Tag: How to

IBM QRadar에서 이벤트 필터링
IBM QRadar에서 이벤트 필터링

SIEM 도구(IBM QRadar 포함)를 설정하는 동안, 관리자들은 종종 오류를 범합니다: “모든 로그를 SIEM으로 보내고, 나중에 어떻게 처리할지 고민하자.” 이러한 행동은 대개 엄청난 라이선스 사용, SIEM 도구에 대한 엄청난 작업량, 캐시 큐의 출현, 때로는 이벤트 손실로 이어집니다. 결과적으로 SIEM은 사건을 너무 늦게 등록하거나 전혀 등록하지 못하는 상황에 이르게 됩니다. 이 문제를 어떻게 해결할 수 있을까요? 주요 […]

Read More
자산 및 중요 인프라 객체 설명하기
자산 및 중요 인프라 객체 설명하기

IBM QRadar를 구현하고 사용할 때, 사용자들은 종종 다음과 같은 질문을 합니다: 자산이란 무엇인가? 왜 필요한가? 우리는 자산으로 무엇을 할 수 있는가? 자산 모델을 자동으로 채우는 방법은? ‘자산’은 인프라를 설명하고 지정된 객체와 관련된 이벤트에 대해 IBM QRadar 시스템이 다르게 반응할 수 있게 하는 모델입니다. 규모와 심각도의 증가뿐만 아니라 응답도 시스템의 오탐을 최소화하고 인프라의 중요한 객체와 관련된 […]

Read More
Splunk에서 알림을 사용하여 상관 관계 이벤트 생성하기
Splunk에서 알림을 사용하여 상관 관계 이벤트 생성하기

많은 SIEM 사용자들은 다음과 같은 질문을 합니다: Splunk과 HPE ArcSight SIEM 도구는 어떻게 다른가요? ArcSight 사용자는 ArcSight의 상관 이벤트가 이 SIEM을 사용하는데 있어 중요한 이유라는 점에 자신감을 가지고 있습니다. 왜냐하면 Splunk에는 같은 이벤트가 없기 때문입니다. 이 신화를 파괴해 봅시다. Splunk에는 이벤트를 상관시킬 수 있는 많은 옵션이 있습니다. 그래서 이 기사에서는 ArcSight 상관 이벤트와 유사한 이벤트 […]

Read More
ArcSight ESM에서 추가 데이터
ArcSight ESM에서 추가 데이터

ArcSight SmartConnector를 설치한 적이 있는 모든 사람은 설치 가이드의 ‘ArcSight 필드로의 디바이스 이벤트 매핑’ 장에 대해서 알고 있습니다. 이는 디바이스-특정 필드를 ArcSight 이벤트 스킴으로 매핑하는 정보가 제공되는 곳입니다. 분석가들에게는 필수적인 장이죠, 그렇지 않나요? 확실히, 일부 SmartConnector에 대해 ‘추가 데이터’ 필드가 있다는 것을 눈치채셨을 겁니다. 예를 들어:어디서 나오는 걸까요? 왜 우리가 그것들을 필요로 할까요? 어떻게 사용해야 […]

Read More
네트워크 계층구조란 무엇이며 IBM QRadar에서 사용하는 방법
네트워크 계층구조란 무엇이며 IBM QRadar에서 사용하는 방법

네트워크 계층 구조는 조직의 네트워크 내부 모델에 대한 설명입니다. 네트워크 모델을 통해 서버 세그먼트, DMZ, 사용자 세그먼트, Wi-Fi 등 네트워크의 모든 내부 세그먼트를 설명할 수 있습니다. 이 데이터는 등록된 보안위반 사건의 데이터를 풍부하게 하는 데 필요하며, 규칙, 검색, 필터 및 보고서에서 네트워크 모델 데이터를 사용할 수 있으며, 정확한 리소스 식별을 위해 필요합니다.

Read More
ArcSight의 액티브 리스트 자동 삭제. 1부
ArcSight의 액티브 리스트 자동 삭제. 1부

ArcSight 초보자와 경험이 많은 사용자들은 종종 사용 사례에서 액티브 리스트를 자동으로 지워야 하는 상황에 직면합니다. 이러한 시나리오가 있을 수 있습니다: 모든 사용자의 오늘 로그인 횟수를 실시간으로 세거나 지정된 시간에 액티브 리스트에 있는 몇몇 카운터를 초기화합니다.

Read More
역사적 상관관계
역사적 상관관계

새로운 Use Case를 배포하거나 설계했고 과거에 저희 회사가 위협에 노출되었는지 알고 싶다면 어떻게 해야 할까요? ArcSight를 사용할 때 많은 사람들이 역사적 상관관계를 실현할 방법이 있는지 궁금해 합니다. 실제로 여러 실생활 시나리오가 있습니다. 첫 번째는 배치된 이벤트입니다. 예를 들어, 이벤트가 실시간으로 ESM에 도달하지 않고 일정 시간 프레임(한 시간에 한 번, 하루에 한 번 등)마다 도착하는 경우입니다. […]

Read More
QRadar에서 기술 지원 없이 구문 분석 문제를 해결하는 방법
QRadar에서 기술 지원 없이 구문 분석 문제를 해결하는 방법

모든 QRadar 제품은 두 그룹으로 나눌 수 있습니다: 7.2.8 버전 이전과 가장 최신 버전. 7.2.8+ QRadar 버전에서는 모든 구문 분석 변경이 웹 콘솔에서 수행됩니다. 구문 분석 문제를 해결하려면 다음 단계를 수행해야 합니다: QRadar의 로그 활동 페이지에서 구문 분석 문제가 있는 이벤트를 검색하십시오. CTRL 또는 SHIFT를 사용하여 구문 분석 변경이 필요한 이벤트를 선택하십시오. 메뉴에서 작업 – […]

Read More
오탐 없이 ArcSight에 TI 피드를 전송하기
오탐 없이 ArcSight에 TI 피드를 전송하기

모든 ArcSight 사용자 또는 관리자는 위협 인텔리전스 피드를 ArcSight에 제공할 때 잘못된 양성 규칙이 트리거되는 문제에 직면하게 됩니다. 이는 주로 위협 인텔 소스 이벤트가 규칙 조건에서 제외되지 않거나 커넥터가 처리되는 모든 IP 주소와 호스트 이름을 해결하려고 할 때 발생합니다.

Read More
룩업 테이블을 사용한 Splunk 단순 상관 관계 시나리오
룩업 테이블을 사용한 Splunk 단순 상관 관계 시나리오

이벤트 상관관계는 사건 감지에서 중요한 역할을 하며 비즈니스 서비스나 IT/보안 프로세스에 실제로 중요한 이벤트에 집중할 수 있게 합니다.

Read More