SIEM-Lösungen und -Anbieter gibt es inzwischen einige. Eine geeignete SIEM Lösung auszuwählen ist eine Herausforderung. Egal ob OpenSource oder proprietäres System. Alle haben Vor- und Nachteile. Der SIEM Prozess ist komplex und die SIEM Lösung sollte optimal dazu passen!
Die Frage lautet also eher: "Was gibt es bei einem SIEM Auswahlverfahren zu berücksichtigen?"
sometimes you simply need access to the latest QRadar features. There is an easy way once you got access to the IBM cloud. Please ask your sales representative. Its available for all business partners. If you already got an IBM account you may want to register yourself
when analyzing offenses in QRadar regardless of using the new UI or the traditional one you quickly get to the point where you have to search for additional context information...
Beginnend mit QRadar Release 7.4.3FP1 ändert sich das Deployment des QRadar Analyst Workflow UIs.
Seit dem 15.7.2021 steht die neue Version des “Security QRadar Analyst Workflow” (Release 1.24.10) für QRadar 7.4.3FP1 im X-Force App Exchange zur Verfügung.
In diesem Live-Lab Beispiel heute, geht es um das Zusammenspiel zwischen SIEM360 Security (Detection) und Security SOAR (Response). Es geht um eine Möglichkeit, bei dem automatisiert eine QRadar Offense zum Security SOAR System weitergeleitet wird.
Sobald ein hoher Reifegrad des zentralen SIEM360 zur Erkennung möglicher IT-Sicherheitsvorfälle erreicht wurde, folgt erfahrungsgemäß im Anschluss daran der nächste Schritt. Daraus abgeleitet stellt sich in der Regel die folgende Frage:
Was soll nun passieren, wenn ein Alarm mit einer hohen Priorität ermittelt wurde?
„Jeder kennt das Problem: im SIEM werden Alarme angezeigt aber keiner schaut drauf!" Da ist es gut, wenn man eine Email sendet an den Admin seines Vertrauens. Dafür gibt es in QRadar eine Regel die lediglich aktiviert werden muß:
An meine erste E-Mail kann ich mich nur noch dunkel erinnern. Muss so um 1980 gewesen sein. Meist waren es Rundschreiben des Rechenzentrums, daß der Grossrechner wegen „Wartungsmaßnahmen“ am Wochenende nicht zur Verfügung steht. Eine eigene E-Mail Adresse hatte ich natürlich noch nicht, sondern benutzte die "shared" Adresse des Forschungsinstituts am MPI Düsseldorf...
One of the frequently asked questions that was placed to me during the last weeks was, "how to transfer QRadar custom rules from a test box to a production box"? To mark this current concern, i want to share one of my apparent favorite secrets of qradar how to achieve this. It's just that easy!