UEBA: Conta expirada usada
O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.
UEBA: Conta expirada usada. (anteriormente chamado de UBA: conta órfã, revogada ou suspensa usada)
Ativado por Padrão
Não
senseValue padrão
22
Padrão senseValueSource
22
Descrição
Indica que um usuário tentou efetuar login em uma conta desativada ou expirada em um sistema local. Essa regra também pode sugerir que uma conta foi comprometida.
Embora não seja obrigatório, você pode ativar a opção Pesquisar ativos por nome de usuário quando o nome de usuário não estiver disponível para dados de evento ou fluxo em .
Regras de suporte
- BB:UBA: Filtros de Eventos Comuns
- BB:CategoryDefinition: Autenticação para Conta Expirada
- BB:UBA: Contas expiradas (Kerberos)
Tipos de origem de log
Extreme Dragon Network IPS (EventID: HOST:WIN:532-ACCOUNT-EXPIRED, HOST:WIN:535-PWD-EXPIRED)
Microsoft Windows Security Event Log (EventID: 532, 535, 4768, 4771, 4772, 4625, 4776)
IBM Proventia Network Intrusion Prevention System (IPS) (EventID: Failed_login-account_expired, Failed_login-password_expired, NovellEdirectoryExpiredAccounts, SolarisUseraddExpiredAccounts)
Cisco CatOS for Catalyst Switches (EventID: HA_POLICY_TIMER_EXPIRED)
Juniper Junos OS Platform (EventID: LOGIN_PASSWORD_EXPIRED)
Microsoft IAS Server (EventID: IAS_ACCOUNT_EXPIRED)