UEBA : サービスまたはマシンアカウントでアクセスされたUnix/ Linux システム

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UEBA : サービスまたはマシンアカウントでアクセスされたUnix/ Linux® システム

デフォルトで有効

いいえ

デフォルトの senseValue

15

デフォルト senseValueSource

10

デフォルト senseValueDestination

10

説明

UNIX および Linux サーバーのサービス・アカウントまたはマシン・アカウントによって開始された対話式セッション (GUI および CLI、ローカル・ログインとリモート・ログインの両方) を検出します。 アカウントおよび許可される対話式セッションは、「UBA : Service, Machine Account」および「UBA : Allowed Interaction Session」の各リファレンス・セットにリストされています。 環境でフラグを立てる対話式セッションを追加または削除するには、これらのリファレンス・セットを編集します。

サポート・ルール

  • BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
  • BB:CategoryDefinition: Firewall or ACL Accept
  • BB:CategoryDefinition: Authentication Success

必須の構成

リファレンス・セット「UBA : サービスおよびマシン・アカウント (UBA : Service, Machine Account)」および「UBA : 許可された対話式セッション (UBA : Allowed Interactive Session)」に適切な値を追加します。

ログ・ソース・タイプ

Linux OS