Reconhecimento

Use a IBM Security QRadar Reconnaissance Content Extension para se concentrar em eventos de reconhecimento e detecção.

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Extensão de conteúdo de reconhecimento 1.0.3

A tabela a seguir mostra as regras e os blocos de construção atualizados no IBM Security QRadar Reconnaissance Content Extension 1.0.3.

Tabela 1. Regras e blocos de construção atualizados no IBM Security QRadar Reconnaissance Content Extension 1.0.3
Nome Descrição
BB:ReconDetected: Dispositivos que Mesclam Recon em Eventos Únicos A última condição foi mudada para "e quando um evento corresponder a qualquer um dos BB:DeviceDefinition: IDS/IPS a seguir" de "e quando os evento foram detectados por um ou mais Sistemas de Prevenção de Intrusão (IPS) do TippingPoint".
Scanner ICMP Remoto Condição de regra removida: "e NÃO quando um fluxo ou um evento corresponder a qualquer um destes: Scanner de banco de dados remoto, Scanner de DHCP remoto, Scanner de FTP remoto, Scanner de servidor de jogo remoto, Scanner de servidor IM remoto, Scanner de servidor IRC remoto, Scanner de servidor LDAP remoto, Scanner de servidor de e-mail remoto, Scanner de P2P remoto, Scanner de servidor proxy remoto, Scanner de servidor RPC remoto, Scanner de SNMP remoto, Scanner de servidor SSH remoto, Scanner de servidor da web remoto, scanner de servidor Windows remoto".

As regras e blocos de construção a seguir são removidos no IBM Security QRadar Reconnaissance Content Extension 1.0.3 porque agora estão incluídos no IBM Security QRadar por padrão.

  • BB:CategoryDefinition: Categorias de Evento Recon.
  • BB:CategoryDefinition: Eventos Recon.
  • BB:CategoryDefinition: Fluxos Recon.
  • BB:CategoryDefinition: Categorias de evento suspeito
  • BB:CategoryDefinition: Eventos suspeitos
  • BB:CategoryDefinition: Fluxos suspeitos
  • BB:CategoryDefinition: Fluxo unidirecional
  • BB:CategoryDefinition: DST de fluxo unidirecional
  • BB:CategoryDefinition: SRC de fluxo unidirecional
  • BB:Flowshape: Somente entrada
  • BB:Flowshape: Somente saída
  • BB:HostDefinition: Servidores de banco de dados
  • BB:HostDefinition: Servidores DHCP
  • BB:HostDefinition: Servidores DNS
  • BB:HostDefinition: Servidores FTP
  • BB:HostDefinition: Servidores LDAP
  • BB:HostDefinition: servidores de e-mail
  • BB:HostDefinition: Servidores de gerenciamento de rede
  • BB:HostDefinition: Servidores proxy
  • BB:HostDefinition: Servidores RPC
  • BB:HostDefinition: Servidores
  • BB:HostDefinition: Remetente ou destinatário de SNMP
  • BB:HostDefinition: Serviços SSH
  • BB:HostDefinition: Definição de vírus e outros servidores de atualização
  • BB:HostDefinition: Servidores da Web
  • BB:HostDefinition: Servidores Windows
  • BB:HostReference: Servidores de banco de dados
  • BB:HostReference: Servidores DHCP
  • BB:HostReference: Servidores DNS
  • BB:HostReference: Servidores FTP
  • BB:HostReference: Servidores LDAP
  • BB:HostReference: servidores de e-mail
  • BB:HostReference: Servidores Proxy
  • BB:HostReference: Servidores SSH
  • BB:HostReference: Servidores da Web
  • BB:HostReference: Servidores Windows
  • BB:NetworkDefinition: Honeypot como endereços
  • BB:PortDefinition: Portas do banco de dados
  • BB:PortDefinition: Portas DHCP
  • BB:PortDefinition: Portas DNS
  • BB:PortDefinition: Portas FTP
  • BB:PortDefinition: Portas do servidor de jogo
  • BB:PortDefinition: Portas do IM
  • BB:PortDefinition: Portas IRC
  • BB:PortDefinition: Portas LDAP
  • BB:PortDefinition: Portas P2P
  • BB:PortDefinition: Portas de proxy
  • BB:PortDefinition: Portas RPC
  • BB:PortDefinition: Portas SNMP
  • BB:PortDefinition: Portas SSH
  • BB:PortDefinition: Portas do Windows
  • BB:ProtocolDefinition: Protocolos do Windows
  • BB:Threats: Varreduras de Porta: Varreduras de Host
  • BB:Threats: Varreduras de Porta: Varredura de Porta UDP
  • BB:Threats: Varredura: Fluxos Altos Responsivos Vazios
  • BB:Threats: Varredura: Fluxos Lentos Responsivos Vazios
  • BB:Threats: Varredura: Fluxos Médios Responsivos Vazios
  • BB:Threats: Varredura: Varredura Alta de ICMP
  • BB:Threats: Varredura: Varredura Lenta de ICMP
  • BB:Threats: Varredura: Varredura Média de ICMP
  • BB:Threats: Varredura: Varredura Potencial
  • BB:Threats: Varredura: Varredura Alta
  • BB:Threats: Varredura: Varredura Lenta
  • BB:Threats: Varredura: Varredura Média
  • BB:Threats: Uso de protocolo IP suspeito: Combinação Ilegal de sinalização TCP
  • BB:Threats: Uso de Protocolo IP Suspeito: Pacotes DNS Grandes
  • BB:Threats: Uso de Protocolo IP Suspeito: Pacotes ICMP Grandes
  • BB:Threats: Uso de protocolo IP suspeito: Fluxo de saída de longa duração
  • BB:Threats: Uso de protocolo IP suspeito: Código de tipo ICMP suspeito
  • BB:Threats: Uso de protocolo IP suspeito: Porta TCP ou UDP 0
  • BB:Threats: Uso de protocolo IP suspeito: Fluxos unidirecionais de ICMP
  • BB:Threats: Uso de protocolo IP suspeito: Respostas unidirecionais de ICMP
  • BB:Threats: Uso de protocolo IP suspeito: Fluxos bidirecionais de carga útil zero
  • BB:Threats: Uso de protocolo IP suspeito: Fluxos unidirecionais de TCP
  • BB:Threats: Uso de protocolo IP suspeito: Fluxos unidirecionais de TCP e diversos
  • Scanner de banco de dados L2L local
  • Scanner de FTP L2L local
  • Scanner de servidor IRC L2L local
  • Scanner de servidor LDAP L2L local
  • Scanner de servidor SSH L2L local
  • Eventos de análise suspeita de L2L local detectados
  • Scanner de banco de dados L2R local
  • Scanner de FTP L2R local
  • Scanner de servidor IRC L2R local
  • Scanner de servidor LDAP L2R local
  • Scanner de servidor RPC L2R local
  • Scanner de servidor SSH L2R local
  • Scanner de banco de dados remoto
  • Scanner de FTP remoto
  • Scanner de servidor IRC remoto
  • Scanner de servidor LDAP remoto
  • Scanner de servidor proxy remoto
  • Scanner de servidor RPC remoto
  • Scanner de servidor SSH remoto
  • Scanner de servidor Windows remoto

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo de reconhecimento 1.0.2

A tabela a seguir mostra os blocos de construção atualizados no IBM Security QRadar Reconnaissance Content Extension 1.0.2.

Tabela 2. Blocos de construção no IBM Security QRadar Reconnaissance Content Extension 1.0.2
Nome Descrição
BB:HostDefinition: Servidores proxy Incluídas BB:PortDefinition: Portas de proxy no teste de regra.
BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal Condição de regra removida: "e quando o tipo de fluxo é um desses tipos de fluxo."
BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito Condição de regra removida: "e quando o tipo de fluxo é um desses tipos de fluxo."
BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 Condição de regra removida: "e quando o tipo de fluxo é um desses tipos de fluxo."
BB:CategoryDefinition: SRC do fluxo unidirecional
BB:Flowshape: Somente saída Corresponde fluxos que são apenas de saída.
BB:CategoryDefinition: Reconciliar categorias de eventos Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento.
BB:CategoryDefinition: Categorias de eventos suspeitas Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
BB:Ameaças: Varrendo: Varredura baixa do ICMP Identifica um baixo nível de reconhecimento do ICMP.
BB:Ameaças: Uso do protocolo IP suspeito: Fluxos bidirecionais de carga útil zero Identifica um tráfego bidirecional que não inclui carga útil.
BB:Ameaças: Varrendo: Varredura alta Identifica um alto nível de potencial reconhecimento.
BB:CategoryDefinition: Fluxo unidirecional
BB:Ameaças: Uso do protocolo IP suspeito: Respostas do ICMP unidirecionais Identifica o tráfego no qual as respostas do ICMP são vistas sem solicitação.
BB:Ameaças: Uso do protocolo IP suspeito: Fluxos do ICMP unidirecionais Identifica fluxos do ICMP unidirecionais.
BB:Flowshape: Somente entrada Corresponde fluxos que são apenas de entrada.
BB:NetworkDefinition: Honeypot como endereços Edite este bloco de construção substituindo a outra rede pelos objetos de rede definidos em sua hierarquia de rede que não estão em uso atualmente na rede ou que são usados em uma instalação honeypot ou tarpit.

Após isso ser definido, deve-se ativar a regra Anomalia: Acesso ao Honeypot Potencial. Para gerar eventos baseados em tentativas de acesso, também deve-se incluir uma entrada de política/segurança nesses objetos de rede.

BB:CategoryDefinition: Reconciliar fluxos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
BB:Ameaças: Varreduras de portas: Varredura de porta UDP Identifica varreduras de portas baseadas em UDP.
BB:Ameaças: Varrendo: Varredura média do ICMP Identifica um nível médio de reconhecimento do ICMP.
BB:Ameaças: Varrendo: Fluxos baixos responsivos vazios Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 500.
BB:CategoryDefinition: Fluxos suspeitos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
BB:CategoryDefinition: Eventos suspeitos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
BB:Ameaças: Uso do protocolo IP suspeito: Fluxo de Saída de Longa Duração Identifica fluxos que estiveram ativos por mais de 48 horas.
BB:Ameaças: Varrendo: Fluxos médios responsivos vazios Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 5.000.
BB:Ameaças: Uso Uso do protocolo IP suspeito: Grandes pacotes do ICMP Identifica fluxos com pacotes do ICMP grandes de forma normal.
BB:Ameaças: Varrendo: Varredura alta do ICMP Identifica um alto nível de reconhecimento do ICMP.
BB:Ameaças: Varreduras de portas: Varreduras do host Identifica um possível reconhecimento por fluxos.
BB:Ameaças: Varrendo: Varredura média Identifica um nível médio de potencial reconhecimento.
BB:Ameaças: Varrendo: Varredura baixa Identifica um baixo nível de potencial reconhecimento.
BB:CategoryDefinition: Reconciliar eventos Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento.
BB:Ameaças: Varrendo: Varredura potencial Identifica um possível reconhecimento por fluxos.
BB:CategoryDefinition: DST do fluxo unidirecional
BB:Ameaças: Uso do protocolo IP suspeito: Fluxos de TCP unidirecionais Identifica fluxos TCP unidirecionais.
BB:Ameaças: Varrendo: Fluxos altos responsivos vazios Detecta potencial atividade reconhecimento em que a contagem de pacotes de origem é maior que 100.000.
BB:Ameaças: Uso do protocolo IP suspeito: Grandes pacotes do DNS Identifica fluxos com pacotes do DNS anormalmente grandes.
BB:Ameaças: Uso do protocolo IP suspeito: Fluxos UDP e diversos unidirecionais Identifica UDP unidirecional e outros fluxos diversos.
BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais Detecta um número excessivo de fluxos UDP e diversos unidirecionais que são de uma única origem.
BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais Detecta um número excessivo de fluxos UDP e diversos unidirecionais que são de uma única origem.

(Voltar para o topo)

IBM Segurança QRadar Reconhecimento Extensão de conteúdo 1.0.0

Os conjuntos de referência a seguir foram incluídos no IBM Security QRadar Reconnaissance Content Extension 1.0.0.

  • Servidores do Banco de Dados
  • Servidores DHCP
  • Servidores do Sistema de Nomes de Domínio
  • Servidores FTP
  • Servidores LDAP
  • Servidores de Correio
  • Servidores Proxy
  • Servidores SSH
  • Servidores da web
  • Servidores Windows

Os seguintes blocos de construção de regras foram incluídos no IBM Security QRadar Reconnaissance Content Extension 1.0.0.

Tabela 3. Regras e blocos de construção no IBM Security QRadar Reconnaissance Content Extension 1.0.0
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Reconciliar categorias de eventos Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento.
Bloco de construção BB:CategoryDefinition: Reconciliar eventos Edite esse bloco de construção para incluir todos os eventos que indicam atividade de reconhecimento.
Bloco de construção BB:CategoryDefinition: Reconciliar fluxos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:CategoryDefinition: Categorias de eventos suspeitas Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:CategoryDefinition: Eventos suspeitos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:CategoryDefinition: Fluxos suspeitos Edite esse bloco de construção para incluir todos os eventos que indicam atividade suspeita.
Bloco de construção BB:CategoryDefinition: Fluxo unidirecional  
Bloco de construção BB:CategoryDefinition: DST do fluxo unidirecional  
Bloco de construção BB:CategoryDefinition: SRC do fluxo unidirecional  
Bloco de construção BB:Flowshape: Somente entrada Corresponde fluxos que são apenas de entrada.
Bloco de construção BB:Flowshape: Somente saída Corresponde aos fluxos que são apenas de saída.
Bloco de construção BB:HostDefinition: Servidores de banco de dados Edite esse bloco de construção para definir servidores de banco de dados típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:FalsePositive: Categorias de falso positivo do servidor de banco de dados e BB:FalsePositive: Eventos de falso positivo do servidor de banco de dados.
Bloco de construção BB:HostDefinition: Servidores DHCP Edite esse bloco de construção para definir servidores DHCP típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:False Positive: Categorias de falso positivo do servidor DHCP e BB:FalsePositve: Eventos de falso positivo do servidor DHCP.
Bloco de construção BB:HostDefinition: Servidores DNS Edite esse bloco de construção para definir servidores DNS típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor DNS e BB:FalsePositve: Eventos Falsos Positivos do Servidor DNS.
Bloco de construção BB:HostDefinition: Servidores FTP Edite esse bloco de construção para definir servidores FTP típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor FTP e BB:FalsePositve: Eventos Falsos Positivos do Servidor FTP.
Bloco de construção BB:HostDefinition: Servidores LDAP Edite esse bloco de construção para definir servidores LDAP típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor LDAP e BB:FalsePositve: Eventos Falsos Positivos do Servidor LDAP.
Bloco de construção BB:HostDefinition: servidores de e-mail Edite esse bloco de construção para definir servidores de correio típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor de Correio e BB:FalsePositve: Eventos Falsos Positivos do Servidor de Correio.
Bloco de construção BB:HostDefinition: Servidores de gerenciamento de rede Edite esse bloco de construção para definir servidores de gerenciamento de rede típicos.
Bloco de construção BB:HostDefinition: Servidores proxy Edite esse bloco de construção para definir servidores proxy típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Proxy e BB:FalsePositve: Eventos Falsos Positivos do Servidor Proxy.
Bloco de construção BB:HostDefinition: Servidores RPC Edite esse bloco de construção para definir servidores RPC típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor RPC e BB:FalsePositve: Eventos Falsos Positivos do Servidor RPC.
Bloco de construção BB:HostDefinition: Servidores Edite esse bloco de construção para definir servidores genéricos.
Bloco de construção BB:HostDefinition: Remetente ou destinatário SNMP Edite esse bloco de construção para definir remetentes ou destinatários de SNMP. Este bloco de construção é usado juntamente com o bloco de construção BB:PortDefinition: Portas SNMP.
Bloco de construção BB:HostDefinition: Servidores SSH Edite esse bloco de construção para definir servidores SSH típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor SSH e BB:FalsePositve: Eventos Falsos Positivos do Servidor SSH.
Bloco de construção BB:HostDefinition: Definição de vírus e outros servidores de atualização Edite esse bloco de construção para incluir todos os servidores que incluem proteção contra vírus e funções de atualização.
Bloco de construção BB:HostDefinition: Servidores da Web Edite esse bloco de construção para definir servidores da Web típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor da Web e BB:FalsePositve: Eventos Falsos Positivos do Servidor da Web.
Bloco de construção BB:HostDefinition: Servidores Windows Edite esse bloco de construção para definir servidores Windows típicos, como controladores de domínio ou servidores Exchange. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Windows e BB:FalsePositve: Eventos Falsos Positivos do Servidor Windows.
Bloco de construção BB:HostReference: Servidores de banco de dados  
Bloco de construção BB:HostReference: Servidores DHCP  
Bloco de construção BB:HostReference: Servidores DNS  
Bloco de construção BB:HostReference: Servidores FTP  
Bloco de construção BB:HostReference: Servidores LDAP  
Bloco de construção BB:HostReference: servidores de e-mail  
Bloco de construção BB:HostReference: Servidores Proxy  
Bloco de construção BB:HostReference: Servidores SSH  
Bloco de construção BB:HostReference: Servidores da Web  
Bloco de construção BB:HostReference: Servidores Windows  
Bloco de construção BB:NetworkDefinition: Honeypot como endereços Edite esse bloco de construção substituindo a outra rede por objetos de rede definidos em sua hierarquia de rede, que não estão atualmente em uso em sua rede ou são usados em uma instalação de honeypot ou tarpit. Depois de terem sido definidas, deve-se ativar a regra Anomalia: Acesso ao honeypot potencial. Você também deve incluir uma sentinela de segurança/política para esses objetos de rede para gerar eventos com base na tentativa de acesso
Bloco de construção BB:PortDefinition: Portas do banco de dados Edite esse bloco de construção para incluir todas as portas de banco de dados comuns.
Bloco de construção BB:PortDefinition: Portas DHCP Edite esse bloco de construção para incluir todas as portas DHCP comuns.
Bloco de construção BB:PortDefinition: Portas DNS Edite esse bloco de construção para incluir todas as portas DNS comuns.
Bloco de construção BB:PortDefinition: Portas FTP Edite esse bloco de construção para incluir todas as portas FTP comuns.
Bloco de construção BB:PortDefinition: Portas do servidor de jogo Edite este bloco de construção para incluir todas as portas do servidor de jogo comum.
Bloco de construção BB:PortDefinition: Portas de IM Edite este bloco de construção para incluir todas as portas de IM comuns.
Bloco de construção BB:PortDefinition: Portas IRC Edite este bloco de construção para incluir todas as portas IRC comuns.
Bloco de construção BB:PortDefinition: Portas LDAP Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores LDAP.
Bloco de construção BB:PortDefinition: portas de e-mail Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores de correio.
Bloco de construção BB:PortDefinition: Portas P2P Edite este bloco de construção para incluir todas as portas comuns usadas por servidores Ponto a Ponto (P2P).
Bloco de construção BB:PortDefinition: Portas de Proxy Edite este bloco de construção para incluir todas as portas comuns usadas por servidores proxy.
Bloco de construção BB:PortDefinition: Portas RPC Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores RPC.
Bloco de construção BB:PortDefinition: Portas SNMP Edite esse bloco de construção para incluir todas as portas comuns usadas pelos remetentes ou destinatários de SNMP.
Bloco de construção BB:PortDefinition: Portas SSH Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores SSH.
Bloco de construção BB:PortDefinition: Portas Web Edite esse bloco de construção para incluir todas as portas comuns usadas pelos servidores da Web.
Bloco de construção BB:PortDefinition: Portas do Windows Edite este bloco de construção para incluir todas as portas comuns usadas por servidores Windows.
Bloco de construção BB:ProtocolDefinition: Protocolos do Windows Edite esse bloco de construção para incluir todos os protocolos comuns (não incluindo TCP) usados pelos servidores Windows que serão ignorados por regras de ajuste positivas falsas.
Bloco de construção BB:ReconDetected: Dispositivos que Mesclam Recon em Eventos Únicos Edite este bloco de construção para incluir todos os dispositivos que acumulam reconhecimento em vários hosts ou portas em um único evento. Esta regra força esses eventos a se tornarem ofensas.
Bloco de construção BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais Detecta um número excessivo de fluxos UDP unidirecionais e diversos a partir de uma fonte isolada.
Bloco de construção BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais Detecta um número excessivo de fluxos UDP unidirecionais e diversos a partir de uma fonte isolada.
Bloco de construção BB:Ameaças: Varreduras de portas: Varreduras do host Identifica um possível reconhecimento por fluxos.
Bloco de construção BB:Ameaças: Varreduras de portas: Varredura de porta UDP Identifica varreduras de portas baseadas em UDP.
Bloco de construção BB:Ameaças: Varrendo: Fluxos altos responsivos vazios Detecta potencial atividade reconhecimento em que a contagem de pacotes de origem é maior que 100.000.
Bloco de construção BB:Ameaças: Varrendo: Fluxos baixos responsivos vazios Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 500.
Bloco de construção BB:Ameaças: Varrendo: Fluxos médios responsivos vazios Detecta potencial atividade de reconhecimento em que a contagem de pacotes de origem é maior que 5.000.
Bloco de construção BB:Ameaças: Varrendo: Varredura alta do ICMP Identifica um alto nível de reconhecimento do ICMP.
Bloco de construção BB:Ameaças: Varrendo: Varredura baixa do ICMP Identifica um baixo nível de reconhecimento do ICMP.
Bloco de construção BB:Ameaças: Varrendo: Varredura média do ICMP Identifica um nível médio de reconhecimento do ICMP.
Bloco de construção BB:Ameaças: Varrendo: Varredura potencial Identifica um possível reconhecimento por fluxos.
Bloco de construção BB:Ameaças: Varrendo: Varredura alta Identifica um alto nível de potencial reconhecimento.
Bloco de construção BB:Ameaças: Varrendo: Varredura baixa Identifica um baixo nível de potencial reconhecimento.
Bloco de construção BB:Ameaças: Varrendo: Varredura média Identifica um nível médio de potencial reconhecimento.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal Identifica fluxos que possuem uma combinação de sinalização TCP.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Grandes pacotes do DNS Identifica fluxos com pacotes do DNS grandes de forma anormal
Bloco de construção BB:Ameaças: Uso Uso do protocolo IP suspeito: Grandes pacotes do ICMP Identifica fluxos com pacotes do ICMP grandes de forma anormal
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxo de Saída de Longa Duração Identifica fluxos que estiveram ativos por mais de 48 horas
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito Identifica fluxos do ICMP com códigos de tipo de ICMP suspeitos.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 Identifica fluxos suspeitos usando a porta 0.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos do ICMP unidirecionais Identifica fluxos do ICMP unidirecionais.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Respostas do ICMP unidirecionais Identifica o tráfego no qual as respostas do ICMP são vistas sem solicitação.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos bidirecionais de carga útil zero Identifica um tráfego bidirecional que não inclui carga útil.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos de TCP unidirecionais Identifica fluxos TCP unidirecionais.
Bloco de construção BB:Ameaças: Uso do protocolo IP suspeito: Fluxos UDP e diversos unidirecionais Identifica UDP unidirecional e outros fluxos diversos.
Regra Scanner de Banco de Dados Local L2L Relata uma varredura a partir de um host local em relação a outros destinos locais. Pelo menos 30 hosts foram digitalizados em 10 minutos.
Regra Scanner DHCP Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do DHCP comuns para mais de 60 hosts em 10 minutos.
Regra Scanner DNS Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum DNS portas para mais de 60 hosts em 10 minutos.
Regra Scanner FTP Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas FTP comuns para mais de 30 hosts em 10 minutos.
Regra Scanner de Servidor de Jogo Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de jogo comuns a mais de 60 hosts em 10 minutos.
Regra Scanner ICMP Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do ICMP comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor de IM Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor IM comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor IRC Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de IRC comuns para mais de 10 hosts em 10 minutos.
Regra Scanner de Servidor LDAP Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum LDAP portas para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor de Correio Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de correio comum para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor P2P Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor ponto a ponto (P2P) comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor Proxy Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor proxy comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor RPC Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor RPC comuns para mais de 60 hosts em 10 minutos.
Regra Scanner SNMP Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas com portar do servidor SNMP comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor SSH Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas SSH comuns para mais de 30 hosts em 10 minutos.
Regra Eventos de Análise Suspeita Local L2L Detectados Relata quando diversos eventos de reconhecimento ou suspeitos foram detectados a partir do mesmo endereço IP de origem local para mais de 5 endereços IP de destino em 4 minutos. Isso pode indicar diferentes formas de análise do host, como reconhecimento de Nmap, que tenta identificar os serviços e sistemas operacionais do destino.
Regra Scanner TCP Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas TCP comuns para mais de 60 hosts em 10 minutos.
Regra Scanner UDP Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas UDP comuns a mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor da Web Local L2L Relata um endereço IP de origem tentar reconhecimento conexões suspeitas em comum as portas do servidor da web ou local para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor Windows Local L2L Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas sobre portas do servidor comum do Windows para mais de 200 hosts em 20 minutos. Isso pode ser propenso a positivo falso para servidores Windows ocupados.
Regra Scanner de Banco de Dados Local L2R Relata uma varredura a partir de um host local em relação a outros destinos remotos. Pelo menos 30 hosts foram digitalizados em 10 minutos.
Regra Scanner DHCP Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do DHCP comuns para mais de 60 hosts em 10 minutos.
Regra Scanner DNS Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum DNS portas para mais de 60 hosts em 10 minutos.
Regra Scanner FTP Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas FTP comuns para mais de 30 hosts em 10 minutos.
Regra Scanner de Servidor de Jogo Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de jogo comuns a mais de 60 hosts em 10 minutos.
Regra Scanner ICMP Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do ICMP comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor de IM Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor IM comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor IRC Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de IRC comuns para mais de 10 hosts em 10 minutos.
Regra Scanner de Servidor LDAP Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum LDAP portas para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor de Correio Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas nas portas do servidor de correio comum para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor P2P Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor ponto a ponto (P2P) comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor Proxy Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor proxy comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor RPC Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas do servidor RPC comuns para mais de 60 hosts em 10 minutos.
Regra Scanner SNMP Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas com portar do servidor SNMP comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor SSH Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas SSH comuns para mais de 30 hosts em 10 minutos.
Regra Eventos de Análise Suspeita Local L2R Detectados Relata quando diversos eventos de reconhecimento ou suspeitos foram detectados a partir do mesmo endereço IP de origem local para mais de 5 endereços IP de destino em 4 minutos. Isso pode indicar diferentes formas de análise do host, como reconhecimento de Nmap, que tenta identificar os serviços e sistemas operacionais do destino.
Regra Scanner TCP Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas TCP comuns para mais de 60 hosts em 10 minutos.
Regra Scanner TCP Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em portas UDP comuns a mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor da Web Local L2R Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum as portas do servidor da Web remoto para mais de 400 hosts em 10 minutos.
Regra Scanner do Windows Local para Internet Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas sobre portas do servidor comum do Windows para mais de 60 hosts em 20 minutos. Esse é um comportamento de worm clássico.
Regra Scanner de Banco de Dados Remoto Relata uma varredura a partir de um host remoto em relação a outros destinos locais ou remotos. Pelo menos 30 hosts foram digitalizados em 10 minutos.
Regra Scanner DHCP Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do DHCP comum para mais de 30 hosts em 10 minutos.
Regra Scanner DNS Remoto Relata um endereço IP de origem tentando conexões de reconhecimento ou suspeitas em comum DNS portas para mais de 60 hosts em 10 minutos.
Regra Scanner FTP Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em comum as portas de FTP para mais de 30 hosts em 10 minutos.
Regra Scanner de Servidor de Jogo Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor de jogo comuns a mais de 30 hosts em 10 minutos.
Regra Scanner ICMP Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em comum ICMP portas para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor de IM Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas nas portas do servidor IM comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor IRC Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor de IRC comuns para mais de 10 hosts em 10 minutos.
Regra Scanner de servidor LDAP remoto Relata uma varredura a partir de um host remoto em relação a outros destinos locais ou remotos. Pelo menos 30 hosts foram digitalizados em 10 minutos.
Regra Scanner de Servidor de Correio Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas nas portas do servidor de correio comum para mais de 30 hosts em 10 minutos.
Regra Scanner P2P Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor ponto a ponto (P2P) comuns para mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor Proxy Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor proxy comuns para mais de 30 hosts em 10 minutos.
Regra Scanner de Servidor RPC Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor RPC comuns para mais de 30 hosts em 10 minutos.
Regra Scanner SNMP Remoto Relata varreduras a partir de um host remoto em relação a destinos locais ou remotos. Pelo menos 30 hosts foram digitalizados em 10 minutos.
Regra Scanner do Servidor SSH remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas SSH comuns para mais de 30 hosts em 10 minutos.
Regra Eventos de Análise Suspeita Remota Detectados Relata diversos suspeitos ou eventos de reconhecimento a partir do mesmo endereço IP de origem remota para mais de 5 endereços IP de destino em 4 minutos. Isso pode indicar diversas formas de análise do host, como reconhecimento de Nmap que tenta identificar os serviços e o sistema operacional dos destinos.
Regra Scanner TCP Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas TCP comuns para mais de 60 hosts em 10 minutos.
Regra Scanner UDP Remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas sobre portas UDP comuns a mais de 60 hosts em 10 minutos.
Regra Scanner de Servidor da Web Remoto Relata um host remoto tentar reconhecimento conexões suspeitas em comum as portas do servidor da web ou local para mais de 60 hosts em 10 minutos.
Regra Scanner de servidor Windows remoto Relata um host remoto tentando conexões de reconhecimento ou suspeitas em portas do servidor do Windows comuns para mais de 60 hosts em 10 minutos.
Regra Scanner Local de Eventos de Recon. Mesclados Único Relata eventos de reconhecimento mesclados gerados por alguns dispositivos. Esta regra faz com que todos esses eventos criem uma ofensa. Todos os dispositivos desse tipo e suas categorias devem ser incluídos no bloco de construção BB:ReconDetected: Dispositivos que mesclam reconciliações em eventos únicos.
Regra Scanner Remoto de Eventos de Recon. Mesclados Único Relata eventos de reconhecimento mesclados gerados por alguns dispositivos. Todos os dispositivos desse tipo e suas categorias devem ser incluídos no bloco de construção BB:ReconDetected: Dispositivos que mesclam reconciliações em eventos únicos.

(Voltar para o topo)