• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for SIEM

SIEM

Microsoft menambahkan fitur ‘kritis’ untuk keamanan GitHub

February 4, 2022 by Eevee

Integrasi yang lebih dalam antara Microsoft Sentinel dan GitHub adalah kemenangan untuk keamanan aplikasi, menandai langkah besar untuk membantu perusahaan mengatasi tantangan keamanan dalam rantai pasokan perangkat lunak.

Integrasi ini memungkinkan pemantauan ancaman berkelanjutan untuk GitHub platform hosting kode yang banyak digunakan yang dimiliki oleh Microsoft. Itu dilakukan dengan mengikat repositori GitHub berlisensi perusahaan ke platform informasi keamanan dan manajemen acara (SIEM) Microsoft, Sentinel, menurut perusahaan.

Hal ini memungkinkan Microsoft Sentinel untuk menyerap log audit GitHub, menyediakan kemampuan seperti pelacakan untuk acara – termasuk pembuatan atau penghapusan repositori baru – dan menghitung jumlah klon repositori, kata Microsoft dalam sebuah posting hari ini.

Pada hari Senin, Open Source Security Foundation mengumumkan proyek baru yang dirancang untuk mengamankan rantai pasokan perangkat lunak, yang didukung oleh $ 5 juta dari Microsoft dan Google.

Integrasi yang diperluas antara GitHub dan SIEM Microsoft “memberikan visibilitas kritis ke dalam risiko keamanan rantai pasokan perangkat lunak termasuk komitmen yang melanggar kebijakan kode aman atau upaya pengguna untuk menimpa kode,” kata Jasmine Hex, direktur keamanan lapangan di vendor platform manajemen aset cyber JupiterOne, dalam email.

Prakash Linga, salah satu pendiri dan CEO di vendor platform keamanan kode BluBracket, mengatakan bahwa langkah oleh Microsoft “mewakili pengakuan arus utama yang lebih luas bahwa kode dan repositori kode adalah permukaan risiko yang berkembang dan sebagian besar tidak terlindungi.”

Jelas, pelacakan peristiwa dan mengidentifikasi aktivitas mencurigakan di GitHub sangat penting untuk mengurangi risiko pemalsuan data dan kebocoran data, kata Adam Gavish, salah satu pendiri dan CEO di vendor keamanan software-as-a-service (SaaS) DoControl.

Tetapi penting juga untuk diingat bahwa banyak ancaman “orang dalam” tidak disengaja, tanpa niat jahat, kata Gavish dalam email. “Ini murni masalah kesalahan manusia.”

Misalnya, mengunggah kode sumber yang salah ke repo publik di GitHub — yang dimaksudkan untuk pribadi — kemungkinan disebabkan oleh pengembang yang tidak cukup memperhatikan, katanya. Jadi, bersama dengan pelacakan peristiwa, tindakan pencegahan untuk menghilangkan kesalahan manusia harus dipertimbangkan juga, kata Gavish.

Microsoft Sentinel kini memiliki 15.000 pelanggan, naik 70% dari tahun lalu, ungkap CEO Microsoft Satya Nadella pekan lalu. Secara keseluruhan, Microsoft melaporkan memiliki 715.000 pelanggan keamanan. Pendapatan untuk bisnis keamanannya tumbuh 45% dari tahun ke tahun, melampaui $15 miliar, selama 12 bulan terakhir, kata Nadella.

Dalam perkembangan GitHub lainnya, platform hari ini mengumumkan bahwa mereka telah meluncurkan fitur baru yang memungkinkan perusahaan dan pengembang untuk menawarkan sponsor proyek akses khusus ke repositori pribadi. Sponsor GitHub pertama kali diperkenalkan pada tahun 2019, memungkinkan siapa saja untuk menyumbang ke proyek sumber terbuka dan pengelola yang mendedikasikan waktu mereka untuk mendukung perangkat lunak penting.

Sementara itu, GitHub juga mengalami pemadaman hari ini, yang berlangsung sekitar 20 menit dan menyebabkan “penurunan kinerja” untuk GitHub Actions, Issues, Pull Requests, dan Codespaces, kata perusahaan tersebut.

Sumber : Venture Beat

Tagged With: GitHub, keamanan, Microsoft, Microsoft Sentinel, SaaS, SIEM

Microsoft Sentinel menambahkan pemantauan ancaman untuk repo GitHub

February 3, 2022 by Eevee

Microsoft Sentinel kini hadir dengan dukungan untuk pemantauan ancaman GitHub berkelanjutan, yang membantu melacak peristiwa yang berpotensi berbahaya setelah menyerap log repositori perusahaan GitHub.

Microsoft Sentinel (sebelumnya dikenal sebagai Azure Sentinel) adalah platform SIEM (Informasi Keamanan dan Manajemen Acara) cloud-native Redmond.

Ini menggunakan kecerdasan buatan (AI) untuk menganalisis volume data yang sangat besar, mencari aktivitas aktor ancaman potensial di seluruh lingkungan perusahaan.

Pemantauan ancaman Microsoft Sentinel GitHub hanya berfungsi dengan lisensi perusahaan GitHub, dan dilengkapi dengan aturan analitik untuk memicu peringatan tentang peristiwa yang mencurigakan dan satu buku kerja untuk memvisualisasikan data.

Peringatan Microsoft Sentinel GitHub (Microsoft)

Peringatan yang akan muncul di dasbor Microsoft Sentinel yang dipicu oleh aturan analitik baru meliputi:

  • Repositori telah dibuat: setiap kali repositori dibuat di lingkungan GitHub yang terhubung ke ruang kerja Microsoft Sentinel.
  • Repositori dihancurkan: setiap kali repositori dihancurkan di lingkungan GitHub.
  • Metode pembayaran telah dihapus: setiap kali ada tindakan dengan metode pembayaran yang dikonfigurasi untuk repositori GitHub.
  • Aplikasi OAuth: setiap kali rahasia klien dihapus.

Dengan menggunakan buku kerja, tim keamanan juga dapat melacak anggota yang ditambahkan dan dihapus dari repo GitHub, repositori yang baru ditambahkan, dan berapa kali setiap repo di-fork atau dikloning.

Pada bulan Desember, Microsoft menambahkan solusi Deteksi Kerentanan Apache Log4j di pratinjau publik untuk membantu pelanggan mendeteksi dan menyelidiki sinyal yang terkait dengan eksploitasi kerentanan Log4Shell.

Microsoft Sentinel sekarang juga mendukung aturan analitik pemetaan ke teknik MITER ATT&CK yang membantu mempersempit hasil pencarian.

Pada bulan Agustus, Microsoft memperbarui platform SIEM-nya dengan deteksi baru untuk kemungkinan serangan ransomware menggunakan model pembelajaran mesin Fusion.

Sumber : Bleeping Computer

Tagged With: GitHub, Microsoft Sentinel, SIEM

Pelajaran sejarah tentang security logging, dari syslogd hingga XDR

July 6, 2021 by Winnie the Pooh

Ruang manajemen log dan manajemen informasi keamanan (SIEM) telah melalui sejumlah tahapan untuk sampai pada posisinya saat ini.

Yang menarik adalah bahwa kita memulai perjalanan dengan kasus penggunaan manajemen log yang berubah menjadi seluruh pasar, awalnya disebut pasar SIM, tetapi kemudian secara resmi diubah namanya menjadi informasi keamanan dan manajemen event (SIEM).

Setelah itu kita memasuki fase di mana data besar menjadi topik hangat dan pelanggan mulai mempermainkan ide untuk membangun solusi logging mereka sendiri. Umumnya tidak dengan hasil terbaik. Tapi itu tidak mencegah beberapa gerakan open source memasuki peta, yang sebagian besar sudah ‘mati’ hari ini. Tapi apa yang terjadi setelah itu bahkan lebih menarik.

Seluruh ruang mulai pecah menjadi beberapa ruang baru. Pertama adalah produk yang menyebut diri mereka analitik perilaku pengguna dan entitas (UEBA), kemudian SOAR, dan yang terbaru adalah XDR. Semuanya benar-benar bukan cabang dari SIEM.

Yang paling menarik adalah bahwa pasar UEBA yang berdiri sendiri hampir mati dan begitu juga pasar SOAR. Semua perusahaan terintegrasi (diakuisisi) ke dalam platform SIEM yang ada atau menambahkan SIEM sebagai kasus penggunaan tambahan ke platform mereka sendiri.

XDR telah menjadi perkembangan terbaru dan mungkin yang paling aneh dari semuanya. Beberapa vendor mencoba memasarkannya sebagai EDR++ dengan menambahkan beberapa data jaringan. Yang lain pada dasarnya menggunakan SIEM, tetapi membatasinya ke sumber data yang lebih sedikit dan serangkaian kasus penggunaan yang lebih fokus.

Meskipun itu bagus untuk pengguna akhir yang ingin menyelesaikan kasus penggunaan tersebut dengan memberi mereka pengalaman yang lebih baik, itu benar-benar tidak jauh berbeda dari apa yang dibuat untuk dilakukan oleh SIEM asli.

Selengkapnya: Venturebeat

Tagged With: Cybersecurity, Security logging, SIEM, SOAR, UEBA, XDR

QRadar: Software keamanan IBM populer terdapat celah terbuka untuk serangan eksekusi kode jarak jauh

October 18, 2020 by Winnie the Pooh

QRadar, platform informasi keamanan perusahaan dan manajemen acara (SIEM) IBM, memungkinkan peretas melakukan berbagai serangan, termasuk eksekusi kode jarak jauh.
Bug, yang ditemukan oleh peneliti keamanan di start-up Securify yang berada di Belanda itu dipicu dengan meneruskan objek yang berisi kode berbahaya ke komponen Servlet dari QRadar Community Edition.

Aplikasi klien Java mengonversi objek menjadi aliran byte – atau ‘membuat serial’ mereka – dan mengirimkannya ke server, yang deserialisasi objek ke dalam struktur aslinya sebelum diproses.
Jika Bug tidak ditangani dengan benar, peretas dapat memanfaatkan proses untuk mengirim data berbahaya ke server aplikasi Java.

Yorick Koster dari Securify, yang melaporkan bug tersebut ke IBM, menemukannya dalam implementasi JSON-RPC dari RemoteJavaScript Servlet QRadar.
Menurut temuan Koster, beberapa metode di RemoteJavaScript Servlet menggunakan kelas org.apache.commons.lang3.SerializationUtils, yang tidak melakukan pemeriksaan apa pun saat deserialisasi objek yang diteruskan.

“Tidak ada pemeriksaan yang diterapkan untuk mencegah deserialisasi objek arbitrer.
“Akibatnya, pengguna yang diautentikasi dapat memanggil salah satu metode yang terpengaruh dan menyebabkan RemoteJavaScript Servlet untuk mendesialisasi objek arbitrer,” tulis Koster, menambahkan bahwa penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan objek yang dibuat secara khusus dan melakukan “penolakan layanan, perubahan pengaturan sistem, atau eksekusi kode arbitrer ”.

Patch Cepat
Koster menemukan dan melaporkan kerentanan deserialization bersama dengan sembilan bug lainnya pada bulan Januari saat secara aktif meneliti QRadar CE. Sebagian besar diperbaiki pada bulan April.
RemoteJavaScript Servlet diperbaiki dalam versi terbaru QRadar CE, dirilis pada bulan Oktober.

“Masalah khusus ini adalah masalah terbuka terakhir yang tersisa. Saya kira lebih sulit untuk memperbaikinya karena ini mempengaruhi seluruh JSON-RPC API mereka
“Saya terkejut bahwa saya dapat menemukan cukup banyak masalah dalam waktu yang relatif singkat dalam produk keamanan. Sungguh menyedihkan melihat bahwa bahkan industri keamanan gagal membuat aplikasi yang aman. ”

Source : PortSwigger

Tagged With: Cybersecurity, IBM, QRadar, SIEM, Vulnerabilities, Vulnerability

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo