UBA: múltiplas sessões para origens de log monitoradas (diretiva NIS)
O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.
UBA: múltiplas sessões para origens de log monitoradas (diretiva NIS)
Ativado por Padrão
Não
senseValue padrão
15
Descrição
Detecta mais de duas conexões com o mesmo sistema de origem de log do QRadar dentro de cinco minutos em um único usuário.
Regras de suporte
BB:UBA: Filtros de Eventos Comuns
BB:CategoryDefinition: Sucessos na Autenticação
Configuração Necessária
Inclua os valores apropriados nos conjuntos de referência a seguir: "UBA: origens de log monitoradas (diretiva NIS)".
Tipos de origem de log
Linux OS (EventID: CRYPTO_LOGIN, ANOM_ROOT_TRANS, Accepted Password, GRP_AUTH, session opened, Privilege escalation, CRED_ACQ, Accepted password, USER_LOGIN, Successful Login, password changed, LOGIN)
Log de evento de segurança do Microsoft Windows (EventID: login bem-sucedido para o usuário, 18454, 193, 18455, 627, 4648, 1202, 680, 18453, 628, 621, 4624, 552, 672, 673_Attempt, 4672, 169, 10015, 10014, 678, 671, 6280, 4717, 4723, 4724, 540, 528, 673_Request, 673_Granted, 4776, 405, 5823, 1200, 682)