UEBA : 社外ネットワークから役員以外のユーザーがアクセスする役員専用資産

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UEBA : 社外ネットワークから役員以外のユーザーがアクセスする役員専用資産

デフォルトで有効

いいえ

デフォルトの senseValue

15

デフォルト senseValueSource

15

デフォルト senseValueDestination

15

説明

外部ネットワークの非エグゼクティブ・ユーザーがエグゼクティブ使用のアセットにログオンしたことを検出します。 このルールと共に 2 個の空のリファレンス・セット「UBA : Executive Users」および「UBA : Executive Assets」がインポートされます。 環境でフラグを立てるアカウントおよび IP アドレスを追加または削除するには、これらのリファレンス・セットを編集します。 リファレンス・セットの構成後にこのルールを有効にしてください。

サポート・ルール

BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)

必須の構成

リファレンス・セット「UBA : エグゼクティブ・ユーザー (UBA : Executive Users)」および「UBA : エグゼクティブ・アセット (UBA : Executive Assets)」に適切な値を追加します。 カスタム・プロパティー「ログオン・タイプ」(カスタム) が定義されている必要があります。

ログ・ソース・タイプ

Microsoft Windows セキュリティー・イベント・ログ (イベント ID: 4624)