Casos de uso de nuvem híbrida
Use a IBM Security QRadar Content Extension for Hybrid Cloud Use Cases para monitorar de perto sua implantação de nuvem híbrida.
Sobre o IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso
O IBM Security QRadar Content Extension for Hybrid Cloud Use Cases inclui várias regras e procuras salvas que focam em detectar atividades de Virtualização.
- IBM Segurança QRadar Extensão de conteúdo para casos de uso de nuvem híbrida 2.3.2
- IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso 2.3.1
- IBM Extensão de conteúdo de segurança QRadar para casos de uso de nuvem híbrida 2.3.0
- IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso 2.2.1
- IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso 2.2.0
- IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso 2.1.0
- IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso 2.0.0
- IBM Extensão de conteúdo de segurança QRadar para casos de uso de nuvem híbrida 1.0.0
IBM Segurança QRadar Extensão de conteúdo para casos de uso de nuvem híbrida 2.3.2
A tabela a seguir mostra as regras que são novas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.2.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Logs Foram Excluídos / Desativados ou Parados | Essa regra é acionada quando os registros estão sendo excluídos, desativados ou interrompidos. |
| Regra | Função administrativa incluída para o Azure | Essa regra detecta a função de administrador adicionada ao Azure. |
A tabela a seguir mostra as propriedades de eventos personalizados em IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.2.
| Propriedade Customizada | Forceparse | Descrição | UUID | Localizado em |
|---|---|---|---|---|
| Gravidade do alerta | TRUE | Extração personalizada padrão da gravidade do alerta da carga útil do DSM | cfa63d4b-ee3c-40b6-bb3b-1913a35cdb23 | Amazon AWS Azure |
IBM Security QRadar Extensão de conteúdo para casos de uso da nuvem híbrida 2.3.1
A tabela a seguir mostra as regras que são novas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Função administrativa incluída para o Azure | Detecta a função administrativa incluída para Azure. |
As propriedades customizadas da tabela a seguir que são novas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.1.
| Nome | Otimizada | Descrição |
|---|---|---|
| Atributo Novo Valor | Não | Extração customizada padrão do Atributo New Value da carga útil do DSM. |
IBM Security QRadar Extensão de Conteúdo para Casos de Uso do Hybrid Cloud 2.3.0
O filtro de regra Bypass de autenticação de diversos fatores é atualizado para usar a função inferior .
A regra Logs foram excluídos / desativados ou interrompidos foi atualizada para ser mais genérica para capturar outros dispositivos de nuvem.
IBM Security QRadar Extensão de Conteúdo para Casos de Uso do Hybrid Cloud 2.2.1
A tabela a seguir mostra as regras e os blocos de construção que são novos ou atualizados no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:BehaviorDefinition: Atribuição de função de gerenciamento adicionada (Office 365) | Identifica quando uma função de gerenciamento foi designada a um grupo de funções de gerenciamento, política de designação de função de gerenciamento, usuário ou grupo de segurança universal (USG). |
| Bloco de construção | BB:BehaviorDefinition: Atribuição de função de gerenciamento removida (Office 365) | Identifica quando uma função de gerenciamento foi removida de um grupo de funções de gerenciamento, política de designação de função de gerenciamento, usuário ou grupo de segurança universal (USG). |
| Bloco de construção | BB:CategoryDefinition: Eventos de acesso a objetos | Edite esse bloco de construção para incluir todas as categorias de eventos relacionadas ao acesso de objeto (arquivo, pasta, etc.) |
| Bloco de construção | BB:CategoryDefinition: eventos de download de objeto | Edite este bloco de construção para incluir todas as categorias de eventos relacionadas ao download de objetos (arquivo, pasta, etc.). |
| Bloco de construção | BB:CategoryDefinition: eventos de upload de objeto | Edite este Bloco de Construção para incluir todas as categorias de eventos relacionadas ao upload de objeto (arquivo, pasta, etc) |
| Bloco de construção | BB:BehaviorDefinition: Administração regular de virtualização | Define a atividade de administração do ambiente virtual regular, como gerenciamento de máquinas e gerenciamento de direitos |
| Regra | Logs Foram Excluídos / Desativados ou Parados | Aciona quando os logs estão sendo excluídos, desativados ou interrompidos |
| Regra | Mesma Política de Gerenciamento Incluída e Excluída em um Curto Período de Tempo (Office 365) | Aciona quando há diversas falhas de autenticação em virtualização ou sistemas em nuvem a partir do mesmo endereço de origem. |
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1.
| Nome | Otimizada |
|---|---|
| carga de trabalho afetada | Sim |
| Nome da política | Sim |
A tabela a seguir mostra os relatórios que são novos no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1.
| Nome do Relatório | Descrição |
|---|---|
| Atividade de Arquivo do Office 365 - Mensal | Pesquisa salva: Office 365: Atividade de arquivo |
| Atividade de Arquivo do Office 365 - Semanal | Pesquisa salva: Office 365: Atividade de arquivo |
| Incidentes do Office 365 que impactaram o funcionamento de uma carga de trabalho do Office 365 - mensal | Procura salva: Office 365: Incidentes que impactaram o funcionamento de uma carga de trabalho do Office 365 |
| Incidentes do Office 365 que impactaram o funcionamento de uma carga de trabalho do Office 365 - semanal | Procura salva: Office 365: Incidentes que impactaram o funcionamento de uma carga de trabalho do Office 365 |
A tabela a seguir mostra as procuras salvas que são novas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1.
| Nome | Descrição |
|---|---|
| Office365: Atividade do Arquivo | Descreve os eventos de atividade do arquivo do Office 365 |
| Office 365: Incidentes que impactaram o funcionamento de uma carga de trabalho do Office 365 | Descreve incidentes que impactaram o funcionamento de uma carga de trabalho do Office 365 |
IBM Security QRadar Extensão de conteúdo para casos de uso de nuvem híbrida 2.2.0
A tabela a seguir mostra as regras e blocos de construção que são novos ou atualizados no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB: AWS Cloud: Solicitação de API foi Negada | Define pedidos de pi negados (AWS). |
| Bloco de construção | BB:BehaviourDefinition: Modificação no perfil da instância (AWS) | Define uma mudança no valor do perfil da instância no AWS. Um perfil de instância contém uma função, e o papel pode ser alterado à vontade. Por exemplo, um "Perfil da Instância Restrita" com uma "Função Restrita" pode ser alterado para, em vez disso, ter uma "Função Admin". O nome do perfil da instância não se altera neste caso, o que é mais difícil de ser notado. |
| Bloco de construção | BB:DeviceDefinition: nuvem | Mais dispositivos foram adicionados ao bloco de construção. |
| Regra | Cloud Híbrida Múltiplas Falhas De Login De Diferentes IPs De Origem | Aciona quando um usuário falha ao fazer login em uma nuvem de plataformas 25 vezes em dois minutos a partir de diferentes endereços IP de origem. |
| Regra | Logs Foram Excluídos / Deficientes ou Parados (AWS) | Aciona quando há alertas sobre os logs da Amazon AWS serem excluídos, desativados ou parados. |
| Regra | Vários Solicitações de API Falharam Do Mesmo IP De Origem (AWS) | Disparos quando pelo menos 10 solicitações de API fracassadas foram iniciadas a partir do mesmo IP de Origem em dois minutos. |
| Regra | Vários Solicitações de API Falharam Do Mesmo Nome De Username (AWS) | Disparos quando pelo menos 10 solicitações de API fracassadas foram iniciadas a partir do mesmo nome de usuário em dois minutos. |
| Regra | Mudança de potencial para Configurações de Registro de Trail AWS | Acionamentos quando há alertas sobre alterações de configuração para os logs do Cloud Trail. |
| Regra | Escalada de Privilégio Potencial via Perfil da Instância (AWS) | Aciona quando uma ação admin é realizada após um perfil de instância AWS ter sido alterado. Um usuário pode alterar um perfil de instância AWS para atribuir um papel diferente. Se uma atividade admin seguir esta ação, ele pode indicar um evento de escalada de privilégio potencial. |
| Regra | Regra de Segurança Criada ou Deletada (Azure) | Aciona quando uma regra de segurança é criada ou excluída por um usuário com baixo privilégio. Isso pode indicar um invasor criando ou excluindo uma regra de segurança para conceder acesso ou negar acesso a uma máquina virtual ou recurso. |
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0.
| Nome | Otimizada | Descrição |
|---|---|---|
| usuário federado | Não | Esta propriedade é um marcador para extração personalizada padrão de Usuário Federado a partir de cargas úteis da DSM. |
| Nome do grupo | Sim | Esta propriedade é um marcador para extração personalizada padrão de Nome do Grupo a partir de cargas úteis da DSM. |
| Gateway de rede local | Não | Esta propriedade é um marcador para extração personalizada padrão do Local Network Gateway a partir de cargas úteis da DSM. |
| Interface de Rede | Não | Esta propriedade é um marcador para extração personalizada padrão de Interface de rede a partir de cargas úteis da DSM. |
| Grupo de Segurança de Redes | Não | Esta propriedade é um marcador para extração personalizada padrão do Network Security Group a partir de payloads DSM. |
| Observador de Rede | Não | Esta propriedade é um marcador para extração personalizada padrão de Watcher de rede a partir de cargas úteis da DSM. |
| Perfil | Sim | Esta propriedade é um marcador para extração personalizada padrão de Profile a partir de payloads DSM. |
| Regra de segurança | Não | Esta propriedade é um marcador para extração personalizada padrão de Regra de Segurança a partir de cargas úteis da DSM. |
| UserType | Sim | Esta propriedade é um marcador para extração personalizada padrão de UserType a partir de payloads DSM. |
| rede virtual | Não | Esta propriedade é um marcador para extração personalizada padrão de Virtual Network a partir de payloads DSM. |
| ID do VPC | Sim | Esta propriedade é um marcador para extração personalizada padrão de VPC ID a partir de payloads DSM. |
A tabela a seguir mostra os conjuntos de referência que são novos no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0.
| Tipo | Nome |
|---|---|
| Conjunto de Referências | AWS - Eventos de Auditoria |
| Conjunto de Referências | AWS - Eventos da VPC |
A tabela a seguir mostra os relatórios que são novos no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0.
| Nome do Relatório | Descrição |
|---|---|
| Eventos de auditoria do AWS - Mensal | Fornece maior monitoramento e tendência de atividades de auditoria do AWS. |
| Eventos de auditoria do AWS - Semanal | Fornece maior monitoramento e tendência de atividades de auditoria do AWS. |
| Logins no console AWS com falha por usuários federados - Mensal | Fornece maior monitoramento e tendência de atividades de login do AWS. |
| Falha de Login no Console do AWS por Usuários Federados - Semanal | Fornece maior monitoramento e tendência de atividades de login do AWS. |
| Logins no console AWS com falha por usuários não federados - Mensal | Fornece maior monitoramento e tendência de atividades de login do AWS. |
| Logins no console AWS com falha por usuários não federados - Semanal | Fornece maior monitoramento e tendência de atividades de login do AWS. |
| Auditoria de mudanças de política AWS - Mensal | Fornece maior monitoramento e tendência de atividades de mudança de política do AWS. |
| Auditoria de mudanças de política AWS - Semanal | Fornece maior monitoramento e tendência de atividades de mudança de política do AWS. |
| Ingresso do Grupo de Segurança do AWS - Mensal | Fornece maior monitoramento e tendência de atividades de ingresso do grupo de segurança do AWS. |
| Ingress do grupo de segurança AWS - Semanal | Fornece maior monitoramento e tendência de atividades de ingresso do grupo de segurança do AWS. |
| Logins no console AWS com sucesso por usuários federados - Mensal | Fornece maior monitoramento e tendência de atividades de login do AWS. |
| Logins no console AWS com sucesso por usuários federados - Semanal | Fornece maior monitoramento e tendência de atividades de login do AWS. |
| Logins no console AWS com sucesso por usuários não federados - Mensal | Fornece maior monitoramento e tendência de atividades de login do AWS. |
| Logins no console AWS com sucesso por usuários não federados - Semanal | Fornece maior monitoramento e tendência de atividades de login do AWS. |
| Auditoria de eventos do VPC AWS - Mensal | Fornece tendência para eventos da nuvem particular virtual do Amazon. |
| Auditoria de eventos do VPC AWS - Semanal | Fornece tendência para eventos da nuvem particular virtual do Amazon. |
| Grupo de Segurança de Rede Azure Criado ou Atualizado - Mensal | Fornece maior monitoramento e tendência para grupos de segurança do Azure. |
| Grupo de Segurança de Rede Azure Criado ou Atualizado - Semanal | Fornece maior monitoramento e tendência para grupos de segurança do Azure. |
| Azure Regra De Segurança Criada, Atualizada ou Deletada-Mensal | Fornece maior monitoramento e tendência para regras de segurança do Azure. |
| Azure Regra De Segurança Criada, Atualizada ou Excluída-Semanal | Fornece maior monitoramento e tendência para regras de segurança do Azure. |
| Rede Virtual Azure Criada ou Atualizada - Mensal | Fornece maior monitoramento e tendência para redes virtuais Azure. |
| Rede Virtual Azure Criada ou Atualizada - Semanal | Fornece maior monitoramento e tendência para redes virtuais Azure. |
| Conexões Virtuais de Aplicativos da Web Azure Excluídas - Mensal | Fornece maior monitoramento e tendência para conexões virtuais do aplicativo da web Azure. |
| Conexões Virtuais de Aplicativos da Web Azure Excluídas - Semanal | Fornece maior monitoramento e tendência para conexões virtuais do aplicativo da web Azure. |
| Auditoria-Grupo de Virtualização-Mensal | Oferece maior monitoramento e tendência das atividades de auditoria do grupo Cloud. |
| Auditoria de Grupo de Virtualização-semanalmente | Oferece maior monitoramento e tendência das atividades de auditoria do grupo Cloud. |
| Virtualização-Criações de Função, Deleções e Atualizações-Mensal | Oferece maior monitoramento e tendência das atividades de função Cloud. |
| Virtualização-Criações de Função, Deleções e Atualizações-semanais | Oferece maior monitoramento e tendência das atividades de função Cloud. |
| Virtualização-Conta De Usuário Criada-Mensal | Oferece maior monitoramento e tendência de atividades de criação de conta do usuário da Nuvem. |
| Virtualização-Conta De Usuário Criada-Semanalmente | Oferece maior monitoramento e tendência de atividades de criação de conta do usuário da Nuvem. |
A tabela a seguir mostra as procuras salvas que são novas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0.
| Nome | Descrição |
|---|---|
| Eventos de Auditoria do AWS | Esta pesquisa salva é usada nos relatórios Event Event . |
| Logins no console AWS com falha por usuário federado - Agrupar por nome do usuário e IP de segurança | Esta pesquisa salva é usada nas relatórios Falha do usuário Logins Federados do usuário . |
| Falhas de Login no Console do AWS por Usuário Não Federado - Agrupadas por Nome de Usuário e IP de Origem | Esta pesquisa salva é usada nas relatórios Falhas Console Não Federados . |
| AWS auditoria de Mudança Política | Esta pesquisa salva é usada nos relatórios Change Change . |
| Ingresso do Grupo de Segurança do AWS | Esta pesquisa salva é usada nos relatórios Ingress do Grupo de Segurança . |
| Logins no console AWS com sucesso por usuário federado - Agrupar por nome do usuário e IP de segurança | Esta pesquisa salva é usada nos relatórios Bem-sucedido Console Logins . |
| Logins no console AWS com sucesso por usuário não federado - Agrupar por nome do usuário e IP de segurança | Esta pesquisa salva é usada nos relatórios Bem-sucedido Console Logins Non-Federated User . |
| Evento de auditoria do VPC AWS | Esta pesquisa salva é usada nos relatórios Auditoria De Eventos do VPC . |
| Azure Grupo de Segurança de Rede Criado ou Atualizado | Esta pesquisa salva é usada nos relatórios Security Group Created ou Updatain . |
| Azure Regra De Segurança Criada, Atualizada ou Deletada | Esta pesquisa salva é usada nos relatórios Security Rule Created, Upnamorou ou Deleted . |
| Azure Rede Virtual Criada ou Atualizada | Esta pesquisa salva é usada nos relatórios Virtual Network Created ou Updatain . |
| Azure Aplicativos Web Conexões de rede virtual excluídas | Esta pesquisa salva é usada nos relatórios Web Apps Virtual Network Connections Deleted . |
| Virtualização-Auditoria Mudanças de Grupo | Esta pesquisa salva é usada nas reportagens do Group Changes . |
| Virtualização-Criações de Função, Deleções e Atualizações | Esta pesquisa salva é usada nos relatórios Role . |
| Virtualização-Conta de Usuário Criada | Esta pesquisa salva é usada nos relatórios Conta de Usuário Criado . |
IBM Extensão de conteúdo de segurança QRadar para casos de uso de nuvem híbrida 2.1.0
A tabela a seguir mostra as regras e os blocos de construção que são novos ou atualizados no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: nuvem | Define todas as origens de nuvem no sistema. |
| Regra | Diversas falhas de login na nuvem híbrida a partir da mesma origem | Aciona quando há diversas falhas de autenticação em virtualização ou sistemas em nuvem a partir do mesmo endereço de origem. |
| Regra | Diversas falhas de login na nuvem híbrida a partir do mesmo nome de usuário | Aciona quando há diversas falhas de autenticação em virtualização ou sistemas em nuvem a partir do mesmo nome de usuário. |
IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso 2.0.0
Essa extensão de conteúdo foi renomeada de IBM Security QRadar Virtualized Environment Content Extension para IBM Security QRadar Content Extension for Hybrid Cloud Use Cases.
A tabela a seguir mostra as propriedades de evento customizado no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases V2.0.0.
| Propriedade Customizada | Localizado em |
|---|---|
| ID da Tecla de Acesso | Amazon AWS |
| Gravidade do alerta | |
| Flags de auditoria | |
| MFA Usados | |
| ID de Objeto | Azure |
| ObjectName | Microsoft Office 365 |
| ObjectType | |
| Pesquisa Executada | Microsoft Office 365 |
| ID Chave de Acesso Alvo | Amazon AWS |
| ID do Usuário Alvo | Azure |
| ID do usuário | Azure |
| UserType | Amazon AWS |
| ID do Volume | Amazon AWS |
A tabela a seguir mostra as regras e os blocos de construção que são novos ou atualizados no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:BehaviorDefinition: Criação de chave de acesso para outro usuário (AWS) | Define um usuário criando uma chave de acesso para outro usuário. Na AWS, um usuário com a permissão iam:CreateAccessKeypode criar chaves de acesso para outro usuário ao qual ele tem acesso. Um invasor pode, potencialmente, obter acesso a um usuário administrador. As chaves de acesso da AWS são credenciais usadas para solicitações feitas à CLI ou à API da AWS. |
| Bloco de construção | BB:BehaviorDefinition:Exfiltração de credenciais na Amazon GuardDuty | Define quando uma exfiltração de credencial no Amazon GuardDuty é detectada. |
| Bloco de construção | BB:BehaviorDefinition: Criação de política padrão (AWS) | Define quando um usuário criou uma nova versão de política e a configurou como a versão padrão (atual). Na AWS, um usuário com a permissão iam:CreatePolicyVersionpode sobrescrever uma política existente criando uma nova versão no lugar dela. Um invasor pode atribuir a si mesmo os privilégios mais altos ou revogar as permissões dos gerenciadores de segurança, o que consiste em técnicas de escalada de privilégio e evasão de defesa. |
| Bloco de construção | BB:BehaviorDefinition: Modificação da versão da política padrão (AWS) | Define quando a versão de política padrão é mudada para um usuário. Na AWS, um usuário com a permissão iam:SetDefaultPolicyVersionpode mudar a política para uma versão diferente, chamada de versão de política padrão (atual). Isso requer que a versão da política seja preenchida previamente, já que o usuário não tem permissão para reescrever a política. Por exemplo, uma política chamada |
| Bloco de construção | BB:BehaviorDefinition: Eventos de virtualização de média ou alta gravidade | Define eventos de severidade média e alta em um ambiente de virtualização. Os indicadores a seguir foram usados como base para definir cada nível de severidade.
Ajuste os limites adequadamente em relação às suas necessidades. No Azure, a severidade do evento é baseada no Azure Security Center e no Azure Defender. Os alertas mostrados em seu ambiente dependem dos recursos e serviços, bem como da configuração customizada. No AWS GuardDuty, as definições a seguir definem a severidade:
|
| Bloco de construção | BB:BehaviorDefinition: Administração regular de virtualização | Define a atividade de administração regular do ambiente virtual, como gerenciamento de máquina e de direitos. |
| Bloco de construção | BB:BehaviorDefinition: Função atribuída a um recurso com identidade gerenciada (Azure) | Define quando uma instância de recurso do Azure com identidade gerenciada tem a função designada a outro recurso. Recursos com identidade gerenciada podem acessar e gerenciar outros recursos por meio do Azure Active Directory Authentication. |
| Bloco de construção | BB:BehaviorDefinition:Atividades suspeitas de virtualização | Define atividades de virtualização suspeitas. |
| Bloco de construção | BB:BehaviorDefinition: Volume desanexado e anexado na mesma máquina | Detecta um volume sendo desanexado de uma máquina e anexado novamente a ela em uma hora. |
| Bloco de construção | BB:CategoryDefinition: Objeto compartilhado na nuvem ( O365 ) | Define a categoria Compartilhamento de política no Office 365, como políticas relacionadas ao calendário, aos contatos e ao e-mail. |
| Bloco de construção | BB:CategoryDefinition: atualização de configuração de rede em máquinas virtuais | Esse bloco de construção foi removido da extensão de conteúdo. |
| Bloco de construção | BB:CategoryDefinition: Mudança na configuração da máquina virtual | O filtro de regra desse bloco de construção foi atualizado. |
| Regra | Tarefa de Exfiltração Credencial e Administração do Mesmo Usuário | É acionada quando um alerta de exfiltração de credencial ocorre em um curto espaço de tempo antes ou depois de uma tarefa de administração ter sido observada, o que pode indicar que o invasor fez uso do acesso à plataforma. |
| Regra | Máquina Virtual De Alto Privilégio Executando Ações Suspeitas | É acionada quando uma máquina virtual que pode acessar o armazenamento que contém informações pessoais, como números de cartão de crédito, realiza atividades suspeitas. Essa ação pode indicar uma máquina virtual mudando as permissões para executar ações maliciosas. |
| Regra | Bypass de Autenticação de Multifatores | É acionada em tentativas de login em sistemas de virtualização ou de nuvem sem autenticação de diversos fatores (MFA). Nota: Esta regra é desativada por padrão porque o MFA pode não ser ativado ou usado em alguns cenários de negócios. Somente os ambientes nos quais a MFA é usada devem ativar essa regra.
|
| Regra | Atividade Suspeita Seguida por Tarefa de Administração de Virtualização | É acionada quando atividades suspeitas são descobertas seguidas de tarefas de administração regulares em um ambiente virtualizado. As atividades suspeitas incluem a exclusão de várias máquinas virtuais e a detecção de exfiltração de credenciais. As tarefas administrativas regulares incluem a criação ou exclusão de uma máquina virtual e as atualizações de funções. |
| Regra | Número Suspeito de Modificações Feitas em Máquinas Virtuais | Renomeada de Abnormal Number of Modifications Made on Virtual Machines. |
| Regra | Número Suspeito de Máquinas Virtuais Criadas | Renomeada de Abnormal Number of Virtual Machines Created. |
| Regra | Usuário Assumido um Acesso Privilegiado (AWS) | É acionada quando um usuário com acesso privilegiado temporário é detectado. Na AWS, a função assumida retorna credenciais temporárias para os recursos aos quais o usuário solicitou acesso. A chave de acesso ou as credenciais de segurança temporárias do usuário serão incluídas no conjunto de referência Temporary access Keys que, por padrão, tem um intervalo de tempo de vida de uma hora. Ajuste o tempo dependendo da configuração de validade do ambiente. Nota: O Conjunto De Referência Low Privilege Role Names deve ser preenchido com os nomes de funções relevantes. Qualquer coisa não definida nesse conjunto de referência é considerada suspeita em termos de privilégios.
|
| Regra | Usuário Alterado para High Privilege Role | Renomeada de User Role Changed to High Privilege Role Names. |
| Regra | Usuário Alterado para Função de Baixo Privilégio | Renomeada de User Role Changed to Low Privilege Role Names. |
| Regra | Usuário com Acesso Temporário Executando Atividades Suspeitas (AWS) | É acionada quando um usuário com acesso temporário executa atividades suspeitas. Na AWS, a função assumida retorna credenciais temporárias para os recursos aos quais o usuário solicitou acesso. Isso por si só não indica um ataque uma vez que as credenciais podem nem mesmo ser usadas ou o usuário pode ser legítimo, mas atividades adicionais devem ser monitoradas. |
| Regra | Função de Privilégio Alto da Máquina Virtual atribuída | Inclui o ID de uma máquina virtual no conjunto de referência Resources with High Privilege Roles, caso uma função de alto privilégio tenha sido designada. Nota: O Conjunto De Referência Low Privilege Role Names deve ser preenchido com os nomes de funções relevantes. Qualquer coisa não definida nesse conjunto de referência é considerada suspeita em termos de privilégios.
|
| Regra | Função de Privilégio Alto da Máquina Virtual Unassigned | Remove o ID de uma máquina virtual do conjunto de referência Resources with High Privilege Roles, caso uma função de alto privilégio tenha tido a designação removida.. Nota: O Conjunto De Referência Low Privilege Role Names deve ser preenchido com os nomes de funções relevantes. Qualquer coisa não definida nesse conjunto de referência é considerada suspeita em termos de privilégios.
|
| Regra | Volume Conectado e Detetado em Máquinas Diferentes | É acionada quando um único volume está sendo anexado e desanexado em diversas máquinas. Por exemplo, substituir um par de chaves SSH em um ambiente da AWS envolve trocar volumes em instâncias diferentes. Essa manipulação de volumes pode revelar um comportamento malicioso. |
A tabela a seguir mostra os relatórios novos ou atualizados no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0.
| Nome do Relatório | Nome da procura e descrições |
|---|---|
| Virtualização-Criação de Máquina | Procuras salvas: virtualização - criação de máquina, virtualização - criação de máquina por nome de usuário Relatório das máquinas virtuais criadas ao longo das últimas 24 horas. |
| Virtualização-Criação de Usuários por País | Procura salva: criação de usuário em nuvem por país Mostrar criações de usuários por país. O conteúdo do relatório é agrupado usando a procura Cloud User Creation by Country. Edite essa procura e quaisquer dependências de procura relevantes para refinar os resultados. |
A tabela a seguir mostra os dados de referência que são novos ou atualizados no IBM Security QRadar Virtualization Content Extension 2.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Recursos com High Privilege Roles | Define recursos com funções de alto privilégio. |
| Conjunto de Referências | Chaves de Acesso Temporário | Define chaves de acesso temporário da AWS. |
A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0.
| Nome | Descrição |
|---|---|
| Microsoft Office365 eDiscovery Search Created ou Started | Define eventos de eDiscovery do Azure para procura criada ou iniciada. |
| Microsoft Office365 eDiscovery Pesquisa excluída | Define eventos de eDiscovery do Azure para procura excluída. |
| Microsoft Office365 eDiscovery Search Exported ou Downloaded | Define eventos de eDiscovery do Azure para procura exportada ou transferida por download. |
| Virtualização-Criação de Máquina | Define eventos de criação de máquina virtual. |
| Virtualização-Criação de Máquina por Nome de Username | Define eventos de criação de máquina virtual agrupados por nome do usuário. |
| Virtualização-Criação de Usuários por País | Define eventos de criação de usuário por país para dispositivos em nuvem. |
| Virtualização-Contas Bloqueadas do Usuário | Define contas do usuário bloqueadas para dispositivos em nuvem. |
IBM Security QRadar Content Extension for Hybrid Cloud Casos de Uso 1.0.0
A tabela a seguir mostra as propriedades de evento customizado no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0.
| Propriedade Customizada | Otimizada | Localizado em |
|---|---|---|
| ID da Máquina | Sim |
|
| Nome da função | Sim |
|
| Nome do Usuário de Destino | Sim |
|
A tabela a seguir mostra os blocos de construção e as regras no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Eventos de designação de função do usuário | Edite esse bloco de construção para incluir qualquer evento de designação de função de usuário. |
| Bloco de construção | BB:DeviceDefinition: Virtualização | Essa regra define todos os hypervisores no sistema. |
| Bloco de construção | BB:DeviceDefinition: nuvem | Essa regra define todas as origens de nuvem no sistema. |
| Bloco de construção | BB:CategoryDefinition: máquina virtual reiniciada | Edite esse bloco de construção para incluir todos os eventos que indicam que a máquina virtual foi reiniciada. |
| Bloco de construção | BB:CategoryDefinition: máquina virtual iniciada | Edite esse bloco de construção para incluir todos os eventos que indicam que a máquina virtual foi iniciada. |
| Bloco de construção | BB:CategoryDefinition: máquina virtual interrompida | Edite esse bloco de construção para incluir todos os eventos que indicam que a máquina virtual foi interrompida. |
| Bloco de construção | BB:CategoryDefinition: máquina virtual excluída | Edite esse bloco de construção para incluir todos os eventos que indicam que a máquina virtual foi excluída. |
| Bloco de construção | BB:CategoryDefinition: eventos de mudança na configuração em máquinas virtuais | Edite esse bloco de construção para incluir qualquer evento de configuração |
| Bloco de construção | BB:CategoryDefinition: atualização de configuração de rede em máquinas virtuais | Edite esse bloco de construção para incluir todos os eventos que indicam atualização de configuração de rede em máquinas virtuais. |
| Bloco de construção | BB:CategoryDefinition: Configuração do sistema | Esse bloco de construção define eventos de configuração do sistema. |
| Bloco de construção | BB:CategoryDefinition: máquina virtual criada | Edite esse bloco de construção para incluir todos os eventos que indicam que a máquina virtual foi criada. |
| Regra | Função do usuário mudada para nomes de função de privilégio baixo | Essa regra removerá um nome de usuário do conjunto de referência Usuários com nomes de função de privilégio alto se uma função de privilégio inferior for concedida ao usuário. Note: o conjunto de referência de nomes de função de privilégio baixo deve ser preenchido com os nomes de funções relevantes. Qualquer coisa que não seja definida nesse conjunto de referência é considerada suspeita em termos de privilégios.
|
| Regra | Máquinas virtuais sensíveis indisponíveis por um longo período de tempo | Esta regra é acionada quando uma máquina virtual sensível é interrompida e permanece indisponível por um longo período de tempo. Ajuste a regra mudando o tempo de inatividade para uma máquina virtual sensível. |
| Regra | Função do usuário mudada para nomes de função de privilégio alto | Essa regra incluirá um nome de usuário para o conjunto de referência Usuário com nomes de função de privilégio alto se o usuário obtiver potencial função de privilégio alto. Note: o conjunto de referência de nomes de função de privilégio baixo deve ser preenchido com os nomes de funções relevantes. Qualquer coisa que não seja definida nesse conjunto de referência é considerada suspeita em termos de privilégios.
|
| Regra | Usuário com privilégio alto executando ações suspeitas | Esta regra é acionada quando uma função de usuário muda em um privilégio superior (por exemplo, Administrador), seguido de atividades suspeitas. Essa ação pode indicar um usuário mudando as permissões para executar ações maliciosas ou acessando máquinas desautorizadas. |
| Regra | Múltiplas máquinas virtuais sensíveis excluídas dentro de curto período de tempo | Esta regra é acionada quando múltiplas máquinas ou dispositivos de segurança sensíveis estão sendo excluídos sucintamente. Isso pode indicar que um intruso está comprometendo informações sensíveis ou se escondendo antes de um ataque. Note: o conjunto de referência de Máquinas Virtuais Sensíveis deve ser preenchido com o nome de máquinas relevantes.
Observação:
Se usuários autorizados executam essa ação frequentemente, exclua-os incluindo uma condição de regra. Consulte Número anormal de modificações feitas em máquinas virtuais para um exemplo. |
| Regra | Múltiplos dispositivos de segurança virtual desligados em curto período de tempo | Essa regra é acionada quando múltiplos dispositivos de segurança virtual (por exemplo, IDs virtuais, componente virtual SIEM) são desligados em um curto período de tempo. Nota: O conjunto de referência de Dispositivos de Segurança deve ser preenchido com os nomes de máquina ou IDs relevantes.
Observação:
Se usuários autorizados executam essa ação frequentemente, exclua-os incluindo uma condição de regra. Consulte Número anormal de modificações feitas em máquinas virtuais para um exemplo. |
| Regra | Número anormal de modificações feitas em máquinas virtual | Essa regra é acionada quando um número anormal de atualizações de configuração são executadas em máquinas virtuais. Uma administração típica não deve implicar em múltiplas atualizações de configuração, como incluir mais memória ou reduzir o tamanho do armazenamento para uma ou múltiplas máquinas. Isso indica comportamento suspeito Nota: Preencha o conjunto de referência Usuários Autorizados com usuários autorizados a executar essas ações.
|
| Regra | Número anormal de máquinas virtuais criadas | Essa regra é acionada quando um alto número de máquinas virtuais é criado em um curto período de tempo. Isso pode mostrar um comportamento malicioso do usuário. Consulte Número anormal de modificações feitas em máquinas virtuais para um exemplo. |
A tabela a seguir mostra os dados de referência no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Usuários autorizados | Define usuários autorizados. Esse conjunto de referência pode ser usado para impedir que usuários autorizados acionem falsos positivos ao executarem ações de privilégio alto. |
| Conjunto de Referências | Nomes de função de privilégio baixo | Coleta nomes de usuários com nomes de função de privilégio alto. |
| Conjunto de Referências | Dispositivos de Segurança | Define nomes ou IDs de dispositivos de segurança. |
| Conjunto de Referências | Máquinas virtuais sensíveis | Define nomes ou IDs de máquina virtual sensíveis. |
| Conjunto de Referências | Usuários com nomes de unção de privilégio alto | Coleta nomes de usuários com nomes de função de privilégio alto. |
A tabela a seguir mostra as procuras salvas no IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0.
| Nome | Descrição |
|---|---|
| Eventos de auditoria do VMWare | Define eventos de auditoria do VMware. |
| Status do Sistema VMWare | Define eventos de status do sistema VMware. |