UEBA: Conta, grupo ou privilégios modificados
O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.
UEBA: Conta, grupo ou privilégios modificados (anteriormente denominado UEBA: Alteração da conta do usuário)
Ativado por Padrão
Não
senseValue padrão
22
senseValueSource padrão
22
senseValueDestination padrão
22
senseValueSource padrão
22
senseValueDestination padrão
22
Descrição
Indica quando uma conta do usuário foi afetada por uma ação que muda os privilégios efetivos do
usuário, para cima ou para baixo.
Nota positiva falsa: esse evento pode atribuir incorretamente as modificações a um nome de conta para o usuário que faz as mudanças. Se desejar reduzir essa possibilidade de positivo falso,
será possível incluir o teste 'e quando o Username for igual a AccountName'.
Nota falsa negativa: esse evento pode não detectar todos os casos de modificações de conta para um usuário.
Regras de suporte
- BB:UBA: Filtros de Eventos Comuns
- BB:UBA: usuário, grupo ou política de autenticação mudado
Tipos de origem de log
Microsoft Windows Security Event Log (EventID: 626, 642, 644, 1300, 1317, 625, 629, 4672, 4722, 4725, 4738, 4765, 4767, 4781, 4737, 4755)