ネットワーク・フロー内の疑わしいコンテンツ

IBM QRadar Network Insights は、強化された検査レベルおよび拡張された検査レベルで、ネットワーク・フロー内に疑わしいコンテンツがないか検査します。

「疑わしいコンテンツの説明 (Suspect Content Descriptions)」フィールドには、Web サイト・カテゴリー、埋め込みリンク、または Yara ルールなどの複数のデータ・ソースによってデータが設定され、疑わしいエンティティーが検出される場合のみ、データが含まれます。

以下のリストは、拡張検査レベルおよび拡張検査レベルで検出される疑わしいコンテンツのタイプの例を示しています。
「中程度」検査
  • 非標準ポートで実行されるプロトコルを識別しました。
  • SSL TLS の証明書はタイムスタンプ not valid after が過去のため期限切れです。
  • SSL TLS の証明書が無効です。タイムスタンプ not valid before が未来の日付になっているためです。
  • SSL / TLS における自己署名証明書の使用
  • SSL / TLS における弱い公開鍵長の使用
  • ユーザー提供の Yara ルールを使用したスキャンによる疑わしいコンテンツ。
  • Web サイトのカテゴリーは、いくつかの疑わしいエントリーの 1 つです。
  • 証明書に非 DNS サブジェクト代替名があります。
  • 署名アルゴリズムが署名される署名アルゴリズムと一致しません。
  • BitTorrent ハンドシェーク検証失敗しました。
  • X-Force 署名。

    詳しくは、 X-Force から派生した疑わしいコンテンツの説明を参照してください。

「拡張」検査
  • 転送された情報に疑わしいコンテンツが含まれています。
  • 正規表現のマッチングによって検出された項目の数が多すぎます。
    • クレジット・カード番号、社会保障番号、IP アドレス、および E メール・アドレス。
    • 疑わしいとしてマークされた正規表現マッチングによって検出されたユーザー定義項目。
  • Office ファイルまたは PDF ファイル内のスクリプト。
  • PDF ファイルへの組み込みリンク。