ルールの実装の変更

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、一部のルールをサポートしなくなりました。 それらのルールで提供されていた機能は、アプリケーションに組み込まれるか、別個のコンテンツ・パックで使用可能になるか、機械学習モデルで実装されるようになりました。

UEBA 3.5.0 以降では、アップグレード中に一回限りのタスクが実行され、システム上で検出されたすべてのサポートされない UEBA ルールが無効になります。 これらのルールのいずれかが後で有効化された場合、それらのルールはアプリケーションによって再度無効にはされません。

以下の UEBA ルールおよびビルディング・ブロックのリストは、 UEBA アプリケーションではサポートされなくなりましたが、ルールまたはそのルールが提供する機能は引き続き使用可能です。

以下のルール、およびそれらが提供する機能は、 Machine Learningによって管理されるようになりました。
  • UBA : Abnormal Outbound Transfer Attempts
    UBA : Abnormal Outbound Transfer Attempts Found
  • UBA : Abnormal data volume to external domain
    UBA : 外部ドメインへの異常なデータ・ボリュームの検出
  • UBA : リスクのあるリソースへの異常アクセス (UBA : Abnormal visits to Risky Resources)
    UBA : リスクのあるリソースへの異常アクセスの検出
    UBA : リスクのあるリソースにユーザーがアクセスしています
    UBA : リスクのあるリソース
  • UBA : User Behavior, Session Anomaly by Destination
    UBA : User Behavior, Session Anomaly by Destination Found
  • UBA : User Event Frequency Anomaly - Categories
    UBA : User Event Frequency Anomaly - Categories Found
  • UBA : User Running New Process (UBA 3.8.0 では、「プロセス使用」ML ユーザー・モデルに置き換わりました)
  • UBA : User Volume Activity Anomaly - Traffic to External Domains
    UBA : User Volume Activity Anomaly - Traffic to External Domains Found
  • UBA : User Volume Activity Anomaly - Traffic to Internal Domains
    UBA : ユーザー・ボリューム・アクティビティー異常 - 内部ドメインへのトラフィック検出 (UBA : User Volume Activity Anomaly - Traffic to Internal Domains Found)
  • UBA : User Volume of Activity Anomaly - Traffic
    UBA : User Volume of Activity Anomaly - Traffic Found
以下のルールとビルディング・ブロック、およびそれらが提供する機能は、 UEBA アプリケーション内で管理されるようになりました。
  • UBA : User Has Gone Dormant (no activity anomaly rule)
    BB:UBA: Dormant User First Login (logic)
    BB:UBA: Dormant User Subsequent Login (logic)
    UBA: Username to User Accounts, Successful, Dormant
  • 新規アカウント
    UBA: ユーザー・アカウントへのユーザー名、成功、監視対象
    UBA: ユーザー・アカウントへのユーザー名、成功、最近の
    UBA: ユーザー・アカウントへのユーザー名、成功、最近の更新
    BB:UBA: ユーザーの初回アクセス (ロジック)
以下のルールとビルディング・ブロック、およびそれらが提供する機能は、UEBA 以外のルールが UEBAと連携できるようにすることで処理されるようになりました。
  • QNI
    UBA : QNI - 適切に保護されていないサービスへのアクセス - 証明書の有効期限切れ
    UBA : QNI - 適切に保護されていないサービスへのアクセス - 証明書の無効
    UBA : QNI - 適切に保護されていないサービスへのアクセス - 自己署名証明書
    UBA : QNI - 適切に保護されていないサービスへのアクセス - 弱い公開鍵長
    UBA :
    UBA : QNI - マルウェアの脅威に関連する観測されたファイルハッシュ
    UBA : QNI - 複数のホストで観測された観測されたファイルハッシュ
    UBA : QNI - 拒否された電子メール受信者で検出された潜在的なスパム/フィッシングの試み
    UBA : QNI - 複数の送信サーバーから検出された潜在的なスパム/フィッシングの件名 UBA : QNI - 外国の地理に転送される機密コンテンツ
  • SYSMON
    UBA : Suspicious PowerShell Activity
    UBA : Suspicious PowerShell Activity (Asset)
    UBA : Suspicious Command Prompt Activity
    UBA : User Access Control Bypass Detected (Asset)
    UBA : Suspicious Scheduled Task Activities
    UBA :不審なサービス活動
    UBA : Suspicious Service Activities (Asset)
    UBA : Suspicious Entries in System Registry (Asset)
    UBA : Suspicious Image Load Detected (Asset)
    UBA :
    UBA : Suspicious Pipe Activities (Asset)
    UBA : Suspicious Activities on Compromised Hosts (Asset)
    UBA : Suspicious Administrative Activities Detected (Asset)
    UBA : Process Creating Suspicious Remote Threads Detected (Asset)
    UBA : Common Exploit Tools Detected (Asset)
    UBA : Common Exploit Tools Detected (Asset)
    UBA : Malicious Process Detected (Asset)
    UBA : Network Share Accessed (Asset)
  • スキャン行為
    UBA : DHCP サーバーの異常なスキャンの検出
    UBA : DNS サーバーの異常なスキャンの検出
    UBA : データベースサーバーの異常なスキャンの検出
    UBA : FTP サーバーの異常なスキャンの検出
    UBA :
    UBA : 一般的な ICMP の異常なスキャン
    UBA : 一般的な TCP の異常なスキャン
    UBA : 一般的な UDP の異常なスキャン
    UBA : IRC サーバーの異常なスキャン
    UBA :
    UBA : メールサーバーの異常なスキャンの検出
    UBA : メッセージングサーバーの異常なスキャンの検出
    UBA : P2P サーバーの異常なスキャンの検出
    UBA : プロキシサーバーの異常なスキャンの検出
    UBA :
    UBA : RPC サーバーの異常なスキャンの検出 UBA : SNMP サーバーの異常なスキャンの検出
    UBA : SSH サーバーの異常なスキャンの検出
    UBA : ウェブサーバーの異常なスキャンの検出
    UBA : Windows サーバーの異常なスキャンの検出