1. Introduction Bonjour à tous, voici un petit tips sur l’utilisation du Log Activity dans QRadar. Cet outil de QRadar est le point central pour tout ce qui est analyse des évènements et compréhension d’une alerte. Si vous êtes analyste ou encore intéressé par comment gagner du temps dans la recherche de vos informations, vous…
Catégorie : SIEM
Tips : Création de rapports dans QRadar
1. Introduction Bonjour à tous, voici un petit tips sur l’utilisation des rapports dans QRadar. Comme son nom l’indique, cette option permet de générer des rapports de quasiment tout ce que vous trouverez dans l’interface de QRadar. Ici nous allons voir une comment visualiser des évènements particuliers via un rapport mais vous n’êtes pas limités…
Tips : Supervision du bastion Teleport
1. Introduction Nous allons voir aujourd’hui comment mettre en place la supervision de Teleport. Teleport est un bastion disponible en OpenSource qui permet de faire du contrôle d’accès de vos ressources. Afin de pouvoir effectuer les différentes actions de cet article et donc les tester, il va vous falloir les prérequis suivants : 2. Configuration…
Tips : Supervision d’un serveur OpenSSH Windows
1. Introduction Bonjour à tous, je vous présente dans cet article comment mettre en place un serveur SSH sur votre machine Windows mais également comment le superviser à l’aide d’un agent WinCollect et de l’outil d’IBM QRadar. Pour pouvoir effectuer les différentes actions de cet article, il va vous falloir les prérequis suivants pour pouvoir…
Développer votre première application QRadar
1. Introduction Bonjour à tous, vous avez dû voir, au travers de tous les articles parlant de l’environnement IBM QRadar, plusieurs applications parmi lesquelles : Toutes ces applications ont en commun qu’elles sont des additions à votre QRadar, c’est-à-dire que vous pouvez les ajouter ou non selon votre utilisation. Comme pour beaucoup de contenus additionnels…
Tips : Supervision du firewall Windows
1. Introduction Bonjour à tous, nous allons voir dans cet article comment collecter les événements du firewall Windows sur QRadar. Ces événements vont nous permettre d’avoir une meilleure visualisation de la partie réseau sur un poste de travail ou un serveur, notamment quand les équipements réseaux ne sont pas accessibles à la collecte ou qu’il…
Tips : Supervision du firewall Linux
1. Introduction Bonjour à tous, dans cet article nous allons voir comment superviser les logs réseaux du logiciel présent sur le distribution Linux, à savoir « iptables ». En effet, il est très important d’avoir une visibilité sur les flux réseaux qui arrivent et qui sortent de vos équipements. D’un point de vue sécurité, cela permet d’identifier…
Collecte de logs Synology #3 : Création de règles de détection
1. Introduction Nous voici dans le dernier article de cette série sur la supervision des logs de votre NAS Synology. Nous avons vu précédemment comment mettre en place la collecte côté NAS et ensuite comment parser et mapper correctement les événements côté QRadar. Dans ce dernier article, nous allons créer une règle de détection maintenant…
Collecte de logs Synology #2 : Création d’un DSM QRadar
1. Introduction Bonjour à tous, voici le deuxième article de la séries consacrée à la collecte des événements sur les équipements Synology. Nous avons vu dans le précédent article comment mettre en place l’envoi des logs via syslog-ng. Maintenant nous allons nous intéresser à la partie qui va permettre d’avoir des logs utilisables dans QRadar,…
Intégrer la CTI à QRadar #4 – Présentation finale et utilisation
1. Présentation de l’outil Bonjour à tous, cette semaine nous allons clôturer la série d’articles au sujet de la CTI au service d’une meilleure détection dans QRadar. Au travers des précédents articles vous avez vu comme interagir avec OpenCTI pour récupérer des informations aussi appelées IoC (Indice of Compromission) mais vous avez également vu comment…