Modificação de conta suspeita

O IBM® QRadar® suporta o monitoramento de centenas de atividades baseadas em usuário para ajudar a detectar comportamentos anômalos ou maliciosos Por exemplo, modificações de conta suspeitas podem indicar uma tentativa de obter acesso ilegítimo para fins maliciosos, como alteração e exfiltração de dados de propriedade da empresa.

Ao incluir contexto do usuário em dados de rede, log, vulnerabilidade e ameaça, o QRadar ajuda a determinar rapidamente o perfil de risco de usuários dentro de sua rede e a investigar qualquer desvio do comportamento típico do usuário que possa ser considerado ameaçador.

Para monitorar atividades baseadas no usuário no ambiente do QRadar , é possível fazer download do aplicativo IBM QRadar User Behavior Analytics a partir do IBM Security App Exchange (https://exchange.force.ibmcloud.com/hub/extension/IBMQRadar:UserBehaviorAnalytics).

Simulando a ameaça

Nesta simulação, os eventos recebidos indicam que uma conta foi criada, usada e, em seguida, excluída. O Custom Rule Engine (CRE) processa os eventos e determina que essa atividade pode ser potencialmente maliciosa.

Para ver como o QRadar detecta a ameaça, execute a simulação.
  1. Na guia Atividade de log, clique em Mostrar Experience Center.
  2. Clique em Simulador de ameaça.
  3. Localize a simulação Modificação de conta suspeita e clique em Executar.

Na guia Atividade de log , é possível ver eventos começando a entrar no QRadar, indicando que as contas foram incluídas ou excluídas.

Detectando a ameaça: QRadar em ação

Esta simulação de ameaça usa os seguintes conjuntos de referência:
  • O conjunto de referência EC UserAccountCreated é preenchido pela regra EC: conta do usuário - incluir nome da conta em EC UserAccountCreated.

    Quando um evento cai na categoria de baixo nível Conta do usuário incluída, a regra inclui o Nome da conta de destino do EC no conjunto de referência.

  • O conjunto de referência EC UserAccountUsed é preenchido pela regra EC: conta do usuário - incluir nome da conta em EC UserAccountUsed.

    Quando um evento cai na categoria de baixo nível Sucesso de login de usuário, a regra inclui o Nome do usuário no conjunto de referência.

Os conjuntos de referência são configurados para manter os dados atualizados, removendo elementos de dados que não foram coletados na última hora.

Para determinar quando uma conta está sendo removida, a regra EC: conta do usuário criada e utilizada e removida usa o bloco de construção ECBB:CategoryDefinition: conta do usuário removida.

A atividade da conta que inclui a criação, o uso e a exclusão de uma conta, tudo em um curto período de tempo, é considerada um comportamento potencialmente malicioso. Quando uma conta que está sendo removida também existe em ambos os conjuntos de referência, o QRadar cria uma ofensa denominada Conta do usuário criada e excluída em um curto período de tempo (Exp Center) para avisar sobre a ameaça potencial. O delito é indexado com base no Nome do usuário, que assegura que todos os eventos que contribuem com a mesma ameaça estejam associados ao mesmo delito.

As regras que contribuem com os conjuntos de referência quando contas do usuário são criadas ou utilizadas não geram delitos.

Investigando a ameaça

O conteúdo IBM QRadar a seguir é criado pela simulação de ameaça Modificação de conta suspeita . Depois de executar a simulação, é possível usar este conteúdo para rastrear e investigar a ameaça.

Tabela 1. Conteúdo do QRadar para a simulação Modificação de conta suspeita
Conteúdo Nome
Pesquisa salva EC: modificação de conta suspeita
Eventos de Entrada
  • Auditoria de sucesso: uma conta do usuário foi criada
  • Auditoria de sucesso: uma conta do usuário foi excluída
  • Auditoria de sucesso: uma conta do usuário efetuou login com sucesso

A origem de log para o evento recebido é Experience Center: WindowsAuthServer.

Conjuntos de referência CE UserAccountCreated

CE UserAccountUsed

Regras
  • EC: incluir nome da conta em EC UserAccountCreated
  • EC: incluir nome da conta em EC UserAccountUsed
  • EC: conta do usuário criada e utilizada e removida

Somente a regra EC: conta do usuário criada e utilizada e removida cria um delito. As outras regras contribuem com os conjuntos de referência.

Evento Gerado Conta do usuário criada e excluída dentro de um curto período de tempo (Exp Center)

A origem de log para eventos que são gerados pelo QRadar é o Custom Rule Engine (CRE).

Ofensa Conta do usuário criada e utilizada e excluída dentro de um curto período de tempo (Exp Center)

O delito é indexado com base no Nome do usuário, significando que todos os eventos que acionam esta regra e que têm o mesmo nome de usuário fazem parte do mesmo delito.

Dependendo dos eventos e das regras existentes em seu ambiente antes de executar o caso de uso, o nome do delito pode incluir precedido por <offense name> ou contendo <offense name>.