UEBA : 不審な活動に続く最初のアクセス
QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。
UEBA : 不審な活動に続く最初のアクセス
デフォルトで有効
いいえ
デフォルトの senseValue
15
デフォルト senseValueSource
5
説明
フィッシングまたはマルウェアのアクティビティー後、24 時間以内に疑わしいアクセス・アクティビティーが発生するシナリオを検出します。 注 : この環境に適したルールをモニターするには、サポートされるビルディング・ブロックを編集します。
サポート・ルール
BB:UBA : 危険にさらされたアカウント - 初期アクセス (BB:UBA : Compromised Account - Initial Access)
BB:UBA : 危険にさらされたアカウント - 実行 (BB:UBA : Compromised Account - Execution)
- UBA : ユーザー地域の変更
- UBA : 無許可アクセス
- UBA : ユーザー・アクセス - 重要なアセットへのアクセスに失敗しました
- UBA : User Access Login Anomaly
- UBA : 匿名のソースからのアカウントにユーザーがアクセスしています
- UBA : アカウント、グループ、または特権の追加
- UBA : アカウント、グループ、または特権の変更
- UBA : 短期間でのユーザー・アカウントの作成と削除
- UBA : 休止アカウント使用の試み (UBA : Dormant Account Use Attempted)
- UBA : 休止アカウントが使用されました
- UBA : User Time, Access at Unusual Times
- UEBA : 不審な特権活動(まれに使用される特権)
必須の構成
サポートされているルールを参照してください。
ログ・ソース・タイプ
サポートされているルールを参照してください。