UBA : リスクのある IP にアクセスしているユーザー (ボットネット)

QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。

UBA: リスクのある IP ボットネットにアクセスしているユーザー (以前は X-Force ® Risky IP、ボットネットと呼ばれていました)

デフォルトで有効

いいえ

説明

このルールは、ローカル・ユーザーまたはローカル・ホストがボットネット・コマンドと制御サーバーに接続している場合にそれを検出します。

サポート・ルール

  • X-Force Risky IP, Botnet
  • BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)

必須の構成

  • 「管理設定」 > 「システム設定」で「 X-Force Threat Intelligence フィードを有効にする」を「はい」に設定します。
  • ルール「X-Force リスクのある IP ボットネット (X-Force Risky IP Botnet)」を有効にします。

ログ・ソース・タイプ

すべてのサポート対象ログ・ソース