UEBA: acesso suspeito seguido de vazamento de dados

O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.

UEBA: acesso suspeito seguido de vazamento de dados

Ativado por Padrão

Não

senseValue padrão

15

Padrão senseValueSource

15

Padrão senseValueDestination

15

Descrição

Detecta acesso a partir de locais incomuns, restritos ou proibidos, seguido por uma tentativa de exfiltração de dados.

Regra de suporte

  • BB:UBA: Filtros de Eventos Comuns
  • BB:UBA: Exfiltração de Dados
  • UBA: acesso de usuário de local restrito
  • UBA: acesso de usuário de local proibido
  • UBA: geografia do usuário, acesso de locais incomuns

Configuração Necessária

Ative as regras a seguir:
  • UBA: acesso de usuário de local restrito
  • UBA: acesso de usuário de local proibido
  • UBA: geografia do usuário, acesso de locais incomuns

Tipos de origem de log

Cisco Stealthwatch (ID de evento: 45)

IBM Security Trusteer Apex Advanced Malware Protection (ID de evento: ConnectionCreate.Connection_Test, CerberusNG.ent_create_remote_thread, ConnectionCreate.in_suspend_state, ConnectionCreate.orphant_thread_connect, close.file_inspection, processcreate.file_inspection)

Plataforma Skyhigh Networks Cloud Security (ID de evento: 10003, 10004)