Conformidade
Use a extensão de conteúdo de conformidade IBM Segurança QRadar para aprimorar o conjunto de conteúdo de conformidade básico para novas instalações QRadar.
- IBM Security QRadar Extensão de conteúdo de conformidade 1.1.2
- IBM Security QRadar Extensão de conteúdo de conformidade 1.1.1
- IBM Security QRadar Extensão de conteúdo de conformidade 1.1.0
- IBM Security QRadar Extensão de conteúdo de conformidade 1.0.8
- IBM Security QRadar Extensão de conteúdo de conformidade 1.0.7
- IBM Security QRadar Extensão de conteúdo de conformidade 1.0.6
- IBM Security QRadar Extensão de conteúdo de conformidade 1.0.5
- IBM Security QRadar Extensão de conteúdo de conformidade 1.0.4
- IBM Security QRadar Extensão de conteúdo de conformidade 1.0.3
- IBM Security QRadar Extensão de conteúdo de conformidade 1.0.2
- IBM Security QRadar Extensão de conteúdo de conformidade 1.0.1
- IBM Security QRadar Extensão de conteúdo de conformidade 1.0.0
IBM Security QRadar Extensão de conteúdo de conformidade 1.1.2
A propriedade customizada AccountName foi removida.
IBM Security QRadar Extensão de conteúdo de conformidade 1.1.1
As regras e os blocos de construção a seguir são removidos do IBM Security QRadar Compliance Content Extension 1.1.1 e foram incluídos no Network Anomaly content pack
- BB:PolicyViolation: Violação de Política de IM de IRC: Comunicações de IM
- Conformidade: Tráfego da DMZ para a Rede Interna
- Remoto: FTP Detectado em Porta Não Padrão
- Remoto: Cliente P2P local conectado a mais de 100 servidores
- Remoto: Cliente P2P local detectado
- Remoto: Servidor P2P local detectado
- Remoto: SSH ou Telnet detectado na porta não padrão
- Remoto: quantia suspeita de tráfego de IM/bate-papo
IBM Security QRadar Extensão de conteúdo de conformidade 1.1.0
A tabela a seguir mostra as regras que são atualizadas no IBM Security QRadar Compliance Content Extension 1.1.0.
| Nome | Descrição |
|---|---|
| Aceitações excessivas do firewall de várias origens para um único destino | Aciona quando repetidas solicitações de firewall de diferentes origens para um único host. Isso pode indicar um ataque de negação de serviço ou uma inundação de rede de um atacante malicioso. |
| Remoto: Uso de Usenet | Detecta fluxos para ou a partir de um servidor Usenet. Não é comum comunicações de negócios legítimas utilizarem serviços Usenet ou NNTP. Os hosts envolvidos podem estar violando a política corporativa. |
As regras e os blocos de construção a seguir são removidos no IBM Security QRadar Compliance Content Extension 1.1.0. Eles estão disponíveis para uso no Endpoint Content Extension.
- BB:Ameaças: Violações de acesso remoto: Acesso à área de trabalho remota a partir de hosts remotos
- BB:Ameaças: Violações de acesso remoto: Atividade do VNC a partir de hosts remotos
- Remoto: Remote Desktop Access da Internet
- Remoto: Acesso VNC da Internet para um Host Local
IBM Security QRadar Extensão de conteúdo de conformidade 1.0.8
A tabela a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Compliance Content Extension 1.0.8.
| Nome | Descrição | |
|---|---|---|
| Bloco de construção | Segmento de Rede de Destino Confiado | O nome Trusted Source Network Segment foi mudado. Configure o filtro de regras para usar a rede de destino. |
| Bloco de construção | Segmento de Rede de Origem Confiada | O nome Trusted Destination Network Segment foi mudado. Definição de rede incluída como o grupo. Configure o filtro de regras para usar a rede de origem. |
| Regra | Remoto: FTP Detectado em Porta Não Padrão | O nome Remote: Hidden FTP Server foi mudado. |
| Regra | Remoto: quantia suspeita de tráfego de IM/bate-papo | O nome Remote: IM/Chat foi mudado. |
IBM Security QRadar Extensão de conteúdo de conformidade 1.0.7
O conteúdo padrão do QRadar que foi incluído anteriormente nesta extensão de conteúdo foi removido A remoção desse conteúdo da extensão de conteúdo evita uma nova importação desnecessária dele durante a instalação da extensão.
A tabela a seguir mostra os relatórios que são atualizados no IBM Security QRadar Compliance Content Extension 1.0.7.
| Nome do Relatório | Nome da Procura e Dependências |
|---|---|
| Falhas de Login Semanais em Contas Desativadas ou expiradas | Exibe tentativas de login com falha em contas que estão desativadas ou expiradas. |
IBM Security QRadar Extensão de conteúdo de conformidade 1.0.6
As procuras salvas agora são compartilhadas por padrão. Todos os blocos de construção estão agora em grupos.
IBM Security QRadar Extensão de conteúdo de conformidade 1.0.5
A tabela a seguir mostra as propriedades customizadas que estão incluídas no IBM Security QRadar Compliance Content Extension 1.0.5.
| Propriedade Customizada | Localizado em |
|---|---|
| AccountName | Microsoft Windows |
A tabela a seguir mostra o bloco de construção no IBM Security QRadar Compliance Content Extension 1.0.5.
| Nome | Descrição |
|---|---|
| BB:CategoryDefinition: Auditoria mudada | Incluídos novos QIDs e removidos alguns outros QIDs. |
IBM Security QRadar Extensão de conteúdo de conformidade 1.0.4
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Compliance Content Extension 1.0.4.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| AccountName | Sim | 2 | Account Name:\s*(.+?)\s+Account Name:\s*(.+?)\s+ |
A tabela a seguir mostra as regras e os blocos de construção que são novos ou atualizados no IBM Security QRadar Compliance Content Extension 1.0.4.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Define todos os firewalls, roteadores e comutadores no sistema. |
| Bloco de construção | BB:DeviceDefinition: IDS / IPS | Define todos os sistemas de detecções de intrusão (IDS) e os sistemas de prevenção de intrusão (IPS) no sistema. |
| Bloco de construção | BB:DeviceDefinition: VPN | Define todas as redes privadas virtuais (VPN) no sistema. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal | Identifica fluxos que possuem uma combinação de sinalização TCP. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito | Identifica fluxos do Internet Control Message Protocol (ICMP) com códigos de tipo do ICMP suspeitos. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 | Identifica fluxos suspeitos usando a porta 0. |
| Bloco de construção | BB:CategoryDefinition: Contas de Superusuário | Define nomes de usuários que são contas de superusuários, como admin e root. |
| Regra | Possíveis Contas Compartilhadas | Detecta contas compartilhadas. Será necessário incluir contas do sistema falso positivo adicionais. |
IBM Security QRadar Extensão de conteúdo de conformidade 1.0.3
A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Compliance Content Extension 1.0.3.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Desativada | Incluídos os QIDs a seguir:
|
| Regra | Conformidade: Tráfego da Rede Não Confiável para a Rede Confiável | O teste de regra para esta regra agora é acionado quando um fluxo ou evento corresponde ao BB:NetworkDefinition: Segmento de Rede Não Confiável, mais qualquer uma das seguintes regras:
|
IBM Security QRadar Extensão de conteúdo de conformidade 1.0.2
A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Compliance Content Extension 1.0.2.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais | O teste de regra para esse bloco de construção agora é acionado quando BB:Ameaças: Uso do Protocolo IP suspeito: Fluxos UDP e diversos unidirecionais corresponde a pelo menos 15 vezes em um minuto, em vez de BB: Ameaças: Uso do Protocolo IP suspeito: Fluxos TCP unidirecionais. |
| Bloco de construção | BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais | O teste de regra para esse bloco de construção agora é acionado quando BB:Ameaças: Uso do Protocolo IP suspeito: Fluxos UDP e diversos unidirecionais corresponde a pelo menos 15 vezes em um minuto, em vez de BB: Ameaças: Uso do Protocolo IP suspeito: Fluxos TCP unidirecionais. |
IBM Security QRadar Extensão de conteúdo de conformidade 1.0.1
A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Compliance Content Extension 1.0.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:NetworkDefinition: Segmento de Rede de Destino Confiável | Referencia a hierarquia de rede padrão. Atualize este bloco de construção se você estiver usando uma hierarquia de rede diferente. |
| Bloco de construção | BB:NetworkDefinition: Segmento de Rede de Origem Confiável | Atualização do nome do bloco de construção para incluir Rede de Origem. Referencia a hierarquia de rede padrão. Atualize este bloco de construção se você estiver usando uma hierarquia de rede diferente. |
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Desativada | Incluído QID 5000475: Falha na auditoria: Uma conta com falha ao efetuar logon. |
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Expirada | Incluídos os QIDs a seguir:
|
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Regra | Conformidade: Tráfego da Rede Não Confiável para a Rede Confiável | Inclusão da nova BB:NetworkDefinition: Segmento de Rede de Destino Confiável. |
| Regra | Conformidade: Tráfego da DMZ para a Rede Interna | Inclusão do novo teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador. Referencia a hierarquia de rede padrão. Atualize essa regra se estiver usando uma hierarquia de rede diferente. |
IBM Security QRadar Extensão de conteúdo de conformidade 1.0.0
A tabela a seguir mostra as propriedades customizadas, procuras, conjuntos de referências e relatórios no IBM Security QRadar Compliance Content Extension 1.0.0.
| Tipo | Nome |
|---|---|
| Propriedade de evento customizado | Número da conta |
| Procuras de eventos | Logout Admin Por IP |
| Procuras de eventos | Por Resumo de Vírus do Host |
| Procuras de eventos | Por Resumo de Vírus do Usuário |
| Procuras de eventos | Resumo Diário de Violação de Política |
| Procuras de eventos | Ataque DOS por IP de Origem |
| Procuras de eventos | Ataque DOS por Tipo |
| Procuras de eventos | Ataques DOS por IP de Destino |
| Procuras de eventos | Distribuição de Categoria de Evento |
| Procuras de eventos | Explorações por Origem |
| Procuras de eventos | Explorações por Destino |
| Procuras de eventos | Explorações por Tipo |
| Procuras de eventos | Grupos Alterados de Hosts Remotos |
| Procuras de eventos | Atividade de IDP por Categoria |
| Procuras de eventos | Atividade de IDP por Evento |
| Procuras de eventos | Atividade de IDP Por Origem de Log |
| Procuras de eventos | Falhas de Log para Contas Expiradas ou Desativadas |
| Procuras de eventos | Falhas no Acesso Remoto (VPN e Outros) |
| Procuras de eventos | Êxito no Acesso Remoto (VPN e Outros) |
| Procuras de eventos | Principais Falhas de Autenticação por Usuário |
| Procuras de eventos | Principais Autenticações por Usuário |
| Procuras de eventos | Principais Regras IDS/IDP/IPS |
| Procuras de eventos | Principais Alertas IDS/IPS por IP de Destino |
| Procuras de eventos | Conta do Usuário Incluída por Usuário |
| Procuras de eventos | Conta do Usuário Modificada por Usuário |
| Procuras de eventos | Conta do Usuário Removida por Usuário |
| Procuras de eventos | Atividade de VPN por Categoria |
| Procuras de eventos | Atividade de VPN por Evento |
| Procuras de eventos | Atividade de VPN por Origem de Log |
| Procuras de eventos | Solicitações da Web por Destino |
| Procuras de eventos | Solicitações da Web por Origem de Log |
| Procuras de eventos | Solicitações da Web por Origem |
| Procura de eventos | Principais Alertas IDS/IPS por País/Região |
| Procura de fluxo | Bytes internos por ASN de Destino |
| Procura de fluxo | Bytes internos por Índice IF de Destino |
| Procura de fluxo | Bytes internos por ASN de Origem |
| Procura de fluxo | Bytes internos por Índice IF de Origem |
| Procura de fluxo | Utilização de Link |
| Procura de fluxo | Principais Redes de Destino – Internas |
| Procura de fluxo | Principais Redes de Origem |
| Conjunto de referência | Servidores do Banco de Dados |
| Conjunto de referência | Servidores DHCP |
| Conjunto de referência | Servidores do Sistema de Nomes de Domínio |
| Conjunto de referência | Servidores FTP |
| Conjunto de referência | Servidores LDAP |
| Conjunto de referência | Servidores de Correio |
| Conjunto de referência | Servidores Proxy |
| Conjunto de referência | Servidores SSH |
| Conjunto de referência | Servidores da web |
| Conjunto de referência | Servidores Windows |
| Relatórios | Resumo Diário de Tráfego de ASN |
| Relatórios | Resumo de Destino e Invasor Diário |
| Relatórios | Distribuição Diária de Categoria |
| Relatórios | Resumo de Atividade IDP-IDS Diária |
| Relatórios | Resumo Diário de Tráfego IfIndex |
| Relatórios | Distribuição Diária de Log/Eventos por Categoria |
| Relatórios | Resumo de Rede do DOS Diário |
| Relatórios | Resumo de Exploração de Rede Diário |
| Relatórios | Resumo Diário de Violação de Política |
| Relatórios | Resumo Diário da Atividade da Conta do Usuário |
| Relatórios | Resumo de Vírus Diário |
| Relatórios | Resumo Diário de Atividade de VPN |
| Relatórios | Resumo Diário de Acesso à Web |
| Relatórios | 20 Últimos Logins com Falha |
| Relatórios | Últimos 20 Logoffs |
| Relatórios | 20 Últimos Logins Bem-sucedidos |
| Relatórios | Resumo Mensal do Tráfego de ASN |
| Relatórios | Distribuição Mensal de Categoria |
| Relatórios | Resumo de Atividade IDP-IDS Mensal |
| Relatórios | Resumo Mensal do Tráfego IfIndex |
| Relatórios | Resumo Mensal do DOS da Rede |
| Relatórios | Resumo Mensal de Exploração de Rede |
| Relatórios | Resumo Mensal de Violação de Política |
| Relatórios | Resumo Mensal de Atividade da Conta do Usuário |
| Relatórios | Resumo Mensal de Vírus |
| Relatórios | Resumo Mensal de Atividade de VPN |
| Relatórios | Resumo Mensal de Acesso à Web |
| Relatórios | Volume de Tráfego de Rede |
| Relatórios | Resumo Semanal de Tráfego ASN |
| Relatórios | Categoria de Distribuição Semanal |
| Relatórios | Mudanças Semanais de Grupo a partir de Hosts Remotos |
| Relatórios | Resumo de Atividades de IDP-IDS Semanal |
| Relatórios | Resumo Semanal de Tráfego IfIndex |
| Relatórios | Falhas de Login de Semanais de Contas Ativadas ou Desativadas |
| Relatórios | Resumo do DOS de Rede Semanal |
| Relatórios | Resumo de Exploração de Rede Semanal |
| Relatórios | Resumo de Violação de Política Semanal |
| Relatórios | Resumo Semanal de Atividade da Conta do Usuário |
| Relatórios | Resumo de Vírus Semanal |
| Relatórios | Resumo Semanal de Atividade de VPN |
| Relatórios | Resumo Semanal de Acesso à Web |
A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Compliance Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: IDS / IPS | Define todos os IDS e IPSs no sistema. |
| Bloco de construção | BB:CategoryDefinition: Fluxos suspeitos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxo de Saída de Longa Duração | Identifica fluxos que estiveram ativos por mais de 48 horas |
| Bloco de construção | BB:CategoryDefinition: Eventos suspeitos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:CategoryDefinition: SRC do fluxo unidirecional | |
| Bloco de construção | BB:Flowshape: Somente saída | Corresponde fluxos que são apenas de saída. |
| Bloco de construção | BB:Ameaças: Uso Uso do protocolo IP suspeito: Grandes pacotes do ICMP | Identifica fluxos com pacotes ICMP anormalmente grandes |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 | Identifica fluxos suspeitos usando a porta 0. |
| Bloco de construção | BB:CategoryDefinition: Erros e Falhas do Sistema | Edite este bloco de construção para incluir todos os eventos que possam indicar um erro ou uma falha do sistema. Por padrão, esse bloco de construção de aplica quando a categoria de evento para o evento é uma das categorias de sistema a seguir: Falha de Serviço, Erro do Sistema, Falha do Sistema. |
| Bloco de construção | BB:CategoryDefinition: Categorias de eventos suspeitas | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos bidirecionais de carga útil zero | Identifica um tráfego bidirecional que não inclui carga útil. |
| Bloco de construção | BB:CategoryDefinition: Fluxo unidirecional | |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Respostas do ICMP unidirecionais | Identifica o tráfego no qual as respostas do ICMP são vistas sem solicitação. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos do ICMP unidirecionais | Identifica fluxos do ICMP unidirecionais. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal | Identifica fluxos que possuem uma combinação de sinalização TCP. |
| Bloco de construção | BB:Flowshape: Somente entrada | Este bloco de construção corresponderá a eventos que são apenas de entrada. |
| Bloco de construção | BB:CategoryDefinition: DST do fluxo unidirecional | |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos de TCP unidirecionais | Identifica fluxos TCP unidirecionais. |
| Bloco de construção | BB:NetworkDefinition: Honeypot como endereços | Edite este bloco de construção substituindo a outra rede pelos objetos de rede definidos em sua hierarquia de rede que não estão em uso atualmente em sua rede ou que são usados em uma instalação honeypot ou tarpit. Depois de terem sido definidas, deve-se ativar a regra Anomalia: Acesso ao honeypot potencial. Você também deve incluir uma sentinela de segurança/política para esses objetos de rede para gerar eventos com base na tentativa de acesso |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito | Identifica fluxos do ICMP com códigos de tipo de ICMP suspeitos. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Grandes pacotes do DNS | Identifica fluxos com pacotes DNS anormalmente grandes |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos UDP e diversos unidirecionais | Identifica UDP unidirecional e outros fluxos diversos. |
| Bloco de construção | BB:DeviceDefinition: VPN | Esta regra define todos os VPNs no sistema. |
| Bloco de construção | BB:CategoryDefinition: Sucesso de Autenticação | Edite esse bloco de construção para incluir todos os eventos que indicam tentativas bem-sucedidas de acessar a rede. |
| Bloco de construção | BB:CategoryDefinition: Falhas de Autenticação | Edite esse bloco de construção para incluir todos os eventos que indicam uma tentativa malsucedida de acessar a rede. |
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Desativada | Edite esse bloco de construção para incluir todos os eventos que indicam tentativas falhas de acessar a rede usando uma conta desativada. |
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Expirada | Edite esse bloco de construção para incluir todos os eventos que indicam tentativas falhas de acessar a rede usando uma conta expirada. |
| Bloco de construção | BB:HostDefinition: Servidores de banco de dados | Edite esse bloco de construção para definir servidores de banco de dados típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:FalsePositive: Categorias de falso positivo do servidor de banco de dados e BB:FalsePositive: Eventos de falso positivo do servidor de banco de dados. |
| Bloco de construção | BB:PortDefinition: Portas do banco de dados | Edite esse bloco de construção para incluir todas as portas de banco de dados comuns. |
| Bloco de construção | BB:HostReference: Servidores de banco de dados | |
| Bloco de construção | BB:CategoryDefinition: Países/regiões sem acesso remoto | Edite esse bloco de construção para incluir qualquer local geográfico que normalmente não tenha permissão de acesso remoto à empresa. Depois de configurada, é possível ativar a regra Anomalia: Acesso remoto a partir de País/Região estrangeira. |
| Bloco de construção | BB:CategoryDefinition: Comunicação bem-sucedida | Define fluxos que são típicos de uma comunicação bem-sucedida. Se você estiver muito desconfiado, pode querer diminuir o coeficiente para 64 bytes/pacote, porém, isso causará uma série de positivos falsos e pode requerer ajuste adicional utilizando sinalizadores e outras propriedades. |
| Bloco de construção | BB:CategoryDefinition: Contas de Superusuário | |
| Bloco de construção | BB:CategoryDefinition: IRC Detectado com Base no Aplicativo | Identifica o tráfego IRC que foi identificado pelo teste de aplicativo. |
| Bloco de construção | BB:CategoryDefinition: IRC Detectado com Base na Categoria de Evento | Identifica o tráfego de IRC que foi identificado por eventos ou categorias. |
| Bloco de construção | BB:PolicyViolation: Violação de Política de IM de IRC: Conexão IRC com a Internet | Identifica uma conexão IRC com um host remoto. |
| Bloco de construção | BB:CategoryDefinition: Detecção de IRC com Base em Eventos do Firewall | Identifica o tráfego de IRC que foi identificado por eventos ou categorias. |
| Bloco de construção | BB:CategoryDefinition: Aceitação de Firewall ou ACL | Edite esse bloco de construção para incluir todos os eventos que indicam acesso ao firewall. |
| Bloco de construção | BB:PortDefinition: Portas IRC | Edite este bloco de construção para incluir todas as portas IRC comuns. |
| Bloco de construção | BB:ComplianceDefinition: Servidores GLBA | Edite este bloco de construção para incluir seus sistemas IP GLBA. Em seguida, deve-se aplicar esse bloco de construção às regras relacionadas aos logins com falha, acesso remoto, etc. |
| Bloco de construção | BB:ComplianceDefinition: Servidores HIPAA | Edite este bloco de construção para incluir seus Servidores HIPAA por endereço IP. Em seguida, deve-se aplicar esse bloco de construção às regras relacionadas aos logins com falha, acesso remoto, etc. |
| Bloco de construção | BB:ComplianceDefinition: Servidores SOX | Edite este bloco de construção para incluir seus Servidores IP SOX. Em seguida, deve-se aplicar esse bloco de construção às regras relacionadas aos logins com falha, acesso remoto, etc. |
| Bloco de construção | BB:ComplianceDefinition: Servidores PCI DSS | Edite este bloco de construção para incluir seus Servidores PCI DSS por endereço IP. Em seguida, deve-se aplicar esse bloco de construção às regras relacionadas aos logins com falha, acesso remoto, etc. |
| Bloco de construção | BB:NetworkDefinition: Segmento de rede não confiável | Locais de rede não confiáveis tipicamente usados em regras para detectar quando uma localização não confiável está se comunicando com uma localização confiável. |
| Bloco de construção | BB:NetworkDefinition: Redes locais não confiáveis | |
| Bloco de construção | BB:NetworkDefinition: Comunicação de entrada da Internet para o host local | |
| Bloco de construção | BB:NetworkDefinition: Segmento de rede de origem confiável | |
| Bloco de construção | BB:CategoryDefinition: Mudança na Configuração do Sistema ou Dispositivo | |
| Bloco de construção | BB:CategoryDefinition: Auditoria mudada | |
| Bloco de construção | BB:PortDefinition: Portas L2R Autorizadas | Define as portas normalmente vistas no tráfego de local para remoto. |
| Bloco de construção | BB:PolicyViolation: Violação de Política de Conformidade: Uso de Aplicativo de Texto Não Criptografado | Identifica fluxos que estão usando protocolos não criptografados, como Telnet e FTP. |
| Bloco de construção | BB:HostDefinition: Servidores DHCP | Edite esse bloco de construção para definir servidores DHCP típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:False Positive: Categorias de falso positivo do servidor DHCP e BB:FalsePositve: Eventos de falso positivo do servidor DHCP. |
| Bloco de construção | BB:PortDefinition: Portas DHCP | Edite esse bloco de construção para incluir todas as portas DHCP comuns. |
| Bloco de construção | BB:PolicyViolation: Violação de Política de IM de IRC: Comunicações de IM | Identifica fluxos que foram identificados como comunicações de Mensagem Instantânea. |
| Bloco de construção | BB:Ameaças: Violações de acesso remoto: Acesso à área de trabalho remota a partir de hosts remotos | Identifica fluxos em que um aplicativo de área de trabalho remoto está sendo acessado de um host remoto |
| Bloco de construção | BB:PolicyViolation: Violação de Política de Aplicativo: NNTP para Internet | Identifica o tráfego de NNTP para a Internet |
| Bloco de construção | BB:Ameaças: Violações de acesso remoto: Atividade do VNC a partir de hosts remotos | Identifica fluxos em que um serviço VNC está sendo acessado de um host remoto. |
| Bloco de construção | BB:HostDefinition: Servidores | Edite esse bloco de construção para definir servidores genéricos. |
| Bloco de construção | BB:HostDefinition: Servidores DNS | Edite esse bloco de construção para definir servidores DNS típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor DNS e BB:FalsePositve: Eventos Falsos Positivos do Servidor DNS. |
| Bloco de construção | BB:PortDefinition: Portas DNS | Edite esse bloco de construção para incluir todas as portas DNS comuns. |
| Bloco de construção | BB:HostDefinition: Servidores FTP | Edite esse bloco de construção para definir servidores FTP típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor FTP e BB:FalsePositive: Eventos Falsos Positivos do Servidor FTP. |
| Bloco de construção | BB:PortDefinition: Portas FTP | Edite esse bloco de construção para incluir todas as portas FTP comuns. |
| Bloco de construção | BB:HostDefinition: Servidores LDAP | Edite esse bloco de construção para definir servidores LDAP típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor LDAP e BB:FalsePositive: Eventos Falsos Positivos do Servidor LDAP. |
| Bloco de construção | BB:PortDefinition: Portas LDAP | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores LDAP. |
| Bloco de construção | BB:HostDefinition: servidores de e-mail | Edite esse bloco de construção para definir servidores de correio típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor de Correio e BB:FalsePositive: Eventos Falsos Positivos do Servidor de Correio. |
| Bloco de construção | BB:PortDefinition: portas de e-mail | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores de correio. |
| Bloco de construção | BB:HostDefinition: Servidores de gerenciamento de rede | Edite esse bloco de construção para definir servidores de gerenciamento de rede típicos. |
| Bloco de construção | BB:HostDefinition: Servidores proxy | Edite esse bloco de construção para definir servidores proxy típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Proxy e BB:FalsePositive: Eventos Falsos Positivos do Servidor Proxy. |
| Bloco de construção | BB:HostDefinition: Servidores RPC | Edite esse bloco de construção para definir servidores RPC típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor RPC e BB:FalsePositive: Eventos Falsos Positivos do Servidor RPC. |
| Bloco de construção | BB:PortDefinition: Portas RPC | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores RPC. |
| Bloco de construção | BB:HostDefinition: Remetente ou destinatário SNMP | Edite esse bloco de construção para definir remetentes ou destinatários de SNMP. Este bloco de construção é usado juntamente com o bloco de construção BB:PortDefinition: Portas SNMP. |
| Bloco de construção | BB:PortDefinition: Portas SNMP | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos remetentes ou destinatários de SNMP. |
| Bloco de construção | BB:HostDefinition: Servidores SSH | Edite esse bloco de construção para definir servidores SSH típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor SSH e BB:FalsePositive: Eventos Falsos Positivos do Servidor SSH. |
| Bloco de construção | BB:PortDefinition: Portas SSH | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores SSH. |
| Bloco de construção | BB:HostDefinition: Definição de vírus e outros servidores de atualização | Edite esse bloco de construção para incluir todos os servidores que incluem proteção contra vírus e funções de atualização. |
| Bloco de construção | BB:HostDefinition: Servidores da Web | Edite esse bloco de construção para definir servidores da Web típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor da Web e BB:FalsePositive: Eventos Falsos Positivos do Servidor da Web. |
| Bloco de construção | BB:PortDefinition: Portas Web | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores da Web. |
| Bloco de construção | BB:HostDefinition: Servidores Windows | Edite esse bloco de construção para definir servidores Windows típicos, como controladores de domínio ou servidores Exchange. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Windows e BB:FalsePositive: Eventos Falsos Positivos do Servidor Windows. |
| Bloco de construção | BB:PortDefinition: Portas do Windows | Edite este bloco de construção para incluir todas as portas comuns usadas por servidores Windows. |
| Bloco de construção | BB:ProtocolDefinition: Protocolos do Windows | Edite esse bloco de construção para incluir todos os protocolos comuns (não incluindo TCP) usados pelos servidores Windows que serão ignorados por regras de ajuste positivas falsas. |
| Bloco de construção | BB:HostReference: Servidores DHCP | |
| Bloco de construção | BB:HostReference: Servidores DNS | |
| Bloco de construção | BB:HostReference: Servidores FTP | |
| Bloco de construção | BB:HostReference: Servidores LDAP | |
| Bloco de construção | BB:HostReference: servidores de e-mail | |
| Bloco de construção | BB:HostReference: Servidores Proxy | |
| Bloco de construção | BB:HostReference: Servidores SSH | |
| Bloco de construção | BB:HostReference: Servidores da Web | |
| Bloco de construção | BB:HostReference: Servidores Windows | |
| Bloco de construção | BB:CategoryDefinition: Falha de Serviço ou Hardware | Define categorias de eventos que indicam falhas nos serviços ou hardware. |
| Bloco de construção | BB:HostBased: Eventos Críticos | Define categorias de evento que indicam eventos críticos. |
| Bloco de construção | BB:CategoryDefinition: Serviço Iniciado | |
| Bloco de construção | BB:CategoryDefinition: Serviço Interrompido | |
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Esta regra define todos os firewalls, roteadores e comutadores no sistema. |
| Bloco de construção | BB:NetworkDefinition: Segmento de rede de destino confiável | |
| Bloco de construção | BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais | Detecta um número excessivo de fluxos UDP unidirecionais e diversos a partir de uma fonte isolada. |
| Bloco de construção | BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais | Detecta um número excessivo de fluxos UDP unidirecionais e diversos a partir de uma fonte isolada. |
| Regra | Falha de login na conta desativada | Relata uma mensagem de login do host a partir de uma conta de usuário desativada. Se o usuário não é mais um membro da organização, recomendamos que você investigar quaisquer outras mensagens de autenticação recebido do mesmo usuário. |
| Regra | Falha de Login em Conta Expirada | Relata uma mensagem de falha de login do host a partir de uma conta de usuário expirada conhecido. Se o usuário não é mais um membro da organização, recomendamos investigar quaisquer outras mensagens de autenticação recebidas. |
| Regra | Grupos de bancos de dados mudados a partir do host remoto | Responde quando as alterações de grupos em um banco de dados são mudadas a partir de uma rede remota. |
| Regra | Acesso remoto a partir de país/região estrangeira | Relata logins ou acesso bem-sucedidos a partir de um endereço IP conhecido como estando em um país/região que não tem direito de acesso remoto. Antes de ativar esta regra, recomendamos que você configure o bloco de construção BB:CategoryDefinition: Países/Regiões sem acesso remoto. |
| Regra | Comunicação de entrada remota a partir de um país/região estrangeiro | Relata o tráfego a partir de um endereço IP conhecido como estando em um país/região que não tem direito de acesso remoto. Antes de ativar esta regra, recomendamos que você configure o bloco de construção BB:CategoryDefinition: Países/Regiões sem acesso remoto. SMTP e DNS foram removidos desse teste, pois você tem pouco controle sobre essa atividade. Também pode ser necessário remover Servidores da web no DMZ que geralmente são analisados pelos hosts remotos com scanners da web |
| Regra | Nenhuma Atividade por 60 Dias | Esta conta não efetua login há mais de 60 dias |
| Regra | Possíveis Contas Compartilhadas | Detecção de contas compartilhadas. Será necessário incluir contas do sistema falso positivo adicionais em e NÃO quando o nome do usuário do evento corresponder ao seguinte .... |
| Regra | Remoto: Conexões IRC | Detecta um host local emitindo um número excessivo de conexões IRC à Internet. |
| Regra | Eventos de Conformidade se Tornam Ofensas | Relata eventos baseados em conformidade, como senhas não criptografadas. |
| Regra | Excesso de Logins com Falha para Conformidade IS | Relata falhas excessivas de autenticação para um servidor de conformidade dentro de 10 minutos. |
| Regra | Falhas Múltiplas de Logins em um Ativo de Conformidade | |
| Regra | Falhas Múltiplas de Login para um Único Nome de Usuário | Relata falhas de autenticação para o mesmo nome de usuário |
| Regra | Falhas Múltiplas de Login de uma Única Origem | Relata falhas de autenticação no mesmo endereço IP de origem com diferentes nomes de usuários mais de 10 vezes dentro de 5 minutos. |
| Regra | Várias falhas de login no mesmo destino | Relata quando acontece um evento de falha de autenticação pelo menos 10 vezes no mesmo endereço IP de destino a partir de um endereço IP de origem e um nome de usuário diferentes dentro de 5 minutos. |
| Regra | Conformidade: Tráfego da Rede Não Confiável para a Rede Confiável | O tráfego a partir de um segmento de rede "não confiável" é transmitido para um segmento de rede "confiável". É necessário editar os blocos de construção para redes confiáveis e não confiáveis antes de ativar essa regra. |
| Regra | Conformidade: Tráfego da DMZ para a Rede Interna | O tráfego é transmitido a partir da DMZ para uma rede interna. Geralmente isso não é permitido sob os regulamentos de conformidade. É necessário certificar-se de que o objeto DMZ na hierarquia da rede esteja definido antes da ativação dessa regra. |
| Regra | Mudanças na Configuração Feitas em Dispositivos de Conformidade | Detecta quando são feitas mudanças na configuração em dispositivos de conformidade. Antes de ativar essa regra, inclua as origens de log do servidor de conformidade no grupo de origem do log Servidores de Conformidade. |
| Regra | Serviços de Auditoria Alterados no Host de Conformidade | Serviços de auditoria foram alterados em um host de conformidade. Antes de ativar essa regra, certifique-se de definir os hosts nos blocos de construção de definição de conformidade e verifique se os eventos para o serviço de auditoria alterados para seu host estão no bloco de construção BB:CategoryDefinition: Auditoria Alterada. |
| Regra | Conexão com a Internet em Porta Desautorizada | Geralmente as conexões da internet são limitados a aplicativos comuns, tais como o tráfego da web e correio. Outras comunicações pode ser suspeito e devem ser investigados. Antes da ativação dessa regra, o bloco de construção BB:PortDefinition: Portas L2R Autorizadas deve ser editado com uma lista de portas aceitáveis. |
| Regra | Criar Ofensas para Todo o Tráfego de Bate-papo Baseado em Fluxos | |
| Regra | Criar Ofensas para Todo o Tráfego do Instant Messenger | Relata tráfego do Instant Messenger ou qualquer evento categorizado como tráfego do Instant Messenger onde a origem é local e o destino é remoto. |
| Regra | Criar Ofensas para Todo Uso de P2P | Detecta tráfego P2P ou qualquer evento categorizado como P2P |
| Regra | Criar Ofensas para Todos os Eventos de Política | Relata eventos de política. Por padrão, essa regra fica desativada. Ative esta regra se desejar que todos os eventos categorizados como política criem um delito. |
| Regra | Criar Ofensas para Todo Uso de Pornografia | Relata qualquer tráfego contendo materiais ilícitos ou qualquer evento categorizado como pornografia. Por padrão, essa regra fica desativada. Ative essa regra se quiser que todos os eventos categorizados como pornografia criem uma ofensa. |
| Regra | Local: Uso de Aplicativo de Texto Não Criptografado | Detecta os fluxos para ou a partir da Internet, em que o tipo de aplicativo usa senhas não criptografadas. Isso pode incluir aplicativos como Telnet, FTP, etc. |
| Regra | Novo Servidor DHCP Descoberto | Esta regra será disparada quando um servidor DHCP for descoberto na rede. |
| Regra | Descoberta do Novo Host | Detecta quando um novo host foi descoberto na rede. |
| Regra | Novo Host Descoberto na DMZ | Detecta quando um novo host foi descoberto na rede. |
| Regra | Novo Serviço Descoberto | Detecta quando um host existente tem um novo serviço descoberto. |
| Regra | Novo Serviço Descoberto na DMZ | Detecta quando um host existente tem um novo serviço descoberto. |
| Regra | Possível Servidor IRC Local | Relata um host local em execução de um serviço em uma porta IRC ou fluxo típico que foi detectada como IRC. Isso não é típico para as empresas e deve ser investigado. |
| Regra | Remoto: Uso de Aplicativo de Texto Não Criptografado Baseado em Fluxos | Detecta os fluxos para ou a partir da Internet, em que o tipo de aplicativo usa senhas não criptografadas. Isso pode incluir aplicativos como Telnet, FTP, etc. |
| Regra | Remoto: Servidor FTP oculto | Detecta um servidor FTP remoto em uma porta não padrão. A porta padrão para FTP é a porta TCP 21. Detectar FTP em outras portas pode indicar um host explorado, onde o invasor instalou esse servidor para fornecer acesso alternativo para o host. |
| Regra | Remoto: Mensagem instantânea/Bate-papo | Detecta uma quantidade excessiva de tráfego de IM/Chat a partir de uma fonte isolada. |
| Regra | Remoto: Cliente P2P local conectado a mais de 100 servidores | Detecta hosts locais operando como um servidor Ponto a Ponto (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright. |
| Regra | Remoto: Cliente P2P local detectado | Detecta hosts locais operando como um servidor Ponto a Ponto (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright. |
| Regra | Remoto: Servidor P2P local conectado a mais de 100 Clientes | Detecta hosts locais operando como um servidor Ponto a Ponto (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright. |
| Regra | Remoto: Servidor P2P local detectado | Detecta hosts locais operando como um servidor Ponto a Ponto (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright. |
| Regra | Remoto: Remote Desktop Access da Internet | Detecta o Microsoft Remote Desktop Protocol a partir da Internet para um host local. A maioria das empresas considera isso uma violação da política corporativa. Se esta é a atividade normal em sua rede, você deve desativar essa regra. |
| Regra | Remoto: SSH ou Telnet detectado na porta não padrão | Detecta um servidor SSH ou Telnet em uma porta não padrão. A porta padrão para servidores SSH e Telnet é a porta TCP 22 e 23. Detectar operação SSH ou Telnet em outras portas pode indicar um host explorado, onde o invasor instalou esse servidor para fornecer acesso alternativo para o host. |
| Regra | Remoto: Uso de Usenet | Detecta fluxos para ou a partir de um servidor Usenet. Não é comum comunicações de negócios legítimas utilizarem serviços Usenet ou NNTP. Os hosts envolvidos podem estar violando a política corporativa. |
| Regra | Remoto: Acesso VNC da Internet para um Host Local | Detecta VNC (um aplicativo de acesso a desktop remoto) da Internet para um host local. Muitas empresas consideram isso um problema de política que deve ser tratado. Se esta atividade é normal em sua rede, desative essa regra. |
| Regra | Potencial Tráfego de P2P ou VoIP Detectado | Detecta potencial tráfego de ponto a ponto |
| Regra | Múltiplos Erros do Sistema | Relata quando uma origem tem 10 erros do sistema em 3 minutos. |
| Regra | Falhas Baseadas em Host | Essa regra é disparada quando o sistema vê eventos que indicam falhas nos serviços ou hardware. |
| Regra | Eventos de Sistema Crítica | Essa regra é disparada quando o sistema vê eventos críticos. |
| Regra | Serviço Interrompido e Não Reiniciado | Detecta quando um serviço foi interrompido em um sistema e não reiniciado. |