Good Practice Guide 13 (GPG13)

Utilice la IBM QRadar GPG13 Extensión de contenido para ayudar a garantizar el cumplimiento de GPG13.

Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. Los DSM se actualizan como parte de las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Seguridad QRadar GPG13 Extensión de contenido 1.1.0
IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.6
IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.5
IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.4
IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.3
IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.2
IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.1
IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.0

IBM Seguridad QRadar GPG13 Extensión de contenido 1.1.0

En la tabla siguiente se muestran los bloques de construcción y las reglas que se actualizan en IBM Security QRadar GPG13 Content Extension 1.1.0.

Tabla 1. Bloques de construcción y reglas en IBM Security QRadar GPG13 Content Extension 1.1.0
Tipo	Nombre	Descripción
Bloque de construcción	BB:CategoryDefinition: Accesos de objetos anómalos	Condición de regla actualizada para utilizar una categoría en lugar de un QID. Se ha renombrado. Anteriormente se denominaba BB:CategoryDefinition: Accesos de archivo anómalos.
Regla	Cambio de configuración realizado a un dispositivo en la red perimetral	Se ha añadido el bloque de construcción BB:DeviceDefinition: VPN a la condición de regla. Se ha renombrado. Anteriormente se denominaba Cambio de configuración realizado a un dispositivo en la red perimetral.
Regla	Cambios de configuración realizados en dispositivos de protección de punto final	Se ha renombrado. Anteriormente se denominaba Cambios de configuración realizados en dispositivos de AV/Malware.
Regla	Accesos de VPN anómalos	Se ha renombrado. Anteriormente se denominaba Accesos de VPN anómalos.
Regla	Error de acceso de objeto	Se ha renombrado. Anteriormente se denominaba Error de acceso al sistema de archivos.
Regla	Paquetes descartados por dispositivos de red perimetral	Se ha añadido el bloque de construcción BB:DeviceDefinition: VPN a la condición de regla.
Regla	Errores de autenticación de usuario en sistemas internos	Se ha añadido el bloque de construcción BB:DeviceDefinition: VPN a la condición de regla.
Regla	Errores de autenticación de usuario en sistemas del perímetro	Se ha añadido el bloque de construcción BB:DeviceDefinition: VPN a la condición de regla.
Regla	Sesiones de usuario en dispositivos que no son del perímetro	Se ha añadido el bloque de construcción BB:DeviceDefinition: VPN a la condición de regla.

Las reglas y componentes básicos siguientes que se han eliminado en IBM Security QRadar GPG13 Content Extension 1.1.0.

BB:CategoryDefinition: Aplicación o Servicio instalado o modificado
BB:CategoryDefinition: Authentication Failures
BB:Definición de categoría: Autenticación correcta
BB:CategoryDefinition: Autenticación a cuenta inhabilitada
BB:CategoryDefinition: Authentication to Expired Account
BB:CategoryDefinition: Sucesos de cierre de sesión
BB:CategoryDefinition: modificaciones de usuario y rol SIEM
BB:DeviceDefinition: cortafuegos / direccionador / conmutador
BB:DeviceDefinition: IDS / IPS
BB:DeviceDefinition: VPN
BB:HostDefinition: Servidores de bases de datos
BB:HostDefinition: servidores DHCP
BB:HostDefinition: Servidores DNS
BB:HostDefinition: Servidores FTP
BB:HostDefinition: Servidores LDAP
BB:HostDefinition: Servidores de correo
BB:HostDefinition: Servidores de gestión de red
BB:HostDefinition: Activos protegidos
BB:HostDefinition: Servidores proxy
BB:HostDefinition: Servidores RPC
BB:HostDefinition: Servidores
BB:HostDefinition: Remitente o destinatario SNMP
BB:HostDefinition: Servidores SSH
BB:HostDefinition: Definición de virus y otros servidor de actualización
BB:HostDefinition: Servidores web
BB:HostDefinition: Servidor de Windows
BB:PortDefinition: Puertos de base de datos
BB:PortDefinition: Puertos DHCP
BB:PortDefinition: Puertos DNS
BB:PortDefinition: Puertos FTP
BB:PortDefinition: Puertos LDAP
BB:PortDefinition: Puertos de correo
BB:PortDefinition: Puertos P2P
BB:PortDefinition: Puertos RPC
BB:PortDefinition: Puertos SNMP
BB:PortDefinition: Puertos SSH
BB:PortDefinition: Puertos web
BB:PortDefinition: Puertos Windows
BB:ProtocolDefinition: Protocolos Windows
El dispositivo ha dejado de enviar sucesos
El dispositivo ha dejado de enviar sucesos (cortafuegos, IPS, VPN o conmutador)

El informe GPG13 (PMC4) Intentos de acceso al sistema de archivos anómalos (diarios) se denomina ahora GPG13 (PMC4) Intentos de acceso a objetos anómalos (diarios).

La búsqueda guardada Anomalías de acceso al sistema de archivos en las últimas 24 horas se denomina ahora Anomalías de acceso a objetos en las últimas 24 horas.

_{(Volver arriba)}

IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.6

En la tabla siguiente se muestran las propiedades personalizadas que se actualizan en IBM Security QRadar GPG13 Content Extension 1.0.6.

Tabla 2. Propiedades personalizadas actualizadas en IBM Security QRadar GPG13 Content Extension 1.0.6
Propiedad personalizada	Grupo de capturas	Optimizada	Expresión regular
GroupID	1	Sí	Group ID[:\s\\=]*(\d+)

_{(Volver arriba)}

IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.5

Las reglas y componentes básicos siguientes que se han eliminado en IBM Security QRadar GPG13 Content Extension 1.0.5.

BB:DeviceDefinition: AntiVirus
Cambios en privilegios de usuarios en activos protegidos
Seguimiento de sesión de VPN

_{(Volver arriba)}

IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.4

En la tabla siguiente se muestran las propiedades personalizadas que se actualizan en IBM Security QRadar GPG13 Content Extension 1.0.4.

Tabla 3. Propiedades personalizadas actualizadas en IBM Security QRadar GPG13 Content Extension 1.0.4
Propiedad personalizada	Grupo de capturas	Optimizada	Expresión regular
GroupID	1	Nee	Group ID[:\s\\=]*(\d+)

_{(Volver arriba)}

IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.3

En la tabla siguiente se muestran las propiedades personalizadas en IBM Security QRadar GPG13 Content Extension 1.0.3.

Tabla 4. Propiedades personalizadas en IBM Security QRadar GPG13 Content Extension 1.0.3
Nombre	Optimizada	Grupo de capturas	Expresión regular
Auditoría de inicio de sesión SSH	Sí	1	\[Authentication\] \[User\] \[(UserLogin\|LoginAttempt)\] .? on host .
Host de origen de registro	Sí	1	\s+hostName=(\S+)
ID de objeto de auditoría	Sí	1	\s+id=(\S+)

_{(Volver arriba)}

IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.2

En la tabla siguiente se muestran los bloques de construcción que se actualizan en IBM Security QRadar GPG13 Content Extension 1.0.2.

Tabla 5. Bloques de construcción en IBM Security QRadar GPG13 Content Extension 1.0.2
Tipo	Nombre	Descripción
Bloque de construcción	BB:DeviceDefinition: IDS / IPS	Bloque de construcción con dispositivos IDS/IPS actualizado.
Bloque de construcción	BB:DeviceDefinition: cortafuegos / direccionador / conmutador	Bloque de construcción actualizado con dispositivos FW/Router/Switch (cortafuegos / direccionador / conmutador).
Bloque de construcción	BB:DeviceDefinition: VPN	Bloque de construcción actualizado con dispositivos VPN.
Bloque de construcción	BB:HostDefinition: Servidores proxy	Se ha agregado BB:PortDefinition: puertos de proxy a la prueba de regla.
Bloque de construcción	BB:HostDefinition: Servidores	Bloque de construcción actualizado con definición de servidor.
Bloque de construcción	BB:CategoryDefinition: Autenticación a cuenta inhabilitada	Se han agregado los QID siguientes: 5001948: Error de auditoría: Error de una cuenta en el inicio de sesión: Cuenta inhabilitada 5001959: Error de una cuenta en el inicio de sesión: Cuenta inhabilitada 5001954: Error de auditoría: Error de una cuenta en el inicio de sesión: Usuario bloqueado 5001965: Error de una cuenta en el inicio de sesión: Usuario bloqueado 5001949: Error de auditoría: Error de una cuenta en el inicio de sesión: Cuenta caducada 5001960: Error de una cuenta en el inicio de sesión: Cuenta caducada 5001951: Error de auditoría: Error de una cuenta en el inicio de sesión: Inicio de sesión fuera de horas normales 5001962: Error de una cuenta en el inicio de sesión: Inicio de sesión fuera de horas normales

_{(Volver arriba)}

IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.1

En la tabla siguiente se muestra el bloque de construcción que se ha actualizado en IBM Security QRadar GPG13 Content Extension 1.0.1.

Tabla 6. Bloque de construcción en IBM Security QRadar GPG13 Content Extension 1.0.1
Tipo	Nombre	Descripción
Bloque de construcción	BB:CategoryDefinition: Autenticación a cuenta inhabilitada	Se ha añadido el QID 5000475: Error de auditoría: Una cuenta no ha podido iniciar sesión.

_{(Volver arriba)}

IBM Seguridad QRadar GPG13 Extensión de contenido 1.0.0

En la tabla siguiente se muestran las propiedades personalizadas en IBM Security QRadar GPG13 Content Extension 1.0.0.

Tabla 7. Propiedades personalizadas en IBM Security QRadar GPG13 Content Extension 1.0.0
Nombre	Expresión regular
ID de objeto de auditoría	\s+id=(\S+)
AccountDomain	Dominio de destino: (.*?)
AccountID	ID de cuenta de destino: (.*?)
Sistema	\s+Computer=(\S+)
Versión	\s+Version:\s+(\S+)
GroupID	Group ID: (\d+)
ChangedAttributes	Atributos modificados: (.*)
Nombre de host de origen de registro	\s+hostName=(\S+)

En la tabla siguiente se muestran las reglas y los bloques de construcción que se encuentran en IBM Security QRadar GPG13 Content Extension 1.0.0.

Tabla 8. Reglas y bloques de construcción en IBM Security QRadar GPG13 Content Extension 1.0.0
Tipo	Nombre	Descripción
Bloque de construcción	BB:CategoryDefinition: Acceso denegado	Define sucesos en distintas categorías de Acceso denegado.
Bloque de construcción	BB:CategoryDefinition: Sucesos de bloqueo de cuenta	Define sucesos de bloqueo de cuenta.
Bloque de construcción	BB:CategoryDefinition: Actividad con responsabilidad de usuario	Define sucesos de actividad con responsabilidad de usuario como, por ejemplo, actividad de copia de seguridad y sucesos de auditoría generales.
Bloque de construcción	BB:CategoryDefinition: Sucesos de copia de seguridad y restauración	Define sucesos de copia de seguridad y restauración.
Bloque de construcción	BB:CategoryDefinition: Categorías de copia de seguridad	Define categorías de copia de seguridad.
Bloque de construcción	BB:CategoryDefinition: Sucesos de copia de seguridad	Define sucesos de copia de seguridad.
Bloque de construcción	BB:CategoryDefinition: Derechos de acceso de archivo o carpeta modificados	Define sucesos de cambio de permiso en un archivo o una carpeta.
Bloque de construcción	BB:CategoryDefinition: Sucesos de sesión CISCO	Define sucesos de sesión de Cisco.
Bloque de construcción	BB:CategoryDefinition: Accesos de archivo erróneos	Define sucesos de accesos de archivo erróneos.
Bloque de construcción	BB:CategoryDefinition: Error de servicio o hardware	Define las categorías de sucesos que indican anomalías en los servicios o el hardware.
Bloque de construcción	BB:CategoryDefinition: Sucesos de manipulación de archivo de registro	Define sucesos de manipulación de archivo de registro.
Bloque de construcción	BB:CategoryDefinition: Servicio iniciado	Define sucesos de servicio iniciado.
Bloque de construcción	BB:CategoryDefinition: Sucesos de cambio de estado del servicio	Define sucesos de cambio de estado del servicio.
Bloque de construcción	BB:CategoryDefinition: Servicio detenido	Define sucesos de servicio detenido.
Bloque de construcción	BB:CategoryDefinition: Sesión cerrada	Define todos los sucesos de sesión cerrada por categorías.
Bloque de construcción	BB:CategoryDefinition: Sesión abierta	Define todos los sucesos de sesión abierta por categorías.
Bloque de construcción	BB:CategoryDefinition: Autenticación SIEM	Define sucesos de autenticación de usuario de auditoría SIEM.
Bloque de construcción	BB:CategoryDefinition: Errores de autenticación SIEM	Define sucesos de errores de autenticación SIEM.
Bloque de construcción	BB:CategoryDefinition: Bloqueos de IP de SIEM	Define el suceso de bloqueos de IP de SIEM.
Bloque de construcción	BB:CategoryDefinition: Cuentas de superusuario	Define sucesos de cuentas de superusuario.
Bloque de construcción	BB:CategoryDefinition: Cambio de configuración de sistema o dispositivo	Define sucesos de cambio de configuración de sistema o dispositivo.
Bloque de construcción	BB:CategoryDefinition: Sucesos de inicio-detención del sistema	Define sucesos de inicio o detención del sistema.
Bloque de construcción	BB:CategoryDefinition: Suceso de cambio de estado del sistema	Define sucesos de cambio de estado del sistema.
Bloque de construcción	BB:CategoryDefinition: Sesión VoIP abierta	Define sucesos que indican el inicio de una sesión VoIP.
Bloque de construcción	BB:CategoryDefinition: Acceso VPN denegado	Define los sucesos de VPN a los que se considera que se ha denegado el acceso.
Bloque de construcción	BB:CategoryDefinition: Cambios de estado de VPN	Define sucesos de cambio de estado de VPN.
Bloque de construcción	BB:Compliance: Seguimiento de sesión	Define sucesos de seguimiento de sesión.
Bloque de construcción	BB:Compliance: Cambios de configuración de detección SIEM	Define sucesos de cambio de configuración de detección de SIEM.
Bloque de construcción	BB:DeviceDefinition: Dispositivos de red perimetral	Define dispositivos de red perimetral. Nota: Rellene el grupo de origen de registro Dispositivos de red perimetral con los orígenes de registro aplicables.
Bloque de construcción	BB:Sucesos de error de contratista externo	Define las anomalías causadas por contratistas externos.
Bloque de construcción	BB:Sucesos de infracción de política de contratista externo	Define las infracciones de políticas causadas por contratistas externos.
Bloque de construcción	BB: Sucesos anómalos	Define sucesos fallidos.
Bloque de construcción	BB:CategoryDefinition: Accesos de archivo erróneos	Define sucesos de accesos a objetos anómalos.
Bloque de construcción	BB:HostBased: Sucesos críticos	Define las categorías de sucesos que indican sucesos críticos.
Bloque de construcción	BB:Sucesos admin de IT	Define las acciones realizadas por el personal de administración de TI.
Bloque de construcción	BB:Sucesos de error de trabajador móvil	Define las anomalías causadas por los trabajadores móviles.
Bloque de construcción	BB:Sucesos de infracción de política de trabajador móvil	Define las infracciones de políticas causadas por trabajadores móviles.
Bloque de construcción	BB:Revisión de derechos de acceso	Define las acciones realizadas por los administradores en los usuarios.
Bloque de construcción	BB:Sucesos de error de teletrabajo	Define las anomalías causadas por los teletrabajadores.
Bloque de construcción	BB: Eventos de infracción de la política de teletrabajo	Define las infracciones de políticas causadas por los teletrabajadores.
Bloque de construcción	BB:VMware: Actividad de sesión	Define sucesos de actividad de sesión de VMware.
Regla	Transferencia de archivos de entrada bloqueada en el perímetro	Se desencadena cuando hay un intento bloqueado de comunicarse con un dispositivo perimetral en un puerto que se suele utilizar para transferir archivos. Ajuste la regla de acuerdo con el requisito de conformidad y habilite las respuestas de regla. Se recomienda encarecidamente aplicar un limitador de respuestas debido a la probabilidad de que coincida con un elevado número de sucesos.
Regla	Transferencia de archivos de salida bloqueada en el perímetro	Se desencadena cuando hay un intento bloqueado de comunicarse desde un dispositivo perimetral en un puerto que se suele utilizar para transferir archivos. Ajuste la regla de acuerdo con el requisito de conformidad y habilite las respuestas de regla. Se recomienda encarecidamente aplicar un limitador de respuestas debido a la probabilidad de que coincida con un elevado número de sucesos.
Regla	Cambio de configuración realizado a un dispositivo en la red perimetral	Se desencadena cuando se observa un suceso categorizado como una modificación de configuración en un dispositivo perimetral. Ajuste la regla de acuerdo con el requisito de conformidad y habilite las respuestas de regla. Se recomienda encarecidamente aplicar un limitador de respuestas debido a la probabilidad de que coincida con un elevado número de sucesos.
Regla	Cambios de configuración realizados en dispositivos AV/Malware	Se desencadena cuando se observa un suceso categorizado como una modificación de configuración en un dispositivo de protección de punto final. Ajuste la regla de acuerdo con el requisito de conformidad y habilite las respuestas de regla. Se recomienda encarecidamente aplicar un limitador de respuestas debido a la probabilidad de que coincida con un elevado número de sucesos.
Regla	Mensajes de servidor críticos	Se desencadena cuando se observa un suceso categorizado como una emergencia o crítico.
Regla	Accesos erróneos a VPN	Se desencadena cuando se detecta una anomalía de autenticación o un intento de autenticación en una cuenta inhabilitada.
Regla	Error de acceso al sistema de archivos	Se desencadena cuando se deniega el acceso a un objeto. Ajuste la regla de acuerdo con el requisito de conformidad y habilite las respuestas de regla. Se recomienda encarecidamente aplicar un limitador de respuestas debido a la probabilidad de que coincida con un elevado número de sucesos.
Regla	Paquetes descartados por dispositivos de red perimetral	Se desencadena cuando se deniega el tráfico a un dispositivo perimetral. Ajuste la regla de acuerdo con el requisito de conformidad y habilite las respuestas de regla. Se recomienda encarecidamente aplicar un limitador de respuestas debido a la probabilidad de que coincida con un elevado número de sucesos.
Regla	Servicio detenido pero no reiniciado	Se desencadena cuando se ha detenido un servicio en un sistema y no se ha reiniciado.
Regla	Errores de autenticación de usuario en sistemas internos	Se desencadena cuando se observa un error de autenticación en un dispositivo que no es un dispositivo perimetral.
Regla	Errores de autenticación de usuario en sistemas del perímetro	Se desencadena cuando se observa un error de autenticación en un dispositivo que es un dispositivo perimetral.
Regla	Cambios en privilegios de usuarios en activos protegidos	Se desencadena cuando se asignan o eliminan derechos para un usuario en un activo que está en el Bloque de construcción de activos protegidos. Ajuste la regla de acuerdo con el requisito de conformidad y habilite las respuestas de regla. Se recomienda encarecidamente aplicar un limitador de respuestas debido a la probabilidad de que coincida con un elevado número de sucesos.
Regla	Responsabilidades de usuario y uso de la contraseña	Se desencadena cuando una cuenta de usuario está bloqueada.
Regla	Sesiones de usuario en dispositivos que no son del perímetro	Esta regla rastrea la apertura y el cierre de sesiones en dispositivos no perimetrales. Ajuste la regla de acuerdo con el requisito de conformidad y habilite las respuestas de regla. Se recomienda encarecidamente aplicar un limitador de respuestas debido a la probabilidad de que coincida con un elevado número de sucesos.
Regla	Seguimiento de sesión de VPN	Rastrea la apertura y el cierre de sesiones en los dispositivos VPN. Ajuste la regla de acuerdo con el requisito de conformidad y habilite las respuestas de regla. Se recomienda encarecidamente aplicar un limitador de respuestas debido a la probabilidad de que coincida con un elevado número de sucesos.

Los informes siguientes se incluyen en IBM Security QRadar GPG13 Content Extension 1.0.0.

GPG13 (PMC3) Errores de autenticación de usuario en sistemas límite (Diario)
GPG13 (PMC3) Paquetes descartados por cortafuegos del límite (Diario)
GPG13 (PMC7) Registro de actividad de sesión por usuario y estación de trabajo - Revisión de derecho de acceso (Diario)
GPG13 (PMC7) Actividades o transacciones con responsabilidad de usuario (Diario)
GPG13 (PMC4) Mensajes de host en crítico y superior (Diario)
GPG13 (PMC7) Cambios de estado de cuenta de red (Diario)
GPG13 (PMC5) Errores de autenticación de usuario en sistemas de supervisión internos (Diario)
GPG13 (PMC8) Sucesos de copia de seguridad y restauración
GPG13 (PMC2) Cambios de configuración y firmas en dispositivos del límite
GPG13 (PMC6) Actividad de sesión de usuario de VPN (Diario)
GPG13 (PMC4) Cambios en archivo o permisos de accesos de ruta (Diario)
GPG13 (PMC4) Cambios en estado del sistema (Diario)
GPG13 (PMC9) Cambios de configuración en SIEM, alertas, reglas (Diario)
GPG13 (PMC6) Cambios en el estado del registro de nodo de VPN (Diario)
GPG13 (PMC7) Uso de recursos administrativos (Diario)
GPG13 (PMC4) Cambio de configuración en dispositivos AV/Malware (Diario)
GPG13 (PMC7) Cambio de estado de cuenta de red de usuario (Diario)
GPG13 (PMC4) Intentos de acceso erróneos al sistema de archivos (Diario)
GPG13 (PMC10) Restablecimientos del archivo de registro, errores y condiciones de umbral
GPG13 (PMC2) Transferencias de archivos de entrada bloqueadas en el límite (Diario)
GPG13 (PMC7) Cambios en el estado de privilegio de activos críticos (Diario)
GPG13 (PMC4) Cambios en el estado del servicio (Diario)
GPG13 (PMC6) Registros de nodo VPN incorrectos (Diario)
GPG13 (PMC3) Cambios en el estado del software de reconocimiento de ataques externos (Diario)
GPG13 (PMC2) Transferencia de archivos de salida bloqueadas en el límite (Diario)
GPG13 (PMC3) Sesiones de usuarios en dispositivos del límite (Diario)
GPG13 (PMC5) Sesiones de usuarios en dispositivos internos (Diario)
GPG13 (PMC7) Sesiones de red de usuario (Diario)
GPG13 (PMC4) Cambios en cualquier base de firma A/V de host

Las siguientes búsquedas guardadas se incluyen en IBM Security QRadar GPG13 Content Extension 1.0.0.

Paquetes descartados por los dispositivos de red perimetral en las últimas 24 horas.
Errores de autenticación de usuario en sistemas perimetrales por usuario en las últimas 24 horas
Conformidad: Sucesos de cambio del estado del sistema
Mensajes críticos del servidor en las últimas 24 horas
Conformidad: Derechos de acceso de archivo o carpeta modificados
Conformidad: Autenticaciones y sesiones de administrador
Paquetes descartados por los dispositivos de red perimetral por IP de origen y destino en las últimas 24 horas.
Sucesos de copia de seguridad y restauración
Errores de autenticación de usuario en sistemas perimetrales en las últimas 24 horas
Conformidad: Cambios de firma A/V de host de Windows
Sucesos de manipulación del archivo de registro en las últimas 24 horas
Errores de acceso al sistema de archivos en las últimas 24 horas
Conformidad: Cambios de estado de la cuenta de red
Conformidad: Transferencia de salida bloqueada
Conformidad: Acceso VPN incorrecto
Revisión de derechos de acceso, SIEM
Conformidad: Sucesos de actividad con responsabilidad de usuario
Conformidad: Transferencias de entrada bloqueadas
Errores de autenticación de usuario en sistemas de supervisión internos en las últimas 24 horas
Conformidad: Sucesos de cambio de privilegios de usuario en activos protegidos
Conformidad: Sucesos de seguimiento de sesión de VPN
Conformidad: Sucesos de cambio de estado de servicio
Conformidad: Sucesos de cambio de estado de VPN
Revisión de derechos de acceso, Windows
Conformidad: Cambios de configuración de SIEM
Conformidad: Todas las sesiones de usuario
Revisión de derechos de acceso, red
Conformidad: Sesiones internas de usuario
GPG13 (PMC7) - Revisión de derechos de acceso
Cambios de configuración y firma realizados a dispositivos del perímetro
Conformidad: Cambios de configuración de detección de SIEM
Conformidad: Sesiones de usuario de dispositivo de perímetro
Conformidad: Sucesos de cambio de configuración en dispositivos AV/Malware

_{(Volver arriba)}