Conteúdo suportado do QRadar

Várias regras foram projetadas para alimentar eventos para o QRadar® User Entity Behavior Analytics (UEBA) de outros apps. Essas regras requerem que você instale o conteúdo para os outros aplicativos.

Dependências de conteúdo

Para obter mais informações sobre outro conteúdo do QRadar suportado e apps necessários, consulte a tabela a seguir: As regras que estão listadas na tabela são pontuadas pelo app.
Dica: para ajustar a pontuação, deve-se mudá-la no app IBM® QRadar Use Case Manager ou na página Regras e Ajuste no app UEBA .
Apps necessários Regras suportadas
IBM QRadar DNS Analyzer QRadar DNS Analyzer
  • QNI: conteúdo confidencial sendo transferido para geografia estrangeira
  • QNI: acesso a serviço protegido inadequadamente - Certificado expirado
  • QNI: acesso a serviço protegido inadequadamente - Certificado inválido
  • QNI: possível assunto de spam/phishing detectado de múltiplos servidores de envio QNI: hash de arquivo observado entre múltiplos hosts
  • QNI: hash de arquivo observado associado a ameaça de malware
  • QNI: possível tentativa de spam/phishing detectada no destinatário de e-mail rejeitado
  • QNI: acesso a serviço protegido inadequadamente - Certificado autoassinado
  • QNI: acesso a serviço protegido inadequadamente - comprimento de chave pública fraco
Conteúdo do IBM Security Reconnaissance
  • Scanner TCP L2L local
  • Scanner Windows Server L2L local
  • Scanner Game Server L2L local
  • Scanner DNS L2L local
  • Scanner Servidor de e-mail L2L local
  • Scanner Servidor proxy L2L local
  • Scanner Servidor IM L2L local
  • Scanner Servidor da web L2L local
  • Scanner Servidor P2P L2L local
  • Scanner SNMP L2L local
  • Scanner Servidor RPC L2L local
  • Scanner UDP L2L local
  • Scanner DHCP L2L local
  • Scanner ICMP L2L local
IBM QRadar Conteúdo para Sysmon
  • Foi detectado um possível Criador de logs da chave
  • Foi detectado um Novo processo não visto iniciado com privilégios de usuário de um sistema
  • Foi detectado um Processo executado remotamente sobre múltiplos hosts
  • Processo iniciado por meio de Diretórios incomuns (Recycle.bin, ...)
  • Um Compartilhamento de rede oculta foi incluído
  • Uso malicioso de Powershell detectado
  • Uso malicioso de Powershell detectado com comando codificado
  • Processo incomum (ex: palavra, iexplore, AcroRd...)
  • Foi ativado um Shell de comando
  • Shell de comando iniciado com privilégios no sistema
  • Foi detectado um login bem-sucedido por meio de um host comprometido em outros hosts
  • Foi detectado uma possível ferramenta de dumping de credencial
  • Processo sem filho iniciou/gerou um processo
  • Processo ativado por meio de diretório temporário
  • Pai anormal para um processo do sistema
  • Foi detectado um processo Svchost suspeito
  • Um compartilhamento de rede foi acessado por meio de um host comprometido
  • Um compartilhamento administrativo foi acessado
  • Um compartilhamento administrativo foi acessado por meio de uma máquina comprometida
  • Processo ativado de uma pasta compartilhada e encadeamento criado em outro processo
  • Foi detectado uso excessivo de ferramentas do sistema por meio de uma única máquina
  • Falha de tentativas excessivas de acessar um recurso compartilhado de rede por meio de um host comprometido
  • Falha de tentativas excessivas de acessar um compartilhamento administrativo por meio de uma única origem
  • O Powershell foi ativado em um host comprometido
  • O PsExec foi ativado por meio de um host comprometido
  • Foi detectado um tráfego SMB por meio de um host comprometido em outros hosts
  • Um shell de comando ou um Powershell foi ativado por meio de um sistema remoto
  • Uma tarefa planejada foi criada em um host comprometido
  • Um serviço malicioso foi instalado em um sistema
  • Foi detectado um serviço configurado para usar o Powershell
  • Detectado um serviço configurado para usar um canal
IBM QRadar Extensão de conteúdo para a Amazon AWS
  • Nuvem da AWS: atividade de nuvem por usuário raiz
  • Nuvem da AWS: a instância de EC2 crítica foi interrompida ou finalizada
  • Nuvem da AWS: foi detectado um login bem-sucedido no AWS Console por meio de diferentes geografias
  • Nuvem da AWS: logs foram excluídos/desativados ou interrompidos
  • Nuvem da AWS: múltiplas falhas de login do console de diferentes IPs de origem
  • Nuvem da AWS: múltiplas falhas de login do console do mesmo IP de origem
  • Nuvem da AWS: múltiplas solicitações de API com falha de diferentes IPs de origem
  • Nuvem da AWS: múltiplas solicitações de API com falha do mesmo IP de origem
  • Nuvem da AWS: múltiplas solicitações de API com falha do mesmo nome do usuário