Amazon AWS

IBM Security QRadar Amazon AWS

IBM 보안 QRadar Amazon용 사용자 정의 속성 AWS 5.1.0
IBM Security QRadar Amazon에 대한 사용자 정의 특성 AWS 5.0.1
IBM 보안 QRadar Amazon용 사용자 정의 속성 AWS 5.0.0
IBM Security QRadar Amazon에 대한 사용자 정의 특성 AWS 4.1.0
IBM 보안 QRadar Amazon용 사용자 정의 속성 AWS 4.0.0
IBM Security QRadar Amazon에 대한 사용자 정의 특성 AWS 3.0.0
IBM 보안 QRadar Amazon용 사용자 정의 속성 AWS 2.0.0
IBM Security QRadar Amazon에 대한 사용자 정의 특성 AWS 1.4.0
IBM Security QRadar Amazon에 대한 사용자 정의 특성 AWS 1.3.0
IBM 보안 QRadar Amazon용 사용자 정의 속성 AWS 1.2.7
IBM 보안 QRadar Amazon용 사용자 정의 속성 AWS 1.2.6
IBM Security QRadar Amazon AWS 1.2.5
IBM 보안 QRadar Amazon용 사용자 정의 속성 AWS 1.2.4
IBM 보안 QRadar Amazon용 사용자 정의 속성 AWS 1.2.3
IBM 보안 QRadar Amazon용 사용자 정의 속성 AWS 1.2.2
IBM Security QRadar Amazon AWS 1.1.0
IBM Security QRadar Amazon에 대한 사용자 정의 특성 AWS 1.0.0

IBM Security QRadar Amazon AWS 5.1.0

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 5.1.0의 새로운 사용자 정의 특성을 표시합니다.

표 1. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 5.1.0 의 사용자 정의 특성
사용자 정의 특성	최적화 여부	표현식
경보 심각도	아니오	`severity:"(.*?)"`
클래스 이름	아니오	`class_name:"([^\"]*?)"`
디바이스 이름	아니오	`name:"(.*?)"`
이메일	예	`email_addr:"([^\"]*?)"`
호스트 상태	예	`status_details:"(.*?)"`
메시지	아니오	`message:"([^"]*?)"`
메소드	아니오	`http_method:"(.*?)"`
정책 이름	예	`'policy:\{"(.*?)"\}`
응답 코드	아니오	`http_response:\{"code":(\d+)\}`
서비스 이름	예	`svc_name:"([^"]?)"` `svc_name:"(.?)"`
상태 코드	예	`status_code:"(.*?)"`
상태 ID	아니오	`status_id:"(.*?)"`
유형	아니오	`type:"([^\"]?)"` `type_name:"([^\"]?)"`
URL 호스트	예	`hostname:"([^"]*?)"`
사용자 에이전트	아니오	`user_agent:"([^"]*?)"`
공급업체	아니오	`vendor_name:"(.*?)"`

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 5.0.1

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 5.0.1의 새로운 사용자 정의 특성을 표시합니다.

표 2. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 5.0.1 의 사용자 정의 특성
사용자 정의 특성	최적화 여부	캡처 그룹	JSON 표현식
프로파일	예	해당사항 없음	/"requestParameters"/"instanceProfileName" /"requestParameters"/"iamInstanceProfile"/"name"

원래 호스트 사용자 정의 특성 유형이 "문자열" 로 변경됩니다.

모든 규칙, 보고서 및 저장된 검색이 제거되어 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 에 추가되었습니다.

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 5.0.0

다음 표는 AWS Network Firewall DSM과 함께 사용하기 위해 IBM Security QRadar Custom Properties for Amazon AWS 5.0.0 에서 업데이트되는 사용자 정의 특성을 표시합니다.

표 3. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 5.0.0 의 사용자 정의 특성
사용자 정의 특성	최적화 여부	캡처 그룹	정규식
조치	예	1	조치 ":" (. *?) "
바이트	아니오	1	bytes":(\d+)
패킷	아니오	1	pkts":(\d+)
서명 ID	아니오	1	signature_id":(\d+)
위반 특성	아니오	1	signature":"(.*?)"

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 5.0.0에서 새로 추가되거나 업데이트된 규칙을 표시합니다.

표 4. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 의 규칙 5.0.0
이름	설명
AWS 클라우드: AWS 콘솔에 대한 서로 다른 지역에서의 성공적인 로그인을 발견함	동일한 사용자 이름이 다른 소스 지역에서 Amazon AWS Management 콘솔에 로그인하는지 감지하며, 공유 또는 도난된 신임 정보를 나타낼 수 있습니다.
AWS 클라우드: 다른 소스 IP로부터의 다중 콘솔 로그인 실패	다른 소스 IP 주소에서 2분 동안 25번 AWS Console 로그인 실패를 찾습니다.
AWS 클라우드: 동일한 소스 IP로부터의 다중 콘솔 로그인 실패	AWS 관리 콘솔에 로그인 실패를 감지하고, 2분 내에 동일한 소스 IP 주소에서 최소 5번의 로그인 실패가 발생하는 경우 오펜스를 트리거합니다.

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 4.1.0

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 4.1.0에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 5. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 4.1.0 의 사용자 정의 특성
사용자 정의 특성	최적화 여부	캡처 그룹	정규식
요청 URI	예	1	\buri[":]+"([^"]*)"
사용자 에이전트	아니오	1	\buser-agent[",]+value[":]+"([^"])"는 이제 (?i)\buser-agent[",]+value[":]+"([^"])"입니다.

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 4.0.0

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 4.0.0에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 6. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 4.0.0 의 사용자 정의 특성
사용자 정의 특성	최적화 여부	캡처 그룹	정규식 또는 JSON 표현식
액세스 키 ID	예		\bType":\s?"AwsIamAccessKey",.?"Id":\s?"([^\"]?)"
계정 ID	아니오	1	/"detail"/"findings"[0]/"AwsAccountId" \baccount_id[":]+([^"]*)"
조치	예	1	/"detail"/"findings"[0]/"ProductFields"/"action/actionType" \bfirewall_rule_action [\"\:]+([^\"]+)
경보 심각도	아니오		/"detail"/"findings"[0]/"ProductFields"/"aws/securityhub/SeverityLabel"
API 경로	아니오		/"detail"/"findings"[0]/"ProductFields"/"action/awsApiCallAction/api"
DNS 요청 유형	아니오	1	\bquery_type[":]+([^"]*)" (?:Z[\s\t][a-zA-Z0-9]+[\s\t][^\s]+[\s\t])(\w+)
도메인	아니오	1	\bquery_name[":]+([^"]*)" (?:Z[\s\t][a-zA-Z0-9]+[\s\t])([^\s]+)
도메인 목록	아니오	1	\bfirewall_domain_list_id [\"\:]+([^\"]+)
GroupID	예	1	\bfirewall_rule_group_id [\"\:]+([^\"]+)
이미지 ID	예		/"detail"/"findings"[0]/"자원"[0]/"세부사항"/"AwsEc2Instance"/"ImageId"
인스턴스 크기 유형	예		/"detail"/"findings"[0]/"자원"[0]/"Details"/"AwsEc2Instance"/"유형"
인스턴스 ID	예	1	\binstance [\"\:]+([^\"]+)
IP 프로토콜	아니오	1	(?:Z[\s\t][a-zA-Z0-9]+[\s\t][^\s]+[\s\t]\w+[\s\t]\w+[\s\t])(\w+) \btransport[":]+([^"]*)"
시스템 ID	예		/"detail"/"findings"[0]/"자원"[0]/"Id"
메시지	아니오		/"detail"/"findings"[0]/"제목"
MessageID	예		/"detail"/"findings"[0]/"Id"
메소드	아니오	1	\bhttpMethod[":]+"([^"]*)"
원래 호스트	예	1	\bsrcaddr[":]+([^"]*)"
영역	예	1	/"region" \bregion[":]+([^"]*)"
요청 목적지	아니오	1	\bsec-fetch-dest[",]+value[":]+"([^"]*)"
요청 모드	아니오	1	\bsec-fetch-mode[",]+value[":]+"([^"]*)"
요청 사이트	아니오	1	\bsec-fetch-site[",]+value[":]+"([^"]*)"
요청 URI	아니오	1	\buri[":]+"([^"]*)"
응답 코드	아니오	1	\brcode[":]+([^"]*)" (?:Z[\s\t][a-zA-Z0-9]+[\s\t][^\s]+[\s\t]\w+[\s\t])(\w+)
소스 국가	아니오	1	\bcountry[":]+"([^"]*)"
서브넷 ID	예		/"detail"/"findings"[0]/"자원"[0]/"세부사항"/"AwsEc2Instance"/"SubnetId"
사용자 에이전트	아니오	1	\buser-agent[",]+value[":]+"([^"]*)"
VPC ID	예	1	/"detail"/"findings"[0]/"자원"[0]/"세부사항"/"AwsEc2Instance"/"VpcId" \bvpc_id[":]+([^"]*)"

다음 참조 세트가 IBM Security QRadar Custom Properties for Amazon AWS 4.0.0에서 제거되었습니다.

AWS - 관리자 그룹
AWS - 관리자 역할
AWS - 관리사용자
AWS-심각 EC2 인스턴스 ID
AWS-인스턴스 이미지 ID
AWS - 표준 사용자
AWS - VPC ID

IBM Security QRadar Custom Properties for Amazon AWS 4.0.0에서 다음 규칙이 제거되었습니다.

AWS 클라우드: 네트워크 ACL 변경
AWS 클라우드: 서명 인증서가 제거됨
AWS 클라우드: EC2 인스턴스가 비표준 아마존 시스템 이미지(AMI)에서 작성됨
AWS 클라우드: EC2 인스턴스가 비표준 VPC에서 작성되었거나 VPC가 없음
AWS Cloud: Cloud activity by root user
AWS Cloud: Critical EC2 Instance Has Been Stopped OR Terminated
AWS 클라우드: 그룹이 작성되었거나 삭제됨
AWS 클라우드: 키 쌍 관리 구성 변경
AWS Cloud: Multiple Failed API Requests From Different Source IPs
AWS 클라우드: 네트워크 게이트웨이 변경
AWS 클라우드: 비밀번호 정책 업데이트
AWS 클라우드: 라우팅 테이블 변경
AWS Cloud: S3 Bucket accessed by Non-Standard User
AWS 클라우드: S3 버킷이 작성됨
AWS 클라우드: S3 버킷이 삭제됨
AWS 클라우드: S3 버킷 정책 변경
AWS 클라우드: 보안 그룹 구성 변경
AWS 클라우드: 사용자가 관리 역할 기능이 있는 그룹에 추가됨
AWS 클라우드: 업데이트된 사용자 프로파일
AWS 클라우드: 관리자 권한이 없는 사용자는 관리자 역할에 액세스
AWS 클라우드: VPC 구성 변경

다음 검색은 IBM Security QRadar Custom Properties for Amazon AWS 4.0.0에서 제거되었습니다.

AWS S3 버킷 작성

다음 보고서는 IBM Security QRadar Custom Properties for Amazon AWS 4.0.0에서 제거되었습니다.

AWS S3 버킷 작성 - 월별
AWS S3 버킷 작성 - 주별
AWS S3 버킷 삭제 - 월별
AWS S3 버킷 삭제-주별

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 3.0.0

IBM Security QRadar Custom Properties for Amazon AWS 3.0.0 은 Amazon Elastic Kubernetes Service와 함께 사용할 사용자 정의 특성을 추가합니다.

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 3.0.0에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 7. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 3.0.0 의 사용자 정의 특성
사용자 정의 특성	최적화 여부	캡처 그룹	정규식
API 경로	아니오	1	/"requestURI"
컨테이너 이미지	아니오	1	/"requestObject"/"spec"/"containers"[0]/"image"
컨테이너 이름	아니오	1	/"requestObject"/"spec"/"containers"[0]/"name"
MessageID	예	1	/"auditID"
네임스페이스	예	1	/"objectRef"/"namespace" objectRef[":{]+resource[":]+namespaces+[":]+,["]+name":"(.*?)"
기본 컨테이너	예	1	securityContext[":{]+privileged[":]+(true)
특권 컨테이너 이름	아니오	1	securityContext[":{]+privileged[":]+true}+,[":{]+name":"(.*?)"
프로세스 명령행	예	1	명령=(.*?)컨테이너=
이유	예	1	/"responseStatus"/"reason"
자원	예	1	/"objectRef"/"resource"
리소스 이름	예	1	/"objectRef"/"name"
역할	예	1	/"requestObject"/"roleRef"/"name"
역할 조치	예	1	/"requestObject"/"rules"[0]/"verbs"[]
역할 지정된 자원	예	1	/"requestObject"/"rules"[0]/"resources"[]
소스 마운트 포인트	예	1	volumeMounts":[{.*?"mountPath[":]+([^"]+)
대상 사용자 이름	예	1	"주제":[{.*?"이름":"([^"]+)"
사용자 에이전트	아니오	1	/"userAgent"

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 2.0.0

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 2.0.0에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 8. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 2.0.0 의 사용자 정의 특성
사용자 정의 특성	최적화 여부	캡처 그룹	정규식
조치	예	1	(?:http\|ftp\|tcp\|ssl\|https).?\".\"\s+.?\s+\d+\s+.?\s"(.*?)"\s
BytesReceived	예	1	\s(\d+)\s(\d+)\s"(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH)
BytesSent	예	1	\s(\d+)\s"(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH)
인증서	아니오	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\"\s".?"\s.?\s.?\s.?\s".?"\s".?"\s"(.?)"\s
암호	아니오	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\"\s".?"\s(.*?)\s
분류	아니오	1	(?:http\|ftp\|tcp\|ssl\|https).?\".\"\s+.?\s+\d+\s+.?\s+".?"\s+".?"\s+".?"\s+.?\s+".?"\s+"(.?)"\s+
오류 코드	예	1	(?:http\|ftp\|tcp\|ssl\|https).?\".\"\s+.?\s+\d+\s+.?\s+".?"\s+".?"\s+"(.*?)"\s+
ID 찾기	아니오	1	detail":.?id":"(.?)"
그룹 이름	예	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\"\s".?"\s.?\s.?\s(.*?)\s
메소드	아니오	1	(GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH)
이유	예	1	(?:http\|ftp\|tcp\|ssl\|https).?\".\"\s+.?\s+\d+\s+.?\s+".?"\s+".?"\s+".?"\s+.?\s+".?"\s+".?"\s+"(.*?)"
경로 재지정 URL	아니오	1	(?:http\|ftp\|tcp\|ssl\|https).?\".\"\s+.?\s+\d+\s+.?\s+".?"\s+"(.?)"\s+
리소스 ID	아니오	1	(?:http\|https\|h2\|grpcs\|ws\|wss)\s+.?\s(.?)\s
응답 코드	아니오	1	\s(\d+)\s(\d+)\s(\d+)\s(\d+)\s"(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH)
룰 ID	아니오	1	(?:http\|ftp\|tcp\|ssl\|https).?\".\"\s+.*?\s+(\d+)\s
TLS 또는 SSL 프로토콜 레벨	아니오	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\"\s".?"\s.?\s(.?)\s
Transaction ID	아니오	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\"\s".?"\s.?\s.?\s.?\s"(.?)"\s
URL 조회 문자열	아니오	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH)\s([^\;\s]+)
UrlHost	예	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\"\s".?"\s.?\s.?\s.?\s".?"\s"(.*?)"\s
사용자 에이전트	아니오	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\"\s"(.?)"

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 1.4.0

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.4.0에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 9. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.4.0 의 사용자 정의 특성
사용자 정의 특성	최적화 여부	캡처 그룹	Regex 또는 JSON
액세스 키 ID	예		/"userIdentity"/"accessKeyId"
경보 심각도	아니오	1	"severity":(\d+)
감사 플래그	예		/"requestParameters"/"setAsDefault"
시스템 ID	예	1	instanceId\"\:\s*\"([^\"]+)
MFA 사용됨	예		/"additionalEventData"/"MFAUsed"
역할 이름	예	1	\buserType":"AssumedRole","userName":"(.?)" assumed-role\/(.?)\/ \bdisassociating.?iamInstanceProfile".?arn":".?\/(.?)" /"requestParameters"/"AssociateIamInstanceProfileRequest"/"IamInstanceProfile"/"Name"
대상 액세스 키 ID	예		/"responseElements"/"credentials"/"accessKeyId"
볼륨 ID	예		/"requestParameters"/"volumeId"

그룹 계정 이름 사용자 정의 특성이 제거되었습니다.

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.4.0에서 새로 추가되거나 업데이트된 참조 데이터를 표시합니다.

표 10. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.4.0 의 참조 데이터
유형	이름	설명
참조 세트	AWS - 감사 이벤트	누락된 요소로 인해 끊어진 링크를 수정하도록 업데이트되었습니다.
참조 세트	AWS - VPC 이벤트	누락된 요소로 인해 끊어진 링크를 수정하도록 업데이트되었습니다.

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.4.0에서 새로 추가되거나 업데이트된 저장된 검색을 표시합니다.

표 11. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.4.0 의 저장된 검색
이름	설명
S3 버킷이 작성됨	검색 필터에서 이벤트 대신 룰을 사용하도록 업데이트되었습니다.
S3 버킷이 삭제됨	검색 필터에서 이벤트 대신 룰을 사용하도록 업데이트되었습니다.

소스 IP 또는 대상 IP가 아닌 소스 주소 또는 대상 주소를 사용하도록 저장된 모든 검색이 업데이트되었습니다.

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 1.3.0

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.3.0에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 12. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.3.0 의 사용자 정의 특성
사용자 정의 특성	최적화 여부	캡처 그룹	정규식
AccountID	아니오	1	"accountId":\s+"(\d*?)",
차단됨	아니오	1	"blocked":\s+([a-z]+)
그룹 이름	예	1	"groupName":\s+"(.*?)"
GroupID	예	1	"groupId":\s+"(.*?)"
이미지 ID	예	1	"imageId":\s+"(.*?)",
인스턴스 크기 유형	예	1	"instanceType":\s+"(.*?)",
인스턴스 상태	아니오	1	"instanceState":\s+"(.*?)",
InstanceID	예	1	"instanceId":\s+"(.*?)"
메시지	아니오	1	"title":\s+"(.*?)"
영역	예	1	"region":\s+"(.*?)",
리소스 ID	아니오	1	"partition":.+"id":\s+"(.*?)",\s+"arn":
자원 역할	아니오	1	"resourceRole":\s+"(.*?)"
위협 이름	예	1	"threatName":\s+"(.*?)",
UserType	예	1	"userType":\s+"(.*?)",
VPC ID	예	1	"vpcId":\s+"(.*?)"

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 의 사용자 정의 특성 1.2.7

UserAdded 사용자 정의 특성이 대상 사용자 이름 사용자 정의 특성에 병합되었습니다. AWS 사용자 계정 작성이라는 저장된 검색은 이제 대상 사용자 이름 사용자 정의 특성을 사용합니다.

계정 ID 사용자 정의 특성 유형이 영숫자로 설정되었습니다.

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 1.2.6

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.6에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 13. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.2.6 의 사용자 정의 특성
사용자 정의 특성	최적화 여부	사용	정규식	이벤트 이름
시스템 ID	예	예	instanceId":\s*"([^"]+)
공용 권한	예	예	\/groups\/global.?"},"Permission":\s\"(FULL_CONTROL\|READ\|WRITE_ACP)\"	오브젝트 ACL 넣기 버킷 ACL 넣기
역할 이름	예	예	"policyArn":".?/(.?)"	사용자 정책 첨부
대상 사용자 이름	예	예	"invokedBy":"(.?)" "userName":"(.?)"	사용자 정책 첨부

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 1.2.5

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.5에서 업데이트되는 사용자 정의 특성을 표시합니다.

표 14. IBM 보안 QRadar Custom Properties for Amazon AWS 1.2.5 에서 업데이트된 사용자 정의 특성
사용자 정의 특성	최적화 여부	사용	정규식	이벤트 이름
파일 이름	예	예	키\"\: \" ([^\"]+)	오브젝트 ACL 넣기

IBM Security QRadar Custom Properties for Amazon AWS 1.2.5 의 저장된 검색은 모든 사용자와 공유됩니다.

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 1.2.4

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.4에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 15. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.2.4 의 사용자 정의 특성
이름	최적화 여부	캡처 그룹	정규식
AccountID	아니오 아니오	1 1	accountId=(.?)\t \"accountId\"\:\"(\d?)\"
환경 유형	예	1	\"eventType\":\"(.*?)\"
파일 확장자	예	1	키 \"\:\" [^\"]+\. ([^\"]+)
파일 이름	예	1	키\"\: \" ([^\"]+)
인스턴스 상태	아니오	1	\"instanceState\":\{\"code\":(\d+),
공용 권한	예	1	\/groups.?"},"Permission":\s\"(FULL_CONTROL\|READ\|WRITE_ACP)\"
영역	예	1	awsRegion=(.*?)\t
리소스 ID	아니오	1	\"resourceId\":\"(.*?)\"
스토리지 이름	예	1	\"bucketName\":\"(.*?)\"
사용자 에이전트	아니오 아니오	1 1	\"userAgent\":\"(.?)\" userAgent=(.?)\t
UserType	예	1	userIdentity.type=(.*?)\t
VPC ID	예	1	vpcId=(.*?)\t

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 1.2.3

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.3에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 16. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.2.3 의 사용자 정의 특성
이름	캡처 그룹	정규식
InstanceID	1	instanceId\"\:\s*\"([^\"]+)
대상 사용자 이름	1	requestParameters[\"\:\{\.]userName[\"\:]([^\"]+)
정책 이름	1 1	policyName\"\:\"([^\"]+) policyArn\"\:\"([^\"]+)
오류 코드	1 1 1	\"errorCode\":\"([^\"]+) \"ConsoleLogin\"\:\"([^\"]+) "errorMessage":"([^\"]+)
이벤트 유형	1	eventType=(.*?)\t
EventName	1	"eventName"\:\"([^\"]+)
UserType	1	"type":"([^\"]+)

사용자 정책 이름 사용자 정의 특성은 이 릴리스에서 제거되었습니다.

조치 사용자 정의 특성은 오류 코드로 이름이 변경되었습니다.

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.3에서 새로 추가되거나 업데이트된 규칙을 표시합니다.

표 17. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 의 규칙 1.2.3
이름	설명
AWS 클라우드: 서명 인증서가 제거됨	요약이 업데이트되었습니다.
AWS 클라우드: 비표준 VPC에서 또는 VPC를 사용하지 않고 EC2 인스턴스가 작성됨	룰 설명이 업데이트되었습니다.
AWS 클라우드: 비표준 AMI(Amazon Machine Image)에서 EC2 인스턴스가 작성됨	룰 이름 및 룰 응답이 업데이트되었습니다.
AWS 클라우드: root 사용자에 의한 클라우드 활동	룰 색인이 업데이트되었고 응답 리미터가 추가되었습니다.
AWS 클라우드: 대형 스펙을 가진 EC2 인스턴스가 작성됨	이전에는 AWS 클라우드: 대형 인스턴스 실행 중이었습니다. 다음 룰 테스트가 추가되었습니다. `and when the event matches "Instance Size Type" in ('m5.4xlarge','m5.12xlarge','m5.24xlarge','m4.4xlarge', 'm4.10xlarge','m4.16xlarge','c5d.4xlarge','c5d.9xlarge', 'c5d.18xlarge') AQL filter query`
AWS 클라우드: 다른 소스 IP로부터의 다중 콘솔 로그인 실패	룰 이름 및 테스트가 업데이트되었고 룰 색인이 변경되었습니다.
AWS 클라우드: 동일한 소스 IP로부터의 다중 콘솔 로그인 실패	룰 이름 및 테스트가 업데이트되었습니다.
AWS 클라우드: AWS 콘솔에 대한 서로 다른 지역에서의 성공적인 로그인을 발견함	이전에는 AWS 클라우드: AWS 콘솔에 대한 서로 다른 지역으로부터의 다중 로그인 시도였습니다. 룰 이름 및 테스트가 업데이트되었고 룰 색인이 변경되었습니다.
AWS 클라우드: AWS 추적 로깅 구성에 대한 변경을 발견함	룰 이름이 업데이트되었습니다.
AWS 클라우드: 로그가 삭제됨/사용 안함으로 설정됨 또는 중지됨	이전에는 AWS 클라우드: 클라우드 추적이 삭제됨이었습니다. 룰 이름이 업데이트되었고 다음 관련 이벤트가 추가되었습니다. (88750492) 로깅 사용 안함 (88750787) 로깅 중지 (88750873) 플로우 로그 삭제
BB: AWS Cloud Read Attempt Error Code	이전에는 BB: AWS Cloud Read Attempt Error Code였습니다. 동일한 연산자로 regex 조건이 대체되었습니다. Client.UnauthorizedOperation 오류 코드가 추가되었습니다.
AWS 클라우드: 동일한 소스 IP로부터의 실패한 다중 API 요청	이전에는 AWS 클라우드: 동일한 소스 IP로부터의 실패한 다중 읽기 시도였습니다.
AWS 클라우드: 동일한 사용자 이름으로부터의 실패한 다중 API 요청	이전에는 AWS 클라우드: 동일한 사용자 이름으로부터의 실패한 다중 읽기 시도였습니다. 사용자 이름별로 색인이 작성되도록 룰 색인이 변경되었습니다.
AWS 클라우드: 다른 소스 IP로부터의 실패한 다중 API 요청	이전에는 AWS 클라우드: 다른 소스 IP로부터의 실패한 다중 읽기 시도였습니다. 대상 IP별로 색인이 작성되도록 룰 색인이 변경되었습니다.
AWS 클라우드: 중요 EC2 인스턴스가 중지되었거나 종결됨	이전에는 AWS 클라우드: EC2 인스턴스 삭제 및/또는 종료였습니다. 룰 이름 및 테스트가 업데이트되었습니다. 이제는 중요 EC2 인스턴스만 모니터합니다.
AWS 클라우드: 비밀번호 정책이 업데이트됨	룰 응답이 업데이트되었습니다.
AWS 클라우드: VPC 구성 변경	룰 응답이 업데이트되었습니다.
AWS 클라우드: 보안 그룹 구성 변경	룰 응답이 업데이트되었습니다.
AWS 클라우드: admin 권한이 없는 사용자가 admin 역할에 엑세스함	룰 응답이 업데이트되었습니다.
AWS 클라우드: S3 버킷이 작성됨	룰 응답이 업데이트되었습니다.
AWS 클라우드: S3 버킷 정책 변경	룰 응답이 업데이트되었습니다.
AWS 클라우드: 네트워크 ACL 변경	룰 응답이 업데이트되었습니다.
AWS 클라우드: 비표준 사용자가 S3 버킷에 액세스함	룰 응답이 업데이트되었습니다.
AWS 클라우드: 사용자 프로파일이 업데이트됨	룰 응답이 업데이트되었습니다.
AWS 클라우드: 그룹이 작성되거나 삭제됨	룰 응답이 업데이트되었습니다.
AWS 클라우드: S3 버킷이 삭제됨	룰 응답이 업데이트되었습니다.
AWS 클라우드: 네트워크 게이트웨이 변경	룰 응답이 업데이트되었습니다.
AWS 클라우드: 키 쌍 관리 구성 변경	룰 응답이 업데이트되었습니다.
AWS 클라우드: 라우팅 테이블 변경	룰 응답이 업데이트되었습니다.
AWS 클라우드: admin 역할 기능을 가진 그룹에 사용자가 추가됨	룰 응답이 업데이트되었습니다.

AWS 클라우드: EC2 인스턴스 실행 상태 변경 룰이 이 릴리스에서는 제거되었습니다.

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.3에서 새로 추가되거나 업데이트된 참조 데이터를 표시합니다.

표 18. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.2.3 의 참조 데이터
유형	이름	설명
참조 세트	AWS - 관리자 그룹	adamiak-group 테스트 항목을 제거했습니다.
참조 세트	AWS - 관리자 역할	admin-adamiak-test 테스트 항목을 제거했습니다.

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 1.2.2

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.2에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 19. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.2.2 의 사용자 정의 특성
이름	최적화 여부	캡처 그룹	정규식
계정 이름	예	1	\"userName\".+\"userName\"\:\"([^\"\}]+)
조치	예	1	\"ConsoleLogin\"\:\"([^\"]+)
오류 코드	예	1	\"errorCode\":\"([^\"]+)
EventName	예	1	eventName\:\"([^\"]+)
연합 사용자(federated user)	예	1	federated-user/([^\"]+)
그룹 계정 이름	예	1	userName.+userName\"\:\"([^\s"]+)
그룹 이름	예	1	groupName\"\:\"([^\s"]+)
이미지 ID	예	1	imageId\"\:\"([^\"]+)
인스턴스 크기 유형	예	1	instanceType\"\:\"([^\"]+)
정책 이름	예	1	policyArn\"\:\"([^\"]+)
영역	예	1	awsRegion\"\:\"([^\"]+)
역할 이름	예	1	\"roleName\"\:\"([^\"]+)
사용자 정책 조치	예	1	policyName\"\:\"([^\"]+)
사용자가 추가됨	예	1	\"requestParameters.userName\"\:\"([^\"]+)
UserType	예	1	type:"([^\"]+)
VPC ID	예	1	vpcId\"\:\"([^\"]+)

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.2에서 새로 추가되거나 업데이트된 룰 및 빌딩 블록을 표시합니다.

표 20. IBM 보안 QRadar Custom Properties for Amazon AWS 의 룰 및 빌딩 블록 1.2.2
유형	이름	설명
빌딩 블록	BB: AWS Cloud Read Attempt Error Code	읽기 시도 룰에서 사용되며 액세스 거부 매개변수를 리턴합니다.
규칙	AWS 클라우드: 비밀번호 정책이 업데이트됨	비밀번호 정책이 업데이트된 경우 이를 발견합니다.
규칙	AWS 클라우드: VPC 구성 변경	VPC 및 VPC 속성의 추가사항 및 변경을 발견합니다.
규칙	AWS 클라우드: EC2 인스턴스 실행 상태 변경	실행 중, 재부팅, 시작 중인 인스턴스를 발견합니다.
규칙	AWS 클라우드: 클라우드 추적이 삭제됨	삭제 중인 Amazon AWS 클라우드 추적 로그를 발견합니다.
규칙	AWS 클라우드: root 사용자에 의한 클라우드 활동	root 사용자에 의한 Amazon AWS 활동을 발견합니다. root로서 로그인하면 사용자의 진짜 ID가 숨겨집니다.
규칙	AWS 클라우드: 대형 인스턴스 실행	대형 EC2 인스턴스가 시작되는 경우 이를 발견합니다.
규칙	AWS 클라우드: 보안 그룹 구성 변경	보안 그룹 구성 변경, 룰 및 그룹의 추가/삭제를 발견합니다.
규칙	AWS 클라우드: 클라우드 추적 로그 또는 해당 구성이 변경됨	AWS 클라우드 추적 로그의 구성 변경을 발견합니다.
규칙	AWS 클라우드: 동일한 소스 IP로부터의 실패한 다중 콘솔 로그인	동일한 소스 IP에서 2분 이내에 5번 AWS 콘솔에 대한 로그인 실패를 발견합니다.
규칙	AWS 클라우드: 다른 소스 IP로부터의 실패한 다중 콘솔 로그인	다른 소스 IP에서 2분 이내에 25번 AWS 콘솔에 대한 로그인 실패를 발견합니다.
규칙	AWS 클라우드: admin 권한이 없는 사용자가 admin 역할에 엑세스함	admin 권한이 없는 사용자가 admin 역할에 연결할 수 있는 경우 이를 발견합니다.
규칙	AWS 클라우드: 동일한 소스 IP로부터의 실패한 다중 읽기 시도	특정 양의 시간 동안 동일한 소스 IP로부터의 다중 AWS 구성 읽기 이벤트를 발견합니다.
규칙	AWS 클라우드: 동일한 소스 IP로부터의 실패한 다중 읽기 시도	S3 버킷이 작성되는 경우 이를 발견합니다.
규칙	AWS 클라우드: S3 버킷 정책 변경	S3 버킷 정책, ACL(Access Control List), CORS(cross-origin resource sharing) 및 라이프사이클 정책의 변경을 발견합니다.
규칙	AWS 클라우드: 비표준 VPC에서 또는 VPC를 사용하지 않고 EC2가 시작됨	비표준 VPC에서 또는 VPC가 없는 EC2 클래식에서 인스턴스가 시작되는 경우 이를 발견합니다.
규칙	AWS 클라우드: 네트워크 ACL 변경	네트워크 ACL의 추가, 삭제 및 변경을 발견합니다.
규칙	AWS 클라우드: 다른 소스 IP로부터의 실패한 다중 읽기 시도	특정 양의 시간 동안 다른 소스 IP로부터의 다중 AWS 구성 읽기 이벤트를 발견합니다.
규칙	AWS 클라우드: 서명 인증서가 삭제됨	서명 인증서를 삭제하는 경우 이를 발견합니다.
규칙	AWS 클라우드: 비표준 사용자가 S3 버킷에 액세스함	AWS - 표준 사용자에 없는 사용자가 AWS 자원을 검색하려 시도하는 경우 이를 발견합니다.
규칙	AWS 클라우드: 사용자 프로파일이 업데이트됨	사용자 프로파일이 업데이트되는 경우 이를 발견합니다.
규칙	AWS 클라우드: 그룹이 작성되거나 삭제됨	그룹이 작성 또는 삭제되는 경우 이를 발견합니다.
규칙	AWS 클라우드: S3 버킷이 삭제됨	S3 버킷 또는 해당 컨텐츠가 삭제되는 경우 이를 발견합니다. 라이프사이클, 복제, CORS 및 기타 정책입니다.
규칙	AWS 클라우드: 다른 지역으로부터의 다중 콘솔 로그인 시도	다른 소스 지역에서 여러 번 동일한 사용자가 AWS 콘솔에 로그인을 시도하는 경우를 판별합니다. 이는 공유 또는 도난당한 신임 정보를 나타낼 수 있습니다.
규칙	AWS 클라우드: 네트워크 게이트웨이 변경	EC2 인스턴스에서 네트워크 게이트웨이 구성의 추가, 삭제 및 변경을 발견합니다.
규칙	AWS 클라우드: 키 쌍 관리 구성 변경	새로 생성된 키, 삭제된 키, 암호화 또는 복호화 활동을 발견하고 심각도에 따라 이벤트 또는 경보를 작성합니다.
규칙	AWS 클라우드: EC2 인스턴스 삭제 및/또는 종료	인스턴스 중지 또는 종결을 발견합니다.
규칙	AWS 클라우드: 비표준 이미지에서 EC2가 시작됨	표준 이미지 목록과 일치하지 않는 이미지 ID를 가진 인스턴스가 실행되는 경우 이를 발견합니다.
규칙	AWS 클라우드: 동일한 사용자 이름으로부터의 실패한 다중 읽기 시도	특정 양의 시간 동안 동일한 사용자로부터의 다중 AWS 구성 읽기 이벤트를 발견합니다.
규칙	AWS 클라우드: 라우팅 테이블 변경	기존 라우트 테이블에서 새 서브넷이 연관되거나 삭제되는 경우 이를 발견합니다.
규칙	AWS 클라우드: admin 역할 기능을 가진 그룹에 사용자가 추가됨	사용자가 admin 역할 기능을 가지고 있는 그룹에 추가되는 경우 이를 발견합니다.

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.2에서 새로 추가되거나 업데이트된 보고서를 표시합니다.

표 21. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 의 보고서 1.2.2
보고서 이름	검색 이름 및 종속성
AWS 감사 이벤트 - 매월	저장된 검색: AWS 감사 이벤트
AWS 감사 이벤트 - 매주	저장된 검색: AWS 감사 이벤트
AWS 실패한 콘솔 로그인 연합 사용자 - 매월	저장된 검색: AWS 실패한 콘솔 로그인 연합 사용자 - 사용자 이름 및 소스 IP별 그룹
AWS 실패한 콘솔 로그인 연합 사용자 - 매주	저장된 검색: AWS 실패한 콘솔 로그인 연합 사용자 - 사용자 이름 및 소스 IP별 그룹
AWS 실패한 콘솔 로그인 비연합 사용자 - 매월	저장된 검색: AWS 실패한 콘솔 로그인 비연합 사용자 - 사용자 이름 및 소스 IP별 그룹
AWS 실패한 콘솔 로그인 비연합 사용자 - 매주	저장된 검색: AWS 실패한 콘솔 로그인 비연합 사용자 - 사용자 이름 및 소스 IP별 그룹
AWS 그룹 감사 - 매월	저장된 검색: AWS 그룹 변경 감사
AWS 그룹 감사 - 매주	저장된 검색: AWS 그룹 변경 감사
AWS 대형 EC2 인스턴스 실행 - 매월	저장된 검색: AWS 대형 인스턴스 실행
AWS 대형 EC2 인스턴스 실행 - 매주	저장된 검색: AWS 대형 인스턴스 실행
AWS 정책 변경 감사 - 매월	저장된 검색: AWS 정책 변경 감사
AWS 정책 변경 감사 - 매주	저장된 검색: AWS 정책 변경 감사
AWS 역할 작성, 삭제 및 업데이트 - 매주	저장된 검색: AWS 역할 작성, 삭제 및 업데이트
AWS 역할 작성, 삭제 및 업데이트 - 매월	저장된 검색: AWS 역할 작성, 삭제 및 업데이트
AWS S3 버킷 작성 - 매월	저장된 검색: AWS S3 버킷 작성
AWS S3 버킷 작성 - 매주	저장된 검색: AWS S3 버킷 작성
AWS S3 버킷 삭제 - 매월	저장된 검색: AWS S3 버킷 삭제
AWS S3 버킷 삭제 - 매주	저장된 검색: AWS S3 버킷 삭제
AWS 보안 그룹 유입 - 매월	저장된 검색: AWS 보안 그룹 유입
AWS 보안 그룹 유입 - 매주	저장된 검색: AWS 보안 그룹 유입
AWS 성공적 콘솔 로그인 연합 사용자 - 매월	저장된 검색: AWS 성공적 콘솔 로그인 연합 사용자 - 사용자 이름 및 소스 IP별 그룹
AWS 성공적 콘솔 로그인 연합 사용자 - 매주	저장된 검색: AWS 성공적 콘솔 로그인 연합 사용자 - 사용자 이름 및 소스 IP별 그룹
AWS 성공적 콘솔 로그인 비연합 사용자 - 매월	저장된 검색: AWS 성공적 콘솔 로그인 비연합 사용자 - 사용자 이름 및 소스 IP별 그룹
AWS 성공적 콘솔 로그인 비연합 사용자 - 매주	저장된 검색: AWS 성공적 콘솔 로그인 비연합 사용자 - 사용자 이름 및 소스 IP별 그룹
AWS 사용자 계정 작성 - 매월	저장된 검색: AWS 사용자 계정 작성
AWS 사용자 계정 작성 - 매주	저장된 검색: AWS 사용자 계정 작성
AWS VPC 이벤트 감사 - 매월	저장된 검색: AWS VPC 감사 이벤트
AWS VPC 이벤트 감사 - 매주	저장된 검색: AWS VPC 감사 이벤트

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.2에서 새로 추가되거나 업데이트된 참조 데이터를 표시합니다.

표 22. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.2.2 의 참조 데이터
유형	이름
참조 세트	AWS - VPC ID
참조 세트	AWS - 관리자 그룹
참조 세트	AWS - 관리사용자
참조 세트	AWS - 관리자 역할
참조 세트	AWS - 인스턴스 이미지 ID
참조 세트	AWS - 표준 사용자
참조 세트	AWS - 감사 이벤트

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.2.2에서 새로 추가되거나 업데이트된 저장된 검색을 표시합니다.

표 23. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.2.2 의 저장된 검색
이름	설명
AWS S3 버킷 작성	이 저장된 검색은 S3 버킷 작성 보고서에서 사용됩니다.
AWS S3 버킷 삭제	이 저장된 검색은 S3 버킷 삭제 보고서에서 사용됩니다.
AWS 대형 인스턴스 실행	이 저장된 검색은 대형 EC2 인스턴스 실행 보고서에서 사용됩니다.
AWS VPC 감사 이벤트	이 저장된 검색은 AWS VPC 이벤트 감사 보고서에서 사용됩니다.
AWS 실패한 콘솔 로그인 비연합 사용자 - 사용자 이름 및 소스 IP별 그룹	이 저장된 검색은 실패한 콘솔 로그인 비연합 사용자 보고서에서 사용됩니다.
AWS 실패한 콘솔 로그인 연합 사용자 - 사용자 이름 및 소스 IP별 그룹	이 저장된 검색은 실패한 콘솔 로그인 연합 사용자 보고서에서 사용됩니다.
AWS 보안 그룹 유입	이 저장된 검색은 보안 그룹 유입 보고서에서 사용됩니다.
AWS 역할 작성, 삭제 및 업데이트	이 저장된 검색은 역할 보고서에서 사용됩니다.
AWS 성공적 콘솔 로그인 연합 사용자 - 사용자 이름 및 소스 IP별 그룹	이 저장된 검색은 성공적 콘솔 로그인 연합 사용자 보고서에서 사용됩니다.
AWS 정책 변경 감사	이 저장된 검색은 정책 변경 보고서에서 사용됩니다.
AWS 그룹 변경사항 감사	이 저장된 검색은 그룹 변경 보고서에서 사용됩니다.
AWS 성공적 콘솔 로그인 비연합 사용자 - 사용자 이름 및 소스 IP별 그룹	이 저장된 검색은 성공적 콘솔 로그인 비연합 사용자 보고서에서 사용됩니다.
AWS 감사 이벤트	이 저장된 검색은 감사 이벤트 보고서에서 사용됩니다.
AWS 작성된 사용자 계정	이 저장된 검색은 사용자 계정 작성 보고서에서 사용됩니다.

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 1.1.0

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.1.0에서 새로 추가되거나 업데이트된 사용자 정의 특성을 표시합니다.

표 24. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.1.0 의 사용자 정의 특성
이름	정규식
사용자 정책 이름	policyName\"\:\"([^\"]+)
인스턴스 크기 유형	instanceType\"\:\"([^\"]+)

역할 사용자 정의 특성은 이 릴리스에서 제거되었습니다.

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.1.0에서 새로 추가되거나 업데이트된 규칙을 표시합니다.

표 25. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 의 규칙 1.1.0
유형	이름	설명
규칙	AWS 클라우드: 대형 인스턴스 실행	대형 인스턴스가 실행되는 경우 이를 발견합니다.
규칙	AWS 클라우드: 네트워크 ACL 변경	ACL(Access Control List) 변경을 발견합니다.
규칙	AWS 클라우드: EC2 인스턴스 삭제 및/또는 종료	EC2 인스턴스가 종결되거나 삭제되는 경우 이를 발견합니다.
규칙	AWS 클라우드: VPC 구성 변경	가상 프라이빗 클라우드(VPC)의 구성 변경을 발견합니다.
규칙	AWS 클라우드: 비표준 사용자가 S3 버킷에 액세스함	AWS - 표준 사용자 참조 세트에 나열되어 있지 않은 사용자에 의한 S3 버킷 액세스를 발견합니다.
규칙	AWS 클라우드: EC2 인스턴스 실행 상태 변경	EC2 인스턴스의 실행 상태 변경을 발견합니다.
규칙	AWS 클라우드: 키 쌍 관리 구성 변경	키 쌍 관리 구성의 변경을 발견합니다.
규칙	AWS 클라우드: S3 버킷 정책	S3 버킷 정책 변경을 발견합니다.
규칙	AWS 클라우드: 보안 그룹 구성 변경	보안 그룹 구성의 변경을 발견합니다.
규칙	AWS 클라우드: 네트워크 게이트웨이 변경	네트워크 게이트웨이의 변경을 발견합니다.
규칙	AWS 클라우드: S3 버킷이 삭제됨	S3 버킷이 삭제되는 경우 이를 발견합니다.
규칙	AWS 클라우드: S3 버킷이 작성됨	S3 버킷이 작성되는 경우 이를 발견합니다.

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.1.0에서 새로 추가되거나 업데이트된 참조 데이터를 표시합니다.

표 26. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.1.0 의 참조 데이터
유형	이름	설명
참조 세트	AWS - 표준 사용자	사용자 조직의 AWS 사용자 목록입니다. 이 참조 세트는 AWS 클라우드: 비표준 사용자가 S3 버킷에 액세스함에서 사용됩니다.

_{(맨 위로 돌아가기)}

IBM Security QRadar Amazon AWS 1.0.0

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS 1.0.0의 사용자 정의 특성을 표시합니다.

표 27. IBM 보안 QRadar Amazon에 대한 사용자 정의 특성 AWS 1.0.0 의 사용자 정의 특성
이름	정규식
영역	awsRegion\"\:\"([^\"]+)
계정 이름	\"userName\".+\"userName\"\:\"([^\"\}]+)
그룹 이름	groupName\"\:\"([^\s"]+)
연합 사용자(federated user)	federated-user/([^\"]+)
UserType	"type":"([^\"]+)
UserAdded	\"requestParameters.userName\"\:\"([^\"]+)
조치	\"ConsoleLogin\"\:\"([^\"]+)
그룹 계정 이름	userName.+userName\"\:\"([^\s"]+)
오류 코드	\"errorCode\":\"([^\"]+)
역할	policy_id=(\d+)

다음 표는 IBM Security QRadar Custom Properties for Amazon AWS Content Extension 1.0.0의 룰 및 빌딩 블록을 표시합니다.

표 28. IBM 보안 QRadar Amazon AWS Content Extension 1.0.0 의 룰 및 빌딩 블록
유형	이름	설명
빌딩 블록	BB: AWS Cloud Read Attempt Error Code	읽기 시도 룰에서 사용되며 액세스 거부 매개변수를 리턴합니다.
규칙	AWS 클라우드: 다른 소스 IP로부터의 실패한 다중 콘솔 로그인	2분 이내에 총 5회 다른 소스 IP로부터의 실패한 AWS 콘솔 로그인을 발견합니다.
규칙	AWS 클라우드: 다른 지역으로부터의 다중 콘솔 로그인 시도	2분 이내에 총 5회 다른 지역으로부터의 실패한 AWS 콘솔 로그인을 발견합니다.
규칙	AWS 클라우드: 동일한 소스 IP로부터의 실패한 다중 콘솔 로그인	2분 이내에 총 5회 동일한 소스 IP로부터의 실패한 AWS 콘솔 로그인을 발견합니다.
규칙	AWS 클라우드: 동일한 소스 IP로부터의 실패한 다중 읽기 시도	특정 양의 시간 동안 동일한 소스 IP로부터의 다중 AWS 구성 읽기 이벤트를 발견합니다.
규칙	AWS 클라우드: 클라우드 추적이 삭제됨	Amazon AWS 클라우드 추적 로그가 삭제되는 경우 이를 발견합니다.
규칙	AWS 클라우드: 다른 소스 IP로부터의 실패한 다중 읽기 시도	특정 양의 시간 동안 다른 소스 IP로부터의 다중 AWS 구성 읽기 이벤트를 발견합니다.
규칙	AWS 클라우드: root 사용자에 의한 클라우드 활동	root 사용자에 의한 Amazon AWS 활동을 발견합니다. root로서 로그인하면 사용자의 ID가 숨겨집니다.
규칙	AWS 클라우드: 동일한 사용자 이름으로부터의 실패한 다중 읽기 시도	특정 양의 시간 동안 동일한 소스 IP로부터의 다중 AWS 구성 읽기 이벤트를 발견합니다.

다음 표는 IBM Security QRadar Amazon AWS Content Extension 1.0.0의 보고서를 표시합니다.

표 29. IBM 보안 QRadar Amazon AWS Content Extension 1.0.0 의 보고서
보고서 이름	설명
AWS 감사 이벤트 - 매월	AWS 감사 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 감사 이벤트 - 매주	AWS 감사 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 실패한 콘솔 로그인 연합 사용자 - 매월	AWS 로그인 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 실패한 콘솔 로그인 연합 사용자 - 매주	AWS 로그인 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 실패한 콘솔 로그인 비연합 사용자 - 매월	AWS 로그인 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 실패한 콘솔 로그인 비연합 사용자 - 매주	AWS 로그인 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 그룹 감사 - 매월	AWS 그룹 감사 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 그룹 감사 - 매주	AWS 그룹 감사 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 정책 변경 감사 - 매월	AWS 정책 변경 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 정책 변경 감사 - 매주	AWS 정책 변경 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 역할 작성, 삭제 및 업데이트 - 매월	AWS 역할 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 역할 작성, 삭제 및 업데이트 - 매주	AWS 역할 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS - 보안 그룹 유입 - 매월	AWS 보안 그룹 유입 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 보안 그룹 유입 - 매주	AWS 보안 그룹 유입 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 성공적 콘솔 로그인 연합 사용자 - 매월	AWS 로그인 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 성공적 콘솔 로그인 연합 사용자 - 매주	AWS 로그인 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 성공적 콘솔 로그인 비연합 사용자 - 매월	AWS 로그인 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 성공적 콘솔 로그인 비연합 사용자 - 매주	AWS 로그인 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 사용자 계정 작성 - 매월	AWS 사용자 계정 작성 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS 사용자 계정 작성 - 매주	AWS 사용자 계정 작성 활동에 대해 더 많은 모니터링 및 경향 분석을 제공합니다.
AWS VPC 이벤트 감사 - 매월	Amazon 가상 프라이빗 클라우드의 이벤트에 대한 경향 분석을 제공합니다.
AWS VPC 이벤트 감사 - 매주	Amazon 가상 프라이빗 클라우드의 이벤트에 대한 경향 분석을 제공합니다.

다음 표는 IBM Security QRadar Amazon AWS Content Extension 1.0.0의 참조 데이터를 표시합니다.

표 30. IBM 보안 QRadar Amazon AWS Content Extension 1.0.0 의 참조 데이터
유형	이름	설명
참조 세트	AWS_감사_이벤트	AWS 감사 이벤트 검색/보고서에서 사용하는 AWS 감사 이벤트(QID) 세트입니다. 사용자는 해당 환경에 따라 추가 또는 삭제할 수 있습니다.

다음 표는 IBM Security QRadar Amazon AWS Content Extension 1.0.0의 저장된 검색을 표시합니다.

표 31. IBM 보안 QRadar Amazon AWS Content Extension 1.0.0 의 저장된 검색
이름	설명
AWS -사용자 계정 작성	이 저장된 검색은 사용자 계정 작성 보고서에서 사용됩니다.
AWS -그룹 변경사항 감사	이 저장된 검색은 그룹 변경 보고서에서 사용됩니다.
AWS - 보안 그룹 유입	이 저장된 검색은 보안 그룹 유입 보고서에서 사용됩니다.
AWS 성공적 콘솔 로그인 연합 사용자 - 사용자 이름 및 소스 IP별 그룹	이 저장된 검색은 성공적 콘솔 로그인 연합 사용자 보고서에서 사용됩니다.
AWS 성공적 콘솔 로그인 비연합 사용자 - 사용자 이름 및 소스 IP별 그룹	이 저장된 검색은 성공적 콘솔 로그인 비연합 사용자 보고서에서 사용됩니다.
AWS 실패한 콘솔 로그인 비연합 사용자 - 사용자 이름 및 소스 IP별 그룹	이 저장된 검색은 실패한 콘솔 로그인 비연합 사용자 보고서에서 사용됩니다.
AWS 실패한 콘솔 로그인 연합 사용자 - 사용자 이름 및 소스 IP별 그룹	이 저장된 검색은 실패한 콘솔 로그인 연합 사용자 보고서에서 사용됩니다.
AWS 역할 작성, 삭제 및 업데이트	이 저장된 검색은 역할 보고서에서 사용됩니다.
AWS 정책 변경 감사	이 저장된 검색은 정책 변경 보고서에서 사용됩니다.
AWS 감사할 이벤트	이 저장된 검색은 감사 이벤트 보고서에서 사용됩니다.
AWS VPC 감사 이벤트	이 저장된 검색은 AWS VPC 이벤트 감사 보고서에서 사용됩니다.

_{(맨 위로 돌아가기)}