Tag: ArcSight

Sigma 소개 Sigma는 Florian Roth와 Thomas Patzke가 만든 SIEM 시스템을 위한 범용 서명 형식을 만드는 오픈 소스 프로젝트입니다. 일반적인 비유로는 Sigma가 로그 파일의 Snort에 대한 IDS의 역할과 파일 기반 악성코드 탐지를 위한 YARA의 역할이라고 할 수 있습니다. 그러나 Snort와 YARA와는 달리 Sigma에 대한 지원은 각각의 애플리케이션에 내장될 필요가 없습니다. Sigma는 모든 플랫폼별 쿼리 언어에 대한 […]

거의 모든 ArcSight 초보자들은 로그 소스에서 높은 EPS(초당 이벤트 수)가 들어올 때, 특히 라이선스 한계에 가깝거나 성능 문제가 발생할 때 상황에 직면하게 됩니다. 들어오는 EPS를 줄이기 위해 ArcSight는 이벤트 처리를 위한 두 가지 기본 방법인 이벤트 집계와 필터링을 제공합니다. 이 기사에서는 이 두 가지 옵션을 사용하여 들어오는 EPS를 최적화하는 방법을 설명하고자 합니다. 이벤트 집계 첫 […]

이전 글에서는 우리가 살펴보았습니다 추가 데이터 필드 그리고 그것들을 어떻게 사용하는지. 하지만 이벤트에 필요한 정보가 추가 데이터 필드에도 없다면 어떻게 해야 할까요? ArcSight에서 이벤트가 분석가들에게 모든 필요한 정보를 포함하지 않는 상황에 항상 직면할 수 있습니다. 예를 들어, 사용자 이름 대신 사용자 ID, 호스트 이름 대신 호스트 ID 등입니다. 확실히, 분석에서 Active List를 사용하고 알림/상관 이벤트에 […]

ArcSight SmartConnector를 설치한 적이 있는 모든 사람은 설치 가이드의 ‘ArcSight 필드로의 디바이스 이벤트 매핑’ 장에 대해서 알고 있습니다. 이는 디바이스-특정 필드를 ArcSight 이벤트 스킴으로 매핑하는 정보가 제공되는 곳입니다. 분석가들에게는 필수적인 장이죠, 그렇지 않나요? 확실히, 일부 SmartConnector에 대해 ‘추가 데이터’ 필드가 있다는 것을 눈치채셨을 겁니다. 예를 들어:어디서 나오는 걸까요? 왜 우리가 그것들을 필요로 할까요? 어떻게 사용해야 […]

ArcSight 초보자와 경험이 많은 사용자들은 종종 사용 사례에서 액티브 리스트를 자동으로 지워야 하는 상황에 직면합니다. 이러한 시나리오가 있을 수 있습니다: 모든 사용자의 오늘 로그인 횟수를 실시간으로 세거나 지정된 시간에 액티브 리스트에 있는 몇몇 카운터를 초기화합니다.

새로운 Use Case를 배포하거나 설계했고 과거에 저희 회사가 위협에 노출되었는지 알고 싶다면 어떻게 해야 할까요? ArcSight를 사용할 때 많은 사람들이 역사적 상관관계를 실현할 방법이 있는지 궁금해 합니다. 실제로 여러 실생활 시나리오가 있습니다. 첫 번째는 배치된 이벤트입니다. 예를 들어, 이벤트가 실시간으로 ESM에 도달하지 않고 일정 시간 프레임(한 시간에 한 번, 하루에 한 번 등)마다 도착하는 경우입니다. […]

모든 ArcSight 사용자 또는 관리자는 위협 인텔리전스 피드를 ArcSight에 제공할 때 잘못된 양성 규칙이 트리거되는 문제에 직면하게 됩니다. 이는 주로 위협 인텔 소스 이벤트가 규칙 조건에서 제외되지 않거나 커넥터가 처리되는 모든 IP 주소와 호스트 이름을 해결하려고 할 때 발생합니다.

2016년 11월 24일, SOC Prime, Inc는 우크라이나 키이우에서 사이버 보안에 관한 첫 국제 회의 “Cyber For All”을 개최했습니다. SOC Prime 직원 및 비즈니스 파트너들이 발표를 했고, 여러 고객들이 SOC Prime 제품 사용 성공 사례를 공유했습니다. 회의에는 주로 우크라이나의 통신 및 금융 비즈니스 커뮤니티 대표들이 참석했습니다. 키이우만이 아닌 오데사와 드니프로도 회의에 참여했습니다.