UEBA: brecha de acesso remoto no firewall corporativo

O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.

UEBA: brecha de acesso remoto no firewall corporativo

Ativado por Padrão

Não

senseValue padrão

22

Padrão senseValueSource

22

Descrição

Detecta quando há um orifício de acesso remoto no firewall criado pelos aplicativos GotoMyPC e OpenVPN.

Regras de suporte

  • BB:UBA: portas GoToMyPC e OpenVPN
  • BB:UBA: criação de processo Gotomypc e criação de arquivo Openvpn
  • BB:UBA: Filtros de Origem de Log Comuns

Configuração Necessária

Assegure-se de que a propriedade customizada a seguir esteja definida: nome do arquivo e linha de comandos do processo
Nota: Processar correspondências de linha de comando: g2tray\.exe ou correspondências de nome de arquivo. * \. (ovpn) sobre as portas 8200, 1194 ou 943.

Ative a opção Pesquisar ativos por nome de usuário, quando o nome de usuário não estiver disponível para dados de evento ou fluxo em Configurações administrativas > Configurações do UBA.

Tipos de origem de log

Logon de evento de segurança do Microsoft Windows