SIEM, SIEM TOOLS, ARCHITECTURE

2025-06-04 21:01
bga68comp: (Default)

SIEM, SIEM TOOLS, ARCHITECTURE
Джерело:
https://www.linkedin.com/posts/priombiswas-cybersec_siem-tools-architecture-ugcPost-7335827891684823040-ZyaH




Priom Biswas
IT🌐|☁️Cloud/SysOps/Cybersecurity Strategy🚀| OS-WS/Linux👨💻| F5 | SIEM | AWS | Oracle OCI | WAF | VA | XDR🛡️| DFIR🕵| Malware🐞| Wireshark | Threat Intelligence🔰| Phishing Analysis 📧| PKI🔑| Dohatec-CA & NOC-Team


 🛡️Mastering SIEM: The Brain of Modern Cyber Defense 🚀
💥 Security Information & Event Management – Explained Simply By Kumar Raja Reddy T

In today’s threat landscape, visibility is everything. 🔍
Over the past few weeks, I’ve crafted a detailed guide covering SIEM fundamentals, tools, architectures, and real-world use cases—designed to help learners, SOC analysts, and security professionals truly understand how SIEM powers proactive defense.
📘 What’s Inside:
  1️⃣ What is SIEM? Why it matters in modern cybersecurity
  2️⃣ How SIEM collects, parses, correlates & analyzes logs
  3️⃣ Top SIEM tools: Splunk, QRadar, Sentinel, ArcSight & more
  4️⃣ Real-world examples of threat detection & incident response
  5️⃣ Incident Management & Response Lifecycles
  6️⃣ Next-Gen SIEM: AI, UEBA, XDR & SOAR integrations
  7️⃣ SIEM Architecture deep-dives (ArcSight, Splunk)
  8️⃣ Dashboards, alerting, compliance reporting & threat hunting

 🎯 Goal: To turn complex SIEM concepts into clear, actionable knowledge that can be applied in the SOC, classroom, or certification prep.
Whether you’re starting out in cybersecurity or upskilling for the next step in your career, this guide is your launchpad. 🚀
 🧠 You can’t stop what you can’t see.
With SIEM, we see more—and act faster.
 📥 New Guide Released: SIEM & SIEM Tools
A Practical Breakdown for Cybersecurity Professionals & Learners
https://lnkd.in/gmfDEAkU


Tags:
  • Add Memory
  • Share This Entry

Термін — Alert

2025-05-22 18:44
bga68comp: (Default)

Питання:
— Alerts — це події?

Ні, alerts (тривоги, сигнали, оповіщення) — це не події (events), а реакція SIEM на події.

Ось чітке розмежування:

Термін Українською Що це таке Приклад
Event Подія Будь-який факт, зафіксований системою: логін, відкриття порту, запуск процесу тощо. Успішний логін користувача до AD
Log Журнал (запис) Текстовий запис події з технічними деталями (час, IP, користувач тощо). 2025-05-22 18:03:12 user:admin login success from 192.168.1.10
Alert Тривога / сигнал Автоматично або вручну створене повідомлення, яке вказує на потенційно шкідливу або аномальну активність, на основі подій. "Підозрілий логін о 3:00 ночі з іншої країни"

🔁 Взаємозв’язок:
  1. Події (events)
  2. Журнали (logs)
  3. Обробка (normalization)
  4. Кореляція (correlation rules)
  5. Створення alert-ів (за певними умовами)
🔎 Приклад:
  • Подія: "10 невдалих логінів поспіль".
  • Подія: "Потім один успішний логін з іншого регіону".
  • Alert: "Можливе brute-force проникнення реагувати!"
🔧 Підсумок:
  • Подія — це факт.
  • Alert — це висновок SIEM, що цей факт (або комбінація фактів) може свідчити про інцидент.

Тому AlertЗастереження (Найкращий баланс між "сповіщенням" і "тривогою")


Tags:
  • Add Memory
  • Share This Entry

SIEM. Denny Roger

2025-05-22 18:31
bga68comp: (Default)

Denny Roger
https://www.linkedin.com/in/dennyroger/
LinkedIn Top Voice | SOC Builder | Cybersecurity Startup Builder | 23 anos de consultoria estratégica em cibersegurança | Master Coach | Triatleta
Сан-Паулу, Бразилия



SIEM (Security Information and Event Management):

Думаєш, що SIEM — це просто миготливі алерти? Тоді присядь, я покажу, як все працює насправді.
Справжній SIEM — це цикл. Живий механізм. І якщо хоч одна шестерня в цій машині вийде з ладу — все, прогавиш атаку і дізнаєшся про неї з новин. Тож розберімо цю систему по пунктах:

1. Збір журналів (Log Collection)

Усе починається тут. Немає логів — немає безпеки. SIEM бачить тільки те, що збирає. Жодних логів з фаєрволів, AD, кінцевих точок чи Microsoft 365? Це як намагатися скласти пазл без головних частин.

2. Обробка журналів (Log Processing)

Зібрав логи? Тепер їх треба привести до ладу. Фільтрація, нормалізація, уніфікація — усе має бути готове до аналізу. Інакше отримаєш цифрове звалище, в якому не розбереться ніхто.

3. Зберігання (Storage)

Де ти це все зберігаєш? І скільки часу? Тут в гру вступають Retention (строк зберігання або політика зберігання), Compliance (відповідність вимогам або дотримання нормативів) і політики зберігання. Бачив компанії, які отримували штрафи, бо видаляли логи через 15 днів. Без стратегії зберігання — болючі проблеми гарантовані.

4. Запити (Querying)

Дані є — а запитати вмієш? Тут вирішується, аналітик ти чи просто пасажир. Уміння ставити правильні запитання до логів — це те, що відрізняє ефективний SOC від загублених у логах людей.

5. Кореляція (Correlation)

А ось і магія. SIEM зв’язує події: підозрілий логін + нетиповий аплоад + нічний трафік = інцидент. Правильна кореляція — це коли бачиш загрозу до того, як вона стане проблемою.

6. Дашборди (Dashboards)

Все добре, але CISO хоче бачити цифри. Дашборд має розповідати історію, а не просто бути красивою картинкою. Якщо з нього не можна приймати рішень — це просто декорація для презентації.

7. Застереження (Alerts)

SIEM починає кричати. Але чому саме? Якісне застереження має контекст, пріоритет і план дій. Погане застереження — просто шум, який виснажує команду SOC.

8. Управління інцидентами (Incident Management)

Дійшли до інциденту? Тепер важливо діяти: створити тікет, слідувати плейбуку, правильно повідомити й швидко вирішити. Цикл завершується — і починається знову, з урахуванням набутого досвіду.

Підсумок?

SIEM — це не просто інструмент. Це спосіб мислення. Це мозок добре організованого SOC.
А якщо ти не поєднав усі компоненти — у тебе просто дорогий інтерфейс з маленькою користю.

Хочеш робити все правильно? Інтегруй усе. Розумій цикл. І пам’ятай: дані без мети — це просто витрати.


Оригінал:
https://www.linkedin.com/posts/dennyroger_t%C3%A1-achando-que-siem-%C3%A9-s%C3%B3-alerta-piscando-activity-7330840895459667970-OHWR
Read more... )


Tags:
  • Add Memory
  • Share This Entry

FortiSIEM Product Demo

2024-12-03 16:49
bga68comp: (Default)

Компанія Fortinet надає можливість потицяти у демо-режимі свою SIEM-систему. Для цього треба тільки зареєструватися. Демо-режим означає, що система працює у режимі читання і тільки. Цього для першого знайомства достатньо.




Посилання:
https://www.fortinet.com/demo-center/fortisiem-demo

p.s. Але якщо треба щось більше ніж просто подивитись на інтерфейс системи, то можливо заказати лабораторні роботи і пройти декілька стандартних сценаріїв у FortiSIEM.


Для цього вже треба звернутися до Fortinet і знайти людину, яка відповідає за вашу країну


👩‍💻



Tags:
  • Add Memory
  • Share This Entry

Cisco. Acronyms

2023-08-21 23:55
bga68comp: (Default)

Сокращения 
AAA     – Authentication, Authorisation, Accounting
ACI     – (Cisco) Application Centric Infrastructure
ACK     – Acknowledgement
ACL     – Access Control List
AD      – (Microsoft) Active Directory
API     – Application Programming Interface
APIC    – (Cisco) Application Policy Infrastructure Controller
APIC-DC – (Cisco) Application Policy Infrastructure Controller – DataCentre
ARP     – Address Resolution Protocol
ASIC    – Application-Specific Integrated Circuit
BGP     – Border Gateway Protocol
BPDU    – Bridge Protocol Data Unit
CoPP    – Control Plane Policing
C&C     – Command and Control
CC      – Controlled Conduit
CEF     – Cisco Express Forwarding
CIP     – Common Industrial Protocol (ODVA)
CMD     – Command
COS     – Class Of Service
CPwE    – Cisco Plantwide Ethernet
CRC     – Cyclic Redundancy Check
CTS     – Cisco TrustSec
dACL    – Dynamic Access Control List
DAI     – Dynamic ARP Inspection
DC      – Datacentre
DDOS    – Distributed Denial of Service
DHCP    – Dynamic Host Configuration Protocol
DLR     – Device Level Ring
DMVPN   – Dynamic Multipoint Virtual Private Network
DMZ     – Demilitarised Zone
DLR     – Device Level Ring
DNS     – Domain Name Service
DNA     – (Cisco) Digital Network Architecture
DNA E/A/P – (Cisco) Digital Network Architecture Essentials/Advanced/Premium Licensing
DSCP    – (IP) Differentiated Services Code Point
DTP     – (Cisco) Dynamic Trunking Protocol
EIGRP   – Exterior Interior Gateway Routing Protocol
EPG     – End Point Group
ERP     – Enterprise Resource Planning
ERSPAN  – Encapsulated Remote Switched Port Analyser
ETA     – (Cisco) Encrypted Traffic Analytics
FNF     – Flexible NetFlow
GPS     – Global Positioning System
GE      – Gigabit Ethernet
GETVPN  – Group Encrypted Transport Virtual Private Network
GRE     – Generic Routing Encapsulation
GUI     – Graphical User Interface
HMI     – Human Machine Interface
HR      – Human Relations
HSR     – High-availability Seamless Redundancy (Ring)
HTTP    – Hypertext Transfer Protocol
HTTPS   – Hypertext Transfer Protocol Secure
HW      – Hardware
IACS    – Industrial Automation and Control Systems
IBN     – Intent-Based Networking
ICMP    – Internet Control Message Protocol
ICS     – Internet Control System
IE      – Industrial Ethernet
IEC     – International Electrotechnical Commission
IDS     – Intrusion Detection System
IDMZ    – Industrial De-Militarised Zone
IEEE    – Institute of Electrical and Electronics Engineers
IETF    – Internet Engineering Task Force
IKEv2   – Internet Key Exchange Version 2
IND     – Industrial Network Director (Cisco)
IOS     – (Cisco) Internet Operating System
IOS-XE  – “XE” train of the (Cisco) Internet Operating System
IOx     – Application environment for Cisco Networking Equipment
IP      – Internet Protocol
IPAM    – Internet Protocol Address Management
IPS     – Intrusion Prevention System
IPSec   – Internet Protocol Security (protocol suite)
ISA     – International Society of Automation
ISE     – Identity Services Engine (Cisco)
ISIS    – Intermediate System to Intermediate System (Routing Protocol)
IND     – (Cisco) Industrial Network Director
IOC     – Indicators of Compromise
IRIG-B  – Inter-Range Instrumentation Group time code “B”
IT      – Internet Technology
ITSec   – Internet Technology Security
L2      – (ISO Model) Layer 2
L3      – (ISO Model) Layer 3
LAN     – Local Area Network
LDAP    – Lightweight Directory Access Protocol
LIMS    – Laboratory Information Management System
LSP     – Label Switch Path
LTE     – Long-Term Evolution (4G mobile communications standard)
MAB     – MAC Authentication Bypass
MAC     – Medium Access Control
MACsec  – IEEE MAC Security Standard (IEEE 802.1AE)
MDM     – Mobile Device Management
MES     – Manufacturing Execution System
MRP     – Media Redundancy Protocol
NAT     – Network Address Translation
NBA     – Network Behaviour Analysis
NTP     – Network Time Protocol
ODVA    – Open DeviceNet Vendor Association
OPC     – Open Platform Communications (OPC Foundation)
OPC UA  – OPC Unified Architecture
OPS     – Operations
OSPF    – Open Shortest Path First (Routing Protocol)
OT      – Operations Technology
pxGrid  – Platform Exchange Grid
PCN     – Process Control Network
PLC     – Programmable Logic Controller
POE     – Power Over Ethernet
POE+    – Power Over Ethernet Plus
PRP     – Parallel Redundancy Protocol
PTP     – Precision Time Protocol
PVST+   – (Cisco) Rapid per VLAN Spanning Tree Plus
PROFINET – Process Field Net
PROFINET RT – PROFINET Real-Time
PROFINET IRT – PROFINET Isochronous Real-Time
QoS     – Quality of Service
RADIUS  – Remote Authentication Dial-In User Service
RBAC    – Roll-Based Access Control
RBACL   – Roll-Based Access Control List
RDP     – Remote Desktop Protocol
REP     – Resilient Ethernet Protocol
RIB     – Routing Information Base
RSPAN   – Remote Switch Port Analyser
SCADA   – Supervisory Control And Data Acquisition
SDA     – (Cisco) Software Defined Access
SGACL   – Scalable Group Access Control List
SGT     – Scalable Group Tag
SIEM    – Security Information and Event Management
SNMP    – Simple Network Management Protocol
SPAN    – Switch Port Analyser
SPT     – Spanning Tree
STP     – Spanning Tree Protocol
SW      – Software
TOD     – Time Of Day
TCP     – Transport Control Protocol
TLS     – Transport Layer Security
TSN     – Time Sensitive Networking
UADP    – (Cisco ASIC) Unified Access Data Plane
UDP     – User Datagram Protocol
USB     – Universal Serial Bus
VoIP    – Voice Over IP
VLAN    – Virtual Local Area Network
VM      – Virtual Machine
VN      – Virtual Network
VXLAN   – Virtual Extensible Local Area Network
VNI     – VXLAN Network Identifier
VPN     – Virtual Private Network
VRF     – Virtual Routing and Forwarding
VSOM    – (Cisco) Video Surveillance Operations Manager
VSS     – Virtual Switching System
VTP     – (Cisco) VLAN Trunking Protocol
VXLAN   – Virtual Extensible Local Area Network
WAN     – Wide Area Network
WEBUI   – World Wide Web User Interface
WWW     – World Wide Web


source: https://www.ciscolive.com/c/dam/r/ciscolive/apjc/docs/2019/pdf/BRKIOT-1315.pdf :


©2019

Industrial Automation Security Design Guide 2.0 :


First Published: 2023-01-17
Last Modified: 2023-01-17
©2023 © Cisco Systems, Inc. All rights reserved.
 
Tags:
  • Add Memory
  • Share This Entry

Квадрант Гартнера. SIEM

2021-07-05 22:07
bga68comp: (Default)



1349376_original

Квадрант Гартнера по SIEM


Новинка

Tags:
  • Add Memory
  • Share This Entry

The 2020 Magic Quadrant for SIEM

2020-04-10 22:34
bga68comp: (Default)

Magic Quadrant for Security Information and Event Management




Published 18 February 2020 - ID G00381093. This document was revised on 5 March 2020





Source: Gartner (February 2020). Magic Quadrant for Security Information and Event Management

Source: Gartner (February 2020). Magic Quadrant for Security Information and Event Management



Источник: 


https://www.splunk.com/en_us/form/gartner-siem-magic-quadrant.html

Tags:
  • Add Memory
  • Share This Entry

SIEM. Splunk

2020-04-10 22:22
bga68comp: (Default)

Gartner. Magic Quadrant for Security Information and Event Management





Source: Gartner (February 2020). Magic Quadrant for Security Information and Event Management

Source: Gartner (February 2020). Magic Quadrant for Security Information and Event Management



Возможности платформы Splunk



Мониторинг и аналитика качества ИТ-сервисов



Решение по управлению корпоративной безопасностью



Введение в Splunk



От установки до результатов за 20 минут



Как сделать анализ логов по-настоящему полезным



Splunk for Security



См.также Управление событиями ИБ



Tags:
  • Add Memory
  • Share This Entry

SPLUNK. Управление событиями ИБ

2020-04-08 02:19
Tags:
  • Add Memory
  • Share This Entry

Как отличить фишинговое письмо от реального и не попасться на удочку мошенника? / СёрчИнформ

2018-06-22 18:00
bga68comp: (Default)
http://blogs.klerk.ru/company/41304/post169781/

Их называют по-разному: письма счастья, спам, нигерийские письма. Такую рассылку получал, пожалуй, каждый пользователь. Цель у нее одна – поймать наивного адресата на «крючок» фишинга и выманить информацию, деньги, заразить вирусом или навредить как-то иначе. И если технологии обмануть все сложнее, то слабые места человеческой натуры неизменны. Приемы социальных инженеров отшлифованы опытом тысяч жертв – компаний и частных лиц. Как не дать ввести себя в заблуждение? Есть только один способ – знать, как именно киберпреступник действует. Итак, вам пришло письмо.

Не думайте, что когда мы говорим о фишинге, речь идет только о детях и бабушках, которые доверяют всему и вся в Сети. Речь о каждом из нас. Высокий статус, хорошая должность и высшее образование не гарантия того, что вы не клюнете на уловки фишеров. На одном IT-ресурсе даже появилась статья со списком организаций и должностей, где сотрудники особенно легко попадаются на фишинговые письма. Среди них и ведущие специалисты, и руководители отделов.
Read more... )

Выводим короткий чек-лист «Что делать с письмами от подозрительных/неизвестных отправителей?»:

  1. Подвергайте все сомнению. Адрес отправителя можно подделать. Не договаривались о письме с адресатом? Это повод посмотреть на него с долей скептицизма и параноидальностью специалиста по безопасности.

  2. Проверяйте текст, если письмо на иностранном языке. Фишинг – явление интернациональное, но далеко не всем мошенникам доступны услуги профессиональных переводчиков. Если такой текст перевести, то он будет выглядеть как надпись на этикетке китайских носков: «Уважаемый мистер, хороший день, хотим вам поздравил».

  3. Обращайте внимание на отправителя. Знакомая компания? Реально ли она существует? Соответствует ли подпись реальности: телефоны, физический адрес, форма собственности и т.д.

  4. Не стесняйтесь перепроверить. Позвоните в компанию, от которой получили письмо, по публичным телефонам с официального сайта (а не указанным в письме!) и уточните, действительно ли вам писали. Не стесняйтесь быть мнительными, особенно если в письме есть сомнительные ссылки и вложения.

  5. Не переходите по подозрительной ссылке. Скорее всего, это атака. Наведите курсор на ссылку, чтобы увидеть реальный адрес, куда она ведет. Бывает, что местами переставлены всего две буквы в адресе и это не сразу заметно для человеческого глаза. Например, вместо searchinform может быть написано saerchinform.

  6. Не открывайте сомнительные вложения. Для проверки вложений есть бесплатные сервисы, например, virustotal.com. Он прогонит вложенный файл сразу через несколько десятков антивирусов.

  7. Не пренебрегайте антивирусной защитой. Многие популярные антивирусы проверяют не только ваш ПК, но и почту – не отключайте эту опцию и внимательно относитесь к предупреждениям антивируса.

Read more... )

Tags:
  • Add Memory
  • Share This Entry

Продвинутые атаки на Microsoft Active Directory: способы обнаружения и защиты

2018-03-15 13:52
bga68comp: (Default)
Продвинутые атаки на Microsoft Active Directory: способы обнаружения и защиты

Антон Тюрин,
Руководитель группы исследования методов обнаружения атак
 
 
 
 
 
 
 
Описание вебинара

Active Directory (AD) — главная цель злоумышленников во время любой атаки на корпоративные информационные системы. Несмотря на усиление проактивных систем защиты, профессиональные пентестеры и злоумышленники находят новые векторы атак на AD. Сейчас как раз очередной виток игры: производители систем защиты научились обнаруживать атаки типа brute-force и pass-the-hash, а исследователи безопасности разработали методику создания golden ticket на основе NTLM-хеша. Появление в январе 2018 года DCShadow, новой техники атаки на AD, и заявление авторов атаки «SIEM вам не поможет» — стали вызовом для каждой Blue Team.

На вебинаре Антон Тюрин расскажет, как работают современные атаки на Active Directory, как их можно обнаружить в логах и сетевом трафике и что можно сделать, чтобы сократить количество векторов. Вебинар для сотрудников SOC, Blue Team и IT-подразделений.

Запись вебинара:



https://www.ptsecurity.com/ru-ru/research/webinar/290582/



Скачать презентацию
https://www.ptsecurity.com/upload/corporate/ru-ru/webinars/ics/webinar_290582.pdf

Tags:
  • Add Memory
  • Share This Entry

SearchInfrom: основные возможности КИБ и SIEM

2015-12-13 17:11
bga68comp: (Default)
SearchInfrom: основные возможности КИБ и SIEM

17 Ноября 2015, 08:24

Александр Панасенко

Главный-редактор Anti-Malware.ru

http://www.anti-malware.ru/reviews/SearchInfrom_dlp_SIEM

SearchInform Event Manager


 
 
Tags:
  • Add Memory
  • Share This Entry

Profile

bga68comp: (Default)
bga68comp

December 2025

S M T W T F S
  12 3 456
7891011 1213
14151617181920
21222324252627
28293031   

Syndicate

RSS Atom

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated 2026-01-04 11:02
Powered by Dreamwidth Studios