データ引き出し
IBM Security QRadar Data Exfiltration Content Extension を使用して、展開内のデータ流出活動を注意深く監視します。
重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。
データ引き出し拡張について
QRadar Content Extension Pack for Data Exfiltration は、データ引き出しアクティビティーの検出に重点を置いたいくつかのルールおよび保存済み検索を追加します。
データ引き出しアクティビティーには次のようなものがあります。
- 既知の悪意ある IP またはオンライン・ファイル・ストレージ・サービスへの大規模なアウトバウンド・データ転送。
- 数日間または数カ月にわたって、低速かつ検出を逃れるように行われるアウトバウンド・データ転送。
- クラウドでのデータ漏えいまたはデータ損失。 例えば、機密ファイルがパブリックにアクセスできるフォルダーまたはバケットにアップロードされたり、機密ファイルのアクセス権が誰でも読み取りやアクセスが可能な状態に変更されたりするなど。
- 機密ファイルの共有。 例えば、機密ファイルが悪意のあるホスト、ゲスト・ユーザー、または組織外のユーザーと共有されるなど。
IBM Security QRadar Data Exfiltration コンテンツ拡張
- IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.5
- IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.4
- IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.3
- IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.2
- IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.1
- IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.0
IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.5
このバージョンの IBM Security QRadar Data Exfiltration Content Extension には、 「Exfiltration」 ルール・グループの名前と説明がリストされる原因となったエラーの修正が含まれています。nullAPI から呼び出されます。
次の表では、 IBM Security QRadar データ引き出しコンテンツ拡張 1.0.5で新しく導入された、または更新されたカスタム・イベント・プロパティーを示します。
注: 以下の表に示すカスタム・プロパティーは、プレースホルダーです。 これらの名前のカスタム・プロパティーを含むその他のコンテンツ拡張をダウンロードすることも、ユーザー独自のプロパティーを作成することもできます。
| カスタム・プロパティー | 最適化済み | 場所 |
|---|---|---|
| ファイル・ディレクトリー | はい | |
| 受信者ホスト | はい | |
| 受信者ユーザー | はい | |
| UrlHost | はい | |
| Web カテゴリー | はい |
以下の表に、 IBM Security QRadar Data Exfiltration 1.0.5で新しく導入された、または更新されたルールを示します。
| 名前 | 説明 |
|---|---|
| 同じ送信元 IP からの過剰なファイル・アクセス・イベント | 除外される IP アドレス範囲が 192.168.2.0/ 24 から 192.0.2.0/ 24 に変更されました。 |
| 同じユーザー名からの過剰なファイル・アクセス・イベント | 除外される IP アドレス範囲が 192.168.2.0/ 24 から 192.0.2.0/ 24 に変更されました。 |
| Excessive file download events from the same username | 除外される IP アドレス範囲が 192.168.2.0/ 24 から 192.0.2.0/ 24 に変更されました。 |
| 同じ送信元 IP からの過剰なファイル・ダウンロード・イベント | 除外される IP アドレス範囲が 192.168.2.0/ 24 から 192.0.2.0/ 24 に変更されました。 |
IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.4
以下の表に、 IBM Security QRadar Data Exfiltration 1.0.4で新しく導入された、または更新されたルールおよびビルディング・ブロックを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:BehaviorDefinition: 潜在的に敵対的な受信ホスト | パフォーマンス向上のためにフィルターを追加しました。 |
| ビルディング・ブロック | BB:CategoryDefinition: 敵対する可能性のある宛先IPとの通信 | パフォーマンス向上のためにフローの向きのフィルターを追加しました。 |
| ビルディング・ブロック | BB:CategoryDefinition: 敵対する可能性のある受信ホストとのコミュニケーション | このビルディング・ブロックを削除しました。 |
| ビルディング・ブロック | BB:BehaviorDefinition: 外部受信ホスト | このビルディング・ブロックのリファレンス・セット ID リンクを修正しました。 |
| ルール | 同じ送信元 IP からの過剰なファイル・アクセス・イベント | 同じロケーション (ログ・ソース) をルール・ロジックに追加しました。 |
| ルール | 同じユーザー名からの過剰なファイル・アクセス・イベント | 同じロケーション (ログ・ソース) をルール・ロジックに追加しました。 |
| ルール | 同じ送信元 IP からの過剰なファイル・ダウンロード・イベント | 同じロケーション (ログ・ソース) をルール・ロジックに追加しました。 |
| ルール | 同じユーザー名からの過剰なファイル・ダウンロード・イベント | 同じロケーション (ログ・ソース) をルール・ロジックに追加しました。 |
| ルール | 悪意のある IP からアクセスまたはダウンロードされたファイル | 応答リミッターを宛先 IP に変更しました。 |
| ルール | 大規模なアウトバウンド・データ転送 | しきい値ルールのインポートを中断する既知の問題のために削除しました。 |
| ルール | フロー用の大規模なアウトバウンド・データ転送 | しきい値ルールのインポートを中断する既知の問題のために削除しました。 |
| ルール | File Storage ・ホストへの大規模なアウトバウンド・データ転送 | しきい値ルールのインポートを中断する既知の問題のために削除しました。 |
| ルール | 悪意のあるホストまたは IP への大規模なアウトバウンド・データ転送 | しきい値ルールのインポートを中断する既知の問題のために削除しました。 |
| ルール | フロー用の悪意のある IP への大規模なアウトバウンド・データ転送 | しきい値ルールのインポートを中断する既知の問題のために削除しました。 |
以下の表に、 IBM Security QRadar Data Exfiltration 1.0.4で新しく導入された、または更新された保存済み検索を示します。
| 名前 | 説明 |
|---|---|
| 大規模なアウトバウンド・データ転送 | AQL 検索から HAVING 節を削除しました。 |
| 大容量アウトバウンド・データ転送-異常モニター | AQL 検索から HAVING 節を削除しました。 |
| File Storage ・ホストへの大規模なアウトバウンド・データ転送 | AQL 検索から HAVING 節を削除しました。 |
| 悪意のあるホストまたは IP への大規模なアウトバウンド・データ転送 | AQL 検索から HAVING 節を削除しました。 |
| 悪意のある IP への大規模なアウトバウンド・データ転送 | AQL 検索から HAVING 節を削除しました。 |
IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.3
Pulse ダッシュボードで AQL 照会が正常に解析されないエラーを修正しました。
次の表では、 IBM Security QRadar データ引き出しコンテンツ拡張 1.0.3で名前変更されたビルディング・ブロックを示しています。
| 古い名前 | 新しい名前 |
|---|---|
| BB:BehaviorDefinition: 外部メールアドレス | BB:BehaviorDefinition: 外部受信ホスト |
| BB:BehaviorDefinition: 潜在的に敵対的な電子メールホスト | BB:BehaviorDefinition: 潜在的に敵対的な受信ホスト |
IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.2
以下のルールの条件が更新されました。
- 大規模なアウトバウンド・データ転送
- フロー用の大規模なアウトバウンド・データ転送
- File Storage ・ホストへの大規模なアウトバウンド・データ転送
- 悪意のあるホストまたは IP への大規模なアウトバウンド・データ転送
- フロー用の悪意のある IP への大規模なアウトバウンド・データ転送
IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.1
「QNI : Confidential Content Being Transferred」ルールを更新し、オフェンスでルールをトリガーしたレコードが含まれるようにしました。
IBM Security QRadar Data Exfiltration コンテンツ拡張 1.0.0
次の表では、 IBM Security QRadar データ引き出しコンテンツ拡張 1.0.0のカスタム・イベント・プロパティーを示しています。
注: 以下の表に示すカスタム・プロパティーは、プレースホルダーです。 これらの名前のカスタム・プロパティーを含むその他のコンテンツ拡張をダウンロードすることも、ユーザー独自のプロパティーを作成することもできます。
| カスタム・プロパティー | 最適化済み | 場所 |
|---|---|---|
| BytesReceived | はい | |
| BytesSent | はい | |
| ファイル・ディレクトリー | はい | |
| ファイル拡張子 | はい | |
| ファイル名 | はい | |
| MessageID | はい | |
| ポリシー名 | はい | |
| 公開権限 | はい | Amazon AWS |
| 受信者ホスト | はい | |
| 受信者ユーザー | はい | |
| ストレージ名 | はい | Amazon AWS |
| ターゲット・ユーザー域 | はい | Microsoft Office 365 |
| URL | はい | |
| UrlHost | はい | |
| Web カテゴリー | はい |
次の表では、 IBM Security QRadar データ引き出しコンテンツ拡張 1.0.0のビルディング・ブロックおよびルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:BehaviorDefinition: 外部メールアドレス | このビルディング・ブロックは、「Corporate Email Domains」リファレンス・セットに含まれない受信側ホストを識別します。 注: 「企業 E メール・ドメイン (Corporate Email Domains)」リファレンス・セットにデータを取り込む必要があります。
|
| ビルディング・ブロック | BB:BehaviorDefinition: 潜在的に敵対的な電子メールホスト | このビルディング・ブロックは、悪意のあるホストに送信される E メールを識別します。 ホストの X-Force ® カテゴリーがフィッシング URL、スパム URL、マルウェア、ボットネット・コマンド・コントロール・サーバー、または暗号通貨マイニングのいずれかを返す場合、そのホストは悪意のあるものになります。 |
| ビルディング・ブロック | BB:CategoryDefinition: 敵対する可能性のある宛先IPとの通信 | このビルディング・ブロックは、悪意のある IP への通信を識別します。 マルウェア、ボットネット・コマンド・アンド・コントロール・サーバー、スパム、暗号通貨マイニング、スキャン IP、ボット、またはフィッシングのいずれかが返された場合、ホストは悪意のあるものとなります。 |
| ビルディング・ブロック | BB:CategoryDefinition: 敵対する可能性のある受信ホストとのコミュニケーション | このビルディング・ブロックは、悪意のあるホストへの通信を識別します。 このホストは、X-Force のカテゴリー化により、ボットネット・コマンド・コントロール・サーバー、マルウェア、フィッシング URL、暗号通貨マイニング、またはスパム URL のいずれかが返される場合に悪意があります。 |
| ビルディング・ブロック | BB:CategoryDefinition: アクセス制限のある国/地域 | このビルディング・ブロックを編集して、通常は企業へのアクセスが許可されない地理的位置を含めます。 |
| ビルディング・ブロック | BB:CategoryDefinition: ファイル削除イベント | このビルディング・ブロックを編集して、すべてのファイル削除イベント・カテゴリーを追加します。 |
| ビルディング・ブロック | BB:CategoryDefinition:リンク共有イベント | このビルディング・ブロックを編集して、リンク共有関連のイベント・カテゴリーを追加します。 |
| ビルディング・ブロック | BB:CategoryDefinition: オブジェクト・アクセス・イベント | このビルディング・ブロックを編集して、オブジェクト (ファイル、フォルダーなど) へのアクセスに関連するすべてのイベント・カテゴリーを追加します。 |
| ビルディング・ブロック | BB:CategoryDefinition: オブジェクトダウンロードイベント | このビルディング・ブロックを編集して、オブジェクト (ファイル、フォルダーなど) のダウンロードに関連するすべてのイベント・カテゴリーを追加します。 |
| ビルディング・ブロック | BB:CategoryDefinition: オブジェクト・アップロード・イベント | このビルディング・ブロックを編集して、オブジェクト (ファイル、フォルダーなど) のアップロードに関連するすべてのイベント・カテゴリーを追加します。 |
| ビルディング・ブロック | BB:DeviceDefinition: DLP Devices | このビルディング・ブロックは、システム上のすべてのデータ損失防止 (DLP) デバイスを定義します。 |
| ビルディング・ブロック | BB:DeviceDefinition: Mail | このビルディング・ブロックは、システム上のすべてのメール・デバイスを定義します。 |
| ビルディング・ブロック | BB:Exfiltration: 機密ディレクトリー内のファイル (BB:Exfiltration: Files in Sensitive Directories) | 機密パスにあるファイルを検出します。 機密パスは「Sensitive File
Paths」リファレンス・セットで定義されています。 注: 「Sensitive File Paths」リファレンス・セットにデータを取り込む必要があります。
|
| ルール | パブリックにアクセス可能なフォルダーにアップロードされたデータベース・バックアップまたは圧縮ファイル | このルールは、データベース・バックアップまたは圧縮ファイルが、パブリックにアクセス可能なフォルダーまたはバケットにアップロードされるとトリガーされます。 「Publicly Accessible Folders」リファレンス・セットに、関連するフォルダー名が設定されている必要があります。 注: 「Critical File Extensions」リファレンス・セットには、重要なファイル拡張子が事前定義されており、調整することができます。
|
| ルール | 外部ホストに送信された機密ファイルを含む E メール | このルールは、機密データを含む E メールが、組織外の E メール・アドレスに送信されるとトリガーされます。 注: 「機密ファイル・ディレクトリー」リファレンス・セットには、関連するフォルダー名を設定する必要があります。 「Corporate Email Domains」リファレンス・セットに、組織の E メール・ドメインが設定されている必要があります。
|
| ルール | 潜在的に悪意のあるホストに送信された機密ファイルを含む E メール | このルールは、機密ファイルを含む E メールが、フィッシング、スパム、マルウェア、ボットネット・コマンド・コントロール、暗号通貨マイニングなどの悪意のあるアクティビティーへの関与が確認されているホストに送信されるとトリガーされます。 「Files in Sensitive Directories」リファレンス・セットには、「Files in Sensitive File Directories」ルールによってデータが設定されます。 注: 「Sensitive Directories」リファレンス・セットにデータを設定する必要があります。
|
| ルール | 同じ送信元 IP からの過剰なファイル・アクセス・イベント | このルールは、同じソース IP が 5 分間に 15 個以上の異なるファイルにアクセスするとトリガーされます。 注: AQL 関数を編集して、OS 更新やソフトウェア更新などの既知の正当なダウンロード・アクティビティーを除外します。
|
| ルール | 同じユーザー名からの過剰なファイル・アクセス・イベント | このルールは、同じ送信元ユーザー名が 5 分間に 15 個以上の異なるファイルにアクセスするとトリガーされます。 注: AQL 関数を編集して、OS 更新やソフトウェア更新などの既知の正当なダウンロード・アクティビティーを除外します。
|
| ルール | 同じ送信元 IP からの過剰なファイル・ダウンロード・イベント | このルールは、同じ送信元 IP が 5 分間に 10 個以上の異なるファイルをダウンロードするとトリガーされます。 注: AQL 関数を編集して、OS 更新やソフトウェア更新などの既知の正当なダウンロード・アクティビティーを除外します。
|
| ルール | 同じユーザー名からの過剰なファイル・ダウンロード・イベント | このルールは、同じ送信元ユーザー名が 5 分間に 15 個以上の異なるファイルをダウンロードするとトリガーされます。 注: AQL 関数を編集して、OS 更新やソフトウェア更新などの既知の正当なダウンロード・アクティビティーを除外します。
|
| ルール | 悪意のある IP からアクセスまたはダウンロードされたファイル | このルールは、悪意のある IP (既知のコマンド & コントロール・サーバーやマルウェア・サーバーなど) がファイルにアクセスするか、ファイルをダウンロードするとトリガーされます。 |
| ルール | 潜在的に悪意のあるドメインでホストされている E メールと共有されているファイルまたはフォルダー | このルールは、ファイルまたはフォルダーが、スパム URL、フィッシング URL、マルウェア、暗号通貨マイニングなどの悪意のあるドメインに関連付けられた E メールと共有されるとトリガーされます。 |
| ルール | 外部 E メール・アドレスと共有されているファイルまたはフォルダー | このルールは、ファイルまたはフォルダーが社外の E メール・アドレス・ドメインと共有されるとトリガーされます。 注: 「企業 E メール・ドメイン (Corporate Email Domains)」リファレンス・セットには、組織の E メール・ドメインを取り込む必要があります。
|
| ルール | 機密ファイル・ディレクトリーから削除されたファイル | このルールは、機密ファイル・ディレクトリーからのファイル削除イベントが発生するとそのことを検出し、ルールの応答として「Files in Sensitive Directories」リファレンス・セットからそのファイル名を削除します。 注: IBM Security QRadar 7.3.2 以前のバージョンでは、リファレンス・セットは、機密ディレクトリー内のファイル- AlphaNumericに正しくリンクされていません。 これは 7.3.2 パッチ 1 で修正されました。 7.3.2 パッチ 1 をインストールしていない場合は、ルールを選択し、「次へ」をクリックします。 「ルールの応答」で、リファレンス・セットのリストをクリックし、「Files in Sensitive
Directories - AlphaNumeric」を選択します。
|
| ルール | 機密ファイル・ディレクトリー内のファイル | このルールは、機密ファイル・ディレクトリー内で新規ファイルが見つかるとそのことを検出し、ルールの応答として「Files in Sensitive Directories」リファレンス・セットにそのファイル名を追加します。 |
| ルール | 大規模なアウトバウンド・データ転送 | このアノマリ・ルールは、4 日間に 5 GB を超えるデータが特定の IP アドレスに転送されるとトリガーされます。 |
| ルール | フロー用の大規模なアウトバウンド・データ転送 | このフロー・アノマリ・ルールは、24 時間以内に 1 GB を超えるデータが単一の IP アドレスに転送されるとトリガーされます。 詳しくは、「Large Outbound Data Transfer Network Activity」保存済み検索を参照してください。 |
| ルール | File Storage ・ホストへの大規模なアウトバウンド・データ転送 | このイベント異常ルールは、X-Forceのカテゴリ「Web Storage」に分類された URLに 24時間以内に1GB以上のデータが転送された場合に発動します。 また、このルールは、リファレンス・セット「File Storage Web Categories」に設定されたプロキシー・カテゴリーとも照合を行うように構成されています。 詳しくは、「Large Outbound Data Transfer to a File Storage Host Log Activity」保存済み検索を参照してください。 |
| ルール | 悪意のあるホストまたは IP への大規模なアウトバウンド・データ転送 | このイベント異常ルールは、次のX-Forceカテゴリーのいずれかに分類されるIPアドレスまたは URL に対して、24時間以内に1GB以上のデータが転送された場合にトリガーされます。マルウェア、ボットネットのコマンド&コントロールサーバー、スパム、暗号通貨マイニング、スキャニングIP(IPアドレスのみ)、フィッシング、ボット(IPアドレスのみ)。 また、このルールは、リファレンス・セット「Malicious Web Categories」に設定されたプロキシー・カテゴリーとも照合を行うように構成されています。 詳しくは、「Large Outbound Data Transfer to Malicious Host or IP Log Activity」保存済み検索を参照してください。 |
| ルール | フロー用の悪意のある IP への大規模なアウトバウンド・データ転送 | このフロー・アノマリ・ルールは、X-Force カテゴリー (マルウェア、ボットネット・コマンド・アンド・コントロール・サーバー、スパム、暗号通貨マイニング、スキャン IP、フィッシング、またはボット) のいずれかに分類される IP アドレスに 24 時間以内に 1 GB を超えるデータが転送されるとトリガーされます。 詳しくは、「Large Outbound Data Transfer to Malicious IP Network Activity」保存済み検索を参照してください。 |
| ルール | QNI: 機密コンテンツの転送 | このルールは、リモート宛先に転送されようとしている機密コンテンツを検出します。 疑わしいコンテンツの調整は YARA ルールを使用して行います。 詳しくは、QNI の資料を参照してください。 |
| ルール | アクセスが制限されている地域または国からアクセスまたはダウンロードされる機密ファイル | このルールは、アクセスが制限されている地域または国から、機密ファイルへのアクセスまたはダウンロードが行われるとトリガーされます。 これらの地域は、「BB:CategoryDefinition: Countries/Regions with Restricted Access」ビルディング・ブロックで定義されています。 |
| ルール | 機密ファイル許可によるパブリック・アクセスの許可 | このルールは、機密ファイルのアクセス権がパブリックにアクセス可能な状態である場合にトリガーされます。 「Files in Sensitive Directories」リファレンス・セットには、「Files in Sensitive File Directories」ルールによってデータが設定されます。 注: 「Sensitive Directories」リファレンス・セットにデータを設定する必要があります。
|
| ルール | ゲスト・ユーザーまたはグループと共有される機密ファイル | このルールは、機密ファイルがゲスト・ユーザーまたはゲスト・グループに共有されるとトリガーされます。 「Files in
Sensitive Directories」リファレンス・セットには、「Files in Sensitive File Directories」ルールによってデータが設定され、このルールは「Sensitive Directories」リファレンス・セットを使用します。 注: 「Sensitive Directories」リファレンス・セットと「Guest Login Users」リファレンス・セットにデータを取り込む必要があります。
|
| ルール | パブリックにアクセス可能なフォルダーにアップロードされた機密ファイル | このルールは、パブリックにアクセス可能なフォルダーまたはバケットに、機密ファイルがアップロードされるとトリガーされます。 |
| ルール | DLP デバイスによって検出された機密データに対する疑わしいアクティビティー | このルールは、機密データに対する疑わしいアクティビティーが DLP デバイスから検出されるとトリガーされます。 DLP デバイスは、「BB:DeviceDefinition: DLP Devices」ビルディング・ブロックで定義されています。 注: DLP ポリシーのリファレンス・セットにデータを設定する必要があります。
|
次の表では、 IBM Security QRadar データ引き出しコンテンツ拡張 1.0.0のリファレンス・データを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・セット | Confidential/Sensitive File Names | 極秘ファイル名や機密ファイル名のリストが含まれます。 |
| リファレンス・セット | 企業 E メール・ドメイン | 会社の E メール・ドメインのリストが含まれます。 |
| リファレンス・セット | 重要なファイル拡張子 | 重要なファイル拡張子のリストが含まれます。 |
| リファレンス・セット | DLP ポリシー | DLP ポリシーのリストが含まれます。 |
| リファレンス・セット | File Storage 「Web カテゴリー」 | ファイル・ストレージ Web カテゴリーのリストが含まれます。 |
| リファレンス・セット | 機密ディレクトリー内のファイル | 機密ディレクトリー内のファイル名のリストが含まれます。 |
| リファレンス・セット | ゲスト・ログイン・ユーザー | ゲスト・ログイン・ユーザー名のリストが含まれます。 |
| リファレンス・セット | 正規のデータ転送宛先 IP | 正当なデータ転送宛先 IP のリストが含まれます。 |
| リファレンス・セット | 悪意のある Web カテゴリー | 悪意のある Web カテゴリーのリストが含まれます。 |
| リファレンス・セット | パブリックにアクセス可能なフォルダー | パブリックにアクセス可能なフォルダー名のリストが含まれます。 |
| リファレンス・セット | 機密ファイル・ディレクトリー | 機密ファイル・ディレクトリーのリストが含まれます。 |
次の表では、 IBM Security QRadar データ引き出しコンテンツ拡張 1.0.0の保存済み検索を示しています。
| 名前 | 説明 |
|---|---|
| 大規模なアウトバウンド・データ転送 | リモート・ホストへの大規模なアウトバウンド・データ転送 (1 GB を超える) を伴うすべてのイベントを表示します。 |
| File Storage ・ホストへの大規模なアウトバウンド・データ転送 | ファイル・ストレージ・ホストへの大規模なアウトバウンド・データ転送 (1 GB を超える) を伴うすべてのイベントを表示します。 |
| 悪意のあるホストまたは IP への大規模なアウトバウンド・データ転送 | 悪意のあるホストまたは IP への大規模なアウトバウンド・データ転送 (1GB を超える) を伴うすべてのイベントを表示します。 |
| 複数日にわたる低速アウトバウンド・データ転送 | リモート・ホストへの数日間にわたる大規模なアウトバウンド・データ転送 (1 GB を超える) を伴うすべてのイベントを表示します。 |
| 複数日にわたる低速アウトバウンド・データ転送 (送信元 IP およびユーザー名でグループ化) | リモート・ホストへの数日間にわたる大規模なアウトバウンド・データ転送 (1 GB を超える) を伴うすべてのイベントを、送信元 IP およびユーザー名別にグループ化して表示します。 |
| 複数カ月にわたるアウトバウンド・データ転送の低速化 | リモート・ホストへの数カ月間にわたる大規模なアウトバウンド・データ転送 (1 GB を超える) を伴うすべてのイベントを表示します。 |
| 大規模なアウトバウンド・データ転送 | リモート IP への大規模なアウトバウンド・データ転送 (1 GB を超える) を伴うすべてのフローを表示します。 |
| 悪意のある IP への大規模なアウトバウンド・データ転送 | 悪意のある IP への大規模なアウトバウンド・データ転送 (1 GB を超える) を伴うすべてのフローを表示します。 |
| 複数日にわたる低速アウトバウンド・データ転送 | リモート IP への数日間にわたる大規模なアウトバウンド・データ転送 (1 GB を超える) を伴うすべてのフローを表示します。 |
| 複数日にわたる低速アウトバウンド・データ転送 (送信元 IP でグループ化) | リモート IP への数カ月間にわたる大規模なアウトバウンド・データ転送 (1 GB を超える) を伴うすべてのフローを、送信元 IP 別にグループ化して表示します。 |
| 複数カ月にわたるアウトバウンド・データ転送の低速化 | リモート IP への数カ月間にわたる大規模なアウトバウンド・データ転送 (1 GB を超える) を伴うすべてのフローを表示します。 |