ArcSight Logger是Micro Focus 西门子平台的产品之一。它 流实时数据并将其分类为特定日志,并轻松与Security Operations集成。结果,任何规模的组织都可以使用此高性能日志数据存储库来帮助更快地对IT运营,应用程序开发和网络安全问题进行取证分析,并同时解决多个法规问题。

概要

分析仪
搜索

 Live Event Viewer

仪表板

报告书

组态

用于Web Gui概述的YouTube视频:

搜索示例:
a. 
sourceAddress = 1.1.1.2和名称 以。。开始 “ TCP”和名称 包含 “ DEN” |字段requestUrl

b. 
(((名称包含“ 搜索.cgi命令注入漏洞”),而destinationAddress =“ 14.47.251.171”) AND deviceInboundInterface包含“ 11” | 领域 sourceAddress,destinationAddress,deviceInboundInterface

C。
CEF“失败” | 重复的 名称

从搜索结果中删除重复事件。即,在指定字段中包含相同值的事件。保留第一个匹配事件,并删除指定字段中具有相同值的后续事件。

它将搜索所有带有“ failed”(失败)单词的日志,然后列出在名称字段中最先找到的一个。

一些有用的SIEM用例报告
日常
1.路由器/交换机/防火墙命令和配置更改
2.成功的设备登录摘要
3.内部IPS允许的事件
4.内部IPS拒绝事件
5.防火墙拒绝

每周
1. Web安全设备URL检测
2.失败的设备登录详细信息
3. src-dst / src -ports拒绝出站连接
4.远程VPN身份验证报告
5. IPS每周热门攻击
6. IPS每周最多屏蔽的事件
7. IPS每周最多允许的活动
8.顶级WSA网站
9. IronPort WSA概述每周报告
10. IronPort ESA概述每周报告

参考文献:

通过 约翰扬

发表评论