Мой кабинет

Блог

При настройке любой SIEM-системы, в том числе и IBM Qradar, администраторы часто принимают ошибочное решение: «Давайте направим все логи в SIEM, а потом разберемся, что с ними делать». Подобные действия чаще всего приводит к повышенному использованию лицензии, высокой загрузке SIEM-системы, появлению кэш-очереди на SIEM, а иногда даже к потере событий. В свою очередь это приводит к […]

При внедрении и использовании IBM QRadar часто задаются вопросы: что такое Assets? Зачем они нужны? Что с ними делать? Как автоматизировать заполнение модели Assets? Так вот — Assets это модель, которая описывает инфраструктуру и позволяет системе IBM QRadar по разному реагировать на события, которые связаны с указанными объектами. Повышение магнитуды и критичности, а также ответная […]

Метки: , ,

Сетевая иерархия — это описание внутренней модели сети организации. Сетевая модель позволяет описать все внутренние сегменты сети включая серверный, ДМЗ, пользовательский сегмент, Wi-Fi и тд. Это необходимо для обогащения данными зарегистрированных инцидентов, позволяет использовать данные сетевой модели в правилах, поисках, фильтрации и отчетах, а также необходимо для более точной идентификации ресурсов.

Корреляция событий играет важную роль в процессе обнаружения инцидентов, позволяя нам сосредоточиться на событиях, которые действительно важны для бизнес-сервисов или процессов ИТ или безопасности.

В этом году для индустрии безопасности особенно жаркое лето: предполагаемый вирус-шифровальщик Petya.A менее чем за неделю обернулся в нечто гораздо большее и много опаснее. Исследователи ИБ по всему миру по праву назвали его NotPetya и EternalPetya, поскольку это вредоносное ПО никогда не предназначалось для требования выкупа – это было просто маскировкой для «вайпера», компонента зачистки […]