Anomalía de red
Utilice IBM Security QRadar Network Anomaly Content Extension para supervisar de cerca las anomalías.
Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. Los DSM se actualizan como parte de las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).
Esta extensión de contenido incluye uno o varios paneles de control de Pulse. Para obtener más información sobre los paneles de control de Pulse, consulte AplicaciónQRadar Pulse.
- IBM Security QRadar Network Anomaly Content Extension 1.1.1
- IBM Security QRadar Network Anomaly Content Extension 1.1.0
- IBM Security QRadar Network Anomaly Content Extension 1.0.3
- IBM Security QRadar Network Anomaly Content Extension 1.0.2
- IBM Security QRadar Network Anomaly Content Extension 1.0.1
- IBM Security QRadar Network Anomaly Content Extension 1.0.0
IBM Security QRadar Network Anomaly Content Extension 1.1.1
En la tabla siguiente se muestran las reglas que se actualizan en IBM Security QRadar Network Anomaly Content Extension 1.1.1.
| Nombre | Descripción |
|---|---|
| Número sospechoso de bloqueos de cuentas | Se desencadena cuando se bloquea al mismo usuario una cantidad inusual de veces. Nota: Ajuste esta regla de acuerdo con los requisitos de conformidad.
Anteriormente se denominada Número inusualmente alto de bloqueo de cuentas para el mismo usuario. |
| Número sospechoso de inicios de sesión del mismo usuario en varios dispositivos | Se desencadena cuando el mismo usuario intenta iniciar sesión en muchos dispositivos en un breve periodo. Nota: Ajuste esta regla de acuerdo con los requisitos de conformidad.
|
IBM Security QRadar Network Anomaly Content Extension 1.1.0
En la tabla siguiente se muestran las reglas y los bloques de construcción que se actualizan en IBM Security QRadar Network Anomaly Content Extension 1.1.0.
| Tipo | Nombre | Descripción |
|---|---|---|
| Bloque de construcción | BB:HostDefinition: Servidores de correo | Edite este bloque de construcción para definir servidores de correo típicos. Este bloque de construcción se utiliza junto con los bloques de construcción BB:FalsePositive: Categorías de falsos positivos del servidor de correo y BB:FalsePositive: Sucesos de falsos positivos del servidor de correo. |
| Bloque de construcción | BB:Policy Violation: Infracción de la política de la mensajería instantánea (MI) IRC: comunicaciones de MI | Identifica flujos que han sido identificados como comunicaciones de mensajería instantánea. |
| Bloque de construcción | BB:Policy Violation: Infracción de política de correo: Remitente de correo saliente | Identifica los flujos que muestran un host que envía correo a hosts remotos. |
| Regla | Anomalía: Salto de DMZ | Se desencadena cuando las conexiones parecen tener un puente a través de la DMZ de la red. |
| Regla | Conformidad: Tráfico de DMZ a red interna | Se desencadena cuando el tráfico se pasa de la DMZ a una red interna. Esto no suele estar permitido bajo las regulaciones de conformidad. Debe asegurarse de que el objeto DMZ de la jerarquía de red está definido antes de habilitar esta regla. |
| Regla | Se ha detectado un viaje imposible | Se desencadena cuando se detecta una autenticación satisfactoria desde ubicaciones que son imposibles de recorrer en un breve periodo de tiempo teniendo en cuenta la velocidad de desplazamiento y la distancia. |
| Regla | Local: SSH o Telnet detectado en puerto no estándar | Se desencadena cuando se observa una comunicación FTP remota en un puerto no estándar. El puerto predeterminado para FTP es el puerto TCP 21. La detección de FTP en otros puertos puede indicar un host explotado, donde el atacante ha instalado este servicio para proporcionar acceso de puerta trasera al host. |
| Regla | Local: SSH o Telnet detectado en puerto no estándar | Se desencadena cuando se observa una comunicación SSH o Telnet local en un puerto no estándar. El puerto predeterminado para los servidores SSH y Telnet es el puerto TCP 22 y 23. La detección de SSH o Telnet funcionando en otros puertos puede indicar un host explotado, en el que el atacante ha instalado estos servidores para proporcionar acceso de puerta trasera al host. |
| Regla | Remoto: FTP detectado en puerto no estándar | Se desencadena cuando se observa una comunicación FTP remota en un puerto no estándar. El puerto predeterminado para FTP es el puerto TCP 21. La detección de FTP en otros puertos puede indicar un host explotado, donde el atacante ha instalado este servicio para proporcionar acceso de puerta trasera al host. |
| Regla | Remoto: Cliente P2P local conectado a más de 100 servidores | Se desencadena cuando un host local funciona como un cliente de igual a igual (P2P). Esto indica una violación de la política de la red local y puede indicar que se están produciendo actividades no permitidas, como, por ejemplo, una infracción del copyright. |
| Regla | Remoto: Cliente P2P local detectado | Se desencadena cuando un host local funciona como un cliente de igual a igual (P2P). Esto indica una violación de la política de la red local y puede indicar que se están produciendo actividades no permitidas, como, por ejemplo, una infracción del copyright. |
| Regla | Remoto: Servidor P2P local detectado | Se desencadena cuando un host local funciona como un servidor de igual a igual (P2P). Esto indica una violación de la política de la red local y puede indicar que se están produciendo actividades no permitidas, como, por ejemplo, una infracción del copyright. |
| Regla | Remoto: Posible ejecución en túnel | Se desencadena cuando existe una posible ejecución en túnel, lo que puede indicar una omisión de una política o la detección de un sistema infectado. |
| Regla | Remoto: Remitente de correo SMTP | Se desencadena cuando un host local envía un gran número de flujos SMTP desde el mismo origen a Internet, en un solo intervalo. Esto puede indicar la existencia de un envío masivo de correos, un gusano o una retransmisión de correo no deseado. |
| Regla | Remoto: SSH o Telnet detectado en puerto no estándar | Se desencadena cuando se observa una comunicación SSH o Telnet remota en un puerto no estándar. El puerto predeterminado para los servidores SSH y Telnet es el puerto TCP 22 y 23. La detección de SSH o Telnet funcionando en otros puertos puede indicar un host explotado, en el que el atacante ha instalado estos servidores para proporcionar acceso de puerta trasera al host. |
| Regla | Remoto: Cantidad sospechosa de tráfico de mensajería instantánea/chat | Se desencadena cuando se detecta una cantidad excesiva de tráfico de IM/Chat desde un único origen. |
| Regla | IP única con varias direcciones MAC | Se desencadena cuando la dirección MAC asociada a una única dirección IP cambia varias veces en un periodo de tiempo. |
| Regla | Inicio de sesión satisfactorio desde una ciudad específica | Devuelve datos de ubicación, proporcionados por MaxMind, para una dirección IP seleccionada y rellena la tabla de referencia de Viajes imposibles. |
| Regla | Los sistemas utilizan demasiados protocolos distintos | Se desencadena cuando se conectan sistemas locales a Internet en más de 50 puertos DST en una hora. Las conexiones deben ser satisfactorias. Esta regla se puede editar para detectar también las comunicaciones fallidas, lo que también puede resultar de utilidad. |
| Regla | Número inusual de inicios de sesión en dispositivos realizados por el mismo usuario | Se desencadena cuando el mismo usuario parece iniciar una sesión en un número anormal de dispositivos en un breve periodo de tiempo. |
| Regla | Número inusualmente alto de bloqueos de cuentas para el mismo usuario | Se desencadena cuando se bloquea al mismo usuario una cantidad inusual de veces. |
Los siguientes bloques de construcción y reglas se eliminan en IBM Security QRadar Network Anomaly Content Extension 1.1.0. Están disponibles para su uso en Compliance Content Extension.
- BB:CategoryDefinition: Países/Regiones sin acceso remoto
- Número excesivo de aceptaciones del cortafuegos desde distintos orígenes hacia un único destino
- Acceso remoto desde un país/región extranjero
- Comunicación de entrada remota desde un país/región extranjero
La tabla siguiente muestra los datos de referencia nuevos o actualizados en IBM Security QRadarNetwork Anomaly Content Extension 1.1.0.
| Tipo | Nombre | Descripción |
|---|---|---|
| Tabla de referencia | Viajes imposibles | Contiene una lista de direcciones IP y nombres de usuario asociados con ciudades específicas. |
| Tabla de referencia | Usuarios de viajes imposibles | Contiene una lista de usuarios asociados con viajes imposibles teniendo en cuenta la velocidad y la distancia. |
| Datos de referencia | pulse_imports | Parte del panel de control de Pulse. |
IBM Security QRadar Network Anomaly Content Extension 1.0.3
La extensión de contenido ya no visualiza un número incorrecto de reglas.
IBM Security QRadar Network Anomaly Content Extension 1.0.2
En la tabla siguiente se muestran las reglas y los bloques de construcción que se actualizan en IBM Security QRadar Network Anomaly Content Extension 1.0.2.
| Tipo | Nombre | Descripción |
|---|---|---|
| Bloque de construcción | BB:DeviceDefinition: cortafuegos / direccionador / conmutador | Bloque de construcción actualizado con dispositivos FW/Router/Switch (cortafuegos / direccionador / conmutador). |
| Regla | Número excesivo de aceptaciones del cortafuegos desde distintos orígenes hacia un único destino | Regla renombrada a estándar de denominación. |
| Regla | Los sistemas utilizan demasiados protocolos distintos | Regla renombrada a estándar de denominación. |
| Regla | IP única con varias direcciones MAC | Regla renombrada a estándar de denominación. |
IBM Security QRadar Network Anomaly Content Extension 1.0.1
En la tabla siguiente se muestran las reglas y los componentes básicos que se actualizan en IBM Security QRadar Network Anomaly Content Extension 1.0.1.
| Tipo | Nombre | Descripción |
|---|---|---|
| Bloque de construcción | BB:DeviceDefinition: cortafuegos / direccionador / conmutador | Sin actualizaciones. Depende de otra regla y se debe incluir en la infraestructura de la extensión. |
| Bloque de construcción | BB:HostDefinition: servidores DHCP | Sin actualizaciones. Depende de otra regla y se debe incluir en la infraestructura de la extensión. |
| Bloque de construcción | BB:CategoryDefinition: comunicación correcta | Sin actualizaciones. Depende de otra regla y se debe incluir en la infraestructura de la extensión. |
| Regla | Anomalía: número excesivo de aceptaciones del cortafuegos desde distintos orígenes hacia un único destino | Añadida una prueba de regla al bloque de construcción BB:DeviceDefinition: cortafuegos/direccionador/conmutador. |
| Regla | Anomalía: los sistemas utilizan demasiados protocolos distintos | Añadida una prueba de regla al bloque de construcción BB:DeviceDefinition: cortafuegos/direccionador/conmutador. |
| Regla | IP única con varias direcciones MAC | Añadida una prueba de regla al bloque de construcción BB:HostDefinition: servidores DHCP. |
IBM Security QRadar Network Anomaly Content Extension 1.0.0
En la tabla siguiente se muestran las reglas y los bloques de construcción en IBM Security QRadar Network Anomaly Content Extension 1.0.0.
| Tipo | Nombre | Descripción |
|---|---|---|
| Bloque de construcción | BB:CategoryDefinition: Salto DMZ previo invertido | Identifica acciones que pueden verse dentro de una situación de salto DMZ. Lo utiliza principalmente Anomalía: salto DMZ y Anomalía: túnel invertido DMZ. |
| Bloque de construcción | BB:CategoryDefinition: Autenticación correcta | Edite este bloque de construcción para incluir todos los sucesos que indican intentos correctos de acceso a la red. |
| Bloque de construcción | BB:CategoryDefinition: Países/Regiones sin acceso remoto | Edite este bloque de construcción para incluir cualquier ubicación geográfica que normalmente no se permitiría acceso remoto a la empresa. Una vez configurado, puede habilitar la regla Anomalía: Acceso remoto desde país/región extranjero. |
| Bloque de construcción | BB:CategoryDefinition: Aceptación de cortafuegos o ACL | Edite este bloque de construcción para incluir todos los sucesos que indican acceso al cortafuegos. |
| Bloque de construcción | BB:CategoryDefinition: Salto DMZ invertido | Identifica acciones que pueden verse dentro de una situación de salto DMZ. Lo utiliza principalmente Anomalía: salto DMZ y Anomalía: túnel invertido DMZ. |
| Bloque de construcción | BB:CategoryDefinition: comunicación correcta | Define los flujos que son habituales en una comunicación satisfactoria. Puede bajar la tasa a 64 bytes/paquete; sin embargo, esto provocará un gran número de falsos positivos y puede requerir más ajustes mediante distintivos y otras propiedades. |
| Bloque de construcción | BB:CategoryDefinition: Salto previo DMZ | Identifica acciones que pueden verse dentro de una situación de salto DMZ. Lo utiliza principalmente Anomalía: salto DMZ y Anomalía: túnel invertido DMZ. |
| Bloque de construcción | BB:CategoryDefinition: Salto posterior DMZ | Identifica acciones que pueden verse dentro de una situación de salto DMZ. Lo utiliza principalmente Anomalía: salto DMZ y Anomalía: túnel invertido DMZ. |
| Bloque de construcción | BB:DeviceDefinition: cortafuegos / direccionador / conmutador | Define todos los cortafuegos, direccionadores y conmutadores del sistema. |
| Bloque de construcción | BB:HostDefinition: servidores DHCP | Edite este bloque de construcción para definir los servidores DHCP típicos. Este bloque de construcción se utiliza junto con los bloques de construcción BB:FalsePositive : Categorías de falsos positivos de servidor DHCP y BB:FalsePositive: Sucesos de falsos positivos de servidor DHCP. |
| Bloque de construcción | BB:NetworkDefinition: Direcciones DMZ | Actualice este bloque de construcción para incluir direcciones que estén en la DMZ. Este bloque de construcción hace referencia a la jerarquía de red predeterminada. Actualice este bloque de construcción si está utilizando una jerarquía de red diferente. |
| Regla | Número excesivo de aceptaciones del cortafuegos desde distintos orígenes hacia un único destino | Informa de un número excesivo de aceptaciones de cortafuegos al mismo destino desde al menos 100 direcciones IP de origen exclusivas en un plazo de 5 minutos. |
| Regla | Túnel DMZ invertido | Esta regla se activará cuando las conexiones parezcan tener un puente a través de la DMZ de la red a través de un túnel invertido. |
| Regla | Comunicación de entrada remota desde un país/región extranjero | Informa del tráfico desde una dirección IP que se sabe que está en un país o región que no tiene derechos de acceso remoto. Antes de habilitar esta regla, configure el bloque de construcción BB:CategoryDefinition: Países/Regiones sin acceso remoto. Es posible que tenga que eliminar servidores web en la DMZ que son a menudo sondeados por hosts remotos con exploradores web. |
| Regla | Acceso remoto desde un país/región extranjero | Informa de los inicios de sesión o el acceso satisfactorios desde una dirección IP que se sabe que está en un país o región que no tiene derechos de acceso remoto. Antes de habilitar esta regla, configure el bloque de construcción BB:CategoryDefinition: Países/Regiones sin acceso remoto. |
| Regla | IP única con varias direcciones MAC | Esta regla se desencadena cuando la dirección MAC de una única dirección IP cambia varias veces en un periodo de tiempo. |
| Regla | Los sistemas utilizan demasiados protocolos distintos | Un sistema local se conecta a Internet en más de 50 puertos DST en una hora. Las conexiones deben ser satisfactorias. Esta regla se puede editar para detectar también las comunicaciones fallidas, lo que también puede resultar de utilidad. |