Mudança na implementação para regras

O app QRadar® User Entity Behavior Analytics (UEBA) não mais suporta algumas regras. As funções que as regras forneciam agora são integradas ao aplicativo, disponíveis em pacotes de conteúdo separados ou implementadas com modelos de aprendizado de máquina.

Com UEBA 3.5.0 e posterior, durante o upgrade, uma tarefa única é executada para desativar todas as regras UEBA não suportadas localizadas no sistema. Se qualquer uma das regras for ativada posteriormente, ela não será desativada novamente pelo aplicativo.

Embora as listas de regras e blocos de construção do UEBA a seguir não sejam mais suportadas pelo app UEBA , as regras ou as funções que as regras forneceram ainda estão disponíveis

As regras a seguir e a funcionalidade que elas forneceram agora são gerenciadas pelo Machine Learning:
  • UBA: tentativas de transferência de saída anormal
    UBA: tentativas de transferência de saída anormal localizadas
  • UBA: volume de dados anormais para o domínio externo
    UBA: volume anormal de dados para domínio externo localizado
  • UBA: visitas anormais para recursos arriscados
    UBA: visitas anormais a recursos arriscados localizadas
    UBA: usuário acessando recursos arriscados
    UBA: recursos arriscados
  • UBA: comportamento do usuário, anomalia de sessão por destino
    UBA: comportamento do usuário, anomalia de sessão por destino localizada
  • UBA: anomalia de frequência de evento do usuário - categorias
    UBA: anomalia de frequência de evento do usuário - categorias localizadas
  • UBA: usuário executando novo processo (substituído pelo modelo de usuário ML Process Usage no UBA 3.8.0)
  • UBA: anomalia de volume de atividade do usuário - tráfego para domínios externos
    UBA: anomalia de volume de atividade do usuário - tráfego para domínios externos localizados
  • UBA: anomalia de volume de atividade do usuário - tráfego para domínios internos
    UBA: anomalia de volume de atividade do usuário - tráfego para domínios internos localizados
  • UBA: anomalia de volume de atividade do usuário - tráfego
    UBA: anomalia de atividade de volume do usuário - tráfego localizado
As regras e os blocos de construção a seguir e a funcionalidade que eles forneceram agora são gerenciados no aplicativo UEBA :
  • UBA: o usuário ficou inativo (nenhuma regra de anomalia de atividade)
    BB:UBA: primeiro login do usuário inativa (lógica)
    BB:UBA: login subsequente do usuário inativa (lógica)
    UBA: nome do usuário para contas do usuário, bem-sucedido, inativas
  • Nova Conta
    UBA: nome do usuário para contas do usuário, bem-sucedido, observado
    UBA: nome do usuário para contas do usuário, bem-sucedido, recente
    UBA: nome do usuário para contas do usuário, bem-sucedido, atualização recente
    BB: UBA: acesso pela primeira vez do usuário (lógica)
As regras e os blocos de construção a seguir e a funcionalidade que eles forneceram agora são manipulados permitindo que as regras nãoUEBA funcionem com o UEBA:
  • QNI
    UBA: QNI-Acesso ao Serviço Assegurado Incorretamente-Certificado Expirado
    UBA: QNI-Acesso ao Serviço Assegurado Incorretamente-Certificado Inválido
    UBA: QNI-Acesso ao Serviço Assegurado Incorretamente-Certificado Autoassinado
    UBA: QNI-Acesso ao Serviço Assegurado Incorretamente-Comprimento da Chave Pública fraco
    UBA: QNI-Hash do Arquivo Observado Associado à Ameaça de Malware
    UBA: QNI-Hash do Arquivo Observado Visto em Vários Hosts
    UBA: QNI-Potencial Spam / Phishing Tentativa Detectada no Rejeitado Destinatário de E-mail
    UBA: QNI-Potencial Spam / Phishing Assunto Detectado de Vários Servidores de Envio
    UBA: QNI-Conteúdo Confidencial Sendo Transferido para Geografia Estrangeira
  • SYSMON
    UBA: atividade suspeita do PowerShell
    UBA: atividade suspeita do PowerShell (ativo)
    UBA: atividade suspeita do prompt de comandos
    UBA: bypass do controle de acesso do usuário detectado (ativo)
    UBA: atividades de tarefa planejadas suspeitas
    UBA: atividades de serviço suspeitas
    UBA: atividades de serviço suspeitas (ativo)
    UBA: entradas suspeitas no registro do sistema (ativo)
    UBA: Carregamento de imagem suspeito detectado (ativo)
    UBA: atividades de tubulação suspeitas (ativo)
    UBA: atividades suspeitas em hosts comprometidos
    UBA: atividades suspeitas em hosts comprometidos (ativo)
    UBA: atividades administrativas suspeitas detectadas
    UBA: processo que cria encadeamentos remotos suspeitos detectados (ativo)
    UBA: ferramentas de exploração comuns detectadas
    UBA: ferramentas de exploração comuns detectadas (ativo)
    UBA: Processo malicioso detectado
    UBA: compartilhamento de rede acessado
  • Recon
    UBA: varredura incomum de servidores DHCP detectados
    UBA: varredura incomum de servidores DNS detectados
    UBA: varredura incomum de servidores de banco de dados detectados
    UBA: varredura incomum de servidores FTP detectados
    UBA: varredura incomum de servidores de jogo detectada
    UBA: varredura incomum de ICMP genérico detectado
    UBA: varredura incomum de TCP genérico detectado
    UBA: varredura incomum de UDP genérico detectado
    UBA: Varredura incomum de servidores IRC detectados
    UBA: varredura incomum de servidores LDAP detectados
    UBA: varredura incomum de servidores de e-mail detectados
    UBA: varredura incomum de servidores de sistema de mensagens detectados
    UBA: varredura incomum de servidores P2P detectados
    UBA: varredura incomum de servidores proxy detectados
    UBA: varredura incomum de servidores RPC detectados
    UBA: varredura incomum de servidores SNMP detectados
    UBA: varredura incomum de servidores SNMP detectados: Varredura incomum de servidores SSH detectados
    UBA: varredura incomum de servidores da web detectados
    UBA: varredura incomum de servidores Windows detectados