Anomalia rete
Utilizzare l'estensione IBM Security QRadar Network Anomaly Content Extension per monitorare da vicino le anomalie.
Importante per evitare errori di contenuto in questa estensione di contenuto, tenere aggiornati i DSM associati. I DSM vengono aggiornati come parte degli aggiornamenti automatici. Se gli aggiornamenti automatici non sono abilitati, scaricare la versione più recente dei DSM associati da IBM® Fix Central (https://www.ibm.com/support/fixcentral).
Questa estensione del contenuto include uno o più dashboard Pulse. Per ulteriori informazioni sui dashboard Pulse, consultare QRadar app Pulse.
- IBM Security QRadar Network Anomaly Content Extension 1.1.1
- IBM Security QRadar Network Anomaly Content Extension 1.1.0
- IBM Security QRadar Network Anomaly Content Extension 1.0.3
- IBM Security QRadar Network Anomaly Content Extension 1.0.2
- IBM Security QRadar Network Anomaly Content Extension 1.0.1
- IBM Security QRadar Network Anomaly Content Extension 1.0.0
IBM Security QRadar Network Anomaly Content Extension 1.1.1
La seguente tabella mostra le regole che vengono aggiornate in IBM Security QRadar Network Anomaly Content Extension 1.1.1.
| Nome | Descrizione |
|---|---|
| Numero sospetto di blocchi account | Si attiva quando lo stesso utente viene bloccato per un numero inusuale di volte. Nota: ottimizza questa regola in base ai requisiti di conformità.
Utilizzato per essere denominato Numero insolitamente elevato di blocchi account per lo stesso utente. |
| Numero sospetto di login dello stesso utente a più periferiche | Si attiva quando lo stesso utente tenta di accedere a più dispositivi in un breve periodo di tempo. Nota: ottimizza questa regola in base ai requisiti di conformità.
|
IBM Security QRadar Network Anomaly Content Extension 1.1.0
La seguente tabella mostra le regole e i blocchi di creazione aggiornati in IBM Security QRadar Network Anomaly Content Extension 1.1.0.
| Tipo | Nome | Descrizione |
|---|---|---|
| Blocco di generazione | BB:HostDefinition: Server di posta | Modificare questo blocco di generazione per definire i server di posta tipici. Questo building block viene utilizzato insieme a BB:False Positive: Categorie di falsi positivi del server di posta e BB:FalsePositve: Eventi falsi positivi del server di posta. |
| Blocco di generazione | BB:Violazione politica: violazione politica IM IRC: comunicazioni IM | Identifica i flussi che sono stati identificati come comunicazioni di messaggistica istantanea. |
| Blocco di generazione | BB:Violazione della politica: Violazione della politica di posta: Mittente posta in uscita | Identifica i flussi che mostrano un host che invia posta agli host remoti. |
| Regola | Anomalia: salto DMZ | Si attiva quando le connessioni sembrano essere collegate tramite bridge nella DMZ della rete. |
| Regola | Conformità: Traffico dalla DMZ alla rete interna | Si attiva quando il traffico viene passato dalla DMZ a una rete interna. Ciò non è di norma consentito in base ai regolamenti di conformità. È necessario assicurarsi che l'oggetto DMZ nella gerarchia di rete sia definito, prima di abilitare questa regola. |
| Regola | Viaggio impossibile rilevato | Si attiva quando viene rilevata una corretta autenticazione da ubicazioni impossibili da raggiungere in un breve periodo di tempo in base alla velocità di viaggio e alla distanza. |
| Regola | Locale: SSH o Telnet rilevati su una porta non standard | Si attiva quando una comunicazione FTP remota viene osservata su una porta non standard. La porta predefinita per FTP è la porta TCP 21. Il rilevamento di FTP su altre porte può indicare un host sfruttato, in cui l'aggressore ha installato questo servizio per fornire l'accesso backdoor all'host. |
| Regola | Locale: SSH o Telnet rilevati su una porta non standard | Si attiva quando viene osservata una comunicazione SSH o Telnet locale su una porta non standard. Le porta predefinite per i server SSH e Telnet sono le porte TCP 22 e 23. Il rilevamento di SSH o Telnet operativi su altre porte potrebbe indicare un host sottoposto ad exploit, dove l'aggressore ha installato questi server per fornire un accesso backdoor all'host. |
| Regola | Remoto: FTP rilevato su porta non standard | Si attiva quando una comunicazione FTP remota viene osservata su una porta non standard. La porta predefinita per FTP è la porta TCP 21. Il rilevamento di FTP su altre porte può indicare un host sfruttato, in cui l'aggressore ha installato questo servizio per fornire l'accesso backdoor all'host. |
| Regola | Remoto: client P2P locale connesso a più di 100 server | Si attiva quando un host locale opera come client Peer - to - Peer (P2P). Questo indica una violazione della politica di rete locale e può indicare delle attività non consentite, come ad esempio una violazione del copyright. |
| Regola | Remoto: Rilevato client P2P locale | Si attiva quando un host locale opera come client Peer - to - Peer (P2P). Questo indica una violazione della politica di rete locale e può indicare delle attività non consentite, come ad esempio una violazione del copyright. |
| Regola | Remoto: Rilevato server P2P locale | Viene attivato quando un host locale opera come server Peer - to - Peer (P2P). Questo indica una violazione della politica di rete locale e può indicare delle attività non consentite, come ad esempio una violazione del copyright. |
| Regola | Remoto: possibile tunneling | Si attiva quando è possibile il tunneling, che può indicare un bypass della politica o che viene rilevato un sistema infetto. |
| Regola | Remoto: Mittente posta SMTP | Si attiva quando un host locale invia un numero elevato di flussi SMTP dalla stessa origine a Internet, in un intervallo. Questo potrebbe indicare che è presente un servizio di mailing di massa, un worm o un relay di spam. |
| Regola | Remoto: Rilevato SSH o Telnet su una porta non standard | Si attiva quando viene osservata una comunicazione SSH o Telnet remota su una porta non standard. Le porta predefinite per i server SSH e Telnet sono le porte TCP 22 e 23. Il rilevamento di SSH o Telnet operativi su altre porte potrebbe indicare un host sottoposto ad exploit, dove l'aggressore ha installato questi server per fornire un accesso backdoor all'host. |
| Regola | Remoto: quantità sospetta di traffico IM/Chat | Si attiva quando viene rilevata una quantità eccessiva di traffico IM/Chat da una singola origine. |
| Regola | IP singolo con più indirizzi MAC | Si attiva quando l'indirizzo MAC associato a un singolo indirizzo IP cambia più volte in un periodo di tempo. |
| Regola | Accesso riuscito da una città specifica | Restituisce i dati sulla posizione, forniti da MaxMind, per un indirizzo IP selezionato e popola la tabella di riferimento Impossible Travel. |
| Regola | Sistemi che utilizzano protocolli diversi | Si attiva quando i sistemi locali si collegano a Internet su più di 50 porte DST in un'ora. Le connessioni devono essere stabilite con esito positivo. Questa regola può essere modificata per rilevare anche le comunicazioni non riuscite, cosa che può essere anch'essa utile. |
| Regola | Numero insolito di periferiche collegate dallo stesso utente | Si attiva quando lo stesso utente sembra accedere a un numero anomalo di dispositivi in un breve periodo di tempo. |
| Regola | Numero insolitamente elevato di blocchi account per lo stesso utente | Si attiva quando lo stesso utente viene bloccato per un numero inusuale di volte. |
I seguenti blocchi di generazione e regole vengono rimossi in IBM Security QRadar Network Anomaly Content Extension 1.1.0. Sono disponibili per l'utilizzo nell'estensione del contenuto di conformità.
- BB:CategoryDefinition: Paesi/Regioni senza accesso remoto
- Numero eccessivo di accettazioni del firewall da più origini a una singola destinazione
- Accesso remoto da paese / regione esterni
- Comunicazione in entrata remota da un Paese / regione esterni
La seguente tabella mostra i dati di riferimento nuovi o aggiornati in IBM Security QRadarNetwork Anomaly Content Extension 1.1.0.
| Tipo | Nome | Descrizione |
|---|---|---|
| Tabella di riferimento | Viaggio impossibile | Contiene un elenco di indirizzi IP e nomi utente associati a specifiche città. |
| Tabella di riferimento | Utenti di viaggio impossibili | Contiene un elenco di utenti associati a viaggi impossibili in base alla velocità e alla distanza. |
| Dati di riferimento | importazioni_pulsanti | Parte del dashboard Pulse. |
IBM Security QRadar Network Anomaly Content Extension 1.0.3
L'estensione del contenuto non visualizza più un numero di regole non corretto.
IBM Security QRadar Network Anomaly Content Extension 1.0.2
La seguente tabella mostra le regole e i blocchi di creazione aggiornati in IBM Security QRadar Network Anomaly Content Extension 1.0.2.
| Tipo | Nome | Descrizione |
|---|---|---|
| Blocco di generazione | BB:DeviceDefinition: FW / Router / Switch | Blocco di generazione aggiornato con dispositivi FW/Router / Switch. |
| Regola | Numero eccessivo di accettazioni del firewall da più origini a una singola destinazione | Regola ridenominata come standard di denominazione. |
| Regola | Sistemi che utilizzano protocolli diversi | Regola ridenominata come standard di denominazione. |
| Regola | IP singolo con più indirizzi MAC | Regola ridenominata come standard di denominazione. |
IBM Security QRadar Network Anomaly Content Extension 1.0.1
La seguente tabella mostra le regole e i blocchi di generazione che vengono aggiornati in IBM Security QRadar Network Anomaly Content Extension 1.0.1.
| Tipo | Nome | Descrizione |
|---|---|---|
| Blocco di generazione | BB:DeviceDefinition: FW / Router / Switch | Nessun aggiornamento. Dipendente da un'altra regola e deve essere incluso nel framework di estensione. |
| Blocco di generazione | BB:HostDefinition: Server DHCP | Nessun aggiornamento. Dipendente da un'altra regola e deve essere incluso nel framework di estensione. |
| Blocco di generazione | BB:CategoryDefinition: Successful Communication | Nessun aggiornamento. Dipendente da un'altra regola e deve essere incluso nel framework di estensione. |
| Regola | Anomalia: un firewall eccessivo accetta da più origini a una singola destinazione | Aggiunta di una regola di test al blocco BB:DeviceDefinition: FW / Router / Switch. |
| Regola | Anomalia: sistemi che utilizzano protocolli diversi | Aggiunta di una regola di test al blocco BB:DeviceDefinition: FW / Router / Switch. |
| Regola | IP singolo con più indirizzi MAC | Aggiunta di una regola di test al blocco BB:HostDefinition: Server DHCP. |
IBM Security QRadar Network Anomaly Content Extension 1.0.0
La seguente tabella mostra le regole e i blocchi di creazione in IBM Security QRadar Network Anomaly Content Extension 1.0.0.
| Tipo | Nome | Descrizione |
|---|---|---|
| Blocco di generazione | BB:CategoryDefinition: Pre Reverse DMZ Jump | Identifica le azioni che possono essere visualizzate all'interno di uno scenario di salto DMZ. Viene utilizzato principalmente da Anomalia: DMZ Jumping e Anomalia: DMZ Reverse Tunnel. |
| Blocco di generazione | BB:CategoryDefinition: Autenticazione riuscita | Modificare questo blocco di generazione per includere tutti gli eventi che indicano tentativi riusciti di accesso alla rete. |
| Blocco di generazione | BB:CategoryDefinition: Paesi/Regioni senza accesso remoto | Modificare questo blocco di generazione per includere qualsiasi ubicazione geografica a cui in genere non è consentito l'accesso remoto all'azienda. Una volta configurata, è possibile abilitare la regola Anomalia: accesso remoto da paese / regione esterni . |
| Blocco di generazione | BB:CategoryDefinition: Firewall o ACL Accept | Modificare questo blocco di generazione per includere tutti gli eventi che indicano l'accesso al firewall. |
| Blocco di generazione | BB:CategoryDefinition: Reverse DMZ Jump | Identifica le azioni che possono essere visualizzate all'interno di uno scenario di salto DMZ. Viene utilizzato principalmente da Anomalia: DMZ Jumping e Anomalia: DMZ Reverse Tunnel. |
| Blocco di generazione | BB:CategoryDefinition: Successful Communication | Definisce i flussi che sono tipici di una comunicazione eseguita correttamente. È possibile che si desideri eliminare il rapporto a 64 byte / pacchetto, tuttavia ciò causerà un sacco di falsi positivi e potrebbe richiedere un'ulteriore ottimizzazione utilizzando indicatori e altre proprietà. |
| Blocco di generazione | BB:CategoryDefinition: Pre DMZ Jump | Identifica le azioni che possono essere visualizzate all'interno di uno scenario di salto DMZ. Viene utilizzato principalmente da Anomalia: DMZ Jumping e Anomalia: DMZ Reverse Tunnel. |
| Blocco di generazione | BB:CategoryDefinition: Post DMZ Jump | Identifica le azioni che possono essere visualizzate all'interno di uno scenario di salto DMZ. Viene utilizzato principalmente da Anomalia: DMZ Jumping e Anomalia: DMZ Reverse Tunnel. |
| Blocco di generazione | BB:DeviceDefinition: FW / Router / Switch | Definisce tutti i firewall, i router e gli switch sul sistema. |
| Blocco di generazione | BB:HostDefinition: Server DHCP | Modificare questo blocco di generazione per definire i tipici server DHCP. Questo building block viene utilizzato insieme a BB:False Positive: Categorie di falsi positivi del server DHCP e BB:FalsePositve: Eventi falsi positivi del server DHCP. |
| Blocco di generazione | BB:NetworkDefinition: Indirizzi DMZ | Aggiornare questo blocco di generazione per includere gli indirizzi inclusi nella DMZ. Questo blocco di generazione fa riferimento alla gerarchia di rete predefinita. Aggiornare questo blocco di generazione se si sta utilizzando una gerarchia di rete differente. |
| Regola | Numero eccessivo di accettazioni del firewall da più origini a una singola destinazione | Notifica un numero eccessivo di accettazioni firewall alla stessa destinazione da almeno 100 indirizzi IP di origine univoci in 5 minuti. |
| Regola | Tunnel inverso DMZ | Questa regola si attiva quando le connessioni sembrano essere collegate tramite bridge attraverso la DMZ della rete attraverso un tunnel inverso. |
| Regola | Comunicazione in entrata remota da un Paese / regione esterni | Notifica il traffico da un indirizzo IP di cui è nota l'ubicazione in un paese o una regione che non dispone del diritto di accesso remoto. Prima di abilitare questa regola, configurare il blocco BB:CategoryDefinition: Countries/Regions with no Remote Access. Potrebbe essere necessario rimuovere i server Web nella DMZ che vengono spesso analizzati da host remoti con scanner Web. |
| Regola | Accesso remoto da paese / regione esterni | Notifica i login eseguiti con esito positivo oppure l'accesso da un indirizzo IP di cui è nota l'ubicazione in un paese o una regione che non dispone del diritto di accesso remoto. Prima di abilitare questa regola, configurare il blocco BB:CategoryDefinition: Countries/Regions with no Remote Access. |
| Regola | IP singolo con più indirizzi MAC | Questa regola viene attiva quando l'indirizzo MAC viene modificato per un singolo indirizzo IP più volte in un periodo di tempo. |
| Regola | Sistemi che utilizzano protocolli diversi | Sistema locale che si connette a Internet su più di 50 porte DST in un'ora. Le connessioni devono essere stabilite con esito positivo. Questa regola può essere modificata per rilevare anche le comunicazioni non riuscite, cosa che può essere anch'essa utile. |