O propósito deste blog é explicar a necessidade de métodos de análise manual (não baseados em alertas) na caça de ameaças. Um exemplo de análise manual eficaz por meio de agregações/contagem de pilhas é fornecido. A Automação é Necessária A automação é absolutamente crítica e, como caçadores de ameaças, devemos automatizar onde for possível o […]
Introdução ao Sigma Sigma, criado por Florian Roth e Thomas Patzke, é um projeto de código aberto para criar um formato de assinatura genérico para sistemas SIEM. A analogia comum é que o Sigma é o equivalente aos arquivos de log do que o Snort é para IDS e o que o YARA é para […]
Olá. No último artigo, consideramos criar regras, e hoje quero descrever o método que ajudará os administradores de SIEM a responder mais rapidamente a possíveis incidentes de segurança. Ao lidar com incidentes de segurança da informação no QRadar, é extremamente importante aumentar a velocidade de operação dos operadores e analistas no SOC. O uso de […]
No artigo anterior, demonstrei como criar um painel simples que monitora a acessibilidade das fontes no Splunk. Hoje quero demonstrar como fazer qualquer tabela no painel se tornar mais evidente e conveniente. Vamos dar uma olhada em meu último artigo e continuar a melhorar a funcionalidade da tabela que obtive como resultado com linhas de […]
No meu artigo anterior, escrevi sobre como atualizar seu IBM QRadar. Mas o funcionamento correto de qualquer SIEM não é apenas a atualização da versão, ou a coleta e armazenamento de eventos de várias fontes de dados. A tarefa principal de um SIEM é identificar incidentes de segurança. O fornecedor fornece regras de detecção predefinidas […]
A operação eficiente do SIEM depende diretamente da correção de vulnerabilidades detectadas e problemas em seu funcionamento. O método principal para isso é atualizar o sistema para a versão mais recente. As atualizações podem incluir correção de problemas de segurança, lançamento de novas funcionalidades, melhoria do desempenho do sistema, patches, e assim por diante. No […]
Quase todos os iniciantes em ArcSight enfrentam uma situação em que há um alto EPS (Eventos por Segundo) proveniente das fontes de log, especialmente quando isso é crítico para os limites de licença ou causa problemas de desempenho. Para reduzir o EPS de entrada, o ArcSight possui dois métodos nativos para processamento de eventos: Agregação […]
No artigo anterior, examinamos Campos de Dados Adicionais e como usá-los. Mas o que fazer se os eventos não tiverem as informações necessárias, mesmo nos Campos de Dados Adicionais? Você pode sempre se deparar com a situação em que os eventos no ArcSight não contêm todas as informações necessárias para os Analistas. Por exemplo, ID […]
Ao trabalhar com SIEM, eventualmente você se depara com uma situação em que sua ferramenta precisa ser atualizada para a versão mais recente, movida para um centro de dados diferente ou migrada para uma instalação mais produtiva. Uma parte integral disso é a criação de backups e a subsequente transferência de dados, configurações ou conteúdo […]
A integração simples ajuda a buscar processos maliciosos Saudações a todos! Vamos continuar transformando o Splunk em uma ferramenta multifuncional que pode detectar rapidamente qualquer ameaça. Meu último artigo descreveu como criar eventos de correlação usando Alertas. Agora vou te contar como fazer uma integração simples com a base do Virus Total. Muitos de nós […]