UBA : ユーザーによる疑わしいアプリケーションのインストール

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

以下のルールがサポートされます。
  • UBA : ユーザーによる疑わしいアプリケーションのインストール
  • UBA : Populate Authorized Applications

デフォルトで有効

いいえ

デフォルトの senseValue

15

説明

アプリケーションのインストール・イベントを検出し、疑わしいアプリケーションが検出されたときに警告します。 注: リファレンス・セット「UBA : Authorized Applications」には、組織で許可されているアプリケーション名を取り込みます。 ルール「UBA : Populate Authorized Applications」を短期間有効にして、このリファレンス・セットにデータを取り込むことができます。

ルール「UBA : Populate Authorized Applications」により、このルールが有効な間にインストールされたアプリケーションの名前がリファレンス・セット「UBA : Authorized Applications」に取り込まれます。 注: このルールはデフォルトでは無効になっています。 ユーザーがアプリケーションをインストールしている間に名前を取り込むために、短期間有効にしてください。

ログ・ソース・タイプ

Microsoft Windows セキュリティー・イベント・ログ