Anomalia de rede

Use a IBM Security QRadar Network Anomaly Content Extension para monitorar de perto as anomalias.

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

Esta extensão de conteúdo inclui um ou mais painéis do Pulse. Para obter mais informações sobre painéis Pulse, consulte QRadar Pulse app.

IBM Security QRadar Extensão de conteúdo de anomalia de rede 1.1.1

A tabela a seguir mostra as regras que são atualizadas no IBM Security QRadar Network Anomaly Content Extension 1.1.1.

Tabela 1. Regras no IBM Security QRadar Network Anomaly Content Extension 1.1.1
Nome Descrição
Número suspeito de bloqueios de conta Aciona quando o mesmo usuário é bloqueado uma quantia incomum de vezes.
Nota: Tune esta regra de acordo com os seus requisitos de conformidade.

Anteriormente chamado Número inusualmente alto de bloqueios de conta para o mesmo usuário.

Número suspeito de mesmos logins do usuário a diversos dispositivos Aciona quando o mesmo usuário tenta fazer login em diversos dispositivos em uma curta duração.
Nota: Tune esta regra de acordo com os seus requisitos de conformidade.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de anomalia de rede 1.1.0

A tabela a seguir mostra as regras e os blocos de construção que são atualizados no IBM Security QRadar Network Anomaly Content Extension 1.1.0

Tabela 2. Regras e blocos de construção no IBM Security QRadar Network Anomaly Content Extension 1.1.0
Tipo Nome Descrição
Bloco de construção BB:HostDefinition: servidores de e-mail Edite esse bloco de construção para definir servidores de correio típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor de Correio e BB:FalsePositve: Eventos Falsos Positivos do Servidor de Correio.
Bloco de construção BB:PolicyViolation: Violação de Política de IM de IRC: Comunicações de IM Identifica fluxos que foram identificados como comunicações de sistema de mensagem instantânea.
Bloco de construção BB:PolicyViolation: Violação de Política de Correio: Emissor de E-mail de Saída Identifica fluxos que mostram um host enviando e-mail para hosts remotos.
Regra Anomalia: Salto da DMZ Aciona quando as conexões parecem ser estabelecidas em toda a rede DMZ.
Regra Conformidade: Tráfego da DMZ para a Rede Interna Aciona quando o tráfego é passado da DMZ para uma rede interna. Geralmente isso não é permitido sob os regulamentos de conformidade. É necessário certificar-se de que o objeto DMZ na hierarquia da rede esteja definido antes da ativação dessa regra.
Regra Viagens impossíveis detectadas Aciona quando a autenticação bem-sucedida é detectada a partir de localizações que são impossíveis de viajar dentro de um curto período de tempo, com base em velocidade de viagem e distância.
Regra Local: SSH ou Telnet detectado na porta não padrão Aciona quando uma comunicação FTP remota é observada em uma porta não padrão. A porta padrão para FTP é a porta TCP 21. Detectar FTP em outras portas pode indicar um host explorado, em que o invasor instalou este serviço para fornecer acesso backdoor ao host.
Regra Local: SSH ou Telnet detectado na porta não padrão Aciona quando uma comunicação local SSH ou Telnet é observada em uma porta não padrão. A porta padrão para servidores SSH e Telnet é a porta TCP 22 e 23. Detectar operação SSH ou Telnet em outras portas pode indicar um host explorado, onde o invasor instalou esse servidor para fornecer acesso alternativo para o host.
Regra Remoto: FTP Detectado em Porta Não Padrão Aciona quando uma comunicação FTP remota é observada em uma porta não padrão. A porta padrão para FTP é a porta TCP 21. Detectar FTP em outras portas pode indicar um host explorado, em que o invasor instalou este serviço para fornecer acesso backdoor ao host.
Regra Remoto: Cliente P2P local conectado a mais de 100 servidores Aciona quando um host local está operando como um cliente Peer-to-Peer (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright.
Regra Remoto: Cliente P2P local detectado Aciona quando um host local está operando como um cliente Peer-to-Peer (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright.
Regra Remoto: Servidor P2P local detectado Aciona quando um host local está operando como um servidor Peer-to-Peer (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright.
Regra Remoto: Possível Tunelamento Aciona quando possível tunelamento, que pode indicar um desvio de política, ou um sistema infectado é detectado.
Regra Remoto: Emissor de E-mail SMTP Aciona quando um host local está enviando um grande número de fluxos SMTP da mesma origem para a Internet, em um intervalo. Isso poderia indicar que existe um envio de e-mails em massa, worm ou retransmissão de spam.
Regra Remoto: SSH ou Telnet detectado na porta não padrão Aciona quando uma comunicação remota SSH ou Telnet é observada em uma porta não padrão. A porta padrão para servidores SSH e Telnet é a porta TCP 22 e 23. Detectar operação SSH ou Telnet em outras portas pode indicar um host explorado, onde o invasor instalou esse servidor para fornecer acesso alternativo para o host.
Regra Remoto: quantia suspeita de tráfego de IM/bate-papo Aciona quando uma quantia excessiva de tráfego IM/Chat de uma única origem é detectada.
Regra IP único com vários endereços MAC Aciona quando o endereço MAC associado a um único endereço IP muda diversas vezes ao longo de um período de tempo.
Regra Login bem-sucedido a partir de cidade específica Retorna dados de localização, fornecidos por MaxMind, para um endereço IP selecionado e preenche a tabela de referência Impossible Travel.
Regra Sistemas que usam vários protocolos diferentes Aciona quando os sistemas locais estão se conectando à internet em mais de 50 portas DST em uma hora. As conexões devem ser bem-sucedidas. Essa regra pode ser editada para detectar também comunicações falhas que também podem ser úteis.
Regra Número inusual de dispositivos logados pelo mesmo usuário Aciona quando o mesmo usuário parece efetuar logon em um número anormal de dispositivos dentro de um curto período de tempo.
Regra Número inusualmente alto de bloqueios de conta para o mesmo usuário Aciona quando o mesmo usuário é bloqueado uma quantia incomum de vezes.
Os blocos de construção e as regras a seguir são removidos no IBM Security QRadar Network Anomaly Content Extension 1.1.0. Eles estão disponíveis para uso no Compliance Content Extension.
  • BB:CategoryDefinition: Países/regiões sem acesso remoto
  • Aceitações excessivas do firewall de várias origens para um único destino
  • Acesso remoto a partir de país/região estrangeira
  • Comunicação de entrada remota a partir de um país/região estrangeiro

A tabela a seguir mostra os dados de referência novos ou atualizados no IBM Security QRadarNetwork Anomaly Content Extension 1.1.0.

Tabela 3. Dados de Referência no IBM Security QRadar Network Anomaly Content Extension 1.1.0
Tipo Nome Descrição
Tabela de referência Viagem Impossível Contém uma lista de endereços IP e nomes de usuários associados a cidades específicas.
Tabela de referência Usuários de viagens impossíveis Contém uma lista de usuários associados a viagens impossíveis com base em velocidade e distância.
Dados de Referência pulse_imports Parte do painel Pulse.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de anomalia de rede 1.0.3

A extensão de conteúdo não exibe mais um número incorreto de regras.

(Voltar para o topo)

IBM Segurança QRadar Extensão de conteúdo de anomalias de rede 1.0.2

A tabela a seguir mostra as regras e os blocos de construção que são atualizados no IBM Security QRadar Network Anomaly Content Extension 1.0.2

Tabela 4. Regras e blocos de construção no IBM Security QRadar Network Anomaly Content Extension 1.0.2
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Bloco de construção atualizado com dispositivos FW/Roteador/Comutador.
Regra Aceitações excessivas do firewall de várias origens para um único destino Regra renomeada para nomenclatura padrão.
Regra Sistemas que usam vários protocolos diferentes Regra renomeada para nomenclatura padrão.
Regra IP único com vários endereços MAC Regra renomeada para nomenclatura padrão.

(Voltar para o topo)

IBM Segurança QRadar Extensão de conteúdo de anomalias de rede 1.0.1

A tabela a seguir mostra as regras e os blocos de construção que são atualizados no IBM Security QRadar Network Anomaly Content Extension 1.0.1.

Tabela 5. Regras e blocos de construção no IBM Security QRadar Network Anomaly Content Extension 1.0.1
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:HostDefinition: Servidores DHCP Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:CategoryDefinition: Comunicação bem-sucedida Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Regra Anomalia: excesso de aceitações do firewall de diversas origens para um destino único Incluído um teste de regra no bloco de construção BB:DeviceDefinition: FW/Roteadodor/Comutador.
Regra Anomalia: sistemas usando muitos protocolos diferentes Incluído um teste de regra no bloco de construção BB:DeviceDefinition: FW/Roteadodor/Comutador.
Regra IP único com vários endereços MAC Incluído um teste de regra no bloco de construção BB:HostDefinition: Servidores DHCP.

(Voltar para o topo)

IBM Segurança QRadar Extensão de conteúdo de anomalias de rede 1.0.0

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Network Anomaly Content Extension 1.0.0.

Tabela 6. Regras e blocos de construção no IBM Security QRadar Network Anomaly Content Extension 1.0.0
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Salto da DMZ Pré-reverso Identifica ações que podem ser vistas dentro de um cenário de salto de DMZ. É usado principalmente por Anomalia: DMZ Jumping e Anomalia: DMZ Reverse Tunnel.
Bloco de construção BB:CategoryDefinition: Sucesso de Autenticação Edite esse bloco de construção para incluir todos os eventos que indicam tentativas bem-sucedidas de acessar a rede.
Bloco de construção BB:CategoryDefinition: Países/regiões sem acesso remoto Edite esse bloco de construção para incluir qualquer local geográfico que normalmente não tenha permissão de acesso remoto à empresa. Depois de configurada, é possível ativar a regra Anomalia: Acesso remoto a partir de País/Região estrangeira.
Bloco de construção BB:CategoryDefinition: Aceitação de Firewall ou ACL Edite esse bloco de construção para incluir todos os eventos que indicam acesso ao firewall.
Bloco de construção BB:CategoryDefinition: Salto da DMZ Reverso Identifica ações que podem ser vistas dentro de um cenário de salto de DMZ. É usado principalmente por Anomalia: DMZ Jumping e Anomalia: DMZ Reverse Tunnel.
Bloco de construção BB:CategoryDefinition: Comunicação bem-sucedida Define fluxos que são típicos de uma comunicação bem-sucedida. Talvez você queira baixar a proporção para 64 bytes/pacote, porém, isso causará vários falsos positivos e pode exigir um ajuste adicional usando sinalizações e outras propriedades.
Bloco de construção BB:CategoryDefinition: Salto pré-DMZ Identifica ações que podem ser vistas dentro de um cenário de salto de DMZ. É usado principalmente por Anomalia: DMZ Jumping e Anomalia: DMZ Reverse Tunnel.
Bloco de construção BB:CategoryDefinition: Salto pós-DMZ Identifica ações que podem ser vistas dentro de um cenário de salto de DMZ. É usado principalmente por Anomalia: DMZ Jumping e Anomalia: DMZ Reverse Tunnel.
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Define todos os firewalls, roteadores e comutadores no sistema.
Bloco de construção BB:HostDefinition: Servidores DHCP Edite esse bloco de construção para definir servidores DHCP típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:False Positive: Categorias de falso positivo do servidor DHCP e BB:FalsePositve: Eventos de falso positivo do servidor DHCP.
Bloco de construção BB:NetworkDefinition: Endereços DMZ Atualize esse bloco de construção para incluir endereços que estão incluídos na DMZ.

Este bloco de construção referencia a hierarquia de rede padrão. Atualize este bloco de construção se você estiver usando uma hierarquia de rede diferente.

Regra Aceitações excessivas do firewall de várias origens para um único destino Relata aceitações de Firewall excessivas para o mesmo destino de pelo menos 100 endereços IP de origem exclusiva em 5 minutos.
Regra Túnel Reverso da DMZ Esta regra será disparada quando conexões parecerem vinculadas na DMZ da rede através de um túnel reverso.
Regra Comunicação de entrada remota a partir de um país/região estrangeiro Relata o tráfego a partir de um endereço IP conhecido como estando em um país/região que não tem direito de acesso remoto. Antes de ativar esta regra, configure o bloco de construção BB:CategoryDefinition: Países/Regiões sem acesso remoto. Talvez você tenha que remover servidores da web na DMZ que geralmente são analisados por hosts remotos com scanners da web.
Regra Acesso remoto a partir de país/região estrangeira Relata logins ou acesso bem-sucedidos a partir de um endereço IP conhecido como estando em um país/região que não tem direito de acesso remoto. Antes de ativar esta regra, configure o bloco de construção BB:CategoryDefinition: Países/Regiões sem acesso remoto.
Regra IP único com vários endereços MAC Essa regra será disparada quando o endereço MAC mudar para um único endereço IP várias vezes em um período de tempo.
Regra Sistemas que usam vários protocolos diferentes Sistema local se conectando à internet em mais de 50 portas DST em uma hora. As conexões devem ser bem-sucedidas. Essa regra pode ser editada para detectar também comunicações falhas que também podem ser úteis.

(Voltar para o topo)