별하는 것입니다. 공급업체는 IBM QRadar에 대한 사전 구성된 탐지 규칙을 제공합니다. 그러나 대부분의 경우, 이러한 규칙은 귀하의 인프라, 보안 정책 및 사건 대응 절차에 맞게 […]

Splunk의 Depends 패널을 사용하여 편리한 드릴다운 생성하기

Posted on by Alex Verbniak

이전 기사에서는 드릴다운을 사용하여 외부 웹 리소스와의 간단한 통합을 살펴보았습니다. 놓쳤다면 링크를 따라가세요: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/오늘 우리는 Splunk에서 드릴다운의 또 다른 흥미로운 변형인 종속 패널을 알아볼 것입니다. Splunk의 종속 패널: 대시보드에서 드릴다운을 사용하는 흥미로운 방법 대시보드 테이블에서 이벤트에 대한 더 자세한 정보를 얻기 위해 다른 이벤트로 드릴다운해야 할 때가 자주 있습니다. 예를 들어, 우리는 서비스에 대한 잠재적인 […]

보안 권고. Bad Rabbit 랜섬웨어 웜.

Posted on by Andrii Bezverkhyi

이 연구는 OSINT 증거 분석, 로컬 증거, 공격 피해자의 피드백 및 행위자 귀속에 사용된 MITRE ATT&CK 방법론에 기반합니다. SOC Prime은 공개 출처 및 기업 블로그에서 리버스 엔지니어링 보고서와 공격 분석을 공유한 독립 보안 연구자와 전문 보안 회사에 감사를 표합니다. 당사 측에서는 ArcSight, QRadar 및 Splunk에 대한 위협 탐지기 SIEM 콘텐츠와 함께 이 TTP 귀속 위협 […]

IBM QRadar 업데이트

Posted on by Sergii Tyshchenko

효율적인 SIEM 운영은 발견된 취약점과 문제의 수정에 직접적으로 의존합니다. 이것의 주요 방법은 시스템을 최신 버전으로 업데이트하는 것입니다. 업데이트에는 보안 문제 해결, 새 기능 릴리스, 시스템 성능 향상, 패치 등이 포함될 수 있습니다. 최근 기사에서 우리는 만들기를 검토했습니다. IBM QRadar에서 백업했습니다. SIEM 도구를 업데이트하기 전에 이를 생성하는 것이 강력히 권장됩니다. IBM QRadar를 업데이트하려면 다음 옵션 중 […]

ArcSight. EPS 최적화 (집계 및 필터링)

Posted on by Aleks Bredikhin

거의 모든 ArcSight 초보자들은 로그 소스에서 높은 EPS(초당 이벤트 수)가 들어올 때, 특히 라이선스 한계에 가깝거나 성능 문제가 발생할 때 상황에 직면하게 됩니다. 들어오는 EPS를 줄이기 위해 ArcSight는 이벤트 처리를 위한 두 가지 기본 방법인 이벤트 집계와 필터링을 제공합니다. 이 기사에서는 이 두 가지 옵션을 사용하여 들어오는 EPS를 최적화하는 방법을 설명하고자 합니다. 이벤트 집계 첫 […]

추가 데이터로 이벤트 강화하기

Posted on by Ruslan Mihalev

이전 글에서는 우리가 살펴보았습니다 추가 데이터 필드 그리고 그것들을 어떻게 사용하는지. 하지만 이벤트에 필요한 정보가 추가 데이터 필드에도 없다면 어떻게 해야 할까요? ArcSight에서 이벤트가 분석가들에게 모든 필요한 정보를 포함하지 않는 상황에 항상 직면할 수 있습니다. 예를 들어, 사용자 이름 대신 사용자 ID, 호스트 이름 대신 호스트 ID 등입니다. 확실히, 분석에서 Active List를 사용하고 알림/상관 이벤트에 […]

IBM QRadar에서의 구성, 이벤트 및 콘텐츠 백업

Posted on by Sergii Tyshchenko

SIEM을 사용하다 보면 도구를 최신 버전으로 업데이트하거나, 다른 데이터 센터로 이동하거나, 더욱 생산성 있는 설치로 마이그레이션해야 하는 상황이 종종 발생합니다. 이 과정의 필수적인 부분은 백업을 생성하고, 데이터, 설정 또는 사용자 지정 콘텐츠를 새 설치로 전송하는 것입니다. 이를 수행하는 몇 가지 방법이 있습니다. 옵션 1: 구성 백업 IBM QRadar 웹 콘솔에서 실행할 수 있습니다. 1. 다음으로 […]

Splunk 대시보드와의 간단한 바이러스 토탈 통합

Posted on by Alex Verbniak

단순 통합은 악성 프로세스를 검색하는 데 도움이 됩니다. 안녕하세요 여러분! Splunk를 다목적 도구로 계속 변모시켜 어떤 위협도 신속하게 탐지할 수 있도록 하겠습니다. 제 마지막 기사에서는 경고를 사용하여 상관 이벤트를 생성하는 방법을 설명했습니다. 이제 Virus Total 기반과 간단한 통합을 하는 방법을 알려드리겠습니다. 우리 중 많은 사람들이 네트워크 연결을 모니터링하고, 프로세스를 생성하며, 파일 생성 시간의 변경 사항을 […]

DNSmasq는 WannaCry 및 Mirai보다 더 큰 사이버 공격을 촉발할 수 있다

Posted on by Andrii Bezverkhyi

좋은 소식입니다! Google Security가 인기 있는 dnsmasq 서비스에 대한 7개의 심각한 취약점과 PoC 익스플로잇 코드를 공개한 지 10일이 지났지만 세상은 여전히 존재합니다. 이것이 얼마나 오래 지속될까요? WannaCry 확산을 참고하면, 공개 익스플로잇이 출시된 후 전 세계적인 확산까지 시간이 걸립니다. 정말 그럴까요? EternalBlue 익스플로잇은 1월 7일에th 다른 “Lost in translation” 유출과 함께 공개되어 WCry 공격보다 5개월이 앞서 […]

IBM QRadar에서 이벤트 필터링

Posted on by Sergii Tyshchenko

SIEM 도구(IBM QRadar 포함)를 설정하는 동안, 관리자들은 종종 오류를 범합니다: “모든 로그를 SIEM으로 보내고, 나중에 어떻게 처리할지 고민하자.” 이러한 행동은 대개 엄청난 라이선스 사용, SIEM 도구에 대한 엄청난 작업량, 캐시 큐의 출현, 때로는 이벤트 손실로 이어집니다. 결과적으로 SIEM은 사건을 너무 늦게 등록하거나 전혀 등록하지 못하는 상황에 이르게 됩니다. 이 문제를 어떻게 해결할 수 있을까요? 주요 […]