During the course of my troubleshooting experience i had to be aware of some “utility changes” regarding to app extension management and monitoring. According to the applied Release of QRadar and deployment scenario (AiO / Apphost as a managed host), you’ll have to keep in mind some improvements/changes of available “support utilities” or CLI commands.
Running QRadar bootcamps for about 10 years now, quite often I am asked why it is so complex and if there is an easy way to speedup the learning curve. Now there are good and bad news for you. GOOD News 1st. There is a way out there for speeding up BAD News 2nd. Its not as easy as you may want it to be
Seit ungefähr einem Jahr spielt mein Junior Baseball. Was ist das doch für eine coole Sportart - da gehts um Defense & Offense, Bases erreichen und hart geworfene Bälle fangen.. Und während ich bei einem Spiel zusah, fiel mir die Analogie zu meiner täglichen Arbeit auf..
Starting with QRadar Release 7.3.3FP5 or 7.4.1FP1 and future versions of QRadar the "Active Directory" authentication module deprecated from QRadar Console.
After the authentication module setting were changed in the QRadar authentication settings to LDAP or LDAPS you should have to keep in mind the following dependencies, if your QRadar Users possibly running in “login failed” issues:
If it's required for security reasons to use authentication to LDAP with SSL, the following limiting factor can be a culprit..
SIEM Use-Case-Strategie zentral an nur einer Stelle agil verwalten, planen und dokumentieren! Klingt zu schön, um wahr zu sein?
Falls Sie noch zu viele Tools und Ressourcen zur Verwaltung der Use-Case-Strategie einsetzen und mit der Aktualisierung von Dokumenten zeitlich nicht hinterher kommen, dann sollten Sie weiterlesen...
Als SIEM-Experte werde ich häufig gefragt, wie eine “einfache” SIEM Use-Case Strategie aussieht. Durch langjährige Projekterfahrungen verfüge ich inzwischen über ein breites Spektrum an Hands-On. Im folgenden Beitrag liegt mein Bestreben darin, aus diesen Erfahrungen eine relativ “kurze” Antwort auf diese “vermeintlich einfach klingende” Frage zu geben.
Wenn IBM QRadar Network Insights Appliances (QNI) im Advanced Inspection Mode betrieben werden, kommt es manchmal zu folgenden Nachrichten, die nach /var/log/qradar.log geschrieben werden: TikaServer (6690) - ERROR - Error starting subprocess: [Errno24] Too many open files...
Heute morgen kam via LinkedIn diese Nachricht wired.com story iran-apt35-hacking-video Das hat mich motiviert den Hackern selbst auf die Finger zu schauen. Als ich noch überlegte wie, kam ein Anruf auf dem Festnetz. Schnell startete ich die Sprachaufnahme. Wer Lust hat hört mal rein, denn es ist sehr lustig. Vor allem das (erwartete) Ende! https://my.hidrive.com/share/zi.b3vy1o9#$/
Eine SIEM360 Architektur (QRadar SIEM) mit aktuellem Release und erweitert mit Apps, wie User Analytics und Content Packages (aktuelle Use-Cases), enthält zeitgemäße Regelwerke (Techniken und Taktiken) zur Erkennung von möglichen IT-Sicherheitsvorfällen...
QRadar DNS Analyzer unterstützt Einblicke in den lokalen DNS Traffic und hilft heimtückische Aktivitäten zu identifizieren. Hier ein Praxisbeispiel (Use-Case) auf Basis von Microsoft DNS Debug Logs...
Nach mehr als drei Monaten ONLINE Bootcamp endlich wieder die erste Präsenz- schulung! Am 30.6. war es so weit. Nie hätte ich geglaubt, das es so viel mehr Spaß macht sich zwei Tage zu treffen, zu diskutieren und miteinander zu arbeiten...
In Zeiten von Covid-19 gibt es leider zu diesem Thema auch viele Phishing Attacken. Heute ist es Normalität geworden, Malware über E-Mail zu verteilen. Im folgenden Beitrag stellen wir eine Möglichekeit vor, wie mit Unterstützung und Anreicherung der IBM XForce-Feeds Covid-19 Bewegungsmuster überwacht und alarmiert werden können..
Mit dem Faktor Zeit steht und fällt die Möglichkeit, das Ausmaß des Schadens so gering wie möglich zu halten! Alle Mitwirkenden müssen für das Ziel “SIEM360” sensibilisiert werden. Das ist eine Team-Aufgabe. Denn jede Änderung im IT-Betrieb und der IT-Infrastruktur hat Auswirkungen auf das zentrale SIEM360-Management...
Im HO gilt das gleiche wie sonstwo auch. Datenschutz ist Pflicht aber intelligente Überwachung ist die Kür. Die rasant ansteigende Anzahl der Home Office Remote User zu überwachen ist keine so leichte Aufgabe wie es scheint - es sei denn man hat QRadar und UBA!
Seit knapp 4 Jahren ist die Pro4bizz GmbH mit Beratungsleistungen, Schulungen und Produkten am IT-Security Markt aktiv. Die Viren die wir jeden Tag in unseren Kundenprojekten bekämpfen, haben sich durch COVID-19 zahlenmäßig nur marginal erhöht. Trotzdem macht uns das neue Virus natürlich auch Kopfzerbrechen,
Pünktlich zum Valentinstag liefert IBM Security die QRadar 7.3.3 Community Edition (CE) als fertiges OVA. Aber nicht nur das! Seit dem 13.2.2020 steht auch QRadar 7.3.3 FP2 zur Verfügung. Mit diesem Maintainace Release wurden 11 gemeldete APARs gelöst...
Diese Woche erreichte uns der QRadar Value Assessment Bericht von IBM Security. Anfang Februar 2020 hatten wir gemeinsam (IBM Security/pro4bizz) einen Termin bei unserem Kunden. Bei diesem Workshop ging es um die Feststellung des Reifegrades der SIEM Infrastruktur...
Kunden wollen schnell ans Ziel. Deswegen fragen sie oft nach einem Ferrari. Denn Ferrari sind schnell. Das weiß man aus der Formel 1. Was weniger bekannt ist: so ein Ferrari braucht ein 50-Mann Team damit er so schnell ist. Anderes Thema. Natürlich soll der Ferrari auch andere Bedingungen erfüllen. Zum Beispiel sparsam sein.
Rechtzeitig zum Advent kam die überarbeitete Tuning App heraus und erhielt auch gleich einen neuen Namen. Die Version 2.0 unterstützt jetzt MITRE ATT@CK Kategorien und führt damit zusätzlich zu den bekannten QRadar Kategorien die weithin anerkannten Begriffe zur Verbesserung der eigenen Cyber Defense Strategie ein...
Nach dem Stichtag im April und der positiven Entscheidung der Anlieger für den Glasfaserausbau dauerte es einige Monate bis es los ging. Dann aber arbeitete sich das Team der Deutschen Glasfaser emsig Straße um Straße vorwärts bis es schliesslich diese Woche unsere Haustür erreichte...
Nach der letzten Station in Linz ist die MS Wissenschaft mit unserem Exponat wieder Richtung Heimathafen Würzburg unterwegs und wir begrüßten Kapitän Scheubner und Frau Montag morgen um 10h an Bord im Nürnberger Hafen. Das Team war schon fleissig mit dem Rückbau der Ausstellung beschäftigt...
Heute waren wir wieder zu Gast bei unserem Partner Puresec. Wir sprachen über Cyber Defense, gesetzliche Vorgaben, SIEM, SOC und VA und gemeinsamen Projekte. Das ist natürlich vertraulich und daher hier kein Thema. Deshalb heute unser Roboter und KI Update. Das ist auch wesentlich spannender...
Bei schönstem Wetter trafen kurz vor 18h die ersten Gäste auf der MS Wissenschaft in Bingen ein, um rechtzeitig an der Führung durch die Ausstellung teilzunehmen. Tipp: Audioguide ausleihen! Die 32 Exponate sind wirklich sehenswert und erfordern eigentlich mehr als 1h um in die Tiefen der spannenden Welt der KI abzutauchen. Das ist kein Problem, den gerade im Raum Rhein-Main macht das Schiff noch bis zum 26.8. Station, siehe https://ms-wissenschaft.de/ausstellung/tour-2019/
Im heutigen Security Insider Update fand ich einen interessanten Artikel zu ApacheMetron als Basis für ein SIEM System. Meinen Kommentar dazu habe ich eingereicht. Mal sehen ob der Vogel Verlag mutig genug ist das zu drucken, denn bisher war ich damit nicht erfolgreich ("Ihr Beitrag wird von einem Redakteur geprüft"). Zum Aritikel apache-metron-als-siem-nutzen
PS Da habe ich den Verlag offensichtlich unterschätzt den heute fand sich mein Kommentar zum Artikel dort!
wie im Beitrag KI_2019 bereits angekündigt zeigen wir auf der "MSW" ein Exponat, dass die Zeitreise in das Zeitalter der KI einleitet, siehe auch Zeitreise_Kuenstliche_Intelligenz
Wer sich für das Thema KI interessiert kann dies ab Mai mit einem schönen Ausflug an Elbe, Rhein, Main, Neckar oder Saar verbinden. Auch bei regnerischem Wetter lohnt sich der Besuch der Ausstellung mit Exponaten der führenden Forschungseinrichtungen in Deutschland. Dass wir hier mitmischen dürfen, betrachten wir als besondere Ehre. Unser Praxiswissen zum Thema Ausbildung hat wohl überzeugt.
The IBM QRadar Security Intelligence Platform is a flexible solution that provides centralized 360° visibility into enterprise-wide security data and provides actionable insight into the highest priority threats.
Die Pro4bizz betreibt eines Ihrer Homeoffice in Hünstetten im Rheingau Taunus Kreis. Die deutsche Glasfaser ist mit 780.000 Teilnehmern seit 2018 Führender Anbieter von FTTH (Fiber to the Home) in Deutschland und hat einen Kooperationsvertrag mit der Gemeinde zur Sicherung des GF-Netzausbau geschlossen.
eigentlich wollte ich ja etwas zum aktuellen Hack und zu der reflexartigen Reaktion unseres Innenministers schreiben, der ein neues IT-Sicherheitsgesetz 2.0 fordert. Das kennen wir ja schon aus DSGVO (2018) und IT-SiG (2016). Da muss halt wieder mal was Neues her, statt erstmal die eigenen Hausaufgaben zu machen.
Inzwischen ist vielen klar, dass ein zentrales IT-Security Monitoring die wesentliche Grundlage liefert, sicherheitsrelevante Anomalien (Sicherheitsvorfälle) schneller zu erkennen. Zeit ist bei der Erkennung eines IT-Sicherheitsvorfalls der wesentliche Erfolgsfaktor, um das Schadensausmaß möglichst gering zu halten oder eben im Idealfall rechtzeitigangemessenreagieren zu können...
Anfang der Woche besuchten wir unsere Partnerfirma PureSEC in Ihren neuen Räumen. Wir haben den Termin kundenfreundlich auf 18h gelegt, und wir sind sehr gespannt Pepper kennen zu lernen. Pepper ist ein kindgrosser Androide mit der Sorte Communication Skills, die wir bei vielen natürlichen Artgenossen anfangen zu vermissen. Zur Begrüßung nennt er seinen Namen und fragt mit natürlicher Sprache nach dem des Besuchers, den er dabei treuherzig anschaut. Man kann ihn nach seinen Eltern fragen und er antwortet wahrheitsgemäß, dass er keine leiblichen Eltern besitzt.
Die allgemein verfügbare Grundstruktur zum Thema "feindliche Cyber Angriffstaktiken und -teckniken" wurde von der MITRE Corp. entwickelt. Diese öffentliche Wissensdatenbank hilft Ihren Security-Analysten Hackerbedrohungen besser zu verstehen.
Wie können Ihre Security-Analysten unterbinden, dass bösartige Hacker-Attaken in ihrem Unternehmensnetzwerk passieren? Die bekannten Angriffstaktiken können zur Schwachstelle werden, wenn die dafür relevante Log Quelle nicht im zentralen Security-Monitoring berücksichtigt wurde.
Zunächst: die IBM QRadar Masterclass University ist für uns eines der wichtigsten Ereignisse mit dem Fokus SIEM / SOC. Daher war es klar dass Ralph und ich dorthin reisen. Man trifft dort Businesspartner, Dev/Ops, Kunden und das weltweit und lernt "HandsOn" was es Neues gibt. Davon wollte ich aber garnicht berichten, sondern...
Gestern Abend war in der ARD ein ausgezeichneter Tatort zum Thema KI = Künstliche Intelligenz zu sehen, der auch von ausgewiesenen KI-Experten gelobt wird. Siehe dazu auch das Interview mit Dr. Roehrbein, der als Berater bei der Produktion tätig war. tatort-muenchen-kuenstliche-intelligenz-ki-florian-roehrbein
Heutzutage glaubt ja fast jeder, dass künstliche Intelligenz (aka KI) jedes Problem lösen kann. Im Magazin Focus lese ich gerade einen Artikel über Deutsche Unternehmen, die solche Programme einsetzen um über Ihre Bewerber ein automatisiertes Persönlichkeitsprofil zu erstellen. Das macht der Redakteurin zu Recht Angst. Noch mehr Angst macht mir aber die Unbedarftheit mit der offensichtlich viele Computerbenutzer es den Angreifern leicht machen.
Digitale Bildung und künstliche Intelligenz sind in aller Munde. Mit schöner Einigkeit fordern staatliche Institutionen, Bildungspolitiker, Verbände usw. seit Jahrzehnten Technikunterricht, Verbesserung der Bildung im Bereich der MINT-Fächer und neuerdings digitale Bildung reflexartig in jeder öffentlichen Debatte und in den Medien. Was aber wird gefordert? Die einen meinen damit Breitband-Internet für Ihre Schule, Tablets für den Unterricht oder bessere Lehrerausbildung. Das ist alles wichtig und richtig. Wie aber kann man(n)/frau sich selbst diesem Thema wirklich ernsthaft nähern? Bildung im Bereich Informationstechnik beginnt eben nicht mit Benutzung der digitalen Medien, so genannter Medienkompetenz, sondern mit dem Einstieg in die Grundlagen der Programmierung. Nullen und Einsen sozusagen.
eine Zeitreise in die Ära der natürlichen Intelligenz
Es gab mal eine Zeit vor dem "PC", vor sozialen Medien und dem "WWW". Begriffe wie Cloudcomputing und soziale Medien waren noch nicht erfunden, ganz zu schweigen von der Tatsache , dass sie unseren Alltag beherrschten. Über künstliche Intelligenz hingegen wurde schon leidenschaftlich diskutiert, denn Computer existierten schon und konnten eine ganz Menge. Zum Beispiel Menschen sicher zum Mond fliegen und zurück! Allerdings mussten die Astronauten vorher die Befehle zum Bedienen Ihres Bordcomputers an Bord der Apollo-Raumfähre auswendig lernen, denn das Handbuch war zu schwer um mitgenommen zu werden.
Die Mindestanforderung bis 31.1.2018 war die Einführung eines ISMS (Informationssicherheit Management System) und eine ISO27001 Zertifizierung unter Berücksichtigung des Leitfadens aus ISO27019 (ISMS für Steuerungssysteme der Energieversorgung) auf Grundlage der Maßnahmen aus dem ISO27002 Maßnahmenkatalog.
BSI Grundschutz oder ISO, Herausforderungen, Fragestellungen, Tooleinsatz, Status. ISMS ist auf jeden Fall kein Projekt im klassischen Sinn!
LogPoint und pro4bizz entwickeln gemeinsam eine Lognormalisierung von IBM Domino Loginformationen, die über SNMP an ein LogPoint SIEM weitergeleitet werden.
Nachdem sich die Aufregung um potenzielle Angriffe auf verschlüsselte Emails etwas gelegt hat - viele News Portale wie chip.de zitieren die Electronic Frontier Foundation, die dazu rät, die Plugins zu deinstallieren und E-Mail-Verschlüsselung (temporär) nicht mehr zu nutzen - und die Online News Seiten aktualisiert wurden - wollen wir die Diskussion wieder etwas versachlichen.
Wir beleuchten neutral zwei Lösungen (IBM QRadar, LogPoint), die bei unseren Kunden als zentrales IT Security-Monitoring eingesetzt werden unter Betrachtung der M-S-K-Kriterien (Muss-Soll-Kann), die es gilt, bei einer SIEM Auswahl zu berücksichtigen.
Dieser Grundlagen-Kurs wurde entwickelt für Security Analysten, technische Security Architekten, Netzwerk-Administratoren und System-Adminstratoren, die QRadar SIEM einsetzen.
SIEM-Lösungen und -Anbieter gibt es inzwischen einige. Als grundlegende Orientierung, zur Auswahl eines zentralen IT-Security Monitoring Tools (SIEM-Tool), erweisen sich die Angaben aus dem Gartner-Quadranten als sehr hilfreich.
Entscheidend sind aber letztendlich die individuellen MSK-Kriterien der Organisation und die spezifischen Anforderungen (Use-Cases) die erfüllt werden sollen!
Die vergangenen zwei Tage auf der IT-SA in Nürnberg waren wieder einmal sehr interessant und aufschlussreich. Es gibt viele tolle Hersteller und viele tolle Security-Lösungen und ganz viele ergänzende Informationen dazu. Gesetze und Normen haben wir bereits auch schon genug. Und trotzdem ist die aktuelle Bedrohungslage so wie sie ist!!
Ein Reizthema vieler Eltern: Mir ist langweilig! Darf ich Handy spielen? Oder anders ausgedrückt: Irgendwann erwischt es jeden!
Wie schön war die Welt für uns Eltern, als unsere Kinder noch klein waren. Im Vorschulalter ist die Welt noch in Ordnung. Ab der dritten Klasse fängt es dann langsam an, ungemütlich für uns zu werden, da ein neues Reizthema in den Elternalltag rückt. Das Smartphone!
In den frühen Morgenstunden am 5. Mai fand bei einem leckeren Frühstück im Schlosshotel Karlsruhe eine kleine Runde von IT-Sicherheitsexperten zusammen um sich auszutauschen und aktuelle Entwicklungen zum Thema IoT und Fragestellungen aus dem Bereich IT-Sicherheit zu diskutieren. Karl Jaeger zeigte, wie der in allen Medien diskutierte Smart-TV Hack funktioniert.
Unser QRadar SIEM Boot Camp vom 13. - 15.3.2017 ist nun einige Tage her. Die Nachfrage nach weiteren pro4bizz QRadar SIEM Boot Camps ist groß. Daher haben wir bereits zwei weitere Termine in Planung und der nächste Folgetermin (26.-28.06.17) steht bereits fest.
Für wen ist dieses Boot Camp interessant? Nicht nur für Kaffeetrinker, sondern...
Am letzten Freitag im März durfte ich als Vertreter der pro4bizz GmbH die Gründungsurkunde der AUDEG mit unterzeichnen! Die Stimmung unter allen Gründungsmitgliedern war sehr gut.
Heute ist die Dynamik ständiger Updates, Austausch veralteter IT-Infrastruktur-Komponenten und Integration neuer IT-Systeme zur Herausforderung geworden. Eine IT-Strategie haben alle Firmen mehr oder weniger.
Die bekannten Vorfälle über Hacker-Angriffe und Datendiebstahl lassen aber eines vermuten: Scheinbar fehlt bei vielen Firmen in diesem vergänglichen Tagesgeschäft ein Focus auf IT-Security!
SIEM ist ein kontinuierlicher Optimierungsprozess und kein Projekt mit einem Anfang und einem definierten Ende!
Heutigen IT-Strategien scheint ein wesentlicher Focus zu fehlen - Security First. Die klassischen Produkte für IT-Sicherheit, die noch vor einigen Jahren optimal funktionierten - Firewall, Verschlüsselung und Anti-Viren Software sind den schonungslosen und dynamischen Angriffen der Hacker heutzutage nicht mehr gewachsen und helfen lediglich den "groben Schmutz" zu filtern.
Trotz der fast täglichen Konfrontation mit IT-Sicherheitsvorfällen scheint das Thema Datendiebstahl nicht in den Firmen anzukommen, vor allem nicht in den Köpfen der Verantwortlichen. Insbesondere im Mittelstand herrscht Arglosigkeit: Industriespionage betrifft immer die „anderen“ oder die „großen“ Unternehmen...
IBM Domino Web Administrator (webadmin.nsf) has multiple cross-site scripting vulnerabilities of low CVSS score. These vulnerabilities do not exist in the Domino Administrator client.
To prevent the potential for these attacks, migrate away from Domino Web Administrator. Instead use the Domino Administrator client or the mitigations listed below.
Die meisten klassischen, bekannten Werkzeuge und Arbeitsprozesse kommen heute mehr oder weniger an ihre Grenzen der Produktivität. Stichwort: Mehrfaches Verteilen von Informationen (Anhängen und deren Versionen) an alle beteiligten Personen.
Mit Desktop Virtualisierung, beispielsweise durch Einsatz von Vmware Horizon View, können viele sicherheitsrelevante Herausforderungen von BYOD auf eine einfache Art und Weise gemeistert werden.
Symantec verdient zwar noch 40 Prozent seine Geldes mit Norton Antivirus, will sich in Zukunft aber eher auf Schadensbegrenzung konzentrieren. Es sei ohnehin nicht zu verhindern, dass Hacker den Weg ins System finden.
Das Thema Cyber Security wird immer noch vernachlässigt. Vor allem wenn man bedenkt, dass die wenigsten CEOs großer Unternehmen wirklich umfassend über den Stand der IT-Sicherheit im eigenen Haus informiert sind. Hinzu kommt der sehr dynamische Wandel hin zu mobilen Endgeräten in der Arbeitswelt. Und genau das ist der Punkt!