UEBA : 外部ドメインに対する大量のアクセス拒否イベント

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UEBA : 外部ドメインに対する大量のアクセス拒否イベント

デフォルトで有効

いいえ

デフォルトの senseValue

10

デフォルト senseValueSource

10

説明

拒否された外部ドメインへのアクセス・イベントが異常な数であるときに検出します。

サポート・ルール

BB:UBA : 共通ログ・ソース・フィルター (BB:UBA : Common Log Source Filters)

必須の構成

管理者設定 ]→[ UBA設定] で、ユーザー名がイベントまたはフローデータで利用できない場合に、ユーザー名でアセットを検索する機能を有効にします。

ログ・ソース・タイプ

Access.Access 拒否、Access.ACL 拒否、Access.Firewall 拒否、Access.IPS 拒否