UEBA: Detectar sesión SSH persistente

La aplicación QRadar® User Entity Behavior Analytics (UEBA) da soporte a casos de uso basados en reglas para determinadas anomalías de comportamiento.

UEBA: Detectar sesión SSH persistente

Habilitada de forma predeterminada

No

senseValue predeterminado

10

senseValueSource predeterminado

10

senseValueDestination predeterminado

10

Descripción

Detecta sesiones SSH que se mantienen activas durante más de 10 horas.

Reglas de soporte

  • BB:UBA : Common Event Filters
  • BB:UBA : SSH Session Closed
  • BB:UBA : SSH Session Opened

Configuración necesaria

Esta regla requiere que se ejecuten los sucesos SSH abierto y SSH cerrado para que la detección sea precisa. Si el origen de registro utilizado no contiene un ID de suceso para ambos sucesos, es posible que los resultados no sean precisos. Consulte los orígenes de datos para determinar los ID de suceso del origen de registro que se está utilizando.

Tipos de origen de registro (SSH abierto)

Centrify Infrastructure Services (ID de suceso: 27100, 27104)

Cisco IOS (ID de suceso: %SSH-5-SSH2_SESSION, %SSH-SW2-5-SSH2_SESSION)

Motor de reglas personalizadas (ID de suceso: 18037, 3071)

Cyber-Ark Vault (ID de suceso: 378)

Extreme XSR Security Routers (ID de suceso: NEW_SSH_CONNECTION)

Motor de clasificación de flujo (ID de suceso: 3071, 18037)

Huawei S Series Switch (ID de suceso: SSH/4/SFTP_REQ_RECORD)

HyTrust CloudControl (ID de suceso: AUN0120, unknown)

IBM AIX Server (ID de suceso: sshd2 connection established, ssh-server connect, ssh-server session open)

IBM DataPower (EventID: 0x8100011e, 0x810001e4, 0x810001e5)

Juniper MX Series Ethernet Services Router (ID de suceso: SSH)

Juniper Networks AVT (ID de suceso: SSH)

Mac OS X (ID de suceso: OSX ssh session started)

OS Services Qidmap (ID de suceso: Connection from, pam_open_session, pam_sm_open_session)

Solaris Operating System Authentication Messages (ID de suceso: ssh session opened)

Universal DSM (ID de suceso: SSH Opened, SSH Session Started)

Tipos de origen de registro (SSH cerrado)

Aruba Mobility Controller (ID de suceso: sshd_disconnect)

Centrify Infrastructure Services (ID de suceso: 27102)

Cisco IOS (ID de suceso: %SSH-5-SSH_CLOSE, %SSH-SW2-5-SSH2_CLOSE, %SSH-5-SSH2_CLOSE)

Motor de reglas personalizadas (ID de suceso: 3072, 18038, 18040)

Cyber-Ark Vault (ID de suceso: 380, 381)

Motor de clasificación de flujo (ID de suceso: 3072, 18038, 18040)

Huawei S Series Switch (ID de suceso: SSH/6/RECV_DISCONNECT)

IBM AIX Server (ID de suceso: ssh-server disconnect, sshd2 connection lost, SSH Disconnect, sshd2 local disconnect, ssh-server session close)

OS Services Qidmap (ID de suceso: Done with connection, pam_sm_close_session, pam_close_session, Did not receive identification string, Connection timed out, Received disconnect from IP, Connection closed)

Pulse Secure Pulse Connect Secure (ID de suceso: GWE24572)

Universal DSM (ID de suceso: SSH Terminated, SSH Session Finished, SSH Closed)