UEBA : 使用済みアカウント

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UEBA : 使用済みアカウント。 (旧称「UBA : 孤立、取り消し、または中断状態のアカウントが使用されました」)

デフォルトで有効

いいえ

デフォルトの senseValue

10

デフォルト senseValueSource

10

説明

ユーザーが無効なアカウントまたは期限切れのアカウントでローカル・システムにログインしようとしたことを示します。 このルールは、アカウントが危険にさらされたことを示す場合もあります。

必須ではありませんが、 Admin Settings > UBA Settingsでイベントまたはフロー・データでユーザー名が利用できない場合に、ユーザー名でのアセット検索を 有効にすることができます。

サポート・ルール

  • BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
  • BB:CategoryDefinition: Authentication to Expired Account
  • BB:UBA : 期限切れのアカウント (BB:UBA : Expired Accounts) (Kerberos)

ログ・ソース・タイプ

Extreme Dragon Network IPS (イベント ID: HOST:WIN:532-ACCOUNT-EXPIRED、HOST:WIN:535-PWD-EXPIRED)

Microsoft Windows セキュリティー・イベント・ログ (イベント ID: 532、535、4768、4771、4772、4625、4776)

IBM Proventia Network Intrusion Prevention System (IPS) (イベント ID: Failed_login-account_expired、Failed_login-password_expired、NovellEdirectoryExpiredAccounts、SolarisUseraddExpiredAccounts)

Catalyst スイッチ用 Cisco CatOS (イベント ID: HA_POLICY_TIMER_EXPIRED)

Juniper Junos OS プラットフォーム (イベント ID: LOGIN_PASSWORD_EXPIRED)

Microsoft IAS サーバー (イベント ID: IAS_ACCOUNT_EXPIRED)