Tag: SIEM

splunk

A Splunk átalakítása fél-SOAR platformmá

  Amint azt a hivatalos Splunk weboldalon is láthatjuk, ez a szoftver gépeink adatait válaszokká változtatja. De milyen válaszokat keresünk? A Splunk egy olyan hatékony eszköz, amely nagy mennyiségű adat kezelése mellett több célra használható, mint például az IT monitorozás, SIEM vagy SOAR funkcióra.   A következőkben röviden be szeretném mutatni, hogyan kell a Splunk-ot fél-SOAR platformként használni. Először tisztáznunk…

A SIEM nem elég, avagy a SOC látókörének szélesítése nyílt forrású eszközökkel

Egy SOC (Security Operations Center) működéséhez elengedhetetlen, hogy egy központi felületről nyomon lehessen követni a felügyelt hálózaton történő eseményeket. Ezt a feladatot látja el a SIEM (Security Information and Event Management), mely a különböző log forrásokból kapott információk alapján - a beállításoknak megfelelően - a már bekövetkezett események alapján generál biztonsági riasztásokat. Ez elsősorban a hatékony reaktív védelmet teszi lehetővé,…

Vadászat Netflow-val

A threat hunting egy régi jó eljárás a kiberbiztonság területén. Nem egy folyamat jellegű dologról beszélünk, hanem allokált időről, aminek része az ötletelés az elemzés, illetve az eredmények validálása és felhasználása. A feladat végrehajtása folyamán adatkészletekkel dolgozunk (hálózati, végponti logok és metaadatok, biztonsági megoldások naplói, stb.), javarészt mandátum alapján, mivel mi sem láthatunk mindent, másrészről nem is egészséges annyira. A…
Top