UEBA : サービスまたはマシンアカウントでアクセスされたUnix/ Linux システム
QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。
UEBA : サービスまたはマシンアカウントでアクセスされたUnix/ Linux® システム
デフォルトで有効
いいえ
デフォルトの senseValue
15
デフォルト senseValueSource
10
デフォルト senseValueDestination
10
説明
UNIX および Linux サーバーのサービス・アカウントまたはマシン・アカウントによって開始された対話式セッション (GUI および CLI、ローカル・ログインとリモート・ログインの両方) を検出します。 アカウントおよび許可される対話式セッションは、「UBA : Service, Machine Account」および「UBA : Allowed Interaction Session」の各リファレンス・セットにリストされています。 環境でフラグを立てる対話式セッションを追加または削除するには、これらのリファレンス・セットを編集します。
サポート・ルール
- BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
- BB:CategoryDefinition: Firewall or ACL Accept
- BB:CategoryDefinition: Authentication Success
必須の構成
リファレンス・セット「UBA : サービスおよびマシン・アカウント (UBA : Service, Machine Account)」および「UBA : 許可された対話式セッション (UBA : Allowed Interactive Session)」に適切な値を追加します。
ログ・ソース・タイプ
Linux OS