UEBA: brecha de acesso remoto no firewall corporativo
O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.
UEBA: brecha de acesso remoto no firewall corporativo
Ativado por Padrão
Não
senseValue padrão
22
Padrão senseValueSource
22
Descrição
Detecta quando há um orifício de acesso remoto no firewall criado pelos aplicativos GotoMyPC e OpenVPN.
Regras de suporte
- BB:UBA: portas GoToMyPC e OpenVPN
- BB:UBA: criação de processo Gotomypc e criação de arquivo Openvpn
- BB:UBA: Filtros de Origem de Log Comuns
Configuração Necessária
Assegure-se de que a propriedade customizada a seguir esteja definida: nome do arquivo e linha de comandos do processo
Nota: Processar correspondências de linha de comando: g2tray\.exe ou correspondências de nome de arquivo. * \. (ovpn) sobre as portas 8200, 1194 ou 943.
Ative a opção Pesquisar ativos por nome de usuário, quando o nome de usuário não estiver disponível para dados de evento ou fluxo em .
Tipos de origem de log
Logon de evento de segurança do Microsoft Windows