Actividad sospechosa
La categoría Sospechoso contiene sucesos que están relacionados con virus, troyanos, ataques por puertas traseras y otras formas de software hostil.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad asociados para la categoría de actividad sospechosa.
Categoría de sucesos de nivel bajo | ID de categoría | Descripción | Nivel de gravedad (0 – 10) |
---|---|---|---|
Suceso sospechoso desconocido | 7001 | Indica un suceso sospechoso desconocido. | 3 |
Patrón sospechoso detectado | 7002 | Indica que se ha detectado un patrón sospechoso. | 3 |
Contenido modificado por cortafuegos | 7003 | Indica que el cortafuegos ha modificado el contenido. | 3 |
Mandato o datos no válidos | 7004 | Indica un mandato o datos que no son válidos. | 3 |
Paquete sospechoso | 7005 | Indica un paquete sospechoso. | 3 |
Actividad sospechosa | 7006 | Indica actividad sospechosa. | 3 |
Nombre de archivo sospechoso | 7007 | Indica un nombre de archivo sospechoso. | 3 |
Actividad de puerto sospechosa | 7008 | Indica actividad de puerto sospechosa. | 3 |
Direccionamiento sospechoso | 7009 | Indica un direccionamiento sospechoso. | 3 |
Vulnerabilidad de web potencial | 7010 | Indica una vulnerabilidad de web potencial. | 3 |
Suceso de evasión desconocido | 7011 | Indica un suceso de evasión desconocido. | 5 |
Suplantación de IP | 7012 | Indica una suplantación de IP. | 5 |
Fragmentación de IP | 7013 | Indica una fragmentación de IP. | 3 |
Fragmentos de IP solapados | 7014 | Indica fragmentos de IP solapados. | 5 |
Evasión de IDS | 7015 | Indica una evasión de IDS. | 5 |
Anomalía de protocolo de DNS | 7016 | Indica una anomalía de protocolo de DNS. | 3 |
Anomalía de protocolo de FTP | 7017 | Indica una anomalía de protocolo de FTP. | 3 |
Anomalía de protocolo de correo | 7018 | Indica una anomalía de protocolo de correo. | 3 |
Anomalía de protocolo de direccionamiento | 7019 | Indica una anomalía de protocolo de direccionamiento. | 3 |
Anomalía de protocolo de web | 7020 | Indica una anomalía de protocolo de web. | 3 |
Anomalía de protocolo de SQL | 7021 | Indica una anomalía de protocolo de SQL. | 3 |
Código ejecutable detectado | 7022 | Indica que se ha detectado código ejecutable. | 5 |
Suceso sospechoso diverso | 7023 | Indica un suceso sospechoso diverso. | 3 |
Filtración de información | 7024 | Indica una filtración de información. | 1 |
Vulnerabilidad de correo potencial | 7025 | Indica una vulnerabilidad potencial en el servidor de correo. | 4 |
Vulnerabilidad de versión potencial | 7026 | Indica una vulnerabilidad potencial en la versión de IBM® QRadar® . | 4 |
Vulnerabilidad de FTP potencial | 7027 | Indica una vulnerabilidad potencial de FTP. | 4 |
Vulnerabilidad de SSH potencial | 7028 | Indica una vulnerabilidad potencial de SSH. | 4 |
Vulnerabilidad de DNS potencial | 7029 | Indica una vulnerabilidad potencial en el servidor DNS. | 4 |
Vulnerabilidad de SMB potencial | 7030 | Indica una vulnerabilidad potencial de SMB (Samba). | 4 |
Vulnerabilidad de base de datos potencial | 7031 | Indica una vulnerabilidad potencial en la base de datos. | 4 |
Anomalía de protocolo IP | 7032 | Indica una anomalía de protocolo IP potencial. | 3 |
Dirección IP sospechosa | 7033 | Indica que se ha detectado una dirección IP sospechosa. | 2 |
Uso de protocolo IP no válido | 7034 | Indica un protocolo IP no válido. | 2 |
Protocolo no válido | 7035 | Indica un protocolo no válido. | 4 |
Sucesos de Windows sospechosos | 7036 | Indica un suceso sospechoso con una pantalla del escritorio. | 2 |
Actividad de ICMP sospechosa | 7037 | Indica actividad de ICMP sospechosa. | 2 |
Vulnerabilidad de NFS potencial | 7038 | Indica una vulnerabilidad potencial de NFS (Network File System). | 4 |
Vulnerabilidad de NNTP potencial | 7039 | Indica una vulnerabilidad potencial de NNTP (protocolo para la transferencia de noticias en red). | 4 |
Vulnerabilidad de RPC potencial | 7040 | Indica una vulnerabilidad potencial de RPC. | 4 |
Vulnerabilidad de Telnet potencial | 7041 | Indica una vulnerabilidad potencial de Telnet en el sistema. | 4 |
Vulnerabilidad de SNMP potencial | 7042 | Indica una vulnerabilidad potencial de SNMP. | 4 |
Combinación de distintivos de TCP no permitida | 7043 | Indica que se ha detectado una combinación de distintivos de TCP no válida. | 5 |
Combinación de distintivos de TCP sospechosa | 7044 | Indica que se ha detectado una combinación de distintivos de TCP potencialmente no válida. | 4 |
Uso no permitido de protocolo ICMP | 7045 | Indica que se ha detectado un uso no válido del protocolo ICMP. | 5 |
Uso sospechoso de protocolo ICMP | 7046 | Indica que se ha detectado un uso potencialmente no válido del protocolo ICMP. | 4 |
Tipo de ICMP no permitido | 7047 | Indica que se ha detectado un tipo de ICMP no válido. | 5 |
Código de ICMP no permitido | 7048 | Indica que se ha detectado un código de ICMP no válido. | 5 |
Tipo de ICMP sospechoso | 7049 | Indica que se ha detectado un tipo de ICMP potencialmente no válido. | 4 |
Código de ICMP sospechoso | 7050 | Indica que se ha detectado un código de ICMP potencialmente no válido. | 4 |
Puerto TCP 0 | 7051 | Indica que un paquete TCP utiliza un puerto reservado (0) como origen o destino. | 4 |
Puerto UDP 0 | 7052 | Indica que un paquete UDP utiliza un puerto reservado (0) como origen o destino. | 4 |
IP hostil | 7053 | Indica el uso de una dirección IP hostil conocida. | 4 |
IP de lista de observación | 7054 | Indica el uso de una dirección IP incluida en una lista de observación de direcciones IP. | 4 |
IP de delincuente conocido | 7055 | Indica el uso de una dirección IP de un delincuente conocido. | 4 |
IP de RFC 1918 (privado) | 7056 | Indica el uso de una dirección IP incluida en un rango de direcciones IP privadas. | 4 |
Vulnerabilidad de VoIP potencial | 7057 | Indica una vulnerabilidad potencial de VoIP. | 4 |
Dirección de lista negra | 7058 | Indica que una dirección IP está en la lista de bloqueo. | 8 |
Dirección de lista de observación | 7059 | Indica que la dirección IP está en la lista de direcciones IP que se están supervisando. | 7 |
Dirección de red oscura | 7060 | Indica que la dirección IP forma parte de una red oscura. | 5 |
Dirección de botnet | 7061 | Indica que la dirección forma parte de un botnet. | 7 |
Dirección sospechosa | 7062 | Indica que la dirección IP debe ser supervisada. | 5 |
Contenido erróneo | 7063 | Indica que se ha detectado contenido erróneo. | 7 |
Certificación no válida | 7064 | Indica que se ha detectado un certificado no válido. | 7 |
Actividad de usuario | 7065 | Indica que se ha detectado actividad de usuario. | 7 |
Uso de protocolo sospechoso | 7066 | Indica que se ha detectado el uso de un protocolo sospechoso. | 5 |
Actividad de BGP sospechosa | 7067 | Indica que se ha detectado un uso sospechoso de BGP (protocolo de pasarela fronteriza). | 5 |
Envenenamiento de ruta | 7068 | Indica que se han detectado daños en la ruta. | 5 |
Envenenamiento de ARP | 7069 | Indica que se ha detectado el envenenamiento de la memoria caché de ARP. | 5 |
Dispositivo malintencionado detectado | 7070 | Indica que se ha detectado un dispositivo malintencionado. | 5 |
Dirección de agencia de gobierno | 7071 | Indica que se ha detectado una dirección de agencia de gobierno. | 3 |