Intrusões
Use a IBM Security QRadar Intrusions Content Extension para se concentrar na detecção de intrusões.
IBM Segurança QRadar Extensão de conteúdo contra invasões
- IBM Security QRadar Extensão de conteúdo de conformidade
- IBM Security QRadar Extensão de Conteúdo do Terminal
- IBM Segurança QRadar Monitoramento de ameaças Extensão de conteúdo
- IBM Security QRadar Extensão de conteúdo de anomalia de rede
A lista a seguir mostra as regras incluídas no IBM Security QRadar Compliance Content Extension.
- BB:CategoryDefinition: Países/regiões sem acesso remoto
- Aceitações excessivas do firewall de várias origens para um único destino
A lista a seguir mostra as regras incluídas no IBM Security QRadar Endpoint Content Extension.
- Remoto: Remote Desktop Access da Internet
- BBB:Threats: Violações de acesso remoto: Acesso à área de trabalho remota a partir de hosts remotos - UUID SYSTEM-1055 (Novo nome - BB:BehaviorDefinition: Acesso à área de trabalho remota a partir de um host remoto)
- BBB:Threats: Violações de acesso remoto: Atividade VNC de hosts remotos - SYSTEM-1056 (Novo nome - BB:BehaviorDefinition: Atividade VNC de um host remoto)
- Remote: Acesso VNC da Internet para um Host Local-UUID SYSTEM-1108 (Novo nome- Remote: Acesso VNC da Internet)
A lista a seguir mostra as regras incluídas no IBM Security QRadar Threat Monitoring Content Extension.
- BB:CategoryDefinition: Países/regiões sem acesso remoto
- BB:CategoryDefinition: Acesso ao Banco de Dados Negado
- BB:CategoryDefinition: Incômodos de Malware
- BB:CategoryDefinition: Vírus Detectado
- BB:CategoryDefinition: Eventos de worm
- BB:FalseNegative: Eventos que Indicam Compromisso de Sucesso
- BB:NetworkDefinition: Espaço IP Indefinido
- BB:NetworkDefinition: Endereços da Lista de Observação
- Exploração Seguida de Atividade Suspeita do Host
- Exploração/Eventos de Malware em Vários Destinos
- Exploração: Explorações Seguidas de Aceitações de Firewall
- Origem de Vários Vetores de Ataque
- Origem Vulnerável a qualquer Exploração
- Origem Vulnerável a esta Exploração
- Eventos 100% precisos-SYSTEM-1459(Novo nome- Compromisso de assinatura bem-sucedido)
A lista a seguir mostra as regras incluídas no IBM Security QRadar Network Anomaly Content Extension.
- Anomalia: Salto da DMZ
- Remoto: Possível Tunelamento
IBM Security QRadar Extensão de conteúdo de intrusões V1.0.4
A tabela a seguir mostra a regra atualizada no IBM Security QRadar Intrusions Content Extension V1.0.4.
| Nome | Descrição |
|---|---|
| Aceitações excessivas do firewall de várias origens para um único destino | Foi mudado o nome de Anomalia: aceitações excessivas de firewall de várias origens para um único destino. |
As regras e blocos de construção a seguir são removidos no IBM Security QRadar Intrusions Content Extension V1.0.4 porque agora estão incluídos no IBM Security QRadar por padrão.
- BB:BehaviorDefinition: Atividades de Compromisso
- BB:CategoryDefinition: Falhas de Autenticação
- BB:CategoryDefinition: Autenticação para Conta Desativada
- BB:CategoryDefinition: Autenticação para Conta Expirada
- BB:CategoryDefinition: Eventos de Ataque DDoS
- BB:CategoryDefinition: Explorações, Backdoors e Troias
- BB:CategoryDefinition: Aceitação de Firewall ou ACL
- BB:CategoryDefinition: Negações do Firewall ou ACL
- BB:CategoryDefinition: Criadores de Logs de Chaves
- BB:CategoryDefinition: Violação de Política de Correio
- BB:CategoryDefinition: Ataque de DoS de Rede
- BB:CategoryDefinition: Salto pós-DMZ
- BB:CategoryDefinition: Atividade da Conta Pós-exploração
- BB:CategoryDefinition: Salto pré-DMZ
- BB:CategoryDefinition: Categorias de Evento Recon.
- BB:CategoryDefinition: Eventos Recon.
- BB:CategoryDefinition: Fluxos Recon.
- BB:CategoryDefinition: DoS de Serviço
- BB:CategoryDefinition: Comunicação bem-sucedida
- BB:Database: Negação de Ação do Sistema
- BB:DeviceDefinition: Banco de Dados
- BB:DeviceDefinition: FW/Roteador/Comutador
- BB:HostDefinition: Servidores de banco de dados
- BB:HostReference: Servidores de banco de dados
- BB:NetworkDefinition: Endereços Darknet
- BB:NetworkDefinition: Endereços da DMZ
- BB:NetworkDefinition: Honeypot como endereços
- BB:PortDefinition: Portas Worm comuns
- BB:PortDefinition: Portas do banco de dados
- BB:Threats: Varreduras de Porta: Varreduras de Host
- BB:Threats: Varreduras de Porta: Varredura de Porta UDP
- BB:Threats: Varredura: Fluxos Altos Responsivos Vazios
- BB:Threats: Varredura: Fluxos Lentos Responsivos Vazios
- BB:Threats: Varredura: Fluxos Médios Responsivos Vazios
- BB:Threats: Varredura: Varredura Alta de ICMP
- BB:Threats: Varredura: Varredura Lenta de ICMP
- BB:Threats: Varredura: Varredura Média de ICMP
- BB:Threats: Varredura: Varredura Potencial
- BB:Threats: Varredura: Varredura Alta
- BB:Threats: Varredura: Varredura Lenta
- BB:Threats: Varredura: Varredura Média
- BB:Threats: Uso de Protocolo IP Suspeito: Pacotes DNS Grandes
- BB:Threats: Uso de Protocolo IP Suspeito: Pacotes ICMP Grandes
- Destino Vulnerável à Exploração Detectada
- Destino Vulnerável à Exploração Detectada em uma Porta Diferente
- Limpeza de Malware ou Vírus com Falha
IBM Segurança QRadar Intrusões Extensão de conteúdo V1.0.3
A tabela a seguir mostra as regras e blocos de construção no IBM Security QRadar Intrusions Content Extension V1.0.3.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Destino vulnerável à exploração detectada | Detecta um ataque em relação a um destino local vulnerável, onde o host é conhecido por existir, e o host é vulnerável ao ataque. |
| Regra | Destino vulnerável à exploração detectada em uma porta diferente | Detecta um ataque com relação a um host de destino local vulnerável, onde o host é conhecido como existir, e o host é vulnerável ao ataque em uma porta diferente. |
| Regra | Destino vulnerável à exploração diferente da porta de destino ou da porta em que houve tentativa | Detecta um ataque com relação a um host de destino local vulnerável, onde o host é conhecido por existir, e o host é vulnerável a algum ataque, mas não à tentativa que está sendo feita. |
A tabela a seguir mostra os dados de referência no IBM Security QRadar Intrusions Content Extension V1.0.3.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Servidores do Banco de Dados | Lista de endereços IP de banco de dados. |
IBM Segurança QRadar Intrusões Extensão de conteúdo V1.0.2
A tabela a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Intrusions Content Extension V1.0.2.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Bloco de construção atualizado com dispositivos FW/Roteador/Comutador. |
| Bloco de construção | BB:DeviceDefinition: Banco de Dados | Bloco de construção atualizado com dispositivos de banco de dados. |
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Desativada | Incluídos os QIDs a seguir:
|
| Regra | Limpeza de Malware ou Vírus com Falha | Novos QIDs incluídos na regra:
|
IBM Segurança QRadar Intrusões Extensão de conteúdo V1.0.1
A tabela a seguir mostra as regras e blocos de construção no IBM Security QRadar Intrusions Content Extension V1.0.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Desativada | Incluído QID 5000475: Falha na auditoria: Uma conta com falha ao efetuar logon. |
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Regra | Exploração: Explorações Seguidas de Aceitações de Firewall | Incluído um teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador para regra |
| Regra | Anomalia: Salto da DMZ | Incluído um teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador para regra |
| Regra | Anomalia: Aceitações Excessivas de Firewall de Várias Origens para um Único Destino | Incluído um teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador para regra |
| Regra | Exploração: Destino Vulnerável à Exploração Detectada em uma Porta Diferente | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
IBM Segurança QRadar Intrusões Extensão de conteúdo V1.0.0
O IBM Security QRadar Intrusions Content Extension V1.0.0 inclui o conjunto de referência de Servidores de Banco de Dados para QRadar
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:BehaviorDefinition: Atividades de Compromisso | Edite este bloco de construção para incluir categorias consideradas parte de eventos vistos durante compromissos típicos. |
| Bloco de construção | BB:CategoryDefinition: Falhas de Autenticação | Edite esse bloco de construção para incluir todos os eventos que indicam uma tentativa malsucedida de acessar a rede. |
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Desativada | Edite esse bloco de construção para incluir todos os eventos que indicam tentativas falhas de acessar a rede usando uma conta desativada. |
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Expirada | Edite esse bloco de construção para incluir todos os eventos que indicam tentativas falhas de acessar a rede usando uma conta expirada. |
| Bloco de construção | BB:CategoryDefinition: Países/regiões sem acesso remoto | Edite esse bloco de construção para incluir qualquer local geográfico que normalmente não tenha permissão de acesso remoto à empresa. Depois de configurada, é possível ativar a regra Anomalia: Acesso remoto a partir de País/Região estrangeira. |
| Bloco de construção | BB:CategoryDefinition: Acesso ao Banco de Dados Negado | Identifica eventos de banco de dados considerados acesso negado. |
| Bloco de construção | BB:CategoryDefinition: Eventos de Ataque DDoS | Edite este bloco de construção para incluir todas as categorias de evento que você deseja categorizar como um ataque DDoS. |
| Bloco de construção | BB:CategoryDefinition: Explorar Backdoors e Trojans | Edite este bloco de construção para incluir todos os eventos que geralmente são explorações, backdoor ou troia. |
| Bloco de construção | BB:CategoryDefinition: Aceitação de Firewall ou ACL | Edite esse bloco de construção para incluir todos os eventos que indicam acesso ao firewall. |
| Bloco de construção | BB:CategoryDefinition: Negações do Firewall ou ACL | Edite este bloco de construção para incluir todos os eventos que indicam tentativas malsucedidas de acessar o firewall. |
| Bloco de construção | BB:CategoryDefinition: Criadores de Log de Chave | Edite este bloco de construção para incluir todos os eventos associados ao monitoramento de atividades do usuário através de um criador de logs de chave. |
| Bloco de construção | BB:CategoryDefinition: Violação de Política de Correio | Edite este bloco de construção para incluir tudo que você considera uma violação de política baseada em e-mail. Um exemplo pode ser o tráfego de saída na porta 25 não originado de um servidor de correio. |
| Bloco de construção | BB:CategoryDefinition: Incômodos de Malware | Edite este bloco de construção para incluir categorias de evento geralmente associadas a infecções de spyware. |
| Bloco de construção | BB:CategoryDefinition: Ataque de DoS de Rede | Edite este bloco de construção para incluir todas as categorias de evento que você deseja categorizar como um ataque de DoS. |
| Bloco de construção | BB:CategoryDefinition: Salto pós-DMZ | Identifica ações que podem ser vistas dentro de um cenário de salto de DMZ. É usado principalmente pelas regras Anomalia: DMZ Jumping e Anomalia: DMZ Reverse Tunnel. |
| Bloco de construção | BB:CategoryDefinition: Atividade da Conta Pós-exploração | Identifica eventos que geralmente acontecem após uma exploração. |
| Bloco de construção | BB:CategoryDefinition: Salto pré-DMZ | Identifica ações que podem ser vistas dentro de um cenário de salto de DMZ. É usado principalmente pelas regras Anomalia: DMZ Jumping e Anomalia: DMZ Reverse Tunnel. |
| Bloco de construção | BB:CategoryDefinition: Reconciliar categorias de eventos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento. |
| Bloco de construção | BB:CategoryDefinition: Reconciliar eventos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento. |
| Bloco de construção | BB:CategoryDefinition: Reconciliar fluxos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:CategoryDefinition: DoS de Serviço | Edite este bloco de construção para definir eventos de ataque Denial of Service (DoS). |
| Bloco de construção | BB:CategoryDefinition: Comunicação bem-sucedida | Define fluxos que são típicos de uma comunicação bem-sucedida. Se você estiver muito desconfiado, pode querer diminuir o coeficiente para 64 bytes/pacote, porém, isso causará uma série de positivos falsos e pode requerer ajuste adicional utilizando sinalizadores e outras propriedades. |
| Bloco de construção | BB:CategoryDefinition: Vírus Detectado | Esta regra define todos os eventos de detecção de vírus. |
| Bloco de construção | BB:CategoryDefinition: Eventos de worm | Edite esse bloco de construção para definir eventos worm. Esse bloco de construção aplica-se apenas a eventos não detectados por uma regra customizada. |
| Bloco de construção | BB:Database: Negação de Ação do Sistema | Edite este bloco de construção para incluir quaisquer eventos que indiquem ações malsucedidas dentro de um banco de dados |
| Bloco de construção | BB:DeviceDefinition: Banco de Dados | Esta regra define todos os bancos de dados no sistema. |
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Esta regra define todos os firewalls, roteadores e comutadores no sistema. |
| Bloco de construção | BB:FalseNegative: Eventos que Indicam Compromisso de Sucesso | Define eventos que indicam um compromisso bem sucedido. Esses eventos geralmente possuem 100% de exatidão. |
| Bloco de construção | BB:HostDefinition: Servidores de banco de dados | Edite esse bloco de construção para definir servidores de banco de dados típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:FalsePositive: Categorias de falso positivo do servidor de banco de dados e BB:FalsePositive: Eventos de falso positivo do servidor de banco de dados. |
| Bloco de construção | BB:HostReference: Servidores de banco de dados | |
| Bloco de construção | BB:NetworkDefinition: Endereço Darknet | Edite este bloco de construção para incluir redes que devem ser incluídas em uma lista Darknet. |
| Bloco de construção | BB:NetworkDefinition: Endereços DMZ | Edite este bloco de construção para incluir endereços que estão incluídos na DMZ |
| Bloco de construção | BB:NetworkDefinition: Honeypot como endereços | Edite esse bloco de construção substituindo a outra rede por objetos de rede definidos em sua hierarquia de rede, que não estão atualmente em uso em sua rede ou são usados em uma instalação de honeypot ou tarpit. Depois de terem sido definidas, deve-se ativar a regra Anomalia: Acesso ao honeypot potencial. Você também deve incluir uma sentinela de segurança/política para esses objetos de rede para gerar eventos com base na tentativa de acesso |
| Bloco de construção | BB:NetworkDefinition: Espaço IP Indefinido | Edite este bloco de construção para incluir áreas de sua rede que não contenham hosts válidos. |
| Bloco de construção | BB:NetworkDefinition: Endereços da Lista de Observação | Edite este bloco de construção para incluir redes que devem ser incluídas em uma lista de observação. |
| Bloco de construção | BB:PortDefinition: Portas Worm comuns | Define as portas que normalmente não são vistas no tráfego de local para remoto. |
| Bloco de construção | BB:PortDefinition: Portas do banco de dados | Edite esse bloco de construção para incluir todas as portas de banco de dados comuns. |
| Bloco de construção | BB:Ameaças: Varreduras de portas: Varreduras do host | Identifica um possível reconhecimento por fluxos. |
| Bloco de construção | BB:Ameaças: Varreduras de portas: Varredura de porta UDP | Identifica varreduras de portas baseadas em UDP. |
| Bloco de construção | BB:Ameaças: Violações de acesso remoto: Acesso à área de trabalho remota a partir de hosts remotos | Identifica fluxos em que um aplicativo de área de trabalho remoto está sendo acessado de um host remoto |
| Bloco de construção | BB:Ameaças: Violações de acesso remoto: Atividade do VNC a partir de hosts remotos | Identifica fluxos em que um serviço VNC está sendo acessado de um host remoto. |
| Bloco de construção | BB:Ameaças: Varrendo: Fluxos altos responsivos vazios | Este bloco de construção detecta uma possível atividade de reconhecimento na qual a contagem de pacotes de origem é maior que 100.000. |
| Bloco de construção | BB:Ameaças: Varrendo: Fluxos baixos responsivos vazios | Este bloco de construção detecta uma possível atividade de reconhecimento na qual a contagem de pacotes de origem é maior que 500. |
| Bloco de construção | BB:Ameaças: Varrendo: Fluxos médios responsivos vazios | Este bloco de construção detecta uma possível atividade de reconhecimento na qual a contagem de pacotes de origem é maior que 5.000. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura alta do ICMP | Identifica um alto nível de reconhecimento do ICMP. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura baixa do ICMP | Identifica um baixo nível de reconhecimento do ICMP. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura média do ICMP | Identifica um nível médio de reconhecimento do ICMP. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura potencial | Identifica um possível reconhecimento por fluxos. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura alta | Identifica um alto nível de potencial reconhecimento. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura baixa | Identifica um baixo nível de potencial reconhecimento. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura média | Identifica um nível médio de potencial reconhecimento. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Grandes pacotes do DNS | Identifica fluxos com pacotes do DNS grandes de forma anormal |
| Bloco de construção | BB:Ameaças: Uso Uso do protocolo IP suspeito: Grandes pacotes do ICMP | Identifica fluxos com pacotes do ICMP grandes de forma anormal |
| Regra | 100% de Eventos Precisos | Cria uma ofensa quando um evento corresponde 100% a uma assinatura precisa para compromissos de sucesso. |
| Regra | Anomalia: Salto da DMZ | Essa regra irá disparar quando as conexões parecerem estar vinculadas através da DMZ da rede. |
| Regra | Anomalia: excesso de aceitações do firewall de diversas origens para um destino único | Relata aceitações de Firewall excessivas para o mesmo destino de pelo menos 100 endereços IP de origem exclusiva em 5 minutos. |
| Regra | Destino vulnerável à exploração detectada | Detecta um ataque em relação a um destino local vulnerável, onde o host é conhecido por existir, e o host é vulnerável ao ataque. |
| Regra | Exploração Seguida de Atividade Suspeita do Host | Relata uma atividade do tipo ataque ou exploração de um endereço IP de origem, seguida de uma atividade da conta suspeita no mesmo host de destino dentro de 15 minutos do evento original. |
| Regra | Explorar: Destino vulnerável à exploração detectada em uma porta diferente | Relata um ataque contra um host de destino local vulnerável onde sabe-se que o host existe e o host é vulnerável ao ataque em uma porta diferente. |
| Regra | Exploração: Explorações Seguidas de Aceitações de Firewall | Detecta quando uma exploração ou eventos de ataque são seguidos de eventos de aceitação de firewall, o que pode indicar um ataque de sucesso. |
| Regra | Exploração/Eventos de Malware em Vários Destinos | Relata um endereço IP de origem gerando diversas explorações (pelo menos 5) ou eventos de software malicioso (malware) nos últimos 5 minutos. Esses eventos não estão voltados aos hosts que são vulneráveis e podem indicar positivos falsos sendo gerados de um dispositivo. |
| Regra | Limpeza de Malware ou Vírus com Falha | O sistema detectou um vírus e falhou ao limpar ou remoto, |
| Regra | Origem de Vários Vetores de Ataque | Detecta quando um host de origem tenta vários vetores de ataque, o que pode indicar que o host de origem está direcionado especificamente para um ativo. |
| Regra | Remoto: Possível Tunelamento | Detecta possível tunelamento, que pode indicar um desvio de política, ou um sistema infectado. |
| Regra | Remoto: Remote Desktop Access da Internet | Detecta o Microsoft Remote Desktop Protocol da Internet para um host local. A maioria das empresas considera isso uma violação da política corporativa. Se esta é a atividade normal em sua rede, você deve desativar essa regra. |
| Regra | Remoto: Acesso VNC da Internet para um Host Local | Detecta um VNC (um aplicativo de acesso remoto ao desktop) da Internet para um host local. Muitas empresas consideram isso um problema de política que deve ser tratado. Se esta atividade é normal em sua rede, desative essa regra. |
| Regra | Origem Vulnerável a qualquer Exploração | Relata um ataque de um host local onde a origem possui pelo menos uma vulnerabilidade. É possível que a origem tenha sido destinada em uma ofensa anterior. |
| Regra | Origem Vulnerável a esta Exploração | Relata um ataque de um host local onde o host de origem está vulnerável ao ataque que está sendo utilizado. É possível que o host de origem tenha sido o destino de um delito anterior. |
- Aceitações Excessivas de Firewall de Várias Origens para um Único Destino
- Salto da DMZ
- Destino Vulnerável à Exploração Detectada
- Origem Vulnerável a qualquer Exploração
- Origem Vulnerável a esta Exploração
- Exploração/Eventos de Malware em Vários Destinos
- Exploração Seguida de Atividade Suspeita do Host
- Destino Vulnerável à Exploração Detectada em uma Porta Diferente
- 100% de Eventos Precisos
- Origem de Vários Vetores de Ataque
- Acesso Remoto ao Desktop a partir da Internet
- Explorações Seguidas de Aceitações de Firewall
- Remoto: Acesso VNC da Internet para um Host Local
- Limpeza de Malware ou Vírus com Falha
- Remoto: Possível Tunelamento
- BB:Database: Negação de Ação do Sistema
- BB:HostDefinition: Servidores de banco de dados
- BB:HostReference: Servidores de banco de dados
- BB:PortDefinition: Portas do banco de dados
- BB:PortDefinition: Portas Worm comuns
- BB:FalseNegative: Eventos que Indicam Compromisso de Sucesso
- BB:DeviceDefinition: Banco de Dados
- BB:DeviceDefinition: FW/Roteador/Comutador
- BB:Threats: Varredura: Varredura Média
- BB:Threats: Violações de Acesso Remoto: Acesso Remoto ao Desktop a partir de Hosts Remotos
- BB:Threats: Varredura: Varredura Lenta de ICMP
- BB:Threats: Varredura: Varredura Alta de ICMP
- BB:Threats: Varredura: Varredura Lenta
- BB:Threats: Varredura: Varredura Média de ICMP
- BB:Threats: Violações de Acesso Remoto: Atividade de VNC a partir de Hosts Remotos
- BB:Threats: Uso de Protocolo IP Suspeito: Pacotes ICMP Grandes
- BB:Threats: Varredura: Fluxos Altos Responsivos Vazios
- BB:Threats: Varredura: Varredura Alta
- BB:Threats: Varredura: Fluxos Lentos Responsivos Vazios
- BB:Threats: Varredura: Fluxos Médios Responsivos Vazios
- BB:Threats: Varreduras de Porta: Varredura de Porta UDP
- BB:Threats: Varreduras de Porta: Varreduras de Host
- BB:Threats: Uso de Protocolo IP Suspeito: Pacotes DNS Grandes
- BB:Threats: Varredura: Varredura Potencial
- BB:CategoryDefinition: Atividade da Conta Pós-exploração
- BB:CategoryDefinition: Fluxos Recon.
- BB:CategoryDefinition: Comunicação bem-sucedida
- BB:CategoryDefinition: Negações do Firewall ou ACL
- BB:CategoryDefinition: Eventos Recon.
- BB:CategoryDefinition: Violação de Política de Correio
- BB:CategoryDefinition: DoS de Serviço
- BB:CategoryDefinition: Eventos Worm
- BB:CategoryDefinition: Vírus Detectado
- BB:CategoryDefinition: Autenticação para Conta Expirada
- BB:CategoryDefinition: Países/Regiões sem Acesso Remoto
- BB:CategoryDefinition: Salto pré-DMZ
- BB:CategoryDefinition: Autenticação para Conta Desativada
- BB:CategoryDefinition: Ataque de DoS de Rede
- BB:CategoryDefinition: Categorias de Evento Recon.
- BB:CategoryDefinition: Aceitação de Firewall ou ACL
- BB:CategoryDefinition: Explorações, Backdoors e Troias
- BB:BehaviorDefinition: Atividades de Compromisso
- BB:CategoryDefinition: Salto pós-DMZ
- BB:CategoryDefinition: Falhas de Autenticação
- BB:CategoryDefinition: Criadores de Logs de Chaves
- BB:CategoryDefinition: Incômodos de Malware
- BB:CategoryDefinition: Eventos de Ataque DDoS
- BB:CategoryDefinition: Acesso ao Banco de Dados Negado
- BB:NetworkDefinition: Endereços da DMZNota: Este bloco de construção referencia a hierarquia de rede padrão. Atualize este bloco de construção se você estiver usando uma hierarquia de rede diferente.
- BB:NetworkDefinition: Honeypot como endereços
- BB:NetworkDefinition: Espaço IP Indefinido
- BB:NetworkDefinition: Endereços Darknet
- BB:NetworkDefinition: Endereços da Lista de Observação