UEBA: Detectar sessão SSH persistente

O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.

UEBA: Detectar sessão SSH persistente

Ativado por Padrão

Não

senseValue padrão

22

senseValueSource padrão

22

senseValueDestination padrão

22

Descrição

Detecta sessões SSH que estão ativas por mais de 10 horas.

Regras de suporte

  • BB:UBA: Filtros de Eventos Comuns
  • BB:UBA: Sessão SSH fechada
  • BB:UBA: Sessão SSH Aberta

Configuração Necessária

Esta regra requer que os eventos SSH Aberto e SSH Fechado ocorram para uma detecção precisa. Se a origem de log que é usada não tiver um eventID para ambos os eventos, você poderá receber resultados imprecisos. Consulte as Origens de dados para determinar os eventIDs para a origem de log em uso.

Tipos de origem de log (SSH aberta)

Centrificar serviços de infraestrutura (EventID: 27100, 27104)

Cisco IOS (EventID: %SSH-5-SSH2_SESSION, %SSH-SW2-5-SSH2_SESSION)

Custom Rule Engine (EventID: 18037, 3071)

Cyber-Ark Vault (EventID: 378)

Roteadores de segurança do Extreme XSR (EventID: NEW_SSH_CONNECTION)

Flow Classification Engine (EventID: 3071, 18037)

Huawei S Series Switch (EventID: SSH/4/SFTP_REQ_RECORD)

HyTrust CloudControl (EventID: AUN0120, desconhecido)

IBM AIX Server (EventID: conexão sshd2 estabelecida, conexão ssh-server, sessão ssh-server abrir)

IBM DataPower (EventID: 0x8100011e, 0x810001e4, 0x810001e5)

Juniper MX Series Ethernet Services Router (EventID: SSH)

Juniper Networks AVT (EventID: SSH)

Mac OS X (EventID: sessão ssh do OSX iniciada)

Qidmap de serviços do S.O. (EventID: conexão a partir de, pam_open_session, pam_sm_open_session)

Mensagens de autenticação do sistema operacional Solaris (EventID: sessão ssh aberta)

DSM Universal (EventID: SSH aberto, sessão SSH iniciada)

Tipos de origem de log (SSH fechada)

Aruba Mobility Controller (EventID: sshd_disconnect)

Centrificar serviços de infraestrutura (EventID: 27102)

Cisco IOS (EventID: %SSH-5-SSH_CLOSE, %SSH-SW2-5-SSH2_CLOSE, %SSH-5-SSH2_CLOSE)

Custom Rule Engine (EventID: 3072, 18038, 18040)

Cyber-Ark Vault (EventID: 380, 381)

Flow Classification Engine (EventID: 3072, 18038, 18040)

Huawei S Series Switch (EventID: SSH/6/RECV_DISCONNECT)

IBM AIX Server (EventID: desconexão do servidor ssh, conexão sshd2 perdida, desconexão de SSH, desconexão local do sshd2, encerramento de sessão do servidor ssh)

Qidmap de serviços do S.O. (EventID: concluído com conexão, pam_sm_close_session, pam_close_session, não recebeu sequência de identificação, tempo de conexão esgotado, desconexão recebida do IP, conexão fechada)

Pulse Secure Pulse Connect Secure (EventID: GWE24572)

DSM Universal (EventID: SSH finalizado, sessão SSH concluída, SSH fechado)