Baseline Maintenance
A IBM Security QRadar Baseline Maintenance Content Extension atualiza várias regras, blocos de construção e outros conteúdos do modelo corporativo principal no QRadar.
Sobre a extensão Baseline Maintenance
A instalação dessa extensão não impacta as regras modificadas pelo usuário, mas atualiza o modelo de regra para corrigir problemas de regras e blocos de construção e o ajuste de desempenho em várias categorias. Propriedades customizadas, procuras ou itens de painel que são instalados pelo aplicativo sobrescrevem valores existentes para mantê-los atualizados.
IBM Security QRadar Extensão de Conteúdo de Manutenção de Linha de Base 2.0.0 e posterior requer QRadar 7.3.3 Fix Pack 4 ou posterior. Se você estiver usando uma versão anterior do QRadar, use IBM Security QRadar Baseline Maintenance Content Extension 1.1.0 em seu lugar.
O IBM Security QRadar Baseline Maintenance Content Extension 2.0.0 não inclui nenhum conteúdo do IBM Security QRadar Baseline Maintenance Content Extension 1.1.0 ou anterior. Esse conteúdo é incluído no QRadar 7.3.3 Fix Pack 4 e mais recente por padrão
Versão da extensão do Baseline Maintenance padrão
IBM Security QRadar é instalado com a seguinte extensão de Manutenção de Linha de Base como padrão.
- IBM Security QRadar versão 7.4.0 FP3, 7.4.1, 7.4.2e 7.4.3 são instalados com o IBM Security QRadar Baseline Maintenance Content Extension 1.1.0.
- IBM Security QRadar versão 7.3.3 FP4 e 7.4.0 são instalados com o IBM Security QRadar Baseline Maintenance Content Extension 1.0.10, que foi posteriormente renumerado para 1.1.0.
- O IBM Security QRadar versão 7.3.3 é instalado com o IBM Security QRadar Baseline Maintenance Content Extension 1.0.8.
- O IBM Security QRadar versão 7.3.2 é instalado com o IBM Security QRadar Baseline Maintenance Content Extension 1.0.4.
IBM Security QRadar Extensões de Conteúdo de Manutenção de Linha de Base
- IBM Segurança QRadar Manutenção básica Extensão de conteúdo 2.2.6
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.5
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.4
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.3
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.2
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.1
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.1.0
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.0.0
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.1.0
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.9
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.8
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.7
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.6
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.5
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.4
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.3
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.2
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.1
- IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.0
IBM Segurança QRadar Manutenção básica Extensão de conteúdo 2.2.6
A tabela a seguir mostra as regras novas ou atualizadas em IBM Segurança QRadar Manutenção da linha de base Conteúdo Extensão 2.2.6.
| Nome | Descrição |
|---|---|
| Sistema: Notificação | Adicionados quatro novos QIDs. Essa regra assegura que os eventos de notificação sejam enviados para a estrutura de notificação |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.5
A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.5.
| Nome | Descrição |
|---|---|
| Sistema: Notificação | Incluídos dois novos QIDs. Essa regra assegura que os eventos de notificação sejam enviados para a estrutura de notificação |
A tabela a seguir mostra as propriedades customizadas que foram atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.5.
| Nome da propriedade anterior | Nome da propriedade atualizado |
|---|---|
| EventID | ID de Evento |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.4
A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.4.
| Nome | Descrição |
|---|---|
| Sistema: Notificação | Incluídos dois novos QIDs. Essa regra assegura que os eventos de notificação sejam enviados para a estrutura de notificação |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.3
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.3.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| SHA1 Hash | Sim | 1 | \bSHA1[":]+"([^"]*)" Sha1":"(.*?)" |
| Categoria da ameaça | Não | 1 | ThreatCategory":"(.*?)" |
| Família de ameaça | Não | 1 | ThreatFamily":"(.*?)" |
| Severidade da ameaça | Não | 1 | Severity":"(.*?)" |
A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.3.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Contas de Superusuário | Define todos os eventos em que os nomes de usuários são contas de superusuário. |
| Bloco de construção | BB:DeviceDefinition: Dispositivos de proteção de terminal | Define todos os dispositivos de proteção de terminais no sistema |
| Bloco de construção | BB:NetworkDefinition: Segmento de rede de destino confiável | Define segmentos de rede de destino confiável. |
| Bloco de construção | BB:NetworkDefinition: Segmento de rede de origem confiável | Define segmentos de rede de origem confiável |
| Regra | Carregar Blocos de Construção Básicos | Carrega blocos de construção que precisam ser executados para auxiliar com a criação de relatórios. Esta regra não possui ações ou respostas. |
| Regra | Sistema: Notificação | Garante que eventos de notificação são enviados para a estrutura de notificação. |
A tabela a seguir mostra a procura salva que foi atualizada no IBM Security QRadar Extensão de Conteúdo de Manutenção de Linha de Base 2.2.3
| Procura salva | Descrição |
|---|---|
| Eventos de Malware Por Nome | Procurar para descrever Malware localizado no sistema por nome. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.2
A tabela a seguir mostra as regras novas ou atualizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.2.
| Nome | Descrição |
|---|---|
| Botnet: potencial conexão Botnet (DNS) | Aciona quando um host está se conectando ou tentando se conectar a um servidor DNS na internet. Isso pode indicar um host se conectando a um Botnet. O host deve ser investigado quanto a código malicioso. |
| Host de Correspondência em Massa Local Detectado | Aciona quando um host local está enviando mais de 20 fluxos SMTP em 1 minuto. Isso pode indicar um host usado como um retransmissor de spam ou foi infectado com uma forma de worm de envio de e-mail em massa. |
| Local: FTP detectado na porta não padrão | Aciona quando uma comunicação de FTP local é observada em uma porta não padrão. A porta padrão para FTP é a porta TCP 21. Detectar FTP em outras portas pode indicar um host comprometido, onde o invasor instalou este serviço para fornecer acesso backdoor ao host. |
| Local: SSH ou Telnet detectado na porta não padrão | Aciona quando uma comunicação local SSH ou Telnet é observada em uma porta não padrão. A porta padrão para servidores SSH e Telnet é a porta TCP 22 e 23. Detectar SSH ou Telnet operando em outras portas pode indicar um host comprometido, onde o invasor instalou esses servidores para fornecer acesso backdoor ao host. |
| Potencial Acesso ao Honeypot | Aciona quando um evento envolve uma origem ou destino que é definido como um endereço honeypot ou tarpit. Antes de ativar esta regra, deve-se configurar o bloco de construção BB:NetworkDefinition: Honeypot como endereços. |
| Sistema: Notificação | Garante que eventos de notificação são enviados para a estrutura de notificação. Um novo QID foi incluído. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.2.1
A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.2.1.
| Nome | Descrição |
|---|---|
| AssetExclusion: Excluir nome de DNS por IP | Inclui na lista de bloqueio um nome DNS que está associado a N endereços IP diferentes ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir nome de DNS por endereço MAC | Inclui na lista de bloqueio um nome DNS que está associado a N MACs diferentes ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir nome de DNS por nome de NetBIOS | Inclui na lista de bloqueio um nome DNS que está associado a N nomes diferentes do NetBIOS ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir IP por nome de DNS | Inclui na lista de bloqueio um endereço IP que está associado a N nomes DNS diferentes ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir IP por endereço MAC | Inclui na lista de bloqueio um endereço IP que está associado a N endereços MAC diferentes ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir IP por nome de NetBIOS | Inclui na lista de bloqueio um endereço IP que está associado a N nomes diferentes do NetBIOS ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir endereço MAC por nome de DNS | Inclui na lista de bloqueio um endereço MAC que está associado a N Nomes DNS diferentes ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir endereço MAC por IP | Inclui na lista de bloqueio um endereço MAC que está associado a N diferentes endereços IPv4 ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir endereço MAC por nome de NetBIOS | Inclui na lista de bloqueio um endereço MAC que está associado a N nomes diferentes do NetBIOS ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir nome de NetBIOS por nome de DNS | Inclui na lista de bloqueio um nome NetBIOS que está associado a N nomes DNS diferentes ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir nome de NetBIOS por IP | Inclui na lista de bloqueio um nome NetBIOS que está associado a N diferentes endereços IPv4 ao longo de um determinado intervalo de tempo. |
| AssetExclusion: Excluir nome de NetBIOS por endereço MAC | Inclui na lista de bloqueio um nome NetBIOS que está associado a N endereços MAC diferentes ao longo de um determinado intervalo de tempo. |
| Sistema: Notificação | Novos QIDs incluídos. |
A tabela a seguir mostra os conjuntos de referência que são novos ou atualizados no IBM Security QRadar Baseline Maintenance Content Extension 2.2.1.
| Nome | Descrição |
|---|---|
| Lista de bloqueios de DNS de reconciliação de ativos | Uma lista de boqueio de nomes DNS. |
| Lista de permissões de DNS de reconciliação de ativos | Uma lista de permissões de nomes DNS. |
| Lista de bloqueios de IPv4 de reconciliação de ativos | Uma lista de bloqueio de endereços IP. |
| Lista de permissões de IPv4 de reconciliação de ativos | Uma lista de permissões de endereços IP. |
| Lista de bloqueios de MAC de reconciliação de ativos | Uma lista de bloqueios de endereços MAC. |
| Lista de permissões de MAC de reconciliação de ativos | Uma lista de permissões de endereços MAC. |
| Lista de bloqueios de NetBIOS de reconciliação de ativos | Uma lista de bloqueios de nomes de host NetBIOS. |
| Lista de permissões de NetBIOS de reconciliação de ativos | Um lista de permissões de nomes de host NetBIOS. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.1.0
A tabela a seguir mostra os blocos de construção que são novos ou atualizados no IBM Security QRadar Baseline Maintenance Content Extension 2.1.0.
| Nome | Descrição |
|---|---|
| BB:CategoryDefinition: Sucesso de Autenticação | Edite esse bloco de construção para incluir todos os eventos que indicam tentativas bem-sucedidas de acessar a rede. |
| BB:CategoryDefinition: Auditoria mudada | Identifica eventos de auditoria mudados. |
| BB:DeviceDefinition: nuvem | Define todas as origens de nuvem no sistema. |
| BB:FalsePositive: Eventos de autenticação de origem do Windows AD | Define os endereços de autenticação do Windows ou de servidores do Active Directory. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.0.0
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 2.0.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Events per Second Coalesced - Average 1 Min | Sim | 1 | StatFilter.+60s\:(\d+)\,\d+\s |
| Events per Second Coalesced - Peak 1 Sec | Sim | 1 | StatFilter.+1s\:(\d+)\,\d+\s |
| Events per Second Raw - Average 1 Min | Sim | 1 | StatFilter.+60s\:\d+\,(\d+)\s |
| Events per Second Raw - Peak 1 Sec | Sim | 1 | StatFilter.+1s\:\d+\,(\d+)\s |
| Pai | Sim | 1 | \[parent=(.+?)\].+StatFilter |
A tabela a seguir mostra as regras novas ou atualizadas no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 2.0.0.
| Nome | Descrição |
|---|---|
| Primeiro acesso de usuário a ativo crítico | A regra foi corretamente vinculada ao mapa de referência Autenticação ou uso do sistema do usuário - IP de conjuntos. |
| Taxa de transferência alta de transferência de saída grande | O limite foi atualizado para 500 MB |
| Taxa de transferência lenta de transferência de saída grande | O limite foi atualizado para 500 MB |
| Limpeza de Malware ou Vírus com Falha | Detecta quando um sistema detectou um vírus e falhou ao limpá-lo ou removê-lo. Novos QIDs incluídos. |
| Sistema: Notificação | Assegura que os eventos de notificação serão enviados para a estrutura de notificação. Um novo QID foi incluído. |
A tabela a seguir mostra os dados de referência que são novos ou atualizados no IBM Security QRadar Baseline Maintenance Content Extension 2.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Ativos críticos | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Mapa de Referência de Conjuntos | Autenticação ou Uso do Usuário-Sistema | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
A tabela a seguir mostra a procura salva que é atualizada no IBM Security QRadar Baseline Maintenance Content Extension 2.0.0.
| Procura salva | Descrição |
|---|---|
| Taxa do Evento (EPS) | A Procura salva foi atualizada para usar um filtro adicional em Pai não é N/A. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.1.0
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 1.1.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Resumo de evento | Sim | 1 | sum=([^\t]+) |
A tabela a seguir mostra os blocos de construção que são novos ou atualizados no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.1.0.
| Nome | Descrição |
|---|---|
| BB:HostDefinition: Servidores DHCP | Edite esse bloco de construção para definir servidores DHCP típicos. Este bloco de construção é usado em conjunto com os blocos de construção BB:False Positive: Categorias de falso positivo do servidor DHCP e BB:FalsePositve: Eventos de falso positivo do servidor DHCP. |
| BB:HostDefinition: Servidores DNS | Edite esse bloco de construção para definir servidores DNS típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor DNS e BB:FalsePositve: Eventos Falsos Positivos do Servidor DNS. |
| BB:HostDefinition: Servidores proxy | Edite esse bloco de construção para definir servidores proxy típicos. Este bloco de construção é usado juntamente com os blocos de construção BB:FalsePositive: Categorias de Falsos Positivos do Servidor Proxy e BB:FalsePositve: Eventos Falsos Positivos do Servidor Proxy. |
| BB:HostReference: Servidores de banco de dados | Inclua os endereços IP de servidor de banco de dados no conjunto de referência Servidores de banco de dados - IP. |
| BB:HostReference: Servidores DHCP | Inclua os endereços IP de servidor DHCP no conjunto de referência Servidores DHCP - IP. |
| BB:HostReference: Servidores DNS | Inclua os endereços IP de servidor DNS no conjunto de referência Servidores DNS - IP. |
| BB:HostReference: Servidores FTP | Inclua os endereços IP de servidor FTP no conjunto de referência Servidores FTP - IP. |
| BB:HostReference: Servidores LDAP | Inclua os endereços IP de servidor LDAP no conjunto de referência Servidores LDAP - IP. |
| BB:HostReference: servidores de e-mail | Inclua os endereços IP de servidor de e-mail no conjunto de referência Servidores de e-mail - IP. |
| BB:HostReference: Servidores Proxy | Inclua os endereços IP de servidor proxy no conjunto de referência Servidores proxy - IP. |
| BB:HostReference: Servidores SSH | Inclua os endereços IP de servidor SSH no conjunto de referência Servidores SSH - IP. |
| BB:HostReference: Servidores da Web | Inclua os endereços IP de servidor da web no conjunto de referência Servidores da web - IP. |
| BB:HostReference: Servidores Windows | Inclua os endereços IP de servidor Windows no conjunto de referência Servidores Windows - IP. |
A tabela a seguir mostra o conjunto de referência que é atualizado no IBM Security QRadar Baseline Maintenance Content Extension 1.1.0.
| Conjunto de referência | Descrição |
|---|---|
| Implementação do QRadar | Corrija o número de endereços IP contidos neste conjunto de referência. |
A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Baseline Maintenance Content Extension 1.1.0.
| Procura salva | Descrição |
|---|---|
| Desviando o crescimento do ativo: relatório de ativo | Atualizado para permitir que a procura seja traduzida. |
| Desviando o crescimento do ativo: relatório de origem de log | Atualizado para permitir que a procura seja traduzida. |
| Taxa do Evento (EPS) | Foi realizada a atualização de uma função EPS para uma função de contagem, mudando o valor de procura de Média para Contagem. |
| Taxa de Fluxo (FPS) | Foi realizada a atualização de uma função FPS para uma função de contagem, mudando o valor de procura de Média para Contagem. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.9
A tabela a seguir mostra as regras e os blocos de construção novos ou atualizados no IBM Security QRadar Baseline Maintenance Content Extension 1.0.9.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Carregar Blocos de Construção Básicos | Esta regra carrega blocos de construção que precisam ser executados para ajudar com relatórios. Esta regra não possui ações ou respostas. Os blocos de construção a seguir foram incluídos nesta regra:
|
| Bloco de construção | BB:CategoryDefinition: Modificações do usuário ou função do SIEM | Incluído novo bloco de construção. Verifica o QID específico para o usuário do QRadar e a criação e a modificação de função. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.8
A tabela a seguir mostra as propriedades customizadas novas ou atualizadas no IBM Security QRadar Extensão de Conteúdo de Manutenção de Linha de Base 1.0.8
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Caminho de Arquivo | Não | 1 | filePath=([^\t]+)[\t]* |
| Acessos | Sim | 1 | Accesses: (.*?) Privileges: |
| Intenção de Acesso | Sim | 1 | intent=([^\t]+) |
As propriedades customizadas Avt-App-VolumePackets, AVT-App-NAme, AVT-App-VolumeBytes e AVT-App-Category foram removidas nesta liberação.
A tabela a seguir mostra as regras e os blocos de construção novos ou atualizados no IBM Security QRadar Baseline Maintenance Content Extension 1.0.8.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Sistema: Notificação | QID 38750002 removido para aviso geral. |
| Bloco de construção | BB:DeviceDefinition: proxy | Incluídos novos dispositivos: Forcepoint V Series, Microsoft ISA, McAfee Web Gateway. |
| Bloco de construção | BB:DeviceDefinition: nuvem | Incluído novo bloco de construção. Define todos os dispositivos de Nuvem no sistema. |
| Bloco de construção | BB:DeviceDefinition: dispositivos DLP | Incluído novo bloco de construção. Define todos os dispositivos de prevenção de perda de dados (DLP) no sistema. |
| Bloco de construção | BB:DeviceDefinition: e-mail | Incluído novo bloco de construção. Define todos os dispositivos de Correio no sistema. |
| Bloco de construção | BB:DeviceDefinition: sistema operacional | Incluído novo bloco de construção. Define todos os Sistemas Operacionais no sistema. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.7
A tabela a seguir mostra as propriedades customizadas novas ou alteradas na IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.7.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Nome do host de destino | Sim | 1 | dstHostName=([^\t]+)[\t]* |
| EventID | Sim | 1 | \d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+) |
A tabela a seguir mostra as regras e os blocos de construção novos ou alterados no IBM Security QRadar Baseline Maintenance Content Extension 1.0.7.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Sistema: Notificação | Essa regra garante que os eventos de notificação será enviada para a estrutura de notificação. Novos QIDs incluídos. |
| Bloco de construção | BB:HostReference: Servidores de banco de dados | Este bloco de construção define servidores de banco de dados típicos. |
| Bloco de construção | BB:HostReference: Servidores DHCP | Este bloco de construção define servidores DHCP típicos. |
| Bloco de construção | BB:HostReference: Servidores DNS | Este bloco de construção define servidores DNS típicos. |
| Bloco de construção | BB:HostReference: Servidores FTP | Este bloco de construção define servidores FTP típicos. |
| Bloco de construção | BB:HostReference: Servidores LDAP | Este bloco de construção define servidores LDAP típicos. |
| Bloco de construção | BB:HostReference: servidores de e-mail | Este bloco de construção define servidores de e-mail típicos. |
| Bloco de construção | BB:HostReference: Servidores SSH | Este bloco de construção define servidores SSH típicos. |
| Bloco de construção | BB:HostReference: Servidores da Web | Este bloco de construção define servidores da web típicos. |
| Bloco de construção | BB:HostReference: Servidores Windows | Este bloco de construção define servidores Microsoft Windows típicos. |
| Bloco de construção | BB:CategoryDefinition: Sucesso de Autenticação | Bloco de construção atualizado para remover 2 LLCs: Escalada de Privilégio com Sucesso e Senha Alterada com Sucesso. |
| Bloco de construção | BB:CategoryDefinition: Falha na Autenticação | Bloco de construção atualizado para remover 2 LLCs: Escalada de Privilégio com Falha e Senha Alterada com Falha. |
A tabela a seguir mostra as procuras salvas novas ou alteradas em IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.7.
| Nome | Descrição |
|---|---|
| Logins de SSH | Procure recuperar os sucessos de autenticação no próprio sistema QRadar (web e SSH). |
| Logins da IU | Procure recuperar os sucessos de autenticação no próprio sistema QRadar (web e SSH). |
| Ofensas ao longo do tempo | Procure recuperar os sucessos de autenticação no próprio sistema QRadar (web e SSH). |
| Desviando o crescimento do ativo: relatório de ativo | Procure recuperar os sucessos de autenticação no próprio sistema QRadar (web e SSH). |
| Desviando o crescimento do ativo: relatório de origem de log | Procure recuperar os sucessos de autenticação no próprio sistema QRadar (web e SSH). |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.6
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Extensão de Conteúdo de Manutenção de Linha de Base 1.0.6
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| ObjectName | Sim | 1 | ObjectName: (.*) |
| Resumo de evento | Sim | 1 | sum=([^\t]+) |
| EventID | Sim | 1 | \d{1,2}\:\d{1,2}\:\d{1,2}\s+\d{1,4}\s+(\d+) |
| Auditoria de login SSH | Sim | 1 | \[Authentication\] \[User\] \[(UserLogin|LoginAttempt)\].*? on host .* |
| Host de origem de log | Sim | 1 | \s+hostName=(\S+) |
| VirusName | Sim | 1 | Virus Name: (.*?), |
| Identificador de objeto de auditoria | Sim | 1 | \s+id=(\S+) |
A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Baseline Maintenance Content Extension 1.0.6.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Auditoria mudada | Incluídos novos QIDs e removidos alguns outros QIDs. |
| Bloco de construção | BB:CategoryDefinition: conexões com o banco de dados com sucesso | Alterado o nome de BB:CategoryDefinition: conexões com o banco de dados. Removido Registro de auditoria do Oracle RDBMS e incluído BB:DeviceDefinition: banco de dados. |
| Bloco de construção | BB:CategoryDefinition: ataques maliciosos | Alterado o nome de BB: ataques maliciosos. Edite esse bloco de construção para definir ataques maliciosos. |
| Regra | Destino vulnerável à exploração detectada | Detecta um ataque em relação a um destino local vulnerável, onde o host é conhecido por existir, e o host é vulnerável ao ataque. |
| Regra | Destino vulnerável à exploração detectada em uma porta diferente | Detecta um ataque com relação a um host de destino local vulnerável, onde o host é conhecido como existir, e o host é vulnerável ao ataque em uma porta diferente. |
| Regra | Destino vulnerável à exploração diferente da porta de destino ou da porta em que houve tentativa | Detecta um ataque com relação a um host de destino local vulnerável, onde o host é conhecido por existir, e o host é vulnerável a algum ataque, mas não à tentativa que está sendo feita. |
A tabela a seguir mostra as procuras salvas no IBM Security QRadar Baseline Maintenance Content Extension 1.0.6.
| Nome | Descrição |
|---|---|
| Logins de SSH | Procure recuperar os sucessos de autenticação do ssh no próprio sistema QRadar . |
| Logins da IU | Procure recuperando os sucessos de autenticação da IU no próprio sistema QRadar |
IBM Security QRadar Extensão de Conteúdo de Manutenção de Linha de Base 1.0.5 ..
A tabela a seguir mostra as propriedades customizadas que são atualizadas na IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.5.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Events per Second Raw - Peak 1 Sec | Sim | 1 | StatFilter.+1s\:\d+\,\d+\s\(peak\s\d+\,(\d+) |
| Events per Second Coalesced - Peak 1 Sec | Sim | 1 | StatFilter.+1s\:\d+\,\d+\s\(peak\s(\d+) |
| AccountName | Sim | 2 | Account Name:\s*(.+?)\s+Account Name:\s*(.+?)\s+ |
A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Baseline Maintenance Content Extension 1.0.5.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: IDS / IPS | Define todos os sistemas de detecções de intrusão (IDS) e os sistemas de prevenção de intrusão (IPS) no sistema. |
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Define todos os firewalls, roteadores e comutadores no sistema. |
| Bloco de construção | BB:DeviceDefinition: VPN | Define todas as redes privadas virtuais (VPN) no sistema. |
| Bloco de construção | BB:DeviceDefinition: Banco de Dados | Define todos os bancos de dados no sistema. |
| Bloco de construção | BB:DeviceDefinition: proxy | Define todas as origens de proxy no sistema. |
| Bloco de construção | BB:DeviceDefinition: Áudio/Vídeo | Define todos os sistemas antivírus (AV) e anti-malware (AM) no sistema. |
| Bloco de construção | BB:HostDefinition: Servidores | Edite esse bloco de construção para definir servidores genéricos. |
| Bloco de construção | BB:Eventos com Falha | Edite esse bloco de construção para definir os eventos com falha. |
| Bloco de construção | BB:Eventos do administrador de TI | Edite este bloco de construção para definir ações executadas pela equipe de administração de TI. |
| Bloco de construção | BB:Eventos de violação da política do contratado externo | Edite esse bloco de construção para definir as violações de política causadas por contratados externos. |
| Bloco de construção | BB:Eventos de violação de política do trabalhador móvel | Edite esse bloco de construção para definir violações de política causadas por trabalhadores remotos. |
| Bloco de construção | BB: Eventos de violação da política de teletrabalho | Edite esse bloco de construção para definir as violações de política causadas por trabalhadores remotos. |
| Bloco de construção | BB:Eventos com falha do contratado externo | Edite esse bloco de construção para definir falhas causadas por contratados externos. |
| Bloco de construção | BB:Eventos com falha do trabalhador móvel | Edite esse bloco de construção para definir falhas causadas por trabalhadores remotos. |
| Bloco de construção | BB:Eventos com falha do teletrabalhador | Edite esse bloco de construção para definir falhas causadas por trabalhadores remotos. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Combinação de sinalização de TCP ilegal | Identifica fluxos que possuem uma combinação de sinalização TCP. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Código de tipo de ICMP suspeito | Identifica fluxos do Internet Control Message Protocol (ICMP) com códigos de tipo do ICMP suspeitos. |
| Bloco de construção | BB:Ameaças: Uso do protocolo IP suspeito: Porta TCP ou UDP 0 | Identifica fluxos suspeitos usando a porta 0. |
| Bloco de construção | BB:CategoryDefinition: escaladas de privilégio | Identifica uma escalada de privilégio em um evento. |
| Bloco de construção | BB:CategoryDefinition: escala de privilégio com falha | Identifica uma escalada de privilégio com falha em um evento. |
| Bloco de construção | BB:ataques Maliciosos | Edite esse bloco de construção para definir ataques maliciosos. |
| Regra | Limpeza de Malware ou Vírus com Falha | Detecta quando um sistema detectou um vírus e falhou ao limpá-lo ou removê-lo. Incluídos os novos QIDs a seguir:
|
| Regra | Vulnerabilidades: vulnerabilidade reportada pelo scanner | Detecta quando uma vulnerabilidade foi descoberto em um host local. |
| Regra | Política: Novo Serviço Descoberto | Detecta quando um host existente tem um novo serviço descoberto. |
| Regra | Política: novo serviço descoberto na DMZ | Detecta quando um host existente tem um novo serviço descoberto. |
| Regra | Política: Novo Host Descoberto | Detecta quando um novo host foi descoberto na rede. |
| Regra | Política: novo host descoberto na DMZ | Detecta quando um novo host foi descoberto na rede. |
| Regra | Destino vulnerável à exploração detectada | Detecta um ataque em relação a um destino local vulnerável, onde o host é conhecido por existir, e o host é vulnerável ao ataque. |
| Regra | Destino vulnerável à exploração detectada em uma porta diferente | Detecta um ataque com relação a um host de destino local vulnerável, onde o host é conhecido como existir, e o host é vulnerável ao ataque em uma porta diferente. |
A tabela a seguir mostra os relatórios no IBM Security QRadar Baseline Maintenance Content Extension 1.0.5.
| Nome do Relatório | Nome da Procura e Dependências |
|---|---|
| Eventos de login com sucesso | Procura Salva: Logins de SSH, Logins de UI Conjunto de Referência: Implementação do QRadar Edite as procuras salvas e o conjunto de referência para refinar os resultados. |
A tabela a seguir mostra os dados de referência no IBM Security QRadar Baseline Maintenance Content Extension 1.0.5.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Implementação do QRadar | Lista de endereços IP do QRadar .. Este conjunto de referência é usado pela procura salva Logins de UI. Por padrão, ele contém 127.0.0.1 e o intervalo designado aos aplicativos (169.254.3.1 a 169.254.3.10). Edite essa lista conforme necessário. |
| Mapa de Referência de Conjuntos | CorrelatedAttackMap | Este mapa de referência de conjuntos mapeia endereços IP de destino com o QID. |
A tabela a seguir mostra as procuras salvas no IBM Security QRadar Baseline Maintenance Content Extension 1.0.5.
| Nome | Descrição |
|---|---|
| Desviando o crescimento do ativo: relatório de ativo | Esta procura mostra as mensagens de aviso de notificação do sistema com IDs do Ativo Vortex. |
| Desviando o crescimento do ativo: relatório de origem de log | Esta procura mostra a categoria Relatório de Desvio de Ativo. |
| Negação de Firewall por Porta de DST | Esta procura mostra eventos de negação de firewall ou ACL dos dispositivos de firewall, roteador ou comutador agrupados por porta de destino. |
| Logins da IU | Esta procura mostra logins de UI. |
| Logins de SSH | Esta procura mostra logins de SSH. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.4
Atualizações no IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.4
| Tipo | Nome | Descrição da mudança |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Desativada | Incluídos os QIDs a seguir:
|
| Bloco de construção | BB:DeviceDefinition: Roteadores de classificação do consumidor | Incluída uma verificação de identidade para melhorar o desempenho. Agora este bloco de construção verifica apenas um endereço MAC para eventos com uma identidade. |
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Regra atualizada para incluir dispositivos adicionais. |
| Regra | Todas as explorações se tornam ofensas | Relatórios alavancam ataques em eventos. Por padrão, essa regra fica desativada. Ative essa regra se quiser que todos os eventos categorizados como alavanca criem uma ofensa. |
| Regra | Fonte de fluxo parou de enviar fluxos | Os eventos enviados para esta regra agora são categorizados como Sistema > Falha do Sistema em vez de Acesso > Negação de ACL. |
| Regra | Dispositivo parou de enviar eventos (Firewall, IPS, VPN ou Comutador) | Corrigido o problema de importação para esta regra. |
| Relatório | Vulnerabilidade de arquivos acessíveis | Relatório atualizado para retornar apenas vulnerabilidades de arquivos acessíveis em vez de todas as vulnerabilidades. Também foram substituídas todas as ocorrências de fiiles por files neste relatório. |
| Dados de Referência | Lista de bloqueio de IPv4 de reconciliação de ativos, Lista de bloqueio de NetBIOS de reconciliação de ativos, Lista de bloqueio de DNS de reconciliação de ativos e Lista de bloqueio de MAC de reconciliação de ativos | Configura um tempo de validade padrão de 7 dias nos seguintes dados de referência:
Após a extensão ser instalada, todos os elementos existentes que foram vistos pela última vez mais de 7 dias atrás serão removidos dos dados de referência. Esse valor padrão pode ser alterado para refletir suas necessidades e seu ambiente. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.3
Atualizações no IBM QRadar Baseline Maintenance Content Extension 1.0.3
| Tipo | Nome | Descrição da mudança |
|---|---|---|
| Regra/Bloco de construção | Recon. seguida de aceitação | Atualizada a regra Recon Seguida de Aceitação em QRadar para usar o bloco de construção BB:ReconDetected Basic Recon Rule e remover a referência do bloco de construção All Recon Rules. Regra antiga:Usado como uma marca extra se todas as regras a seguir corresponderem, em ordem, do mesmo IP de origem para qualquer IP de destino, durante um período de 5 minutos: Regra Atualizada:
Usado como uma marca extra se todas as regras a seguir corresponderem, em ordem, do mesmo IP de origem para qualquer IP de destino, durante um período de 5 minutos:
|
| Regra/Bloco de construção | Eventos do DoS com alta magnitude se tornam ofensas | Atualizada a regra DoS Eventos com alta magnitude tornam-se ofensas em QRadar para alterar o bloco de construção associado BB:CategoryDefinition: Eventos de alta magnitude para ser acionado quando a gravidade for maior que 7. Essa mudança permite que a ofensa seja gerada em um evento com gravidade de 8, 9 ou 10. |
| Regra/Bloco de construção | FalsePositive: Regras e blocos de construção de falso positivo | Atualização de FalsePositive: Regras e blocos de construção de falso positivo principais para remover três blocos de construção para reduzir acionadores de regras de falso negativo. Regra antiga:Aplique FalsePositive: Regras e blocos de construção de falso positivo em eventos ou fluxos detectados pelo sistema local e quando um fluxo ou um evento corresponder às seguintes regras: Regra atualizada:
Aplique FalsePositive: Regras e blocos de construção de falso positivo em eventos ou fluxos detectados pelo sistema local e quando um fluxo ou um evento corresponder a BB:FalsePositive: Todos os BBs de falso positivo padrão |
| Regra/Bloco de construção | BB:FalsePositive: Todos os BBs de falso positivo padrão | Inclusão de BB:HostDefinition: IP de origem do scanner VA na regra BB:FalsePositive: Todos os falsos positivos padrão. |
| Regra/Bloco de construção | BB:HostDefinition: Servidores proxy | Atualização de Definição do host dos servidores proxy para incluir uma nova linha no bloco de construção para verificar BB:PortDefinition: Bloco de construção de portas do proxy. Regra antiga:Aplique BB:HostDefinition: Servidores proxy em eventos ou fluxos detectados pelo sistema local e quando o IP de origem ou destino for 127.0.0.2. Regra Atualizada:Aplique Apply BB:HostDefinition: Servidores proxy em eventos ou fluxos detectados pelo sistema local e quando as condições a seguir forem atendidas:
|
| Regra/Bloco de construção | Várias falhas de login no mesmo destino | Atualização da regra Falhas múltiplas de login no mesmo destino para assegurar que ela não gere falsos positivos a partir dos eventos do servidor proxy. Regra antiga:Aplique Falhas múltiplas de login no mesmo destino em eventos detectados pelo sistema local correspondentes a BB:CategoryDefinition: Falhas de autenticação. Falhas múltiplas de login no mesmo destino também deve ser aplicada quando forem vistos pelo menos 10 eventos com o mesmo IP de Destino, mas com IPs de Origem e nomes de usuário diferentes em um período de 5 minutos. Regra Atualizada:Aplique Falhas múltiplas de login no mesmo destino em eventos detectados pelo sistema local correspondentes a BB:CategoryDefinition: Falhas de autenticação e quando forem vistos pelo menos 10 eventos com o mesmo IP de Destino, mas com IPs de Origem e nomes de usuários diferentes em um período de 5 minutos, mas NÃO quando um evento corresponder a qualquer um dos seguintes blocos de construção:
|
| Regra/Bloco de construção | Excesso de negações de firewall do host local | Atualização da regra Excesso de negações de firewall do host local para assegurar que ela não gere falsos positivos a partir de eventos do servidor proxy. Regra antiga:Aplique Excesso de negações de firewall do host local em eventos detectados pelo sistema local, quando o contexto de evento for Local para Local, ou Local para Remoto e quando um evento corresponder a BB:CategoryDefinition: Firewall ou Negações de ACL com o mesmo IP de Origem mais de 40 vezes em mais de 40 IPs de Destino dentro de um período de 5 minutos. Regra Atualizada: Aplique Excesso de negações de firewall do host local em eventos detectados pelo sistema local, quando o contexto de evento for Local para Local ou Local para Remoto e quando um evento corresponder a BB:CategoryDefinition: Firewall ou Negações de ACL com o mesmo IP de Origem mais de 40 vezes em mais de 40 IPs de Destino dentro de um período de 5 minutos, mas NÃO quando um evento corresponder a qualquer uma das seguintes regras:
|
| Regra/Bloco de construção | Política: taxa de transferência lenta de transferência de saída grandePolítica: taxa de transferência alta de transferência de saída grande | Atualização de desempenho das regras de política de transferências de dados rápida e lenta. Essa atualização muda a ordem do teste de regra para mover esta frase: 'e quando pelo menos X fluxos forem vistos com o mesmo IP de Origem, IP de Destino em Y minutos' para a última linha para ambas as regras de política (transferência lenta e transferência rápida). O exemplo de regra atualizada a seguir descreve a mudança de regra com mais detalhes. Regra antiga:Aplique Taxa de transferência lenta de transferência de saída grande em fluxos que são detectados pelo sistema local quando as condições a seguir são atendidas: Regra atualizada:
Aplique Taxa de transferência lenta de transferência de saída grande em fluxos que são detectados pelo sistema local quando as condições a seguir são atendidas:
|
| Regra/Bloco de construção | Respostas de regra do conjunto de referência atualizadas para todas as regras Exclusão de reconciliação de ativo | Essa mudança atualiza a resposta de regra para regras de Exclusão de ativo para assegurar que dados de identificação sejam incluídos na lista de bloqueio do conjunto de referência correta quando a resposta de regra for acionada. As regras a seguir foram atualizadas para incluir essa mudança:
|
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.2
| Tipo | Nome | Descrição da mudança |
|---|---|---|
| Procura salva | Taxa de Fluxo (FPS) | Atualização da procura salva Taxa de fluxo (FPS) de uma função de contagem para uma função FPS alterando o valor da procura de Contagem para Média. Velho:10 Principais Resultados da Fonte de Fluxo por Segundo - Pico de 1 Min. (Contagem) Novo:10 Principais Resultados da Fonte de Fluxo por Segundo - Pico de 1 Min. (Média) |
| Painel | Inclusão de '10 Principais Resultados da Fonte de Fluxo por Segundo - Pico de 1 Min. (Média)' no Painel de Monitoramento do Sistema. | A procura salva Resultados da taxa de fluxo (FPS) corrigida é incluída no painel Monitoramento do Sistema para todos os usuários. Este gráfico é exibido na guia Atividade do Log como 10 Principais Resultados da Fonte de Fluxo (customizada) por Fluxos por Segundo - Pico de 1 Min. (customizado) (Média). |
| Relatório | Resumo do Sistema | Atualização do relatório Resumo do Sistema, que tem uma dependência dos resultados da procura Taxa de fluxo (FPS). |
| Incluído no pacote de conteúdo como uma dependência | ||
|---|---|---|
| Procura salva | Taxa do Evento (EPS) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Procura salva | Delitos ao Longo do Tempo | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Procura salva | Utilização de Link | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Procura salva | Distribuição de Processador de Evento | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Referências de acumulador | AVG (fluxos por segundo - pico de 1 min.) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Referências de acumulador | AVG (fluxos por segundo - média de 15 min.) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Referências de acumulador | AVG (eventos por segundo unidos - média de 1 min.) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Referências de acumulador | AVG (eventos por segundo brutos - média de 1 min.) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Referências de acumulador | Ofensas ao Longo do Tempo - SUM (contagem de ofensas latentes) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Referências de acumulador | Ofensas ao Longo do Tempo - SUM (contagem de ofensas ativas) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Referências de acumulador | Distribuição do Processador de Evento - Contagem | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Referências de acumulador | Distribuição do Processador de Evento - Soma (eventCount) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Referências de acumulador | Distribuição do Processador de Evento - UniqueCount (dispositivo) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Propriedade Customizada | Fonte de Fluxo: SourceMonitor.+\[NOT\:\d+\]\[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).*\] | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Propriedade Customizada | Fluxos por segundo - média 15 min: SourceMonitor.+900s\:\s\([\d|\.]+\)\:\(([\d|\.]+)\) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Propriedade Customizada | Parent \[parent=(.+?)\].+StatFilter | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Propriedade Customizada | Eventos por Segundo Unidos - Pico de 1 s.: StatFilter.+1s\:(\d+)\,\d+\s | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Propriedade Customizada | Eventos por Segundo Brutos - Pico de 1 s.: StatFilter.+1s\:\d+\,(\d+)\s | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Propriedade Customizada | Eventos por Segundo Unidos - Média de 1 Min.: StatFilter.+60s\:(\d+)\,\d+\s | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Propriedade Customizada | Eventos por Segundo Brutos - Média de 1 Min.: StatFilter.+60s\:\d+\,(\d+)\s | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Propriedade Customizada | Contagem de Ofensas Latentes: \,\sdormant\:\s(\d+)\, | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Propriedade Customizada | Contagem de Ofensas Ativas: \,\sactive\:\s(\d+)\, | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| Painel | Monitoramento do Sistema: 5 (sistemas) 10 (administradores) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| FGroup | Configuração e Gerenciamento de Mudanças | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| FGroup | Monitoramento do Sistema (Informações, Falhas e Erros) | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
| FGroup | Monitoramento de Rede e Gerenciamento | Nenhuma atualização. Dependente de outra propriedade e deve ser incluída na estrutura de extensão. |
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.1
Regras e blocos de construção que são atualizados no IBM Security QRadar Baseline Maintenance Content Extension 1.0.1
| Tipo | Nome | Descrição da Alteração |
|---|---|---|
| Regra | Primeiro acesso de usuário a ativo crítico | Incluído um nome de usuário; não é N/A como um teste de regra para a regra "Primeiro acesso de usuário". |
| Regra | Scanner do Servidor SSH remoto | Ordem de teste de regra corrigida para mover o teste a seguir para a última posição na ordem de teste de regra: and when BB:CategoryDefinition: Recon Events, BB:CategoryDefinition: Suspicious Events with the same Source IP more than five times, across more than 29 Destination IPs within 10 minutes |
| Bloco de construção | BB:Suspeito: Remoto: Fluxos UDP ou diversos unidirecionais | Corrige o seguinte bloco de construção no teste de regra: Velho:e quando BB:Threats: Protocolo IP suspeito Usage:Unidirectional Fluxos TCP corresponder pelo menos 15 vezes em 1 minuto Atualizado:e quando BB:Ameaças: Uso de protocolo IP suspeito: Fluxos de UDP e diversos unidirecionais correspondem em pelo menos 15 vezes em 1 minuto |
| Regra | BB:Suspeito: Local: Fluxos UDP ou diversos unidirecionais | Corrige o seguinte bloco de construção no teste de regra: Velho:e quando BB:Threats: Protocolo IP suspeito Usage:Unidirectional Fluxos TCP corresponder pelo menos 15 vezes em 1 minuto Atualizado:e quando BB:Ameaças: Uso de protocolo IP suspeito: Fluxos de UDP e diversos unidirecionais correspondem em pelo menos 15 vezes em 1 minuto |
| Regra | BB:Eventos de violação da política do contratado externo | Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra. Correta ordem:
|
| Regra | BB:Eventos com falha do contratado externo | Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra. Correta ordem:
|
| Regra | BB:Eventos de violação de política do trabalhador móvel | Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra. Correta ordem:
|
| Regra | BB:Eventos com falha do trabalhador móvel | Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra. Correta ordem:
|
| Regra | BB: Eventos de violação da política de teletrabalho | Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra. Correta ordem:
|
| Regra | BB:Eventos com falha do teletrabalhador | Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra. Correta ordem:
|
| Regra | BB:Eventos do administrador de TI | Resolve um problema de teste de regra para executar a consulta do Conjunto de referência como o último teste de regra. Correta ordem:
|
IBM Security QRadar Extensão de conteúdo de manutenção de linha de base 1.0.0
Regras e blocos de construção do QRadar que são atualizados no IBM Security QRadar Baseline Maintenance Content Extension 1.0.0
| Categoria | Nome | Descrição da alteração |
|---|---|---|
| Regra X-Force | X-Force Premium: servidor de não correio enviando e-mail para servidores categorizados como SPAM | Regra atualizada para resolver um problema de desempenho. |
| Propriedade de evento customizado | Events per Second Raw - Peak 1 Sec | Regex atualizado para StatFilter para uso: +1s\:\d+\,\d+ \(peak \d+\,(\d+) |
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Desativada | Incluído QID 5000475: Falha na auditoria: Uma conta com falha ao efetuar logon. |
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Expirada | Incluídos os dois QIDs a seguir:
|
| Bloco de construção | BB:DeviceDefinition: Roteadores de classificação do consumidor | Incluído um teste de regra: BB:DeviceDefinition: servidor DHCP |
| Regra | Anomalia: excesso de aceitações do firewall em vários hosts | Incluído um teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador para regra |
| Regra | Botnet: potencial conexão Botnet (DNS) | Incluído um teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador para regra |
| Regra | Recon: recon. seguida de aceitação | Incluído um teste de regra: BB:DeviceDefinition: FW/Roteador/Comutador para regra |
| Regra | Política: host tem vulnerabilidade conhecida | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Exploração: destino vulnerável à exploração detectada | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Explorar: Destino vulnerável à exploração detectada em uma porta diferente | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Taxa de transferência alta de transferência de saída grande | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Taxa de transferência lenta de transferência de saída grande | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Peso da rede de origem é alto | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Peso da rede de origem é médio | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Peso da rede de origem é baixo | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Peso da rede de destino é alto | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Peso da rede de destino é médio | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Peso da rede de destino é baixo | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Regra | Tipos múltiplos de exploração com relação a um único destino | Atualizados o nome da interface com o usuário e a descrição do texto da regra. |
| Bloco de construção | BB:HostDefinition: Servidores DNS | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Bloco de construção | BB:HostDefinition: Servidores | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Bloco de construção | BB:HostDefinition: Servidores DHCP | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Bloco de construção | BB:ReconDetected: Todas as regras de reconhecimento | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Bloco de construção | BB:CategoryDefinition: Explorar Backdoors e Trojans | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Bloco de construção | BB:CategoryDefinition: Aceitação de Firewall ou ACL | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Bloco de construção | BB:CategoryDefinition: Negações do Firewall ou ACL | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |
| Bloco de construção | BB:CategoryDefinition: Qualquer Fluxo | Nenhuma atualização. Dependente de outra regra e deve ser incluída na estrutura de extensão. |