UBA : リスクのある IP にアクセスしているユーザー (ボットネット)
QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。
UBA: リスクのある IP ボットネットにアクセスしているユーザー (以前は X-Force ® Risky IP、ボットネットと呼ばれていました)
デフォルトで有効
いいえ
説明
このルールは、ローカル・ユーザーまたはローカル・ホストがボットネット・コマンドと制御サーバーに接続している場合にそれを検出します。
サポート・ルール
- X-Force Risky IP, Botnet
- BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
必須の構成
- で「 X-Force Threat Intelligence フィードを有効にする」を「はい」に設定します。
- ルール「X-Force リスクのある IP ボットネット (X-Force Risky IP Botnet)」を有効にします。
ログ・ソース・タイプ
すべてのサポート対象ログ・ソース