Há cerca de uma semana recebemos esta informação de um de nossos parceiros “estamos vendo e-mails de phishing circulando em nosso ambiente (Interno para Interno)” juntamente com o compartilhamento de um exemplo de e-mail conosco. Hoje vamos analisar os recentes ataques de phishing direcionados às empresas Fortune 500 e Global 2000 apelidados de “Stealthphish” voltados […]
Integração do QRadar com o VirusTotal
Olá. No último artigo, consideramos criar regras, e hoje quero descrever o método que ajudará os administradores de SIEM a responder mais rapidamente a possíveis incidentes de segurança. Ao lidar com incidentes de segurança da informação no QRadar, é extremamente importante aumentar a velocidade de operação dos operadores e analistas no SOC. O uso de […]
Splunk. Como colorir linhas de tabela com base em condições.
No artigo anterior, demonstrei como criar um painel simples que monitora a acessibilidade das fontes no Splunk. Hoje quero demonstrar como fazer qualquer tabela no painel se tornar mais evidente e conveniente. Vamos dar uma olhada em meu último artigo e continuar a melhorar a funcionalidade da tabela que obtive como resultado com linhas de […]
Listas Ativas no ArcSight, Limpeza Automática. Parte 2
Uma tarefa muito comum para todos os desenvolvedores de conteúdo do ArcSight é limpar listas ativas de forma programada ou sob demanda automaticamente. No post anterior, descrevi como limpar Listas Ativas de maneira programada usando tendências: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Hoje vou mostrar outras duas maneiras de como isso pode ser alcançado. Limpeza automática de Listas Ativas com base em […]
Criando um painel simples que monitora a acessibilidade de fontes no Splunk
No artigo anterior, examinamos o uso de painéis de dependência para criar visualizações convenientes em dashboards. Se você perdeu, siga o link: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Muitas pessoas que começam a estudar Splunk têm dúvidas sobre o monitoramento da disponibilidade dos dados recebidos: quando foi a última vez que os dados vieram de uma fonte específica, quando os dados […]
Criando Regras no IBM QRadar
No meu artigo anterior, escrevi sobre como atualizar seu IBM QRadar. Mas o funcionamento correto de qualquer SIEM não é apenas a atualização da versão, ou a coleta e armazenamento de eventos de várias fontes de dados. A tarefa principal de um SIEM é identificar incidentes de segurança. O fornecedor fornece regras de detecção predefinidas […]
Usando painéis de dependências no Splunk para criar drilldowns convenientes
No artigo anterior, examinamos a integração simples com recursos web externos usando drilldowns. Se você perdeu, siga o link: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Hoje vamos nos familiarizar com mais um interessante variante de drilldowns no Splunk: usando painéis dependentes. Painéis dependentes no Splunk: uma maneira interessante de usar drilldowns em dashboards Muito frequentemente há a necessidade de obter informações […]
Aviso de Segurança. Worm de Ransomware Bad Rabbit.
A pesquisa é baseada na análise de evidências OSINT, evidências locais, feedback de vítimas de ataques e na metodologia MITRE ATT&CK utilizada para atribuição de atores. A SOC Prime gostaria de expressar gratidão aos pesquisadores de segurança independentes e empresas de segurança especializadas que compartilharam os relatórios de engenharia reversa e análise de ataques em […]
Atualizando o IBM QRadar
A operação eficiente do SIEM depende diretamente da correção de vulnerabilidades detectadas e problemas em seu funcionamento. O método principal para isso é atualizar o sistema para a versão mais recente. As atualizações podem incluir correção de problemas de segurança, lançamento de novas funcionalidades, melhoria do desempenho do sistema, patches, e assim por diante. No […]
ArcSight. Otimizando EPS (Agregação e Filtração)
Quase todos os iniciantes em ArcSight enfrentam uma situação em que há um alto EPS (Eventos por Segundo) proveniente das fontes de log, especialmente quando isso é crítico para os limites de licença ou causa problemas de desempenho. Para reduzir o EPS de entrada, o ArcSight possui dois métodos nativos para processamento de eventos: Agregação […]