Baseline Maintenance

A IBM Security QRadar Baseline Maintenance Content Extension atualiza várias regras, blocos de construção e outros conteúdos do modelo corporativo principal no QRadar.

Sobre a extensão Baseline Maintenance

A instalação dessa extensão não impacta as regras modificadas pelo usuário, mas atualiza o modelo de regra para corrigir problemas de regras e blocos de construção e o ajuste de desempenho em várias categorias. Propriedades customizadas, procuras ou itens de painel que são instalados pelo aplicativo sobrescrevem valores existentes para mantê-los atualizados.

IBM Security QRadar Extensão de Conteúdo de Manutenção de Linha de Base 2.0.0 e posterior requer QRadar 7.3.3 Fix Pack 4 ou posterior. Se você estiver usando uma versão anterior do QRadar, use IBM Security QRadar Baseline Maintenance Content Extension 1.1.0 em seu lugar.

O IBM Security QRadar Baseline Maintenance Content Extension 2.0.0 não inclui nenhum conteúdo do IBM Security QRadar Baseline Maintenance Content Extension 1.1.0 ou anterior. Esse conteúdo é incluído no QRadar 7.3.3 Fix Pack 4 e mais recente por padrão

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

Versão da extensão do Baseline Maintenance padrão

IBM Security QRadar é instalado com a seguinte extensão de Manutenção de Linha de Base como padrão.

  • IBM Security QRadar versão 7.4.0 FP3, 7.4.1, 7.4.2e 7.4.3 são instalados com o IBM Security QRadar Baseline Maintenance Content Extension 1.1.0.
  • IBM Security QRadar versão 7.3.3 FP4 e 7.4.0 são instalados com o IBM Security QRadar Baseline Maintenance Content Extension 1.0.10, que foi posteriormente renumerado para 1.1.0.
  • O IBM Security QRadar versão 7.3.3 é instalado com o IBM Security QRadar Baseline Maintenance Content Extension 1.0.8.
  • O IBM Security QRadar versão 7.3.2 é instalado com o IBM Security QRadar Baseline Maintenance Content Extension 1.0.4.

IBM Security QRadar Extensões de Conteúdo de Manutenção de Linha de Base

IBM Segurança QRadar Manutenção básica Extensão de conteúdo 2.2.6

A tabela a seguir mostra as regras novas ou atualizadas em IBM Segurança QRadar Manutenção da linha de base Conteúdo Extensão 2.2.6.

Tabela 1. Regras em IBM Segurança QRadar Manutenção de linha de base Extensão de conteúdo 2.2.6
Nome Descrição
Sistema: Notificação Adicionados quatro novos QIDs. Essa regra assegura que os eventos de notificação sejam enviados para a estrutura de notificação

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.5

A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.5.

Tabela 2. Regras no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.5
Nome Descrição
Sistema: Notificação Incluídos dois novos QIDs. Essa regra assegura que os eventos de notificação sejam enviados para a estrutura de notificação

A tabela a seguir mostra as propriedades customizadas que foram atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.5.

Tabela 3. Propriedades customizadas atualizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.5
Nome da propriedade anterior Nome da propriedade atualizado
EventID ID de Evento

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.4

A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.4.

Tabela 4. Regras no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.4
Nome Descrição
Sistema: Notificação Incluídos dois novos QIDs. Essa regra assegura que os eventos de notificação sejam enviados para a estrutura de notificação

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.3

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.3.

Tabela 5. Propriedades customizadas atualizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.3
Nome Otimizada Grupo de Captura Expressão regular
SHA1 Hash Sim 1
\bSHA1[":]+"([^"]*)"
Sha1":"(.*?)"
Categoria da ameaça Não 1
ThreatCategory":"(.*?)"
Família de ameaça Não 1
ThreatFamily":"(.*?)"
Severidade da ameaça Não 1
Severity":"(.*?)"

A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.3.

Tabela 6. Blocos de construção e regras em IBM Segurança QRadar Manutenção da linha de base Extensão de conteúdo 2.2.3
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Contas de Superusuário Define todos os eventos em que os nomes de usuários são contas de superusuário.
Bloco de construção BB:DeviceDefinition: Dispositivos de proteção de terminal Define todos os dispositivos de proteção de terminais no sistema
Bloco de construção BB:NetworkDefinition: Segmento de rede de destino confiável Define segmentos de rede de destino confiável.
Bloco de construção BB:NetworkDefinition: Segmento de rede de origem confiável Define segmentos de rede de origem confiável
Regra Carregar Blocos de Construção Básicos Carrega blocos de construção que precisam ser executados para auxiliar com a criação de relatórios. Esta regra não possui ações ou respostas.
Regra Sistema: Notificação Garante que eventos de notificação são enviados para a estrutura de notificação.

A tabela a seguir mostra a procura salva que foi atualizada no IBM Security QRadar Extensão de Conteúdo de Manutenção de Linha de Base 2.2.3

Tabela 7. Procura salva no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.3
Procura salva Descrição
Eventos de Malware Por Nome Procurar para descrever Malware localizado no sistema por nome.

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.2

A tabela a seguir mostra as regras novas ou atualizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.2.

Tabela 8. Regras no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.2
Nome Descrição
Botnet: potencial conexão Botnet (DNS) Aciona quando um host está se conectando ou tentando se conectar a um servidor DNS na internet. Isso pode indicar um host se conectando a um Botnet. O host deve ser investigado quanto a código malicioso.
Host de Correspondência em Massa Local Detectado Aciona quando um host local está enviando mais de 20 fluxos SMTP em 1 minuto. Isso pode indicar um host usado como um retransmissor de spam ou foi infectado com uma forma de worm de envio de e-mail em massa.
Local: FTP detectado na porta não padrão Aciona quando uma comunicação de FTP local é observada em uma porta não padrão. A porta padrão para FTP é a porta TCP 21. Detectar FTP em outras portas pode indicar um host comprometido, onde o invasor instalou este serviço para fornecer acesso backdoor ao host.
Local: SSH ou Telnet detectado na porta não padrão Aciona quando uma comunicação local SSH ou Telnet é observada em uma porta não padrão. A porta padrão para servidores SSH e Telnet é a porta TCP 22 e 23. Detectar SSH ou Telnet operando em outras portas pode indicar um host comprometido, onde o invasor instalou esses servidores para fornecer acesso backdoor ao host.
Potencial Acesso ao Honeypot Aciona quando um evento envolve uma origem ou destino que é definido como um endereço honeypot ou tarpit. Antes de ativar esta regra, deve-se configurar o bloco de construção BB:NetworkDefinition: Honeypot como endereços.
Sistema: Notificação Garante que eventos de notificação são enviados para a estrutura de notificação. Um novo QID foi incluído.

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.1

A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.1.

Tabela 9. Regras no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.1
Nome Descrição
AssetExclusion: Excluir nome de DNS por IP Inclui na lista de bloqueio um nome DNS que está associado a N endereços IP diferentes ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir nome de DNS por endereço MAC Inclui na lista de bloqueio um nome DNS que está associado a N MACs diferentes ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir nome de DNS por nome de NetBIOS Inclui na lista de bloqueio um nome DNS que está associado a N nomes diferentes do NetBIOS ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir IP por nome de DNS Inclui na lista de bloqueio um endereço IP que está associado a N nomes DNS diferentes ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir IP por endereço MAC Inclui na lista de bloqueio um endereço IP que está associado a N endereços MAC diferentes ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir IP por nome de NetBIOS Inclui na lista de bloqueio um endereço IP que está associado a N nomes diferentes do NetBIOS ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir endereço MAC por nome de DNS Inclui na lista de bloqueio um endereço MAC que está associado a N Nomes DNS diferentes ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir endereço MAC por IP Inclui na lista de bloqueio um endereço MAC que está associado a N diferentes endereços IPv4 ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir endereço MAC por nome de NetBIOS Inclui na lista de bloqueio um endereço MAC que está associado a N nomes diferentes do NetBIOS ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir nome de NetBIOS por nome de DNS Inclui na lista de bloqueio um nome NetBIOS que está associado a N nomes DNS diferentes ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir nome de NetBIOS por IP Inclui na lista de bloqueio um nome NetBIOS que está associado a N diferentes endereços IPv4 ao longo de um determinado intervalo de tempo.
AssetExclusion: Excluir nome de NetBIOS por endereço MAC Inclui na lista de bloqueio um nome NetBIOS que está associado a N endereços MAC diferentes ao longo de um determinado intervalo de tempo.
Sistema: Notificação Novos QIDs incluídos.

A tabela a seguir mostra os conjuntos de referência que são novos ou atualizados no IBM Security QRadar Baseline Maintenance Content Extension 2.2.1.

Tabela 10. Conjuntos de referências no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.1
Nome Descrição
Lista de bloqueios de DNS de reconciliação de ativos Uma lista de boqueio de nomes DNS.
Lista de permissões de DNS de reconciliação de ativos Uma lista de permissões de nomes DNS.
Lista de bloqueios de IPv4 de reconciliação de ativos Uma lista de bloqueio de endereços IP.
Lista de permissões de IPv4 de reconciliação de ativos Uma lista de permissões de endereços IP.
Lista de bloqueios de MAC de reconciliação de ativos Uma lista de bloqueios de endereços MAC.
Lista de permissões de MAC de reconciliação de ativos Uma lista de permissões de endereços MAC.
Lista de bloqueios de NetBIOS de reconciliação de ativos Uma lista de bloqueios de nomes de host NetBIOS.
Lista de permissões de NetBIOS de reconciliação de ativos Um lista de permissões de nomes de host NetBIOS.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.1.0

A tabela a seguir mostra os blocos de construção que são novos ou atualizados no IBM Security QRadar Baseline Maintenance Content Extension 2.1.0.

Tabela 11. Blocos de construção no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.1.0
Nome Descrição
BB:CategoryDefinition: Sucesso de Autenticação Edite esse bloco de construção para incluir todos os eventos que indicam tentativas bem-sucedidas de acessar a rede.
BB:CategoryDefinition: Auditoria mudada Identifica eventos de auditoria mudados.
BB:DeviceDefinition: nuvem Define todas as origens de nuvem no sistema.
BB:FalsePositive: Eventos de autenticação de origem do Windows AD Define os endereços de autenticação do Windows ou de servidores do Active Directory.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.0.0

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.0.0.

Tabela 12. Propriedades customizadas atualizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.0.0
Nome Otimizada Grupo de Captura Expressão regular
Events per Second Coalesced - Average 1 Min Sim 1 StatFilter.+60s\:(\d+)\,\d+\s
Events per Second Coalesced - Peak 1 Sec Sim 1 StatFilter.+1s\:(\d+)\,\d+\s
Events per Second Raw - Average 1 Min Sim 1 StatFilter.+60s\:\d+\,(\d+)\s
Events per Second Raw - Peak 1 Sec Sim 1 StatFilter.+1s\:\d+\,(\d+)\s
Pai Sim 1 \[parent=(.+?)\].+StatFilter

A tabela a seguir mostra as regras novas ou atualizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.0.0.

Tabela 13. Regras no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.0.0
Nome Descrição
Primeiro acesso de usuário a ativo crítico A regra foi corretamente vinculada ao mapa de referência Autenticação ou uso do sistema do usuário - IP de conjuntos.
Taxa de transferência alta de transferência de saída grande O limite foi atualizado para 500 MB
Taxa de transferência lenta de transferência de saída grande O limite foi atualizado para 500 MB
Limpeza de Malware ou Vírus com Falha Detecta quando um sistema detectou um vírus e falhou ao limpá-lo ou removê-lo. Novos QIDs incluídos.
Sistema: Notificação Assegura que os eventos de notificação serão enviados para a estrutura de notificação. Um novo QID foi incluído.

A tabela a seguir mostra os dados de referência que são novos ou atualizados no IBM Security QRadar Baseline Maintenance Content Extension 2.0.0.

Tabela 14. Dados de referência no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.0.0
Tipo Nome Descrição
Conjunto de Referências Ativos críticos Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Mapa de Referência de Conjuntos Autenticação ou Uso do Usuário-Sistema Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.

A tabela a seguir mostra a procura salva que é atualizada no IBM Security QRadar Baseline Maintenance Content Extension 2.0.0.

Tabela 15. Procura salva no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.0.0
Procura salva Descrição
Taxa do Evento (EPS) A Procura salva foi atualizada para usar um filtro adicional em Pai não é N/A.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.1.0

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 1.1.0.

Tabela 16. Propriedades customizadas atualizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.1.0
Nome Otimizada Grupo de Captura Expressão regular
Resumo de evento Sim 1 sum=([^\t]+)

A tabela a seguir mostra os blocos de construção que são novos ou atualizados no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.1.0.

Tabela 17. Blocos de construção no IBM Security QRadar Extensão de conteúdo de manutenção de referência 1.1.0
Nome Descrição
BB:HostDefinition: Servidores DHCP Edite esse bloco de construção para definir servidores DHCP típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:False Positive: Categorias de falso positivo do servidor DHCP e BB:FalsePositve: Eventos de falso positivo do servidor DHCP.
BB:HostDefinition: Servidores DNS Edite esse bloco de construção para definir servidores DNS típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor DNS e BB:FalsePositve: Eventos Falsos Positivos do Servidor DNS.
BB:HostDefinition: Servidores proxy Edite esse bloco de construção para definir servidores proxy típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Proxy e BB:FalsePositve: Eventos Falsos Positivos do Servidor Proxy.
BB:HostReference: Servidores de banco de dados Inclua os endereços IP de servidor de banco de dados no conjunto de referência Servidores de banco de dados - IP.
BB:HostReference: Servidores DHCP Inclua os endereços IP de servidor DHCP no conjunto de referência Servidores DHCP - IP.
BB:HostReference: Servidores DNS Inclua os endereços IP de servidor DNS no conjunto de referência Servidores DNS - IP.
BB:HostReference: Servidores FTP Inclua os endereços IP de servidor FTP no conjunto de referência Servidores FTP - IP.
BB:HostReference: Servidores LDAP Inclua os endereços IP de servidor LDAP no conjunto de referência Servidores LDAP - IP.
BB:HostReference: servidores de e-mail Inclua os endereços IP de servidor de e-mail no conjunto de referência Servidores de e-mail - IP.
BB:HostReference: Servidores Proxy Inclua os endereços IP de servidor proxy no conjunto de referência Servidores proxy - IP.
BB:HostReference: Servidores SSH Inclua os endereços IP de servidor SSH no conjunto de referência Servidores SSH - IP.
BB:HostReference: Servidores da Web Inclua os endereços IP de servidor da web no conjunto de referência Servidores da web - IP.
BB:HostReference: Servidores Windows Inclua os endereços IP de servidor Windows no conjunto de referência Servidores Windows - IP.

A tabela a seguir mostra o conjunto de referência que é atualizado no IBM Security QRadar Baseline Maintenance Content Extension 1.1.0.

Tabela 18. Conjunto de referência atualizado no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.1.0
Conjunto de referência Descrição
Implementação do QRadar Corrija o número de endereços IP contidos neste conjunto de referência.

A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 1.1.0.

Tabela 19. Procuras salvas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.1.0
Procura salva Descrição
Desviando o crescimento do ativo: relatório de ativo Atualizado para permitir que a procura seja traduzida.
Desviando o crescimento do ativo: relatório de origem de log Atualizado para permitir que a procura seja traduzida.
Taxa do Evento (EPS) Foi realizada a atualização de uma função EPS para uma função de contagem, mudando o valor de procura de Média para Contagem.
Taxa de Fluxo (FPS) Foi realizada a atualização de uma função FPS para uma função de contagem, mudando o valor de procura de Média para Contagem.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.9

A tabela a seguir mostra as regras e os blocos de construção novos ou atualizados no IBM Security QRadar Baseline Maintenance Content Extension 1.0.9.

Tabela 20. Regras novas ou atualizadas e blocos de construção no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.9
Tipo Nome Descrição
Regra Carregar Blocos de Construção Básicos Esta regra carrega blocos de construção que precisam ser executados para ajudar com relatórios. Esta regra não possui ações ou respostas.
Os blocos de construção a seguir foram incluídos nesta regra:
  • BB:CategoryDefinition: Ataques maliciosos

  • BB:CategoryDefinition: Modificações do usuário ou função do SIEM

  • BB:DeviceDefinition: proxy

  • BB:DeviceDefinition: nuvem

  • BB:DeviceDefinition: sistema operacional

  • BB:DeviceDefinition: e-mail

  • BB:DeviceDefinition: dispositivos DLP

Bloco de construção BB:CategoryDefinition: Modificações do usuário ou função do SIEM Incluído novo bloco de construção.

Verifica o QID específico para o usuário do QRadar e a criação e a modificação de função.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.8

A tabela a seguir mostra as propriedades customizadas novas ou atualizadas no IBM Security QRadar Extensão de Conteúdo de Manutenção de Linha de Base 1.0.8

Tabela 21. Propriedades customizadas novas ou atualizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.8
Nome Otimizada Grupo de Captura Expressão regular
Caminho de Arquivo Não 1 filePath=([^\t]+)[\t]*
Acessos Sim 1 Accesses: (.*?) Privileges:
Intenção de Acesso Sim 1 intent=([^\t]+)

As propriedades customizadas Avt-App-VolumePackets, AVT-App-NAme, AVT-App-VolumeBytes e AVT-App-Category foram removidas nesta liberação.

A tabela a seguir mostra as regras e os blocos de construção novos ou atualizados no IBM Security QRadar Baseline Maintenance Content Extension 1.0.8.

Tabela 22. Regras novas ou atualizadas e blocos de construção no IBM Security QRadar Extensão de conteúdo de manutenção da linha de base 1.0.8
Tipo Nome Descrição
Regra Sistema: Notificação QID 38750002 removido para aviso geral.
Bloco de construção BB:DeviceDefinition: proxy Incluídos novos dispositivos: Forcepoint V Series, Microsoft ISA, McAfee Web Gateway.
Bloco de construção BB:DeviceDefinition: nuvem Incluído novo bloco de construção.

Define todos os dispositivos de Nuvem no sistema.

Bloco de construção BB:DeviceDefinition: dispositivos DLP Incluído novo bloco de construção.

Define todos os dispositivos de prevenção de perda de dados (DLP) no sistema.

Bloco de construção BB:DeviceDefinition: e-mail Incluído novo bloco de construção.

Define todos os dispositivos de Correio no sistema.

Bloco de construção BB:DeviceDefinition: sistema operacional Incluído novo bloco de construção.

Define todos os Sistemas Operacionais no sistema.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.7

A tabela a seguir mostra as propriedades customizadas novas ou alteradas na IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.7.

Tabela 23. Propriedades customizadas novas ou alteradas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.7
Nome Otimizada Grupo de Captura Expressão regular
Nome do host de destino Sim 1 dstHostName=([^\t]+)[\t]*
EventID Sim 1 \d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)

A tabela a seguir mostra as regras e os blocos de construção novos ou alterados no IBM Security QRadar Baseline Maintenance Content Extension 1.0.7.

Tabela 24. Regras e blocos de construção novos ou alterados no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.7
Tipo Nome Descrição
Regra Sistema: Notificação Essa regra garante que os eventos de notificação será enviada para a estrutura de notificação. Novos QIDs incluídos.
Bloco de construção BB:HostReference: Servidores de banco de dados Este bloco de construção define servidores de banco de dados típicos.
Bloco de construção BB:HostReference: Servidores DHCP Este bloco de construção define servidores DHCP típicos.
Bloco de construção BB:HostReference: Servidores DNS Este bloco de construção define servidores DNS típicos.
Bloco de construção BB:HostReference: Servidores FTP Este bloco de construção define servidores FTP típicos.
Bloco de construção BB:HostReference: Servidores LDAP Este bloco de construção define servidores LDAP típicos.
Bloco de construção BB:HostReference: servidores de e-mail Este bloco de construção define servidores de e-mail típicos.
Bloco de construção BB:HostReference: Servidores SSH Este bloco de construção define servidores SSH típicos.
Bloco de construção BB:HostReference: Servidores da Web Este bloco de construção define servidores da web típicos.
Bloco de construção BB:HostReference: Servidores Windows Este bloco de construção define servidores Microsoft Windows típicos.
Bloco de construção BB:CategoryDefinition: Sucesso de Autenticação Bloco de construção atualizado para remover 2 LLCs: Escalada de Privilégio com Sucesso e Senha Alterada com Sucesso.
Bloco de construção BB:CategoryDefinition: Falha na Autenticação Bloco de construção atualizado para remover 2 LLCs: Escalada de Privilégio com Falha e Senha Alterada com Falha.

A tabela a seguir mostra as procuras salvas novas ou alteradas em IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.7.

Tabela 25. Procuras salvas novas ou mudadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.7
Nome Descrição
Logins de SSH Procure recuperar os sucessos de autenticação no próprio sistema QRadar (web e SSH).
Logins da IU Procure recuperar os sucessos de autenticação no próprio sistema QRadar (web e SSH).
Ofensas ao longo do tempo Procure recuperar os sucessos de autenticação no próprio sistema QRadar (web e SSH).
Desviando o crescimento do ativo: relatório de ativo Procure recuperar os sucessos de autenticação no próprio sistema QRadar (web e SSH).
Desviando o crescimento do ativo: relatório de origem de log Procure recuperar os sucessos de autenticação no próprio sistema QRadar (web e SSH).

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.6

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Extensão de Conteúdo de Manutenção de Linha de Base 1.0.6

Tabela 26. Propriedades customizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.6
Nome Otimizada Grupo de Captura Expressão regular
ObjectName Sim 1 ObjectName: (.*)
Resumo de evento Sim 1 sum=([^\t]+)
EventID Sim 1 \d{1,2}\:\d{1,2}\:\d{1,2}\s+\d{1,4}\s+(\d+)
Auditoria de login SSH Sim 1 \[Authentication\] \[User\] \[(UserLogin|LoginAttempt)\].*? on host .*
Host de origem de log Sim 1 \s+hostName=(\S+)
VirusName Sim 1 Virus Name: (.*?),
Identificador de objeto de auditoria Sim 1 \s+id=(\S+)

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Baseline Maintenance Content Extension 1.0.6.

Tabela 27. Regras e blocos de construção no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.6
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Auditoria mudada Incluídos novos QIDs e removidos alguns outros QIDs.
Bloco de construção BB:CategoryDefinition: conexões com o banco de dados com sucesso Alterado o nome de BB:CategoryDefinition: conexões com o banco de dados. Removido Registro de auditoria do Oracle RDBMS e incluído BB:DeviceDefinition: banco de dados.
Bloco de construção BB:CategoryDefinition: ataques maliciosos Alterado o nome de BB: ataques maliciosos. Edite esse bloco de construção para definir ataques maliciosos.
Regra Destino vulnerável à exploração detectada Detecta um ataque em relação a um destino local vulnerável, onde o host é conhecido por existir, e o host é vulnerável ao ataque.
Regra Destino vulnerável à exploração detectada em uma porta diferente Detecta um ataque com relação a um host de destino local vulnerável, onde o host é conhecido como existir, e o host é vulnerável ao ataque em uma porta diferente.
Regra Destino vulnerável à exploração diferente da porta de destino ou da porta em que houve tentativa Detecta um ataque com relação a um host de destino local vulnerável, onde o host é conhecido por existir, e o host é vulnerável a algum ataque, mas não à tentativa que está sendo feita.

A tabela a seguir mostra as procuras salvas no IBM Security QRadar Baseline Maintenance Content Extension 1.0.6.

Tabela 28. Procuras salvas no IBM Security QRadar Extensão de conteúdo de manutenção da linha de base 1.0.6
Nome Descrição
Logins de SSH Procure recuperar os sucessos de autenticação do ssh no próprio sistema QRadar .
Logins da IU Procure recuperando os sucessos de autenticação da IU no próprio sistema QRadar

(Voltar para o topo)

IBM Security QRadar Extensão de Conteúdo de Manutenção de Linha de Base 1.0.5 ..

A tabela a seguir mostra as propriedades customizadas que são atualizadas na IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.5.

Tabela 29. Propriedades customizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.5
Nome Otimizada Grupo de Captura Expressão regular
Events per Second Raw - Peak 1 Sec Sim 1 StatFilter.+1s\:\d+\,\d+\s\(peak\s\d+\,(\d+)
Events per Second Coalesced - Peak 1 Sec Sim 1 StatFilter.+1s\:\d+\,\d+\s\(peak\s(\d+)
AccountName Sim 2 Account Name:\s*(.+?)\s+Account Name:\s*(.+?)\s+

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Baseline Maintenance Content Extension 1.0.5.

Tabela 30.. Regras e blocos de construção no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.5
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: IDS / IPS Define todos os sistemas de detecções de intrusão (IDS) e os sistemas de prevenção de intrusão (IPS) no sistema.
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Define todos os firewalls, roteadores e comutadores no sistema.
Bloco de construção BB:DeviceDefinition: VPN Define todas as redes privadas virtuais (VPN) no sistema.
Bloco de construção BB:DeviceDefinition: Banco de Dados Define todos os bancos de dados no sistema.
Bloco de construção BB:DeviceDefinition: proxy Define todas as origens de proxy no sistema.
Bloco de construção BB:DeviceDefinition: Áudio/Vídeo Define todos os sistemas antivírus (AV) e anti-malware (AM) no sistema.
Bloco de construção BB:HostDefinition: Servidores Edite esse bloco de construção para definir servidores genéricos.
Bloco de construção BB:Eventos com Falha Edite esse bloco de construção para definir os eventos com falha.
Bloco de construção BB:Eventos do administrador de TI Edite este bloco de construção para definir ações executadas pela equipe de administração de TI.
Bloco de construção BB:Eventos de violação da política do contratado externo Edite esse bloco de construção para definir as violações de política causadas por contratados externos.
Bloco de construção BB:Eventos de violação de política do trabalhador móvel Edite esse bloco de construção para definir violações de política causadas por trabalhadores remotos.
Bloco de construção BB: Eventos de violação da política de teletrabalho Edite esse bloco de construção para definir as violações de política causadas por trabalhadores remotos.
Bloco de construção BB:Eventos com falha do contratado externo Edite esse bloco de construção para definir falhas causadas por contratados externos.
Bloco de construção BB:Eventos com falha do trabalhador móvel Edite esse bloco de construção para definir falhas causadas por trabalhadores remotos.
Bloco de construção BB:Eventos com falha do teletrabalhador Edite esse bloco de construção para definir falhas causadas por trabalhadores remotos.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal Identifica fluxos que possuem uma combinação de sinalização TCP.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito Identifica fluxos do Internet Control Message Protocol (ICMP) com códigos de tipo do ICMP suspeitos.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 Identifica fluxos suspeitos usando a porta 0.
Bloco de construção BB:CategoryDefinition: escaladas de privilégio Identifica uma escalada de privilégio em um evento.
Bloco de construção BB:CategoryDefinition: escala de privilégio com falha Identifica uma escalada de privilégio com falha em um evento.
Bloco de construção BB:ataques Maliciosos Edite esse bloco de construção para definir ataques maliciosos.
Regra Limpeza de Malware ou Vírus com Falha Detecta quando um sistema detectou um vírus e falhou ao limpá-lo ou removê-lo.

Incluídos os novos QIDs a seguir:

  • 42002845: Vírus detectado, ação real: Deixado sozinho
  • 42002836: Risco de segurança localizado, ação real: Esquerda sozinha
  • 42002833: Risco de segurança localizado, ação real: Todas as ações com falha
  • 42003869: Vírus detectado, ação real: Ações com falha
Regra Vulnerabilidades: vulnerabilidade reportada pelo scanner Detecta quando uma vulnerabilidade foi descoberto em um host local.
Regra Política: Novo Serviço Descoberto Detecta quando um host existente tem um novo serviço descoberto.
Regra Política: novo serviço descoberto na DMZ Detecta quando um host existente tem um novo serviço descoberto.
Regra Política: Novo Host Descoberto Detecta quando um novo host foi descoberto na rede.
Regra Política: novo host descoberto na DMZ Detecta quando um novo host foi descoberto na rede.
Regra Destino vulnerável à exploração detectada Detecta um ataque em relação a um destino local vulnerável, onde o host é conhecido por existir, e o host é vulnerável ao ataque.
Regra Destino vulnerável à exploração detectada em uma porta diferente Detecta um ataque com relação a um host de destino local vulnerável, onde o host é conhecido como existir, e o host é vulnerável ao ataque em uma porta diferente.

A tabela a seguir mostra os relatórios no IBM Security QRadar Baseline Maintenance Content Extension 1.0.5.

Tabela 31.. Relatórios no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.5
Nome do Relatório Nome da Procura e Dependências
Eventos de login com sucesso Procura Salva: Logins de SSH, Logins de UI

Conjunto de Referência: Implementação do QRadar

Edite as procuras salvas e o conjunto de referência para refinar os resultados.

A tabela a seguir mostra os dados de referência no IBM Security QRadar Baseline Maintenance Content Extension 1.0.5.

Tabela 32.. Dados de referência no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.5
Tipo Nome Descrição
Conjunto de Referências Implementação do QRadar Lista de endereços IP do QRadar ..

Este conjunto de referência é usado pela procura salva Logins de UI. Por padrão, ele contém 127.0.0.1 e o intervalo designado aos aplicativos (169.254.3.1 a 169.254.3.10). Edite essa lista conforme necessário.

Mapa de Referência de Conjuntos CorrelatedAttackMap Este mapa de referência de conjuntos mapeia endereços IP de destino com o QID.

A tabela a seguir mostra as procuras salvas no IBM Security QRadar Baseline Maintenance Content Extension 1.0.5.

Tabela 33. Procuras salvas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.5
Nome Descrição
Desviando o crescimento do ativo: relatório de ativo Esta procura mostra as mensagens de aviso de notificação do sistema com IDs do Ativo Vortex.
Desviando o crescimento do ativo: relatório de origem de log Esta procura mostra a categoria Relatório de Desvio de Ativo.
Negação de Firewall por Porta de DST Esta procura mostra eventos de negação de firewall ou ACL dos dispositivos de firewall, roteador ou comutador agrupados por porta de destino.
Logins da IU Esta procura mostra logins de UI.
Logins de SSH Esta procura mostra logins de SSH.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.4

Atualizações no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.4

Tipo Nome Descrição da mudança
Bloco de construção BB:CategoryDefinition: Autenticação para Conta Desativada
Incluídos os QIDs a seguir:
  • 5001959: Uma conta falhou ao efetuar logon: Conta desativada
  • 5001959: Uma conta falhou ao efetuar logon: Conta desativada
  • 5001954: Falha de auditoria: uma conta falhou ao efetuar logon: Usuário bloqueado
  • 5001965: Uma conta falhou ao efetuar logon: Usuário bloqueado
  • 5001949: Falha de auditoria: uma conta falhou ao efetuar logon: Conta expirada
  • 5001960: Uma conta falhou ao efetuar logon: Conta expirada
  • 5001951: Falha de auditoria: uma conta falhou ao efetuar logon: Logon fora do tempo horário normal
  • 5001962: Uma conta falhou ao efetuar logon: Logon fora do horário normal
Bloco de construção BB:DeviceDefinition: Roteadores de classificação do consumidor Incluída uma verificação de identidade para melhorar o desempenho. Agora este bloco de construção verifica apenas um endereço MAC para eventos com uma identidade.
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Regra atualizada para incluir dispositivos adicionais.
Regra Todas as explorações se tornam ofensas Relatórios alavancam ataques em eventos. Por padrão, essa regra fica desativada. Ative essa regra se quiser que todos os eventos categorizados como alavanca criem uma ofensa.
Regra Fonte de fluxo parou de enviar fluxos Os eventos enviados para esta regra agora são categorizados como Sistema > Falha do Sistema em vez de Acesso > Negação de ACL.
Regra Dispositivo parou de enviar eventos (Firewall, IPS, VPN ou Comutador) Corrigido o problema de importação para esta regra.
Relatório Vulnerabilidade de arquivos acessíveis Relatório atualizado para retornar apenas vulnerabilidades de arquivos acessíveis em vez de todas as vulnerabilidades. Também foram substituídas todas as ocorrências de fiiles por files neste relatório.
Dados de Referência Lista de bloqueio de IPv4 de reconciliação de ativos, Lista de bloqueio de NetBIOS de reconciliação de ativos, Lista de bloqueio de DNS de reconciliação de ativos e Lista de bloqueio de MAC de reconciliação de ativos
Configura um tempo de validade padrão de 7 dias nos seguintes dados de referência:
  • Lista de bloqueio de IPv4 de reconciliação de ativo
  • Lista de bloqueio de NetBIOS de reconciliação de ativo
  • Lista de bloqueio de DNS de reconciliação de ativo
  • Lista de bloqueio de MAC de reconciliação de ativo

Após a extensão ser instalada, todos os elementos existentes que foram vistos pela última vez mais de 7 dias atrás serão removidos dos dados de referência. Esse valor padrão pode ser alterado para refletir suas necessidades e seu ambiente.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.3

Atualizações no IBM QRadar Baseline Maintenance Content Extension 1.0.3

Tipo Nome Descrição da mudança
Regra/Bloco de construção Recon. seguida de aceitação

Atualizada a regra Recon Seguida de Aceitação em QRadar para usar o bloco de construção BB:ReconDetected Basic Recon Rule e remover a referência do bloco de construção All Recon Rules.

Regra antiga:
Usado como uma marca extra se todas as regras a seguir corresponderem, em ordem, do mesmo IP de origem para qualquer IP de destino, durante um período de 5 minutos:
  • BB:ReconDetected: Todas as regras de reconhecimento
  • BB:CategoryDefinition: Aceitação de Firewall ou ACL
  • BB:DeviceDefinition: FW/Roteador/Comutador
Regra Atualizada:
Usado como uma marca extra se todas as regras a seguir corresponderem, em ordem, do mesmo IP de origem para qualquer IP de destino, durante um período de 5 minutos:
  • BB:ReconDetected: Regras de recon. básicas
  • BB:CategoryDefinition: Aceitação de Firewall ou ACL
  • BB:DeviceDefinition: FW/Roteador/Comutador
Regra/Bloco de construção Eventos do DoS com alta magnitude se tornam ofensas

Atualizada a regra DoS Eventos com alta magnitude tornam-se ofensas em QRadar para alterar o bloco de construção associado BB:CategoryDefinition: Eventos de alta magnitude para ser acionado quando a gravidade for maior que 7.

Essa mudança permite que a ofensa seja gerada em um evento com gravidade de 8, 9 ou 10.

Regra/Bloco de construção FalsePositive: Regras e blocos de construção de falso positivo

Atualização de FalsePositive: Regras e blocos de construção de falso positivo principais para remover três blocos de construção para reduzir acionadores de regras de falso negativo.

Regra antiga:
Aplique FalsePositive: Regras e blocos de construção de falso positivo em eventos ou fluxos detectados pelo sistema local e quando um fluxo ou um evento corresponder às seguintes regras:
  • BB:FalsePositive: Todos os BBs de falso positivo padrão
  • BB:HostDefinition: IP de origem do scanner VA
  • BB:NetworkDefinition: Variação de endereços NAT
  • BB:HostDefinition: Servidores proxy
Regra atualizada:

Aplique FalsePositive: Regras e blocos de construção de falso positivo em eventos ou fluxos detectados pelo sistema local e quando um fluxo ou um evento corresponder a BB:FalsePositive: Todos os BBs de falso positivo padrão

Regra/Bloco de construção BB:FalsePositive: Todos os BBs de falso positivo padrão Inclusão de BB:HostDefinition: IP de origem do scanner VA na regra BB:FalsePositive: Todos os falsos positivos padrão.
Regra/Bloco de construção BB:HostDefinition: Servidores proxy

Atualização de Definição do host dos servidores proxy para incluir uma nova linha no bloco de construção para verificar BB:PortDefinition: Bloco de construção de portas do proxy.

Regra antiga:

Aplique BB:HostDefinition: Servidores proxy em eventos ou fluxos detectados pelo sistema local e quando o IP de origem ou destino for 127.0.0.2.

Regra Atualizada:
Aplique Apply BB:HostDefinition: Servidores proxy em eventos ou fluxos detectados pelo sistema local e quando as condições a seguir forem atendidas:
  • Um fluxo ou evento corresponde a BB:PortDefinition: Portas de proxy.
  • O IP de origem ou destino é 127.0.0.2.
Regra/Bloco de construção Várias falhas de login no mesmo destino

Atualização da regra Falhas múltiplas de login no mesmo destino para assegurar que ela não gere falsos positivos a partir dos eventos do servidor proxy.

Regra antiga:

Aplique Falhas múltiplas de login no mesmo destino em eventos detectados pelo sistema local correspondentes a BB:CategoryDefinition: Falhas de autenticação. Falhas múltiplas de login no mesmo destino também deve ser aplicada quando forem vistos pelo menos 10 eventos com o mesmo IP de Destino, mas com IPs de Origem e nomes de usuário diferentes em um período de 5 minutos.

Regra Atualizada:
Aplique Falhas múltiplas de login no mesmo destino em eventos detectados pelo sistema local correspondentes a BB:CategoryDefinition: Falhas de autenticação e quando forem vistos pelo menos 10 eventos com o mesmo IP de Destino, mas com IPs de Origem e nomes de usuários diferentes em um período de 5 minutos, mas NÃO quando um evento corresponder a qualquer um dos seguintes blocos de construção:
  • BB:HostDefinition: Servidores proxy
  • BB:HostReference: Servidores Proxy
Regra/Bloco de construção Excesso de negações de firewall do host local

Atualização da regra Excesso de negações de firewall do host local para assegurar que ela não gere falsos positivos a partir de eventos do servidor proxy.

Regra antiga:

Aplique Excesso de negações de firewall do host local em eventos detectados pelo sistema local, quando o contexto de evento for Local para Local, ou Local para Remoto e quando um evento corresponder a BB:CategoryDefinition: Firewall ou Negações de ACL com o mesmo IP de Origem mais de 40 vezes em mais de 40 IPs de Destino dentro de um período de 5 minutos.

Regra Atualizada: Aplique Excesso de negações de firewall do host local em eventos detectados pelo sistema local, quando o contexto de evento for Local para Local ou Local para Remoto e quando um evento corresponder a BB:CategoryDefinition: Firewall ou Negações de ACL com o mesmo IP de Origem mais de 40 vezes em mais de 40 IPs de Destino dentro de um período de 5 minutos, mas NÃO quando um evento corresponder a qualquer uma das seguintes regras:
  • BB:HostDefinition: Servidores proxy
  • BB:HostReference: Servidores Proxy
Regra/Bloco de construção Política: taxa de transferência lenta de transferência de saída grandePolítica: taxa de transferência alta de transferência de saída grande

Atualização de desempenho das regras de política de transferências de dados rápida e lenta. Essa atualização muda a ordem do teste de regra para mover esta frase: 'e quando pelo menos X fluxos forem vistos com o mesmo IP de Origem, IP de Destino em Y minutos' para a última linha para ambas as regras de política (transferência lenta e transferência rápida). O exemplo de regra atualizada a seguir descreve a mudança de regra com mais detalhes.

Regra antiga:
Aplique Taxa de transferência lenta de transferência de saída grande em fluxos que são detectados pelo sistema local quando as condições a seguir são atendidas:
  • Os bytes de origem são maiores que 20000.
  • Pelo menos 100 fluxos são vistos com os mesmos IP de Origem, Porta de destino e IP de destino em um período de 120 minutos.
  • O contexto do fluxo é Local para Remoto.
  • O viés do fluxo é principalmente de saída.
Regra atualizada:
Aplique Taxa de transferência lenta de transferência de saída grande em fluxos que são detectados pelo sistema local quando as condições a seguir são atendidas:
  • Os bytes de origem são maiores que 20000.
  • O contexto do fluxo é Local para Remoto.
  • O viés do fluxo é principalmente de saída.
  • Pelo menos 100 fluxos são vistos com os mesmos IP de Origem, Porta de destino e IP de destino em um período de 120 minutos.
Regra/Bloco de construção Respostas de regra do conjunto de referência atualizadas para todas as regras Exclusão de reconciliação de ativo
Essa mudança atualiza a resposta de regra para regras de Exclusão de ativo para assegurar que dados de identificação sejam incluídos na lista de bloqueio do conjunto de referência correta quando a resposta de regra for acionada. As regras a seguir foram atualizadas para incluir essa mudança:
  • AssetExclusion: Excluir nome de DNS por IP
  • AssetExclusion: Excluir nome de DNS por endereço MAC
  • AssetExclusion: Excluir nome de DNS por nome de NetBIOS
  • AssetExclusion: Excluir IP por nome de DNS
  • AssetExclusion: Excluir IP por endereço MAC
  • AssetExclusion: Excluir IP por nome de NetBIOS
  • AssetExclusion: Excluir endereço MAC por nome de DNS
  • AssetExclusion: Excluir endereço MAC por IP
  • AssetExclusion: Excluir endereço MAC por nome de NetBIOS
  • AssetExclusion: Excluir nome de NetBIOS por nome de DNS
  • AssetExclusion: Excluir nome de NetBIOS por IP
  • AssetExclusion: Excluir nome de NetBIOS por endereço MAC

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.2

Tipo Nome Descrição da mudança
Procura salva Taxa de Fluxo (FPS)

Atualização da procura salva Taxa de fluxo (FPS) de uma função de contagem para uma função FPS alterando o valor da procura de Contagem para Média.

Velho:

10 Principais Resultados da Fonte de Fluxo por Segundo - Pico de 1 Min. (Contagem)

Novo:

10 Principais Resultados da Fonte de Fluxo por Segundo - Pico de 1 Min. (Média)

Painel Inclusão de '10 Principais Resultados da Fonte de Fluxo por Segundo - Pico de 1 Min. (Média)' no Painel de Monitoramento do Sistema.

A procura salva Resultados da taxa de fluxo (FPS) corrigida é incluída no painel Monitoramento do Sistema para todos os usuários.

Este gráfico é exibido na guia Atividade do Log como 10 Principais Resultados da Fonte de Fluxo (customizada) por Fluxos por Segundo - Pico de 1 Min. (customizado) (Média).

Relatório Resumo do Sistema Atualização do relatório Resumo do Sistema, que tem uma dependência dos resultados da procura Taxa de fluxo (FPS).
Incluído no pacote de conteúdo como uma dependência
Procura salva Taxa do Evento (EPS) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Procura salva Delitos ao Longo do Tempo Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Procura salva Utilização de Link Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Procura salva Distribuição de Processador de Evento Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Referências de acumulador AVG (fluxos por segundo - pico de 1 min.) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Referências de acumulador AVG (fluxos por segundo - média de 15 min.) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Referências de acumulador AVG (eventos por segundo unidos - média de 1 min.) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Referências de acumulador AVG (eventos por segundo brutos - média de 1 min.) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Referências de acumulador Ofensas ao Longo do Tempo - SUM (contagem de ofensas latentes) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Referências de acumulador Ofensas ao Longo do Tempo - SUM (contagem de ofensas ativas) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Referências de acumulador Distribuição do Processador de Evento - Contagem Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Referências de acumulador Distribuição do Processador de Evento - Soma (eventCount) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Referências de acumulador Distribuição do Processador de Evento - UniqueCount (dispositivo) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Propriedade Customizada Fonte de Fluxo: SourceMonitor.+\[NOT\:\d+\]\[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).*\] Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Propriedade Customizada Fluxos por segundo - média 15 min: SourceMonitor.+900s\:\s\([\d|\.]+\)\:\(([\d|\.]+)\) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Propriedade Customizada Parent \[parent=(.+?)\].+StatFilter Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Propriedade Customizada Eventos por Segundo Unidos - Pico de 1 s.: StatFilter.+1s\:(\d+)\,\d+\s Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Propriedade Customizada Eventos por Segundo Brutos - Pico de 1 s.: StatFilter.+1s\:\d+\,(\d+)\s Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Propriedade Customizada Eventos por Segundo Unidos - Média de 1 Min.: StatFilter.+60s\:(\d+)\,\d+\s Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Propriedade Customizada Eventos por Segundo Brutos - Média de 1 Min.: StatFilter.+60s\:\d+\,(\d+)\s Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Propriedade Customizada Contagem de Ofensas Latentes: \,\sdormant\:\s(\d+)\, Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Propriedade Customizada Contagem de Ofensas Ativas: \,\sactive\:\s(\d+)\, Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
Painel Monitoramento do Sistema: 5 (sistemas) 10 (administradores) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
FGroup Configuração e Gerenciamento de Mudanças Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
FGroup Monitoramento do Sistema (Informações, Falhas e Erros) Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.
FGroup Monitoramento de Rede e Gerenciamento Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.1

Regras e blocos de construção que são atualizados no IBM Security QRadar Baseline Maintenance Content Extension 1.0.1

Tipo Nome Descrição da Alteração
Regra Primeiro acesso de usuário a ativo crítico Incluído um nome de usuário; não é N/A como um teste de regra para a regra "Primeiro acesso de usuário".
Regra Scanner do Servidor SSH remoto Ordem de teste de regra corrigida para mover o teste a seguir para a última posição na ordem de teste de regra: and when BB:CategoryDefinition: Recon Events, BB:CategoryDefinition: Suspicious Events with the same Source IP more than five times, across more than 29 Destination IPs within 10 minutes
Bloco de construção BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais

Corrige o seguinte bloco de construção no teste de regra:

Velho:

e quando BB:Threats: Protocolo IP suspeito Usage:Unidirectional Fluxos TCP corresponder pelo menos 15 vezes em 1 minuto

Atualizado:

e quando BB:Ameaças: Uso de protocolo IP suspeito: Fluxos de UDP e diversos unidirecionais correspondem em pelo menos 15 vezes em 1 minuto

Regra BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais

Corrige o seguinte bloco de construção no teste de regra:

Velho:

e quando BB:Threats: Protocolo IP suspeito Usage:Unidirectional Fluxos TCP corresponder pelo menos 15 vezes em 1 minuto

Atualizado:

e quando BB:Ameaças: Uso de protocolo IP suspeito: Fluxos de UDP e diversos unidirecionais correspondem em pelo menos 15 vezes em 1 minuto

Regra BB:Eventos de violação da política do contratado externo

Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra.

Correta ordem:
  • Aplique BB:Eventos de violação de política do contratado externo em eventos que são detectados pelo sistema local
  • e quando a categoria de evento para o evento for Violação de política Policy.Application
  • e quando qualquer nome de usuário estiver contido em Contratado externo - AlphaNumeric
Regra BB:Eventos com falha do contratado externo

Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra.

Correta ordem:
  • Aplique BB:Eventos de violação de política do contratado externo em eventos que são detectados pelo sistema local
  • e quando a categoria de evento para o evento for Violação de política Policy.Application
  • e quando qualquer nome de usuário estiver contido em Contratado externo - AlphaNumeric
Regra BB:Eventos de violação de política do trabalhador móvel

Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra.

Correta ordem:
  • Aplique BB:Eventos de violação de política do contratado externo em eventos que são detectados pelo sistema local
  • e quando a categoria de evento para o evento for Violação de política Policy.Application
  • e quando qualquer nome de usuário estiver contido em Contratado externo - AlphaNumeric
Regra BB:Eventos com falha do trabalhador móvel

Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra.

Correta ordem:
  • Aplique BB:Eventos de violação de política do contratado externo em eventos que são detectados pelo sistema local
  • e quando a categoria de evento para o evento for Violação de política Policy.Application
  • e quando qualquer nome de usuário estiver contido em Contratado externo - AlphaNumeric
Regra BB: Eventos de violação da política de teletrabalho

Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra.

Correta ordem:
  • Aplique BB:Eventos de violação de política do contratado externo em eventos que são detectados pelo sistema local
  • e quando a categoria de evento para o evento for Violação de política Policy.Application
  • e quando qualquer nome de usuário estiver contido em Contratado externo - AlphaNumeric
Regra BB:Eventos com falha do teletrabalhador

Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra.

Correta ordem:
  • Aplique BB:Eventos de violação de política do contratado externo em eventos que são detectados pelo sistema local
  • e quando a categoria de evento para o evento for Violação de política Policy.Application
  • e quando qualquer nome de usuário estiver contido em Contratado externo - AlphaNumeric
Regra BB:Eventos do administrador de TI

Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra.

Correta ordem:
  • Aplique BB:Eventos de violação de política do contratado externo em eventos que são detectados pelo sistema local
  • e quando a categoria de evento para o evento for Violação de política Policy.Application
  • e quando qualquer nome de usuário estiver contido em Contratado externo - AlphaNumeric

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.0

Regras e blocos de construção do QRadar que são atualizados no IBM Security QRadar Baseline Maintenance Content Extension 1.0.0

Categoria Nome Descrição da alteração
Regra X-Force X-Force Premium: servidor de não correio enviando e-mail para servidores categorizados como SPAM Regra atualizada para resolver um problema de desempenho.
Propriedade de evento customizado Events per Second Raw - Peak 1 Sec Regex atualizado para StatFilter para uso: +1s\:\d+\,\d+ \(peak \d+\,(\d+)
Bloco de construção BB:CategoryDefinition: Autenticação para Conta Desativada Incluído QID 5000475: Falha na auditoria: Uma conta com falha ao efetuar logon.
Bloco de construção BB:CategoryDefinition: Autenticação para Conta Expirada
Incluídos os dois QIDs a seguir:
  • 5001653: Uma conta com falha ao efetuar logon. A senha da conta especificada expirou.
  • 5001654: O controlador de domínio falhou ao validar as credenciais para uma conta.
Bloco de construção BB:DeviceDefinition: Roteadores de classificação do consumidor Incluído um teste de regra: BB:DeviceDefinition: servidor DHCP
Regra Anomalia: excesso de aceitações do firewall em vários hosts Incluído um teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador para regra
Regra Botnet: potencial conexão Botnet (DNS) Incluído um teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador para regra
Regra Recon: recon. seguida de aceitação Incluído um teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador para regra
Regra Política: host tem vulnerabilidade conhecida Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Exploração: destino vulnerável à exploração detectada Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Explorar: Destino vulnerável à exploração detectada em uma porta diferente Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Taxa de transferência alta de transferência de saída grande Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Taxa de transferência lenta de transferência de saída grande Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Peso da rede de origem é alto Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Peso da rede de origem é médio Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Peso da rede de origem é baixo Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Peso da rede de destino é alto Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Peso da rede de destino é médio Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Peso da rede de destino é baixo Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Regra Tipos múltiplos de exploração com relação a um único destino Atualizados o nome da interface com o usuário e a descrição do texto da regra.
Bloco de construção BB:HostDefinition: Servidores DNS Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:HostDefinition: Servidores Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:HostDefinition: Servidores DHCP Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:ReconDetected: Todas as regras de reconhecimento Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:CategoryDefinition: Explorar Backdoors e Trojans Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:CategoryDefinition: Aceitação de Firewall ou ACL Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:CategoryDefinition: Negações do Firewall ou ACL Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Bloco de construção BB:CategoryDefinition: Qualquer Fluxo Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.

(Voltar para o topo)