UBA : Détecter les sessions SSH persistantes

L'application QRadar® User Entity Behavior Analytics (UEBA) prend en charge les cas d'utilisation basés sur des règles pour certaines anomalies comportementales.

UBA : Détecter les sessions SSH persistantes

Activation par défaut

Faux

Valeur Sense par défaut

10

Descriptif

Détecte les sessions SSH actives pendant plus de dix heures.

Règles de prise en charge

  • BB:UBA : Common Event Filters
  • BB:UBA : SSH Session Closed
  • BB:UBA : SSH Session Opened

Configuration requise

Pour une détection précise, cette règle requiert l'occurrence des deux événements SSH Opened et SSH Closed. Si la source de journal utilisée ne comporte pas l'eventID correspondant à chacun de ces deux événements, les résultats reçus risquent d'être inexacts. Consultez la liste des sources de données pour déterminer les ID d'événement de la source de journal utilisée.

Types de source de journal (SSH Opened)

Centrify Infrastructure Services (ID d'événement : 27100, 27104)

Cisco IOS (ID d'événement : %SSH-5-SSH2_SESSION, %SSH-SW2-5-SSH2_SESSION)

Custom Rule Engine (ID d'événement : 18037, 3071)

Cyber-Ark Vault (ID d'événement : 378)

Extreme XSR Security Routers (ID d'événement : NEW_SSH_CONNECTION)

Flow Classification Engine (ID d'événement : 3071, 18037)

Huawei S Series Switch (ID d'événement : SSH/4/SFTP_REQ_RECORD)

HyTrust CloudControl (ID d'événement : AUN0120, unknown)

IBM AIX Server (ID d'événement : sshd2 connection established, ssh-server connect, ssh-server session open)

IBM DataPower (EventID: 0x8100011e, 0x810001e4, 0x810001e5)

Juniper MX Series Ethernet Services Router (ID d'événement : SSH)

Juniper Networks AVT (ID d'événement : SSH)

Mac OS X (ID d'événement : OSX ssh session started)

OS Services Qidmap (ID d'événement : Connection from, pam_open_session, pam_sm_open_session)

Solaris Operating System Authentication Messages (ID d'événement : ssh session opened)

Universal DSM (ID d'événement : SSH Opened, SSH Session Started)

Types de source de journal (SSH Closed)

Aruba Mobility Controller (ID d'événement : sshd_disconnect)

Centrify Infrastructure Services (ID d'événement : 27102)

Cisco IOS (ID d'événement : %SSH-5-SSH_CLOSE, %SSH-SW2-5-SSH2_CLOSE, %SSH-5-SSH2_CLOSE)

Custom Rule Engine (ID d'événement : 3072, 18038, 18040)

Cyber-Ark Vault (ID d'événement : 380, 381)

Flow Classification Engine (ID d'événement : 3072, 18038, 18040)

Huawei S Series Switch (ID d'événement : SSH/6/RECV_DISCONNECT)

IBM AIX Server (ID d'événement : ssh-server disconnect, sshd2 connection lost, SSH Disconnect, sshd2 local disconnect, ssh-server session close)

OS Services Qidmap (ID d'événement : Done with connection, pam_sm_close_session, pam_close_session, Did not receive identification string, Connection timed out, Received disconnect from IP, Connection closed)

Pulse Secure Pulse Connect Secure (ID d'événement : GWE24572)

Universal DSM (ID d'événement : SSH Terminated, SSH Session Finished, SSH Closed)