ArcSight ESM에서 추가 데이터

Posted on by Ruslan Mikhalov

ArcSight SmartConnector를 설치한 적이 있는 모든 사람은 설치 가이드의 ‘ArcSight 필드로의 디바이스 이벤트 매핑’ 장에 대해서 알고 있습니다. 이는 디바이스-특정 필드를 ArcSight 이벤트 스킴으로 매핑하는 정보가 제공되는 곳입니다. 분석가들에게는 필수적인 장이죠, 그렇지 않나요? 확실히, 일부 SmartConnector에 대해 ‘추가 데이터’ 필드가 있다는 것을 눈치채셨을 겁니다. 예를 들어:어디서 나오는 걸까요? 왜 우리가 그것들을 필요로 할까요? 어떻게 사용해야 […]

네트워크 계층구조란 무엇이며 IBM QRadar에서 사용하는 방법

Posted on by Sergii Tyshchenko

네트워크 계층 구조는 조직의 네트워크 내부 모델에 대한 설명입니다. 네트워크 모델을 통해 서버 세그먼트, DMZ, 사용자 세그먼트, Wi-Fi 등 네트워크의 모든 내부 세그먼트를 설명할 수 있습니다. 이 데이터는 등록된 보안위반 사건의 데이터를 풍부하게 하는 데 필요하며, 규칙, 검색, 필터 및 보고서에서 네트워크 모델 데이터를 사용할 수 있으며, 정확한 리소스 식별을 위해 필요합니다.

ArcSight의 액티브 리스트 자동 삭제. 1부

Posted on by Aleks Bredikhin

ArcSight 초보자와 경험이 많은 사용자들은 종종 사용 사례에서 액티브 리스트를 자동으로 지워야 하는 상황에 직면합니다. 이러한 시나리오가 있을 수 있습니다: 모든 사용자의 오늘 로그인 횟수를 실시간으로 세거나 지정된 시간에 액티브 리스트에 있는 몇몇 카운터를 초기화합니다.

역사적 상관관계

Posted on by Ruslan Mikhalov

새로운 Use Case를 배포하거나 설계했고 과거에 저희 회사가 위협에 노출되었는지 알고 싶다면 어떻게 해야 할까요? ArcSight를 사용할 때 많은 사람들이 역사적 상관관계를 실현할 방법이 있는지 궁금해 합니다. 실제로 여러 실생활 시나리오가 있습니다. 첫 번째는 배치된 이벤트입니다. 예를 들어, 이벤트가 실시간으로 ESM에 도달하지 않고 일정 시간 프레임(한 시간에 한 번, 하루에 한 번 등)마다 도착하는 경우입니다. […]

QRadar에서 기술 지원 없이 구문 분석 문제를 해결하는 방법

Posted on by Sergii Tyshchenko

모든 QRadar 제품은 두 그룹으로 나눌 수 있습니다: 7.2.8 버전 이전과 가장 최신 버전. 7.2.8+ QRadar 버전에서는 모든 구문 분석 변경이 웹 콘솔에서 수행됩니다. 구문 분석 문제를 해결하려면 다음 단계를 수행해야 합니다: QRadar의 로그 활동 페이지에서 구문 분석 문제가 있는 이벤트를 검색하십시오. CTRL 또는 SHIFT를 사용하여 구문 분석 변경이 필요한 이벤트를 선택하십시오. 메뉴에서 작업 – […]

오탐 없이 ArcSight에 TI 피드를 전송하기

Posted on by Aleks Bredikhin

모든 ArcSight 사용자 또는 관리자는 위협 인텔리전스 피드를 ArcSight에 제공할 때 잘못된 양성 규칙이 트리거되는 문제에 직면하게 됩니다. 이는 주로 위협 인텔 소스 이벤트가 규칙 조건에서 제외되지 않거나 커넥터가 처리되는 모든 IP 주소와 호스트 이름을 해결하려고 할 때 발생합니다.

Petya.A / NotPetya는 AI 기반 사이버 무기이며, TTPs는 Sandworm APT 그룹으로 연결됩니다

Posted on by Andrii Bezverkhyi

보안 산업에는 뜨거운 여름이었습니다: 초기에는 랜섬웨어로 의심되었던 Petya.A가 외관상의 모습보다 훨씬 더 복잡한 것으로 밝혀진 지 일주일도 채 되지 않았습니다.세계 각국의 보안 연구원들은 합당하게 이 악성 소프트웨어를 NotPetya 및 EternalPetya라고 명명했으며, 이 악성 소프트웨어는 절대 몸값을 요구하기 위해 만들어진 것이 아니었습니다 – APT 공격의 와이퍼 컴포넌트를 위한 단순한 위장이었습니다. 우크라이나에서 사이버 전쟁의 중심에서 약 16일 […]

워너크라이 더 이상 없앰: 랜섬웨어 웜 IOC, Tor C2 및 기술 분석 + SIEM 규칙

Posted on by Andrii Bezverkhyi

좋은 소식입니다 모두에게! 긴 하루, 밤, 그리고 아침 동안 #WannaCry 랜섬웨어 웜에 대한 뉴스 조사와 사냥을 한 후 공유할 정보가 있습니다. 여기에는 동료 보안 연구자와 실무자의 도움으로 얻은 호스트 및 네트워크 IOC, 그들의 분석이 포함됩니다. C2 인프라 구조와 Tor와의 상호 작용에 대한 검토도 포함됩니다. 마지막으로 즉시 탐지하고 위에서 언급한 재난을 확산을 막을 수 있는 무료 SIEM […]

사이버 보안 국제 회의 “모두를 위한 사이버”

Posted on by Eugene Tkachenko

2016년 11월 24일, SOC Prime, Inc는 우크라이나 키이우에서 사이버 보안에 관한 첫 국제 회의 “Cyber For All”을 개최했습니다. SOC Prime 직원 및 비즈니스 파트너들이 발표를 했고, 여러 고객들이 SOC Prime 제품 사용 성공 사례를 공유했습니다. 회의에는 주로 우크라이나의 통신 및 금융 비즈니스 커뮤니티 대표들이 참석했습니다. 키이우만이 아닌 오데사와 드니프로도 회의에 참여했습니다.