UEBA : 使用不可のアカウントを使用しようとするユーザー
QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。
UEBA : 使用不可のアカウントを使用しようとするユーザー
デフォルトで有効
いいえ
デフォルトの senseValue
10
デフォルト senseValueSource
10
説明
ユーザーが、無効なアカウントを使用して組織のリソースにアクセスしようとしたときに検出します。
サポート・ルール
- BB:CategoryDefinition: Authentication to Disabled Account
- BB:UBA : 無効なアカウント (BB:UBA : Disabled Accounts) (Kerberos)
- BB:UBA : 共通ログ・ソース・フィルター (BB:UBA : Common Log Source Filters)
ログ・ソース・タイプ
Extreme Dragon Network IPS (イベント ID: HOST:TACACS:REJECTED-USER、HOST:TACACS:REJECTED-USER2、HOST:WIN:530-FAILED-RESTRICTED、HOST:WIN:531-ACCOUNT-DISABLED、HOST:WIN:533-FAILED-NOT-ALLOWED、HOST:WIN:539-ACCOUNT-LOCKED、HOST:WIN:DIAL-IN-LOCKOUT、HOST:WU-FTP:DISABLED-ACCOUNT)
Microsoft Windows セキュリティー・イベント・ログ (イベント ID: 530、531、533、534、644、1327、644、4769、4771、4773、4625 Account Disabled、4625 Account Expired、4625 Logon Outside Normal Time、4625 User Locked Out)
IBM Proventia Network Intrusion Prevention System (IPS) (イベント ID: Disabled Account Blank Pwd、Disabled Account User Pwd、Failed_login-account_disabled、Failed_login-account_locked_out、Failed_login-not_authorized_for_console_login、Failed_login-time_restriction_violation、Guessed Disabled Account Pwd、User_account_disabled、User_account_locked_out)
Cisco 侵入防御システム (IPS) (イベント ID: 3343)
Microsoft IAS サーバー (イベント ID: IAS_ACCOUNT_DISABLED、IAS_ACCOUNT_LOCKED_OUT、IAS_DIALIN_DISABLED、IAS_DIALIN_LOCKED_OUT)