UEBA : 使用済みアカウント
QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。
UEBA : 使用済みアカウント。 (旧称「UBA : 孤立、取り消し、または中断状態のアカウントが使用されました」)
デフォルトで有効
いいえ
デフォルトの senseValue
10
デフォルト senseValueSource
10
説明
ユーザーが無効なアカウントまたは期限切れのアカウントでローカル・システムにログインしようとしたことを示します。 このルールは、アカウントが危険にさらされたことを示す場合もあります。
必須ではありませんが、 、 イベントまたはフロー・データでユーザー名が利用できない場合に、ユーザー名でのアセット検索を 有効にすることができます。
サポート・ルール
- BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
- BB:CategoryDefinition: Authentication to Expired Account
- BB:UBA : 期限切れのアカウント (BB:UBA : Expired Accounts) (Kerberos)
ログ・ソース・タイプ
Extreme Dragon Network IPS (イベント ID: HOST:WIN:532-ACCOUNT-EXPIRED、HOST:WIN:535-PWD-EXPIRED)
Microsoft Windows セキュリティー・イベント・ログ (イベント ID: 532、535、4768、4771、4772、4625、4776)
IBM Proventia Network Intrusion Prevention System (IPS) (イベント ID: Failed_login-account_expired、Failed_login-password_expired、NovellEdirectoryExpiredAccounts、SolarisUseraddExpiredAccounts)
Catalyst スイッチ用 Cisco CatOS (イベント ID: HA_POLICY_TIMER_EXPIRED)
Juniper Junos OS プラットフォーム (イベント ID: LOGIN_PASSWORD_EXPIRED)
Microsoft IAS サーバー (イベント ID: IAS_ACCOUNT_EXPIRED)