Conformidade

Use a extensão de conteúdo de conformidade IBM Segurança QRadar para aprimorar o conjunto de conteúdo de conformidade básico para novas instalações QRadar.

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Extensão de conteúdo de conformidade 1.1.2

A propriedade customizada AccountName foi removida.

IBM Security QRadar Extensão de conteúdo de conformidade 1.1.1

As regras e os blocos de construção a seguir são removidos do IBM Security QRadar Compliance Content Extension 1.1.1 e foram incluídos no Network Anomaly content pack

  • BB:PolicyViolation: Violação de Política de IM de IRC: Comunicações de IM
  • Conformidade: Tráfego da DMZ para a Rede Interna
  • Remoto: FTP Detectado em Porta Não Padrão
  • Remoto: Cliente P2P local conectado a mais de 100 servidores
  • Remoto: Cliente P2P local detectado
  • Remoto: Servidor P2P local detectado
  • Remoto: SSH ou Telnet detectado na porta não padrão
  • Remoto: quantia suspeita de tráfego de IM/bate-papo

IBM Security QRadar Extensão de conteúdo de conformidade 1.1.0

A tabela a seguir mostra as regras que são atualizadas no IBM Security QRadar Compliance Content Extension 1.1.0.

Tabela 1. Regras no IBM Security QRadar Compliance Content Extension 1.1.0
Nome Descrição
Aceitações excessivas do firewall de várias origens para um único destino Aciona quando repetidas solicitações de firewall de diferentes origens para um único host. Isso pode indicar um ataque de negação de serviço ou uma inundação de rede de um atacante malicioso.
Remoto: Uso de Usenet Detecta fluxos para ou a partir de um servidor Usenet. Não é comum comunicações de negócios legítimas utilizarem serviços Usenet ou NNTP. Os hosts envolvidos podem estar violando a política corporativa.

As regras e os blocos de construção a seguir são removidos no IBM Security QRadar Compliance Content Extension 1.1.0. Eles estão disponíveis para uso no Endpoint Content Extension.

  • BB:Ameaças: Violações de acesso remoto: Acesso à área de trabalho remota a partir de hosts remotos
  • BB:Ameaças: Violações de acesso remoto: Atividade do VNC a partir de hosts remotos
  • Remoto: Remote Desktop Access da Internet
  • Remoto: Acesso VNC da Internet para um Host Local

IBM Security QRadar Extensão de conteúdo de conformidade 1.0.8

A tabela a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Compliance Content Extension 1.0.8.

Tabela 2. Regras e blocos de construção no IBM Security QRadar Extensão de conteúdo de conformidade 1.0.8
  Nome Descrição
Bloco de construção Segmento de Rede de Destino Confiado O nome Trusted Source Network Segment foi mudado. Configure o filtro de regras para usar a rede de destino.
Bloco de construção Segmento de Rede de Origem Confiada O nome Trusted Destination Network Segment foi mudado. Definição de rede incluída como o grupo. Configure o filtro de regras para usar a rede de origem.
Regra Remoto: FTP Detectado em Porta Não Padrão O nome Remote: Hidden FTP Server foi mudado.
Regra Remoto: quantia suspeita de tráfego de IM/bate-papo O nome Remote: IM/Chat foi mudado.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de conformidade 1.0.7

O conteúdo padrão do QRadar que foi incluído anteriormente nesta extensão de conteúdo foi removido A remoção desse conteúdo da extensão de conteúdo evita uma nova importação desnecessária dele durante a instalação da extensão.

A tabela a seguir mostra os relatórios que são atualizados no IBM Security QRadar Compliance Content Extension 1.0.7.

Tabela 3. Relatórios no IBM Security QRadar Compliance Content Extension 1.0.7
Nome do Relatório Nome da Procura e Dependências
Falhas de Login Semanais em Contas Desativadas ou expiradas Exibe tentativas de login com falha em contas que estão desativadas ou expiradas.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de conformidade 1.0.6

As procuras salvas agora são compartilhadas por padrão. Todos os blocos de construção estão agora em grupos.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de conformidade 1.0.5

A tabela a seguir mostra as propriedades customizadas que estão incluídas no IBM Security QRadar Compliance Content Extension 1.0.5.

Nota: As propriedades customizadas que estão incluídas na tabela a seguir são colocadores. É possível fazer download de outras extensões de conteúdo que incluem propriedades customizadas com esses nomes ou criar sua própria extensão.
Tabela 4. Propriedades customizadas no IBM Security QRadar Extensão de conteúdo de conformidade 1.0.5
Propriedade Customizada Localizado em
AccountName Microsoft Windows

A tabela a seguir mostra o bloco de construção no IBM Security QRadar Compliance Content Extension 1.0.5.

Tabela 5. Bloco de construção no IBM Security QRadar Extensão de conteúdo de conformidade 1.0.5
Nome Descrição
BB:CategoryDefinition: Auditoria mudada Incluídos novos QIDs e removidos alguns outros QIDs.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de conformidade 1.0.4

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Compliance Content Extension 1.0.4.

Tabela 6. Propriedades customizadas no IBM Security QRadar Extensão de conteúdo de conformidade 1.0.4
Nome Otimizada Grupo de Captura Expressão regular
AccountName Sim 2 Account Name:\s*(.+?)\s+Account Name:\s*(.+?)\s+

A tabela a seguir mostra as regras e os blocos de construção que são novos ou atualizados no IBM Security QRadar Compliance Content Extension 1.0.4.

Tabela 7. Regras e blocos de construção no IBM Security QRadar Extensão de conteúdo de conformidade 1.0.4
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Define todos os firewalls, roteadores e comutadores no sistema.
Bloco de construção BB:DeviceDefinition: IDS / IPS

Define todos os sistemas de detecções de intrusão (IDS) e os sistemas de prevenção de intrusão (IPS) no sistema.

Bloco de construção BB:DeviceDefinition: VPN

Define todas as redes privadas virtuais (VPN) no sistema.

Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal

Identifica fluxos que possuem uma combinação de sinalização TCP.

Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito

Identifica fluxos do Internet Control Message Protocol (ICMP) com códigos de tipo do ICMP suspeitos.

Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 Identifica fluxos suspeitos usando a porta 0.
Bloco de construção BB:CategoryDefinition: Contas de Superusuário Define nomes de usuários que são contas de superusuários, como admin e root.
Regra Possíveis Contas Compartilhadas Detecta contas compartilhadas. Será necessário incluir contas do sistema falso positivo adicionais.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de conformidade 1.0.3

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Compliance Content Extension 1.0.3.

Tabela 8. Regras e Blocos de Construção no IBM Security QRadar Compliance Content Extension 1.0.3
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Autenticação para Conta Desativada Incluídos os QIDs a seguir:
  • 5001948: Falha de auditoria: uma conta falhou ao efetuar logon: Conta desativada
  • 5001959: Uma conta falhou ao efetuar logon: Conta desativada
  • 5001954: Falha de auditoria: uma conta falhou ao efetuar logon: Usuário bloqueado
  • 5001949: Falha de auditoria: uma conta falhou ao efetuar logon: Conta expirada
  • 5001960: Uma conta falhou ao efetuar logon: Conta expirada
  • 5001951: Falha de auditoria: uma conta falhou ao efetuar logon: Logon fora do tempo horário normal
  • 5001962: Uma conta falhou ao efetuar logon: Logon fora do horário normal
Regra Conformidade: Tráfego da Rede Não Confiável para a Rede Confiável O teste de regra para esta regra agora é acionado quando um fluxo ou evento corresponde ao BB:NetworkDefinition: Segmento de Rede Não Confiável, mais qualquer uma das seguintes regras:
  • BB:NetworkDefinition: Segmento de rede de origem confiável
  • BB:NetworkDefinition: Segmento de rede de destino confiável

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de conformidade 1.0.2

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Compliance Content Extension 1.0.2.

Tabela 9. Regras e blocos de construção no IBM Security QRadar Extensão de conteúdo de conformidade 1.0.2
Tipo Nome Descrição
Bloco de construção BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais O teste de regra para esse bloco de construção agora é acionado quando BB:Ameaças: Uso do Protocolo IP suspeito: Fluxos UDP e diversos unidirecionais corresponde a pelo menos 15 vezes em um minuto, em vez de BB: Ameaças: Uso do Protocolo IP suspeito: Fluxos TCP unidirecionais.
Bloco de construção BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais O teste de regra para esse bloco de construção agora é acionado quando BB:Ameaças: Uso do Protocolo IP suspeito: Fluxos UDP e diversos unidirecionais corresponde a pelo menos 15 vezes em um minuto, em vez de BB: Ameaças: Uso do Protocolo IP suspeito: Fluxos TCP unidirecionais.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de conformidade 1.0.1

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Compliance Content Extension 1.0.1.

Tabela 10. Regras e blocos de construção no IBM Security QRadar Extensão de conteúdo de conformidade 1.0.1
Tipo Nome Descrição
Bloco de construção BB:NetworkDefinition: Segmento de Rede de Destino Confiável Referencia a hierarquia de rede padrão. Atualize este bloco de construção se você estiver usando uma hierarquia de rede diferente.
Bloco de construção BB:NetworkDefinition: Segmento de Rede de Origem Confiável Atualização do nome do bloco de construção para incluir Rede de Origem.

Referencia a hierarquia de rede padrão. Atualize este bloco de construção se você estiver usando uma hierarquia de rede diferente.

Bloco de construção BB:CategoryDefinition: Autenticação para Conta Desativada Incluído QID 5000475: Falha na auditoria: Uma conta com falha ao efetuar logon.
Bloco de construção BB:CategoryDefinition: Autenticação para Conta Expirada Incluídos os QIDs a seguir:
  • 5001653: Uma conta com falha ao efetuar logon. A senha da conta especificada expirou.
  • 5001654: O controlador de domínio falhou ao validar as credenciais para uma conta.
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão.
Regra Conformidade: Tráfego da Rede Não Confiável para a Rede Confiável Inclusão da nova BB:NetworkDefinition: Segmento de Rede de Destino Confiável.
Regra Conformidade: Tráfego da DMZ para a Rede Interna Inclusão do novo teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador.

Referencia a hierarquia de rede padrão. Atualize essa regra se estiver usando uma hierarquia de rede diferente.

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de conformidade 1.0.0

A tabela a seguir mostra as propriedades customizadas, procuras, conjuntos de referências e relatórios no IBM Security QRadar Compliance Content Extension 1.0.0.

Tabela 11. Propriedades customizadas, procuras, conjuntos de referência e relatórios no IBM Security QRadar Extensão de conteúdo de conformidade 1.0.0
Tipo Nome
Propriedade de evento customizado Número da conta
Procuras de eventos Logout Admin Por IP
Procuras de eventos Por Resumo de Vírus do Host
Procuras de eventos Por Resumo de Vírus do Usuário
Procuras de eventos Resumo Diário de Violação de Política
Procuras de eventos Ataque DOS por IP de Origem
Procuras de eventos Ataque DOS por Tipo
Procuras de eventos Ataques DOS por IP de Destino
Procuras de eventos Distribuição de Categoria de Evento
Procuras de eventos Explorações por Origem
Procuras de eventos Explorações por Destino
Procuras de eventos Explorações por Tipo
Procuras de eventos Grupos Alterados de Hosts Remotos
Procuras de eventos Atividade de IDP por Categoria
Procuras de eventos Atividade de IDP por Evento
Procuras de eventos Atividade de IDP Por Origem de Log
Procuras de eventos Falhas de Log para Contas Expiradas ou Desativadas
Procuras de eventos Falhas no Acesso Remoto (VPN e Outros)
Procuras de eventos Êxito no Acesso Remoto (VPN e Outros)
Procuras de eventos Principais Falhas de Autenticação por Usuário
Procuras de eventos Principais Autenticações por Usuário
Procuras de eventos Principais Regras IDS/IDP/IPS
Procuras de eventos Principais Alertas IDS/IPS por IP de Destino
Procuras de eventos Conta do Usuário Incluída por Usuário
Procuras de eventos Conta do Usuário Modificada por Usuário
Procuras de eventos Conta do Usuário Removida por Usuário
Procuras de eventos Atividade de VPN por Categoria
Procuras de eventos Atividade de VPN por Evento
Procuras de eventos Atividade de VPN por Origem de Log
Procuras de eventos Solicitações da Web por Destino
Procuras de eventos Solicitações da Web por Origem de Log
Procuras de eventos Solicitações da Web por Origem
Procura de eventos Principais Alertas IDS/IPS por País/Região
Procura de fluxo Bytes internos por ASN de Destino
Procura de fluxo Bytes internos por Índice IF de Destino
Procura de fluxo Bytes internos por ASN de Origem
Procura de fluxo Bytes internos por Índice IF de Origem
Procura de fluxo Utilização de Link
Procura de fluxo Principais Redes de Destino – Internas
Procura de fluxo Principais Redes de Origem
Conjunto de referência Servidores do Banco de Dados
Conjunto de referência Servidores DHCP
Conjunto de referência Servidores do Sistema de Nomes de Domínio
Conjunto de referência Servidores FTP
Conjunto de referência Servidores LDAP
Conjunto de referência Servidores de Correio
Conjunto de referência Servidores Proxy
Conjunto de referência Servidores SSH
Conjunto de referência Servidores da web
Conjunto de referência Servidores Windows
Relatórios Resumo Diário de Tráfego de ASN
Relatórios Resumo de Destino e Invasor Diário
Relatórios Distribuição Diária de Categoria
Relatórios Resumo de Atividade IDP-IDS Diária
Relatórios Resumo Diário de Tráfego IfIndex
Relatórios Distribuição Diária de Log/Eventos por Categoria
Relatórios Resumo de Rede do DOS Diário
Relatórios Resumo de Exploração de Rede Diário
Relatórios Resumo Diário de Violação de Política
Relatórios Resumo Diário da Atividade da Conta do Usuário
Relatórios Resumo de Vírus Diário
Relatórios Resumo Diário de Atividade de VPN
Relatórios Resumo Diário de Acesso à Web
Relatórios 20 Últimos Logins com Falha
Relatórios Últimos 20 Logoffs
Relatórios 20 Últimos Logins Bem-sucedidos
Relatórios Resumo Mensal do Tráfego de ASN
Relatórios Distribuição Mensal de Categoria
Relatórios Resumo de Atividade IDP-IDS Mensal
Relatórios Resumo Mensal do Tráfego IfIndex
Relatórios Resumo Mensal do DOS da Rede
Relatórios Resumo Mensal de Exploração de Rede
Relatórios Resumo Mensal de Violação de Política
Relatórios Resumo Mensal de Atividade da Conta do Usuário
Relatórios Resumo Mensal de Vírus
Relatórios Resumo Mensal de Atividade de VPN
Relatórios Resumo Mensal de Acesso à Web
Relatórios Volume de Tráfego de Rede
Relatórios Resumo Semanal de Tráfego ASN
Relatórios Categoria de Distribuição Semanal
Relatórios Mudanças Semanais de Grupo a partir de Hosts Remotos
Relatórios Resumo de Atividades de IDP-IDS Semanal
Relatórios Resumo Semanal de Tráfego IfIndex
Relatórios Falhas de Login de Semanais de Contas Ativadas ou Desativadas
Relatórios Resumo do DOS de Rede Semanal
Relatórios Resumo de Exploração de Rede Semanal
Relatórios Resumo de Violação de Política Semanal
Relatórios Resumo Semanal de Atividade da Conta do Usuário
Relatórios Resumo de Vírus Semanal
Relatórios Resumo Semanal de Atividade de VPN
Relatórios Resumo Semanal de Acesso à Web

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Compliance Content Extension 1.0.0.

Tabela 12. Regras e blocos de construção no IBM Security QRadar Extensão de conteúdo de conformidade 1.0.0
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: IDS / IPS Define todos os IDS e IPSs no sistema.
Bloco de construção BB:CategoryDefinition: Fluxos suspeitos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxo de Saída de Longa Duração Identifica fluxos que estiveram ativos por mais de 48 horas
Bloco de construção BB:CategoryDefinition: Eventos suspeitos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:CategoryDefinition: SRC do fluxo unidirecional  
Bloco de construção BB:Flowshape: Somente saída Corresponde fluxos que são apenas de saída.
Bloco de construção BB:Ameaças: Uso Uso do protocolo IP suspeito: Grandes pacotes do ICMP Identifica fluxos com pacotes ICMP anormalmente grandes
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 Identifica fluxos suspeitos usando a porta 0.
Bloco de construção BB:CategoryDefinition: Erros e Falhas do Sistema Edite este bloco de construção para incluir todos os eventos que possam indicar um erro ou uma falha do sistema. Por padrão, esse bloco de construção de aplica quando a categoria de evento para o evento é uma das categorias de sistema a seguir: Falha de Serviço, Erro do Sistema, Falha do Sistema.
Bloco de construção BB:CategoryDefinition: Categorias de eventos suspeitas Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos bidirecionais de carga útil zero Identifica um tráfego bidirecional que não inclui carga útil.
Bloco de construção BB:CategoryDefinition: Fluxo unidirecional  
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Respostas do ICMP unidirecionais Identifica o tráfego no qual as respostas do ICMP são vistas sem solicitação.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos do ICMP unidirecionais Identifica fluxos do ICMP unidirecionais.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal Identifica fluxos que possuem uma combinação de sinalização TCP.
Bloco de construção BB:Flowshape: Somente entrada Este bloco de construção corresponderá a eventos que são apenas de entrada.
Bloco de construção BB:CategoryDefinition: DST do fluxo unidirecional  
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos de TCP unidirecionais Identifica fluxos TCP unidirecionais.
Bloco de construção BB:NetworkDefinition: Honeypot como endereços Edite este bloco de construção substituindo a outra rede pelos objetos de rede definidos em sua hierarquia de rede que não estão em uso atualmente em sua rede ou que são usados em uma instalação honeypot ou tarpit. Depois de terem sido definidas, deve-se ativar a regra Anomalia: Acesso ao honeypot potencial. Você também deve incluir uma sentinela de segurança/política para esses objetos de rede para gerar eventos com base na tentativa de acesso
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito Identifica fluxos do ICMP com códigos de tipo de ICMP suspeitos.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Grandes pacotes do DNS Identifica fluxos com pacotes DNS anormalmente grandes
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos UDP e diversos unidirecionais Identifica UDP unidirecional e outros fluxos diversos.
Bloco de construção BB:DeviceDefinition: VPN Esta regra define todos os VPNs no sistema.
Bloco de construção BB:CategoryDefinition: Sucesso de Autenticação Edite esse bloco de construção para incluir todos os eventos que indicam tentativas bem-sucedidas de acessar a rede.
Bloco de construção BB:CategoryDefinition: Falhas de Autenticação Edite esse bloco de construção para incluir todos os eventos que indicam uma tentativa malsucedida de acessar a rede.
Bloco de construção BB:CategoryDefinition: Autenticação para Conta Desativada Edite esse bloco de construção para incluir todos os eventos que indicam tentativas falhas de acessar a rede usando uma conta desativada.
Bloco de construção BB:CategoryDefinition: Autenticação para Conta Expirada Edite esse bloco de construção para incluir todos os eventos que indicam tentativas falhas de acessar a rede usando uma conta expirada.
Bloco de construção BB:HostDefinition: Servidores de banco de dados Edite esse bloco de construção para definir servidores de banco de dados típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:FalsePositive: Categorias de falso positivo do servidor de banco de dados e BB:FalsePositive: Eventos de falso positivo do servidor de banco de dados.
Bloco de construção BB:PortDefinition: Portas do banco de dados Edite esse bloco de construção para incluir todas as portas de banco de dados comuns.
Bloco de construção BB:HostReference: Servidores de banco de dados  
Bloco de construção BB:CategoryDefinition: Países/regiões sem acesso remoto Edite esse bloco de construção para incluir qualquer local geográfico que normalmente não tenha permissão de acesso remoto à empresa. Depois de configurada, é possível ativar a regra Anomalia: Acesso remoto a partir de País/Região estrangeira.
Bloco de construção BB:CategoryDefinition: Comunicação bem-sucedida Define fluxos que são típicos de uma comunicação bem-sucedida. Se você estiver muito desconfiado, pode querer diminuir o coeficiente para 64 bytes/pacote, porém, isso causará uma série de positivos falsos e pode requerer ajuste adicional utilizando sinalizadores e outras propriedades.
Bloco de construção BB:CategoryDefinition: Contas de Superusuário  
Bloco de construção BB:CategoryDefinition: IRC Detectado com Base no Aplicativo Identifica o tráfego IRC que foi identificado pelo teste de aplicativo.
Bloco de construção BB:CategoryDefinition: IRC Detectado com Base na Categoria de Evento Identifica o tráfego de IRC que foi identificado por eventos ou categorias.
Bloco de construção BB:PolicyViolation: Violação de Política de IM de IRC: Conexão IRC com a Internet Identifica uma conexão IRC com um host remoto.
Bloco de construção BB:CategoryDefinition: Detecção de IRC com Base em Eventos do Firewall Identifica o tráfego de IRC que foi identificado por eventos ou categorias.
Bloco de construção BB:CategoryDefinition: Aceitação de Firewall ou ACL Edite esse bloco de construção para incluir todos os eventos que indicam acesso ao firewall.
Bloco de construção BB:PortDefinition: Portas IRC Edite este bloco de construção para incluir todas as portas IRC comuns.
Bloco de construção BB:ComplianceDefinition: Servidores GLBA Edite este bloco de construção para incluir seus sistemas IP GLBA. Em seguida, deve-se aplicar esse bloco de construção às regras relacionadas aos logins com falha, acesso remoto, etc.
Bloco de construção BB:ComplianceDefinition: Servidores HIPAA Edite este bloco de construção para incluir seus Servidores HIPAA por endereço IP. Em seguida, deve-se aplicar esse bloco de construção às regras relacionadas aos logins com falha, acesso remoto, etc.
Bloco de construção BB:ComplianceDefinition: Servidores SOX Edite este bloco de construção para incluir seus Servidores IP SOX. Em seguida, deve-se aplicar esse bloco de construção às regras relacionadas aos logins com falha, acesso remoto, etc.
Bloco de construção BB:ComplianceDefinition: Servidores PCI DSS Edite este bloco de construção para incluir seus Servidores PCI DSS por endereço IP. Em seguida, deve-se aplicar esse bloco de construção às regras relacionadas aos logins com falha, acesso remoto, etc.
Bloco de construção BB:NetworkDefinition: Segmento de rede não confiável Locais de rede não confiáveis tipicamente usados em regras para detectar quando uma localização não confiável está se comunicando com uma localização confiável.
Bloco de construção BB:NetworkDefinition: Redes locais não confiáveis  
Bloco de construção BB:NetworkDefinition: Comunicação de entrada da Internet para o host local  
Bloco de construção BB:NetworkDefinition: Segmento de rede de origem confiável  
Bloco de construção BB:CategoryDefinition: Mudança na Configuração do Sistema ou Dispositivo  
Bloco de construção BB:CategoryDefinition: Auditoria mudada  
Bloco de construção BB:PortDefinition: Portas L2R Autorizadas Define as portas normalmente vistas no tráfego de local para remoto.
Bloco de construção BB:PolicyViolation: Violação de Política de Conformidade: Uso de Aplicativo de Texto Não Criptografado Identifica fluxos que estão usando protocolos não criptografados, como Telnet e FTP.
Bloco de construção BB:HostDefinition: Servidores DHCP Edite esse bloco de construção para definir servidores DHCP típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:False Positive: Categorias de falso positivo do servidor DHCP e BB:FalsePositve: Eventos de falso positivo do servidor DHCP.
Bloco de construção BB:PortDefinition: Portas DHCP Edite esse bloco de construção para incluir todas as portas DHCP comuns.
Bloco de construção BB:PolicyViolation: Violação de Política de IM de IRC: Comunicações de IM Identifica fluxos que foram identificados como comunicações de Mensagem Instantânea.
Bloco de construção BB:Ameaças: Violações de acesso remoto: Acesso à área de trabalho remota a partir de hosts remotos Identifica fluxos em que um aplicativo de área de trabalho remoto está sendo acessado de um host remoto
Bloco de construção BB:PolicyViolation: Violação de Política de Aplicativo: NNTP para Internet Identifica o tráfego de NNTP para a Internet
Bloco de construção BB:Ameaças: Violações de acesso remoto: Atividade do VNC a partir de hosts remotos Identifica fluxos em que um serviço VNC está sendo acessado de um host remoto.
Bloco de construção BB:HostDefinition: Servidores Edite esse bloco de construção para definir servidores genéricos.
Bloco de construção BB:HostDefinition: Servidores DNS Edite esse bloco de construção para definir servidores DNS típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor DNS e BB:FalsePositve: Eventos Falsos Positivos do Servidor DNS.
Bloco de construção BB:PortDefinition: Portas DNS Edite esse bloco de construção para incluir todas as portas DNS comuns.
Bloco de construção BB:HostDefinition: Servidores FTP Edite esse bloco de construção para definir servidores FTP típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor FTP e BB:FalsePositive: Eventos Falsos Positivos do Servidor FTP.
Bloco de construção BB:PortDefinition: Portas FTP Edite esse bloco de construção para incluir todas as portas FTP comuns.
Bloco de construção BB:HostDefinition: Servidores LDAP Edite esse bloco de construção para definir servidores LDAP típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor LDAP e BB:FalsePositive: Eventos Falsos Positivos do Servidor LDAP.
Bloco de construção BB:PortDefinition: Portas LDAP Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores LDAP.
Bloco de construção BB:HostDefinition: servidores de e-mail Edite esse bloco de construção para definir servidores de correio típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor de Correio e BB:FalsePositive: Eventos Falsos Positivos do Servidor de Correio.
Bloco de construção BB:PortDefinition: portas de e-mail Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores de correio.
Bloco de construção BB:HostDefinition: Servidores de gerenciamento de rede Edite esse bloco de construção para definir servidores de gerenciamento de rede típicos.
Bloco de construção BB:HostDefinition: Servidores proxy Edite esse bloco de construção para definir servidores proxy típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Proxy e BB:FalsePositive: Eventos Falsos Positivos do Servidor Proxy.
Bloco de construção BB:HostDefinition: Servidores RPC Edite esse bloco de construção para definir servidores RPC típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor RPC e BB:FalsePositive: Eventos Falsos Positivos do Servidor RPC.
Bloco de construção BB:PortDefinition: Portas RPC Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores RPC.
Bloco de construção BB:HostDefinition: Remetente ou destinatário SNMP Edite esse bloco de construção para definir remetentes ou destinatários de SNMP. Este bloco de construção é usado juntamente com o bloco de construção BB:PortDefinition: Portas SNMP.
Bloco de construção BB:PortDefinition: Portas SNMP Edite esse bloco de construção para incluir todas as portas comuns usadas pelos remetentes ou destinatários de SNMP.
Bloco de construção BB:HostDefinition: Servidores SSH Edite esse bloco de construção para definir servidores SSH típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor SSH e BB:FalsePositive: Eventos Falsos Positivos do Servidor SSH.
Bloco de construção BB:PortDefinition: Portas SSH Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores SSH.
Bloco de construção BB:HostDefinition: Definição de vírus e outros servidores de atualização Edite esse bloco de construção para incluir todos os servidores que incluem proteção contra vírus e funções de atualização.
Bloco de construção BB:HostDefinition: Servidores da Web Edite esse bloco de construção para definir servidores da Web típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor da Web e BB:FalsePositive: Eventos Falsos Positivos do Servidor da Web.
Bloco de construção BB:PortDefinition: Portas Web Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores da Web.
Bloco de construção BB:HostDefinition: Servidores Windows Edite esse bloco de construção para definir servidores Windows típicos, como controladores de domínio ou servidores Exchange. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Windows e BB:FalsePositive: Eventos Falsos Positivos do Servidor Windows.
Bloco de construção BB:PortDefinition: Portas do Windows Edite este bloco de construção para incluir todas as portas comuns usadas por servidores Windows.
Bloco de construção BB:ProtocolDefinition: Protocolos do Windows Edite esse bloco de construção para incluir todos os protocolos comuns (não incluindo TCP) usados pelos servidores Windows que serão ignorados por regras de ajuste positivas falsas.
Bloco de construção BB:HostReference: Servidores DHCP  
Bloco de construção BB:HostReference: Servidores DNS  
Bloco de construção BB:HostReference: Servidores FTP  
Bloco de construção BB:HostReference: Servidores LDAP  
Bloco de construção BB:HostReference: servidores de e-mail  
Bloco de construção BB:HostReference: Servidores Proxy  
Bloco de construção BB:HostReference: Servidores SSH  
Bloco de construção BB:HostReference: Servidores da Web  
Bloco de construção BB:HostReference: Servidores Windows  
Bloco de construção BB:CategoryDefinition: Falha de Serviço ou Hardware Define categorias de eventos que indicam falhas nos serviços ou hardware.
Bloco de construção BB:HostBased: Eventos Críticos Define categorias de evento que indicam eventos críticos.
Bloco de construção BB:CategoryDefinition: Serviço Iniciado  
Bloco de construção BB:CategoryDefinition: Serviço Interrompido  
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Esta regra define todos os firewalls, roteadores e comutadores no sistema.
Bloco de construção BB:NetworkDefinition: Segmento de rede de destino confiável  
Bloco de construção BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais Detecta um número excessivo de fluxos UDP unidirecionais e diversos a partir de uma fonte isolada.
Bloco de construção BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais Detecta um número excessivo de fluxos UDP unidirecionais e diversos a partir de uma fonte isolada.
Regra Falha de login na conta desativada Relata uma mensagem de login do host a partir de uma conta de usuário desativada. Se o usuário não é mais um membro da organização, recomendamos que você investigar quaisquer outras mensagens de autenticação recebido do mesmo usuário.
Regra Falha de Login em Conta Expirada Relata uma mensagem de falha de login do host a partir de uma conta de usuário expirada conhecido. Se o usuário não é mais um membro da organização, recomendamos investigar quaisquer outras mensagens de autenticação recebidas.
Regra Grupos de bancos de dados mudados a partir do host remoto Responde quando as alterações de grupos em um banco de dados são mudadas a partir de uma rede remota.
Regra Acesso remoto a partir de país/região estrangeira Relata logins ou acesso bem-sucedidos a partir de um endereço IP conhecido como estando em um país/região que não tem direito de acesso remoto. Antes de ativar esta regra, recomendamos que você configure o bloco de construção BB:CategoryDefinition: Países/Regiões sem acesso remoto.
Regra Comunicação de entrada remota a partir de um país/região estrangeiro Relata o tráfego a partir de um endereço IP conhecido como estando em um país/região que não tem direito de acesso remoto. Antes de ativar esta regra, recomendamos que você configure o bloco de construção BB:CategoryDefinition: Países/Regiões sem acesso remoto. SMTP e DNS foram removidos desse teste, pois você tem pouco controle sobre essa atividade. Também pode ser necessário remover Servidores da web no DMZ que geralmente são analisados pelos hosts remotos com scanners da web
Regra Nenhuma Atividade por 60 Dias Esta conta não efetua login há mais de 60 dias
Regra Possíveis Contas Compartilhadas Detecção de contas compartilhadas. Será necessário incluir contas do sistema falso positivo adicionais em e NÃO quando o nome do usuário do evento corresponder ao seguinte ....
Regra Remoto: Conexões IRC Detecta um host local emitindo um número excessivo de conexões IRC à Internet.
Regra Eventos de Conformidade se Tornam Ofensas Relata eventos baseados em conformidade, como senhas não criptografadas.
Regra Excesso de Logins com Falha para Conformidade IS Relata falhas excessivas de autenticação para um servidor de conformidade dentro de 10 minutos.
Regra Falhas Múltiplas de Logins em um Ativo de Conformidade  
Regra Falhas Múltiplas de Login para um Único Nome de Usuário Relata falhas de autenticação para o mesmo nome de usuário
Regra Falhas Múltiplas de Login de uma Única Origem Relata falhas de autenticação no mesmo endereço IP de origem com diferentes nomes de usuários mais de 10 vezes dentro de 5 minutos.
Regra Várias falhas de login no mesmo destino Relata quando acontece um evento de falha de autenticação pelo menos 10 vezes no mesmo endereço IP de destino a partir de um endereço IP de origem e um nome de usuário diferentes dentro de 5 minutos.
Regra Conformidade: Tráfego da Rede Não Confiável para a Rede Confiável O tráfego a partir de um segmento de rede "não confiável" é transmitido para um segmento de rede "confiável". É necessário editar os blocos de construção para redes confiáveis e não confiáveis antes de ativar essa regra.
Regra Conformidade: Tráfego da DMZ para a Rede Interna O tráfego é transmitido a partir da DMZ para uma rede interna. Geralmente isso não é permitido sob os regulamentos de conformidade. É necessário certificar-se de que o objeto DMZ na hierarquia da rede esteja definido antes da ativação dessa regra.
Regra Mudanças na Configuração Feitas em Dispositivos de Conformidade Detecta quando são feitas mudanças na configuração em dispositivos de conformidade. Antes de ativar essa regra, inclua as origens de log do servidor de conformidade no grupo de origem do log Servidores de Conformidade.
Regra Serviços de Auditoria Alterados no Host de Conformidade Serviços de auditoria foram alterados em um host de conformidade. Antes de ativar essa regra, certifique-se de definir os hosts nos blocos de construção de definição de conformidade e verifique se os eventos para o serviço de auditoria alterados para seu host estão no bloco de construção BB:CategoryDefinition: Auditoria Alterada.
Regra Conexão com a Internet em Porta Desautorizada Geralmente as conexões da internet são limitados a aplicativos comuns, tais como o tráfego da web e correio. Outras comunicações pode ser suspeito e devem ser investigados. Antes da ativação dessa regra, o bloco de construção BB:PortDefinition: Portas L2R Autorizadas deve ser editado com uma lista de portas aceitáveis.
Regra Criar Ofensas para Todo o Tráfego de Bate-papo Baseado em Fluxos  
Regra Criar Ofensas para Todo o Tráfego do Instant Messenger Relata tráfego do Instant Messenger ou qualquer evento categorizado como tráfego do Instant Messenger onde a origem é local e o destino é remoto.
Regra Criar Ofensas para Todo Uso de P2P Detecta tráfego P2P ou qualquer evento categorizado como P2P
Regra Criar Ofensas para Todos os Eventos de Política Relata eventos de política. Por padrão, essa regra fica desativada. Ative esta regra se desejar que todos os eventos categorizados como política criem um delito.
Regra Criar Ofensas para Todo Uso de Pornografia Relata qualquer tráfego contendo materiais ilícitos ou qualquer evento categorizado como pornografia. Por padrão, essa regra fica desativada. Ative essa regra se quiser que todos os eventos categorizados como pornografia criem uma ofensa.
Regra Local: Uso de Aplicativo de Texto Não Criptografado Detecta os fluxos para ou a partir da Internet, em que o tipo de aplicativo usa senhas não criptografadas. Isso pode incluir aplicativos como Telnet, FTP, etc.
Regra Novo Servidor DHCP Descoberto Esta regra será disparada quando um servidor DHCP for descoberto na rede.
Regra Descoberta do Novo Host Detecta quando um novo host foi descoberto na rede.
Regra Novo Host Descoberto na DMZ Detecta quando um novo host foi descoberto na rede.
Regra Novo Serviço Descoberto Detecta quando um host existente tem um novo serviço descoberto.
Regra Novo Serviço Descoberto na DMZ Detecta quando um host existente tem um novo serviço descoberto.
Regra Possível Servidor IRC Local Relata um host local em execução de um serviço em uma porta IRC ou fluxo típico que foi detectada como IRC. Isso não é típico para as empresas e deve ser investigado.
Regra Remoto: Uso de Aplicativo de Texto Não Criptografado Baseado em Fluxos Detecta os fluxos para ou a partir da Internet, em que o tipo de aplicativo usa senhas não criptografadas. Isso pode incluir aplicativos como Telnet, FTP, etc.
Regra Remoto: Servidor FTP oculto Detecta um servidor FTP remoto em uma porta não padrão. A porta padrão para FTP é a porta TCP 21. Detectar FTP em outras portas pode indicar um host explorado, onde o invasor instalou esse servidor para fornecer acesso alternativo para o host.
Regra Remoto: Mensagem instantânea/Bate-papo Detecta uma quantidade excessiva de tráfego de IM/Chat a partir de uma fonte isolada.
Regra Remoto: Cliente P2P local conectado a mais de 100 servidores Detecta hosts locais operando como um servidor Ponto a Ponto (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright.
Regra Remoto: Cliente P2P local detectado Detecta hosts locais operando como um servidor Ponto a Ponto (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright.
Regra Remoto: Servidor P2P local conectado a mais de 100 Clientes Detecta hosts locais operando como um servidor Ponto a Ponto (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright.
Regra Remoto: Servidor P2P local detectado Detecta hosts locais operando como um servidor Ponto a Ponto (P2P). Isso indica uma violação da política de rede local e pode indicar as atividades ilegais, como violação de copyright.
Regra Remoto: Remote Desktop Access da Internet Detecta o Microsoft Remote Desktop Protocol a partir da Internet para um host local. A maioria das empresas considera isso uma violação da política corporativa. Se esta é a atividade normal em sua rede, você deve desativar essa regra.
Regra Remoto: SSH ou Telnet detectado na porta não padrão Detecta um servidor SSH ou Telnet em uma porta não padrão. A porta padrão para servidores SSH e Telnet é a porta TCP 22 e 23. Detectar operação SSH ou Telnet em outras portas pode indicar um host explorado, onde o invasor instalou esse servidor para fornecer acesso alternativo para o host.
Regra Remoto: Uso de Usenet Detecta fluxos para ou a partir de um servidor Usenet. Não é comum comunicações de negócios legítimas utilizarem serviços Usenet ou NNTP. Os hosts envolvidos podem estar violando a política corporativa.
Regra Remoto: Acesso VNC da Internet para um Host Local Detecta VNC (um aplicativo de acesso a desktop remoto) da Internet para um host local. Muitas empresas consideram isso um problema de política que deve ser tratado. Se esta atividade é normal em sua rede, desative essa regra.
Regra Potencial Tráfego de P2P ou VoIP Detectado Detecta potencial tráfego de ponto a ponto
Regra Múltiplos Erros do Sistema Relata quando uma origem tem 10 erros do sistema em 3 minutos.
Regra Falhas Baseadas em Host Essa regra é disparada quando o sistema vê eventos que indicam falhas nos serviços ou hardware.
Regra Eventos de Sistema Crítica Essa regra é disparada quando o sistema vê eventos críticos.
Regra Serviço Interrompido e Não Reiniciado Detecta quando um serviço foi interrompido em um sistema e não reiniciado.

(Voltar para o topo)