Quase todos os iniciantes em ArcSight enfrentam uma situação em que há um alto EPS (Eventos por Segundo) proveniente das fontes de log, especialmente quando isso é crítico para os limites de licença ou causa problemas de desempenho. Para reduzir o EPS de entrada, o ArcSight possui dois métodos nativos para processamento de eventos: Agregação […]
No artigo anterior, examinamos Campos de Dados Adicionais e como usá-los. Mas o que fazer se os eventos não tiverem as informações necessárias, mesmo nos Campos de Dados Adicionais? Você pode sempre se deparar com a situação em que os eventos no ArcSight não contêm todas as informações necessárias para os Analistas. Por exemplo, ID […]
Ao trabalhar com SIEM, eventualmente você se depara com uma situação em que sua ferramenta precisa ser atualizada para a versão mais recente, movida para um centro de dados diferente ou migrada para uma instalação mais produtiva. Uma parte integral disso é a criação de backups e a subsequente transferência de dados, configurações ou conteúdo […]
A integração simples ajuda a buscar processos maliciosos Saudações a todos! Vamos continuar transformando o Splunk em uma ferramenta multifuncional que pode detectar rapidamente qualquer ameaça. Meu último artigo descreveu como criar eventos de correlação usando Alertas. Agora vou te contar como fazer uma integração simples com a base do Virus Total. Muitos de nós […]
Ao configurar uma ferramenta SIEM (incluindo o IBM QRadar), os administradores muitas vezes tomam a decisão errada: “Vamos enviar todos os logs para o SIEM e, depois, descobriremos o que fazer com eles.” Tais ações geralmente levam a uma utilização enorme da licença, grande carga de trabalho em uma ferramenta SIEM, aparecimento de uma fila […]
Ao implementar e usar o IBM QRadar, os usuários frequentemente fazem as seguintes perguntas: o que são Ativos? Para que eles são necessários? O que podemos fazer com eles? Como automatizar o preenchimento do modelo de Ativos? ‘Ativos’ é um modelo que descreve a infraestrutura e permite que o sistema IBM QRadar reaja de maneira […]
Muitos usuários de SIEM fazem uma pergunta: Como os serviços do Splunk e do HPE ArcSight SIEM diferem? Os usuários do ArcSight estão confiantes de que os eventos de correlação no ArcSight são um argumento de peso em favor do uso deste SIEM porque o Splunk não possui os mesmos eventos. Vamos destruir esse mito. […]
Todos que já instalaram um único ArcSight SmartConnector conhecem o capítulo ‘Device Event Mapping to ArcSight Fields’ no guia de instalação onde você pode encontrar informações sobre o mapeamento de campos específicos do dispositivo para o Esquema de Eventos do ArcSight. É um capítulo essencial para os Analistas, certo? Certamente, você notou que para alguns […]
Hierarquia de rede é uma descrição do modelo interno da rede da organização. O modelo de rede permite que você descreva todos os segmentos internos da rede, incluindo segmento de servidor, DMZ, segmento de usuário, Wi-Fi e assim por diante. Esses dados são necessários para enriquecer os dados de Ofensas registradas; você pode usar os […]
Iniciantes e usuários experientes de ArcSight frequentemente enfrentam uma situação em que precisam limpar automaticamente a Lista Ativa em um caso de uso. Pode ser o seguinte cenário: contar os logins de hoje para cada usuário em tempo real ou redefinir alguns contadores que estão na Lista Ativa no horário especificado.