Boas notícias pessoal! Já se passaram 10 dias desde que o Google Security divulgou 7 vulnerabilidades críticas junto com o código de exploração PoC para o popular serviço dnsmasq e o mundo ainda está vivo como o conhecemos. Quanto tempo isso vai durar? Se nos referirmos ao surto de WannaCry, leva um tempo desde que […]
Filtragem de Eventos no IBM QRadar
Ao configurar uma ferramenta SIEM (incluindo o IBM QRadar), os administradores muitas vezes tomam a decisão errada: “Vamos enviar todos os logs para o SIEM e, depois, descobriremos o que fazer com eles.” Tais ações geralmente levam a uma utilização enorme da licença, grande carga de trabalho em uma ferramenta SIEM, aparecimento de uma fila […]
Ativos e descrição de objetos de infraestrutura crítica
Ao implementar e usar o IBM QRadar, os usuários frequentemente fazem as seguintes perguntas: o que são Ativos? Para que eles são necessários? O que podemos fazer com eles? Como automatizar o preenchimento do modelo de Ativos? ‘Ativos’ é um modelo que descreve a infraestrutura e permite que o sistema IBM QRadar reaja de maneira […]
Criando Eventos de Correlação no Splunk Usando Alertas
Muitos usuários de SIEM fazem uma pergunta: Como os serviços do Splunk e do HPE ArcSight SIEM diferem? Os usuários do ArcSight estão confiantes de que os eventos de correlação no ArcSight são um argumento de peso em favor do uso deste SIEM porque o Splunk não possui os mesmos eventos. Vamos destruir esse mito. […]
Dados Adicionais no ArcSight ESM
Todos que já instalaram um único ArcSight SmartConnector conhecem o capítulo ‘Device Event Mapping to ArcSight Fields’ no guia de instalação onde você pode encontrar informações sobre o mapeamento de campos específicos do dispositivo para o Esquema de Eventos do ArcSight. É um capítulo essencial para os Analistas, certo? Certamente, você notou que para alguns […]
O que é hierarquia de rede e como usá-la no IBM QRadar
Hierarquia de rede é uma descrição do modelo interno da rede da organização. O modelo de rede permite que você descreva todos os segmentos internos da rede, incluindo segmento de servidor, DMZ, segmento de usuário, Wi-Fi e assim por diante. Esses dados são necessários para enriquecer os dados de Ofensas registradas; você pode usar os […]
Listas Ativas no ArcSight, limpeza automática. Parte 1
Iniciantes e usuários experientes de ArcSight frequentemente enfrentam uma situação em que precisam limpar automaticamente a Lista Ativa em um caso de uso. Pode ser o seguinte cenário: contar os logins de hoje para cada usuário em tempo real ou redefinir alguns contadores que estão na Lista Ativa no horário especificado.
Historical Correlation
E se eu implantei ou projetei novos Casos de Uso e quero saber se minha empresa foi exposta à ameaça no passado? Ao trabalhar com ArcSight, muitas pessoas se perguntam se há uma maneira de realizar a correlação histórica. Elas até têm vários cenários reais para isso. O primeiro são eventos em lote; por exemplo, […]
Como corrigir problemas de análise no QRadar sem suporte técnico
Todos os produtos QRadar podem ser divididos em dois grupos: versões antes de 7.2.8 e todas as versões mais recentes. Nas versões QRadar 7.2.8+, todas as alterações de análise são realizadas a partir do console WEB. Para corrigir um problema de análise, você precisa seguir os seguintes passos: Crie uma Pesquisa na página de Atividade […]
Fornecer feeds de TI para o ArcSight sem gatilhos de falso positivo
Todo usuário ou administrador do ArcSight enfrenta disparos falsos positivos de regras ao entregar feeds de inteligência de ameaças no ArcSight. Isso ocorre principalmente quando os eventos de fonte de inteligência de ameaças não são excluídos da condição da regra ou o conector tenta resolver todos os endereços IP e nomes de host que estão […]