Mudança na implementação para regras
O app QRadar® User Entity Behavior Analytics (UEBA) não mais suporta algumas regras. As funções que as regras forneciam agora são integradas ao aplicativo, disponíveis em pacotes de conteúdo separados ou implementadas com modelos de aprendizado de máquina.
Com UEBA 3.5.0 e posterior, durante o upgrade, uma tarefa única é executada para desativar todas as regras UEBA não suportadas localizadas no sistema. Se qualquer uma das regras for ativada posteriormente, ela não será desativada novamente pelo aplicativo.
Embora as listas de regras e blocos de construção do UEBA a seguir não sejam mais suportadas pelo app UEBA , as regras ou as funções que as regras forneceram ainda estão disponíveis
As regras a seguir e a funcionalidade que elas forneceram agora são gerenciadas pelo Machine
Learning:
- UBA: tentativas de transferência de saída anormalUBA: tentativas de transferência de saída anormal localizadas
- UBA: volume de dados anormais para o domínio externoUBA: volume anormal de dados para domínio externo localizado
- UBA: visitas anormais para recursos arriscadosUBA: visitas anormais a recursos arriscados localizadasUBA: usuário acessando recursos arriscadosUBA: recursos arriscados
- UBA: comportamento do usuário, anomalia de sessão por destinoUBA: comportamento do usuário, anomalia de sessão por destino localizada
- UBA: anomalia de frequência de evento do usuário - categoriasUBA: anomalia de frequência de evento do usuário - categorias localizadas
- UBA: usuário executando novo processo (substituído pelo modelo de usuário ML Process Usage no UBA 3.8.0)
- UBA: anomalia de volume de atividade do usuário - tráfego para domínios externosUBA: anomalia de volume de atividade do usuário - tráfego para domínios externos localizados
- UBA: anomalia de volume de atividade do usuário - tráfego para domínios internosUBA: anomalia de volume de atividade do usuário - tráfego para domínios internos localizados
- UBA: anomalia de volume de atividade do usuário - tráfegoUBA: anomalia de atividade de volume do usuário - tráfego localizado
As regras e os blocos de construção a seguir e a funcionalidade que eles forneceram agora são gerenciados no aplicativo UEBA :
- UBA: o usuário ficou inativo (nenhuma regra de anomalia de atividade)BB:UBA: primeiro login do usuário inativa (lógica)
BB:UBA: login subsequente do usuário inativa (lógica)
UBA: nome do usuário para contas do usuário, bem-sucedido, inativas - Nova ContaUBA: nome do usuário para contas do usuário, bem-sucedido, observado
UBA: nome do usuário para contas do usuário, bem-sucedido, recente
UBA: nome do usuário para contas do usuário, bem-sucedido, atualização recente
BB: UBA: acesso pela primeira vez do usuário (lógica)
As regras e os blocos de construção a seguir e a funcionalidade que eles forneceram agora são manipulados permitindo que as regras nãoUEBA funcionem com o UEBA:
- QNIUBA: QNI-Acesso ao Serviço Assegurado Incorretamente-Certificado Expirado
UBA: QNI-Acesso ao Serviço Assegurado Incorretamente-Certificado Inválido
UBA: QNI-Acesso ao Serviço Assegurado Incorretamente-Certificado Autoassinado
UBA: QNI-Acesso ao Serviço Assegurado Incorretamente-Comprimento da Chave Pública fraco
UBA: QNI-Hash do Arquivo Observado Associado à Ameaça de Malware
UBA: QNI-Hash do Arquivo Observado Visto em Vários Hosts
UBA: QNI-Potencial Spam / Phishing Tentativa Detectada no Rejeitado Destinatário de E-mail
UBA: QNI-Potencial Spam / Phishing Assunto Detectado de Vários Servidores de Envio
UBA: QNI-Conteúdo Confidencial Sendo Transferido para Geografia Estrangeira - SYSMONUBA: atividade suspeita do PowerShell
UBA: atividade suspeita do PowerShell (ativo)
UBA: atividade suspeita do prompt de comandos
UBA: bypass do controle de acesso do usuário detectado (ativo)
UBA: atividades de tarefa planejadas suspeitas
UBA: atividades de serviço suspeitas
UBA: atividades de serviço suspeitas (ativo)
UBA: entradas suspeitas no registro do sistema (ativo)
UBA: Carregamento de imagem suspeito detectado (ativo)
UBA: atividades de tubulação suspeitas (ativo)
UBA: atividades suspeitas em hosts comprometidos
UBA: atividades suspeitas em hosts comprometidos (ativo)
UBA: atividades administrativas suspeitas detectadas
UBA: processo que cria encadeamentos remotos suspeitos detectados (ativo)
UBA: ferramentas de exploração comuns detectadas
UBA: ferramentas de exploração comuns detectadas (ativo)
UBA: Processo malicioso detectado
UBA: compartilhamento de rede acessado - ReconUBA: varredura incomum de servidores DHCP detectados
UBA: varredura incomum de servidores DNS detectados
UBA: varredura incomum de servidores de banco de dados detectados
UBA: varredura incomum de servidores FTP detectados
UBA: varredura incomum de servidores de jogo detectada
UBA: varredura incomum de ICMP genérico detectado
UBA: varredura incomum de TCP genérico detectado
UBA: varredura incomum de UDP genérico detectado
UBA: Varredura incomum de servidores IRC detectados
UBA: varredura incomum de servidores LDAP detectados
UBA: varredura incomum de servidores de e-mail detectados
UBA: varredura incomum de servidores de sistema de mensagens detectados
UBA: varredura incomum de servidores P2P detectados
UBA: varredura incomum de servidores proxy detectados
UBA: varredura incomum de servidores RPC detectados
UBA: varredura incomum de servidores SNMP detectados
UBA: varredura incomum de servidores SNMP detectados: Varredura incomum de servidores SSH detectados
UBA: varredura incomum de servidores da web detectados
UBA: varredura incomum de servidores Windows detectados