A pesquisa é baseada na análise de evidências OSINT, evidências locais, feedback de vítimas de ataques e na metodologia MITRE ATT&CK utilizada para atribuição de atores. A SOC Prime gostaria de expressar gratidão aos pesquisadores de segurança independentes e empresas de segurança especializadas que compartilharam os relatórios de engenharia reversa e análise de ataques em […]
Atualizando o IBM QRadar
A operação eficiente do SIEM depende diretamente da correção de vulnerabilidades detectadas e problemas em seu funcionamento. O método principal para isso é atualizar o sistema para a versão mais recente. As atualizações podem incluir correção de problemas de segurança, lançamento de novas funcionalidades, melhoria do desempenho do sistema, patches, e assim por diante. No […]
ArcSight. Otimizando EPS (Agregação e Filtração)
Quase todos os iniciantes em ArcSight enfrentam uma situação em que há um alto EPS (Eventos por Segundo) proveniente das fontes de log, especialmente quando isso é crítico para os limites de licença ou causa problemas de desempenho. Para reduzir o EPS de entrada, o ArcSight possui dois métodos nativos para processamento de eventos: Agregação […]
Enriquecendo eventos com dados adicionais
No artigo anterior, examinamos Campos de Dados Adicionais e como usá-los. Mas o que fazer se os eventos não tiverem as informações necessárias, mesmo nos Campos de Dados Adicionais? Você pode sempre se deparar com a situação em que os eventos no ArcSight não contêm todas as informações necessárias para os Analistas. Por exemplo, ID […]
Configuração, Eventos e Backup de Conteúdo no IBM QRadar
Ao trabalhar com SIEM, eventualmente você se depara com uma situação em que sua ferramenta precisa ser atualizada para a versão mais recente, movida para um centro de dados diferente ou migrada para uma instalação mais produtiva. Uma parte integral disso é a criação de backups e a subsequente transferência de dados, configurações ou conteúdo […]
Integração Simples do Virus Total com Dashboards do Splunk
A integração simples ajuda a buscar processos maliciosos Saudações a todos! Vamos continuar transformando o Splunk em uma ferramenta multifuncional que pode detectar rapidamente qualquer ameaça. Meu último artigo descreveu como criar eventos de correlação usando Alertas. Agora vou te contar como fazer uma integração simples com a base do Virus Total. Muitos de nós […]
DNSmasq pode desencadear um ataque cibernético maior que WannaCry e Mirai
Boas notícias pessoal! Já se passaram 10 dias desde que o Google Security divulgou 7 vulnerabilidades críticas junto com o código de exploração PoC para o popular serviço dnsmasq e o mundo ainda está vivo como o conhecemos. Quanto tempo isso vai durar? Se nos referirmos ao surto de WannaCry, leva um tempo desde que […]
Filtragem de Eventos no IBM QRadar
Ao configurar uma ferramenta SIEM (incluindo o IBM QRadar), os administradores muitas vezes tomam a decisão errada: “Vamos enviar todos os logs para o SIEM e, depois, descobriremos o que fazer com eles.” Tais ações geralmente levam a uma utilização enorme da licença, grande carga de trabalho em uma ferramenta SIEM, aparecimento de uma fila […]
Ativos e descrição de objetos de infraestrutura crítica
Ao implementar e usar o IBM QRadar, os usuários frequentemente fazem as seguintes perguntas: o que são Ativos? Para que eles são necessários? O que podemos fazer com eles? Como automatizar o preenchimento do modelo de Ativos? ‘Ativos’ é um modelo que descreve a infraestrutura e permite que o sistema IBM QRadar reaja de maneira […]
Criando Eventos de Correlação no Splunk Usando Alertas
Muitos usuários de SIEM fazem uma pergunta: Como os serviços do Splunk e do HPE ArcSight SIEM diferem? Os usuários do ArcSight estão confiantes de que os eventos de correlação no ArcSight são um argumento de peso em favor do uso deste SIEM porque o Splunk não possui os mesmos eventos. Vamos destruir esse mito. […]