UEBA 5.x 規則
以下のルールは UEBA 5.x 用に修正されている。
- UEBA : 使用済み休眠口座
- UEBA : 外部ドメインに対する大量のアクセス拒否イベント
- UEBA : 企業ファイアウォールにリモートアクセスの穴
- UEBA : 社外ネットワークから役員以外のユーザーがアクセスする役員専用資産
- UEBA : ロックされたマシンからのアクティビティを検出
- UEBA : ブルートフォース認証の試み
- UEBA : 重要資産へのハイリスクユーザーアクセス
- UEBA : 単一IPからログインする複数のVPNアカウント
- UEBA : 単一IPから複数のVPNアカウントでログイン失敗
- UEBA : 社内ネットワークから役員以外のユーザーがアクセスする役員専用資産
- UEBA : 使用不可のアカウントを使用しようとするユーザー
- UEBA : 休眠口座使用未遂
- UEBA : 使用済みアカウント
- UEBA : 不審な特権活動(初めて観察された特権使用)
- UEBA : 不審な特権活動(まれに使用される特権)
- UEBA : 一時停止されたアカウントを使用しようとするユーザー
- UEBA : ハイリスク・ユーザーによる大規模なアウトバウンド転送
- UEBA : 複数ブロックされたファイル転送に続くファイル転送
- UEBA : データ流出に続く不審なアクセス
- UEBA : プリントによるデータ流出
- UEBA : 不審な活動に続く最初のアクセス
- UEBA : 危殆化した可能性のあるアカウント
- UEBA : 複数のファイルアップロードがブロックされ、その後にアップロードが成功する
- UEBA : ユーザーがフィッシングされる可能性
- UEBA : 不審な活動に続く流出
- UEBA : データ損失の可能性
- UEBA : リムーバブル・メディアによるデータ流出
- UEBA : クラウドサービスによるデータ流出
- UEBA : 不正アクセスを繰り返す
- UEBA:ユーザーアクセス - 重要資産へのアクセスに失敗しました
- UEBA: Unix / Linux サービスまたはマシンアカウントでアクセスされたシステム
- 重要システム利用者の更新情報
- UEBA:匿名ソースからアカウントにアクセスしているユーザー
- UEBA:通常とは異なる時間帯のユーザーアクセス
- UEBA:ジャンプサーバー経由での内部サーバーへのユーザーアクセス
- 単一 IP からの複数 VPN アカウントへのログイン失敗の取り込み
- UEBA:重要資産への初回アクセス
- UEBA:最初の権限昇格
- UEBA:短期間に作成および削除されたユーザーアカウント
- UEBA:アカウント、グループ、または権限が変更されました
- UEBA:ポルノサイトにアクセスした
- UEBA:分類されていないウェブサイトを閲覧しました
- UEBA: LifeStyle のウェブサイトにアクセスしました
- UEBA:ギャンブルサイトにアクセスした
- UEBA:匿名ユーザーがリソースにアクセスしました
- UEBA:受信トレイを外部の受信トレイに転送するように設定
- UEBA:複数のホストで使用されているTGTチケット
- UEBA: Kerberos のアカウント列挙が検出されました
- UEBA:持続的なSSHセッションの検出
- UEBA:プログラムの使用制限
- UEBA:安全でないプロトコルまたは非標準のプロトコルの検出
- UEBA:ランサムウェアの挙動が検出されました
- UEBA:制限された場所からのユーザーアクセス
- UEBA:許可されていない場所からのユーザーアクセス
- UEBA:ユーザーの所在地変更
- UEBA: D/DoS による攻撃が検出されました
- UEBA:Honeytokenの活動
- UEBA:リスクのあるIPアドレスからアクセスするユーザーの匿名化
- UEBA:危険なIPアドレスにアクセスしたユーザー向けマルウェア
- UEBA:危険なIPアドレスからアクセスしているユーザー(スパム)
- UEBA: WannaCry のIOCを検出
- UEBA:リスクのあるIPアドレスにアクセスしているユーザー(動的)