UEBA : 社内ネットワークから役員以外のユーザーがアクセスする役員専用資産
QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。
UEBA : 社内ネットワークから非役員ユーザーがアクセスする役員専用資産(旧称:UBA : 非役員ユーザーがアクセスする役員専用資産)
デフォルトで有効
いいえ
デフォルトの senseValue
15
デフォルト senseValueSource
15
デフォルト senseValueDestination
15
説明
非エグゼクティブ・ユーザーがエグゼクティブ専用のアセットにログオンしたことを検出します。 このルールと共に 2 個の空のリファレンス・セット「UBA : Executive Users」および「UBA : Executive Assets」がインポートされます。 環境でフラグを立てるアカウントおよび IP アドレスを追加または削除するには、これらのリファレンス・セットを編集します。 リファレンス・セットの構成後にこのルールを有効にしてください。
サポート・ルール
BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
必須の構成
- リファレンス・セット「UBA : エグゼクティブ・ユーザー (UBA : Executive Users)」および「UBA : エグゼクティブ・アセット (UBA : Executive Assets)」に適切な値を追加します。
- カスタム・プロパティー「ログオン・タイプ」が定義されている必要があります。
ログ・ソース・タイプ
Microsoft Windows セキュリティー・イベント・ログ (イベント ID: 4624)