UEBA: Detectado ataque de autenticação de usuário não autorizado ( D/DoS )
O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.
UEBA: Detectado ataque de autenticação de usuário não autorizado ( D/DoS )
Ativado por Padrão
Não
senseValue padrão
15
senseValueSource padrão
22
senseValueDestination padrão
15
Descrição
- Na guia Admin, clique em Configurações UEBA.
- Selecione a caixa de seleção Recursos de procura para nome do usuário, quando o nome do usuário não está disponível para dados de evento ou de fluxo para procurar nomes do usuário na tabela de ativos. O aplicativo UEBA usa ativos para procurar um usuário para um endereço IP quando nenhum usuário está listado em um evento.
- A regra do evento precisa da origem de log "Snort Open Source IDS" para funcionar.
Regras de suporte
- BB:UBA: Filtros de Origem de Log Comuns
- BB:CategoryDefinition: Eventos de Ataque DDoS
- BB:CategoryDefinition: Ataque de DoS de Rede
- BB:CategoryDefinition: DoS de Serviço
Configuração Necessária
Habilite a opção Pesquisar ativos por nome de usuário, quando o nome de usuário não estiver disponível para dados de evento ou fluxo em .
Tipos de origem de log
Akamai KONA, Application Security DbProtect, Aruba Mobility Controller, Barracuda Web Application Firewall, Brocade FabricOS, CRE System, Check Point, Cisco Adaptive Security Appliance (ASA), Cisco Firewall Services Module (FWSM), Cisco IOS, Cisco Intrusion Prevention System (IPS), Cisco PIX Firewall, Cisco Stealthwatch, Cisco Wireless LAN Controllers, Cisco Wireless Services Module (WiSM), Custom Rule Engine, CyberGuard TSP Firewall/VPN, Enterprise-IT-Security.com SF-Sherlock, Event CRE Injected, Extreme Dragon Network IPS, Extreme HiPath, F5 Networks BIG-IP AFM, F5 Networks BIG-IP ASM, F5 Networks BIG-IP LTM, Fair Warning, FireEye, Flow Classification Engine, ForeScout CounterACT, Fortinet FortiGate Security Gateway, Foundry Fastiron, Huawei AR Series Router, IBM Proventia Network Intrusion Prevention System (IPS), IBM Security Network IPS (GX), Imperva Incapsula, Juniper Junos OS Platform, Juniper Junos WebApp Secure, Juniper Networks Firewall and VPN, Juniper Networks Intrusion Detection and Prevention (IDP), Juniper Networks Network and Security Manager, McAfee Firewall Enterprise, McAfee IntruShield Network IPS Appliance, McAfee ePolicy Orchestrator, Motorola SymbolAP, NCC Group DDos Secure, Niksun 2005 v3.5, Nortel Application Switch, OS Services Qidmap, OSSEC, Palo Alto PA Series, Radware AppWall, Radware DefensePro, Riverbed SteelCentral NetProfiler, STEALTHbits StealthINTERCEPT, SafeNet DataSecure/KeySecure, Sentrigo Hedgehog, Skyhigh Networks Cloud Security Platform, Snort Open Source IDS, SonicWALL SonicOS, Squid Web Proxy, Stonesoft Management Center, Symantec Endpoint Protection, TippingPoint Intrusion Prevention System (IPS), Top Layer IPS, Trend Micro Deep Security, Universal DSM, Vectra Networks Vectra, Venustech Venusense Security Platform, WatchGuard Fireware OS