Tag: Events

No artigo anterior, examinamos Campos de Dados Adicionais e como usá-los. Mas o que fazer se os eventos não tiverem as informações necessárias, mesmo nos Campos de Dados Adicionais? Você pode sempre se deparar com a situação em que os eventos no ArcSight não contêm todas as informações necessárias para os Analistas. Por exemplo, ID […]

Ao trabalhar com SIEM, eventualmente você se depara com uma situação em que sua ferramenta precisa ser atualizada para a versão mais recente, movida para um centro de dados diferente ou migrada para uma instalação mais produtiva. Uma parte integral disso é a criação de backups e a subsequente transferência de dados, configurações ou conteúdo […]

Ao configurar uma ferramenta SIEM (incluindo o IBM QRadar), os administradores muitas vezes tomam a decisão errada: “Vamos enviar todos os logs para o SIEM e, depois, descobriremos o que fazer com eles.” Tais ações geralmente levam a uma utilização enorme da licença, grande carga de trabalho em uma ferramenta SIEM, aparecimento de uma fila […]

Muitos usuários de SIEM fazem uma pergunta: Como os serviços do Splunk e do HPE ArcSight SIEM diferem? Os usuários do ArcSight estão confiantes de que os eventos de correlação no ArcSight são um argumento de peso em favor do uso deste SIEM porque o Splunk não possui os mesmos eventos. Vamos destruir esse mito. […]

E se eu implantei ou projetei novos Casos de Uso e quero saber se minha empresa foi exposta à ameaça no passado? Ao trabalhar com ArcSight, muitas pessoas se perguntam se há uma maneira de realizar a correlação histórica. Elas até têm vários cenários reais para isso. O primeiro são eventos em lote; por exemplo, […]

Todos os produtos QRadar podem ser divididos em dois grupos: versões antes de 7.2.8 e todas as versões mais recentes. Nas versões QRadar 7.2.8+, todas as alterações de análise são realizadas a partir do console WEB. Para corrigir um problema de análise, você precisa seguir os seguintes passos: Crie uma Pesquisa na página de Atividade […]

A correlação de eventos desempenha um papel importante na detecção de incidentes e nos permite focar nos eventos que realmente importam para os serviços de negócios ou processos de TI/segurança.