Data Exfiltration
배포에서 데이터 유출 활동을 면밀히 모니터링하려면 IBM 보안 QRadar 데이터 유출 콘텐츠 확장 프로그램을 사용하세요.
중요: 이 컨텐츠 확장에서 컨텐츠 오류를 방지하려면 연관된 DSM을 최신 상태로 유지하십시오. DSM은 자동 업데이트의 일부로 업데이트됩니다. 자동 업데이트가 활성화되지 않은 경우 IBM® Fix Central에서 관련 DSM의 최신 버전을 다운로드하세요(https://www.ibm.com/support/fixcentral).
Data Exfiltration 확장에 대한 정보
QRadar Content Extension pack for Data Exfiltration는 데이터 반출 활동을 감지하는 데 초점을 맞춘 여러 룰 및 저장된 검색을 추가합니다.
데이터 반출 활동의 예를 들면 다음과 같습니다.
- 알려진 악성 IP 또는 온라인 파일 스토리지 서비스로 대량의 아웃바운드 데이터 전송
- 며칠 또는 몇 개월에 걸쳐 천천히 은밀하게 아웃바운드 데이터 전송
- 클라우드에서 데이터 유출 또는 데이터 유실. 예를 들어 기밀 파일이 공개적으로 액세스 가능한 폴더 또는 버킷에 업로드되거나 기밀 파일의 권한이 누구나 읽을 수 있거나 액세스할 수 있도록 변경되는 경우입니다.
- 기밀 파일 공유. 예를 들어 기밀 파일이 악성 호스트, 게스트 사용자 또는 조직 외부의 사용자와 공유되는 경우입니다.
IBM Security QRadar Data Exfiltration Content Extensions
- IBM Security QRadar Data Exfiltration Content Extension 1.0.5
- IBM Security QRadar Data Exfiltration Content Extension 1.0.4
- IBM Security QRadar Data Exfiltration Content Extension 1.0.3
- IBM Security QRadar Data Exfiltration Content Extension 1.0.2
- IBM Security QRadar Data Exfiltration Content Extension 1.0.1
- IBM Security QRadar Data Exfiltration Content Extension 1.0.0
IBM Security QRadar Data Exfiltration Content Extension 1.0.5
이 버전의 IBM Security QRadar Data Exfiltration Content Extension에는 Exfiltration 룰 그룹의 이름 및 설명이 다음과 같이 나열되도록 하는 오류에 대한 수정사항이 포함되어 있습니다.nullAPI에서 호출되는 경우.
다음 표는 IBM Security QRadar Data Exfiltration Content Extension 1.0.5에서 새로 추가되거나 업데이트된 사용자 정의 이벤트 특성을 표시합니다.
참고: 다음 표에 포함된 사용자 정의 특성은 플레이스홀더입니다. 이러한 이름을 사용하여
사용자 정의 특성이 포함된 다른 컨텐츠 확장을 다운로드하거나 자체적으로 작성할 수
있습니다.
| 사용자 정의 특성 | 최적화 여부 | 발견되는 위치 |
|---|---|---|
| 파일 디렉토리 | 예 | |
| 수신자 호스트 | 예 | |
| Recipient_User | 예 | |
| UrlHost | 예 | |
| 웹 범주 | 예 |
다음 표는 IBM Security QRadar Data Exfiltration 1.0.5에서 새로 추가되거나 업데이트된 룰을 표시합니다.
| 이름 | 설명 |
|---|---|
| 동일한 소스 IP로부터 과도한 파일 액세스 이벤트 | 제외된 IP 주소 범위를 192.168.2.0/24에서 192.0.2.0/24로 변경했습니다. |
| 동일한 사용자 이름으로부터 과도한 파일 액세스 이벤트 | 제외된 IP 주소 범위를 192.168.2.0/24에서 192.0.2.0/24로 변경했습니다. |
| 동일한 사용자 이름의 과도한 파일 다운로드 이벤트 | 제외된 IP 주소 범위를 192.168.2.0/24에서 192.0.2.0/24로 변경했습니다. |
| 동일한 소스 IP로부터 과도한 파일 다운로드 이벤트 | 제외된 IP 주소 범위를 192.168.2.0/24에서 192.0.2.0/24로 변경했습니다. |
IBM Security QRadar Data Exfiltration Content Extension 1.0.4
다음 표는 IBM Security QRadar Data Exfiltration 1.0.4에서 새로 추가되거나 업데이트된 룰 및 빌딩 블록을 표시합니다.
| 유형 | 이름 | 설명 |
|---|---|---|
| 빌딩 블록 | BB:BehaviorDefinition: 잠재적으로 적대적인 수신자 호스트 | 성능 향상을 위해 필터가 추가되었습니다. |
| 빌딩 블록 | BB:CategoryDefinition: 잠재적 적대 대상 IP와의 통신 | 성능 향상을 위해 플로우 방향 필터가 추가되었습니다. |
| 빌딩 블록 | BB:CategoryDefinition: 잠재적 적대적 수신 호스트와의 커뮤니케이션 | 이 빌딩 블록은 제거되었습니다. |
| 빌딩 블록 | BB:BehaviorDefinition: 외부 수신자 호스트 | 이 빌딩 블록에서 참조 세트 ID 링크가 수정되었습니다. |
| 규칙 | 동일한 소스 IP로부터 과도한 파일 액세스 이벤트 | 룰 로직에 동일한 위치(로그 소스)가 추가되었습니다. |
| 규칙 | 동일한 사용자 이름으로부터 과도한 파일 액세스 이벤트 | 룰 로직에 동일한 위치(로그 소스)가 추가되었습니다. |
| 규칙 | 동일한 소스 IP로부터 과도한 파일 다운로드 이벤트 | 룰 로직에 동일한 위치(로그 소스)가 추가되었습니다. |
| 규칙 | 동일한 사용자 이름으로부터 과도한 파일 다운로드 이벤트 | 룰 로직에 동일한 위치(로그 소스)가 추가되었습니다. |
| 규칙 | 악성 IP에서 파일을 액세스 또는 다운로드함 | 대상 IP에 대한 응답 리미터가 변경되었습니다. |
| 규칙 | 대규모 아웃바운드 데이터 전송 | 임계값 룰 가져오기를 위반하는 알려진 결함으로 인해 제거되었습니다. |
| 규칙 | 플로우의 대규모 아웃바운드 데이터 전송 | 임계값 룰 가져오기를 위반하는 알려진 결함으로 인해 제거되었습니다. |
| 규칙 | 파일 스토리지 호스트에 대한 대규모 아웃바운드 데이터 전송 | 임계값 룰 가져오기를 위반하는 알려진 결함으로 인해 제거되었습니다. |
| 규칙 | 악성 호스트 또는 IP에 대한 대규모 아웃바운드 데이터 전송 | 임계값 룰 가져오기를 위반하는 알려진 결함으로 인해 제거되었습니다. |
| 규칙 | 플로우의 악성 IP에 대한 대규모 아웃바운드 데이터 전송 | 임계값 룰 가져오기를 위반하는 알려진 결함으로 인해 제거되었습니다. |
다음 표는 IBM Security QRadar Data Exfiltration 1.0.4에서 새로 추가되거나 업데이트된 저장된 검색을 표시합니다.
| 이름 | 설명 |
|---|---|
| 대규모 아웃바운드 데이터 전송 | AQL 검색에서 having 조항을 제거했습니다. |
| 대규모 아웃바운드 데이터 전송 - 이상 항목 모니터링 | AQL 검색에서 having 조항을 제거했습니다. |
| 파일 스토리지 호스트에 대한 대규모 아웃바운드 데이터 전송 | AQL 검색에서 having 조항을 제거했습니다. |
| 악성 호스트 또는 IP에 대한 대규모 아웃바운드 데이터 전송 | AQL 검색에서 having 조항을 제거했습니다. |
| 악성 IP에 대한 대규모 아웃바운드 데이터 전송 | AQL 검색에서 having 조항을 제거했습니다. |
IBM Security QRadar Data Exfiltration Content Extension 1.0.3
AQL 조회에서 발생하는 잘못된 구문 분석의 원인이 되는 펄스 대시보드의 오류가 수정되었습니다.
다음 표는 IBM Security QRadar Data Exfiltration Content Extension 1.0.3에서 이름이 변경된 빌딩 블록을 표시합니다.
| 이전 이름 | 새 이름 |
|---|---|
| BB:BehaviorDefinition: 외부 이메일 주소 | BB:BehaviorDefinition: 외부 수신자 호스트 |
| BB:BehaviorDefinition: 잠재적으로 적대적인 이메일 호스트 | BB:BehaviorDefinition: 잠재적으로 적대적인 수신자 호스트 |
IBM Security QRadar Data Exfiltration Content Extension 1.0.2
다음 룰에 대한 조건이 업데이트되었습니다.
- 대규모 아웃바운드 데이터 전송
- 플로우의 대규모 아웃바운드 데이터 전송
- 파일 스토리지 호스트에 대한 대규모 아웃바운드 데이터 전송
- 악성 호스트 또는 IP에 대한 대규모 아웃바운드 데이터 전송
- 플로우의 악성 IP에 대한 대규모 아웃바운드 데이터 전송
IBM Security QRadar Data Exfiltration Content Extension 1.0.1
오펜스에서 룰을 트리거한 레코드를 포함시키기 위해 QNI : 기밀 컨텐츠가 전송됨 룰이 업데이트되었습니다.
IBM Security QRadar Data Exfiltration Content Extension 1.0.0
다음 표는 IBM Security QRadar Data Exfiltration Content Extension 1.0.0의 사용자 정의 이벤트 특성을 표시합니다.
참고: 다음 표에 포함된 사용자 정의 특성은 플레이스홀더입니다. 이러한 이름을 사용하여
사용자 정의 특성이 포함된 다른 컨텐츠 확장을 다운로드하거나 자체적으로 작성할 수
있습니다.
| 사용자 정의 특성 | 최적화 여부 | 발견되는 위치 |
|---|---|---|
| BytesReceived | 예 | |
| BytesSent | 예 | |
| 파일 디렉토리 | 예 | |
| 파일 확장자 | 예 | |
| 파일 이름 | 예 | |
| MessageID | 예 | |
| 정책 이름 | 예 | |
| 공용 권한 | 예 | Amazon AWS |
| 수신자 호스트 | 예 | |
| Recipient_User | 예 | |
| 스토리지 이름 | 예 | Amazon AWS |
| 대상 사용자 영역 | 예 | Microsoft Office 365 |
| URL | 예 | |
| UrlHost | 예 | |
| 웹 범주 | 예 |
다음 표는 IBM Security QRadar Data Exfiltration Content Extension 1.0.0의 빌딩 블록 및 룰을 표시합니다.
| 유형 | 이름 | 설명 |
|---|---|---|
| 빌딩 블록 | BB:BehaviorDefinition: 외부 이메일 주소 | 이 빌딩 블록은 회사 이메일 도메인 참조 세트에 포함되어 있지 않은 수신자 호스트를 식별합니다. 참고: 회사 이메일 도메인 참조 세트를 채워야 합니다.
|
| 빌딩 블록 | BB:BehaviorDefinition: 잠재적으로 적대적인 이메일 호스트 | 이 빌딩 블록은 악성 호스트로 발송되는 이메일을 식별합니다. 호스트에 대한 X-Force ® 분류가 피싱 URL, 스팸 URL, 악성코드, 봇넷 명령 및 제어 서버 또는 가상화폐 마이닝 중 하나를 리턴하는 경우 이 호스트는 악성입니다. |
| 빌딩 블록 | BB:CategoryDefinition: 잠재적 적대 대상 IP와의 통신 | 이 빌딩 블록은 악성 IP에 대한 통신을 식별합니다. 호스트에 대한 X-Force 분류가 악성코드, 봇넷 명령 및 제어 서버, 스팸, 가상화폐 마이닝, IP 스캔, 봇 또는 피싱 중 하나를 리턴하는 경우 호스트가 악성입니다. |
| 빌딩 블록 | BB:CategoryDefinition: 잠재적 적대적 수신 호스트와의 커뮤니케이션 | 이 빌딩 블록은 악성 호스트에 대한 통신을 식별합니다. 호스트에 대한 X-Force 분류가 봇넷 명령 및 제어 서버, 악성코드, 피싱 URL, 가상화폐 마이닝 또는 스팸 URL중 하나를 리턴하는 경우 이 호스트는 악성입니다. |
| 빌딩 블록 | BB:CategoryDefinition: 접근이 제한된 국가/지역 | 일반적으로 엔터프라이즈에 대한 액세스가 허용되지 않는 지리적 위치를 포함하도록 이 BB를 편집하십시오. |
| 빌딩 블록 | BB:CategoryDefinition: 파일 삭제된 이벤트 | 파일 삭제 이벤트 카테고리를 포함하도록 이 빌딩 블록을 편집하십시오. |
| 빌딩 블록 | BB:CategoryDefinition: 공유 이벤트 링크 | 링크 공유 관련 이벤트 카테고리를 포함하도록 이 빌딩 블록을 편집하십시오. |
| 빌딩 블록 | BB:CategoryDefinition: 개체 액세스 이벤트 | 모든 오브젝트(파일, 폴더 등) 액세스 관련 이벤트 카테고리를 포함하도록 이 빌딩 블록을 편집하십시오. |
| 빌딩 블록 | BB:CategoryDefinition: 오브젝트 다운로드 이벤트 | 모든 오브젝트(파일, 폴더 등) 다운로드 관련 이벤트 카테고리를 포함하도록 이 빌딩 블록을 편집하십시오. |
| 빌딩 블록 | BB:CategoryDefinition: 오브젝트 업로드 이벤트 | 모든 오브젝트(파일, 폴더 등) 업로드 관련 이벤트 카테고리를 포함하도록 이 빌딩 블록을 편집하십시오. |
| 빌딩 블록 | BB:DeviceDefinition: DLP Devices | 이 빌딩 블록은 시스템에 있는 모든 데이터 유실 방지(DLP) 디바이스를 정의합니다. |
| 빌딩 블록 | BB:DeviceDefinition: 메일 | 이 빌딩 블록은 시스템에 있는 모든 메일 디바이스를 정의합니다. |
| 빌딩 블록 | BB:Exfiltration: 민감한 디렉토리의 파일 | 민감한 경로에 있는 파일을 발견합니다. 민감한 경로는 민감한 파일 경로 참조 세트에 정의되어 있습니다. 참고: 민감한 파일 경로 참조 세트를 채워야 합니다.
|
| 규칙 | 데이터베이스 백업 또는 압축 파일이 공개적으로 액세스 가능한 폴더에 업로드됨 | 이 룰은 데이터베이스 백업 또는 압축 파일이 공개적으로 액세스 가능한 폴더 또는 버킷에 업로드되는 경우에 트리거됩니다. 공개적으로 액세스 가능한 폴더 참조 세트가 관련 폴더 이름으로 채워져 있어야 합니다. 참고: 중요 파일 확장자 참조 세트는 중요 파일 확장자로 미리 채워져 있으며 조정할 수 있습니다.
|
| 규칙 | 민감한 파일이 포함된 이메일이 외부 호스트로 발송됨 | 이 룰은 민감한 데이터가 포함된 이메일이 조직 외부의 이메일 주소로 발송되는 경우에 트리거됩니다. 참고: 민감한 파일 디렉토리 참조 세트는 관련 폴더 이름으로 채워져야 합니다. 회사 이메일 도메인 참조 세트가 조직의 이메일 도메인으로 채워져 있어야 합니다.
|
| 규칙 | 민감한 파일이 포함된 이메일이 잠재적인 적대적 호스트로 발송됨 | 이 룰은 민감한 파일이 포함된 이메일이 피싱, 스팸, 악성코드, 봇넷 명령 및 제어 또는 가상화폐 마이닝과 같은 적대적인 활동으로 알려진 호스트로 전송되는 경우에 트리거됩니다. 민감한
디렉토리의 파일 참조 세트가 민감한 파일 디렉토리의 파일
룰로 채워져 있어야 합니다. 참고: 민감한 디렉토리 참조 세트를 채워야 합니다.
|
| 규칙 | 동일한 소스 IP로부터 과도한 파일 액세스 이벤트 | 이 룰은 5분 이내에 동일한 소스 IP에서 15개 이상의 서로 다른 파일에 액세스하는 경우에 트리거됩니다. 참고: AQL 함수를 편집하여 OS 업데이트 또는 소프트웨어 업데이트와 같은 알려진 합법적인 다운로드 활동을 제외하십시오.
|
| 규칙 | 동일한 사용자 이름으로부터 과도한 파일 액세스 이벤트 | 이 룰은 5분 이내에 동일한 사용자 이름이 15개 이상의 서로 다른 파일에 액세스하는 경우에 트리거됩니다. 참고: AQL 함수를 편집하여 OS 업데이트 또는 소프트웨어 업데이트와 같은 알려진 합법적인 다운로드 활동을 제외하십시오.
|
| 규칙 | 동일한 소스 IP로부터 과도한 파일 다운로드 이벤트 | 이 룰은 5분 이내에 동일한 소스 IP에서 10개 이상의 서로 다른 파일을 다운로드하는 경우에 트리거됩니다. 참고: AQL 함수를 편집하여 OS 업데이트 또는 소프트웨어 업데이트와 같은 알려진 합법적인 다운로드 활동을 제외하십시오.
|
| 규칙 | 동일한 사용자 이름으로부터 과도한 파일 다운로드 이벤트 | 이 룰은 5분 이내에 동일한 사용자 이름이 15개 이상의 서로 다른 파일을 다운로드하는 경우에 트리거됩니다. 참고: AQL 함수를 편집하여 OS 업데이트 또는 소프트웨어 업데이트와 같은 알려진 합법적인 다운로드 활동을 제외하십시오.
|
| 규칙 | 악성 IP에서 파일을 액세스 또는 다운로드함 | 이 룰은 명령 및 제어 서버 또는 악성코드 서버 등으로 알려진 악성 IP에서 파일을 액세스 또는 다운로드하는 경우에 트리거됩니다. |
| 규칙 | 파일 또는 폴더가 잠재적인 적대적 도메인에서 호스팅되는 이메일과 공유됨 | 이 룰은 파일 또는 폴더가 스팸 URL, 피싱 URL, 악성코드 또는 가상화폐 마이닝 등의 적대적 도메인과 연관된 이메일과 공유되는 경우에 트리거됩니다. |
| 규칙 | 파일 또는 폴더가 외부 이메일 주소와 공유됨 | 이 룰은 파일 또는 폴더가 회사 이외의 이메일 주소 도메인과 공유되는 경우에 트리거됩니다. 참고: 회사 이메일 도메인 참조 세트는 조직의 이메일 도메인으로 채워져야 합니다.
|
| 규칙 | 민감한 파일 디렉토리에서 파일이 삭제됨 | 이 룰은 민감한 파일 디렉토리에서 파일 삭제 이벤트가 발생한 후 룰 응답으로 민감한 디렉토리의 파일 참조 세트에서 파일 이름이 제거되는 경우 이를 발견합니다. 참고: IBM Security QRadar 7.3.2 및 이전 버전에서는 참조 세트가 민감한 디렉토리의 파일- AlphaNumeric에 올바르게 링크되지 않습니다. 이는 7.3.2 패치 1에서 수정되었습니다. 7.3.2 패치 1이 설치되지 않은 경우 다음을 수행할 수 있습니다. 규칙을 선택하고 다음을 클릭하십시오. 룰 응답에서 참조 세트 목록을 클릭한 후 민감한 디렉토리의 파일 - 영숫자를 선택하십시오.
|
| 규칙 | 민감한 파일 디렉토리의 파일 | 이 룰은 민감한 파일 디렉토리에서 새 파일이 발견된 후 룰 응답으로 민감한 디렉토리의 파일 참조 세트에 파일 이름이 추가되는 경우 이를 발견합니다. |
| 규칙 | 대규모 아웃바운드 데이터 전송 | 이 비정상 룰은 4일 이내에 특정 IP 주소로 5GB를 초과하는 데이터가 전송되는 경우에 트리거됩니다. |
| 규칙 | 플로우의 대규모 아웃바운드 데이터 전송 | 이 플로우 비정상 룰은 24시간 이내에 단일 IP 주소로 1GB를 초과하는 데이터가 전송되는 경우에 트리거됩니다. 자세한 정보는 대규모 아웃바운드 데이터 전송 네트워크 활동 저장된 검색을 참조하십시오. |
| 규칙 | 파일 스토리지 호스트에 대한 대규모 아웃바운드 데이터 전송 | 이 이벤트 변칙 규칙은 24시간 이내에 X-Force 카테고리 웹 스토리지로 분류된 URL 1GB 이상의 데이터가 전송될 때 트리거됩니다. 또한 이 룰은 참조 세트, 파일 스토리지 웹 카테고리에 채워진 프록시 카테고리에 대해서도 일치하도록 구성되어 있습니다. 자세한 정보는 파일 스토리지 호스트에 대한 대규모 아웃바운드 데이터 전송 로그 보기 저장된 검색을 참조하십시오. |
| 규칙 | 악성 호스트 또는 IP에 대한 대규모 아웃바운드 데이터 전송 | 이 이벤트 변칙 규칙은 24시간 내에 1GB 이상의 데이터가 다음 X-Force 범주 중 하나에 해당하는 IP 주소 또는 URL 로 전송될 때 트리거됩니다: 멀웨어, 봇넷 명령 및 제어 서버, 스팸, 암호화폐 채굴, IP 주소 스캔(IP 주소에서만), 피싱 또는 봇(IP 주소에서만). 또한 이 룰은 참조 세트, 악성 웹 카테고리에 채워진 프록시 카테고리에 대해서도 일치하도록 구성되어 있습니다. 자세한 정보는 악성 호스트에 대한 대규모 아웃바운드 데이터 전송 또는 IP 로그 보기 저장된 검색을 참조하십시오. |
| 규칙 | 플로우의 악성 IP에 대한 대규모 아웃바운드 데이터 전송 | 이 플로우 비정상 룰은 24시간내에 악성코드, 봇넷 명령 및 제어 서버, 스팸, 가상화폐 마이닝, 스캐닝 IP, 피싱 또는 봇 중 하나의 X-Force 카테고리로 분류된 IP 주소로 1GB를 초과하는 데이터가 전송되는 경우 트리거됩니다. 자세한 정보는 악성 IP에 대한 대규모 아웃바운드 데이터 전송 네트워크 보기 저장된 검색을 참조하십시오. |
| 규칙 | QNI : 기밀 컨텐츠가 전송됨 | 이 룰은 원격 대상으로 전송되는 기밀 컨텐츠를 발견합니다. 사용 불가능 컨텐츠는 YARA 룰을 사용하여 튜닝할 수 있습니다. 자세한 정보는 QNI 문서를 참조하십시오. |
| 규칙 | 액세스가 제한된 지역 또는 국가에서 민감한 파일을 액세스 또는 다운로드함 | 이 룰은 액세스가 제한된 지역 또는 국가에서 기밀 파일을 액세스 또는 다운로드하는 경우에 트리거됩니다. 이러한 지역은 BB:CategoryDefinition: Countries/Regions with Restricted Access 빌딩 블록에 정의되어 있습니다. |
| 규칙 | 민감한 파일 권한에서 공개 액세스를 허용함 | 이 룰은 민감한 파일에 대한 권한에 공개적으로 액세스 가능한 경우에 트리거됩니다. 민감한
디렉토리의 파일 참조 세트가 민감한 파일 디렉토리의 파일
룰로 채워져 있어야 합니다. 참고: 민감한 디렉토리 참조 세트를 채워야 합니다.
|
| 규칙 | 민감한 파일이 게스트 사용자 또는 그룹과 공유됨 | 이 룰은 민감한 파일이 게스트 사용자 또는 그룹과 공유되는 경우에 트리거됩니다. 민감한 디렉토리의 파일 참조 세트가 민감한 디렉토리 참조 세트를 사용하는 민감한 파일 디렉토리의 파일 룰로 채워져 있어야 합니다. 참고: 민감한 디렉토리 및 게스트 로그인 사용자 참조 세트를 채워야 합니다.
|
| 규칙 | 민감한 파일이 공개적으로 액세스 가능한 폴더에 업로드됨 | 이 룰은 민감한 파일이 공개적으로 액세스 가능한 폴더 또는 버킷에 업로드되는 경우에 트리거됩니다. |
| 규칙 | DLP 디바이스에서 기밀 데이터에 대한 의심스러운 활동이 발견됨 | 이 룰은 DLP 디바이스에서 기밀 데이터에 대한 의심스러운 활동이 발견되는 경우에 트리거됩니다. DLP 디바이스는 BB:DeviceDefinition: DLP Devices 빌딩 블록에 정의되어 있습니다. 주: DLP 정책 참조 세트를 채워야 합니다.
|
다음 표는 IBM Security QRadar Data Exfiltration Content Extension 1.0.0의 참조 데이터를 표시합니다.
| 유형 | 이름 | 설명 |
|---|---|---|
| 참조 세트 | 기밀/민감한 파일 이름 | 기밀 또는 민감한 파일 이름의 목록을 포함합니다. |
| 참조 세트 | 회사 이메일 도메인 | 회사 이메일 도메인의 목록이 포함되어 있습니다. |
| 참조 세트 | 중요 파일 확장자 | 중요한 파일 확장자의 목록이 포함되어 있습니다. |
| 참조 세트 | DLP 정책 | DLP 정책의 목록이 포함되어 있습니다. |
| 참조 세트 | File Storage 웹 카테고리 | 파일 스토리지 웹 카테고리의 목록이 포함되어 있습니다. |
| 참조 세트 | 민감한 디렉토리의 파일 | 민감한 디렉토리에 있는 파일 이름의 목록이 포함되어 있습니다. |
| 참조 세트 | 게스트 로그인 사용자 | 게스트 로그인 사용자 이름의 목록이 포함되어 있습니다. |
| 참조 세트 | 합법적 데이터 전송 대상 IP | 합법적 데이터 전송 대상 IP의 목록이 포함되어 있습니다. |
| 참조 세트 | 악성 웹 카테고리 | 악성 웹 카테고리의 목록이 포함되어 있습니다. |
| 참조 세트 | 공개적으로 액세스 가능한 폴더 | 공개적으로 액세스 가능한 폴더 이름의 목록이 포함되어 있습니다. |
| 참조 세트 | 민감한 파일 디렉토리 | 민감한 파일 디렉토리의 목록이 포함되어 있습니다. |
다음 표는 IBM Security QRadar Data Exfiltration Content Extension 1.0.0의 저장된 검색을 표시합니다.
| 이름 | 설명 |
|---|---|
| 대규모 아웃바운드 데이터 전송 | 원격 호스트에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 이벤트를 보여줍니다. |
| 파일 스토리지 호스트에 대한 대규모 아웃바운드 데이터 전송 | 파일 스토리지 호스트에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 이벤트를 보여줍니다. |
| 악성 호스트 또는 IP에 대한 대규모 아웃바운드 데이터 전송 | 악성 호스트 또는 IP에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 이벤트를 보여줍니다. |
| 며칠에 걸친 느린 아웃바운드 데이터 전송 | 며칠에 걸친 원격 호스트에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 이벤트를 보여줍니다. |
| 소스 IP 및 사용자 이름을 기준으로 그룹화된 며칠에 걸친 느린 아웃바운드 데이터 전송 | 소스 IP 및 사용자 이름을 기준으로 그룹화된 며칠에 걸친 원격 호스트에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 이벤트를 보여줍니다. |
| 몇 개월에 걸친 느린 아웃바운드 데이터 전송 | 몇 개월에 걸친 원격 호스트에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 이벤트를 보여줍니다. |
| 대규모 아웃바운드 데이터 전송 | 원격 호스트에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 플로우를 보여줍니다. |
| 악성 IP에 대한 대규모 아웃바운드 데이터 전송 | 악성 IP에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 플로우를 보여줍니다. |
| 며칠에 걸친 느린 아웃바운드 데이터 전송 | 며칠에 걸친 원격 IP에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 플로우를 보여줍니다. |
| 소스 IP를 기준으로 그룹화된 며칠에 걸친 느린 아웃바운드 데이터 전송 | 소스 IP를 기준으로 그룹화된 몇 개원에 걸친 원격 IP에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 플로우를 보여줍니다. |
| 몇 개월에 걸친 느린 아웃바운드 데이터 전송 | 몇 개월에 걸친 원격 IP에 대한 대규모 아웃바운드 데이터 전송(1GB 초과)과 관련된 모든 플로우를 보여줍니다. |