Casos de uso de nuvem híbrida

Use a IBM Security QRadar Content Extension for Hybrid Cloud Use Cases para monitorar de perto sua implantação de nuvem híbrida.

Sobre o IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso

O IBM Security QRadar Content Extension for Hybrid Cloud Use Cases inclui várias regras e procuras salvas que focam em detectar atividades de Virtualização.

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Segurança QRadar Extensão de conteúdo para casos de uso de nuvem híbrida 2.3.2

A tabela a seguir mostra as regras que são novas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.2.

Tabela 1. Regras em IBM Segurança QRadar Extensão de conteúdo para casos de uso de nuvem híbrida 2.3.2
Tipo Nome Descrição
Regra Logs Foram Excluídos / Desativados ou Parados Essa regra é acionada quando os registros estão sendo excluídos, desativados ou interrompidos.
Regra Função administrativa incluída para o Azure Essa regra detecta a função de administrador adicionada ao Azure.

A tabela a seguir mostra as propriedades de eventos personalizados em IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.2.

Nota: As propriedades customizadas que estão incluídas na tabela a seguir são colocadores. É possível fazer download de outras extensões de conteúdo que incluem propriedades customizadas com esses nomes ou criar sua própria extensão.
Tabela 2. Propriedades de eventos personalizados em IBM Segurança QRadar Extensão de conteúdo para casos de uso de nuvem híbrida 2.3.2
Propriedade Customizada Forceparse Descrição UUID Localizado em
Gravidade do alerta TRUE Extração personalizada padrão da gravidade do alerta da carga útil do DSM cfa63d4b-ee3c-40b6-bb3b-1913a35cdb23

Amazon AWS Azure

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo para casos de uso da nuvem híbrida 2.3.1

A tabela a seguir mostra as regras que são novas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.1.

Tabela 3. Regras no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.1
Tipo Nome Descrição
Regra Função administrativa incluída para o Azure Detecta a função administrativa incluída para Azure.

As propriedades customizadas da tabela a seguir que são novas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.1.

Nome Otimizada Descrição
Atributo Novo Valor Não Extração customizada padrão do Atributo New Value da carga útil do DSM.

(Voltar para o topo)

IBM Security QRadar Extensão de Conteúdo para Casos de Uso do Hybrid Cloud 2.3.0

O filtro de regra Bypass de autenticação de diversos fatores é atualizado para usar a função inferior .

A regra Logs foram excluídos / desativados ou interrompidos foi atualizada para ser mais genérica para capturar outros dispositivos de nuvem.

IBM Security QRadar Extensão de Conteúdo para Casos de Uso do Hybrid Cloud 2.2.1

A tabela a seguir mostra as regras e os blocos de construção que são novos ou atualizados no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1.

Tabela 4. Regras e blocos de construção no IBM Security QRadar Extensão de conteúdo para casos de uso de nuvem híbrida 2.2.1
Tipo Nome Descrição
Bloco de construção BB:BehaviorDefinition: Atribuição de função de gerenciamento adicionada (Office 365) Identifica quando uma função de gerenciamento foi designada a um grupo de funções de gerenciamento, política de designação de função de gerenciamento, usuário ou grupo de segurança universal (USG).
Bloco de construção BB:BehaviorDefinition: Atribuição de função de gerenciamento removida (Office 365) Identifica quando uma função de gerenciamento foi removida de um grupo de funções de gerenciamento, política de designação de função de gerenciamento, usuário ou grupo de segurança universal (USG).
Bloco de construção BB:CategoryDefinition: Eventos de acesso a objetos Edite esse bloco de construção para incluir todas as categorias de eventos relacionadas ao acesso de objeto (arquivo, pasta, etc.)
Bloco de construção BB:CategoryDefinition: eventos de download de objeto Edite este bloco de construção para incluir todas as categorias de eventos relacionadas ao download de objetos (arquivo, pasta, etc.).
Bloco de construção BB:CategoryDefinition: eventos de upload de objeto Edite este Bloco de Construção para incluir todas as categorias de eventos relacionadas ao upload de objeto (arquivo, pasta, etc)
Bloco de construção BB:BehaviorDefinition: Administração regular de virtualização Define a atividade de administração do ambiente virtual regular, como gerenciamento de máquinas e gerenciamento de direitos
Regra Logs Foram Excluídos / Desativados ou Parados Aciona quando os logs estão sendo excluídos, desativados ou interrompidos
Regra Mesma Política de Gerenciamento Incluída e Excluída em um Curto Período de Tempo (Office 365) Aciona quando há diversas falhas de autenticação em virtualização ou sistemas em nuvem a partir do mesmo endereço de origem.

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1.

Tabela 5. Propriedades customizadas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1
Nome Otimizada
carga de trabalho afetada Sim
Nome da política Sim

A tabela a seguir mostra os relatórios que são novos no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1.

Tabela 6. Relatórios no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1
Nome do Relatório Descrição
Atividade de Arquivo do Office 365 - Mensal Pesquisa salva: Office 365: Atividade de arquivo
Atividade de Arquivo do Office 365 - Semanal Pesquisa salva: Office 365: Atividade de arquivo
Incidentes do Office 365 que impactaram o funcionamento de uma carga de trabalho do Office 365 - mensal Procura salva: Office 365: Incidentes que impactaram o funcionamento de uma carga de trabalho do Office 365
Incidentes do Office 365 que impactaram o funcionamento de uma carga de trabalho do Office 365 - semanal Procura salva: Office 365: Incidentes que impactaram o funcionamento de uma carga de trabalho do Office 365

A tabela a seguir mostra as procuras salvas que são novas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1.

Tabela 7. Procuras salvas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1
Nome Descrição
Office365: Atividade do Arquivo Descreve os eventos de atividade do arquivo do Office 365
Office 365: Incidentes que impactaram o funcionamento de uma carga de trabalho do Office 365 Descreve incidentes que impactaram o funcionamento de uma carga de trabalho do Office 365

(Voltar para o topo)

IBM Security QRadar Extensão de conteúdo para casos de uso de nuvem híbrida 2.2.0

A tabela a seguir mostra as regras e blocos de construção que são novos ou atualizados no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0.

Tabela 8. Regras e blocos de construção no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0
Tipo Nome Descrição
Bloco de construção BB: AWS Cloud: Solicitação de API foi Negada Define pedidos de pi negados (AWS).
Bloco de construção BB:BehaviourDefinition: Modificação no perfil da instância (AWS) Define uma mudança no valor do perfil da instância no AWS. Um perfil de instância contém uma função, e o papel pode ser alterado à vontade. Por exemplo, um "Perfil da Instância Restrita" com uma "Função Restrita" pode ser alterado para, em vez disso, ter uma "Função Admin". O nome do perfil da instância não se altera neste caso, o que é mais difícil de ser notado.
Bloco de construção BB:DeviceDefinition: nuvem Mais dispositivos foram adicionados ao bloco de construção.
Regra Cloud Híbrida Múltiplas Falhas De Login De Diferentes IPs De Origem Aciona quando um usuário falha ao fazer login em uma nuvem de plataformas 25 vezes em dois minutos a partir de diferentes endereços IP de origem.
Regra Logs Foram Excluídos / Deficientes ou Parados (AWS) Aciona quando há alertas sobre os logs da Amazon AWS serem excluídos, desativados ou parados.
Regra Vários Solicitações de API Falharam Do Mesmo IP De Origem (AWS) Disparos quando pelo menos 10 solicitações de API fracassadas foram iniciadas a partir do mesmo IP de Origem em dois minutos.
Regra Vários Solicitações de API Falharam Do Mesmo Nome De Username (AWS) Disparos quando pelo menos 10 solicitações de API fracassadas foram iniciadas a partir do mesmo nome de usuário em dois minutos.
Regra Mudança de potencial para Configurações de Registro de Trail AWS Acionamentos quando há alertas sobre alterações de configuração para os logs do Cloud Trail.
Regra Escalada de Privilégio Potencial via Perfil da Instância (AWS) Aciona quando uma ação admin é realizada após um perfil de instância AWS ter sido alterado. Um usuário pode alterar um perfil de instância AWS para atribuir um papel diferente. Se uma atividade admin seguir esta ação, ele pode indicar um evento de escalada de privilégio potencial.
Regra Regra de Segurança Criada ou Deletada (Azure) Aciona quando uma regra de segurança é criada ou excluída por um usuário com baixo privilégio. Isso pode indicar um invasor criando ou excluindo uma regra de segurança para conceder acesso ou negar acesso a uma máquina virtual ou recurso.

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0.

Tabela 9. Propriedades customizadas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0
Nome Otimizada Descrição
usuário federado Não Esta propriedade é um marcador para extração personalizada padrão de Usuário Federado a partir de cargas úteis da DSM.
Nome do grupo Sim Esta propriedade é um marcador para extração personalizada padrão de Nome do Grupo a partir de cargas úteis da DSM.
Gateway de rede local Não Esta propriedade é um marcador para extração personalizada padrão do Local Network Gateway a partir de cargas úteis da DSM.
Interface de Rede Não Esta propriedade é um marcador para extração personalizada padrão de Interface de rede a partir de cargas úteis da DSM.
Grupo de Segurança de Redes Não Esta propriedade é um marcador para extração personalizada padrão do Network Security Group a partir de payloads DSM.
Observador de Rede Não Esta propriedade é um marcador para extração personalizada padrão de Watcher de rede a partir de cargas úteis da DSM.
Perfil Sim Esta propriedade é um marcador para extração personalizada padrão de Profile a partir de payloads DSM.
Regra de segurança Não Esta propriedade é um marcador para extração personalizada padrão de Regra de Segurança a partir de cargas úteis da DSM.
UserType Sim Esta propriedade é um marcador para extração personalizada padrão de UserType a partir de payloads DSM.
rede virtual Não Esta propriedade é um marcador para extração personalizada padrão de Virtual Network a partir de payloads DSM.
ID do VPC Sim Esta propriedade é um marcador para extração personalizada padrão de VPC ID a partir de payloads DSM.

A tabela a seguir mostra os conjuntos de referência que são novos no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0.

Tabela 10. Conjuntos de Referência no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0
Tipo Nome
Conjunto de Referências AWS - Eventos de Auditoria
Conjunto de Referências AWS - Eventos da VPC

A tabela a seguir mostra os relatórios que são novos no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0.

Tabela 11. Relatórios no IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso 2.2.0
Nome do Relatório Descrição
Eventos de auditoria do AWS - Mensal Fornece maior monitoramento e tendência de atividades de auditoria do AWS.
Eventos de auditoria do AWS - Semanal Fornece maior monitoramento e tendência de atividades de auditoria do AWS.
Logins no console AWS com falha por usuários federados - Mensal Fornece maior monitoramento e tendência de atividades de login do AWS.
Falha de Login no Console do AWS por Usuários Federados - Semanal Fornece maior monitoramento e tendência de atividades de login do AWS.
Logins no console AWS com falha por usuários não federados - Mensal Fornece maior monitoramento e tendência de atividades de login do AWS.
Logins no console AWS com falha por usuários não federados - Semanal Fornece maior monitoramento e tendência de atividades de login do AWS.
Auditoria de mudanças de política AWS - Mensal Fornece maior monitoramento e tendência de atividades de mudança de política do AWS.
Auditoria de mudanças de política AWS - Semanal Fornece maior monitoramento e tendência de atividades de mudança de política do AWS.
Ingresso do Grupo de Segurança do AWS - Mensal Fornece maior monitoramento e tendência de atividades de ingresso do grupo de segurança do AWS.
Ingress do grupo de segurança AWS - Semanal Fornece maior monitoramento e tendência de atividades de ingresso do grupo de segurança do AWS.
Logins no console AWS com sucesso por usuários federados - Mensal Fornece maior monitoramento e tendência de atividades de login do AWS.
Logins no console AWS com sucesso por usuários federados - Semanal Fornece maior monitoramento e tendência de atividades de login do AWS.
Logins no console AWS com sucesso por usuários não federados - Mensal Fornece maior monitoramento e tendência de atividades de login do AWS.
Logins no console AWS com sucesso por usuários não federados - Semanal Fornece maior monitoramento e tendência de atividades de login do AWS.
Auditoria de eventos do VPC AWS - Mensal Fornece tendência para eventos da nuvem particular virtual do Amazon.
Auditoria de eventos do VPC AWS - Semanal Fornece tendência para eventos da nuvem particular virtual do Amazon.
Grupo de Segurança de Rede Azure Criado ou Atualizado - Mensal Fornece maior monitoramento e tendência para grupos de segurança do Azure.
Grupo de Segurança de Rede Azure Criado ou Atualizado - Semanal Fornece maior monitoramento e tendência para grupos de segurança do Azure.
Azure Regra De Segurança Criada, Atualizada ou Deletada-Mensal Fornece maior monitoramento e tendência para regras de segurança do Azure.
Azure Regra De Segurança Criada, Atualizada ou Excluída-Semanal Fornece maior monitoramento e tendência para regras de segurança do Azure.
Rede Virtual Azure Criada ou Atualizada - Mensal Fornece maior monitoramento e tendência para redes virtuais Azure.
Rede Virtual Azure Criada ou Atualizada - Semanal Fornece maior monitoramento e tendência para redes virtuais Azure.
Conexões Virtuais de Aplicativos da Web Azure Excluídas - Mensal Fornece maior monitoramento e tendência para conexões virtuais do aplicativo da web Azure.
Conexões Virtuais de Aplicativos da Web Azure Excluídas - Semanal Fornece maior monitoramento e tendência para conexões virtuais do aplicativo da web Azure.
Auditoria-Grupo de Virtualização-Mensal Oferece maior monitoramento e tendência das atividades de auditoria do grupo Cloud.
Auditoria de Grupo de Virtualização-semanalmente Oferece maior monitoramento e tendência das atividades de auditoria do grupo Cloud.
Virtualização-Criações de Função, Deleções e Atualizações-Mensal Oferece maior monitoramento e tendência das atividades de função Cloud.
Virtualização-Criações de Função, Deleções e Atualizações-semanais Oferece maior monitoramento e tendência das atividades de função Cloud.
Virtualização-Conta De Usuário Criada-Mensal Oferece maior monitoramento e tendência de atividades de criação de conta do usuário da Nuvem.
Virtualização-Conta De Usuário Criada-Semanalmente Oferece maior monitoramento e tendência de atividades de criação de conta do usuário da Nuvem.

A tabela a seguir mostra as procuras salvas que são novas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0.

Tabela 12. Procuras salvas no IBM Security QRadar Extensão de conteúdo para casos de uso de nuvem híbrida 2.2.0
Nome Descrição
Eventos de Auditoria do AWS Esta pesquisa salva é usada nos relatórios Event Event .
Logins no console AWS com falha por usuário federado - Agrupar por nome do usuário e IP de segurança Esta pesquisa salva é usada nas relatórios Falha do usuário Logins Federados do usuário .
Falhas de Login no Console do AWS por Usuário Não Federado - Agrupadas por Nome de Usuário e IP de Origem Esta pesquisa salva é usada nas relatórios Falhas Console Não Federados .
AWS auditoria de Mudança Política Esta pesquisa salva é usada nos relatórios Change Change .
Ingresso do Grupo de Segurança do AWS Esta pesquisa salva é usada nos relatórios Ingress do Grupo de Segurança .
Logins no console AWS com sucesso por usuário federado - Agrupar por nome do usuário e IP de segurança Esta pesquisa salva é usada nos relatórios Bem-sucedido Console Logins .
Logins no console AWS com sucesso por usuário não federado - Agrupar por nome do usuário e IP de segurança Esta pesquisa salva é usada nos relatórios Bem-sucedido Console Logins Non-Federated User .
Evento de auditoria do VPC AWS Esta pesquisa salva é usada nos relatórios Auditoria De Eventos do VPC .
Azure Grupo de Segurança de Rede Criado ou Atualizado Esta pesquisa salva é usada nos relatórios Security Group Created ou Updatain .
Azure Regra De Segurança Criada, Atualizada ou Deletada Esta pesquisa salva é usada nos relatórios Security Rule Created, Upnamorou ou Deleted .
Azure Rede Virtual Criada ou Atualizada Esta pesquisa salva é usada nos relatórios Virtual Network Created ou Updatain .
Azure Aplicativos Web Conexões de rede virtual excluídas Esta pesquisa salva é usada nos relatórios Web Apps Virtual Network Connections Deleted .
Virtualização-Auditoria Mudanças de Grupo Esta pesquisa salva é usada nas reportagens do Group Changes .
Virtualização-Criações de Função, Deleções e Atualizações Esta pesquisa salva é usada nos relatórios Role .
Virtualização-Conta de Usuário Criada Esta pesquisa salva é usada nos relatórios Conta de Usuário Criado .

(Voltar para o topo)

IBM Extensão de conteúdo de segurança QRadar para casos de uso de nuvem híbrida 2.1.0

A tabela a seguir mostra as regras e os blocos de construção que são novos ou atualizados no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.1.0.

Tabela 13. Regras e blocos de construção no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.1.0
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: nuvem Define todas as origens de nuvem no sistema.
Regra Diversas falhas de login na nuvem híbrida a partir da mesma origem Aciona quando há diversas falhas de autenticação em virtualização ou sistemas em nuvem a partir do mesmo endereço de origem.
Regra Diversas falhas de login na nuvem híbrida a partir do mesmo nome de usuário Aciona quando há diversas falhas de autenticação em virtualização ou sistemas em nuvem a partir do mesmo nome de usuário.

(Voltar para o topo)

IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso 2.0.0

Essa extensão de conteúdo foi renomeada de IBM Security QRadar Virtualized Environment Content Extension para IBM Security QRadar Content Extension for Hybrid Cloud Use Cases.

A tabela a seguir mostra as propriedades de evento customizado no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases V2.0.0.

Nota: As propriedades customizadas que estão incluídas na tabela a seguir são colocadores. É possível fazer download de outras extensões de conteúdo que incluem propriedades customizadas com esses nomes ou criar sua própria extensão.
Tabela 14. Propriedades de evento customizado no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0
Propriedade Customizada Localizado em
ID da Tecla de Acesso Amazon AWS
Gravidade do alerta
Flags de auditoria
MFA Usados
ID de Objeto Azure
ObjectName Microsoft Office 365
ObjectType
Pesquisa Executada Microsoft Office 365
ID Chave de Acesso Alvo Amazon AWS
ID do Usuário Alvo Azure
ID do usuário Azure
UserType Amazon AWS
ID do Volume Amazon AWS

A tabela a seguir mostra as regras e os blocos de construção que são novos ou atualizados no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0.

Tabela 15. Regras e blocos de construção no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0
Tipo Nome Descrição
Bloco de construção BB:BehaviorDefinition: Criação de chave de acesso para outro usuário (AWS) Define um usuário criando uma chave de acesso para outro usuário. Na AWS, um usuário com a permissão iam:CreateAccessKey pode criar chaves de acesso para outro usuário ao qual ele tem acesso. Um invasor pode, potencialmente, obter acesso a um usuário administrador. As chaves de acesso da AWS são credenciais usadas para solicitações feitas à CLI ou à API da AWS.
Bloco de construção BB:BehaviorDefinition:Exfiltração de credenciais na Amazon GuardDuty Define quando uma exfiltração de credencial no Amazon GuardDuty é detectada.
Bloco de construção BB:BehaviorDefinition: Criação de política padrão (AWS) Define quando um usuário criou uma nova versão de política e a configurou como a versão padrão (atual). Na AWS, um usuário com a permissão iam:CreatePolicyVersion pode sobrescrever uma política existente criando uma nova versão no lugar dela. Um invasor pode atribuir a si mesmo os privilégios mais altos ou revogar as permissões dos gerenciadores de segurança, o que consiste em técnicas de escalada de privilégio e evasão de defesa.
Bloco de construção BB:BehaviorDefinition: Modificação da versão da política padrão (AWS) Define quando a versão de política padrão é mudada para um usuário. Na AWS, um usuário com a permissão iam:SetDefaultPolicyVersion pode mudar a política para uma versão diferente, chamada de versão de política padrão (atual). Isso requer que a versão da política seja preenchida previamente, já que o usuário não tem permissão para reescrever a política.

Por exemplo, uma política chamada Example-Policy tem um histórico de versão 7. A versão padrão (atual) é a v.7 com direitos limitados, enquanto a v.1 tinha direitos administrativos. Ao alternar a política de volta para a v.1, o invasor recuperou privilégios administrativos. Isso pode ser, potencialmente, uma atividade de escalada de privilégio. Além disso, o invasor pode modificar qualquer política à qual tenha acesso, a fim de usá-la para revogar privilégios de gerenciadores de segurança como uma técnica de evasão de defesa.

Bloco de construção BB:BehaviorDefinition: Eventos de virtualização de média ou alta gravidade Define eventos de severidade média e alta em um ambiente de virtualização. Os indicadores a seguir foram usados como base para definir cada nível de severidade.
  • Baixa/0 a 3,9
  • Média/4 a 6,9
  • Alta/7 a 10

Ajuste os limites adequadamente em relação às suas necessidades.

No Azure, a severidade do evento é baseada no Azure Security Center e no Azure Defender. Os alertas mostrados em seu ambiente dependem dos recursos e serviços, bem como da configuração customizada.

No AWS GuardDuty, as definições a seguir definem a severidade:

  • Baixa: tentativas de atividades suspeitas que não comprometem o sistema.
  • Média: atividades suspeitas que podem ter comprometido o sistema.
  • Alta: atividades suspeitas que comprometeram o sistema e fizeram com que os recursos fossem usados.
Bloco de construção BB:BehaviorDefinition: Administração regular de virtualização Define a atividade de administração regular do ambiente virtual, como gerenciamento de máquina e de direitos.
Bloco de construção BB:BehaviorDefinition: Função atribuída a um recurso com identidade gerenciada (Azure) Define quando uma instância de recurso do Azure com identidade gerenciada tem a função designada a outro recurso. Recursos com identidade gerenciada podem acessar e gerenciar outros recursos por meio do Azure Active Directory Authentication.
Bloco de construção BB:BehaviorDefinition:Atividades suspeitas de virtualização Define atividades de virtualização suspeitas.
Bloco de construção BB:BehaviorDefinition: Volume desanexado e anexado na mesma máquina Detecta um volume sendo desanexado de uma máquina e anexado novamente a ela em uma hora.
Bloco de construção BB:CategoryDefinition: Objeto compartilhado na nuvem ( O365 ) Define a categoria Compartilhamento de política no Office 365, como políticas relacionadas ao calendário, aos contatos e ao e-mail.
Bloco de construção BB:CategoryDefinition: atualização de configuração de rede em máquinas virtuais Esse bloco de construção foi removido da extensão de conteúdo.
Bloco de construção BB:CategoryDefinition: Mudança na configuração da máquina virtual O filtro de regra desse bloco de construção foi atualizado.
Regra Tarefa de Exfiltração Credencial e Administração do Mesmo Usuário É acionada quando um alerta de exfiltração de credencial ocorre em um curto espaço de tempo antes ou depois de uma tarefa de administração ter sido observada, o que pode indicar que o invasor fez uso do acesso à plataforma.
Regra Máquina Virtual De Alto Privilégio Executando Ações Suspeitas É acionada quando uma máquina virtual que pode acessar o armazenamento que contém informações pessoais, como números de cartão de crédito, realiza atividades suspeitas. Essa ação pode indicar uma máquina virtual mudando as permissões para executar ações maliciosas.
Regra Bypass de Autenticação de Multifatores É acionada em tentativas de login em sistemas de virtualização ou de nuvem sem autenticação de diversos fatores (MFA).
Nota: Esta regra é desativada por padrão porque o MFA pode não ser ativado ou usado em alguns cenários de negócios. Somente os ambientes nos quais a MFA é usada devem ativar essa regra.
Regra Atividade Suspeita Seguida por Tarefa de Administração de Virtualização É acionada quando atividades suspeitas são descobertas seguidas de tarefas de administração regulares em um ambiente virtualizado. As atividades suspeitas incluem a exclusão de várias máquinas virtuais e a detecção de exfiltração de credenciais. As tarefas administrativas regulares incluem a criação ou exclusão de uma máquina virtual e as atualizações de funções.
Regra Número Suspeito de Modificações Feitas em Máquinas Virtuais Renomeada de Abnormal Number of Modifications Made on Virtual Machines.
Regra Número Suspeito de Máquinas Virtuais Criadas Renomeada de Abnormal Number of Virtual Machines Created.
Regra Usuário Assumido um Acesso Privilegiado (AWS) É acionada quando um usuário com acesso privilegiado temporário é detectado. Na AWS, a função assumida retorna credenciais temporárias para os recursos aos quais o usuário solicitou acesso. A chave de acesso ou as credenciais de segurança temporárias do usuário serão incluídas no conjunto de referência Temporary access Keys que, por padrão, tem um intervalo de tempo de vida de uma hora. Ajuste o tempo dependendo da configuração de validade do ambiente.
Nota: O Conjunto De Referência Low Privilege Role Names deve ser preenchido com os nomes de funções relevantes. Qualquer coisa não definida nesse conjunto de referência é considerada suspeita em termos de privilégios.
Regra Usuário Alterado para High Privilege Role Renomeada de User Role Changed to High Privilege Role Names.
Regra Usuário Alterado para Função de Baixo Privilégio Renomeada de User Role Changed to Low Privilege Role Names.
Regra Usuário com Acesso Temporário Executando Atividades Suspeitas (AWS) É acionada quando um usuário com acesso temporário executa atividades suspeitas. Na AWS, a função assumida retorna credenciais temporárias para os recursos aos quais o usuário solicitou acesso. Isso por si só não indica um ataque uma vez que as credenciais podem nem mesmo ser usadas ou o usuário pode ser legítimo, mas atividades adicionais devem ser monitoradas.
Regra Função de Privilégio Alto da Máquina Virtual atribuída Inclui o ID de uma máquina virtual no conjunto de referência Resources with High Privilege Roles, caso uma função de alto privilégio tenha sido designada.
Nota: O Conjunto De Referência Low Privilege Role Names deve ser preenchido com os nomes de funções relevantes. Qualquer coisa não definida nesse conjunto de referência é considerada suspeita em termos de privilégios.
Regra Função de Privilégio Alto da Máquina Virtual Unassigned Remove o ID de uma máquina virtual do conjunto de referência Resources with High Privilege Roles, caso uma função de alto privilégio tenha tido a designação removida..
Nota: O Conjunto De Referência Low Privilege Role Names deve ser preenchido com os nomes de funções relevantes. Qualquer coisa não definida nesse conjunto de referência é considerada suspeita em termos de privilégios.
Regra Volume Conectado e Detetado em Máquinas Diferentes É acionada quando um único volume está sendo anexado e desanexado em diversas máquinas. Por exemplo, substituir um par de chaves SSH em um ambiente da AWS envolve trocar volumes em instâncias diferentes. Essa manipulação de volumes pode revelar um comportamento malicioso.

A tabela a seguir mostra os relatórios novos ou atualizados no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0.

Tabela 16.. Relatórios no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0
Nome do Relatório Nome da procura e descrições
Virtualização-Criação de Máquina Procuras salvas: virtualização - criação de máquina, virtualização - criação de máquina por nome de usuário

Relatório das máquinas virtuais criadas ao longo das últimas 24 horas.

Virtualização-Criação de Usuários por País Procura salva: criação de usuário em nuvem por país

Mostrar criações de usuários por país.

O conteúdo do relatório é agrupado usando a procura Cloud User Creation by Country. Edite essa procura e quaisquer dependências de procura relevantes para refinar os resultados.

A tabela a seguir mostra os dados de referência que são novos ou atualizados no IBM Security QRadar Virtualization Content Extension 2.0.0.

Tabela 17.. Dados de Referência no IBM Security QRadar Virtualization Content Extension 2.0.0
Tipo Nome Descrição
Conjunto de Referências Recursos com High Privilege Roles Define recursos com funções de alto privilégio.
Conjunto de Referências Chaves de Acesso Temporário Define chaves de acesso temporário da AWS.

A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0.

Tabela 18.. Procuras salvas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0
Nome Descrição
Microsoft Office365 eDiscovery Search Created ou Started Define eventos de eDiscovery do Azure para procura criada ou iniciada.
Microsoft Office365 eDiscovery Pesquisa excluída Define eventos de eDiscovery do Azure para procura excluída.
Microsoft Office365 eDiscovery Search Exported ou Downloaded Define eventos de eDiscovery do Azure para procura exportada ou transferida por download.
Virtualização-Criação de Máquina Define eventos de criação de máquina virtual.
Virtualização-Criação de Máquina por Nome de Username Define eventos de criação de máquina virtual agrupados por nome do usuário.
Virtualização-Criação de Usuários por País Define eventos de criação de usuário por país para dispositivos em nuvem.
Virtualização-Contas Bloqueadas do Usuário Define contas do usuário bloqueadas para dispositivos em nuvem.

(Voltar para o topo)

IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso 1.0.0

A tabela a seguir mostra as propriedades de evento customizado no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0.

Nota: As propriedades customizadas que estão incluídas na tabela a seguir são colocadores. É possível fazer download de outras extensões de conteúdo que incluem propriedades customizadas com esses nomes ou criar sua própria extensão.
Tabela 19.. Propriedades de evento customizado no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0
Propriedade Customizada Otimizada Localizado em
ID da Máquina Sim
  • Amazon AWS CloudTrail
  • Microsoft Azure
  • Propriedades customizadas do VMware
Nome da função Sim
  • Amazon AWS CloudTrail
  • Microsoft Azure
  • Propriedades customizadas do VMware
Nome do Usuário de Destino Sim
  • Amazon AWS CloudTrail
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Windows
  • Propriedades customizadas do VMware

A tabela a seguir mostra os blocos de construção e as regras no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0

Tabela 20.. Blocos de construção e regras no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Eventos de designação de função do usuário Edite esse bloco de construção para incluir qualquer evento de designação de função de usuário.
Bloco de construção BB:DeviceDefinition: Virtualização Essa regra define todos os hypervisores no sistema.
Bloco de construção BB:DeviceDefinition: nuvem Essa regra define todas as origens de nuvem no sistema.
Bloco de construção BB:CategoryDefinition: máquina virtual reiniciada Edite esse bloco de construção para incluir todos os eventos que indicam que a máquina virtual foi reiniciada.
Bloco de construção BB:CategoryDefinition: máquina virtual iniciada Edite esse bloco de construção para incluir todos os eventos que indicam que a máquina virtual foi iniciada.
Bloco de construção BB:CategoryDefinition: máquina virtual interrompida Edite esse bloco de construção para incluir todos os eventos que indicam que a máquina virtual foi interrompida.
Bloco de construção BB:CategoryDefinition: máquina virtual excluída Edite esse bloco de construção para incluir todos os eventos que indicam que a máquina virtual foi excluída.
Bloco de construção BB:CategoryDefinition: eventos de mudança na configuração em máquinas virtuais Edite esse bloco de construção para incluir qualquer evento de configuração
Bloco de construção BB:CategoryDefinition: atualização de configuração de rede em máquinas virtuais Edite esse bloco de construção para incluir todos os eventos que indicam atualização de configuração de rede em máquinas virtuais.
Bloco de construção BB:CategoryDefinition: Configuração do sistema Esse bloco de construção define eventos de configuração do sistema.
Bloco de construção BB:CategoryDefinition: máquina virtual criada Edite esse bloco de construção para incluir todos os eventos que indicam que a máquina virtual foi criada.
Regra Função do usuário mudada para nomes de função de privilégio baixo Essa regra removerá um nome de usuário do conjunto de referência Usuários com nomes de função de privilégio alto se uma função de privilégio inferior for concedida ao usuário.
Note: o conjunto de referência de nomes de função de privilégio baixo deve ser preenchido com os nomes de funções relevantes. Qualquer coisa que não seja definida nesse conjunto de referência é considerada suspeita em termos de privilégios.
Regra Máquinas virtuais sensíveis indisponíveis por um longo período de tempo

Esta regra é acionada quando uma máquina virtual sensível é interrompida e permanece indisponível por um longo período de tempo.

Ajuste a regra mudando o tempo de inatividade para uma máquina virtual sensível.

Regra Função do usuário mudada para nomes de função de privilégio alto Essa regra incluirá um nome de usuário para o conjunto de referência Usuário com nomes de função de privilégio alto se o usuário obtiver potencial função de privilégio alto.
Note: o conjunto de referência de nomes de função de privilégio baixo deve ser preenchido com os nomes de funções relevantes. Qualquer coisa que não seja definida nesse conjunto de referência é considerada suspeita em termos de privilégios.
Regra Usuário com privilégio alto executando ações suspeitas Esta regra é acionada quando uma função de usuário muda em um privilégio superior (por exemplo, Administrador), seguido de atividades suspeitas. Essa ação pode indicar um usuário mudando as permissões para executar ações maliciosas ou acessando máquinas desautorizadas.
Regra Múltiplas máquinas virtuais sensíveis excluídas dentro de curto período de tempo Esta regra é acionada quando múltiplas máquinas ou dispositivos de segurança sensíveis estão sendo excluídos sucintamente. Isso pode indicar que um intruso está comprometendo informações sensíveis ou se escondendo antes de um ataque.
Note: o conjunto de referência de Máquinas Virtuais Sensíveis deve ser preenchido com o nome de máquinas relevantes.
Observação:

Se usuários autorizados executam essa ação frequentemente, exclua-os incluindo uma condição de regra. Consulte Número anormal de modificações feitas em máquinas virtuais para um exemplo.

Regra Múltiplos dispositivos de segurança virtual desligados em curto período de tempo Essa regra é acionada quando múltiplos dispositivos de segurança virtual (por exemplo, IDs virtuais, componente virtual SIEM) são desligados em um curto período de tempo.
Nota: O conjunto de referência de Dispositivos de Segurança deve ser preenchido com os nomes de máquina ou IDs relevantes.
Observação:

Se usuários autorizados executam essa ação frequentemente, exclua-os incluindo uma condição de regra. Consulte Número anormal de modificações feitas em máquinas virtuais para um exemplo.

Regra Número anormal de modificações feitas em máquinas virtual Essa regra é acionada quando um número anormal de atualizações de configuração são executadas em máquinas virtuais. Uma administração típica não deve implicar em múltiplas atualizações de configuração, como incluir mais memória ou reduzir o tamanho do armazenamento para uma ou múltiplas máquinas. Isso indica comportamento suspeito
Nota: Preencha o conjunto de referência Usuários Autorizados com usuários autorizados a executar essas ações.
Regra Número anormal de máquinas virtuais criadas Essa regra é acionada quando um alto número de máquinas virtuais é criado em um curto período de tempo. Isso pode mostrar um comportamento malicioso do usuário. Consulte Número anormal de modificações feitas em máquinas virtuais para um exemplo.

A tabela a seguir mostra os dados de referência no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0.

Tabela 21. Dados de Referência no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0
Tipo Nome Descrição
Conjunto de Referências Usuários autorizados Define usuários autorizados. Esse conjunto de referência pode ser usado para impedir que usuários autorizados acionem falsos positivos ao executarem ações de privilégio alto.
Conjunto de Referências Nomes de função de privilégio baixo Coleta nomes de usuários com nomes de função de privilégio alto.
Conjunto de Referências Dispositivos de Segurança Define nomes ou IDs de dispositivos de segurança.
Conjunto de Referências Máquinas virtuais sensíveis Define nomes ou IDs de máquina virtual sensíveis.
Conjunto de Referências Usuários com nomes de unção de privilégio alto Coleta nomes de usuários com nomes de função de privilégio alto.

A tabela a seguir mostra as procuras salvas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0.

Tabela 22. Procuras salvas no IBM Security QRadar Extensão de conteúdo para casos de uso de nuvem híbrida 1.0.0
Nome Descrição
Eventos de auditoria do VMWare Define eventos de auditoria do VMware.
Status do Sistema VMWare Define eventos de status do sistema VMware.

(Voltar para o topo)