UEBA: acesso suspeito seguido de vazamento de dados
O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.
UEBA: acesso suspeito seguido de vazamento de dados
Ativado por Padrão
Não
senseValue padrão
15
Padrão senseValueSource
15
Padrão senseValueDestination
15
Descrição
Detecta acesso a partir de locais incomuns, restritos ou proibidos, seguido por uma tentativa de exfiltração de dados.
Regra de suporte
- BB:UBA: Filtros de Eventos Comuns
- BB:UBA: Exfiltração de Dados
- UBA: acesso de usuário de local restrito
- UBA: acesso de usuário de local proibido
- UBA: geografia do usuário, acesso de locais incomuns
Configuração Necessária
Ative as regras a seguir:
- UBA: acesso de usuário de local restrito
- UBA: acesso de usuário de local proibido
- UBA: geografia do usuário, acesso de locais incomuns
Tipos de origem de log
Cisco Stealthwatch (ID de evento: 45)
IBM Security Trusteer Apex Advanced Malware Protection (ID de evento: ConnectionCreate.Connection_Test, CerberusNG.ent_create_remote_thread, ConnectionCreate.in_suspend_state, ConnectionCreate.orphant_thread_connect, close.file_inspection, processcreate.file_inspection)
Plataforma Skyhigh Networks Cloud Security (ID de evento: 10003, 10004)