UEBA: ativo somente para executivos acessado por usuário não executivo a partir de uma rede externa
O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.
UEBA: ativo somente para executivos acessado por usuário não executivo a partir de uma rede externa
Ativado por Padrão
Não
senseValue padrão
15
Padrão senseValueSource
15
Padrão senseValueDestination
15
Descrição
Detecta quando um usuário não executivo de uma rede externa efetua logon em um ativo que é para uso executivo. Dois conjuntos de referência vazios serão importados com esta regra: "UBA: Usuários executivos" e "UBA: Ativos executivos". Edite os conjuntos de referência para incluir ou remover quaisquer contas e endereços IP que são sinalizados em seu ambiente. Ative esta regra após configurar os conjunto de referência.
Regras de suporte
BB:UBA: Filtros de Eventos Comuns
Configuração Necessária
Inclua os valores apropriados aos conjuntos de referência a seguir: "UBA: usuários executivos" e "UBA: ativos executivos". Assegure-se de que a propriedade customizada a seguir seja definida: tipo de logon (customizado).
Tipos de origem de log
Microsoft Windows Security Event Logs (EventID: 4624)