UEBA: Sistema Unix/ Linux e acessado com conta de serviço ou máquina

O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.

UEBA: Sistema Unix/ Linux® e acessado com conta de serviço ou máquina

Ativado por Padrão

Não

senseValue padrão

15

senseValueSource padrão

22

senseValueDestination padrão

22

Descrição

Detecta qualquer sessão interativa (por meio de GUI e CLI, login local e remoto) que é iniciada por uma conta de serviço ou de máquina nos servidores UNIX e Linux . Contas e sessões interativas permitidas são listadas no UBA: Conta de serviço e de máquina e o UBA: conjuntos de referência da sessão de interação permitida. Edite o conjunto de referência para incluir ou remover qualquer sessão interativa que você deseja sinalizar em seu ambiente.

Regras de suporte

  • BB:UBA: Filtros de Eventos Comuns
  • BB:CategoryDefinition: Aceitação de Firewall ou ACL
  • BB:CategoryDefinition: Sucessos na Autenticação

Configuração Necessária

Inclua os valores apropriados nos conjuntos de referência a seguir: "UBA: serviço, conta de máquina" e "UBA: sessão interativa permitida".

Tipos de origem de log

Linux OS