UEBA : データ流出に続く不審なアクセス

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UEBA : データ流出に続く不審なアクセス

デフォルトで有効

いいえ

デフォルトの senseValue

15

デフォルト senseValueSource

15

デフォルト senseValueDestination

15

説明

異常な場所、制限された場所、または禁止された場所からのデータ・アクセスに続くデータ引き出しの試行を検出します。

サポート・ルール

  • BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
  • BB:UBA : データ引き出し (BB:UBA : Data Exfiltration)
  • UBA : 制限された場所からのユーザー・アクセス
  • UBA : 禁止された場所からのユーザー・アクセス
  • UBA : User Geography, Access from Unusual Locations

必須の構成

以下のルールを有効化します。
  • UBA : 制限された場所からのユーザー・アクセス
  • UBA : 禁止された場所からのユーザー・アクセス
  • UBA : User Geography, Access from Unusual Locations

ログ・ソース・タイプ

Cisco Stealthwatch (イベント ID: 45)

IBM Security Trusteer Apex Advanced Malware Protection (イベント ID: ConnectionCreate.Connection_Test, CerberusNG.ent_create_remote_thread, ConnectionCreate.in_suspend_state, ConnectionCreate.orphant_thread_connect, close.file_inspection, processcreate.file_inspection)

Skyhigh Networks Cloud Security Platform (イベント ID: 10003、10004)