UEBA: várias transferências de arquivos bloqueadas seguidas de uma transferência de arquivos

O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.

UEBA: várias transferências de arquivos bloqueadas seguidas de uma transferência de arquivos

Ativado por Padrão

Não

senseValue padrão

22

Padrão senseValueSource

22

Padrão senseValueDestination

22

Descrição

Detecta a exfiltração verificando uploads de arquivos que foram inicialmente bloqueados, mas foram seguidos por um upload bem-sucedido dentro de um período de 5 minutos.

Regras de suporte

  • BB:UBA: Filtros de Eventos Comuns
  • BB:UBA: Transferência de Arquivos Bloqueada
  • BB:UBA: Transferência de Arquivos Bem-sucedida

Configuração Necessária

Esta regra requer que ambos os eventos, de Transferências de arquivo bloqueadas e de Transferências de arquivo bem-sucedidas, ocorram para uma detecção precisa. Se a origem de log que é usada não tiver um eventID para ambos os eventos, você poderá receber resultados imprecisos. Consulte as Origens de dados para determinar os eventIDs para a origem de log em uso.

Tipos de origem de log (Transferências de arquivo bloqueadas)

Cilasoft QJRN/400 (EventID: C21020)

Cisco Call Manager (EventID: %UC_DRF-3-DRFSftpFailure)

Cisco IOS (EventID: %UPDATE-3-SFTP_TRANSFER_FAIL)

Custom Rule Engine (EventID: 18014, 18071, 18187, 4032)

Comutadores Extreme Empilháveis e Independentes (EventID: Solicitação de FFTP com Falha)

Flow Classification Engine (EventID: 4032, 18187, 18014, 18071)

Forcepoint Sidewinder (EventID: Permissões de FTP, comando ftp negado)

IBM i (EventID: UNR0907, UNR0908, UNR2302, GSL0118, GSL0119, GSL0318, GSL0319, GSL3718, GSL3719, GSL0618,UNR0701, UNR0707, UNR0901, UNR0910, UNR2301, UNR0705, UNR0706, UNR0708, UNR0710, UNR0801, UNR0802, UNR0905, UNR0906, GSL0619)

Juniper Networks Intrusion Detection and Prevention (IDP) (EventID: TFTP:AUDIT:READ-FAILED)

Microsoft IIS (EventID: 530)

Microsoft Operations Manager (EventID: 22095)

OSSEC (EventID: 11504, 11512)

DSM Universal (EventID: Ação de FTP Negada, Sessão de TFTP Negada, FTP Negado, Transferência de Arquivos Negada)

WatchGuard Fireware OS (EventID: 1CFF0002, 1CFF0006, 1CFF0007, 1CFF0009, 1CFF0001, 1CFF0019, 1CFF0000, 1CFF0003)

Tipos de origem de log (Transferências de arquivo bem-sucedidas)

Cilasoft QJRN/400 (EventID: C21031)

Cisco FireSIGHT Management Center (EventID: FILE_EVENT, FILE_EVENT_0)

Cisco IOS (EventID: %FTPSERVER-6-NEWCONN)

Cisco IronPort (EventID: FTP_connection)

Custom Rule Engine (EventID: 18010, 4031,18431, 18183)

DG Technology MEAS (EventID: 119-003, 119-070)

Flow Classification Engine (EventID: 18010, 4031,18431, 18183)

Tipo de Dispositivo de Fluxo (EventID: 21984, 21879, 51337, 51336, 35159, 21910)

Huawei S Series Switch (EventID: FTPS/5/REQUEST)

IBM Proventia Network Intrusion Prevention System (IPS) (EventID: FTP, TFTP)

IBM i (EventID: MLD1200, MLD2100, MO10300,MO10400, MO11800, MO12100, MO12400, MO20200, MO20300. MO21300, MO21800, MO21900, GSL0101, GSL0102, GSL0301, GSL0302, GSL3701,GSL3702, M090100, UNA0705, UNA0706, UNA0708, UNA0710, UNA0801, UNA0802, UNA0905, UNA0906, UNA0907,UNA0908, UNA2302,UNA0601, UNA0604, UNA0605, UNA0607, UNA0701, UNA0707, UNA0901, UNA0902, UNA0910, UNA2301, M030100, MLD1100)

Juniper MX Series Ethernet Services Router (EventID: TFTP, FTP)

Juniper Networks AVT (EventID: TFTP, FTP)

Microsoft IIS (EventID: 150, 125, 225)

ProFTPD Server (EventID: sessão FTP aberta)

Mensagens de Autenticação do Sistema Operacional Solaris (EventID: conexão de ftp)

SonicWALL SonicOS (EventID: 1112, 1113)

Proxy da Web Squid (EventID: 3C0002_ALLOWED)

Trend InterScan VirusWall (EventID: Trend ftpconnect)

DSM Universal (EventID: Transferência de Arquivos, FTP Aberto, Ação de FTP Permitida, Sessão de TFTP Aberta)

Verdasys Digital Guardian (EventID: Upload de Transferência de Rede, Download de Transferência de Rede)

WatchGuard Fireware OS (EventID: 2AFF0004, 1CFF0019)