Preguntas con etiqueta 'siem'

preguntas con etiqueta
3
respuestas

¿Cómo detectar el escaneo de puertos en SIEM dentro de LAN o la misma red?

Supongamos que una máquina host en el entorno del cliente se ha infectado y su puerto de escaneo se realiza en otra máquina dentro de la LAN o en la misma red sin pasar por Firewall: Sobre qué base podemos escribir una alerta en la herramien...
hecha 31.07.2015 - 08:33
1
respuesta

Tratar con puertos "troyanos"

Tenemos un SOC que "supervisa" nuestra actividad de red, básicamente recopila todos los registros de todos nuestros cortafuegos y crea informes. Tenemos una gran red con cientos de servidores y hasta 2000 usuarios, y todas nuestras subredes /...
hecha 03.08.2016 - 13:20
3
respuestas

Recopilación de datos de dispositivos de red con fines de detección de seguridad

Finalmente conseguí que el equipo de redes comenzara a compartir datos en los dispositivos que administran (enrutadores, firewalls, VPN, NAC, etc.), para que podamos tener una mejor visión de nuestra red y concentrarnos más en la detección. >...
hecha 23.10.2015 - 17:15
4
respuestas

SOC y análisis de registro genérico

Estoy realizando un flujo de trabajo conceptual de un SOC por lo que si suponemos que un La solución SIEM está integrada dentro del SOC interno de una organización. Además, si el equipo del SOC es el que administra la solución SIEM. Mi pr...
hecha 23.04.2018 - 12:31
2
respuestas

Detectar un host en mi red que está realizando raspado web en sistemas externos

Recientemente (a través de una compañía externa), me llamó la atención que un host en mi LAN interna podría estar realizando una actividad de raspado web contra los servidores web de esa compañía externa. Debido a esta actividad, la empresa exte...
hecha 29.11.2016 - 19:23
2
respuestas

Elegir entre SSH y HTTPS para ejecutar el script utilizando McAfee ESM Nitro

Tenemos la intención de utilizar McAfee ESM Nitro (SIEM) para el monitoreo de seguridad de nuestros servidores de infraestructura. Para llevar la automatización en la administración del sistema de nuestros servidores, hemos desarrollado algunas...
hecha 10.12.2015 - 09:36
1
respuesta

Método recomendado por SIEM Alien Vault para silenciar el ruido

He instalado Alien Vault en mi entorno y veo una tonelada de registros que ingresan al SIEM. Tras una investigación adicional, veo que estos son generados por el propio AlienVault. Creo que estos eventos son ruidosos y crean complacencia donde n...
hecha 12.06.2017 - 13:04
2
respuestas

¿Cómo conectar sensores como Snort a AlienVault SIEM?

Quiero conectar algunos sensores como Snort y OSSEC a AlienVault SIEM. ¡¿Cómo puedo hacer eso?! ¿Es posible enviar registros a través de syslog?     
hecha 19.05.2012 - 11:42
2
respuestas

Mejores prácticas al clasificar la gravedad de los mensajes de registro en un SIEM

Al implementar una solución SIEM, ¿cuál es la mejor práctica al clasificar la gravedad de cada evento que se envía desde dispositivos individuales? Entiendo que esto puede ser un poco subjetivo y dependiendo del objetivo de monitoreo de la or...
hecha 31.10.2013 - 11:51
2
respuestas

Cómo averiguar por qué tantos hosts están hablando con una IP que está en la lista negra

En mi herramienta SIEM, recibí varias alertas para la comunicación con sitios de malware desde el firewall de Palo Alto. He visto muchas comunicaciones salientes desde IP internas hacia IP: 74.217.31.51 con nombre de host: match.baseb...
hecha 04.12.2015 - 18:33