ルールの実装の変更
QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、一部のルールをサポートしなくなりました。 それらのルールで提供されていた機能は、アプリケーションに組み込まれるか、別個のコンテンツ・パックで使用可能になるか、機械学習モデルで実装されるようになりました。
UEBA 3.5.0 以降では、アップグレード中に一回限りのタスクが実行され、システム上で検出されたすべてのサポートされない UEBA ルールが無効になります。 これらのルールのいずれかが後で有効化された場合、それらのルールはアプリケーションによって再度無効にはされません。
以下の UEBA ルールおよびビルディング・ブロックのリストは、 UEBA アプリケーションではサポートされなくなりましたが、ルールまたはそのルールが提供する機能は引き続き使用可能です。
以下のルール、およびそれらが提供する機能は、 Machine
Learningによって管理されるようになりました。
- UBA : Abnormal Outbound Transfer AttemptsUBA : Abnormal Outbound Transfer Attempts Found
- UBA : Abnormal data volume to external domainUBA : 外部ドメインへの異常なデータ・ボリュームの検出
- UBA : リスクのあるリソースへの異常アクセス (UBA : Abnormal visits to Risky Resources)UBA : リスクのあるリソースへの異常アクセスの検出UBA : リスクのあるリソースにユーザーがアクセスしていますUBA : リスクのあるリソース
- UBA : User Behavior, Session Anomaly by DestinationUBA : User Behavior, Session Anomaly by Destination Found
- UBA : User Event Frequency Anomaly - CategoriesUBA : User Event Frequency Anomaly - Categories Found
- UBA : User Running New Process (UBA 3.8.0 では、「プロセス使用」ML ユーザー・モデルに置き換わりました)
- UBA : User Volume Activity Anomaly - Traffic to External DomainsUBA : User Volume Activity Anomaly - Traffic to External Domains Found
- UBA : User Volume Activity Anomaly - Traffic to Internal DomainsUBA : ユーザー・ボリューム・アクティビティー異常 - 内部ドメインへのトラフィック検出 (UBA : User Volume Activity Anomaly - Traffic to Internal Domains Found)
- UBA : User Volume of Activity Anomaly - TrafficUBA : User Volume of Activity Anomaly - Traffic Found
以下のルールとビルディング・ブロック、およびそれらが提供する機能は、 UEBA アプリケーション内で管理されるようになりました。
- UBA : User Has Gone Dormant (no activity anomaly rule)BB:UBA: Dormant User First Login (logic)
BB:UBA: Dormant User Subsequent Login (logic)
UBA: Username to User Accounts, Successful, Dormant - 新規アカウントUBA: ユーザー・アカウントへのユーザー名、成功、監視対象
UBA: ユーザー・アカウントへのユーザー名、成功、最近の
UBA: ユーザー・アカウントへのユーザー名、成功、最近の更新
BB:UBA: ユーザーの初回アクセス (ロジック)
以下のルールとビルディング・ブロック、およびそれらが提供する機能は、UEBA 以外のルールが UEBAと連携できるようにすることで処理されるようになりました。
- QNIUBA : QNI - 適切に保護されていないサービスへのアクセス - 証明書の有効期限切れ
UBA : QNI - 適切に保護されていないサービスへのアクセス - 証明書の無効
UBA : QNI - 適切に保護されていないサービスへのアクセス - 自己署名証明書
UBA : QNI - 適切に保護されていないサービスへのアクセス - 弱い公開鍵長
UBA :
UBA : QNI - マルウェアの脅威に関連する観測されたファイルハッシュ
UBA : QNI - 複数のホストで観測された観測されたファイルハッシュ
UBA : QNI - 拒否された電子メール受信者で検出された潜在的なスパム/フィッシングの試み
UBA : QNI - 複数の送信サーバーから検出された潜在的なスパム/フィッシングの件名 UBA : QNI - 外国の地理に転送される機密コンテンツ - SYSMONUBA : Suspicious PowerShell Activity
UBA : Suspicious PowerShell Activity (Asset)
UBA : Suspicious Command Prompt Activity
UBA : User Access Control Bypass Detected (Asset)
UBA : Suspicious Scheduled Task Activities
UBA :不審なサービス活動
UBA : Suspicious Service Activities (Asset)
UBA : Suspicious Entries in System Registry (Asset)
UBA : Suspicious Image Load Detected (Asset)
UBA :
UBA : Suspicious Pipe Activities (Asset)
UBA : Suspicious Activities on Compromised Hosts (Asset)
UBA : Suspicious Administrative Activities Detected (Asset)
UBA : Process Creating Suspicious Remote Threads Detected (Asset)
UBA : Common Exploit Tools Detected (Asset)
UBA : Common Exploit Tools Detected (Asset)
UBA : Malicious Process Detected (Asset)
UBA : Network Share Accessed (Asset) - スキャン行為UBA : DHCP サーバーの異常なスキャンの検出
UBA : DNS サーバーの異常なスキャンの検出
UBA : データベースサーバーの異常なスキャンの検出
UBA : FTP サーバーの異常なスキャンの検出
UBA :
UBA : 一般的な ICMP の異常なスキャン
UBA : 一般的な TCP の異常なスキャン
UBA : 一般的な UDP の異常なスキャン
UBA : IRC サーバーの異常なスキャン
UBA :
UBA : メールサーバーの異常なスキャンの検出
UBA : メッセージングサーバーの異常なスキャンの検出
UBA : P2P サーバーの異常なスキャンの検出
UBA : プロキシサーバーの異常なスキャンの検出
UBA :
UBA : RPC サーバーの異常なスキャンの検出 UBA : SNMP サーバーの異常なスキャンの検出
UBA : SSH サーバーの異常なスキャンの検出
UBA : ウェブサーバーの異常なスキャンの検出
UBA : Windows サーバーの異常なスキャンの検出