UEBA:安全でない、または非標準のプロトコルを検出

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UEBA:安全でない、または非標準のプロトコルを検出

デフォルトで有効

いいえ

デフォルトの senseValue

5

デフォルト senseValueSource

5

説明

セキュアでないまたは標準外のプロトコルと見なされる無許可のプロトコルで通信しているユーザーを検出します。 許可されるプロトコルは、「UBA : Ports of Authorized Protocols」リファレンス・セットにデフォルト値 0 (QRadar イベントのポート) でリストされています。 このルールを有効にする前に、ご使用の環境から「UBA : Ports of Authorized Protocols」リファレンス・セットを編集してフラグを設定してください。

サポート・ルール

  • BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
  • BB:UBA : 保護されていないポート (BB:UBA : Insecure Ports)

必須の構成

リファレンス・セット「UBA : 許可されたプロトコルのポート (UBA : Ports Of Authorized Protocols)」に適切な値を追加します。

ログ・ソース・タイプ

すべてのサポート対象ログ・ソース