UEBA: ativo somente para executivos acessado por usuário não executivo a partir da rede interna

O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.

UEBA: Ativo exclusivo do executivo acessado por usuário não executivo da rede interna (anteriormente denominado UBA: Ativo exclusivo do executivo acessado por usuário não executivo)

Ativado por Padrão

Não

senseValue padrão

15

Padrão senseValueSource

15

Padrão senseValueDestination

15

Descrição

Detecta quando um usuário não executivo efetua logon em um ativo que é somente para uso executivo. Dois conjuntos de referência vazios serão importados com esta regra: "UBA: Usuários executivos" e "UBA: Ativos executivos". Edite os conjuntos de referência para incluir ou remover quaisquer contas e endereços IP que são sinalizados em seu ambiente. Ative esta regra após configurar os conjunto de referência.

Regras de suporte

BB:UBA: Filtros de Eventos Comuns

Configuração Necessária

  • Inclua os valores apropriados nos conjuntos de referência a seguir: "UBA: usuários executivos" e "UBA: ativos executivos".
  • Assegure-se de que a propriedade customizada a seguir seja definida: tipo de logon

Tipos de origem de log

Microsoft Windows Security Event Logs (EventID: 4624)