UEBA: ativo somente para executivos acessado por usuário não executivo a partir de uma rede externa

O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.

UEBA: ativo somente para executivos acessado por usuário não executivo a partir de uma rede externa

Ativado por Padrão

Não

senseValue padrão

15

Padrão senseValueSource

15

Padrão senseValueDestination

15

Descrição

Detecta quando um usuário não executivo de uma rede externa efetua logon em um ativo que é para uso executivo. Dois conjuntos de referência vazios serão importados com esta regra: "UBA: Usuários executivos" e "UBA: Ativos executivos". Edite os conjuntos de referência para incluir ou remover quaisquer contas e endereços IP que são sinalizados em seu ambiente. Ative esta regra após configurar os conjunto de referência.

Regras de suporte

BB:UBA: Filtros de Eventos Comuns

Configuração Necessária

Inclua os valores apropriados aos conjuntos de referência a seguir: "UBA: usuários executivos" e "UBA: ativos executivos". Assegure-se de que a propriedade customizada a seguir seja definida: tipo de logon (customizado).

Tipos de origem de log

Microsoft Windows Security Event Logs (EventID: 4624)