QRadar Network Insights Extensão de Conteúdo

O IBM QRadar Network Insights Content Extension fornece mais QRadar® regras, relatórios, pesquisas e propriedades personalizadas para os administradores. Esse conteúdo do mecanismo de regras customizado foca em fornecer análises, alertas e relatórios para implementações do QRadar Network Insights .

O QRadar Network Insights fornece visibilidade detalhada sobre as comunicações de rede em uma base em tempo real para estender os recursos de sua implementação do IBM QRadar SIEM Por meio da análise profunda de atividade de rede e conteúdo do aplicativo, o QRadar Network Insights capacita o QRadar Sense Analytics a detectar atividade de ameaça que, de outra forma, passaria despercebida.

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM QRadar Network Insights Extensão de conteúdo 1.6.0

A tabela a seguir mostra as regras que são novas no IBM QRadar Network Insights Content Extension 1.6.0.

Tabela 1. Regras no IBM QRadar Network Insights Content Extension 1.6.0
Nome Descrição Versão mínima do QRadar necessária
QNI: Acesso a serviço protegido de maneira inadequada - Falha de verificação de handshake para BitTorrent Aciona quando uma verificação de handshake com falha é observada em comunicações de rede BitTorrent. 7.4.0
QNI: Acesso a serviço protegido de maneira inadequada - Certificado possui nome alternativo de assunto não DNS Aciona quando um certificado X509 é observado com um nome alternativo de assunto que não é uma entrada DNS. Esta conexão pode ser considerada suspeita. 7.3.3
QNI: Acesso a serviço protegido de maneira inadequada - Versão TLS descontinuada em uso Acionadores quando o IBM QRadar Network Insights detecta uma sessão TLS descontinuada. De acordo com a publicação NIST 800-52 e o aconselhamento da ACSC em implementar TLS, o TLS 1.0 e 1.1 não são recomendados. 7.3.3
QNI: Acesso a serviço protegido de maneira inadequada - Kerberos descontinuado ou conjunto de cifras desconhecido em uso Aciona quando um conjunto de cifras descontinuado ou desconhecido está sendo usado para as comunicações Kerberos. 7.4.3
QNI: Acesso a serviço protegido de maneira inadequada - Sessão RDP sem criptografia Aciona quando as sessões RDP sem criptografia são usadas. Para obter informações adicionais, consulte Aconselhamentos de ACSC(https://www.cyber.gov.au/acsc/view-all-content/publications/using-remote-desktop-clients). 7.3.3
QNI: Acesso a serviço protegido de maneira inadequada - Sessão RDP sem segurança aprimorada de RDP Aciona quando qualquer nível de criptografia RDP é detectado o que pode significar que a segurança aprimorada de RDP não está sendo usada e a conexão pode ser insegura. Os resultados da segurança aprimorada de RDP em outros protocolos de rede aparecem em sua rede em vez de RDP. Por exemplo, sessões de RDP criptografadas por TLS aparecerão como TLS. 7.3.3
QNI: Acesso a serviço protegido de maneira inadequada - Algoritmo de assinatura não corresponde ao algoritmo de assinatura para ser assinado Aciona quando um certificado X509 é observado com um Algoritmo de Assinatura que não corresponde ao algoritmo de assinatura para ser assinado Esta conexão pode ser considerada suspeita. 7.3.3
QNI: Acesso a serviço protegido de maneira inadequada - SSL em uso Acionadores quando IBM QRadar Network Insights detecta uma sessão SSL. De acordo com a publicação NIST 800-52, todas as versões do SSL não devem ser usadas. Em vez disso, use versões recentes do TLS. 7.3.3
QNI: Acesso a serviço protegido de maneira inadequada - Conjunto de cifras não recomendado de TLS em uso É acionado quando o IBM QRadar Network Insights detecta que uma sessão TLS 1.3 ou TLS 1.2 está usando um conjunto de cifras não recomendado pela publicação NIST 800-52r2.
Nota: O QNI: TLS 1.3 Recomendou Cifras Cifradas e QNI: TLS 1.2 Conjuntos de referência de cifras Recomendadas são pré-preenchidos. Ajuste estes conjuntos de referência com conjunto de cifras relevantes.
7.3.3
QNI: Script integrado detectado Aciona quando um script integrado é detectado dentro de um arquivo observado na rede. Isso pode incluir macros em documentos do Office ou JavaScript embutidos em arquivos PDF. 7.3.3

(Voltar para o topo)

IBM QRadar Network Insights Extensão de conteúdo 1.5.2

IBM QRadar Network Insights Content Extension 1.5.2 suporta QRadar Network Insights 7.3.3 e mais recente.

A tabela a seguir mostra as funções customizadas que são novas ou atualizadas no IBM QRadar Network Insights Content Extension 1.5.2.

Tabela 2. Funções Customizadas no IBM QRadar Network Insights Content Extension 1.5.2
Nome Descrição
get_extensão Extrai a extensão do arquivo de um nome de arquivo inserido.

A tabela a seguir mostra as regras que são atualizadas no IBM QRadar Network Insights Content Extension 1.5.2.

Tabela 3. Regras no IBM QRadar Network Insights Content Extension 1.5.2
Nome Descrição
QNI: acesso a serviço protegido inadequadamente - comprimento de chave pública fraco QRadar Network Insights detectou uma sessão SSL/TLS que usa um certificado que, possui uma contagem de bit de chave pública baixa. Um servidor que forneça um Certificado de Chave Pública fraco (menos de 1024 bits) pode representar um risco de segurança. De acordo com a publicação NIST 800-57, o comprimento mínimo de chave recomendado a partir de 2011 é de 2048 bits para RSA e de 256 bits para ECDSA.
QNI: Extensão do arquivo/Verificação de tipo de conteúdo Extrai a extensão do arquivo a partir do nome do arquivo, e o compara com o tipo de conteúdo como determinado por QRadar Network Insights.

Esses dois valores são comparados com o conjunto de referência QNI-Extension-ContentType-Pairs, que mantém os pares de extensão do arquivo/ tipo de conteúdo esperados.

Essa regra é acionada nos casos nos quais uma extensão do arquivo está em desacordo com o Content-Type geralmente aceito para a extensão e a extensão não está contida no conjunto de referência QNI: exclusões de verificação de extensão do arquivo/tipo de conteúdo.

Como exemplo, a extensão do arquivo .txt é geralmente associada a text/plain e não a application/x-dosexec.

Por padrão, essa regra não cria ofensas. Para visualizar os fluxos que acionaram essa regra, use a procura Incompatibilidades de extensão do arquivo/tipo de conteúdo.

A tabela a seguir mostra o mapa de referência de conjuntos que é atualizado no IBM QRadar Network Insights Content Extension 1.5.2.

Tabela 4. Mapa de referência de conjuntos no IBM QRadar Network Insights Content Extension 1.5.2
Nome Descrição
QNI-Extension-ContentType-Pairs Mapeia uma extensão do arquivo para seus tipos de conteúdo esperados. Este mapa de referência de conjuntos vem preenchido com 1234 entradas. Por exemplo, .html mapeia para text/html.

(Voltar para o topo)

IBM QRadar Network Insights Extensão de conteúdo 1.5.1

O IBM QRadar Network Insights Content Extension 1.5.1 suporta QRadar Network Insights 7.3.2 e mais recente.

A tabela a seguir mostra a regra que foi atualizada no IBM QRadar Network InsightsContent Extension 1.5.1.

Tabela 5. Regras e blocos de construção no IBM QRadar Network Insights Content Extension 1.5.1
Nome Descrição
QNI: Extensão do arquivo/Verificação de tipo de conteúdo Extrai a extensão do arquivo a partir do nome do arquivo, e o compara com o tipo de conteúdo como determinado por QRadar Network Insights. Esses dois valores são então comparados contra o conjunto de referência QNI-Extension-ContentType-Pairs que detém pares de extensões de arquivo esperadas / tipo de conteúdo.

É acionado em casos nos quais uma extensão do arquivo está em desacordo com o tipo de conteúdo geralmente aceito para a extensão e a extensão não está contida no conjunto de referência QNI: exclusões de verificação de extensão do arquivo/tipo de conteúdo.

Por exemplo, a extensão do arquivo .txt é geralmente associada a text/plain, e não a application/x-dosexec.

Por padrão, essa regra não cria ofensas. Para visualizar os fluxos que acionaram essa regra, use a procura Incompatibilidades de extensão do arquivo/tipo de conteúdo.

A tabela a seguir mostra os dados de referência que são novos ou atualizados no IBM QRadar Network Insights Content Extension 1.5.1.

Tabela 6. Dados de referência no IBM QRadar Network Insights Content Extension 1.5.1
Tipo Nome Descrição
Conjunto de Referências QNI: exclusões de verificação de extensão do arquivo/tipo de conteúdo Contém extensões do arquivo para excluir da verificação pela regra QNI: verificação de extensão do arquivo/tipo de conteúdo. Esse conjunto de referência é pré-preenchido com quatro entradas.
Mapa de Referência de Conjuntos QNI-Extension-ContentType-Pairs Mapeia uma extensão do arquivo para seus tipos de conteúdo esperados. Esse mapa de referência de conjuntos é pré-preenchido com 1.227 entradas. Por exemplo, .html mapeia para text/html.

A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM QRadar Network Insights Content Extension 1.5.1.

Tabela 7. Procuras salvas no IBM QRadar Network Insights Content Extension 1.5.1
Nome Descrição
Incompatibilidades de extensão do arquivo/tipo de conteúdo Mostra os fluxos que acionaram a regra QNI: verificação de extensão do arquivo/tipo de conteúdo.

(Voltar para o topo)

IBM QRadar Network Insights Extensão de conteúdo 1.5.0

O IBM QRadar Network Insights Content Extension 1.5.0 suporta QRadar Network Insights 7.3.2 e mais recente.

A tabela a seguir mostra as propriedades customizadas que são removidas no IBM QRadar Network Insights Content Extension 1.5.0.

Tabela 8. Propriedades customizadas removidas no IBM QRadar Network Insights Extensão de conteúdo 1.5.0
Nome Otimizada Grupo de Captura Expressão regular
Código de rejeição Sim 1 Reject=([0-9]+)
Usuário destinatário Sim 1 <([A-Za-z0-9._+\-]+@[A-Za-z0-9.\-]+)>

A função AQL customizada isReply é removida no IBM QRadar Network Insights Content Extension 1.5.0.

A tabela a seguir mostra as regras e os blocos de construção no IBM QRadar Network Insights Content Extension 1.5.0.

Tabela 9. Regras e blocos de construção no IBM QRadar Network Insights Extensão de conteúdo 1.5.0
Tipo Nome Descrição
Regra QNI: acesso a serviço protegido inadequadamente - Certificado expirado Removidos elementos UBA da resposta de regra, limitador de resposta modificado e atualizada a categoria de baixo nível do evento despachado.
Regra QNI: acesso a serviço protegido inadequadamente - Certificado inválido Removidos elementos UBA da resposta de regra, limitador de resposta modificado e atualizada a categoria de baixo nível do evento despachado.
Regra QNI: acesso a serviço protegido inadequadamente - Certificado autoassinado Removidos elementos UBA da resposta de regra, limitador de resposta modificado e atualizada a categoria de baixo nível do evento despachado.
Regra QNI: acesso a serviço protegido inadequadamente - comprimento de chave pública fraco Removidos elementos UBA da resposta de regra, limitador de resposta modificado e atualizada a categoria de baixo nível do evento despachado.
Regra QNI: conteúdo confidencial sendo transferido para geografia estrangeira Os elementos da UBA foram removidos da resposta de regra e o limitador de resposta foi mudado.
Regra QNI: Extensão do arquivo/Verificação de tipo de conteúdo Esta regra será acionada em casos nos quais uma extensão do arquivo estiver em desacordo com o tipo de conteúdo geralmente aceito para a extensão.
Regra QNI: hash de arquivo observado associado a ameaça de malware Os elementos da UBA foram removidos da resposta de regra e o limitador de resposta foi mudado.
Regra QNI: mesma ameaça detectada em múltiplos hosts Renomeado de QNI: hash de arquivo observado visto em múltiplos hosts, os elementos da UBA foram removidos da resposta de regra e o limitador de resposta foi mudado.
Regra QNI: acesso de website suspeito Esta regra aciona quando um website categorizado como suspeito pelo X-Force ® é acessado.

A tabela a seguir mostra as regras e os blocos de construção removidos no IBM QRadar Network Insights Content Extension 1.5.0.

Tabela 10. Regras e blocos de construção removidos no IBM QRadar Network Insights Extensão de conteúdo 1.5.0
Tipo Nome
Bloco de construção BB:CategoryDefinition: Destinatário de E-mail Rejeitado
Bloco de construção BB:HostDefinition: servidores de e-mail
Bloco de construção BB:HostReference: servidores de e-mail
Bloco de construção BB:PortDefinition: portas de e-mail
Regra UBA: QNI - conteúdo confidencial sendo transferido para geografia estrangeira
Regra UBA: QNI - Potencial assunto de spam/phishing detectado de múltiplos servidores de envio
Regra UBA: QNI - potencial tentativa de spam/phishing detectada no destinatário de e-mail rejeitado
Regra UBA: QNI - hash de arquivo observado associado com ameaça de malware
Regra UBA: QNI - Observado hash de arquivo visto em múltiplos hosts
Regra UBA: QNI - acesso a serviço incorretamente assegurado - Comprimento de chave pública fraca
Regra UBA: QNI - Acesso a serviço incorretamente assegurado - certificado inválido
Regra UBA : QNI - acesso a serviço incorretamente assegurado - Certificado expirado
Regra UBA: QNI - Acesso a serviço incorretamente assegurado - Certificado autoassinado
Regra QNI: potencial assunto de spam/phishing detectado por meio de múltiplos servidores de envio
Regra QNI: potencial tentativa de spam/phishing detectada no destinatário de e-mail rejeitado

A tabela a seguir mostra os relatórios no IBM QRadar Network Insights Content Extension 1.5.0.

Tabela 11. Relatórios no IBM QRadar Network Insights Content Extension 1.5.0
Nome do Relatório Nome da Procura e Dependências
Transferência de arquivos do usuário por tipo de conteúdo (QNI) Limites de tamanho do contêiner atualizados.
Principais assuntos de phishing por usuário destinatário (QNI) Descrição incluída.
Principais malwares por ativo (QNI) Descrição incluída e executar relatório agora não verificado no assistente.
Distribuição de malware por arquivo (QNI) Descrição incluída e executar relatório agora não verificado no assistente.

A tabela a seguir mostra os dados de referência no IBM QRadar Network Insights Content Extension 1.5.0.

Tabela 12. Dados de referência no IBM QRadar Network Insights Content Extension 1.5.0
Tipo Nome Descrição
Mapa de Referência de Conjuntos QNI-Extension-ContentType-Pairs Mapeia uma extensão do arquivo para seus tipos de conteúdo esperados. Este mapa de referência de conjuntos vem pré-preenchido com 1218 entradas. (ex. .html mapeia para text/html.)

A tabela a seguir mostra as procuras salvas no IBM QRadar Network Insights Content Extension 1.5.0.

Tabela 13. Procuras Salvas no IBM QRadar Network Insights Content Extension 1.5.0
Nome Descrição
Transferência de arquivos por usuário de origem e tipo de conteúdo Parâmetros de procura atualizados (verificação do código de resposta de HTTP removida), compartilhados por padrão.
Transferência de arquivos por IP de origem e tipo de conteúdo Parâmetros de procura atualizados (verificação do código de resposta de HTTP e de usuário de origem removida), compartilhados por padrão.
Malware por ativo fonte ou hash Número do limite de resultado atualizado.
Resumo de tráfego de malware Nome de regra atualizado referenciado na consulta de AQL,
Assuntos de phishing por usuário destinatário Agora, a procura é compartilhada por padrão.

(Voltar para o topo)

IBM QRadar Network Insights Extensão de conteúdo 1.4.0

O IBM QRadar Network Insights Content Extension 1.4.0 suporta QRadar Network Insights 7.3.0 e mais recente.

A tabela a seguir mostra as funções AQL customizadas em IBM QRadar Network Insights Content Extension 1.4.0.

Tabela 14. Funções AQL customizadas no IBM QRadar Network Insights Content Extension 1.4.0
Nome Descrição
isReply Retorna true ou false se uma sequência for a linha de assunto típica de um e-mail de resposta.

A tabela a seguir mostra as regras e os blocos de construção no IBM QRadar Network Insights Content Extension 1.4.0.

Tabela 15. Regras e blocos de construção noIBM QRadar Network Insights Extensão de conteúdo 1.4.0
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: países/regiões com acesso restrito Edite esse bloco de construção para incluir qualquer local geográfico que geralmente não teria permissão para acessar a empresa. Depois de configurado, será possível ativar a regra Conteúdo confidencial sendo transferido para geografia estrangeira.
Regra QNI: conteúdo confidencial sendo transferido para geografia estrangeira Detecta conteúdo confidencial sendo transferido para países/regiões com acesso restrito.
Regra UBA: QNI - conteúdo confidencial sendo transferido para geografia estrangeira Envia eventos para o aplicativo User Behavior Analytics baseado na regra QNI: Conteúdo Confidencial Sendo Transferido para Geografia Estrangeira com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário.
Regra UBA: QNI - Potencial assunto de spam/phishing detectado de múltiplos servidores de envio Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: Potencial Assunto de Spam/Phishing Detectado em vários Servidores de Envio com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário.
Regra UBA: QNI - potencial tentativa de spam/phishing detectada no destinatário de e-mail rejeitado Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: Potencial Tentativa de Spam/Phishing Detectada no Destinatário de E-mail Rejeitado com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário.
Regra UBA: QNI - hash de arquivo observado associado com ameaça de malware Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: hash de arquivo observado associado com ameaça de malware, com um senseValue designado a ela. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário.
Regra UBA: QNI - Observado hash de arquivo visto em múltiplos hosts Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: observado hash de arquivo visto em múltiplos hosts, com um senseValue designado a ela. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário.
Regra UBA: QNI - acesso a serviço incorretamente assegurado - Comprimento de chave pública fraca Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: Acesso a Serviço Assegurado Incorretamente - Comprimento de Chave Pública Fraca com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário.
Regra UBA: QNI - Acesso a serviço incorretamente assegurado - certificado inválido Envia eventos para o aplicativo User Behaviour Analytics com base na regra QNI: Acesso a Serviço Assegurado Incorretamente - Certificado Inválido com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário.
Regra UBA : QNI - acesso a serviço incorretamente assegurado - Certificado expirado Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: Acesso ao Serviço Assegurado Incorretamente - Certificado Expirado com senseValue designado a ela. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário.
Regra UBA: QNI - Acesso a serviço incorretamente assegurado - Certificado autoassinado Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: Acesso a Serviço Assegurado Incorretamente -Certificado Autoassinado com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário.

A tabela a seguir mostra o relatório no IBM QRadar Network Insights Content Extension 1.4.0.

Tabela 16. Relatório no IBM QRadar Network Insights Content Extension 1.4.0
Nome do Relatório Nome da Procura e Dependências
Transferência de arquivos do usuário por tipo de conteúdo Procuras Salvas: Transferência de Arquivos por Usuário de Origem e Tipo de Conteúdo e Transferência de Arquivos por IP de Origem e Tipo de Conteúdo

A tabela a seguir mostra as procuras salvas no IBM QRadar Network Insights Content Extension 1.4.0.

Tabela 17. Procuras salvas no IBM QRadar Network Insights Content Extension 1.4.0
Nome Descrição
Transferência de arquivos por usuário de origem e tipo de conteúdo Esta procura de log e atividade de rede corresponde transferências de arquivos por seus usuários de origem e tipos de conteúdo.
Transferência de arquivos por IP de origem e tipo de conteúdo Esta procura de atividade de log e de rede corresponde às transferências de arquivos por seus endereços IP de origem e tipos de conteúdo.

(Voltar para o topo)

IBM QRadar Network Insights Extensão de conteúdo 1.3.0

O IBM QRadar Network Insights Content Extension 1.3.0 inclui suporte para QRadar versões 7.3.0 e mais recente. As propriedades customizadas das versões anteriores do QRadar Network Insights Content Extension agora são campos de valor de comprimento (TLV). As mudanças nesses campos TLV vêm de atualizações do QRadar , não da atualização dessa extensão de conteúdo

(Voltar para o topo)

IBM QRadar Network Insights Extensão de Conteúdo 1.2.2

O IBM QRadar Network Insights Content Extension 1.2.2 fornece melhorias de desempenho configurando as categorias padrão para propriedades de fluxo customizadas existentes. É possível alterar as categorias para as propriedades customizadas para adequá-las às suas necessidades.

A tabela a seguir mostra as propriedades customizadas no IBM QRadar Network Insights Content Extension 1.2.2.

Tabela 18. Categorias padrão para propriedades customizadas
Propriedade customizada Categorias Padrão
Assunto do conteúdo
  • HTTP em andamento
  • Correio
Hash de Arquivo
  • Chat
  • Transferência de Dados
  • HTTP em andamento
  • Correio
  • Web
Nome do Arquivo
  • Chat
  • Transferência de Dados
  • HTTP em andamento
  • Correio
  • Web
Usuários destinatários
  • Chat
  • HTTP em andamento
  • Correio
  • Acesso Remoto
  • VoIP
Ação
  • HTTP em andamento
  • Desconhecido
Content_Type
  • Chat
  • Transferência de Dados
  • HTTP em andamento
  • Correio
  • Web
DNS_Query_String
  • Transferência de Dados
  • Div.
DNS_Response_String
  • Transferência de Dados
  • Div.
File_Size
  • Chat
  • Transferência de Dados
  • HTTP em andamento
  • Correio
  • Web
Host HTTP
  • HTTP em andamento
  • Web
Referenciador HTTP
  • HTTP em andamento
  • Web
Código de Resposta HTTP
  • HTTP em andamento
  • Web
HTTP Server
  • HTTP em andamento
  • Web
Agente do usuário de HTTP
  • HTTP em andamento
  • Web
Versão de HTTP
  • HTTP em andamento
  • Web
IP_Dest_Reputation
  • HTTP em andamento
  • Div.
  • Web
Originating_User
  • Chat
  • HTTP em andamento
  • Correio
  • Acesso Remoto
  • VoIP
Senha
  • Transferência de Dados
  • Correio
Request_URL
  • HTTP em andamento
  • Web
SMTP HELO Correio
Search_Arguments
  • HTTP em andamento
  • Web
Suspect_Content
  • HTTP em andamento
  • Sistema Interna
  • Correio
  • Div.
  • VoIP
  • Web
Web_Categories
  • HTTP em andamento
  • Web

(Voltar para o topo)

IBM QRadar Network Insights Extensão de conteúdo 1.2.0

A tabela a seguir mostra as propriedades customizadas no IBM QRadar Network Insights Content Extension 1.2.0.

Tabela 19. Propriedades customizadas no IBM QRadar Network Insights Extensão de conteúdo 1.2.0
Nome Expressão regular
File_Size Atualização da propriedade customizada File_Size para alterar o tipo de campo de alfanumérico para numérico. Esta atualização também otimiza a propriedade customizada para ambas, as cargas úteis de origem e as cargas úteis de destino.

A tabela a seguir mostra as regras no IBM QRadar Network Insights Content Extension 1.2.0.

Tabela 20. Regras em IBM QRadar Network Insights Extensão de conteúdo 1.2.0 ..
Tipo Nome Descrição
Regra Potencial tentativa de spam/phishing detectada no destinatário de e-mail rejeitado Atualizada a ação de regra para selecionar "Assegure-se de que o evento detectado faça parte de uma ofensa". Na 1.1.0, essa caixa de seleção não era selecionada e a 1.2.0 corrige isso para assegurar que as ofensas sejam criadas.
Regra Acesso ao serviço assegurado incorretamente - Certificado inválido Detecta uma sessão SSL/TLS que usa certificados inválidos.
Regra Acesso ao serviço assegurado incorretamente - Comprimento de chave pública fraco Detecta uma sessão SSL/TLS que usa comprimentos de chave pública fracos.
Regra Acesso ao serviço assegurado incorretamente - Certificado expirado Detecta uma sessão SSL/TLS que usa certificados expirados.
Regra Acesso ao serviço assegurado incorretamente - Certificado autoassinado Detecta uma sessão SSL/TLS que usa um certificado autoassinado.

(Voltar para o topo)

IBM QRadar Network Insights Extensão de conteúdo 1.1.0

A tabela a seguir mostra as propriedades customizadas no IBM QRadar Network Insights Content Extension 1.1.0.

Tabela 21. Propriedades customizadas no IBM QRadar Network Insights Extensão de conteúdo 1.2.0
Nome Expressão regular
Assunto do conteúdo IBM\(SUBJECT\)=([^;]+);
Hash de Arquivo IBM\(HTTP_FILES_CKSUM\)=0x([^;]+);
Nome do Arquivo IBM\(CONTENT_FILE_NAME\)=([^;]+);
Reject_Code Múltiplas expressões Regex para Microsoft Exchange, Linux® OS, Solaris OS e Barracuda Spam e Virus Firewall.
Recipient_User Múltiplas expressões Regex para Microsoft Exchange, Linux OS, Solaris OS e Barracuda Spam e Virus Firewall.
Usuários destinatários IBM\(DEST_USER_LIST\)=\(([^)]+)\);
Ação IBM\(APP_ACTION\)=([^;]+);
Content_Type IBM\(HTTP_CONT_TYPE\)=([^;]+);
DNS_Query_String IBM\(DNS_QUERY_SDATA\)=\(([^)]+)\);
DNS_Response_String IBM\(DNS_RESP_SDATA\)=\(([^)]+)\);
File_Size IBM\(HTTP_FILES_SIZE\)=([^;]+);
Host HTTP IBM\(HTTP_HOST\)=([^;]+);
Referenciador HTTP IBM\(HTTP_REFER\)=([^;]+);
Código de Resposta HTTP IBM\(HTTP_RETURN_CODE\)=([^;]+);
HTTP Server IBM\(HTTP_SRV\)=([^;]+);
Agente do usuário de HTTP IBM\(HTTP_UA\)=([A-Za-z0-9\s\-_.,:;()/\\]+);
Versão de HTTP IBM\(HTTP_VRS\)=HTTP/([^;]+);
IP_Dest_Reputation IBM\(IP_DST_REP\)=([^;]+);
Originating_User IBM\(ORIG_USER\)=([^;]+);
Senha IBM\(ACTPASSWD\)=([^;]+);
Request_URL IBM\(REQ_URL\)=([^;]+);
SMTP HELO IBM\(SMTPHELO\)=([^;]+);
Search_Arguments IBM\(HTTP_SEARCH_ARGS\)=([^;]+);
Suspect_Content IBM\(SUSPECT_CONT_LIST\)=\(([^)]+)\);
Web_Categories IBM\(HTTP_CONT_CATEGORY_LIST\)=\(([^)]+)\);

A tabela a seguir mostra as regras e os blocos de construção no IBM QRadar Network Insights Content Extension 1.1.0.

Tabela 22. Blocos de construção e regras no IBM QRadar Network Insights Content Extension 1.1.0
Tipo Nome Descrição
Bloco de construção BB:HostDefinition: servidores de e-mail  
Bloco de construção BB:HostReference: servidores de e-mail  
Bloco de construção BB:PortDefinition: portas de e-mail  
Bloco de construção BB:CategoryDefinition: Destinatário de E-mail Rejeitado  
Regra Observado hash de arquivo associado a ameaça de malware Detecta quando o conteúdo do fluxo inclui um hash de arquivo que corresponde a hashes de arquivo inválidos conhecidos incluídos em um feed de dados do Threat Intelligence. Indica que alguém transferiu malware na rede.
Regra Observado hash de arquivo visto em múltiplos hosts Detecta quando o mesmo hash de arquivo que é associado ao malware é visto sendo transferido para diversos destinos.
Regra Potencial tentativa de spam/phishing detectada no destinatário de e-mail rejeitado Detecta quando eventos de e-mail rejeitados que são enviados para um endereço de destinatário não existente são vistos no sistema, o que pode indicar uma tentativa de spam ou phishing. Configure o bloco de construção BB:CategoryDefinition: Destinatário de E-mail Rejeitado para incluir QIDs relevantes para sua organização. Ele é preenchido com QIDs para monitoramento: Microsoft Exchange; Linux OS (executando sendmail); Sistema Operacional Solaris Sendmail Logs e Barracuda Spam &amp; Virus Firewall.
Regra Potencial Assunto de Spam/Phishing Detectado de Vários Servidores de Envio Detecta quando diversos servidores de envio enviam o mesmo assunto de e-mail em um intervalo de tempo, o que pode indicar spam ou phishing.

A tabela a seguir mostra as procuras salvas no IBM QRadar Network Insights Content Extension 1.1.0.

Tabela 23. Procuras Salvas no IBM QRadar Network Insights Content Extension 1.1.0
Nome Descrição
Distribuição de malware por arquivo e hash  
Malware por ativo fonte ou hash  
Resumo de tráfego de malware  
Assuntos de phishing por usuário destinatário  

A tabela a seguir mostra os relatórios no IBM QRadar Network Insights Content Extension 1.1.0.

Tabela 24. Relatórios no IBM QRadar Network Insights Content Extension 1.1.0
Nome do Relatório Nome da Procura e Dependências
Principais Assuntos de Phishing por Usuário Destinatário (QNI) - Semanal  
Principais Malwares por Ativo (QNI) - Diário  
Distribuição de Malware por Arquivo (QNI) - Diário  

A tabela a seguir mostra os dados de referência no IBM QRadar Network Insights Content Extension 1.1.0.

Tabela 25. Dados de referência no IBM QRadar Network Insights Content Extension 1.1.0
Tipo Nome Descrição
Conjunto de Referências Hashs de malware SHA  
Conjunto de Referências Hashs de malware MD5  
Conjunto de Referências Assuntos de phishing  
Conjunto de Referências Servidores de Correio  

(Voltar para o topo)