Reconhecimento
Use a IBM Security QRadar Reconnaissance Content Extension para se concentrar em eventos de reconhecimento e detecção.
IBM Security QRadar Extensão de conteúdo de reconhecimento 1.0.3
A tabela a seguir mostra as regras e os blocos de construção atualizados no IBM Security QRadar Reconnaissance Content Extension 1.0.3.
| Nome | Descrição |
|---|---|
| BB:ReconDetected: Dispositivos que Mesclam Recon em Eventos Únicos | A última condição foi mudada para "e quando um evento corresponder a qualquer um dos BB:DeviceDefinition: IDS/IPS a seguir" de "e quando os evento foram detectados por um ou mais Sistemas de Prevenção de Intrusão (IPS) do TippingPoint". |
| Scanner ICMP Remoto | Condição de regra removida: "e NÃO quando um fluxo ou um evento corresponder a qualquer um destes: Scanner de banco de dados remoto, Scanner de DHCP remoto, Scanner de FTP remoto, Scanner de servidor de jogo remoto, Scanner de servidor IM remoto, Scanner de servidor IRC remoto, Scanner de servidor LDAP remoto, Scanner de servidor de e-mail remoto, Scanner de P2P remoto, Scanner de servidor proxy remoto, Scanner de servidor RPC remoto, Scanner de SNMP remoto, Scanner de servidor SSH remoto, Scanner de servidor da web remoto, scanner de servidor Windows remoto". |
As regras e blocos de construção a seguir são removidos no IBM Security QRadar Reconnaissance Content Extension 1.0.3 porque agora estão incluídos no IBM Security QRadar por padrão.
- BB:CategoryDefinition: Categorias de Evento Recon.
- BB:CategoryDefinition: Eventos Recon.
- BB:CategoryDefinition: Fluxos Recon.
- BB:CategoryDefinition: Categorias de evento suspeito
- BB:CategoryDefinition: Eventos suspeitos
- BB:CategoryDefinition: Fluxos suspeitos
- BB:CategoryDefinition: Fluxo unidirecional
- BB:CategoryDefinition: DST de fluxo unidirecional
- BB:CategoryDefinition: SRC de fluxo unidirecional
- BB:Flowshape: Somente entrada
- BB:Flowshape: Somente saída
- BB:HostDefinition: Servidores de banco de dados
- BB:HostDefinition: Servidores DHCP
- BB:HostDefinition: Servidores DNS
- BB:HostDefinition: Servidores FTP
- BB:HostDefinition: Servidores LDAP
- BB:HostDefinition: servidores de e-mail
- BB:HostDefinition: Servidores de gerenciamento de rede
- BB:HostDefinition: Servidores proxy
- BB:HostDefinition: Servidores RPC
- BB:HostDefinition: Servidores
- BB:HostDefinition: Remetente ou destinatário de SNMP
- BB:HostDefinition: Serviços SSH
- BB:HostDefinition: Definição de vírus e outros servidores de atualização
- BB:HostDefinition: Servidores da Web
- BB:HostDefinition: Servidores Windows
- BB:HostReference: Servidores de banco de dados
- BB:HostReference: Servidores DHCP
- BB:HostReference: Servidores DNS
- BB:HostReference: Servidores FTP
- BB:HostReference: Servidores LDAP
- BB:HostReference: servidores de e-mail
- BB:HostReference: Servidores Proxy
- BB:HostReference: Servidores SSH
- BB:HostReference: Servidores da Web
- BB:HostReference: Servidores Windows
- BB:NetworkDefinition: Honeypot como endereços
- BB:PortDefinition: Portas do banco de dados
- BB:PortDefinition: Portas DHCP
- BB:PortDefinition: Portas DNS
- BB:PortDefinition: Portas FTP
- BB:PortDefinition: Portas do servidor de jogo
- BB:PortDefinition: Portas do IM
- BB:PortDefinition: Portas IRC
- BB:PortDefinition: Portas LDAP
- BB:PortDefinition: Portas P2P
- BB:PortDefinition: Portas de proxy
- BB:PortDefinition: Portas RPC
- BB:PortDefinition: Portas SNMP
- BB:PortDefinition: Portas SSH
- BB:PortDefinition: Portas do Windows
- BB:ProtocolDefinition: Protocolos do Windows
- BB:Threats: Varreduras de Porta: Varreduras de Host
- BB:Threats: Varreduras de Porta: Varredura de Porta UDP
- BB:Threats: Varredura: Fluxos Altos Responsivos Vazios
- BB:Threats: Varredura: Fluxos Lentos Responsivos Vazios
- BB:Threats: Varredura: Fluxos Médios Responsivos Vazios
- BB:Threats: Varredura: Varredura Alta de ICMP
- BB:Threats: Varredura: Varredura Lenta de ICMP
- BB:Threats: Varredura: Varredura Média de ICMP
- BB:Threats: Varredura: Varredura Potencial
- BB:Threats: Varredura: Varredura Alta
- BB:Threats: Varredura: Varredura Lenta
- BB:Threats: Varredura: Varredura Média
- BB:Threats: Uso de protocolo IP suspeito: Combinação Ilegal de sinalização TCP
- BB:Threats: Uso de Protocolo IP Suspeito: Pacotes DNS Grandes
- BB:Threats: Uso de Protocolo IP Suspeito: Pacotes ICMP Grandes
- BB:Threats: Uso de protocolo IP suspeito: Fluxo de saída de longa duração
- BB:Threats: Uso de protocolo IP suspeito: Código de tipo ICMP suspeito
- BB:Threats: Uso de protocolo IP suspeito: Porta TCP ou UDP 0
- BB:Threats: Uso de protocolo IP suspeito: Fluxos unidirecionais de ICMP
- BB:Threats: Uso de protocolo IP suspeito: Respostas unidirecionais de ICMP
- BB:Threats: Uso de protocolo IP suspeito: Fluxos bidirecionais de carga útil zero
- BB:Threats: Uso de protocolo IP suspeito: Fluxos unidirecionais de TCP
- BB:Threats: Uso de protocolo IP suspeito: Fluxos unidirecionais de TCP e diversos
- Scanner de banco de dados L2L local
- Scanner de FTP L2L local
- Scanner de servidor IRC L2L local
- Scanner de servidor LDAP L2L local
- Scanner de servidor SSH L2L local
- Eventos de análise suspeita de L2L local detectados
- Scanner de banco de dados L2R local
- Scanner de FTP L2R local
- Scanner de servidor IRC L2R local
- Scanner de servidor LDAP L2R local
- Scanner de servidor RPC L2R local
- Scanner de servidor SSH L2R local
- Scanner de banco de dados remoto
- Scanner de FTP remoto
- Scanner de servidor IRC remoto
- Scanner de servidor LDAP remoto
- Scanner de servidor proxy remoto
- Scanner de servidor RPC remoto
- Scanner de servidor SSH remoto
- Scanner de servidor Windows remoto
IBM Security QRadar Extensão de conteúdo de reconhecimento 1.0.2
A tabela a seguir mostra os blocos de construção atualizados no IBM Security QRadar Reconnaissance Content Extension 1.0.2.
| Nome | Descrição |
|---|---|
| BB:HostDefinition: Servidores proxy | Incluídas BB:PortDefinition: Portas de proxy no teste de regra. |
| BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal | Condição de regra removida: "e quando o tipo de fluxo é um desses tipos de fluxo." |
| BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito | Condição de regra removida: "e quando o tipo de fluxo é um desses tipos de fluxo." |
| BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 | Condição de regra removida: "e quando o tipo de fluxo é um desses tipos de fluxo." |
| BB:CategoryDefinition: SRC do fluxo unidirecional | |
| BB:Flowshape: Somente saída | Corresponde fluxos que são apenas de saída. |
| BB:CategoryDefinition: Reconciliar categorias de eventos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento. |
| BB:CategoryDefinition: Categorias de eventos suspeitas | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| BB:Ameaças: Varrendo: Varredura baixa do ICMP | Identifica um baixo nível de reconhecimento do ICMP. |
| BB:Ameaças: Uso do protocolo IP suspeito: Fluxos bidirecionais de carga útil zero | Identifica um tráfego bidirecional que não inclui carga útil. |
| BB:Ameaças: Varrendo: Varredura alta | Identifica um alto nível de potencial reconhecimento. |
| BB:CategoryDefinition: Fluxo unidirecional | |
| BB:Ameaças: Uso do protocolo IP suspeito: Respostas do ICMP unidirecionais | Identifica o tráfego no qual as respostas do ICMP são vistas sem solicitação. |
| BB:Ameaças: Uso do protocolo IP suspeito: Fluxos do ICMP unidirecionais | Identifica fluxos do ICMP unidirecionais. |
| BB:Flowshape: Somente entrada | Corresponde fluxos que são apenas de entrada. |
| BB:NetworkDefinition: Honeypot como endereços | Edite este bloco de construção substituindo a outra rede pelos objetos de rede definidos em sua hierarquia de rede que não estão em uso atualmente na rede ou que são usados em uma instalação honeypot ou tarpit. Após isso ser definido, deve-se ativar a regra Anomalia: Acesso ao Honeypot Potencial. Para gerar eventos baseados em tentativas de acesso, também deve-se incluir uma entrada de política/segurança nesses objetos de rede. |
| BB:CategoryDefinition: Reconciliar fluxos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| BB:Ameaças: Varreduras de portas: Varredura de porta UDP | Identifica varreduras de portas baseadas em UDP. |
| BB:Ameaças: Varrendo: Varredura média do ICMP | Identifica um nível médio de reconhecimento do ICMP. |
| BB:Ameaças: Varrendo: Fluxos baixos responsivos vazios | Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 500. |
| BB:CategoryDefinition: Fluxos suspeitos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| BB:CategoryDefinition: Eventos suspeitos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| BB:Ameaças: Uso do protocolo IP suspeito: Fluxo de Saída de Longa Duração | Identifica fluxos que estiveram ativos por mais de 48 horas. |
| BB:Ameaças: Varrendo: Fluxos médios responsivos vazios | Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 5.000. |
| BB:Ameaças: Uso Uso do protocolo IP suspeito: Grandes pacotes do ICMP | Identifica fluxos com pacotes do ICMP grandes de forma normal. |
| BB:Ameaças: Varrendo: Varredura alta do ICMP | Identifica um alto nível de reconhecimento do ICMP. |
| BB:Ameaças: Varreduras de portas: Varreduras do host | Identifica um possível reconhecimento por fluxos. |
| BB:Ameaças: Varrendo: Varredura média | Identifica um nível médio de potencial reconhecimento. |
| BB:Ameaças: Varrendo: Varredura baixa | Identifica um baixo nível de potencial reconhecimento. |
| BB:CategoryDefinition: Reconciliar eventos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento. |
| BB:Ameaças: Varrendo: Varredura potencial | Identifica um possível reconhecimento por fluxos. |
| BB:CategoryDefinition: DST do fluxo unidirecional | |
| BB:Ameaças: Uso do protocolo IP suspeito: Fluxos de TCP unidirecionais | Identifica fluxos TCP unidirecionais. |
| BB:Ameaças: Varrendo: Fluxos altos responsivos vazios | Detecta potencial atividade reconhecimento em que a contagem de pacotes de origem é maior que 100.000. |
| BB:Ameaças: Uso do protocolo IP suspeito: Grandes pacotes do DNS | Identifica fluxos com pacotes do DNS anormalmente grandes. |
| BB:Ameaças: Uso do protocolo IP suspeito: Fluxos UDP e diversos unidirecionais | Identifica UDP unidirecional e outros fluxos diversos. |
| BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais | Detecta um número excessivo de fluxos UDP e diversos unidirecionais que são de uma única origem. |
| BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais | Detecta um número excessivo de fluxos UDP e diversos unidirecionais que são de uma única origem. |
IBM Segurança QRadar Reconhecimento Extensão de conteúdo 1.0.0
Os conjuntos de referência a seguir foram incluídos no IBM Security QRadar Reconnaissance Content Extension 1.0.0.
- Servidores do Banco de Dados
- Servidores DHCP
- Servidores do Sistema de Nomes de Domínio
- Servidores FTP
- Servidores LDAP
- Servidores de Correio
- Servidores Proxy
- Servidores SSH
- Servidores da web
- Servidores Windows
Os seguintes blocos de construção de regras foram incluídos no IBM Security QRadar Reconnaissance Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Reconciliar categorias de eventos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento. |
| Bloco de construção | BB:CategoryDefinition: Reconciliar eventos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento. |
| Bloco de construção | BB:CategoryDefinition: Reconciliar fluxos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:CategoryDefinition: Categorias de eventos suspeitas | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:CategoryDefinition: Eventos suspeitos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:CategoryDefinition: Fluxos suspeitos | Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita. |
| Bloco de construção | BB:CategoryDefinition: Fluxo unidirecional | |
| Bloco de construção | BB:CategoryDefinition: DST do fluxo unidirecional | |
| Bloco de construção | BB:CategoryDefinition: SRC do fluxo unidirecional | |
| Bloco de construção | BB:Flowshape: Somente entrada | Corresponde fluxos que são apenas de entrada. |
| Bloco de construção | BB:Flowshape: Somente saída | Corresponde aos fluxos que são apenas de saída. |
| Bloco de construção | BB:HostDefinition: Servidores de banco de dados | Edite esse bloco de construção para definir servidores de banco de dados típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:FalsePositive: Categorias de falso positivo do servidor de banco de dados e BB:FalsePositive: Eventos de falso positivo do servidor de banco de dados. |
| Bloco de construção | BB:HostDefinition: Servidores DHCP | Edite esse bloco de construção para definir servidores DHCP típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:False Positive: Categorias de falso positivo do servidor DHCP e BB:FalsePositve: Eventos de falso positivo do servidor DHCP. |
| Bloco de construção | BB:HostDefinition: Servidores DNS | Edite esse bloco de construção para definir servidores DNS típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor DNS e BB:FalsePositve: Eventos Falsos Positivos do Servidor DNS. |
| Bloco de construção | BB:HostDefinition: Servidores FTP | Edite esse bloco de construção para definir servidores FTP típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor FTP e BB:FalsePositve: Eventos Falsos Positivos do Servidor FTP. |
| Bloco de construção | BB:HostDefinition: Servidores LDAP | Edite esse bloco de construção para definir servidores LDAP típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor LDAP e BB:FalsePositve: Eventos Falsos Positivos do Servidor LDAP. |
| Bloco de construção | BB:HostDefinition: servidores de e-mail | Edite esse bloco de construção para definir servidores de correio típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor de Correio e BB:FalsePositve: Eventos Falsos Positivos do Servidor de Correio. |
| Bloco de construção | BB:HostDefinition: Servidores de gerenciamento de rede | Edite esse bloco de construção para definir servidores de gerenciamento de rede típicos. |
| Bloco de construção | BB:HostDefinition: Servidores proxy | Edite esse bloco de construção para definir servidores proxy típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Proxy e BB:FalsePositve: Eventos Falsos Positivos do Servidor Proxy. |
| Bloco de construção | BB:HostDefinition: Servidores RPC | Edite esse bloco de construção para definir servidores RPC típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor RPC e BB:FalsePositve: Eventos Falsos Positivos do Servidor RPC. |
| Bloco de construção | BB:HostDefinition: Servidores | Edite esse bloco de construção para definir servidores genéricos. |
| Bloco de construção | BB:HostDefinition: Remetente ou destinatário SNMP | Edite esse bloco de construção para definir remetentes ou destinatários de SNMP. Este bloco de construção é usado juntamente com o bloco de construção BB:PortDefinition: Portas SNMP. |
| Bloco de construção | BB:HostDefinition: Servidores SSH | Edite esse bloco de construção para definir servidores SSH típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor SSH e BB:FalsePositve: Eventos Falsos Positivos do Servidor SSH. |
| Bloco de construção | BB:HostDefinition: Definição de vírus e outros servidores de atualização | Edite esse bloco de construção para incluir todos os servidores que incluem proteção contra vírus e funções de atualização. |
| Bloco de construção | BB:HostDefinition: Servidores da Web | Edite esse bloco de construção para definir servidores da Web típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor da Web e BB:FalsePositve: Eventos Falsos Positivos do Servidor da Web. |
| Bloco de construção | BB:HostDefinition: Servidores Windows | Edite esse bloco de construção para definir servidores Windows típicos, como controladores de domínio ou servidores Exchange. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Windows e BB:FalsePositve: Eventos Falsos Positivos do Servidor Windows. |
| Bloco de construção | BB:HostReference: Servidores de banco de dados | |
| Bloco de construção | BB:HostReference: Servidores DHCP | |
| Bloco de construção | BB:HostReference: Servidores DNS | |
| Bloco de construção | BB:HostReference: Servidores FTP | |
| Bloco de construção | BB:HostReference: Servidores LDAP | |
| Bloco de construção | BB:HostReference: servidores de e-mail | |
| Bloco de construção | BB:HostReference: Servidores Proxy | |
| Bloco de construção | BB:HostReference: Servidores SSH | |
| Bloco de construção | BB:HostReference: Servidores da Web | |
| Bloco de construção | BB:HostReference: Servidores Windows | |
| Bloco de construção | BB:NetworkDefinition: Honeypot como endereços | Edite esse bloco de construção substituindo a outra rede por objetos de rede definidos em sua hierarquia de rede, que não estão atualmente em uso em sua rede ou são usados em uma instalação de honeypot ou tarpit. Depois de terem sido definidas, deve-se ativar a regra Anomalia: Acesso ao honeypot potencial. Você também deve incluir uma sentinela de segurança/política para esses objetos de rede para gerar eventos com base na tentativa de acesso |
| Bloco de construção | BB:PortDefinition: Portas do banco de dados | Edite esse bloco de construção para incluir todas as portas de banco de dados comuns. |
| Bloco de construção | BB:PortDefinition: Portas DHCP | Edite esse bloco de construção para incluir todas as portas DHCP comuns. |
| Bloco de construção | BB:PortDefinition: Portas DNS | Edite esse bloco de construção para incluir todas as portas DNS comuns. |
| Bloco de construção | BB:PortDefinition: Portas FTP | Edite esse bloco de construção para incluir todas as portas FTP comuns. |
| Bloco de construção | BB:PortDefinition: Portas do servidor de jogo | Edite este bloco de construção para incluir todas as portas do servidor de jogo comum. |
| Bloco de construção | BB:PortDefinition: Portas de IM | Edite este bloco de construção para incluir todas as portas de IM comuns. |
| Bloco de construção | BB:PortDefinition: Portas IRC | Edite este bloco de construção para incluir todas as portas IRC comuns. |
| Bloco de construção | BB:PortDefinition: Portas LDAP | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores LDAP. |
| Bloco de construção | BB:PortDefinition: portas de e-mail | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores de correio. |
| Bloco de construção | BB:PortDefinition: Portas P2P | Edite este bloco de construção para incluir todas as portas comuns usadas por servidores Ponto a Ponto (P2P). |
| Bloco de construção | BB:PortDefinition: Portas de Proxy | Edite este bloco de construção para incluir todas as portas comuns usadas por servidores proxy. |
| Bloco de construção | BB:PortDefinition: Portas RPC | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores RPC. |
| Bloco de construção | BB:PortDefinition: Portas SNMP | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos remetentes ou destinatários de SNMP. |
| Bloco de construção | BB:PortDefinition: Portas SSH | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores SSH. |
| Bloco de construção | BB:PortDefinition: Portas Web | Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores da Web. |
| Bloco de construção | BB:PortDefinition: Portas do Windows | Edite este bloco de construção para incluir todas as portas comuns usadas por servidores Windows. |
| Bloco de construção | BB:ProtocolDefinition: Protocolos do Windows | Edite esse bloco de construção para incluir todos os protocolos comuns (não incluindo TCP) usados pelos servidores Windows que serão ignorados por regras de ajuste positivas falsas. |
| Bloco de construção | BB:ReconDetected: Dispositivos que Mesclam Recon em Eventos Únicos | Edite este bloco de construção para incluir todos os dispositivos que acumulam reconhecimento em vários hosts ou portas em um único evento. Esta regra força esses eventos a se tornarem ofensas. |
| Bloco de construção | BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais | Detecta um número excessivo de fluxos UDP unidirecionais e diversos a partir de uma fonte isolada. |
| Bloco de construção | BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais | Detecta um número excessivo de fluxos UDP unidirecionais e diversos a partir de uma fonte isolada. |
| Bloco de construção | BB:Ameaças: Varreduras de portas: Varreduras do host | Identifica um possível reconhecimento por fluxos. |
| Bloco de construção | BB:Ameaças: Varreduras de portas: Varredura de porta UDP | Identifica varreduras de portas baseadas em UDP. |
| Bloco de construção | BB:Ameaças: Varrendo: Fluxos altos responsivos vazios | Detecta potencial atividade reconhecimento em que a contagem de pacotes de origem é maior que 100.000. |
| Bloco de construção | BB:Ameaças: Varrendo: Fluxos baixos responsivos vazios | Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 500. |
| Bloco de construção | BB:Ameaças: Varrendo: Fluxos médios responsivos vazios | Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 5.000. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura alta do ICMP | Identifica um alto nível de reconhecimento do ICMP. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura baixa do ICMP | Identifica um baixo nível de reconhecimento do ICMP. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura média do ICMP | Identifica um nível médio de reconhecimento do ICMP. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura potencial | Identifica um possível reconhecimento por fluxos. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura alta | Identifica um alto nível de potencial reconhecimento. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura baixa | Identifica um baixo nível de potencial reconhecimento. |
| Bloco de construção | BB:Ameaças: Varrendo: Varredura média | Identifica um nível médio de potencial reconhecimento. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal | Identifica fluxos que possuem uma combinação de sinalização TCP. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Grandes pacotes do DNS | Identifica fluxos com pacotes do DNS grandes de forma anormal |
| Bloco de construção | BB:Ameaças: Uso Uso do protocolo IP suspeito: Grandes pacotes do ICMP | Identifica fluxos com pacotes do ICMP grandes de forma anormal |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxo de Saída de Longa Duração | Identifica fluxos que estiveram ativos por mais de 48 horas |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito | Identifica fluxos do ICMP com códigos de tipo de ICMP suspeitos. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 | Identifica fluxos suspeitos usando a porta 0. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos do ICMP unidirecionais | Identifica fluxos do ICMP unidirecionais. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Respostas do ICMP unidirecionais | Identifica o tráfego no qual as respostas do ICMP são vistas sem solicitação. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos bidirecionais de carga útil zero | Identifica um tráfego bidirecional que não inclui carga útil. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos de TCP unidirecionais | Identifica fluxos TCP unidirecionais. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Fluxos UDP e diversos unidirecionais | Identifica UDP unidirecional e outros fluxos diversos. |
| Regra | Scanner de Banco de Dados Local L2L | Relata uma varredura a partir de um host local em relação a outros destinos locais. Pelo menos 30 hosts foram digitalizados em 10 minutos. |
| Regra | Scanner DHCP Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do DHCP comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner DNS Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum DNS portas para mais de 60 hosts em 10 minutos. |
| Regra | Scanner FTP Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas FTP comuns para mais de 30 hosts em 10 minutos. |
| Regra | Scanner de Servidor de Jogo Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de jogo comuns a mais de 60 hosts em 10 minutos. |
| Regra | Scanner ICMP Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do ICMP comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor de IM Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor IM comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor IRC Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de IRC comuns para mais de 10 hosts em 10 minutos. |
| Regra | Scanner de Servidor LDAP Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum LDAP portas para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor de Correio Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de correio comum para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor P2P Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor ponto a ponto (P2P) comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor Proxy Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor proxy comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor RPC Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor RPC comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner SNMP Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas com portar do servidor SNMP comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor SSH Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas SSH comuns para mais de 30 hosts em 10 minutos. |
| Regra | Eventos de Análise Suspeita Local L2L Detectados | Relata quando diversos eventos de reconhecimento ou suspeitos foram detectados a partir do mesmo endereço IP de origem local para mais de 5 endereços IP de destino em 4 minutos. Isso pode indicar diferentes formas de análise do host, como reconhecimento de Nmap, que tenta identificar os serviços e sistemas operacionais do destino. |
| Regra | Scanner TCP Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas TCP comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner UDP Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas UDP comuns a mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor da Web Local L2L | Relata um endereço IP de origem tentar reconhecimento conexões suspeitas em comum as portas do servidor da web ou local para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor Windows Local L2L | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas sobre portas do servidor comum do Windows para mais de 200 hosts em 20 minutos. Isso pode ser propenso a positivo falso para servidores Windows ocupados. |
| Regra | Scanner de Banco de Dados Local L2R | Relata uma varredura a partir de um host local em relação a outros destinos remotos. Pelo menos 30 hosts foram digitalizados em 10 minutos. |
| Regra | Scanner DHCP Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do DHCP comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner DNS Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum DNS portas para mais de 60 hosts em 10 minutos. |
| Regra | Scanner FTP Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas FTP comuns para mais de 30 hosts em 10 minutos. |
| Regra | Scanner de Servidor de Jogo Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de jogo comuns a mais de 60 hosts em 10 minutos. |
| Regra | Scanner ICMP Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do ICMP comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor de IM Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor IM comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor IRC Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de IRC comuns para mais de 10 hosts em 10 minutos. |
| Regra | Scanner de Servidor LDAP Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum LDAP portas para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor de Correio Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de correio comum para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor P2P Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor ponto a ponto (P2P) comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor Proxy Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor proxy comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor RPC Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor RPC comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner SNMP Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas com portar do servidor SNMP comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor SSH Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas SSH comuns para mais de 30 hosts em 10 minutos. |
| Regra | Eventos de Análise Suspeita Local L2R Detectados | Relata quando diversos eventos de reconhecimento ou suspeitos foram detectados a partir do mesmo endereço IP de origem local para mais de 5 endereços IP de destino em 4 minutos. Isso pode indicar diferentes formas de análise do host, como reconhecimento de Nmap, que tenta identificar os serviços e sistemas operacionais do destino. |
| Regra | Scanner TCP Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas TCP comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner TCP Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas UDP comuns a mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor da Web Local L2R | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum as portas do servidor da Web remoto para mais de 400 hosts em 10 minutos. |
| Regra | Scanner do Windows Local para Internet | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas sobre portas do servidor comum do Windows para mais de 60 hosts em 20 minutos. Esse é um comportamento de worm clássico. |
| Regra | Scanner de Banco de Dados Remoto | Relata uma varredura a partir de um host remoto em relação a outros destinos locais ou remotos. Pelo menos 30 hosts foram digitalizados em 10 minutos. |
| Regra | Scanner DHCP Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do DHCP comum para mais de 30 hosts em 10 minutos. |
| Regra | Scanner DNS Remoto | Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum DNS portas para mais de 60 hosts em 10 minutos. |
| Regra | Scanner FTP Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em comum as portas de FTP para mais de 30 hosts em 10 minutos. |
| Regra | Scanner de Servidor de Jogo Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor de jogo comuns a mais de 30 hosts em 10 minutos. |
| Regra | Scanner ICMP Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em comum ICMP portas para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor de IM Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas nas portas do servidor IM comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor IRC Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor de IRC comuns para mais de 10 hosts em 10 minutos. |
| Regra | Scanner de servidor LDAP remoto | Relata uma varredura a partir de um host remoto em relação a outros destinos locais ou remotos. Pelo menos 30 hosts foram digitalizados em 10 minutos. |
| Regra | Scanner de Servidor de Correio Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas nas portas do servidor de correio comum para mais de 30 hosts em 10 minutos. |
| Regra | Scanner P2P Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor ponto a ponto (P2P) comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor Proxy Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor proxy comuns para mais de 30 hosts em 10 minutos. |
| Regra | Scanner de Servidor RPC Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor RPC comuns para mais de 30 hosts em 10 minutos. |
| Regra | Scanner SNMP Remoto | Relata varreduras a partir de um host remoto em relação a destinos locais ou remotos. Pelo menos 30 hosts foram digitalizados em 10 minutos. |
| Regra | Scanner do Servidor SSH remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas SSH comuns para mais de 30 hosts em 10 minutos. |
| Regra | Eventos de Análise Suspeita Remota Detectados | Relata diversos suspeitos ou eventos de reconhecimento a partir do mesmo endereço IP de origem remota para mais de 5 endereços IP de destino em 4 minutos. Isso pode indicar diversas formas de análise do host, como reconhecimento de Nmap que tenta identificar os serviços e o sistema operacional dos destinos. |
| Regra | Scanner TCP Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas TCP comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner UDP Remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas sobre portas UDP comuns a mais de 60 hosts em 10 minutos. |
| Regra | Scanner de Servidor da Web Remoto | Relata um host remoto tentar reconhecimento conexões suspeitas em comum as portas do servidor da web ou local para mais de 60 hosts em 10 minutos. |
| Regra | Scanner de servidor Windows remoto | Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor do Windows comuns para mais de 60 hosts em 10 minutos. |
| Regra | Scanner Local de Eventos de Recon. Mesclados Único | Relata eventos de reconhecimento mesclados gerados por alguns dispositivos. Esta regra faz com que todos esses eventos criem uma ofensa. Todos os dispositivos desse tipo e suas categorias devem ser incluídos no bloco de construção BB:ReconDetected: Dispositivos que mesclam reconciliações em eventos únicos. |
| Regra | Scanner Remoto de Eventos de Recon. Mesclados Único | Relata eventos de reconhecimento mesclados gerados por alguns dispositivos. Todos os dispositivos desse tipo e suas categorias devem ser incluídos no bloco de construção BB:ReconDetected: Dispositivos que mesclam reconciliações em eventos únicos. |