RFISI
Utilice IBM Security QRadar Ready for IBM Security Intelligence (RFISI) Content Extension para complementar la aplicación RFISI Threat Intelligence.
Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. Los DSM se actualizan como parte de las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).
IBM Seguridad QRadar Extensión de contenido RFISI V1.0.1
Los siguientes bloques de construcción se han eliminado en IBM Security QRadar RFISI Content Extension V1.0.1, porque ya están incluidos en QRadar de forma predeterminada.
- BB:HostDefinition: Servidores de correo
- BB:HostReference: Servidores de correo
- BB:PortDefinition: Puertos de correo
La tabla siguiente muestra los conjuntos de referencia que se actualizan en IBM Security QRadar RFISI Content Extension V1.0.1.
| Nombre | Descripción |
|---|---|
| URL maliciosos | Se ha cambiado el tipo de elemento refset a alfanumérico (Omitir mayúsculas y minúsculas). |
| URL de programa malicioso | Se ha cambiado el tipo de elemento refset a alfanumérico (Omitir mayúsculas y minúsculas). |
| URL de phishing | Se ha cambiado el tipo de elemento refset a alfanumérico (Omitir mayúsculas y minúsculas). |
| Nombres de procesos malintencionados | Se ha cambiado el tipo de elemento refset a alfanumérico (Omitir mayúsculas y minúsculas). |
| Nombres de host de programa malicioso | Se ha cambiado el tipo de elemento refset a alfanumérico (Omitir mayúsculas y minúsculas). |
| MD5 de hashes de programa malicioso | Se ha cambiado el tipo de elemento refset a alfanumérico (Omitir mayúsculas y minúsculas). |
| SHA de hashes de programa malicioso | Se ha cambiado el tipo de elemento refset a alfanumérico (Omitir mayúsculas y minúsculas). |
IBM Seguridad QRadar Extensión de contenido RFISI V1.0.0
En la tabla siguiente se muestran las reglas y los bloques de construcción en IBM Security QRadar RFISI Content Extension V1.0.0.
| Nombre | Descripción |
|---|---|
| RFISI: Comunicación interna con URL de programa malicioso | Notifica cuando un cliente interno carga un URL conocido como programa malicioso de host. |
| RFISI: Comunicación interna con dirección de alojamiento de programa malicioso | Notifica cuando un sistema interno se comunica con una dirección IP que se considera que aloja programas maliciosos. |
| RFISI: Conexión interna con mandatos botnet y de control | Notifica cuando un sistema interno se comunica con una dirección IP conocida como un servidor de mandatos botnet y de control. |
| RFISI: Los hosts internos se comunican con un host de anonimización | Notifica cuando parece que un host interno está utilizando un proxy anónimo o VPN. Normalmente, esto indica una infracción de política pero también puede ser una señal de una actividad de amenaza interna. |
| RFISI: El servidor de correo envía correo a servidores SPAM | Notifica cuando un sistema interno se comunica con una dirección IP conocida como remitente de spam. Normalmente, ningún servidor de correo legítimo se considerará un servidor de spam, por lo tanto, eso puede indicar una actividad ilícita o una infección interna. |
| RFISI: Correo electrónico fraudulento enviado al servidor de correo interno | Notifica si se ha recibido correo de un servidor asociado a campañas fraudulentas (phishing). Puede indicar que los usuarios internos están siendo el objetivo de un ataque. |
| BB:HostReference: Servidores de correo | Sin actualizaciones. Depende de otra regla y se debe incluir en la infraestructura de la extensión. |
| BB:HostDefinition: Servidores de correo | Sin actualizaciones. Depende de otra regla y se debe incluir en la infraestructura de la extensión. |
| BB:PortDefinition: Puertos de correo | Sin actualizaciones. Depende de otra regla y se debe incluir en la infraestructura de la extensión. |
La tabla siguiente muestra los datos de referencia en IBM Security QRadar RFISI Content Extension V1.0.0.
| Tipo | Nombre | Descripción |
|---|---|---|
| Conjunto de referencia | Remitentes de programas maliciosos | Obtiene las direcciones IP de los hosts de correo que se conocen como remitentes de correos electrónicos maliciosos, tales como adjuntos de virus, programas maliciosos y explotaciones de html. Si los proveedores no distinguen entre estos y otros spams, todos deberán ser incluidos en el conjunto Remitentes de spam. |
| Conjunto de referencia | IP de anonimización | Obtiene las direcciones IP de los servicios de anonimización conocidos, tales como los proveedores de VP, los nodos de salida TOR u otros proxys. |
| Conjunto de referencia | IP de botnet C&C | Obtiene direcciones IP conocidas como servidores C&C, en lugar de nodos. Cuando el proveedor no distingue entre los nodos y C&C, todos deberán ser incluidos en el conjunto de direcciones IP botnet. |
| Conjunto de referencia | IP de botnet | Obtiene las direcciones IP asociadas con la actividad botnet. Está pensado para los nodos y no para las direcciones IP C&C IP pero si el proveedor no distingue entre ambos, se incluyen en este conjunto. |
| Conjunto de referencia | Servidores de correo | Una lista de servidores de correo de su entorno. |
| Conjunto de referencia | URL maliciosos | Obtiene los URL de explotaciones del navegador y algunos otros tipos de explotaciones. |
| Conjunto de referencia | MD5 de hashes de programa malicioso | Obtiene las sumas MD5 de archivos de programas maliciosos. |
| Conjunto de referencia | SHA de hashes de programa malicioso | Obtiene las sumas SHA (SHA-1, SHA-256, etc) de archivos de programas maliciosos. |
| Conjunto de referencia | Nombres de host de programa malicioso | Obtiene los hosts, o direcciones IP, de los servidores que proporcionan descargas de programas maliciosos. Los nombres de hosts son mejores debido al alojamiento virtual. |
| Conjunto de referencia | IP de programa malicioso | Diseñado para direcciones IP asociado a las comunicaciones posteriores a la explotación de programas maliciosos. |
| Conjunto de referencia | URL de programa malicioso | Obtiene los URL conocidos como descargas de programas maliciosos. |
| Conjunto de referencia | IP de phishing | Obtiene las direcciones IP asociadas con intentos de phishing. |
| Conjunto de referencia | Remitentes de phishing | Obtiene las direcciones IP de los hosts conocidos o sospechosos de envíos de intentos de phishing. |
| Conjunto de referencia | Asuntos de phishing | Obtiene las líneas de asunto de las campañas de correo conocidas como intentos de phishing. |
| Conjunto de referencia | URL de phishing | Obtiene los URL asociados a correos electrónicos de phishing. |
| Conjunto de referencia | Nombres de procesos malintencionados | Obtiene los nombres de procesos o nombres de ejecutables de programas malintencionados conocidos, troyanos y otros procesos malintencionados. |
| Conjunto de referencia | Remitentes de correo no deseado | Obtiene las direcciones IP de servidores de spam conocidos. Si el proveedor no distingue entre phishing y otro spam, se incluyen ambos en este conjunto. |
| Correlación de referencias de correlaciones | Datos de remitentes de programas maliciosos | Incluye datos ampliados relacionados con el conjunto de referencia Remitentes de programas maliciosos. |
| Correlación de referencias de correlaciones | Datos de IP de anonimización | Incluye datos ampliados relacionados con el conjunto de referencia IP de anonimización. |
| Correlación de referencias de correlaciones | Datos de IP de botnet C&C | Contiene datos ampliados relacionados con el conjunto de referencia de IP de botnet C&C. |
| Correlación de referencias de correlaciones | Datos de IP de botnet | Incluye datos ampliados relacionados con el conjunto de referencia IP de botnet. |
| Correlación de referencias de correlaciones | Datos de URL maliciosos | Incluye datos ampliados relacionados con el conjunto de referencia URL maliciosos. |
| Correlación de referencias de correlaciones | Datos de MD5 de hashes de programa malicioso | Incluye datos ampliados relacionados con el conjunto de referencia MD5 de hashes de programa malicioso. |
| Correlación de referencias de correlaciones | Datos de SHA de hashes de programa malicioso | Incluye datos ampliados relacionados con el conjunto de referencia SHA de hashes de programa malicioso. |
| Correlación de referencias de correlaciones | Datos de nombres de hosts de programas maliciosos | Incluye datos ampliados relacionados con el conjunto de referencia Nombres de hosts de programas maliciosos. |
| Correlación de referencias de correlaciones | Datos de IP de programas maliciosos | Incluye datos ampliados relacionados con el conjunto de referencia IP de programas maliciosos. |
| Correlación de referencias de correlaciones | Datos de URL de programa malicioso | Incluye datos ampliados relacionados con el conjunto de referencia URL de programa malicioso. |
| Correlación de referencias de correlaciones | Datos de IP de phishing | Incluye datos ampliados relacionados con el conjunto de referencia IP de phishing. |
| Correlación de referencias de correlaciones | Datos de remitentes de phishing | Incluye datos ampliados relacionados con el conjunto de referencia Remitentes de phishing. |
| Correlación de referencias de correlaciones | Datos de asunto de phishing | Incluye datos ampliados relacionados con el conjunto de referencia Asuntos de phishing. |
| Correlación de referencias de correlaciones | Datos de URL de phishing | Incluye datos ampliados relacionados con el conjunto de referencia URL de phishing. |
| Correlación de referencias de correlaciones | Datos de nombres de procesos malintencionados | Incluye datos ampliados relacionados con el conjunto de referencia Nombres de procesos malintencionados. |
| Correlación de referencias de correlaciones | Datos de remitentes de spam | Incluye datos ampliados relacionados con el conjunto de referencia Remitentes de spam. |