Data Exfiltration (Exfiltración de datos)
Utilice IBM Security QRadar Data Exfiltration Content Extension para supervisar de cerca las actividades de filtración de datos en su despliegue.
Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. Los DSM se actualizan como parte de las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).
Acerca de la extensión Data Exfiltration
El paquete de QRadar Content Extension for Data Exfiltration añade varias reglas y búsquedas guardadas que se centran en la detección de actividades de exfiltración de datos.
Como ejemplo, algunas de las actividades de exfiltración de datos podrían ser:
- Gran volumen de transferencia de datos salientes a una IP que se sabe malintencionada, o a un servicio de almacenamiento de archivos en línea.
- Transferencia de datos salientes lenta o encubierta a lo largo de varios días o meses.
- Fuga o pérdida de datos en la nube. Por ejemplo, si se sube un archivo confidencial a una carpeta o grupo de acceso público, o si los permisos de archivos confidenciales se cambian para que sean de acceso público.
- Compartición de archivos confidenciales. Por ejemplo, si se comparten archivos confidenciales con un host malintencionado, un usuario invitado o con un usuario externo a la organización.
IBM Security QRadar Extensiones de contenido de filtración de datos
- IBM Seguridad QRadar Extensión de contenido para la exfiltración de datos 1.0.5
- IBM Seguridad QRadar Extensión de contenido para la exfiltración de datos 1.0.4
- IBM Seguridad QRadar Extensión de contenido para la exfiltración de datos 1.0.3
- IBM Seguridad QRadar Extensión de contenido para la exfiltración de datos 1.0.2
- IBM Seguridad QRadar Extensión de contenido para la exfiltración de datos 1.0.1
- IBM Seguridad QRadar Extensión de contenido para la exfiltración de datos 1.0.0
IBM Security QRadar Extensión de contenido de filtración de datos 1.0.5
Esta versión de IBM Security QRadar Data Exfiltration Content Extension incluye un arreglo para el error que ha provocado que el grupo de reglas Exfiltration tenga su nombre y descripción listados comonullcuando se llama desde la API.
En la tabla siguiente se muestran las propiedades de suceso personalizadas que son nuevas o actualizadas en IBM Security QRadar Data Exfiltration Content Extension 1.0.5.
Nota: Las propiedades personalizadas que se incluyen en la tabla siguiente son marcadores de posición. Puede descargar otras extensiones de contenido que incluyen las propiedades personalizadas con estos nombres o puede crear las suyas propias.
| Propiedad personalizada | Optimizada | Se encuentra en |
|---|---|---|
| Directorio de archivos | Sí | |
| Host destinatario | Sí | |
| Recipient_User | Sí | |
| UrlHost | Sí | |
| Categoría web | Sí |
La tabla siguiente muestra las reglas que son nuevas o actualizadas en IBM Security QRadar Data Exfiltration 1.0.5.
| Nombre | Descripción |
|---|---|
| Numerosos sucesos de acceso de archivos desde la misma IP de origen | Se ha cambiado el rango de direcciones IP excluidas de 192.168.2.0/24 a 192.0.2.0/24. |
| Numerosos sucesos de acceso de archivos por parte del mismo nombre de usuario | Se ha cambiado el rango de direcciones IP excluidas de 192.168.2.0/24 a 192.0.2.0/24. |
| Sucesos de descarga de archivos excesivos desde el mismo nombre de usuario | Se ha cambiado el rango de direcciones IP excluidas de 192.168.2.0/24 a 192.0.2.0/24. |
| Numerosos sucesos de descarga de archivos desde la misma IP de origen | Se ha cambiado el rango de direcciones IP excluidas de 192.168.2.0/24 a 192.0.2.0/24. |
IBM Security QRadar Extensión de contenido de filtración de datos 1.0.4
En la tabla siguiente se muestran las reglas y los bloques de construcción que son nuevos o actualizados en IBM Security QRadar Data Exfiltration 1.0.4.
| Tipo | Nombre | Descripción |
|---|---|---|
| Bloque de construcción | BB:BehaviorDefinition: Host de destinatario potencialmente hostil | Se ha añadido un filtro para mejorar el rendimiento. |
| Bloque de construcción | BB:CategoryDefinition: Comunicación con IP de destino posiblemente hostiles | Se ha añadido un filtro de dirección de flujo para mejorar el rendimiento. |
| Bloque de construcción | BB:CategoryDefinition: Comunicación con hosts destinatarios posiblemente hostiles | Se ha eliminado este bloque de construcción. |
| Bloque de construcción | BB:BehaviorDefinition: Host de destinatario externo | Se ha arreglado el enlace de ID de conjunto de referencia en este bloque de construcción. |
| Regla | Numerosos sucesos de acceso de archivos desde la misma IP de origen | Se ha añadido la misma ubicación (origen de registro) a la lógica de regla. |
| Regla | Numerosos sucesos de acceso de archivos por parte del mismo nombre de usuario | Se ha añadido la misma ubicación (origen de registro) a la lógica de regla. |
| Regla | Numerosos sucesos de descarga de archivos desde la misma IP de origen | Se ha añadido la misma ubicación (origen de registro) a la lógica de regla. |
| Regla | Numerosos sucesos de descarga de archivos por parte del mismo nombre de usuario | Se ha añadido la misma ubicación (origen de registro) a la lógica de regla. |
| Regla | Acceso o descarga de archivo desde una IP malintencionada | Se ha cambiado el limitador de respuestas a IP de destino. |
| Regla | Gran volumen de transferencia de datos de salida | Se ha eliminado debido a un defecto conocido que rompe la importación de reglas de umbral. |
| Regla | Gran volumen de transferencia de datos de salida para flujos | Se ha eliminado debido a un defecto conocido que rompe la importación de reglas de umbral. |
| Regla | Gran volumen de transferencia de datos de salida a un host de almacenamiento de archivos | Se ha eliminado debido a un defecto conocido que rompe la importación de reglas de umbral. |
| Regla | Gran volumen de transferencia de datos de salida a una IP o host malintencionado | Se ha eliminado debido a un defecto conocido que rompe la importación de reglas de umbral. |
| Regla | Gran volumen de transferencia de datos de salida a una IP malintencionada para flujos | Se ha eliminado debido a un defecto conocido que rompe la importación de reglas de umbral. |
La tabla siguiente muestra las búsquedas guardadas que son nuevas o actualizadas en IBM Security QRadar Data Exfiltration 1.0.4.
| Nombre | Descripción |
|---|---|
| Gran volumen de transferencia de datos de salida | Se ha eliminado la cláusula having de la búsqueda de AQL. |
| Transferencia de datos de salida de gran tamaño - Supervisión de anomalías | Se ha eliminado la cláusula having de la búsqueda de AQL. |
| Gran volumen de transferencia de datos de salida a un host de almacenamiento de archivos | Se ha eliminado la cláusula having de la búsqueda de AQL. |
| Gran volumen de transferencia de datos de salida a IP o host malintencionado | Se ha eliminado la cláusula having de la búsqueda de AQL. |
| Transferencia de datos de salida de gran tamaño a IP maliciosa | Se ha eliminado la cláusula having de la búsqueda de AQL. |
IBM Security QRadar Extensión de contenido de filtración de datos 1.0.3
Se han arreglado los errores en el panel de control de Pulse que causó que las consultas de AQL se analizaran de forma incorrecta.
La tabla siguiente muestra que los bloques de construcción se han renombrado en IBM Security QRadar Data Exfiltration Content Extension 1.0.3.
| Nombre anterior | Nombre nuevo |
|---|---|
| BB:BehaviorDefinition: Direcciones de correo externas | BB:BehaviorDefinition: Host de destinatario externo |
| BB:BehaviorDefinition: Host de host posiblemente hostil | BB:BehaviorDefinition: Host de destinatario potencialmente hostil |
IBM Security QRadar Extensión de contenido de filtración de datos 1.0.2
Se han actualizado las condiciones para las reglas siguientes:
- Gran volumen de transferencia de datos de salida
- Gran volumen de transferencia de datos de salida para flujos
- Gran volumen de transferencia de datos de salida a un host de almacenamiento de archivos
- Gran volumen de transferencia de datos de salida a una IP o host malintencionado
- Gran volumen de transferencia de datos de salida a una IP malintencionada para flujos
IBM Security QRadar Extensión de contenido de exfiltración de datos 1.0.1
Se ha actualizado la regla QNI : Contenido confidencial transfiriéndose para incluir los registros que desencadenaron la regla en el delito.
IBM Security QRadar Extensión de contenido de filtración de datos 1.0.0
En la tabla siguiente se muestran las propiedades de suceso personalizadas en IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
Nota: Las propiedades personalizadas que se incluyen en la tabla siguiente son marcadores de posición. Puede descargar otras extensiones de contenido que incluyen las propiedades personalizadas con estos nombres o puede crear las suyas propias.
| Propiedad personalizada | Optimizada | Se encuentra en |
|---|---|---|
| BytesReceived | Sí | |
| BytesSent | Sí | |
| Directorio de archivos | Sí | |
| Extensión de archivo | Sí | |
| Nombre de archivo | Sí | |
| MessageID | Sí | |
| Nombre de política | Sí | |
| Permiso público | Sí | Amazon AWS |
| Host destinatario | Sí | |
| Recipient_User | Sí | |
| Nombre de almacenamiento | Sí | Amazon AWS |
| Área de usuario de destino | Sí | Microsoft Office 365 |
| URL | Sí | |
| UrlHost | Sí | |
| Categoría web | Sí |
En la tabla siguiente se muestran los bloques de construcción y las reglas en IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Tipo | Nombre | Descripción |
|---|---|---|
| Bloque de construcción | BB:BehaviorDefinition: Direcciones de correo externas | Este bloque de construcción identifica los hosts destinatarios que no están en el conjunto de referencia de dominios del correo corporativo. Nota: El conjunto de referencia Dominios de correo electrónico corporativo debe estar rellenado.
|
| Bloque de construcción | BB:BehaviorDefinition: Host de host posiblemente hostil | Este bloque de construcción identifica los correos electrónicos que se envían a hosts malintencionados. El host es malicioso si la categorización X-Force ® del mismo devuelve uno de los siguientes: URL de phishing, URL de correo no deseado, Malware, Botnet Command and Control Server o Cryptocurrency Mining. |
| Bloque de construcción | BB:CategoryDefinition: Comunicación con IP de destino posiblemente hostiles | Este bloque de construcción identifica comunicaciones con IP malintencionadas. El host es malicioso si la categorización de X-Force para el mismo devuelve uno de los siguientes: Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scan IPs, Bots o Phishing. |
| Bloque de construcción | BB:CategoryDefinition: Comunicación con hosts destinatarios posiblemente hostiles | Este bloque de construcción identifica comunicaciones con hosts malintencionados. El host es malicioso si la categorización de X-Force devuelve uno de los siguientes: Servidor de control y mandatos de botnet, Malware, URL de phishing, Minería de criptomoneda o URL de correo no deseado. |
| Bloque de construcción | BB:CategoryDefinition: Países/Regiones con acceso restringido | Edite este bloque de construcción para incluir cualquier ubicación geográfica que normalmente no se permitiría acceder a la empresa. |
| Bloque de construcción | BB:CategoryDefinition: Eventos de archivos eliminados | Edite este bloque de construcción para incluir categorías de sucesos de supresión de archivos. |
| Bloque de construcción | BB:CategoryDefinition: Enlace Eventos compartidos | Edite este bloque de construcción para incluir categorías de sucesos relacionados con la compartición de enlaces. |
| Bloque de construcción | BB:CategoryDefinition: Eventos de acceso a objetos | Edite este bloque de construcción para incluir todas las categorías de sucesos relacionados con el acceso a objetos (archivos, carpetas, etc). |
| Bloque de construcción | BB:CategoryDefinition: Sucesos de descarga de objetos | Edite este bloque de construcción para incluir todas las categorías de sucesos relacionados con la descarga de objetos (archivos, carpetas, etc). |
| Bloque de construcción | BB:CategoryDefinition: Sucesos de subida de objetos | Edite este bloque de construcción para incluir todas las categorías de sucesos relacionados con la subida de objetos (archivos, carpetas, etc). |
| Bloque de construcción | BB:DeviceDefinition: Dispositivos DLP | Este bloque de construcción define todos los dispositivos de Prevención de pérdida de datos (DLP) en el sistema. |
| Bloque de construcción | BB:DeviceDefinition: Correo | Este bloque de construcción define todos los dispositivos de Correo del sistema. |
| Bloque de construcción | BB:Exfiltration: Archivos en directorios acceso restringido | Detecta archivos que están en vías de acceso para material restringido. Dichas vías de acceso se definen en el conjunto de referencia Vías de acceso a archivos de material restringido. Nota: El conjunto de referencia de vías de acceso de archivo confidenciales debe rellenarse.
|
| Regla | Copia de seguridad de base de datos o archivo comprimido subido a una carpeta de acceso público | Esta regla se activa cuando se sube una copia de seguridad de base de datos o archivo comprimido a una carpeta o grupo de acceso público. El conjunto de referencia Carpetas de acceso público se debe rellenar con los nombres de carpeta adecuados. Nota: El conjunto de referencia de extensiones de archivo críticas se rellena previamente con extensiones de archivo críticas y se puede ajustar.
|
| Regla | Correo con archivo de material restringido enviado a un host externo | Esta regla se activa cuando se envía un correo con datos confidenciales a una dirección de correo electrónico externa a la organización. Nota: El conjunto de referencia de directorios de archivos confidenciales debe rellenarse con el nombre de las carpetas relevantes. El conjunto de referencia de dominios del correo corporativo debe estar relleno con el dominio del correo electrónico de la organización.
|
| Regla | Correo electrónico que contiene archivo de material restringido enviado a un host posiblemente hostil | Esta regla se activa cuando se envía un archivo de material restringido a un host conocido por sus actividades malintencionadas, como phishing, correo no deseado, programa malicioso, control de botnets o minería de criptomoneda. Los archivos en el conjunto de referencia de directorios con material restringido se rellenan mediante la regla Archivos en directorios de material restringido/confidencial. Nota: El conjunto de referencia de directorios confidenciales debe estar rellenado.
|
| Regla | Numerosos sucesos de acceso de archivos desde la misma IP de origen | Esta regla se activa cuando se accede a 15 archivos distintos desde la misma IP en un plazo de 5 minutos. Nota: Edite la función AQL para excluir actividades de descarga legítimas conocidas como Actualizaciones de SO o Actualizaciones de software.
|
| Regla | Numerosos sucesos de acceso de archivos por parte del mismo nombre de usuario | Esta regla se activa cuando se accede a 15 archivos distintos desde el mismo nombre de usuario en un plazo de 5 minutos. Nota: Edite la función AQL para excluir actividades de descarga legítimas conocidas como Actualizaciones de SO o Actualizaciones de software.
|
| Regla | Numerosos sucesos de descarga de archivos desde la misma IP de origen | Esta regla se activa cuando se descargan 10 archivos distintos desde la misma IP en un plazo de 5 minutos. Nota: Edite la función AQL para excluir actividades de descarga legítimas conocidas como Actualizaciones de SO o Actualizaciones de software.
|
| Regla | Numerosos sucesos de descarga de archivos por parte del mismo nombre de usuario | Esta regla se activa cuando se descargan 15 archivos distintos desde el mismo nombre de usuario en un plazo de 5 minutos. Nota: Edite la función AQL para excluir actividades de descarga legítimas conocidas como Actualizaciones de SO o Actualizaciones de software.
|
| Regla | Acceso o descarga de archivo desde una IP malintencionada | Esta regla se activa cuando se accede o descarga un archivo desde una IP malintencionada, como servidores de programa malicioso o servidores de control y órdenes conocidos. |
| Regla | Archivo o carpeta compartido con un correo electrónico alojado en un dominio potencialmente hostil | Esta regla se activa cuando hay un archivo o carpeta compartido con un correo electrónico asociado a dominios hostiles, como URL de correo no deseado, URL de phishing, programa malicioso o minería de criptomoneda. |
| Regla | Archivo o carpeta compartidos con una dirección de correo electrónico externa | Esta regla se activa cuando un archivo o carpeta se comparte con dominios de dirección de correo electrónico no corporativos. Nota: El conjunto de referencia Dominios de correo electrónico corporativo debe rellenarse con el dominio de correo electrónico de la organización.
|
| Regla | Archivos suprimidos de directorios con archivos de material restringido | Esta regla detecta si se ha producido un suceso de supresión de archivo de un directorio de archivos de material restringido del conjunto de referencia Archivos en directorios confidenciales como una Respuesta de regla. Nota: En IBM Security QRadar 7.3.2 y versiones anteriores, el conjunto de referencia no se enlaza correctamente con Archivos en directorios confidenciales- AlphaNumeric. Esto se ha corregido en la versión 7.3.2 parche 1. Si no tiene instalado el parche 1 de la versión 7.3.2, puede hacer lo siguiente: seleccione la regla y pulse Siguiente. En Respuesta de regla, haga clic en la lista para el conjunto de referencia y seleccione Archivos en directorios con material restringido - Alfanumérico.
|
| Regla | Archivos en directorios con archivos de material confidencial | Esta regla detecta la existencia de un archivo nuevo en un directorio de archivo de material confidencial y luego añade el nombre de archivo al conjunto de referencia Directorios con material restringido como una respuesta de regla. |
| Regla | Gran volumen de transferencia de datos de salida | Esta regla de anomalía se activa cuando se transfieren más de 5 Gb a una dirección IP en 4 días. |
| Regla | Gran volumen de transferencia de datos de salida para flujos | Esta regla de anomalía de flujo se activa cuando se transfiere más de 1 Gb de datos en 24 horas a una única dirección IP. Para obtener más información, consulte la búsqueda guardada Actividad de red de gran volumen de transferencia de datos de salida. |
| Regla | Gran volumen de transferencia de datos de salida a un host de almacenamiento de archivos | Esta regla de anomalía de evento se activa cuando se transfiere más de 1 GB de datos a una URL clasificada en la categoría de X-Force Almacenamiento web, en un plazo de 24 horas. La regla también se configura para que coincida en la categoría de proxy rellenada en el conjunto de referencia, categoría web de Almacenamiento de archivos. Para obtener más información, consulte la búsqueda guardada Actividad de registro de host de almacenamiento de archivos de transferencia de gran volumen de datos de salida. |
| Regla | Gran volumen de transferencia de datos de salida a una IP o host malintencionado | Esta regla de anomalía de evento se activa cuando se transfiere más de 1 GB de datos en 24 horas a una dirección IP o URL clasificada en una de las siguientes categorías de X-Force: Malware, Servidor de mando y control de botnet, Spam, Minería de criptomoneda, Escaneo de IP (solo en direcciones IP), Phishing o Bots (solo en direcciones IP). La regla también se configura para que coincida en la categoría de proxy rellenada en el conjunto de referencia, categoría web Malintencionado. Para obtener más información, Gran volumen de transferencia de datos de salida a hosts malintencionados o búsqueda guardada Actividad de registro de IP. |
| Regla | Gran volumen de transferencia de datos de salida a una IP malintencionada para flujos | Esta regla de anomalía de flujo se desencadena cuando se transfieren más de 1 GB de datos en un plazo de 24 horas a una dirección IP que se clasifica en una de las siguientes categorías de X-Force: Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scan IPs, Phishing o Bots. Para obtener más información, consulte Gran volumen de transferencias de datos de salida a búsqueda guardada de actividad de red de IP malintencionada. |
| Regla | QNI : Contenido confidencial transfiriéndose | Esta regla detecta la transferencia de contenido confidencial a un destino remoto. El contenido bajo sospecha se puede ajustar con reglas YARA. Para obtener más información, consulte la documentación de QNI. |
| Regla | Acceso a archivo sensible o descargado de países/regiones con acceso restringido | Esta regla se activa cuando se accede o descarga un archivo confidencial desde un país/región con acceso restringido. Estas regiones están definidas en BB:CategoryDefinition: Bloque de construcción Países/Regiones con acceso restringido. |
| Regla | Los permisos de archivos sensibles son de acceso público | Esta regla se activa cuando los permisos para un archivo sensible son de acceso público. Los archivos en el conjunto de referencia de directorios con material restringido se rellenan mediante la regla Archivos en directorios de material restringido/confidencial. Nota: El conjunto de referencia de directorios confidenciales debe estar rellenado.
|
| Regla | Archivo de material confidencial compartido con un usuario o grupo invitado | Esta regla se activa cuando un archivo de material confidencial se comparte con un usuario o grupo invitado. Los archivos en el conjunto de referencia de directorios con material restringido se rellenan mediante la regla Archivos en directorios de material restringido/confidencial, que utiliza el conjunto de referencia Directorios con material restringido/confidencial. Nota: Los conjuntos de referencia de Directorios confidenciales y Usuarios de inicio de sesión de invitado deben rellenarse.
|
| Regla | Archivo con archivo de material confidencial subido a una carpeta de acceso público | Esta regla se activa cuando se sube un archivo de material confidencial a una carpeta o grupo de acceso público. |
| Regla | Actividad sospechosa o datos confidenciales detectados por dispositivos DLP | Esta regla se activa cuando se detecta una actividad sospechosa sobre datos confidenciales desde un dispositivo DLP. Los dispositivos DLP se definen en el bloque de construcción BB:DeviceDefinition: Dispositivos DLP. Nota: el conjunto de referencia Políticas DLP debe estar rellenado.
|
La tabla siguiente muestra los datos de referencia en IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Tipo | Nombre | Descripción |
|---|---|---|
| Conjunto de referencia | Nombres de archivo confidenciales/sensibles | Contiene una lista de nombres de archivo confidenciales o sensibles. |
| Conjunto de referencia | Dominios de correo electrónico corporativo | Contiene una lista con los dominios de correo electrónico corporativo. |
| Conjunto de referencia | Extensiones de archivo críticas | Contiene una lista de extensiones de archivo críticas. |
| Conjunto de referencia | Políticas de DLP | Contiene una lista de políticas DLP. |
| Conjunto de referencia | File Storage Categorías web | Contiene una lista de categorías web de almacenamiento de archivos. |
| Conjunto de referencia | Archivos en directorios confidenciales | Contiene una lista de nombres de archivos en directorios de material restringido/confidencial. |
| Conjunto de referencia | Usuarios de inicio de sesión de invitado | Contiene una lista de los nombres de usuario con inicio de sesión de invitado. |
| Conjunto de referencia | IP de destino de transferencia de datos legítima | Contiene una lista de IP de destino de transferencias de datos legítimas. |
| Conjunto de referencia | Categorías web malintencionadas | Contiene una lista de categorías web malintencionadas. |
| Conjunto de referencia | Carpetas de acceso público | Contiene una lista de carpetas de acceso público. |
| Conjunto de referencia | Directorios de archivos confidenciales | Contiene una lista de directorios de archivo de material restringido. |
La tabla siguiente muestra las búsquedas guardadas en IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Nombre | Descripción |
|---|---|
| Gran volumen de transferencia de datos de salida | Muestra todos los sucesos con gran volumen de transferencia de datos (mayor de 1 GB) hacia hosts remotos. |
| Gran volumen de transferencia de datos de salida a un host de almacenamiento de archivos | Muestra todos los sucesos con gran volumen de transferencia de datos (mayor de 1 GB) hacia hosts de almacenamiento de archivos. |
| Gran volumen de transferencia de datos de salida a IP o host malintencionado | Muestra todos los sucesos con gran volumen de transferencia de datos (mayor de 1GB GB) hacia hosts o IP malintencionados. |
| Transferencia de datos de salida lenta en varios días | Muestra todos los sucesos con gran volumen de transferencia de datos (mayor de 1 GB) hacia hosts remotos en varios días. |
| Transferencia de datos salientes lenta durante varios días, agrupada por Nombre de usuario e IP de origen | Muestra todos los sucesos con gran volumen de transferencia de datos (mayor de 1 GB) hacia hosts remotos en varios días, agrupados por nombre de usuario e IP de origen. |
| Transferencia de datos de salida lenta en varios meses | Muestra todos los sucesos con gran volumen de transferencia de datos (mayor de 1 GB) hacia hosts remotos en varios meses. |
| Gran volumen de transferencia de datos de salida | Muestra todos los flujos con gran volumen de transferencia de datos (mayor de 1 GB) hacia IP remotas. |
| Gran volumen de transferencia de datos de salida a una IP malintencionada | Muestra todos los flujos con gran volumen de transferencia de datos (mayor de 1 GB) hacia IP maliciosas. |
| Transferencia de datos de salida lenta en varios días | Muestra todos los flujos con gran volumen de transferencia de datos (mayor de 1 GB) hacia IP remotas en varios días. |
| Transferencia de datos salientes lenta durante varios días, agrupada por IP de origen | Muestra todos los flujos con gran volumen de transferencia de datos (mayor de 1 GB) hacia IP remotas en varios meses. |
| Transferencia de datos de salida lenta en varios meses | Muestra todos los flujos con gran volumen de transferencia de datos (mayor de 1 GB) hacia IP remotas en varios meses. |