Uma tarefa muito comum para todos os desenvolvedores de conteúdo do ArcSight é limpar listas ativas de forma programada ou sob demanda automaticamente. No post anterior, descrevi como limpar Listas Ativas de maneira programada usando tendências: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Hoje vou mostrar outras duas maneiras de como isso pode ser alcançado. Limpeza automática de Listas Ativas com base em […]
Criando um painel simples que monitora a acessibilidade de fontes no Splunk
No artigo anterior, examinamos o uso de painéis de dependência para criar visualizações convenientes em dashboards. Se você perdeu, siga o link: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Muitas pessoas que começam a estudar Splunk têm dúvidas sobre o monitoramento da disponibilidade dos dados recebidos: quando foi a última vez que os dados vieram de uma fonte específica, quando os dados […]
Criando Regras no IBM QRadar
No meu artigo anterior, escrevi sobre como atualizar seu IBM QRadar. Mas o funcionamento correto de qualquer SIEM não é apenas a atualização da versão, ou a coleta e armazenamento de eventos de várias fontes de dados. A tarefa principal de um SIEM é identificar incidentes de segurança. O fornecedor fornece regras de detecção predefinidas […]
Usando painéis de dependências no Splunk para criar drilldowns convenientes
No artigo anterior, examinamos a integração simples com recursos web externos usando drilldowns. Se você perdeu, siga o link: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Hoje vamos nos familiarizar com mais um interessante variante de drilldowns no Splunk: usando painéis dependentes. Painéis dependentes no Splunk: uma maneira interessante de usar drilldowns em dashboards Muito frequentemente há a necessidade de obter informações […]
Aviso de Segurança. Worm de Ransomware Bad Rabbit.
A pesquisa é baseada na análise de evidências OSINT, evidências locais, feedback de vítimas de ataques e na metodologia MITRE ATT&CK utilizada para atribuição de atores. A SOC Prime gostaria de expressar gratidão aos pesquisadores de segurança independentes e empresas de segurança especializadas que compartilharam os relatórios de engenharia reversa e análise de ataques em […]
Atualizando o IBM QRadar
A operação eficiente do SIEM depende diretamente da correção de vulnerabilidades detectadas e problemas em seu funcionamento. O método principal para isso é atualizar o sistema para a versão mais recente. As atualizações podem incluir correção de problemas de segurança, lançamento de novas funcionalidades, melhoria do desempenho do sistema, patches, e assim por diante. No […]
ArcSight. Otimizando EPS (Agregação e Filtração)
Quase todos os iniciantes em ArcSight enfrentam uma situação em que há um alto EPS (Eventos por Segundo) proveniente das fontes de log, especialmente quando isso é crítico para os limites de licença ou causa problemas de desempenho. Para reduzir o EPS de entrada, o ArcSight possui dois métodos nativos para processamento de eventos: Agregação […]
Enriquecendo eventos com dados adicionais
No artigo anterior, examinamos Campos de Dados Adicionais e como usá-los. Mas o que fazer se os eventos não tiverem as informações necessárias, mesmo nos Campos de Dados Adicionais? Você pode sempre se deparar com a situação em que os eventos no ArcSight não contêm todas as informações necessárias para os Analistas. Por exemplo, ID […]
Configuração, Eventos e Backup de Conteúdo no IBM QRadar
Ao trabalhar com SIEM, eventualmente você se depara com uma situação em que sua ferramenta precisa ser atualizada para a versão mais recente, movida para um centro de dados diferente ou migrada para uma instalação mais produtiva. Uma parte integral disso é a criação de backups e a subsequente transferência de dados, configurações ou conteúdo […]
Integração Simples do Virus Total com Dashboards do Splunk
A integração simples ajuda a buscar processos maliciosos Saudações a todos! Vamos continuar transformando o Splunk em uma ferramenta multifuncional que pode detectar rapidamente qualquer ameaça. Meu último artigo descreveu como criar eventos de correlação usando Alertas. Agora vou te contar como fazer uma integração simples com a base do Virus Total. Muitos de nós […]