QRadar Network Insights Extensão de Conteúdo
O IBM QRadar Network Insights Content Extension fornece mais QRadar® regras, relatórios, pesquisas e propriedades personalizadas para os administradores. Esse conteúdo do mecanismo de regras customizado foca em fornecer análises, alertas e relatórios para implementações do QRadar Network Insights .
O QRadar Network Insights fornece visibilidade detalhada sobre as comunicações de rede em uma base em tempo real para estender os recursos de sua implementação do IBM QRadar SIEM Por meio da análise profunda de atividade de rede e conteúdo do aplicativo, o QRadar Network Insights capacita o QRadar Sense Analytics a detectar atividade de ameaça que, de outra forma, passaria despercebida.
- IBM QRadar Network Insights Extensão de conteúdo 1.6.0
- IBM QRadar Network Insights Extensão de conteúdo 1.5.2
- IBM QRadar Network Insights Extensão de conteúdo 1.5.1
- IBM QRadar Network Insights Extensão de conteúdo 1.5.0
- IBM QRadar Network Insights Extensão de conteúdo 1.4.0
- IBM QRadar Network Insights Extensão de conteúdo 1.3.0
- IBM QRadar Network Insights Extensão de conteúdo 1.2.2
- IBM QRadar Network Insights Extensão de conteúdo 1.2.0
- IBM QRadar Network Insights Extensão de conteúdo 1.1.0
IBM QRadar Network Insights Extensão de conteúdo 1.6.0
A tabela a seguir mostra as regras que são novas no IBM QRadar Network Insights Content Extension 1.6.0.
| Nome | Descrição | Versão mínima do QRadar necessária |
|---|---|---|
| QNI: Acesso a serviço protegido de maneira inadequada - Falha de verificação de handshake para BitTorrent | Aciona quando uma verificação de handshake com falha é observada em comunicações de rede BitTorrent. | 7.4.0 |
| QNI: Acesso a serviço protegido de maneira inadequada - Certificado possui nome alternativo de assunto não DNS | Aciona quando um certificado X509 é observado com um nome alternativo de assunto que não é uma entrada DNS. Esta conexão pode ser considerada suspeita. | 7.3.3 |
| QNI: Acesso a serviço protegido de maneira inadequada - Versão TLS descontinuada em uso | Acionadores quando o IBM QRadar Network Insights detecta uma sessão TLS descontinuada. De acordo com a publicação NIST 800-52 e o aconselhamento da ACSC em implementar TLS, o TLS 1.0 e 1.1 não são recomendados. | 7.3.3 |
| QNI: Acesso a serviço protegido de maneira inadequada - Kerberos descontinuado ou conjunto de cifras desconhecido em uso | Aciona quando um conjunto de cifras descontinuado ou desconhecido está sendo usado para as comunicações Kerberos. | 7.4.3 |
| QNI: Acesso a serviço protegido de maneira inadequada - Sessão RDP sem criptografia | Aciona quando as sessões RDP sem criptografia são usadas. Para obter informações adicionais, consulte Aconselhamentos de ACSC(https://www.cyber.gov.au/acsc/view-all-content/publications/using-remote-desktop-clients). | 7.3.3 |
| QNI: Acesso a serviço protegido de maneira inadequada - Sessão RDP sem segurança aprimorada de RDP | Aciona quando qualquer nível de criptografia RDP é detectado o que pode significar que a segurança aprimorada de RDP não está sendo usada e a conexão pode ser insegura. Os resultados da segurança aprimorada de RDP em outros protocolos de rede aparecem em sua rede em vez de RDP. Por exemplo, sessões de RDP criptografadas por TLS aparecerão como TLS. | 7.3.3 |
| QNI: Acesso a serviço protegido de maneira inadequada - Algoritmo de assinatura não corresponde ao algoritmo de assinatura para ser assinado | Aciona quando um certificado X509 é observado com um Algoritmo de Assinatura que não corresponde ao algoritmo de assinatura para ser assinado Esta conexão pode ser considerada suspeita. | 7.3.3 |
| QNI: Acesso a serviço protegido de maneira inadequada - SSL em uso | Acionadores quando IBM QRadar Network Insights detecta uma sessão SSL. De acordo com a publicação NIST 800-52, todas as versões do SSL não devem ser usadas. Em vez disso, use versões recentes do TLS. | 7.3.3 |
| QNI: Acesso a serviço protegido de maneira inadequada - Conjunto de cifras não recomendado de TLS em uso | É acionado quando o IBM QRadar Network Insights detecta que uma sessão TLS 1.3 ou TLS 1.2 está usando um conjunto de cifras não recomendado pela publicação NIST 800-52r2. Nota: O QNI: TLS 1.3 Recomendou Cifras Cifradas e QNI: TLS 1.2 Conjuntos de referência de cifras Recomendadas são pré-preenchidos. Ajuste estes conjuntos de referência com conjunto de cifras relevantes.
|
7.3.3 |
| QNI: Script integrado detectado | Aciona quando um script integrado é detectado dentro de um arquivo observado na rede. Isso pode incluir macros em documentos do Office ou JavaScript embutidos em arquivos PDF. | 7.3.3 |
IBM QRadar Network Insights Extensão de conteúdo 1.5.2
IBM QRadar Network Insights Content Extension 1.5.2 suporta QRadar Network Insights 7.3.3 e mais recente.
A tabela a seguir mostra as funções customizadas que são novas ou atualizadas no IBM QRadar Network Insights Content Extension 1.5.2.
| Nome | Descrição |
|---|---|
| get_extensão | Extrai a extensão do arquivo de um nome de arquivo inserido. |
A tabela a seguir mostra as regras que são atualizadas no IBM QRadar Network Insights Content Extension 1.5.2.
| Nome | Descrição |
|---|---|
| QNI: acesso a serviço protegido inadequadamente - comprimento de chave pública fraco | QRadar Network Insights detectou uma sessão SSL/TLS que usa um certificado que, possui uma contagem de bit de chave pública baixa. Um servidor que forneça um Certificado de Chave Pública fraco (menos de 1024 bits) pode representar um risco de segurança. De acordo com a publicação NIST 800-57, o comprimento mínimo de chave recomendado a partir de 2011 é de 2048 bits para RSA e de 256 bits para ECDSA. |
| QNI: Extensão do arquivo/Verificação de tipo de conteúdo | Extrai a extensão do arquivo a partir do nome do arquivo, e o compara com o tipo de conteúdo como determinado por QRadar Network Insights. Esses dois valores são comparados com o conjunto de referência QNI-Extension-ContentType-Pairs, que mantém os pares de extensão do arquivo/ tipo de conteúdo esperados. Essa regra é acionada nos casos nos quais uma extensão do arquivo está em desacordo com o Content-Type geralmente aceito para a extensão e a extensão não está contida no conjunto de referência QNI: exclusões de verificação de extensão do arquivo/tipo de conteúdo. Como exemplo, a extensão do arquivo .txt é geralmente associada a Por padrão, essa regra não cria ofensas. Para visualizar os fluxos que acionaram essa regra, use a procura Incompatibilidades de extensão do arquivo/tipo de conteúdo. |
A tabela a seguir mostra o mapa de referência de conjuntos que é atualizado no IBM QRadar Network Insights Content Extension 1.5.2.
| Nome | Descrição |
|---|---|
| QNI-Extension-ContentType-Pairs | Mapeia uma extensão do arquivo para seus tipos de conteúdo esperados. Este mapa de referência de conjuntos vem preenchido com 1234 entradas. Por exemplo, .html mapeia para text/html. |
IBM QRadar Network Insights Extensão de conteúdo 1.5.1
O IBM QRadar Network Insights Content Extension 1.5.1 suporta QRadar Network Insights 7.3.2 e mais recente.
A tabela a seguir mostra a regra que foi atualizada no IBM QRadar Network InsightsContent Extension 1.5.1.
| Nome | Descrição |
|---|---|
| QNI: Extensão do arquivo/Verificação de tipo de conteúdo | Extrai a extensão do arquivo a partir do nome do arquivo, e o compara com o tipo de conteúdo como determinado por QRadar Network Insights. Esses dois valores são então comparados contra o conjunto de referência QNI-Extension-ContentType-Pairs que detém pares de extensões de arquivo esperadas / tipo de conteúdo. É acionado em casos nos quais uma extensão do arquivo está em desacordo com o tipo de conteúdo geralmente aceito para a extensão e a extensão não está contida no conjunto de referência QNI: exclusões de verificação de extensão do arquivo/tipo de conteúdo. Por exemplo, a extensão do arquivo .txt é geralmente associada a Por padrão, essa regra não cria ofensas. Para visualizar os fluxos que acionaram essa regra, use a procura Incompatibilidades de extensão do arquivo/tipo de conteúdo. |
A tabela a seguir mostra os dados de referência que são novos ou atualizados no IBM QRadar Network Insights Content Extension 1.5.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | QNI: exclusões de verificação de extensão do arquivo/tipo de conteúdo | Contém extensões do arquivo para excluir da verificação pela regra QNI: verificação de extensão do arquivo/tipo de conteúdo. Esse conjunto de referência é pré-preenchido com quatro entradas. |
| Mapa de Referência de Conjuntos | QNI-Extension-ContentType-Pairs | Mapeia uma extensão do arquivo para seus tipos de conteúdo esperados. Esse mapa de referência de conjuntos é pré-preenchido com 1.227 entradas. Por exemplo, .html mapeia para text/html. |
A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM QRadar Network Insights Content Extension 1.5.1.
| Nome | Descrição |
|---|---|
| Incompatibilidades de extensão do arquivo/tipo de conteúdo | Mostra os fluxos que acionaram a regra QNI: verificação de extensão do arquivo/tipo de conteúdo. |
IBM QRadar Network Insights Extensão de conteúdo 1.5.0
O IBM QRadar Network Insights Content Extension 1.5.0 suporta QRadar Network Insights 7.3.2 e mais recente.
A tabela a seguir mostra as propriedades customizadas que são removidas no IBM QRadar Network Insights Content Extension 1.5.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Código de rejeição | Sim | 1 | Reject=([0-9]+) |
| Usuário destinatário | Sim | 1 | <([A-Za-z0-9._+\-]+@[A-Za-z0-9.\-]+)> |
A função AQL customizada isReply é removida no IBM QRadar Network Insights Content Extension 1.5.0.
A tabela a seguir mostra as regras e os blocos de construção no IBM QRadar Network Insights Content Extension 1.5.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | QNI: acesso a serviço protegido inadequadamente - Certificado expirado | Removidos elementos UBA da resposta de regra, limitador de resposta modificado e atualizada a categoria de baixo nível do evento despachado. |
| Regra | QNI: acesso a serviço protegido inadequadamente - Certificado inválido | Removidos elementos UBA da resposta de regra, limitador de resposta modificado e atualizada a categoria de baixo nível do evento despachado. |
| Regra | QNI: acesso a serviço protegido inadequadamente - Certificado autoassinado | Removidos elementos UBA da resposta de regra, limitador de resposta modificado e atualizada a categoria de baixo nível do evento despachado. |
| Regra | QNI: acesso a serviço protegido inadequadamente - comprimento de chave pública fraco | Removidos elementos UBA da resposta de regra, limitador de resposta modificado e atualizada a categoria de baixo nível do evento despachado. |
| Regra | QNI: conteúdo confidencial sendo transferido para geografia estrangeira | Os elementos da UBA foram removidos da resposta de regra e o limitador de resposta foi mudado. |
| Regra | QNI: Extensão do arquivo/Verificação de tipo de conteúdo | Esta regra será acionada em casos nos quais uma extensão do arquivo estiver em desacordo com o tipo de conteúdo geralmente aceito para a extensão. |
| Regra | QNI: hash de arquivo observado associado a ameaça de malware | Os elementos da UBA foram removidos da resposta de regra e o limitador de resposta foi mudado. |
| Regra | QNI: mesma ameaça detectada em múltiplos hosts | Renomeado de QNI: hash de arquivo observado visto em múltiplos hosts, os elementos da UBA foram removidos da resposta de regra e o limitador de resposta foi mudado. |
| Regra | QNI: acesso de website suspeito | Esta regra aciona quando um website categorizado como suspeito pelo X-Force ® é acessado. |
A tabela a seguir mostra as regras e os blocos de construção removidos no IBM QRadar Network Insights Content Extension 1.5.0.
| Tipo | Nome |
|---|---|
| Bloco de construção | BB:CategoryDefinition: Destinatário de E-mail Rejeitado |
| Bloco de construção | BB:HostDefinition: servidores de e-mail |
| Bloco de construção | BB:HostReference: servidores de e-mail |
| Bloco de construção | BB:PortDefinition: portas de e-mail |
| Regra | UBA: QNI - conteúdo confidencial sendo transferido para geografia estrangeira |
| Regra | UBA: QNI - Potencial assunto de spam/phishing detectado de múltiplos servidores de envio |
| Regra | UBA: QNI - potencial tentativa de spam/phishing detectada no destinatário de e-mail rejeitado |
| Regra | UBA: QNI - hash de arquivo observado associado com ameaça de malware |
| Regra | UBA: QNI - Observado hash de arquivo visto em múltiplos hosts |
| Regra | UBA: QNI - acesso a serviço incorretamente assegurado - Comprimento de chave pública fraca |
| Regra | UBA: QNI - Acesso a serviço incorretamente assegurado - certificado inválido |
| Regra | UBA : QNI - acesso a serviço incorretamente assegurado - Certificado expirado |
| Regra | UBA: QNI - Acesso a serviço incorretamente assegurado - Certificado autoassinado |
| Regra | QNI: potencial assunto de spam/phishing detectado por meio de múltiplos servidores de envio |
| Regra | QNI: potencial tentativa de spam/phishing detectada no destinatário de e-mail rejeitado |
A tabela a seguir mostra os relatórios no IBM QRadar Network Insights Content Extension 1.5.0.
| Nome do Relatório | Nome da Procura e Dependências |
|---|---|
| Transferência de arquivos do usuário por tipo de conteúdo (QNI) | Limites de tamanho do contêiner atualizados. |
| Principais assuntos de phishing por usuário destinatário (QNI) | Descrição incluída. |
| Principais malwares por ativo (QNI) | Descrição incluída e executar relatório agoranão verificado no assistente. |
| Distribuição de malware por arquivo (QNI) | Descrição incluída e executar relatório agoranão verificado no assistente. |
A tabela a seguir mostra os dados de referência no IBM QRadar Network Insights Content Extension 1.5.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Mapa de Referência de Conjuntos | QNI-Extension-ContentType-Pairs | Mapeia uma extensão do arquivo para seus tipos de conteúdo esperados. Este mapa de referência de conjuntos vem pré-preenchido com 1218 entradas. (ex. .htmlmapeia para text/html.) |
A tabela a seguir mostra as procuras salvas no IBM QRadar Network Insights Content Extension 1.5.0.
| Nome | Descrição |
|---|---|
| Transferência de arquivos por usuário de origem e tipo de conteúdo | Parâmetros de procura atualizados (verificação do código de resposta de HTTP removida), compartilhados por padrão. |
| Transferência de arquivos por IP de origem e tipo de conteúdo | Parâmetros de procura atualizados (verificação do código de resposta de HTTP e de usuário de origem removida), compartilhados por padrão. |
| Malware por ativo fonte ou hash | Número do limite de resultado atualizado. |
| Resumo de tráfego de malware | Nome de regra atualizado referenciado na consulta de AQL, |
| Assuntos de phishing por usuário destinatário | Agora, a procura é compartilhada por padrão. |
IBM QRadar Network Insights Extensão de conteúdo 1.4.0
O IBM QRadar Network Insights Content Extension 1.4.0 suporta QRadar Network Insights 7.3.0 e mais recente.
A tabela a seguir mostra as funções AQL customizadas em IBM QRadar Network Insights Content Extension 1.4.0.
| Nome | Descrição |
|---|---|
| isReply | Retorna true ou false se uma sequência for a linha de assunto típica de um e-mail de resposta. |
A tabela a seguir mostra as regras e os blocos de construção no IBM QRadar Network Insights Content Extension 1.4.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: países/regiões com acesso restrito | Edite esse bloco de construção para incluir qualquer local geográfico que geralmente não teria permissão para acessar a empresa. Depois de configurado, será possível ativar a regra Conteúdo confidencial sendo transferido para geografia estrangeira. |
| Regra | QNI: conteúdo confidencial sendo transferido para geografia estrangeira | Detecta conteúdo confidencial sendo transferido para países/regiões com acesso restrito. |
| Regra | UBA: QNI - conteúdo confidencial sendo transferido para geografia estrangeira | Envia eventos para o aplicativo User Behavior Analytics baseado na regra QNI: Conteúdo Confidencial Sendo Transferido para Geografia Estrangeira com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário. |
| Regra | UBA: QNI - Potencial assunto de spam/phishing detectado de múltiplos servidores de envio | Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: Potencial Assunto de Spam/Phishing Detectado em vários Servidores de Envio com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário. |
| Regra | UBA: QNI - potencial tentativa de spam/phishing detectada no destinatário de e-mail rejeitado | Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: Potencial Tentativa de Spam/Phishing Detectada no Destinatário de E-mail Rejeitado com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário. |
| Regra | UBA: QNI - hash de arquivo observado associado com ameaça de malware | Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: hash de arquivo observado associado com ameaça de malware, com um senseValue designado a ela. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário. |
| Regra | UBA: QNI - Observado hash de arquivo visto em múltiplos hosts | Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: observado hash de arquivo visto em múltiplos hosts, com um senseValue designado a ela. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário. |
| Regra | UBA: QNI - acesso a serviço incorretamente assegurado - Comprimento de chave pública fraca | Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: Acesso a Serviço Assegurado Incorretamente - Comprimento de Chave Pública Fraca com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário. |
| Regra | UBA: QNI - Acesso a serviço incorretamente assegurado - certificado inválido | Envia eventos para o aplicativo User Behaviour Analytics com base na regra QNI: Acesso a Serviço Assegurado Incorretamente - Certificado Inválido com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário. |
| Regra | UBA : QNI - acesso a serviço incorretamente assegurado - Certificado expirado | Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: Acesso ao Serviço Assegurado Incorretamente - Certificado Expirado com senseValue designado a ela. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário. |
| Regra | UBA: QNI - Acesso a serviço incorretamente assegurado - Certificado autoassinado | Envia eventos para o aplicativo User Behavior Analytics com base na regra QNI: Acesso a Serviço Assegurado Incorretamente -Certificado Autoassinado com um senseValue designado a ele. Esse senseValue é usado quando o aplicativo User Behavior Analytics calcula uma pontuação de risco para um usuário. |
A tabela a seguir mostra o relatório no IBM QRadar Network Insights Content Extension 1.4.0.
| Nome do Relatório | Nome da Procura e Dependências |
|---|---|
| Transferência de arquivos do usuário por tipo de conteúdo | Procuras Salvas: Transferência de Arquivos por Usuário de Origem e Tipo de Conteúdo e Transferência de Arquivos por IP de Origem e Tipo de Conteúdo |
A tabela a seguir mostra as procuras salvas no IBM QRadar Network Insights Content Extension 1.4.0.
| Nome | Descrição |
|---|---|
| Transferência de arquivos por usuário de origem e tipo de conteúdo | Esta procura de log e atividade de rede corresponde transferências de arquivos por seus usuários de origem e tipos de conteúdo. |
| Transferência de arquivos por IP de origem e tipo de conteúdo | Esta procura de atividade de log e de rede corresponde às transferências de arquivos por seus endereços IP de origem e tipos de conteúdo. |
IBM QRadar Network Insights Extensão de conteúdo 1.3.0
O IBM QRadar Network Insights Content Extension 1.3.0 inclui suporte para QRadar versões 7.3.0 e mais recente. As propriedades customizadas das versões anteriores do QRadar Network Insights Content Extension agora são campos de valor de comprimento (TLV). As mudanças nesses campos TLV vêm de atualizações do QRadar , não da atualização dessa extensão de conteúdo
IBM QRadar Network Insights Extensão de Conteúdo 1.2.2
O IBM QRadar Network Insights Content Extension 1.2.2 fornece melhorias de desempenho configurando as categorias padrão para propriedades de fluxo customizadas existentes. É possível alterar as categorias para as propriedades customizadas para adequá-las às suas necessidades.
A tabela a seguir mostra as propriedades customizadas no IBM QRadar Network Insights Content Extension 1.2.2.
| Propriedade customizada | Categorias Padrão |
|---|---|
| Assunto do conteúdo |
|
| Hash de Arquivo |
|
| Nome do Arquivo |
|
| Usuários destinatários |
|
| Ação |
|
| Content_Type |
|
| DNS_Query_String |
|
| DNS_Response_String |
|
| File_Size |
|
| Host HTTP |
|
| Referenciador HTTP |
|
| Código de Resposta HTTP |
|
| HTTP Server |
|
| Agente do usuário de HTTP |
|
| Versão de HTTP |
|
| IP_Dest_Reputation |
|
| Originating_User |
|
| Senha |
|
| Request_URL |
|
| SMTP HELO | Correio |
| Search_Arguments |
|
| Suspect_Content |
|
| Web_Categories |
|
IBM QRadar Network Insights Extensão de conteúdo 1.2.0
A tabela a seguir mostra as propriedades customizadas no IBM QRadar Network Insights Content Extension 1.2.0.
| Nome | Expressão regular |
|---|---|
| File_Size | Atualização da propriedade customizada File_Size para alterar o tipo de campo de alfanumérico para numérico. Esta atualização também otimiza a propriedade customizada para ambas, as cargas úteis de origem e as cargas úteis de destino. |
A tabela a seguir mostra as regras no IBM QRadar Network Insights Content Extension 1.2.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Potencial tentativa de spam/phishing detectada no destinatário de e-mail rejeitado | Atualizada a ação de regra para selecionar "Assegure-se de que o evento detectado faça parte de uma ofensa". Na 1.1.0, essa caixa de seleção não era selecionada e a 1.2.0 corrige isso para assegurar que as ofensas sejam criadas. |
| Regra | Acesso ao serviço assegurado incorretamente - Certificado inválido | Detecta uma sessão SSL/TLS que usa certificados inválidos. |
| Regra | Acesso ao serviço assegurado incorretamente - Comprimento de chave pública fraco | Detecta uma sessão SSL/TLS que usa comprimentos de chave pública fracos. |
| Regra | Acesso ao serviço assegurado incorretamente - Certificado expirado | Detecta uma sessão SSL/TLS que usa certificados expirados. |
| Regra | Acesso ao serviço assegurado incorretamente - Certificado autoassinado | Detecta uma sessão SSL/TLS que usa um certificado autoassinado. |
IBM QRadar Network Insights Extensão de conteúdo 1.1.0
A tabela a seguir mostra as propriedades customizadas no IBM QRadar Network Insights Content Extension 1.1.0.
| Nome | Expressão regular |
|---|---|
| Assunto do conteúdo | IBM\(SUBJECT\)=([^;]+); |
| Hash de Arquivo | IBM\(HTTP_FILES_CKSUM\)=0x([^;]+); |
| Nome do Arquivo | IBM\(CONTENT_FILE_NAME\)=([^;]+); |
| Reject_Code | Múltiplas expressões Regex para Microsoft Exchange, Linux® OS, Solaris OS e Barracuda Spam e Virus Firewall. |
| Recipient_User | Múltiplas expressões Regex para Microsoft Exchange, Linux OS, Solaris OS e Barracuda Spam e Virus Firewall. |
| Usuários destinatários | IBM\(DEST_USER_LIST\)=\(([^)]+)\); |
| Ação | IBM\(APP_ACTION\)=([^;]+); |
| Content_Type | IBM\(HTTP_CONT_TYPE\)=([^;]+); |
| DNS_Query_String | IBM\(DNS_QUERY_SDATA\)=\(([^)]+)\); |
| DNS_Response_String | IBM\(DNS_RESP_SDATA\)=\(([^)]+)\); |
| File_Size | IBM\(HTTP_FILES_SIZE\)=([^;]+); |
| Host HTTP | IBM\(HTTP_HOST\)=([^;]+); |
| Referenciador HTTP | IBM\(HTTP_REFER\)=([^;]+); |
| Código de Resposta HTTP | IBM\(HTTP_RETURN_CODE\)=([^;]+); |
| HTTP Server | IBM\(HTTP_SRV\)=([^;]+); |
| Agente do usuário de HTTP | IBM\(HTTP_UA\)=([A-Za-z0-9\s\-_.,:;()/\\]+); |
| Versão de HTTP | IBM\(HTTP_VRS\)=HTTP/([^;]+); |
| IP_Dest_Reputation | IBM\(IP_DST_REP\)=([^;]+); |
| Originating_User | IBM\(ORIG_USER\)=([^;]+); |
| Senha | IBM\(ACTPASSWD\)=([^;]+); |
| Request_URL | IBM\(REQ_URL\)=([^;]+); |
| SMTP HELO | IBM\(SMTPHELO\)=([^;]+); |
| Search_Arguments | IBM\(HTTP_SEARCH_ARGS\)=([^;]+); |
| Suspect_Content | IBM\(SUSPECT_CONT_LIST\)=\(([^)]+)\); |
| Web_Categories | IBM\(HTTP_CONT_CATEGORY_LIST\)=\(([^)]+)\); |
A tabela a seguir mostra as regras e os blocos de construção no IBM QRadar Network Insights Content Extension 1.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:HostDefinition: servidores de e-mail | |
| Bloco de construção | BB:HostReference: servidores de e-mail | |
| Bloco de construção | BB:PortDefinition: portas de e-mail | |
| Bloco de construção | BB:CategoryDefinition: Destinatário de E-mail Rejeitado | |
| Regra | Observado hash de arquivo associado a ameaça de malware | Detecta quando o conteúdo do fluxo inclui um hash de arquivo que corresponde a hashes de arquivo inválidos conhecidos incluídos em um feed de dados do Threat Intelligence. Indica que alguém transferiu malware na rede. |
| Regra | Observado hash de arquivo visto em múltiplos hosts | Detecta quando o mesmo hash de arquivo que é associado ao malware é visto sendo transferido para diversos destinos. |
| Regra | Potencial tentativa de spam/phishing detectada no destinatário de e-mail rejeitado | Detecta quando eventos de e-mail rejeitados que são enviados para um endereço de destinatário não existente são vistos no sistema, o que pode indicar uma tentativa de spam ou phishing. Configure o bloco de construção BB:CategoryDefinition: Destinatário de E-mail Rejeitado para incluir QIDs relevantes para sua organização. Ele é preenchido com QIDs para monitoramento: Microsoft Exchange; Linux OS (executando sendmail); Sistema Operacional Solaris Sendmail Logs e Barracuda Spam & Virus Firewall. |
| Regra | Potencial Assunto de Spam/Phishing Detectado de Vários Servidores de Envio | Detecta quando diversos servidores de envio enviam o mesmo assunto de e-mail em um intervalo de tempo, o que pode indicar spam ou phishing. |
A tabela a seguir mostra as procuras salvas no IBM QRadar Network Insights Content Extension 1.1.0.
| Nome | Descrição |
|---|---|
| Distribuição de malware por arquivo e hash | |
| Malware por ativo fonte ou hash | |
| Resumo de tráfego de malware | |
| Assuntos de phishing por usuário destinatário |
A tabela a seguir mostra os relatórios no IBM QRadar Network Insights Content Extension 1.1.0.
| Nome do Relatório | Nome da Procura e Dependências |
|---|---|
| Principais Assuntos de Phishing por Usuário Destinatário (QNI) - Semanal | |
| Principais Malwares por Ativo (QNI) - Diário | |
| Distribuição de Malware por Arquivo (QNI) - Diário |
A tabela a seguir mostra os dados de referência no IBM QRadar Network Insights Content Extension 1.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Hashs de malware SHA | |
| Conjunto de Referências | Hashs de malware MD5 | |
| Conjunto de Referências | Assuntos de phishing | |
| Conjunto de Referências | Servidores de Correio |