UBA : VPN 証明書の共有

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UBA : VPN 証明書の共有

デフォルトで有効

いいえ

注: 「UBA: VPN 証明書の共有 (UBA: VPN Certificate Sharing)」ルールを使用する予定の場合は、Cisco Firewall DSM を以下のように更新する必要があります。
  • V7.3.1 以降の場合: DSM-CiscoFirewallDevices-7.3-20170619132427.noarch.rpm

デフォルトの senseValue

15

説明

このルールは、VPN イベントのユーザー名が「VPNSubjectcn」と等しくないことを検出します。 これは、VPN 証明書共有が発生していることを示す場合があります。 証明書共有や他の認証トークン共有は、誰が何を行ったかを識別するのを難しくする可能性があります。 これにより、危険にさらされた場合に次の段階に進むのが困難になる可能性があります。

サポート・ルール

  • BB:UBA : VPN マッピング (ロジック) (BB:UBA : VPN Mapping (logic))
  • UBA : Subject_CN and Username Map Update
  • UBA : Subject_CN and Username Mapping

これらのルールは、関連するリファレンス・セットを必要なデータで更新します。

必須の構成

以下のルールを有効化します。
  • UBA : Subject_CN and Username Map Update
  • UBA : Subject_CN and Username Mapping

ログ・ソース・タイプ

Cisco Adaptive Security Appliance (ASA)