UBA : モニター対象ログ・ソースへの複数セッション (NIS 指令)

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UBA : モニター対象ログ・ソースへの複数セッション (NIS 指令)

デフォルトで有効

いいえ

デフォルトの senseValue

15

説明

5 分以内に 1 人のユーザーから同じ QRadar ログ・ソース・システムへの 2 つを上回る接続が発生したことを検出します。

サポート・ルール

BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)

BB:CategoryDefinition: Authentication Success

必須の構成

リファレンス・セット「UBA : モニター対象ログ・ソース (NIS 指令)」に適切な値を追加します。

ログ・ソース・タイプ

Linux OS (イベント ID: CRYPTO_LOGIN, ANOM_ROOT_TRANS, Accepted Password, GRP_AUTH, session opened, Privilege escalation, CRED_ACQ, Accepted password, USER_LOGIN, Successful Login, password changed, LOGIN)

Microsoft Windows セキュリティー・イベント・ログ (イベント ID: Login succeeded for user, 18454, 193, 18455, 627, 4648, 1202, 680, 18453, 628, 621, 4624, 552, 672, 673_Attempt, 4672, 169, 10015, 10014, 678, 671, 6280, 4717, 4723, 4724, 540, 528, 673_Request, 673_Granted, 4776, 405, 5823, 1200, 682)