UEBA: ativo somente para executivos acessado por usuário não executivo a partir da rede interna
O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.
UEBA: Ativo exclusivo do executivo acessado por usuário não executivo da rede interna (anteriormente denominado UBA: Ativo exclusivo do executivo acessado por usuário não executivo)
Ativado por Padrão
Não
senseValue padrão
15
Padrão senseValueSource
15
Padrão senseValueDestination
15
Descrição
Detecta quando um usuário não executivo efetua logon em um ativo que é somente para uso executivo. Dois conjuntos de referência vazios serão importados com esta regra: "UBA: Usuários executivos" e "UBA: Ativos executivos". Edite os conjuntos de referência para incluir ou remover quaisquer contas e endereços IP que são sinalizados em seu ambiente. Ative esta regra após configurar os conjunto de referência.
Regras de suporte
BB:UBA: Filtros de Eventos Comuns
Configuração Necessária
- Inclua os valores apropriados nos conjuntos de referência a seguir: "UBA: usuários executivos" e "UBA: ativos executivos".
- Assegure-se de que a propriedade customizada a seguir seja definida: tipo de logon
Tipos de origem de log
Microsoft Windows Security Event Logs (EventID: 4624)