Eksfiltracja danych
IBM® QRadar ® Exfiltration Content Extension umożliwia dokładne monitorowanie działań ekfiltracji danych we wdrożeniu.
Ważne: Aby uniknąć błędów związanych z treścią w tym rozszerzeniu treści, należy pozostawić do tej pory powiązane z nią elementy DSM. Funkcje DSM są aktualizowane w ramach automatycznych aktualizacji. Jeśli aktualizacje automatyczne nie są włączone, należy pobrać najnowszą wersję powiązanych z nią pakietów DSM z serwisu IBM Fix Central (https://www.ibm.com/support/fixcentral).
Informacje o rozszerzeniu Exfiltration
Pakiet QRadar Content Extension Pack for Data Exfiltration dodaje kilka reguł i zapisanych wyszukiwań, które koncentrują się na wykrywaniu działań exfiltracji danych.
Przykładami działań ekfiltracji danych są:
- Duże przesyłanie danych wychodzących do znanego złośliwego adresu IP lub do usługi plikowej pamięci masowej w trybie z połączeniem.
- Powolne i bezduszne przesyłanie danych wychodzących w ciągu kilku dni lub miesięcy.
- Wyciek danych lub utrata danych w chmurze. Na przykład, jeśli plik poufny jest przesyłany do publicznie dostępnego folderu lub zasobnika, lub jeśli uprawnienia pliku poufnego zostały zmienione tak, aby były czytelne na świecie lub dostępne.
- Udostępnianie poufnych plików do współużytkowania. Na przykład, jeśli poufne pliki są współużytkowane ze złośliwym hostem, użytkownikiem gościa lub z użytkownikiem spoza organizacji.
Rozszerzenia treści programu IBM Ochrona QRadar Data Exfiltration Content Extensions
- IBM Security QRadar Data Exfiltration Content Extension 1.0.5
- IBM Security QRadar Data Exfiltration Content Extension 1.0.4
- IBM Security QRadar Data Exfiltration Content Extension 1.0.3
- IBM Security QRadar Data Exfiltration Content Extension 1.0.2
- IBM Security QRadar Data Exfiltration Content Extension 1.0.1
- IBM Security QRadar Data Exfiltration Content Extension 1.0.0
IBM Security QRadar Data Exfiltration Content Extension 1.0.5
Ta wersja produktu IBM Security QRadar Data Exfiltration Content Extension zawiera poprawkę dla błędu, która spowodowała, że grupa reguł Exfiltration ma swoją nazwę i opis jakonullw przypadku wywołania z interfejsu API.
W poniższej tabeli przedstawiono właściwości niestandardowych zdarzeń, które są nowe lub zaktualizowane w produkcie IBM Security QRadar Data Exfiltration Content Extension 1.0.5.
Uwaga: Właściwości niestandardowe, które są zawarte w poniższej tabeli, są obiektami zastępczymi. Istnieje możliwość pobrania innych rozszerzeń treści, które zawierają właściwości niestandardowe o tych nazwach, lub można utworzyć własne.
| Właściwość niestandardowa | Zoptymalizowane | Miejsce występowania |
|---|---|---|
| Katalog plików | Tak | |
| Host odbiorcy | Tak | |
| Użytkownik_odbiorcy | Tak | |
| UrlHost | Tak | |
| Kategoria WWW | Tak |
W poniższej tabeli przedstawiono reguły, które są nowe lub zaktualizowane w programie IBM Security QRadar Data Exfiltration 1.0.5.
| Nazwa | Opis |
|---|---|
| Nadmierne zdarzenia dostępu do plików z tego samego źródła IP | Zmieniono zakres wykluczonych adresów IP z 192.168.2.0/24 na 192.0.2.0/24. |
| Nadmierna liczba zdarzeń dostępu do pliku z tej samej nazwy użytkownika | Zmieniono zakres wykluczonych adresów IP z 192.168.2.0/24 na 192.0.2.0/24. |
| Nadmierne pobieranie plików zdarzeń z tej samej nazwy użytkownika | Zmieniono zakres wykluczonych adresów IP z 192.168.2.0/24 na 192.0.2.0/24. |
| Nadmierny plik pobierania plików z tego samego źródła IP | Zmieniono zakres wykluczonych adresów IP z 192.168.2.0/24 na 192.0.2.0/24. |
IBM Security QRadar Data Exfiltration Content Extension 1.0.4
W poniższej tabeli przedstawiono reguły i elementy składowe, które są nowe lub zaktualizowane w programie IBM Security QRadar Data Exfiltration 1.0.4.
| Typ | Nazwa | Opis |
|---|---|---|
| Blok budynku | BB:BehaviorDefinition: potencjalnie wrogiego hosta odbiorcy | Dodano filtr w celu zwiększenia wydajności. |
| Blok budynku | BB:CategoryDefinition: Komunikacja z potencjalnymi adresami IP miejsca docelowego Hostile | Dodano filtr kierunku przepływu w celu zwiększenia wydajności. |
| Blok budynku | BB:CategoryDefinition: Komunikacja z hostami potencjalnych wrogich odbiorców | Usunięto ten blok budynku. |
| Blok budynku | BB:BehaviorDefinition: Zewnętrzny Host Odbiorcy | Ustal odsyłacz ID zestawu referencyjnego w tym bloku budynku. |
| Reguła | Nadmierne zdarzenia dostępu do plików z tego samego źródła IP | Dodano takie samo położenie (źródło dziennika) do logiki reguł. |
| Reguła | Nadmierna liczba zdarzeń dostępu do pliku z tej samej nazwy użytkownika | Dodano takie samo położenie (źródło dziennika) do logiki reguł. |
| Reguła | Nadmierny plik pobierania plików z tego samego źródła IP | Dodano takie samo położenie (źródło dziennika) do logiki reguł. |
| Reguła | Nadmierny plik pobiera zdarzenia z tej samej nazwy użytkownika | Dodano takie samo położenie (źródło dziennika) do logiki reguł. |
| Reguła | Plik, do którego uzyskano dostęp lub przeładowano ze złośliwego adresu IP | Zmieniono ogranicznik odpowiedzi na docelowy adres IP. |
| Reguła | Duże przesyłanie danych wychodzących | Usunięto ze względu na znany defekt, który przerywa importowanie reguł progów. |
| Reguła | Duże wychodzące przesyłanie danych dla przepływów | Usunięto ze względu na znany defekt, który przerywa importowanie reguł progów. |
| Reguła | Duże przesyłanie danych wychodzących do hosta File Storage | Usunięto ze względu na znany defekt, który przerywa importowanie reguł progów. |
| Reguła | Duże wychodzące przesyłanie danych do złośliwego hosta lub IP | Usunięto ze względu na znany defekt, który przerywa importowanie reguł progów. |
| Reguła | Duże wychodzące przesyłanie danych do złośliwego adresu IP dla przepływów | Usunięto ze względu na znany defekt, który przerywa importowanie reguł progów. |
W poniższej tabeli przedstawiono zapisane wyszukiwania, które są nowe lub zaktualizowane w programie IBM Security QRadar Data Exfiltration 1.0.4.
| Nazwa | Opis |
|---|---|
| Duże przesyłanie danych wychodzących | Usunięto klauzulę having z wyszukiwania AQL. |
| Duże przesyłanie danych wychodzących-monitorowanie Anomaly | Usunięto klauzulę having z wyszukiwania AQL. |
| Duże przesyłanie danych wychodzących do hosta File Storage | Usunięto klauzulę having z wyszukiwania AQL. |
| Duże wychodzące przesyłanie danych do złośliwego hosta lub IP | Usunięto klauzulę having z wyszukiwania AQL. |
| Duże przesyłanie danych wychodzących do złośliwego IP | Usunięto klauzulę having z wyszukiwania AQL. |
IBM Security QRadar Data Exfiltration Content Extension 1.0.3
Naprawiono błędy w panelu kontrolnym Pulse, który spowodował nieprawidłowe analizowanie zapytań AQL.
W poniższej tabeli przedstawiono nazwy elementów składowych, których nazwy zmieniono na IBM Security QRadar Data Exfiltration Content Extension 1.0.3.
| Stara nazwa | Nowa nazwa |
|---|---|
| BB:BehaviorDefinition: zewnętrzne adresy e-mail | BB:BehaviorDefinition: Zewnętrzny Host Odbiorcy |
| BB:BehaviorDefinition: Potencjalnie Hostile hosta poczty elektronicznej | BB:BehaviorDefinition: potencjalnie wrogiego hosta odbiorcy |
IBM Security QRadar Data Exfiltration Content Extension 1.0.2
Zaktualizowano warunki dla następujących reguł:
- Duże przesyłanie danych wychodzących
- Duże wychodzące przesyłanie danych dla przepływów
- Duże przesyłanie danych wychodzących do hosta File Storage
- Duże wychodzące przesyłanie danych do złośliwego hosta lub IP
- Duże wychodzące przesyłanie danych do złośliwego adresu IP dla przepływów
IBM Security QRadar Data Exfiltration Content Extension 1.0.1
Zaktualizowano regułę QNI: Poufne Content Being Przeniesione w celu uwzględnienia rekordów, które wyzwołały regułę w tym samym wykroczenia.
IBM Security QRadar Data Exfiltration Content Extension 1.0.0
W poniższej tabeli przedstawiono właściwości niestandardowych zdarzeń w produkcie IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
Uwaga: Właściwości niestandardowe, które są zawarte w poniższej tabeli, są obiektami zastępczymi. Istnieje możliwość pobrania innych rozszerzeń treści, które zawierają właściwości niestandardowe o tych nazwach, lub można utworzyć własne.
| Właściwość niestandardowa | Zoptymalizowane | Miejsce występowania |
|---|---|---|
| BytesReceived | Tak | |
| BytesSent | Tak | |
| Katalog plików | Tak | |
| Rozszerzenie pliku | Tak | |
| Nazwa pliku | Tak |
|
| MessageID | Tak | |
| Nazwa zasad | Tak | |
| Uprawnienia publiczne | Tak | Amazon AWS |
| Host odbiorcy | Tak | |
| Użytkownik_odbiorcy | Tak | |
| Nazwa pamięci | Tak | Amazon AWS |
| Docelowy obszar użytkownika | Tak | Microsoft Office 365 |
| Adres URL | Tak | |
| UrlHost | Tak | |
| Kategoria WWW | Tak |
W poniższej tabeli przedstawiono bloki i reguły budowania w produkcie IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Typ | Nazwa | Opis |
|---|---|---|
| Blok budynku | BB:BehaviorDefinition: zewnętrzne adresy e-mail | Ten blok budynku identyfikuje hosty odbiorców, które nie znajdują się w zestawie odwołań do domen korporacyjnych poczty elektronicznej. Uwaga: Zestaw referencyjny korporacyjnych domen poczty elektronicznej musi być zapełniony.
|
| Blok budynku | BB:BehaviorDefinition: Potencjalnie Hostile hosta poczty elektronicznej | Ten blok budynku identyfikuje wiadomość e-mail, która jest wysyłana do złośliwego hosta. Host jest szkodliwy, jeśli kategoryzacja X-Force ® zwraca jedną z następujących wartości: Phishing URL, Spam URLs, Malware, Botnet Command and Control Server, lub Cryptocurrency Mining. |
| Blok budynku | BB:CategoryDefinition: Komunikacja z potencjalnymi adresami IP miejsca docelowego Hostile | Ten blok budynku identyfikuje komunikację ze złośliwymi IPs. Host jest szkodliwy, jeśli kategoryzacja X-Force dla niego zwraca jedną z następujących wartości: Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scanning IPs, Bots, lub Phishing. |
| Blok budynku | BB:CategoryDefinition: Komunikacja z hostami potencjalnych wrogich odbiorców | Ten blok budynku identyfikuje komunikację ze złośliwymi hostami. Host jest szkodliwy, jeśli kategoryzacja X-Force dla niego zwraca jedną z następujących wartości: Botnet Command and Control Server, Malware, Phishing URLs, Cryptocurrency Mining lub Spam URLs. |
| Blok budynku | BB:CategoryDefinition: Kraje/regiony z ograniczonym dostępem | Edytuj ten obiekt BB, aby dołączyć do niego dowolne położenie geograficzne, które zwykle nie jest dozwolone w celu uzyskania dostępu do przedsiębiorstwa. |
| Blok budynku | BB:CategoryDefinition: Usunięte zdarzenia pliku | Edytuj ten blok budynku, aby uwzględnić wszystkie kategorie zdarzeń usuwania plików. |
| Blok budynku | BB:CategoryDefinition: Dowiązanie współużytkowanych zdarzeń | Edytuj ten blok budynku, aby uwzględnić kategorie zdarzeń powiązanych ze współużytkowanymi powiązaniem. |
| Blok budynku | BB:CategoryDefinition: Zdarzenia dostępu do obiektu | Edytuj ten blok budynku, aby uwzględnić wszystkie kategorie zdarzeń związanych z dostępem do wszystkich obiektów (pliku, folderu i tak dalej). |
| Blok budynku | BB:CategoryDefinition: Zdarzenia pobierania obiektu (Object Download Events) | Edytuj ten blok budynku, aby uwzględnić wszystkie kategorie zdarzeń związanych z pobierniem obiektu (pliku, folderu i tak dalej). |
| Blok budynku | BB:CategoryDefinition: Zdarzenia podczas przesyłania obiektów | Edytuj ten blok budynku, aby uwzględnić wszystkie kategorie zdarzeń związanych z przesyłaniem wszystkich obiektów (plików, folderów i tak dalej). |
| Blok budynku | BB:DeviceDefinition: Urządzenia DLP | Ten blok budynku definiuje wszystkie urządzenia do zapobiegania utracie danych (DLP) w systemie. |
| Blok budynku | BB:DeviceDefinition: Poczta | Ten blok budynku definiuje wszystkie urządzenia poczty elektronicznej w systemie. |
| Blok budynku | BB:Exfiltration: Files in Sensitive Directories | Wykrywa pliki, które znajdują się w czułych ścieżkach. Ścieżki objęte szczególną ochroną są definiowane w zestawie odwołań Sensitive File Paths. Uwaga: Zestaw odniesień ścieżek do plików objętych szczególną ochroną musi być zapełniony.
|
| Reguła | Kopia zapasowa bazy danych lub skompresowany plik przesłany do publicznie dostępnego folderu | Ta reguła wyzwala, gdy kopia zapasowa bazy danych lub skompresowany plik zostanie przesłany do publicznie dostępnego folderu lub zasobnika. Zestaw odwołań do folderów publicznie dostępnych musi być zapełniony odpowiednimi nazwami folderów. Uwaga: Zestaw odwołań do krytycznych rozszerzeń plików jest wstępnie zapełniany przy użyciu newralgicznych rozszerzeń plików i może być strojony.
|
| Reguła | Wiadomość e-mail zawierająca plik Sensitive wysłany do hosta zewnętrznego | Ta reguła jest wyzwalana, gdy wiadomość e-mail zawierająca dane wrażliwe jest wysyłana na adres e-mail spoza organizacji. Uwaga: Zestaw odwołań do katalogów plików objętych szczególną ochroną musi być zapełniony odpowiednimi folderami. Zestaw referencyjny Corporate Email Domains musi być zapełniony domeną poczty elektronicznej organizacji.
|
| Reguła | Wiadomość e-mail zawierająca plik Sensitive wysłany do Potencjalnie Hostile hosta | Ta reguła jest wyzwalana, gdy wiadomość e-mail zawierająca wrażliwy plik jest wysyłana do hosta, który jest znany z takich działań, jak: Phishing, Spam, Malware, Botnet Command and Control lub Cryptocurrency Mining. Zestaw odwołań do komponentu Pliki w katalogach wrażliwych jest zapełniany przez regułę Pliki w katalogach plików objętych szczególną ochroną. Uwaga: Zestaw odwołań do katalogów wrażliwych musi być zapełniony.
|
| Reguła | Nadmierne zdarzenia dostępu do plików z tego samego źródła IP | Ta reguła wyzwala, gdy dostęp do co najmniej 15 różnych plików jest uzyskiwany przez ten sam źródłowy adres IP w ciągu 5 minut. Uwaga: Edytuj funkcję AQL, aby wykluczyć znane legalne działania pobierania, takie jak aktualizacje systemu operacyjnego lub aktualizacje oprogramowania.
|
| Reguła | Nadmierna liczba zdarzeń dostępu do pliku z tej samej nazwy użytkownika | Ta reguła wyzwala, gdy co najmniej 15 różnych plików jest używanych przez tę samą nazwę użytkownika w ciągu 5 minut. Uwaga: Edytuj funkcję AQL, aby wykluczyć znane legalne działania pobierania, takie jak aktualizacje systemu operacyjnego lub aktualizacje oprogramowania.
|
| Reguła | Nadmierny plik pobierania plików z tego samego źródła IP | Ta reguła wyzwala, gdy co najmniej 10 różnych plików jest pobranych z tego samego źródła IP w ciągu 5 minut. Uwaga: Edytuj funkcję AQL, aby wykluczyć znane legalne działania pobierania, takie jak aktualizacje systemu operacyjnego lub aktualizacje oprogramowania.
|
| Reguła | Nadmierny plik pobiera zdarzenia z tej samej nazwy użytkownika | Ta reguła wyzwala, gdy co najmniej 15 różnych plików jest pobieranych przez tę samą nazwę użytkownika w ciągu 5 minut. Uwaga: Edytuj funkcję AQL, aby wykluczyć znane legalne działania pobierania, takie jak aktualizacje systemu operacyjnego lub aktualizacje oprogramowania.
|
| Reguła | Plik, do którego uzyskano dostęp lub przeładowano ze złośliwego adresu IP | Ta reguła jest wyzwalana po uzyskaniu dostępu do pliku lub pobraniu go ze złośliwego adresu IP, takiego jak znana komenda i serwery sterujące lub serwery ze szkodliwym oprogramowaniem. |
| Reguła | Plik lub folder współużytkowany z pocztą elektroniczną Hosted on a Potencjalnie Hostile Domain | Ta reguła jest wyzwalana, gdy plik lub folder jest współużytkowany z wiadomą, która jest powiązana z domenami wrogich, takimi jak adresy URL spamu, phishing URL, Malware lub Cryptocurrency Mining. |
| Reguła | Plik lub folder współużytkowany z zewnętrznym adresem e-mail | Ta reguła wyzwala, gdy plik lub folder jest współużytkowany z domenami niekorporacyjnych adresów e-mail. Uwaga: Zestaw referencyjny domeny korporacyjnej poczty elektronicznej musi być zapełniony domeną poczty elektronicznej organizacji.
|
| Reguła | Pliki usunięte z katalogów plików objętych szczególną ochroną | Ta reguła wykrywa, kiedy istnieje zdarzenie usuwania pliku z katalogu plików, które jest objęte szczególną ochroną, a następnie usuwa nazwę pliku z zestawu odwołań do plików w katalogu Sensitive Directories jako odpowiedź reguły. Uwaga: W produkcie IBM Security QRadar 7.3.2 i wcześniejszych wersjach zestaw odwołań nie jest poprawnie dowiązany do plików w katalogach wrażliwych- AlphaNumeric. Poprawki zostały poprawione w 7.3.2 poprawki 1. Jeśli nie zainstalowano poprawki 7.3.2 1, można wykonać następujące czynności: wybrać regułę, a następnie kliknąć przycisk Dalej. W sekcji Odpowiedź regułykliknij listę dla zestawu odwołań, a następnie wybierz opcję Pliki w katalogach wrażliwych- AlphaNumeric.
|
| Reguła | Pliki w katalogach plików objętych szczególną ochroną | Ta reguła wykrywa, kiedy nowy plik znajduje się w wrażliwym katalogu plików, a następnie dodaje nazwę pliku do zbiorów w odwołaniu do katalogu Sensitive katalogów jako odpowiedź na regułę. |
| Reguła | Duże przesyłanie danych wychodzących | Ta reguła anomalii wyzwala, gdy więcej niż 5 GB danych zostanie przesłanych na adres IP w ciągu 4 dni. |
| Reguła | Duże wychodzące przesyłanie danych dla przepływów | Ta reguła anomalii przepływu wyzwala, gdy więcej niż 1 GB danych jest przesyłanych w ciągu 24 godzin do pojedynczego adresu IP. Więcej informacji na ten temat można znaleźć w zapisanym wyszukiwaniu w ramach działania sieci przesyłania danych wychodzących dużych danych wychodzących. |
| Reguła | Duże przesyłanie danych wychodzących do hosta File Storage | Ta reguła anomalii zdarzeń wyzwala, gdy więcej niż 1 GB danych jest przesyłanych do adresu URL sklasyfikowanego w kategorii X-Force Web Storage, w ciągu 24 godzin. Reguła jest również skonfigurowana w taki sposób, aby była zgodna z kategorią proxy zapełnianej w zestawie odwołań, File Storage , kategorii WWW. Więcej informacji na ten temat zawiera sekcja Duże wychodzące przesyłanie danych do File Storage -zapisane wyszukiwanie aktywności dziennika hosta. |
| Reguła | Duże wychodzące przesyłanie danych do złośliwego hosta lub IP | Ta reguła anomalii zdarzeń wyzwala, gdy więcej niż 1 GB danych jest przesyłanych w ciągu 24 godzin do adresu IP lub adresu URL, który jest klasyfikowany w jednej z następujących kategorii X-Force: Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scanning IPs (tylko na adresach IP), Phishing lub Bots (tylko na adresach IP). Reguła jest również skonfigurowana w taki sposób, aby była zgodna z kategorią proxy zapełnianej w zestawie odwołań (złośliwe kategorie WWW). Więcej informacji na ten temat zawiera sekcja Duże wychodzące przesyłanie danych do złośliwego hosta lub zapisane wyszukiwanie w dzienniku IP. |
| Reguła | Duże wychodzące przesyłanie danych do złośliwego adresu IP dla przepływów | Ta reguła przepływu anomalii wyzwala, gdy więcej niż 1 GB danych jest przesyłanych w ciągu 24 godzin do adresu IP, który jest klasyfikowany w jednej z następujących kategorii X-Force: Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scanning IPs, Phishing lub Bots. Więcej informacji na ten temat zawiera sekcja Duże wychodzące przesyłanie danych do złośliwego działania sieci IP. |
| Reguła | QNI: Przekazywana Poufna Treść | Ta reguła umożliwia wykrycie poufnych treści, które są przesyłane do zdalnego miejsca docelowego. Podejrzana treść może być dostrojona z regułami YARA. Więcej informacji na ten temat można znaleźć w dokumentacji QNI. |
| Reguła | Dostęp do pliku z rozróżnionym dostępem lub Pobieranie z regionów lub krajów z ograniczonym dostępem | Ta reguła jest wyzwalana, gdy dostęp do pliku poufnego jest uzyskiwany lub pobierany z regionu lub kraju o ograniczonym dostępie. Te regiony są zdefiniowane w pliku BB:CategoryDefinition: Kraje/regiony z blokiem budowania ograniczonego dostępu. |
| Reguła | Poufne uprawnienia dostępu do plików pozwalają na dostęp publiczny | Ta reguła jest wyzwalana, gdy uprawnienia dla pliku, który jest wrażliwy, są publicznie dostępne. Zestaw odwołań do komponentu Pliki w katalogach wrażliwych jest zapełniany przez regułę Pliki w katalogach plików objętych szczególną ochroną. Uwaga: Zestaw odwołań do katalogów wrażliwych musi być zapełniony.
|
| Reguła | Wrażliwy plik współużytkowany z Użytkowniką lub Grupą Gość | Ta reguła jest wyzwalana, gdy wrażliwy plik jest współużytkowany z użytkownikiem lub grupą gościa. Zestaw odwołań do komponentu Pliki w katalogach wrażliwych jest zapełniany przez regułę Pliki w katalogach plików objętych szczególną ochroną, która korzysta z zestawu odwołań Sensitive Katalogi. Uwaga: Zestawy odwołań do katalogów wrażliwych i użytkowników logowania gościa muszą być zapełnione.
|
| Reguła | Wrażliwy plik przesłany do publicznie dostępnego folderu | Ta reguła jest wyzwalana, gdy wrażliwy plik jest przesyłany do publicznie dostępnego folderu lub zasobnika. |
| Reguła | Podejrzane działanie na poufnych danych wykrytych przez urządzenia DLP | Ta reguła jest wyzwalana, gdy podejrzane działanie na poufnych danych jest wykrywane z urządzenia DLP. Urządzenia DLP są zdefiniowane w polu BB:DeviceDefinition: DLP Devices building block (Definicja urządzenia DLP). Uwaga: Zestaw referencyjny strategii DLP musi być zapełniony.
|
W poniższej tabeli przedstawiono dane referencyjne w IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Typ | Nazwa | Opis |
|---|---|---|
| zestaw referencji | Poufne/poufne nazwy plików | Zawiera listę poufnych lub poufnych nazw plików. |
| zestaw referencji | Korporacyjne domeny poczty elektronicznej | Zawiera listę korporacyjnych domen poczty elektronicznej. |
| zestaw referencji | Krytyczne rozszerzenia plików | Zawiera listę newralgicznych rozszerzeń plików. |
| zestaw referencji | Strategie DLP | Zawiera listę strategii DLP. |
| zestaw referencji | File Storage Kategorie WWW | Zawiera listę kategorii WWW plikowej pamięci masowej. |
| zestaw referencji | Pliki w katalogach wrażliwych | Zawiera listę nazw plików w katalogach wrażliwych. |
| zestaw referencji | Użytkownicy logowania gości | Zawiera listę nazw użytkowników logując się do użytkownika. |
| zestaw referencji | Legalne docelowe IPP przesyłania danych | Zawiera listę legalnych adresów IP miejsca docelowego przesyłania danych. |
| zestaw referencji | Złośliwe kategorie WWW | Zawiera listę szkodliwych kategorii WWW. |
| zestaw referencji | Foldery publicznie dostępne | Zawiera listę nazw folderów publicznie dostępnych. |
| zestaw referencji | Wrażliwe katalogi plików | Zawiera listę wrażliwych katalogów plików. |
Poniższa tabela zawiera zapisane wyszukiwania w produkcie IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Nazwa | Opis |
|---|---|
| Duże przesyłanie danych wychodzących | Wyświetla wszystkie zdarzenia z dużym wychodzącym transferem danych (większy niż 1 GB) na zdalnych hostach. |
| Duże przesyłanie danych wychodzących do hosta File Storage | Wyświetla wszystkie zdarzenia z dużym wychodzącym transferem danych (większy niż 1 GB) na hosty pamięci masowej plików. |
| Duże wychodzące przesyłanie danych do złośliwego hosta lub IP | Wyświetla wszystkie zdarzenia z dużym wychodzącym transferem danych (większe niż 1GB) na złośliwy host lub adres IP. |
| Powolne przesyłanie danych wychodzących przez wiele dni | Wyświetla wszystkie zdarzenia z dużym wychodzącym transferem danych (o pojemności większej niż 1 GB) do zdalnych hostów w ciągu wielu dni. |
| Powolne przesyłanie danych wychodzących przez wiele dni pogrupowane według adresu IP źródła i nazwy użytkownika | Wyświetla wszystkie zdarzenia z dużym wychodzącym transferem danych (większy niż 1 GB) do zdalnych hostów w ciągu kilku dni pogrupowanych według źródłowego adresu IP i nazwy użytkownika. |
| Powolne Przesyłanie Danych Wychodzących Przez Wiele Miesięcy | Wyświetla wszystkie zdarzenia z dużym wychodzącym transferem danych (większy niż 1 GB) do zdalnych hostów w ciągu kilku miesięcy. |
| Duże przesyłanie danych wychodzących | Wyświetla wszystkie przepływy z dużym wychodzącym transferem danych (większy niż 1 GB) do zdalnych adresów IP. |
| Duże wychodzące przesyłanie danych do złośliwego adresu IP | Wyświetla wszystkie przepływy z dużym wychodzącym transferem danych (większe niż 1 GB) na złośliwy adres IP. |
| Powolne przesyłanie danych wychodzących przez wiele dni | Wyświetla wszystkie przepływy z dużym wychodzącym transferem danych (o pojemności większej niż 1 GB) do zdalnych adresów IP w ciągu wielu dni. |
| Powolne Przesyłanie Danych Wychodzących Przez Wiele Dni Pogrupowane Według Źródła IP | Wyświetla wszystkie przepływy z dużym wychodzącym transferem danych (większy niż 1 GB) do zdalnych adresów IP w ciągu kilku miesięcy pogrupowanych według źródłowego adresu IP. |
| Powolne Przesyłanie Danych Wychodzących Przez Wiele Miesięcy | Wyświetla wszystkie przepływy z dużym wychodzącym transferem danych (o pojemności większej niż 1 GB) do zdalnych adresów IP w ciągu kilku miesięcy. |