Tag: Splunk

작동 방식 Uncoder AI의 이 기능은 위협 보고서에서 구조화된 IOC를 수집합니다. 이 경우 자격 증명 피싱과 관련된 수십 개의 악성 도메인(예: 가짜 Google, Microsoft 및 Telegram 로그인 포털)을 처리합니다. 이 도구는 데이터를 처리 및 구조화하여 Splunk 호환 탐지 쿼리를 자동으로 출력합니다. 도메인 기반 필터링 dest_host 출력 쿼리는 다음에 대한 OR 조건의 시퀀스를 사용합니다 dest_host 필드: […]

작동 방식 Uncoder AI는 Sigma 규칙을 48개의 다양한 플랫폼에서 사용되는 탐지 형식으로 쉽게 변환할 수 있게 해 줍니다. 사용자는 Splunk, Sentinel, 또는 CrowdStrike Falcon과 같은 원하는 출력 언어를 단순히 선택하면 Uncoder AI가 즉시 선택한 형식으로 구문적으로 유효한 탐지를 생성합니다. 변환은 SOC Prime 인프라 내에서 완전히 이루어져 프라이버시와 보안을 보장합니다. 변환된 탐지 규칙은 사용 준비가 완료되며, […]

Splunk 탐지를 처리하는 현대 SOC 팀은 SPL로 작성된 대량의 탐지 로직을 처리해야 합니다. 문제는? 외부 소스에서 가져온 Splunk 콘텐츠나 Sigma 기반 규칙을 Splunk 형식으로 변환할 때 대부분의 로직이 복잡하고, 장황하며 이해하는 데 시간이 많이 걸린다는 점입니다. Uncoder AI의 전체 AI 생성 요약 는 탐지 규칙이 무엇을 하고 왜 그런지 분석하여 엔지니어가 쿼리를 수동으로 작업하지 않도록 […]

이전 기사에서는 Splunk에서 소스 접근성을 모니터링하는 간단한 대시보드를 만드는 방법을 시연했습니다. 오늘은 대시보드의 모든 표를 더욱 명확하고 편리하게 만드는 방법을 시연하고자 합니다. 다음의 내용을 살펴보겠습니다. 제 마지막 기사 그리고 색상 표 행을 사용하여 결과로 얻은 표의 기능을 계속 개선하겠습니다. 셀의 색상 표 행 만들기 더욱 명확하게 하기 위해 ‘Minutes_ago’ 열의 결과에 따라 셀을 꾸미고자 합니다: […]

이전 기사에서는 대시보드에서 편리한 시각화를 만들기 위해 의존 패널을 사용하는 방법을 살펴보았습니다. 놓친 경우, 다음 링크를 따르세요: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Splunk를 연구하기 시작한 많은 사람들은 수신 데이터의 가용성을 모니터링하는 것에 대해 질문합니다: 특정 소스로부터 마지막으로 데이터를 수신한 시점, 데이터가 더 이상 도착하지 않는 시점이나 현재 사용 불가능한 소스는 무엇인지. 따라서 오늘 우리는 Splunk 내에서 소스의 가용성에 대한 정보를 […]

이전 기사에서는 드릴다운을 사용하여 외부 웹 리소스와의 간단한 통합을 살펴보았습니다. 놓쳤다면 링크를 따라가세요: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/오늘 우리는 Splunk에서 드릴다운의 또 다른 흥미로운 변형인 종속 패널을 알아볼 것입니다. Splunk의 종속 패널: 대시보드에서 드릴다운을 사용하는 흥미로운 방법 대시보드 테이블에서 이벤트에 대한 더 자세한 정보를 얻기 위해 다른 이벤트로 드릴다운해야 할 때가 자주 있습니다. 예를 들어, 우리는 서비스에 대한 잠재적인 […]

단순 통합은 악성 프로세스를 검색하는 데 도움이 됩니다. 안녕하세요 여러분! Splunk를 다목적 도구로 계속 변모시켜 어떤 위협도 신속하게 탐지할 수 있도록 하겠습니다. 제 마지막 기사에서는 경고를 사용하여 상관 이벤트를 생성하는 방법을 설명했습니다. 이제 Virus Total 기반과 간단한 통합을 하는 방법을 알려드리겠습니다. 우리 중 많은 사람들이 네트워크 연결을 모니터링하고, 프로세스를 생성하며, 파일 생성 시간의 변경 사항을 […]

많은 SIEM 사용자들은 다음과 같은 질문을 합니다: Splunk과 HPE ArcSight SIEM 도구는 어떻게 다른가요? ArcSight 사용자는 ArcSight의 상관 이벤트가 이 SIEM을 사용하는데 있어 중요한 이유라는 점에 자신감을 가지고 있습니다. 왜냐하면 Splunk에는 같은 이벤트가 없기 때문입니다. 이 신화를 파괴해 봅시다. Splunk에는 이벤트를 상관시킬 수 있는 많은 옵션이 있습니다. 그래서 이 기사에서는 ArcSight 상관 이벤트와 유사한 이벤트 […]

이벤트 상관관계는 사건 감지에서 중요한 역할을 하며 비즈니스 서비스나 IT/보안 프로세스에 실제로 중요한 이벤트에 집중할 수 있게 합니다.

2016년 11월 24일, SOC Prime, Inc는 우크라이나 키이우에서 사이버 보안에 관한 첫 국제 회의 “Cyber For All”을 개최했습니다. SOC Prime 직원 및 비즈니스 파트너들이 발표를 했고, 여러 고객들이 SOC Prime 제품 사용 성공 사례를 공유했습니다. 회의에는 주로 우크라이나의 통신 및 금융 비즈니스 커뮤니티 대표들이 참석했습니다. 키이우만이 아닌 오데사와 드니프로도 회의에 참여했습니다.