回答情况:
提问时间:
问题标签:
我们目前正在建立McAfee暹粒。使用签名ID设置了一些规则。下面是经常触发的警报:- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Source IP =
浏览 0修改于2016-05-17得票数 -2
我需要为QRadar SIEM创建一个涉及正则表达式的自定义属性。寻找与组Security ID或Account Name匹配的最佳方法,该组当前填充了IT-TESTGRP帐户。
浏览 3修改于2017-01-10得票数 0
回答已采纳
1回答
我是SIEM系统的新手,目前遇到了一个愚蠢的问题,我在网上找不到答案,所以请帮助我。
因此,我正在尝试创建一个CEF类型条目。根据标准,下面的扩展是否可以接受?
浏览 3修改于2016-08-02得票数 0
1回答
我启用了一些SIEM规则并配置了电子邮件操作。我可以通过{{#context.alerts}} {{.}}{{/context.alerts}}访问事件的详细信息。谢谢
浏览 54提问于2021-05-12得票数 0
当考虑将哪些Windows事件日志合并到SIEM解决方案中时,我应该只查看安全事件日志还是所有类别的事件日志?其他类别在发现和应对安全事件方面有多大用处?
浏览 0提问于2011-07-13得票数 5
2回答
众所周知,每家公司都想尽可能多地省钱。我的任务是在到达暹罗之前对不太重要的状态/健康信息进行预过滤。为什么有人不这么做,或者如果你有资源的话,这样做有好处吗?
在到达暹粒之前,在每个原木上节省钱是否值得预先过滤?
浏览 0修改于2013-08-22得票数 4
回答已采纳
1回答
当SIEM已经在企业网络中实现时,不是所有的任务和报告都像网络法医调查一样吗?或者我们是否可以消除暹粒,而只在企业网络中安装网络法医工具?
浏览 0提问于2013-10-18得票数 0
(AlienVault是SIEM产品;它是一个开源的监控安全日志..,用于安全运营中心。我需要在Ubuntu上安装它。此产品的所有文件都在其Debian .iso镜像的池目录中。
浏览 0修改于2019-11-13得票数 1
根据您的经验,我们需要在现有的NIDS (snort)和HIDS (ossec)中添加一个SIEM吗?建立这种软件似乎是非常庞大和昂贵的-- SIEM (和团队处理,SOC,.)。
浏览 0修改于2016-08-09得票数 0
Syslog VM作为数据源连接器连接到Sentinel SIEM。我看到数据正在流向SIEM。SIEM能否理解xml?规则
浏览 1修改于2020-12-01得票数 1
是否有人将OCI(Oracle云基础架构)审核日志和OCI服务日志集成到安全信息和事件管理工具(SIEM、Arcsight)。如果是,这些日志存储在哪里,从哪里可以立即访问这些日志。
浏览 7提问于2021-05-10得票数 0
如何将我的SIEM (安全信息和事件管理系统)与Microsoft Graph集成,以将我的安全警报与其他Microsoft Graph实体连接起来,是否有任何指导?
浏览 4修改于2018-04-14得票数 1
我已经在我的环境中安装了外星人跳台,我看到了大量的原木进入暹粒。经过进一步的调查,我发现这些都是由AlienVault本身产生的。我认为这些事件是喧闹的,在我需要看到真实事件的地方,会产生自满情绪。我想大多数人都在某种程度上忽视了这些事件。我在网上读过书,我只能找到这个从上面的文章来看,我认为这个方法有点不太好。📷什么是一个好的或干
浏览 0提问于2017-06-12得票数 2
回答已采纳
1回答
我们的合作伙伴需要这样的配置2)暹粒B(市场领袖)他们坚持要把报告提交给暹罗--我们不想和他们争论。
挑战国际奥委会通过暹粒的报告听起来对你有好处吗?
浏览 0修改于2019-12-25得票数 0
我有一个问题,事件如何到达一个工具,如Splunk。然而,似乎在Splunk中,它是标记着它进入Splunk的事件时间。然而,当我导入Splunk时,比方说今天(2021年3月15日),Splunk将显示事件时间戳为今天,而不是实际事件发生的时间。
所以当我做分析的时候,我不能根据Splunk的时间戳来寻找事件发生的时间(因为Spl
浏览 4修改于2021-03-16得票数 2
回答已采纳
where event.code == "4720"] 当我点击显示结果时,我会看到点击
..siem
浏览 4提问于2021-10-25得票数 0
我需要一些关于暹粒要求的设计的帮助。关于大型数据库,为了提供与DB安全相关的覆盖率,我需要提供哪些一般要求?特权角色/帐户的使用DBA,sysadmin关于根据某些基于时间的策略删除/添加某些db表条目的报告(日期/时间: xx-xx-2012/xx:yy:zzzz)能够记录某些恶意更改所影响的数据/条目吗?这些足够了吗?还是我加了更多?
浏览 0修改于2012-09-09得票数 3
回答已采纳
调整问题: SIEM是一个管理系统,它采用syslog和其他类型的日志消息,并允许管理员以帮助他们更好地了解正在发生的事情的方式搜索、组合和报告日志。如果我一次在套接字上发送6条SIEM消息,每条消息都由CR/LF分隔(我也尝试在消息之间添加一个NULL ),Splunk将它们放入一个事件中。我应该发送什么来使消息处于独特的事件中?我到处寻找SIEM协议的规范,没有在实际协议上找到和二进制基础文档。
浏览 5修改于2015-05-13得票数 0
我的一个客户正在尝试将IBM QRADAR SIEM与Azure集成。从Event Hub中过滤此数据的方法是什么,以便SIEM解决方案不会获得太多与安全无关的数据,从而导致系统阻塞。
浏览 14提问于2020-03-17得票数 0
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号