At the end of 2020 an odd issue in QRadar deployments occurred. The result of this defect is, that flow or/and event processing stops. The details about this are described here...
During the course of my troubleshooting experience i had to be aware of some “utility changes” regarding to app extension management and monitoring. According to the applied Release of QRadar and deployment scenario (AiO / Apphost as a managed host), you’ll have to keep in mind some improvements/changes of available “support utilities” or CLI commands.
Running QRadar bootcamps for about 10 years now, quite often I am asked why it is so complex and if there is an easy way to speedup the learning curve. Now there are good and bad news for you. GOOD News 1st. There is a way out there for speeding up BAD News 2nd. Its not as easy as you may want it to be
SIEM Use-Case-Strategie zentral an nur einer Stelle agil verwalten, planen und dokumentieren! Klingt zu schön, um wahr zu sein?
Falls Sie noch zu viele Tools und Ressourcen zur Verwaltung der Use-Case-Strategie einsetzen und mit der Aktualisierung von Dokumenten zeitlich nicht hinterher kommen, dann sollten Sie weiterlesen...
Als SIEM-Experte werde ich häufig gefragt, wie eine “einfache” SIEM Use-Case Strategie aussieht. Durch langjährige Projekterfahrungen verfüge ich inzwischen über ein breites Spektrum an Hands-On. Im folgenden Beitrag liegt mein Bestreben darin, aus diesen Erfahrungen eine relativ “kurze” Antwort auf diese “vermeintlich einfach klingende” Frage zu geben.
Wenn IBM QRadar Network Insights Appliances (QNI) im Advanced Inspection Mode betrieben werden, kommt es manchmal zu folgenden Nachrichten, die nach /var/log/qradar.log geschrieben werden: TikaServer (6690) - ERROR - Error starting subprocess: [Errno24] Too many open files...
Heute morgen kam via LinkedIn diese Nachricht wired.com story iran-apt35-hacking-video Das hat mich motiviert den Hackern selbst auf die Finger zu schauen. Als ich noch überlegte wie, kam ein Anruf auf dem Festnetz. Schnell startete ich die Sprachaufnahme. Wer Lust hat hört mal rein, denn es ist sehr lustig. Vor allem das (erwartete) Ende! https://my.hidrive.com/share/zi.b3vy1o9#$/
Eine SIEM360 Architektur (QRadar SIEM) mit aktuellem Release und erweitert mit Apps, wie User Analytics und Content Packages (aktuelle Use-Cases), enthält zeitgemäße Regelwerke (Techniken und Taktiken) zur Erkennung von möglichen IT-Sicherheitsvorfällen...
QRadar DNS Analyzer unterstützt Einblicke in den lokalen DNS Traffic und hilft heimtückische Aktivitäten zu identifizieren. Hier ein Praxisbeispiel (Use-Case) auf Basis von Microsoft DNS Debug Logs...
Nach mehr als drei Monaten ONLINE Bootcamp endlich wieder die erste Präsenzschulung! Am 30.6. war es so weit. Nie hätte ich geglaubt, das es so viel mehr Spaß macht sich zwei Tage zu treffen, zu diskutieren und miteinander zu arbeiten...