UEBA: WannaCry のIOC検出

QRadar® User Behavior Analytics (UEBA)アプリケーションは、特定の行動異常に関するルールに基づくユースケースをサポートします。

UEBA: WannaCry のIOC検出

デフォルトで有効

いいえ

デフォルトの senseValue

10

デフォルト senseValueSource

10

説明

X-Force キャンペーン・フィードから取り込まれる URL、IP、またはハッシュを使用して、WannaCry による危殆化を示す痕跡 (IOC) があるユーザー・コンピューターを検出します。

サポート・ルール

  • BB:UBA : 共通ログ・ソース・フィルター (BB:UBA : Common Log Source Filters)
  • BB:UBA : ハッシュを使用した WannaCry の検出 (BB:UBA : Detect WannaCry Using Hashes)
  • BB:UBA : IP を使用した WannaCry の検出 (BB:UBA : Detect WannaCry Using IP)
  • BB:UBA : URL を使用した WannaCry の検出 (BB:UBA : Detect WannaCry Using URL)

必須の構成

  • リファレンス・セット「UBA : マルウェア・アクティビティー WannaCry - ハッシュ (UBA : Malware Activity WannaCry - Hash)」、「UBA : マルウェア・アクティビティー WannaCry - IP (UBA : Malware Activity WannaCry - IP)」、および「UBA : マルウェア・アクティビティー WannaCry - URL (UBA : Malware Activity WannaCry - URL)」に適切な値を追加します。
  • 管理設定 > UBA設定、イベントまたはフローデータにユーザー名が利用できない場合に、ユーザー名によるアセット検索を有効にします。

ログ・ソース・タイプ

すべてのサポート対象ログ・ソース