UBA : Acceso a sistema UNIX/Linux mediante cuenta de servicio o máquina

La aplicación QRadar® User Entity Behavior Analytics (UEBA) da soporte a casos de uso basados en reglas para determinadas anomalías de comportamiento.

UBA: Se ha accedido al sistema Unix/Linux® con cuenta de servicio o máquina

Habilitada de forma predeterminada

senseValue predeterminado

Descripción

Detecta cualquier sesión interactiva (a través de la GUI y la CLI, tanto de inicio de sesión local como remoto) iniciada por una cuenta de servicio o máquina en servidores UNIX y Linux . Las cuentas y las sesiones interactivas permitidas se recogen en los conjuntos de referencia UBA : Service, Machine Account y UBA : Allowed Interaction Session. Edite los conjuntos de referencia para añadir o eliminar las sesiones interactivas que desee señalar desde el entorno.

Reglas de soporte

BB:UBA : Common Event Filters
BB:CategoryDefinition: Aceptación de ACL o cortafuegos or BB:CategoryDefinition: Aceptación de ACL o cortafuegos
BB:CategoryDefinition: Autenticación correcta

Configuración necesaria

Añada los valores adecuados a los conjuntos de referencia siguientes: "UBA: Service, Machine Account" y "UBA: Allowed Interactive Session".

Tipos de origen de registro

SO Linux