Data Exfiltration
Verwenden Sie die IBM Security QRadar Data Exfiltration Content Extension, um Ihre Bereitstellung genau auf Datenexfiltrationsaktivitäten zu überwachen.
Wichtig: Um Inhaltsfehler in dieser Inhaltserweiterung zu vermeiden, halten Sie die zugehörigen DSMs auf dem neuesten Stand. DSMs werden im Rahmen der automatischen Aktualisierungen aktualisiert. Wenn keine automatischen Updates aktiviert sind, laden Sie die neueste Version der zugehörigen DSMs von IBM® Fix Central (https://www.ibm.com/support/fixcentral) herunter.
Informationen zur Erweiterung Data Exfiltration
Das QRadar Content Extension Pack for Data Exfiltration fügt mehrere Regeln und gespeicherte Suchen hinzu, die sich auf die Erkennung von Datenexfiltrationsaktivitäten konzentrieren.
Beispiele für Datenexfiltrationsaktivitäten sind:
- Große abgehende Datenübertragungen an eine bekannte schädliche IP-Adresse oder an einen Online-Dateispeicherservice
- Schleichende und verdeckt ausgeführte abgehende Datenübertragungen über mehrere Tage oder Monate
- Datenlecks bzw. Datenverlust in der Cloud, beispielsweise wenn eine vertrauliche Datei in einen öffentlich zugänglichen Ordner oder ein öffentlich zugängliches Bucket hochgeladen wird oder die Berechtigungen einer vertraulichen Datei geändert und so öffentlich lesbar und zugänglich werden
- Austausch vertraulicher Daten, beispielsweise wenn vertrauliche Dateien für schädliche Hosts, Gastbenutzer oder Benutzer außerhalb der Organisation freigegeben werden
IBM Security QRadar Data Exfiltration Content Extensions
- IBM Security QRadar Data Exfiltration Content Extension 1.0.5
- IBM Security QRadar Data Exfiltration Content Extension 1.0.4
- IBM Security QRadar Data Exfiltration Content Extension 1.0.3
- IBM Security QRadar Data Exfiltration Content Extension 1.0.2
- IBM Security QRadar Data Exfiltration Content Extension 1.0.1
- IBM Security QRadar Data Exfiltration Content Extension 1.0.0
IBM Security QRadar Data Exfiltration Content Extension 1.0.5
Diese Version von IBM Security QRadar Data Exfiltration Content Extension enthält einen Fix für einen Fehler, der dazu führte, dass der Name und die Beschreibung der Regelgruppe Exfiltration wie folgt aufgelistet wurden:nullwenn der Aufruf über die API erfolgt.
In der folgenden Tabelle sind die benutzerdefinierten Ereigniseigenschaften aufgeführt, die in IBM Security QRadar Data Exfiltration Content Extension 1.0.5hinzugefügt oder geändert wurden.
Hinweis: Die angepassten Eigenschaften, die in der folgenden Tabelle enthalten sind, sind Platzhalter. Sie können andere Inhaltserweiterungen herunterladen, die benutzerdefinierte Eigenschaften mit diesen Namen enthalten, oder eigene Eigenschaften erstellen.
| Benutzerdefinierte Eigenschaft | Optimiert | Gefunden in |
|---|---|---|
| Dateiverzeichnis | Ja | |
| Empfängerhost | Ja | |
| Recipient_User (Empfängerbenutzer) | Ja | |
| UrlHost | Ja | |
| Webkategorie | Ja |
In der folgenden Tabelle sind die Regeln aufgeführt, die in IBM Security QRadar Data Exfiltration 1.0.5neu oder aktualisiert wurden.
| Ihren Namen | Beschreibung |
|---|---|
| Zu viele Dateizugriffsereignisse von derselben Quellen-IP | Ausgeschlossener IP-Adressbereich von 192.168.2.0/ 24 in 192.0.2.0/24 geändert. |
| Zu viele Dateizugriffsereignisse von demselben Benutzernamen | Ausgeschlossener IP-Adressbereich von 192.168.2.0/ 24 in 192.0.2.0/24 geändert. |
| Zu viele Dateidownloadereignisse von demselben Benutzernamen | Ausgeschlossener IP-Adressbereich von 192.168.2.0/ 24 in 192.0.2.0/24 geändert. |
| Zu viele Dateidownloadereignisse von derselben Quellen-IP | Ausgeschlossener IP-Adressbereich von 192.168.2.0/ 24 in 192.0.2.0/24 geändert. |
IBM Security QRadar Data Exfiltration Content Extension 1.0.4
In der folgenden Tabelle sind die Regeln und Bausteine aufgeführt, die in IBM Security QRadar Data Exfiltration 1.0.4neu oder aktualisiert wurden.
| Typ | Ihren Namen | Beschreibung |
|---|---|---|
| Baustein | BB:BehaviorDefinition: Potenziell feindlicher Empfängerwirt | Filter zur Verbesserung der Leistung hinzugefügt. |
| Baustein | BB:CategoryDefinition: Kommunikation mit potenziell feindlichen Ziel-IPs | Zur Verbesserung der Leistung wurde ein Filter für die Flussrichtung hinzugefügt. |
| Baustein | BB:CategoryDefinition: Kommunikation mit potenziell feindlichen Empfängern | Dieser Baustein wurde entfernt. |
| Baustein | BB:BehaviorDefinition: Externer Host des Empfängers | Der Link zur Referenzsatz-ID auf diesem Baustein wurde korrigiert. |
| Regel | Zu viele Dateizugriffsereignisse von derselben Quellen-IP | Derselbe Speicherort (Protokollquelle) wurde zur Regellogik hinzugefügt. |
| Regel | Zu viele Dateizugriffsereignisse von demselben Benutzernamen | Derselbe Speicherort (Protokollquelle) wurde zur Regellogik hinzugefügt. |
| Regel | Zu viele Dateidownloadereignisse von derselben Quellen-IP | Derselbe Speicherort (Protokollquelle) wurde zur Regellogik hinzugefügt. |
| Regel | Zu viele Ereignisse für Dateidownloads von demselben Benutzernamen | Derselbe Speicherort (Protokollquelle) wurde zur Regellogik hinzugefügt. |
| Regel | Von einer schädlichen IP aufgerufene oder heruntergeladene Datei | Antwortbegrenzer auf Ziel-IP geändert. |
| Regel | Große abgehende Datenübertragung | Entfernt aufgrund eines bekannten Fehlers, der den Import von Schwellenwertregeln unterbricht. |
| Regel | Große abgehende Datenübertragung für Datenflüsse | Entfernt aufgrund eines bekannten Fehlers, der den Import von Schwellenwertregeln unterbricht. |
| Regel | Large Outbound Data Transfer to a File Storage Host | Entfernt aufgrund eines bekannten Fehlers, der den Import von Schwellenwertregeln unterbricht. |
| Regel | Large Outbound Data Transfer to a Malicious Host or IP | Entfernt aufgrund eines bekannten Fehlers, der den Import von Schwellenwertregeln unterbricht. |
| Regel | Große abgehende Datenübertragung an eine schädliche IP für Datenflüsse | Entfernt aufgrund eines bekannten Fehlers, der den Import von Schwellenwertregeln unterbricht. |
In der folgenden Tabelle sind die gespeicherten Suchen aufgeführt, die in IBM Security QRadar Data Exfiltration 1.0.4neu oder aktualisiert wurden.
| Ihren Namen | Beschreibung |
|---|---|
| Große abgehende Datenübertragung | Die Having-Klausel wurde aus der AQL-Suche entfernt. |
| Umfangreiche abgehende Datenübertragung - Anomalieüberwachung | Die Having-Klausel wurde aus der AQL-Suche entfernt. |
| Large Outbound Data Transfer to a File Storage Host | Die Having-Klausel wurde aus der AQL-Suche entfernt. |
| Große abgehende Datenübertragung an zerstörerischen Host oder IP | Die Having-Klausel wurde aus der AQL-Suche entfernt. |
| Große abgehende Datenübertragung zu zerstörerischer IP | Die Having-Klausel wurde aus der AQL-Suche entfernt. |
IBM Security QRadar Data Exfiltration Content Extension 1.0.3
Fehler im Pulse-Dashboard, die zu falschen Analysen von AQL-Abfragen führten, wurden korrigiert.
Die folgende Tabelle zeigt, wie die Bausteine in IBM Security QRadar Data Exfiltration Content Extension 1.0.3umbenannt werden.
| Alter Name | Neuer Name |
|---|---|
| BB:BehaviorDefinition: Externe E-Mail-Adressen | BB:BehaviorDefinition: Externer Host des Empfängers |
| BB:BehaviorDefinition: Potenziell feindlicher E-Mail-Host | BB:BehaviorDefinition: Potenziell feindlicher Empfängerwirt |
IBM Security QRadar Data Exfiltration Content Extension 1.0.2
Die Bedingungen für die folgenden Regeln wurden aktualisiert:
- Große abgehende Datenübertragung
- Große abgehende Datenübertragung für Datenflüsse
- Large Outbound Data Transfer to a File Storage Host
- Large Outbound Data Transfer to a Malicious Host or IP
- Große abgehende Datenübertragung an eine schädliche IP für Datenflüsse
IBM Security QRadar Data Exfiltration Content Extension 1.0.1
Die Regel QNI : Confidential Content Being Transferred wurde aktualisiert und enthält jetzt die Datensätze, die die Regel im Angriff auslösten.
IBM Security QRadar Data Exfiltration Content Extension 1.0.0
In der folgenden Tabelle sind die benutzerdefinierten Ereigniseigenschaften in IBM Security QRadar Data Exfiltration Content Extension 1.0.0aufgeführt.
Hinweis: Die angepassten Eigenschaften, die in der folgenden Tabelle enthalten sind, sind Platzhalter. Sie können andere Inhaltserweiterungen herunterladen, die benutzerdefinierte Eigenschaften mit diesen Namen enthalten, oder eigene Eigenschaften erstellen.
| Benutzerdefinierte Eigenschaft | Optimiert | Gefunden in |
|---|---|---|
| BytesReceived | Ja | |
| BytesSent | Ja | |
| Dateiverzeichnis | Ja | |
| Dateierweiterung | Ja | |
| Dateiname | Ja | |
| MessageID | Ja | |
| Richtlinienname | Ja | |
| Öffentliche Berechtigung | Ja | Amazon AWS |
| Empfängerhost | Ja | |
| Recipient_User (Empfängerbenutzer) | Ja | |
| Speichername | Ja | Amazon AWS |
| Zielbenutzerbereich | Ja | Microsoft Office 365 |
| URL | Ja | |
| UrlHost | Ja | |
| Webkategorie | Ja |
In der folgenden Tabelle sind die Bausteine und Regeln in IBM Security QRadar Data Exfiltration Content Extension 1.0.0aufgeführt.
| Typ | Ihren Namen | Beschreibung |
|---|---|---|
| Baustein | BB:BehaviorDefinition: Externe E-Mail-Adressen | Dieser Baustein erkennt Empfängerhosts, die nicht im Referenzset 'Corporate Email Domains' enthalten sind. Anmerkung: Das Referenzset 'Corporate Email Domains' muss ausgefüllt werden.
|
| Baustein | BB:BehaviorDefinition: Potenziell feindlicher E-Mail-Host | Dieser Baustein erkennt E-Mails, die an schädliche Hosts gesendet werden. Der Host ist schädlich, wenn die X-Force ® -Kategorisierung für ihn einen der folgenden Werte zurückgibt: Phishing-URLs, Spam-URLs, Malware, Botnet Command and Control Server oder Cryptocurrency Mining. |
| Baustein | BB:CategoryDefinition: Kommunikation mit potenziell feindlichen Ziel-IPs | Dieser Baustein erkennt Kommunikation mit schädlichen IP-Adressen. Der Host ist schädlich, wenn die X-Force-Kategorisierung für ihn einen der folgenden Werte zurückgibt: Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scanning IPs, Bots oder Phishing. |
| Baustein | BB:CategoryDefinition: Kommunikation mit potenziell feindlichen Empfängern | Dieser Baustein erkennt Kommunikation mit schädlichen Hosts. Der Host ist schädlich, wenn die X-Force-Kategorisierung für ihn einen der folgenden Werte zurückgibt: Botnet Command and Control Server, Malware, Phishing URLs, Cryptocurrency Mining oder Spam URLs. |
| Baustein | BB:CategoryDefinition: Länder/Regionen mit eingeschränktem Zugang | Geben Sie in diesen Baustein alle geografischen Standorte ein, denen normalerweise kein Zugriff auf das Unternehmen erlaubt ist. |
| Baustein | BB:CategoryDefinition: File Deleted Events | Geben Sie in diesen Baustein alle Kategorien in Verbindung mit Dateilöschereignissen ein. |
| Baustein | BB:CategoryDefinition: Link Gemeinsame Ereignisse | Geben Sie in diesen Baustein alle Kategorien in Verbindung mit Linkfreigabeereignissen ein. |
| Baustein | BB:CategoryDefinition: Object Access Events | Geben Sie in diesen Baustein alle Kategorien in Verbindung mit Zugriffsereignissen für Objekte (Dateien, Ordner usw.) ein. |
| Baustein | BB:CategoryDefinition: Objekt Download Events | Geben Sie in diesen Baustein alle Kategorien in Verbindung mit Downloadereignissen für Objekte (Dateien, Ordner usw.) ein. |
| Baustein | BB:CategoryDefinition: Objekt Upload Events | Geben Sie in diesen Baustein alle Kategorien in Verbindung mit Uploadereignissen für Objekte (Dateien, Ordner usw.) ein. |
| Baustein | BB:DeviceDefinition: DLP Devices | Dieser Baustein definiert alle DLP-Einheiten (DLP = Verhinderung von Datenverlust) im System. |
| Baustein | BB:DeviceDefinition: Mail | Dieser Baustein definiert alle Mail-Einheiten im System. |
| Baustein | BB:Exfiltration: Dateien in sensiblen Verzeichnissen | Dieser Baustein erkennt Dateien unter sensiblen Pfaden. Diese Pfade sind im Referenzset 'Sensitive File Paths' festgelegt. Hinweis: Das Referenzset für sensible Dateipfade muss ausgefüllt werden.
|
| Regel | Datenbanksicherung oder komprimierte Datei in einen öffentlich zugänglichen Ordner hochgeladen | Diese Regel wird ausgelöst, wenn eine Datenbanksicherung oder eine komprimierte Datei in einen öffentlich zugänglichen Ordner oder ein öffentlich zugängliches Bucket hochgeladen wird. Das Referenzset 'Publicly Accessible Folders' muss entsprechende Ordnernamen enthalten. Hinweis: Das Referenzset 'Critical File Extensions' enthält bereits kritische Dateierweiterungen und kann optimiert werden.
|
| Regel | E-Mail mit an externen Host gesendeten sensiblen Dateien | Diese Regel wird ausgelöst, wenn eine E-Mail mit sensiblen Daten an eine E-Mail-Adresse außerhalb der Organisation gesendet wird. Hinweis: Das Referenzset für Verzeichnisse sensibler Dateien muss mit dem Namen der relevanten Ordner gefüllt werden. Das Referenzset 'Corporate Email Domains' muss die E-Mail-Domänen des Unternehmens enthalten.
|
| Regel | An potenziell feindlichen Host gesendete E-Mail mit sensibler Datei | Diese Regel wird ausgelöst, wenn eine E-Mail mit einer sensiblen Datei an einen Host gesendet wird, der für schädliche Aktivitäten wie Phishing, Spam, Malware, BotNet-Befehls-/Steuerungsserver oder Cryptocurrency-Mining bekannt ist. Das Referenzset 'Files in Sensitive Directories' wird durch die Regel 'Files in Sensitive File Directories' ausgefüllt. Hinweis: Das Referenzset 'Sensitive Directories' muss gefüllt sein.
|
| Regel | Zu viele Dateizugriffsereignisse von derselben Quellen-IP | Diese Regel wird ausgelöst, wenn die gleiche Quellen-IP innerhalb von 5 Minuten auf mindestens 15 verschiedene Dateien zugreift. Hinweis: Bearbeiten Sie die AQL-Funktion, um bekannte legitime Downloadaktivitäten wie Betriebssystemupdates oder Software-Updates auszuschließen.
|
| Regel | Zu viele Dateizugriffsereignisse von demselben Benutzernamen | Diese Regel wird ausgelöst, wenn der gleiche Benutzername innerhalb von 5 Minuten auf mindestens 15 verschiedene Dateien zugreift. Hinweis: Bearbeiten Sie die AQL-Funktion, um bekannte legitime Downloadaktivitäten wie Betriebssystemupdates oder Software-Updates auszuschließen.
|
| Regel | Zu viele Dateidownloadereignisse von derselben Quellen-IP | Diese Regel wird ausgelöst, wenn die gleiche Quellen-IP innerhalb von 5 Minuten mindestens 10 verschiedene Dateien herunterlädt. Hinweis: Bearbeiten Sie die AQL-Funktion, um bekannte legitime Downloadaktivitäten wie Betriebssystemupdates oder Software-Updates auszuschließen.
|
| Regel | Zu viele Ereignisse für Dateidownloads von demselben Benutzernamen | Diese Regel wird ausgelöst, wenn der gleiche Benutzername innerhalb von 5 Minuten mindestens 15 verschiedene Dateien herunterlädt. Hinweis: Bearbeiten Sie die AQL-Funktion, um bekannte legitime Downloadaktivitäten wie Betriebssystemupdates oder Software-Updates auszuschließen.
|
| Regel | Von einer schädlichen IP aufgerufene oder heruntergeladene Datei | Diese Regel wird ausgelöst, wenn von einer schädlichen IP, beispielsweise von einem bekannten Befehls- und Steuerungsserver oder von einem Malware-Server ein Zugriff auf eine Datei erfolgt oder eine Datei heruntergeladen wird. |
| Regel | Datei oder Ordner, die mit einer E-Mail geteilt werden, die in einer potenziell feindlichen Domäne gehostet wird | Diese Regel wird ausgelöst, wenn eine Datei oder ein Ordner mit einer E-Mail-Adresse ausgetauscht wird, die in Verbindung mit schädlichen Domänen wie Spam-URLs, Phishing-URLs, Malware oder Cryptocurrency-Mining steht. |
| Regel | Mit einer externen E-Mail-Adresse geteilte Datei oder Ordner | Diese Regel wird ausgelöst, wenn eine Datei oder ein Ordner mit E-Mail-Adressdomänen außerhalb des Unternehmens ausgetauscht wird. Hinweis: Das Referenzset "Unternehmens-E-Mail-Domäne" muss mit der E-Mail-Domäne der Organisation gefüllt werden.
|
| Regel | Aus sensiblen Dateiverzeichnissen gelöschte Dateien | Diese Regel erkennt aus sensiblen Dateiverzeichnissen gelöschte Dateien. Als Regelantwort werden die Dateinamen aus dem Referenzset 'Files in Sensitive Directories' gelöscht. Hinweis: In IBM Security QRadar 7.3.2 und früheren Versionen ist das Referenzset nicht ordnungsgemäß mit Dateien in sensiblen Verzeichnissen verknüpft- AlphaNumeric. Dies wurde in 7.3.2 Patch 1 korrigiert. Wenn 7.3.2 Patch 1 nicht installiert ist, können Sie wie folgt vorgehen: Wählen Sie die Regel aus und klicken Sie auf Weiter. Klicken Sie unter Regelantwort auf die Liste des Referenzsets und wählen Sie Files in Sensitive Directories - AlphaNumeric aus.
|
| Regel | Dateien in Verzeichnissen mit sensiblen Dateien | Diese Regel erkennt in sensiblen Dateiverzeichnissen neu hinzugefügte Dateien. Als Regelantwort werden die Dateinamen zum Referenzset 'Files in Sensitive Directories' hinzugefügt. |
| Regel | Große abgehende Datenübertragung | Diese Anomalieregel wird ausgelöst, wenn innerhalb von 4 Tagen ein Datenvolumen von mehr als 5 GB an die gleiche IP-Adresse übertragen wird. |
| Regel | Große abgehende Datenübertragung für Datenflüsse | Diese Anomalieregel für Datenflüsse wird ausgelöst, wenn innerhalb von 24 Stunden ein Datenvolumen von mehr als 1 GB an die gleiche IP-Adresse übertragen wird. Weitere Informationen finden Sie in der Beschreibung zur gespeicherten Suche 'Large Outbound Data Transfer Network Activity'. |
| Regel | Large Outbound Data Transfer to a File Storage Host | Diese Regel für Anomalien bei Ereignissen wird ausgelöst, wenn innerhalb von 24 Stunden mehr als 1 GB Daten an URL übertragen werden, die in der X-Force-Kategorie "Web Storage" klassifiziert ist. Die Regel ist zudem für einen Abgleich der Proxy-Kategorie aus dem Referenzset 'File Storage Web Categories' konfiguriert. Weitere Informationen finden Sie in der Beschreibung zur gespeicherten Suche 'Large Outbound Data Transfer to a File Storage Host Log Activity'. |
| Regel | Large Outbound Data Transfer to a Malicious Host or IP | Diese Regel für Anomalien bei Ereignissen wird ausgelöst, wenn innerhalb von 24 Stunden mehr als 1 GB Daten an eine IP-Adresse oder URL übertragen werden, die einer der folgenden X-Force-Kategorien zugeordnet ist: Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scannen von IPs (nur bei IP-Adressen), Phishing oder Bots (nur bei IP-Adressen). Die Regel ist zudem für einen Abgleich der Proxy-Kategorie aus dem Referenzset 'Malicious Web Categories' konfiguriert. Weitere Informationen finden Sie in der Beschreibung zur gespeicherten Suche 'Large Outbound Data Transfer to Malicious Host or IP Log Activity'. |
| Regel | Große abgehende Datenübertragung an eine schädliche IP für Datenflüsse | Diese Anomalieregel für Datenflüsse wird ausgelöst, wenn innerhalb von 24 Stunden mehr als 1 GB Daten an eine IP-Adresse übertragen werden, die einer der folgenden X-Force-Kategorien zugeordnet ist: Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scanning IPs, Phishing oder Bots. Weitere Informationen finden Sie in der Beschreibung zur gespeicherten Suche 'Large Outbound Data Transfer to Malicious IP Network Activity'. |
| Regel | QNI: Confidential Content Being Transferred | Diese Regel erkennt, wenn vertrauliche Inhalte an ein fernes Ziel übertragen werden. Verdächtige Inhalte können mit YARA-Regeln optimiert werden. Weitere Informationen finden Sie in der QNI-Dokumentation. |
| Regel | Zugriff auf sensible Dateien oder Download aus Regionen oder Ländern mit eingeschränktem Zugriff | Diese Regel wird ausgelöst, wenn aus einer Region oder einem Land mit eingeschränktem Zugriff ein Zugriff auf eine Datei erfolgt oder eine Datei heruntergeladen wird. Diese Regionen sind im Baustein 'BB:CategoryDefinition: Countries/Regions with Restricted Access' festgelegt. |
| Regel | Berechtigungen für sensible Dateien ermöglichen öffentlichen Zugriff | Diese Regel wird ausgelöst, wenn die Berechtigungen für eine sensible Datei öffentlich zugänglich sind. Das Referenzset 'Files in Sensitive Directories' wird durch die Regel 'Files in Sensitive File Directories' ausgefüllt. Hinweis: Das Referenzset 'Sensitive Directories' muss gefüllt sein.
|
| Regel | Mit einem Gastbenutzer oder einer Gastgruppe gemeinsam genutzte sensible Datei | Diese Regel wird ausgelöst, wenn eine sensible Datei mit einem Gastbenutzer oder einer Gastgruppe ausgetauscht wird. Das Referenzset 'Files in Sensitive Directories' wird durch die Regel 'Files in Sensitive File Directories' ausgefüllt, die wiederum auf das Referenzset 'Sensitive Directories' zurückgreift. Anmerkung: Die Referenzsets für sensible Verzeichnisse und Benutzer für die Gastanmeldung müssen ausgefüllt werden.
|
| Regel | Sensible Datei in einen öffentlich zugänglichen Ordner hochgeladen | Diese Regel wird ausgelöst, wenn eine sensible Datei in einen öffentlich zugänglichen Ordner oder ein öffentlich zugängliches Bucket hochgeladen wird. |
| Regel | Von DLP-Geräten erkannte verdächtige Aktivitäten für vertrauliche Daten | Diese Regel wird ausgelöst, wenn eine DLP-Einheit verdächtige Aktivitäten an vertraulichen Daten feststellt. Die DLP-Einheiten sind im Baustein 'BB:DeviceDefinition: DLP Devices' definiert. Hinweis: Das Referenzset für DLP-Richtlinien muss ausgefüllt werden.
|
In der folgenden Tabelle sind die Referenzdaten in IBM Security QRadar Data Exfiltration Content Extension 1.0.0aufgeführt.
| Typ | Ihren Namen | Beschreibung |
|---|---|---|
| Referenzset | Namen vertraulicher/sensibler Dateien | Enthält eine Liste mit Namen vertraulicher oder sensibler Dateien |
| Referenzset | Unternehmensinterne E-Mail-Domänen | Enthält eine Liste der E-Mail-Domänen des Unternehmens. |
| Referenzset | Kritische Dateierweiterungen | Enthält eine Liste der kritischen Dateierweiterungen. |
| Referenzset | DLP-Richtlinien | Enthält eine Liste der DLP-Richtlinien. |
| Referenzset | File Storage Webkategorien | Enthält eine Liste der Dateispeicher-Webkategorien. |
| Referenzset | Dateien in sensiblen Verzeichnissen | Enthält eine Liste der Dateinamen in sensiblen Verzeichnissen. |
| Referenzset | Benutzer mit Gastanmeldung | Enthält eine Liste der Benutzernamen von Gastanmeldungen. |
| Referenzset | Legitime Ziel-IP-Adressen für Datenübertragung | Enthält eine Liste der legitimen Ziel-IPs für Datenübertragungen. |
| Referenzset | Zerstörerische Webkategorien | Enthält eine Liste der schädlichen Webkategorien. |
| Referenzset | Öffentlich zugängliche Ordner | Enthält eine Liste der Namen öffentlich zugänglicher Ordner. |
| Referenzset | Sensible Dateiverzeichnisse | Enthält eine Liste der sensiblen Dateiverzeichnisse. |
In der folgenden Tabelle sind die gespeicherten Suchen in IBM Security QRadar Data Exfiltration Content Extension 1.0.0aufgeführt.
| Ihren Namen | Beschreibung |
|---|---|
| Große abgehende Datenübertragung | Zeigt alle Ereignisse mit großen abgehenden Datenübertragungen (größer als 1 GB) an ferne Hosts. |
| Large Outbound Data Transfer to a File Storage Host | Zeigt alle Ereignisse mit großen abgehenden Datenübertragungen (größer als 1 GB) an Dateispeicher-Hosts. |
| Große abgehende Datenübertragung an zerstörerischen Host oder IP | Zeigt alle Ereignisse mit großen abgehenden Datenübertragungen (größer als 1 GB) an schädliche Hosts oder IPs. |
| Langsame abgehende Datenübertragung über mehrere Tage | Zeigt alle Ereignisse mit großen abgehenden Datenübertragungen (größer als 1 GB) an ferne Hosts, die schleichend über mehrere Tage erfolgen. |
| Langsame abgehende Datenübertragung über mehrere Tage gruppiert nach Quellen-IP und Benutzername | Zeigt alle Ereignisse mit großen abgehenden Datenübertragungen (größer als 1 GB) an ferne Hosts, die schleichend über mehrere Tage erfolgen, gruppiert nach Quellen-IPs und Benutzernamen. |
| Langsame abgehende Datenübertragung über mehrere Monate | Zeigt alle Ereignisse mit großen abgehenden Datenübertragungen (größer als 1 GB) an ferne Hosts, die schleichend über mehrere Monate erfolgen. |
| Große abgehende Datenübertragung | Zeigt alle Datenflüsse mit großen abgehenden Datenübertragungen (größer als 1 GB) an ferne IPs. |
| Große abgehende Datenübertragung an eine schädliche IP | Zeigt alle Datenflüsse mit großen abgehenden Datenübertragungen (größer als 1 GB) an schädliche IPs. |
| Langsame abgehende Datenübertragung über mehrere Tage | Zeigt alle Datenflüsse mit großen abgehenden Datenübertragungen (größer als 1 GB) an ferne IPs, die schleichend über mehrere Tage erfolgen. |
| Langsame abgehende Datenübertragung über mehrere Tage gruppiert nach Quellen-IP | Zeigt alle Datenflüsse mit großen abgehenden Datenübertragungen (größer als 1 GB) an ferne IPs, die schleichend über mehrere Monate erfolgen, gruppiert nach Quellen-IPs. |
| Langsame abgehende Datenübertragung über mehrere Monate | Zeigt alle Datenflüsse mit großen abgehenden Datenübertragungen (größer als 1 GB) an ferne IPs, die schleichend über mehrere Monate erfolgen. |