UEBA : データ流出に続く不審なアクセス
QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。
UEBA : データ流出に続く不審なアクセス
デフォルトで有効
いいえ
デフォルトの senseValue
15
デフォルト senseValueSource
15
デフォルト senseValueDestination
15
説明
異常な場所、制限された場所、または禁止された場所からのデータ・アクセスに続くデータ引き出しの試行を検出します。
サポート・ルール
- BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
- BB:UBA : データ引き出し (BB:UBA : Data Exfiltration)
- UBA : 制限された場所からのユーザー・アクセス
- UBA : 禁止された場所からのユーザー・アクセス
- UBA : User Geography, Access from Unusual Locations
必須の構成
以下のルールを有効化します。
- UBA : 制限された場所からのユーザー・アクセス
- UBA : 禁止された場所からのユーザー・アクセス
- UBA : User Geography, Access from Unusual Locations
ログ・ソース・タイプ
Cisco Stealthwatch (イベント ID: 45)
IBM Security Trusteer Apex Advanced Malware Protection (イベント ID: ConnectionCreate.Connection_Test, CerberusNG.ent_create_remote_thread, ConnectionCreate.in_suspend_state, ConnectionCreate.orphant_thread_connect, close.file_inspection, processcreate.file_inspection)
Skyhigh Networks Cloud Security Platform (イベント ID: 10003、10004)