UBA : Locky による IOC の検出

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UBA : Locky による IOC の検出

デフォルトで有効

いいえ

デフォルトの senseValue

10

説明

X-Force キャンペーン・フィードから取り込まれる URL または IP を使用して、Locky による危殆化を示す痕跡 (IOC) があるユーザー・コンピューターを検出します。

サポート・ルール

  • BB:UBA : 共通ログ・ソース・フィルター (BB:UBA : Common Log Source Filters)
  • BB:UBA : IP を使用した Locky の検出 (BB:UBA : Detect Locky Using IP)
  • BB:UBA : URL を使用した Locky の検出 (BB:UBA : Detect Locky Using URL)

必須の構成

  • リファレンス・セット「UBA : IOC-Locky IP」および「UBA : IOC-Locky URL」に適切な値を追加します。
  • 「管理設定」 > 「UBA 設定」「ユーザー名の検索 (ユーザー名がイベント・データまたはフロー・データに使用できない場合)」 を有効にします。

ログ・ソース・タイプ

すべてのサポート対象ログ・ソース