UEBA : 企業ファイアウォールにリモートアクセスの穴

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UEBA : 企業ファイアウォールにリモートアクセスの穴

デフォルトで有効

いいえ

デフォルトの senseValue

10

デフォルト senseValueSource

10

説明

GotoMyPC アプリケーションと OpenVPN アプリケーションによって作成されたファイアウォール内にリモート・アクセス・ホールがあるときに検出します。

サポート・ルール

  • BB:UBA : GoToMyPC ポートおよび OpenVPN ポート (BB:UBA : GoToMyPC and OpenVPN ports)
  • BB:UBA : Gotomypc プロセスの作成および Openvpn ファイルの作成 (BB:UBA : Gotomypc Process Creation and Openvpn File Creation)
  • BB:UBA : 共通ログ・ソース・フィルター (BB:UBA : Common Log Source Filters)

必須の構成

カスタム・プロパティー「ファイル名」および「プロセス・コマンド行」が定義されている必要があります。
注: Process Commandline matches: g2tray\.exe or Filename matches. * ¥. (ovpn) over ports 8200, 1194 or 943

管理者設定 ]→[ UBA設定] で、ユーザー名がイベントまたはフローデータで利用できない場合に、ユーザー名でアセットを検索する機能を有効にします。

ログ・ソース・タイプ

Microsoft Windows セキュリティー・イベント・ログ