Posts tonen met het label QVM. Alle posts tonen
Posts tonen met het label QVM. Alle posts tonen

dinsdag 28 februari 2017

QRadar - De Integrale benadering

QRadar® is meer dan een gewoon SIEM. QRadar bestaat uit een aantal subproducten die met elkaar geïntegreerd samenwerken. Dit zijn QRadar Vulnerability Manager, QRadar SIEM en QRadar Risk Manager.

De SIEM Vulnerability Manager kan in een netwerk vaststellen welke devices/host vatbaar zijn voor aanvallen omdat ze zwakheden bezitten. Dit kan vastgesteld worden met een vulnerability scanner. De assets in het netwerk worden hiermee een risico-score toebedeeld.

Ten aanzien van de zwakheden die assets hebben kan QRadar SIEM vervolgens vaststellen of er activiteiten op het IT-Netwerk plaatsvinden die deze zwakheden proberen te uit te nutten om te misbruiken. Het QRadar SIEM systeem kan hiermee het risico dat gedetecteerd is door de QRadar Vulnerability Manager naar boven of naar beneden bijstellen.

Verder is er nog de QRadar Risk Manager. De QRadar Risk Manager kan de configuratiebestanden van firewalls en switches uitlezen en vaststellen of er bepaalde poorten openstaan en of er dus paden bestaan door het netwerk waarmee aanvallers bij de assets kunnen komen die zwakheden hebben. De QRadar Risk Manager kan de risicoscore die allereerst door de QRadar Vulnerability Manager is vastgesteld en daarna gecorrigeerd is door het QRadar SIEM systeem nogmaals aanpassen. 

Hiermee weet QRadar op een geïntegreerde manier vast te stellen welke security incidenten in het netwerk met prioriteit behandeld moeten worden. QRadar  kan dagelijks uit de brei van vele miljoenen of honderden miljoenen activiteiten die op een netwerk dagelijks plaatsvinden precies bepalen welke incidenten met prioriteit aandacht verdienen van de security analisten.

Pieter Nierop
www.q-musketeers.com
Gepost door op Geen opmerkingen:
Labels: , , , ,

zaterdag 24 oktober 2015

IBM QRadar - Protocollen (9) – Syslog varianten hebben te veel open poorten nodig

Indien er meerdere apparaten/applicaties/systemen events sturen die dezelfde speciale behandeling vereisen bijvoorbeeld:

–  zelfde encryptie key/cert–  zelfde regex/patroon voor multiline recombitnatie–  zelfde regex/patroon voor sourceAddress overiding/redirecting

Dan kun je een enkele logsource aanmaken (van ieder type – het zal zelf feitelijk toch nooit events ontvangen) om een protocol source leverancier op te starten om events te ontvangen en om event data te decrypten/recombineren/redirecten

Deze events kunnen dan addionitioneel worden gerouteerd naar een set van handmatig gecreeerde logsource van het type Syslog,
of ze kunnen automatisch gedetecteerd worden (onder de voorwaarde dat er een DSM is die de events kan parsen)
Gepost door op Geen opmerkingen:
Labels: , , , , , , , , ,

vrijdag 23 oktober 2015

IBM QRadar - Protocollen (7) – multiline syslog – events met specifiek begin en einde

Het werken met multiline events is vaak uitdagend.  We hebben een aantal stijlen voor oplossingen van multiline syslog recombinatie. Sommige multiline logs hebben geen gemeenschappelijk veld or tag, maar hun structuur/formaat is dusdanig dat we, binnen een gegeven strom van events, kunnen bepalen waar een event begint en een andere eindigt, door hetzij gebruikt te maken van een reguliere expressie voor een ‘Event Start Patroon’, em een reguliere expressie voor een ‘Event Beeindigings Patroon’ of beide.

Hoe lossen we dit op?
Het TCPMultilineSyslog protocol

TCPMultilineSyslog (en binnenkort, het TLSSyslog protocol) stellen de gebruiker in staat om een of twee reguliere expressies te definieren voor het definieren van hoe multiline events geextraheerd moeten worden uit een stoom van multiline event data.


Event Start Patroon = (?:<(\d+)>\s?(\w{3} \d{2} \d{2}:\d{2}:\d{2}) (\S+) )?(\d{2}/\d{2}/\d{4} \d{2}:\d{2}:\d{2} [AP]M)
Gepost door op Geen opmerkingen:
Labels: , , , , , , , , , , ,
Abonneren op: Posts (Atom)