Amazon AWS

Amazon AWS devreye alımınızı yakından izlemek için IBM® QRadar ® Custom Properties for Amazon AWS uygulamasını kullanın.

Önemli: Bu içerik uzantısındaki içerik hatalarını önlemek için, ilişkili DSM ' leri güncel tutun. DSM ' ler otomatik güncellemelerin bir parçası olarak güncellenir. Otomatik güncellemeler geçerli kılınmamışsa, ilişkili DSM ' lerin en son sürümünühttps://www.ibm.com/support/fixcentraladresindeki IBM Fix Central sitesinden yükleyin.

IBM Security QRadar Amazon için Özel Özellikler AWS

IBM Security QRadar Amazon için Özel Özellikler AWS 5.1.0

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 5.1.0içindeki yeni özel özellikler gösterilmektedir.

Tablo 1. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 5.1.0 içindeki Özel Özellikler
Özel özellik İyileştirilmiş İfade
Uyarı Önem Düzeyi Hayır severity:"(.*?)"
Sınıf Adı Hayır class_name:"([^\"]*?)"
Aygıt Adı Hayır name:"(.*?)"
E-posta gönder Evet email_addr:"([^\"]*?)"
Anasistem Durumu Evet status_details:"(.*?)"
İleti Hayır message:"([^"]*?)"
Yöntem Hayır http_method:"(.*?)"
İlke Adı Evet 'policy:\{"(.*?)"\}
Yanıt Kodu Hayır http_response:\{"code":(\d+)\}
Hizmet Adı Evet

svc_name:"([^"]*?)"

svc_name:"(.*?)"
Durum Kodu Evet status_code:"(.*?)"
Durum Tanıtıcısı Hayır status_id:"(.*?)"
Tip Hayır

type:"([^\"]*?)"

type_name:"([^\"]*?)"
URL Anasistemi Evet hostname:"([^"]*?)"
Kullanıcı Aracısı Hayır user_agent:"([^"]*?)"
Satıcı firma Hayır vendor_name:"(.*?)"

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 5.0.1

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 5.0.1içindeki yeni özel özellikler gösterilmektedir.

Tablo 2. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 5.0.1 içindeki Özel Özellikler
Özel özellik İyileştirilmiş Yakalama Grubu JSON İfadesi
Profil Evet Yok

/"requestParameters"/"instanceProfileName"

/"requestParameters"/"iamInstanceProfile"/"name"

Kaynak Anasistem özel özellik tipi "dizgi" olarak değiştirilir.

Tüm kurallar, raporlar ve kayıtlı aramalar kaldırıldı ve IBM Security QRadar Content Extension for Hybrid Cloud Kullanım Senaryolarına eklendi.

(Başa dön)

IBM Security QRadar Custom Properties for Amazon AWS 5.0.0

Aşağıdaki tabloda, AWS Network Firewall DSM ile kullanılmak üzere IBM Security QRadar Custom Properties for Amazon AWS 5.0.0 içinde güncellenen özel özellikler gösterilmektedir.

Tablo 3. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 5.0.0 içindeki Özel Özellikler
Özel özellik İyileştirilmiş Yakalama Grubu Düzenli ifade
Eylem Evet 1 işlem ":" (. *?) "
Bayt Hayır 1 bayt ": (\d +)
Paketler Hayır 1 pkts ": (\d +)
İmza Tanıtıcısı Hayır 1 signature_id ": (\d +)
İhlal İmzaları Hayır 1 imza ":" (. *?) "

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 5.0.0içinde yeni ya da güncellenen kurallar gösterilmektedir.

Tablo 4. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 5.0.0 içindeki kurallar
Ad Açıklama
AWS Cloud: Farklı Coğrafyalardan AWS Konsolunda Başarılı Bir Oturum Açma Algılandı Aynı kullanıcı adının farklı kaynak bölgelerden Amazon AWS Yönetim konsolunda oturum açacağını algılar, paylaşılan ya da çalınan kimlik bilgilerini belirtebilir.
AWS Cloud: Farklı Kaynak IP ' Lerden Birden Çok Konsol Oturum Açma Hatası AWS Konsolunda farklı kaynak IP adreslerinden 2 dakikada 25 kez oturum açma hatalarını arar.
AWS Cloud: Aynı Kaynak IP ' den Birden Çok Konsol Oturum Açma Başarısızlıkları AWS yönetim konsolunda oturum açma hatalarını saptar ve 2 dakika içinde aynı kaynak IP adresinden en az 5 oturum açma hatası oluşursa bir hücumu tetikler

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 4.1.0

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 4.1.0içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 5. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 4.1.0 içindeki Özel Özellikler
Özel özellik İyileştirilmiş Yakalama Grubu Düzenli ifade
İstek URI 'si Evet 1 \buri [ ":] +" ([ ^ "] *)"
Kullanıcı Aracısı Hayır 1 \buser-agent [ ",] + value [":] + "([ ^"] *) "şimdi (?i) \buser-agent [",] + value [ ":] +" ([ ^ "] *)"

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 4.0.0

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 4.0.0içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 6. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 4.0.0 içindeki Özel Özellikler
Özel özellik İyileştirilmiş Yakalama Grubu Düzenli ifade ya da JSON ifadesi
Erişim Anahtarı Tanıtıcısı Evet   \bType": \s*? "AwsIamAccessKey" ,. *? "Id": \s*? "([ ^ \"] *?)"
Hesap Kimliği Hayır 1 /"detail"/"bulguları" [ 0]/"AwsAccountId"

\baccount_id [ ":] + ([ ^"] *) "
Eylem Evet 1 /"detail"/"bulgular" [ 0]/"ProductFields"/"action/actionType"

\bfirewall_rule_action [ \" \:] + ([ ^ \"] +)
Uyarı Önem Düzeyi Hayır   /"detail"/"bulguları" [ 0]/"ProductFields"/"aws/securityhub/SeverityLabel"
API Yolu Hayır   /"detail"/"bulguları" [ 0]/"ProductFields"/"action/awsApiCallAction/api"
DNS İsteği Tipi Hayır 1 \bquery_type [ ":] + ([ ^"] *) "

(? :Z [ \s \t] [a-zA-Z0-9] + [ \s \t] [ ^ \s] + [ \s \t]) (\w +)
Etki Alanı Hayır 1 \bquery_name [ ":] + ([ ^"] *) "

(? :Z [ \s \t] [a-zA-Z0-9] + [ \s \t]) ([ ^ \s] +)
Etki Alanı Listesi Hayır 1 \bfirewall_domain_list_id [ \" \:] + ([ ^ \"] +)
GroupID Evet 1 \bfirewall_rule_group_id [ \" \:] + ([ ^ \"] +)
Resim Tanıtıcısı Evet   /"detail"/"bulguları" [ 0]/"Resources" [ 0]/"Details"/"AwsEc2Instance"/"ImageId"
Eşgörünüm Boyutu Tipi Evet   /"detail"/"bulguları" [ 0]/"Resources" [ 0]/"Details"/"AwsEc2Instance"/"Type"
Eşgörünüm Tanıtıcısı Evet 1 \binstance [ \" \:] + ([ ^ \"] +)
IP İletişim Kuralı Hayır 1 (? :Z [ \s \t] [a-zA-Z0-9] + [ \s \t] [ ^ \s] + [ \s \t] \w + [ \s \t] \w + [ \s \t]) (\w +)

\btransport [ ":] + ([ ^"] *) "
Makine Tanıtıcısı Evet   /"detail"/"bulguları" [ 0]/"Resources" [ 0]/"Id"
İleti Hayır   /"detail"/"bulgular" [ 0]/"Title"
MessageID Evet   /"detail"/"bulgular" [ 0]/"Id"
Yöntem Hayır 1 \bhttpMethod[":]+"([^"]*)"
Kaynak Anasistem Evet 1 \bsrcaddr [ ":] + ([ ^"] *) "
Bölge Evet 1 /"bölge"

\bregion [ ":] + ([ ^"] *) "
İstek Hedefi Hayır 1 \bsec-fetch-dest [ ",] + value [":] + "([ ^"] *) "
İstek Kipi Hayır 1 \bsec-fetch-mode [ ",] + value [":] + "([ ^"] *) "
İstek Sitesi Hayır 1 \bsec-fetch-site [ ",] + değer [":] + "([ ^"] *) "
İstek URI 'si Hayır 1 \buri [ ":] +" ([ ^ "] *)"
Yanıt Kodu Hayır 1 \brcode [ ":] + ([ ^"] *) "

(? :Z [ \s \t] [a-zA-Z0-9] + [ \s \t] [ ^ \s] + [ \s \t] \w + [ \s \t]) (\w +)
Kaynak Ülke Hayır 1 \bcountry [ ":] +" ([ ^ "] *)"
Alt Ağ Tanıtıcısı Evet   /"detail"/"bulguları" [ 0]/"Resources" [ 0]/"Details"/"AwsEc2Instance"/"SubnetId"
Kullanıcı Aracısı Hayır 1 \buser-agent [ ",] + değer [":] + "([ ^"] *) "
VPC Tanıtıcısı Evet 1 /"detail"/"bulgular" [ 0]/"Resources" [ 0]/"Details"/"AwsEc2Instance"/"VpcId"

\bvpc_id [ ":] + ([ ^"] *) "

Aşağıdaki başvuru kümeleri IBM Security QRadar Custom Properties for Amazon AWS 4.0.0içinde kaldırılmıştır.

  • AWS -Yönetim Grupları
  • AWS -Yönetici Rolleri
  • AWS -Yönetici Kullanıcılar
  • AWS -Kritik EC2 Yönetim Ortamı Tanıtıcıları
  • AWS -Eşgörünüm Görüntü Tanıtıcıları
  • AWS -Standart Kullanıcılar
  • AWS -VPC Tanıtıcıları

Aşağıdaki kurallar IBM Security QRadar Custom Properties for Amazon AWS 4.0.0' da kaldırılmıştır.

  • AWS Bulut: Network ACL Değişiklikleri 
  • AWS Cloud: Bir Imzalama Sertifikası Kaldırıldı 
  • AWS Cloud: Standart Olmayan Bir Amazon Makine Görüntüsinden (AMI) Bir EC2 Eşgörünümü Oluşturuldu. 
  • AWS Cloud: Standart Olmayan Bir VPC ' De Ya Da VPC Olmadan Bir EC2 Eşgörünümü Yaratıldı
  • AWS Bulut: Kök kullanıcıya göre bulut etkinliği 
  • AWS Bulut: Kritik EC2 Eşgörünümü Durduruldu Ya Da Sonlandırıldı
  • AWS Bulut: Grup Oluşturuldu ya da Silindi
  • AWS Cloud: Key Pair Management yapılandırma değişiklikleri
  • AWS Cloud: Farklı Kaynak Ips 'den Birden çok Başarısız API İsteği
  • AWS Bulut: Ağ Geçidi Değişiklikleri
  • AWS Bulut: Parola İlkesi Güncellendi 
  • AWS Cloud: Yönlendirme Tablosu Değişiklikleri
  • AWS Bulut: S3 Standart Olmayan Kullanıcı tarafından erişilen saklama kabı
  • AWS Cloud: S3 Bucket oluşturuldu
  • AWS Cloud: S3 Bucket silindi
  • AWS Bulut: S3 Kova İlkesi değişiklikleri 
  • AWS Bulut: Güvenlik Grubu Yapılandırma değişiklikleri
  • AWS Bulut: Kullanıcı, Yönetici Rolü Yeteneği Olan Bir Gruba Eklendi
  • AWS Bulut: Kullanıcı Profili Güncellendi
  • AWS Cloud: Yönetici haklarına sahip olmayan kullanıcı bir Yönetici Rolüne erişir
  • AWS Bulut: VPC Yapılandırma Değişiklikleri 

IBM Security QRadar Custom Properties for Amazon AWS 4.0.0içinde aşağıdaki aramalar kaldırılmıştır.

  • AWS S3 Buckets Created with.

Aşağıdaki raporlar IBM Security QRadar Custom Properties for Amazon AWS 4.0.0içinde kaldırılmıştır.

  • AWS S3 Buckets Created-Monthly (Aylık)
  • AWS S3 Buckets Created-Weekly
  • AWS S3 Saklama Kapları Silindi-Aylık
  • AWS S3 Demetleri Silindi-Haftalık

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 3.0.0

IBM Security QRadar Custom Properties for Amazon AWS 3.0.0 , Amazon Elastic Kubernetes Serviceile kullanılacak özel özellikler ekler.

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 3.0.0içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 7. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 3.0.0 içindeki Özel Özellikler
Özel özellik İyileştirilmiş Yakalama Grubu Düzenli ifade
API Yolu Hayır 1 /"requestURI"
Kapsayıcı Görüntüsü Hayır 1 /"requestObject"/"spec"/"container" [ 0]/"image"
Kapsayıcı Adı Hayır 1 /"requestObject"/"spec"/"container" [ 0]/"name"
MessageID Evet 1 /"auditID"
Ad Alanı Evet 1 /"objectRef"/"namespace"

objectRef[ ": {] + resource [":] + ad alanları + [ ":] +, ["] + ad ":" (. *?) "
Ayrıcalıklı Taşıyıcı Evet 1 securityContext[ ": {] + ayrıcalıklı [":] + (true)
Ayrıcalıklı Taşıyıcı Adı Hayır 1 securityContext[ ":{]+privileged[":]+true}+, [ ": {] + name": "(. *?)"
İşlem CommandLine Evet 1 command = (. *?) container=
Neden Evet 1 /"responseStatus"/"reason"
Kaynak Evet 1 /"objectRef"/"resource"
Kaynak Adı Evet 1 /"objectRef"/"name"
Görev Evet 1 /"requestObject"/"roleRef"/"ad"
Rol Eylemleri Evet 1 /"requestObject"/"kurallar" [ 0]/"fiiller" []
Role Atanan Kaynaklar Evet 1 /"requestObject"/"kurallar" [ 0]/"kaynaklar" []
Kaynak Bağlama Noktası Evet 1 volumeMounts":[{.*?"mountPath[":]+([^"]+)
Hedef Kullanıcı Adı Evet 1 "konu": [ {. *? "ad": "([ ^"] +) "
Kullanıcı Aracısı Hayır 1 /"userAgent"

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 2.0.0

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 2.0.0içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 8. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 2.0.0 içindeki Özel Özellikler
Özel özellik İyileştirilmiş Yakalama Grubu Düzenli ifade
Eylem Evet 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + \d + \s +. * ?\s "(. *?)" \s
BytesReceived Evet 1 \s (\d +) \s (\d +) \s" (? :GET | POST | CONNECT | TUNNEL | HEAD | PUT | DELETE | OPTIONS | TRACE | PATCH)
BytesSent Evet 1 \s (\d +) \s" (? :GET | POST | CONNECT | TUNNEL | HEAD | PUT | DELETE | OPTIONS | TRACE | PATCH)
Sertifika Hayır 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s. * ?\s. * ?\s. * ?\s". * ?" \s ". * ?" \s" (. *?) "\s"
Şifre Hayır 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s (. *?) \s
Sınıflandırma Hayır 1 (? :http|ftp|tcp|ssl|https). * ?\". * \s +. * ?\s + \d + \s +. * ?\s + ". * ?" \s + ". * ?" \s + ". * ?" \s + ". * ?\s + ". * ?" \s + "(. *?)" \s + "
Hata Kodu Evet 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + \d + \s +. * ?\s + ". * ?" \s + ". * ?" \s + "(. *?)" \s + "
Bulgu Tanıtıcısı Hayır 1 ayrıntı ":. * ?id": "(. *?)"
Grup Adı Evet 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s. * ?\s. * ?\s (. *?) \s
Yöntem Hayır 1 (GET | POST | CONNECT | TUNNEL | HEAD | PUT | DELETE | OPTIONS | TRACE | PATCH)
Neden Evet 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + \d + \s +. * ?\s + ". * ?" \s + ". * ?" \s + ". * ?" \s + ". * ?" \s + ". * ?" \s + "(. *?)"
Yeniden Yönlendirme URL adresi Hayır 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + \d + \s +. * ?\s + ". * ?" \s + "(. *?)" \s + "
Kaynak Tanıtıcısı Hayır 1 (?:http|https|h2|grpcs|ws|wss) \s +. * ?\s (. *?) \s
Yanıt Kodu Hayır 1 \s (\d +) \s (\d +) \s (\d +) \s (\d +) \s" (? :GET | POST | CONNECT | TUNNEL | HEAD | PUT | DELETE | OPTIONS | TRACE | PATCH)
Kural Tanıtıcısı Hayır 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + (\d +) \s
TLS ya da SSL iletişim kuralı düzeyi Hayır 1 (? :GET|POST|CONNECT|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s. * ?\s (. *?) \s
İşlem Tanıtıcısı Hayır 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s. * ?\s. * ?\s. * ?\s" (. *?) " \s
URL Sorgusu Dizgisi Hayır 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH) \s ([ ^ \; \s] +)
UrlHost Evet 1 (? :GET|POST|CONNECT|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s. * ?\s. * ?\s. * ?\s". * ?" \s "(. *?)" \s
Kullanıcı Aracısı Hayır 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s" (. *?) "

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 1.4.0

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.4.0içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 9. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.4.0 içindeki Özel Özellikler
Özel özellik İyileştirilmiş Yakalama Grubu Düzenli ifade veya JSON
Erişim Anahtarı Tanıtıcısı Evet   /"userIdentity"/"accessKeyId"
Uyarı Önem Düzeyi Hayır 1 "Önem derecesi": (\d +)
Denetim İşaretleri Evet   /"requestParameters"/"setAsDefault"
Makine Tanıtıcısı Evet 1 instanceId\" \: \s* \" ([ ^ \"] +)
Kullanılan MFA Evet   /"additionalEventVerileri"/"MFAUsed"
Rol Adı Evet 1 \buserType":"AssumedRole","userName":"(.*?)"

varsayıldı-rol \/(. *?) \/

\bdisassociating. *?iamInstanceProfile ". * ?arn" :". *? \/(. *?) "

/"requestParameters"/"AssociateIamInstanceProfileRequest"/"IamInstanceProfile"/"Name"
Hedef Erişim Anahtarı Tanıtıcısı Evet   /"responseElements"/"credentials"/"accessKeyId"
Birim Tanıtıcısı Evet   /"requestParameters"/"volumeId"

Grup Hesabı Adı özel özelliği kaldırıldı.

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.4.0içinde yeni ya da güncellenen başvuru verileri gösterilmektedir.

Tablo 10. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.4.0 içindeki Başvuru Verileri
Tip Ad Açıklama
Referans Kümesi AWS -Denetleme Olayları Eksik öğeler nedeniyle bozuk bağlantıyı düzeltmek üzere güncellendi.
Referans Kümesi AWS -VPC Olayları Eksik öğeler nedeniyle bozuk bağlantıyı düzeltmek üzere güncellendi.

Aşağıdaki tablo, IBM Security QRadar Custom Properties for Amazon AWS 1.4.0içinde yeni ya da güncellenen kayıtlı aramaları göstermektedir.

Tablo 11. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.4.0 içinde Kayıtlı Aramalar
Ad Açıklama
S3 Kova oluşturuldu Arama süzgecinde olay yerine bir kural kullanılacak şekilde güncellendi.
S3 Kova silindi Arama süzgecinde olay yerine bir kural kullanılacak şekilde güncellendi.

Saklanan tüm aramalar, Kaynak IP ya da Hedef IP yerine Kaynak Adres ya da Hedef Adres kullanacak şekilde güncellenir.

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 1.3.0

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.3.0içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 12. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.3.0 içindeki Özel Özellikler
Özel özellik İyileştirilmiş Yakalama Grubu Düzenli ifade
AccountID Hayır 1 "accountId": \s + "(\d*?)",
Engellendi Hayır 1 "engellendi": \s + ([ a-z] +)
Grup Adı Evet 1 "groupName": \s + "(. *?)"
GroupID Evet 1 "groupId": \s + "(. *?)"
Resim Tanıtıcısı Evet 1 "imageId": \s + "(. *?)",
Eşgörünüm Boyutu Tipi Evet 1 "instanceType": \s + "(. *?)",
Eşgörünüm Durumu Hayır 1 "instanceState": \s + "(. *?)",
InstanceID Evet 1 "instanceId": \s + "(. *?)"
İleti Hayır 1 "title": \s + "(. *?)"
Bölge Evet 1 "region": \s + "(. *?)",
Kaynak Tanıtıcısı Hayır 1 "bölüm":. + "tanıtıcı": \s + "(. *?)" ,\s + "arn":
Kaynak Rolü Hayır 1 "resourceRole" ": \s +" (. *?) "
Tehdit Adı Evet 1 "threatName": \s + "(. *?)",
UserType Evet 1 "userType": \s + "(. *?)",
VPC Tanıtıcısı Evet 1 "vpcId": \s + "(. *?)"

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 1.2.7

UserAdded özel özelliği, Hedef Kullanıcı Adı özel özelliğiyle birleştirildi. AWS User Account Created (Kullanıcı Hesabı Yaratıldı) kayıtlı araması artık Target User Name (Hedef Kullanıcı Adı) özel özelliğini kullanır.

Hesap Tanıtıcısı özel özellik tipi AlphaNumericolarak ayarlandı.

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 1.2.6

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.6içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 13. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.6 içindeki Özel Özellikler
Özel özellik İyileştirilmiş Etkin Düzenli ifade Olay Adı
Makine Tanıtıcısı Evet Evet instanceId": \s*" ([ ^ "] +)  
Genel İzin Evet Evet \/groups \/global. * ?" }, "İzin" :\s* \" (FULL_CONTROL | READ | WRITE_ACP) \" Koyma Nesnesi Acl

Saklama Kabı Acl Koy
Rol Adı Evet Evet "policyArn":".?/(.?)" Kullanıcı İlkesi Ekle
Hedef Kullanıcı Adı Evet Evet "invokedBy":"(.*?)"

"userName":"(.*?)"

 Kullanıcı İlkesi Ekle

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 1.2.5

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.5içinde güncellenen özel özellikler gösterilmektedir.

Tablo 14. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.5 içinde Güncellenen Özel Özellikler
Özel özellik İyileştirilmiş Etkin Düzenli ifade Olay Adı
Dosya Adı Evet Evet anahtar \ " \: \" ([ ^ \"] +) Koyma Nesnesi Acl

IBM Security QRadar Custom Properties for Amazon AWS 1.2.5 içindeki kayıtlı aramalar herkesle paylaşılır.

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 1.2.4

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.4içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 15. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.4 içindeki Özel Özellikler
Ad İyileştirilmiş Yakalama Grubu Düzenli ifade
AccountID Hayır

Hayır

 1

1

 accountId=(.*?)\t

\"accountId\" \:\" (\d*?) \"
Ortam tipi Evet 1 \"eventType\":\"(.*?)\"
Dosya Uzantısı Evet 1 anahtar \" \:\" [ ^ \"] + \. ([ ^ \"] +)
Dosya Adı Evet 1 anahtar \ " \: \" ([ ^ \"] +)
Eşgörünüm Durumu Hayır 1 \"instanceState\" :\ { \" kod \": (\d +),
Genel İzin Evet 1 \/groups. * ?" }, "İzin" :\s* \" (FULL_CONTROL | READ | WRITE_ACP) \"
Bölge Evet 1

awsRegion=(.*?)\t
Kaynak Tanıtıcısı Hayır 1 \"resourceId\":\"(.*?)\"
Depolama Adı Evet 1 \"bucketName\":\"(.*?)\"
Kullanıcı Aracısı Hayır

Hayır

 1

1

 \"userAgent\":\"(.*?)\"

userAgent=(.*?)\t
UserType Evet 1 userIdentity.type = (. *?) \t
VPC Tanıtıcısı Evet 1 vpcId=(.*?)\t

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 1.2.3

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.3içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 16. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.3 içindeki Özel Özellikler
Ad Yakalama Grubu Düzenli ifade
InstanceID 1 instanceId\" \: \s* \" ([ ^ \"] +)
Hedef Kullanıcı Adı 1 requestParameters[\"\:\{\.]*userName[\"\:]*([^\"]+)
İlke Adı 1

1

 policyName\"\:\"([^\"]+)

policyArn\"\:\"([^\"]+)
Hata Kodu 1

1

1

 \"errorCode\":\"([^\"]+)

\"ConsoleLogin\"\:\"([^\"]+)

"errorMessage":"([^\"]+)
Olay Tipi 1 eventType=(.*?)\t
EventName 1 "eventName"\:\"([^\"]+)
UserType 1 "type": " ([ ^ \"] +)

Kullanıcı İlkesi Adı özel özelliği bu yayında kaldırıldı.

İşlem özel özelliği Hata Koduolarak yeniden adlandırıldı.

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.3içinde yeni ya da güncellenen kurallar gösterilmektedir.

Tablo 17. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.3 içindeki kurallar
Ad Açıklama
AWS Cloud: Bir Imzalama Sertifikası Kaldırıldı Özet güncellendi.
AWS Cloud: Standart Olmayan Bir VPC ' De Ya Da VPC Olmadan Bir EC2 Eşgörünümü Yaratıldı Kural açıklaması güncellendi.
AWS Cloud: Bir EC2 Eşgörünümü, Standart Olmayan Bir Amazon Makine Görüntüsinden (AMI) Oluşturuldu Kural adı ve kural yanıtı güncellendi.
AWS Bulut: Kök kullanıcıya göre bulut etkinliği Kural dizini güncellendi ve bir yanıt sınırlayıcısı eklendi.
AWS Cloud: Bir EC2 Eşgörünümü Büyük Belirtimlerle Oluşturuldu AWS Cloud: Large Instance Runningolarak adlandırılırdı.

Şu kural testi eklendi:

and when the event matches "Instance Size Type" in ('m5.4xlarge','m5.12xlarge','m5.24xlarge','m4.4xlarge',
'm4.10xlarge','m4.16xlarge','c5d.4xlarge','c5d.9xlarge',
'c5d.18xlarge') AQL filter query
AWS Cloud: Farklı Kaynak IP ' Lerden Birden Çok Konsol Oturum Açma Başarısızlıkları Kural adı ve testleri güncellendi ve kural dizinini değiştirdi.
AWS Cloud: Aynı Kaynak IP ' den Birden Çok Konsol Oturum Açma Başarısızlıkları Kural adı ve testleri güncellendi.
AWS Bulut: AWS Konsolunda Farklı Coğrafyalardan Başarılı Bir Oturum Açma Algılandı AWS Cloud: Multiple Logins Attempts to AWS Console From Different Geographies(Farklı Coğrafyalardan Çoklu Oturum Açma Girişimi) olarak adlandırılır.

Kural adı ve testleri güncellendi ve kural dizinini değiştirdi.
AWS Cloud: AWS Trail Günlük Kaydı Yapılandırmalarında Bir Değişiklik Algılandı Kural adı güncellendi.
AWS Cloud: Günlükler Silindi/Devre Dışı Bırakıldı ya da Durduruldu AWS Cloud: Cloud Trail Silindiolarak adlandırılırdı.

Kural adı güncellendi ve aşağıdaki ilgili olayları ekledi:

  • (88750492) Günlüğe Kaydetmeyi Geçersiz Kıl
  • (88750787) Günlüğe Kaydetmeyi Durdur
  • (88750873) Akış Günlüklerini Sil
BB: AWS Cloud Read Attempt Error Code (Bulut Okuma Deneyi Hata Kodu) BB: AWS Cloud Read Attempt Error Codeolarak adlandırılırdı.

Düzenli ifade koşulu herhangi bir işlece eşit olarak değiştirildi. Client.UnauthorizedOperation hata kodu eklendi.
AWS Cloud: Aynı Kaynak IP ' den Birden Çok Başarısız API İsteği AWS Cloud: Multiple Failed Read Attempts from same Source IP(Bulut: Aynı Kaynak IP ' den Birden Çok Başarısız Okuma Girişimi) olarak adlandırılmıştı.
AWS Cloud: Aynı Kullanıcı Adından Birden çok Başarısız API İsteği AWS Cloud: Aynı Kullanıcı Adından Birden Çok Başarısız Okuma Girişimiolarak adlandırılması için kullanılır.

Kural dizinini kullanıcı adı tarafından dizinlenecek şekilde değiştirdi.
AWS Cloud: Farklı Kaynak IP ' lerden Birden çok Başarısız API İsteği AWS Cloud: Multiple Failed Read Attempts from Different Source Ipsolarak adlandırılmıştı.

Hedef IP tarafından dizinlenecek kural dizinini değiştirdi.
AWS Bulut: Kritik EC2 Eşgörünümü Durduruldu YA Da Sonlandırıldı AWS Cloud: EC2 Instance Deletions and/or Terminationsolarak adlandırılmıştı.

Kural adı ve testleri güncellendi. Şimdi yalnızca kritik EC2 yönetim ortamlarını izler.
AWS Bulut: Parola İlkesi Güncellendi Kural yanıtı güncellendi.
AWS Bulut: VPC Yapılandırma Değişiklikleri Kural yanıtı güncellendi.
AWS Bulut: Güvenlik Grubu Yapılandırma Değişiklikleri Kural yanıtı güncellendi.
AWS Cloud: Yönetici haklarına sahip olmayan kullanıcı bir Yönetici Rolüne erişiyor Kural yanıtı güncellendi.
AWS Cloud: S3 Bucket oluşturuldu Kural yanıtı güncellendi.
AWS Bulut: S3 Saklama İlkesi değişiklikleri Kural yanıtı güncellendi.
AWS Bulut: Network ACL Değişiklikleri Kural yanıtı güncellendi.
AWS Bulut: S3 Standart Olmayan Kullanıcı tarafından erişilen saklama kabı Kural yanıtı güncellendi.
AWS Bulut: Kullanıcı Profili Güncellendi Kural yanıtı güncellendi.
AWS Bulut: Grup Oluşturuldu ya da Silindi Kural yanıtı güncellendi.
AWS Cloud: S3 Bucket silindi Kural yanıtı güncellendi.
AWS Bulut: Ağ Geçidi Değişiklikleri Kural yanıtı güncellendi.
AWS Cloud: Key Pair Management yapılandırma değişiklikleri Kural yanıtı güncellendi.
AWS Bulut: Yönlendirme Tablosu Değişiklikleri Kural yanıtı güncellendi.
AWS Cloud: Kullanıcı, Yönetici Rol Yeteneği olan bir Gruba eklendi Kural yanıtı güncellendi.

AWS Cloud: EC2 Instance Running State Change kuralı bu yayında kaldırıldı.

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.3içinde yeni ya da güncellenen başvuru verileri gösterilmektedir.

Tablo 18. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.3 içindeki Başvuru Verileri
Tip Ad Açıklama
Referans Kümesi AWS -Yönetim Grupları Adamiak-group test girdisini kaldırdı.
Referans Kümesi AWS -Yönetici Rolleri admin-adamiak-test girdisi kaldırıldı.

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 1.2.2

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.2içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 19. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.2 içindeki Özel Özellikler
Ad İyileştirilmiş Yakalama Grubu Düzenli ifade
Hesap Adı Evet 1 \"userName\".+\"userName\"\:\"([^\"\}]+)
Eylem Evet 1 \"ConsoleLogin\"\:\"([^\"]+)
Hata Kodu Evet 1 \"errorCode\":\"([^\"]+)
EventName Evet 1 eventName\:\"([^\"]+)
Birleşik Kullanıcı Evet 1 feder-kullanıcı/ ([ ^ \"] +)
Grup Hesabı Adı Evet 1 userName. +userName\" \:\" ([ ^ \s "] +)
Grup Adı Evet 1 groupName\" \:\" ([ ^ \s "] +)
Resim Tanıtıcısı Evet 1 imageId\"\:\"([^\"]+)
Eşgörünüm Boyutu Tipi Evet 1 instanceType\"\:\"([^\"]+)
İlke Adı Evet 1 policyArn\"\:\"([^\"]+)
Bölge Evet 1 awsRegion\"\:\"([^\"]+)
Rol Adı Evet 1 \"roleName\"\:\"([^\"]+)
Kullanıcı İlkesi İşlemi Evet 1 policyName\"\:\"([^\"]+)
Kullanıcı Eklendi Evet 1 \"requestParameters.userName\"\:\"([^\"]+)
UserType Evet 1 tip: " ([ ^ \"] +)
VPC Tanıtıcısı Evet 1 vpcId\"\:\"([^\"]+)

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.2içinde yeni ya da güncellenen kurallar ve yapı taşları gösterilmektedir.

Tablo 20. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.2 içindeki Kurallar ve Yapı Blokları
Tip Ad Açıklama
Yapı Taşı BB: AWS Cloud Read Attempt Error Code (Bulut Okuma Deneyi Hata Kodu) Okuma Girişimi kuralları tarafından kullanılır ve bir Erişim Verilmedi parametresi döndürür.
Kural AWS Bulut: Parola İlkesi Güncellendi Bir parola ilkesinin güncellendiğini saptar.
Kural AWS Bulut: VPC Yapılandırma Değişiklikleri VPC ' ler ve VPC özniteliklerinde yapılan ekleme ve değişiklikleri saptar.
Kural AWS Bulut: EC2 Eşgörünüm Çalışan Durum Değişikliği Çalışan, yeniden önyüklüyor, eşgörünümleri başlatıyor.
Kural AWS Bulut: Bulut İzi Silindi Silinmekte olan Amazon AWS Cloud Trail günlüğünü algılar.
Kural AWS Bulut: Kök kullanıcıya göre bulut etkinliği Kök kullanıcı tarafından Amazon AWS etkinliğini algılar.  Kök olarak oturum açılması, kullanıcının gerçek kimliğini gizler.
Kural AWS Bulut: Büyük Eşgörünüm Çalışıyor Büyük bir EC2 yönetim ortamının başlatıldığını saptar.
Kural AWS Bulut: Güvenlik Grubu Yapılandırma değişiklikleri Güvenlik grubu yapılandırmalarında yapılan değişiklikleri, kural ve grupların eklenmesini/silinmesini algılar.
Kural AWS Cloud: Cloud Trail Log veya Configuration 'da yapılan değişiklikler AWS Cloud Trail günlüklerinde yapılandırma değişikliklerini algılar.
Kural AWS Cloud: Aynı Kaynak IP ' den Birden Çok Başarısız Konsol Oturumu Açma AWS Konsolunda aynı kaynak IP ' den 2 dakika içinde 5 kez hatalı oturum açma algılar.
Kural AWS Cloud: Farklı Kaynak IP ' lerden Birden Çok Başarısız Konsol Oturumu Açma AWS Console 'da farklı kaynak IP ' lerden 2 dakika içinde 25 kez hatalı oturum açma algılar.
Kural AWS Cloud: Yönetici haklarına sahip olmayan kullanıcı bir Yönetici Rolüne erişiyor Yönetici haklarına sahip olmayan bir kullanıcının bir yönetici rolüne bağlanabilmesini algılar.
Kural AWS Cloud: Aynı Kaynak IP ' den Birden Çok Başarısız Okuma Girişimi Belirli bir süre içinde aynı kaynak IP ' den birden çok AWS yapılandırması okuma olayı algılar.
Kural AWS Cloud: Aynı Kaynak IP ' den Birden Çok Başarısız Okuma Girişimi Bir S3 saklama kabının oluşturulduğunu algılar.
Kural AWS Bulut: S3 Saklama İlkesi değişiklikleri S3 Saklama Kabı İlkeleri, erişim denetim listeleri (EDL), kökler arası kaynak paylaşımı (CORS) ve yaşam çevrimi ilkelerinde yapılan değişiklikleri saptar.
Kural AWS Bulut: EC2 Standart olmayan VPC ' de ya da VPC olmadan başlatılır Eşgörünümlerin VPC 'ler olmadan standart olmayan VPC' lerde ya da EC2 klasiği içinde başlatıldığını algılar.
Kural AWS Bulut: Network ACL Değişiklikleri Ağ EDL ' lerinde yapılan ekleme, silme ve değişiklikleri algılar.
Kural AWS Cloud: Farklı Kaynak IP ' lerden Birden Çok Başarısız Okuma Girişimi Belirli bir süre içinde farklı kaynak IP ' lerden birden çok AWS yapılandırması okuma olayını algılar.
Kural AWS Cloud: Signing Certificate silindi Bir imzalama sertifikası silindiğinde algılar.
Kural AWS Bulut: S3 Standart Olmayan Kullanıcı tarafından erişilen saklama kabı AWS -Standard Users (Standart Kullanıcılar) içinde olmayan bir kullanıcının AWS kaynaklarını almayı denediğini algılar.
Kural AWS Bulut: Kullanıcı Profili Güncellendi Bir kullanıcı profilinin güncellendiğini saptar.
Kural AWS Bulut: Grup Oluşturuldu ya da Silindi Bir grup yaratıldığında ya da silindiğinde saptar.
Kural AWS Cloud: S3 Bucket silindi Bir S3 saklama kabının ya da içindekilerin silindiğini saptar. Yaşam çevrimi, eşleme, CORS ve diğer ilkeler.
Kural AWS Bulut: Farklı Coğrafyalardan Birden Çok Konsol Oturum Açma Girişimi Aynı kullanıcının AWS konsolunda farklı kaynak bölgelerden birden çok kez oturum açma girişiminde bulunduğunu saptar. Bu, paylaşılan ya da çalınan kimlik bilgilerini temsil edebilir.
Kural AWS Bulut: Ağ Geçidi Değişiklikleri EC2 eşgörünümlerinde ağ geçidi yapılandırmalarında yapılan ekleme, silme ve değişiklikleri algılar.
Kural AWS Cloud: Key Pair Management yapılandırma değişiklikleri Yeni oluşturulan anahtarları, silinen anahtarları, şifrelemeyi ya da şifre çözme etkinliklerini algılar ve önem derecesine bağlı olarak olaylar ya da uyarılar oluşturur.
Kural AWS Bulut: EC2 Eşgörünüm Silme ve/veya Sonlandırma Durdurma ve sonlandırma örneklerini algılar.
Kural AWS Bulut: EC2 standart olmayan görüntüden başlatıldı Bir eşgörünüm, standart resimler listesiyle eşleşmeyen bir görüntü tanıtıcısıyla çalıştığında bunu algılar.
Kural AWS Cloud: Aynı Kullanıcı Adından Birden Çok Başarısız Okuma Girişimi Belirli bir süre içinde aynı kullanıcıdan birden çok AWS yapılandırması okuma olayı algılar.
Kural AWS Bulut: Yönlendirme Tablosu Değişiklikleri Yeni bir alt ağın ilişkilendirildiğini ya da varolan bir rota çizelgesinden silindiğini saptar.
Kural AWS Cloud: Kullanıcı, Yönetici Rol Yeteneği olan bir Gruba eklendi Yönetici rolü yetenekleri olan bir gruba bir kullanıcı eklendiğinde bunu algılar.

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.2içinde yeni ya da güncellenen raporlar gösterilmektedir.

Tablo 21. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.2 içindeki raporlar
Rapor Adı Ad ve Bağımlılıkları Ara
AWS Denetim Olayları-Aylık Saklanmış Arama: AWS Denetleme Olayları
AWS Denetim Olayları-Haftalık Saklanmış Arama: AWS Denetleme Olayları
AWS Başarısız Konsol Oturum Açmaları Birleşik Kullanıcıları-Aylık Saklanmış Arama: AWS Failed Console logins Fed User-Group by username and Source IP
AWS Başarısız Konsol Oturum Açmaları Birleşik Kullanıcılar-Haftalık Saklanmış Arama: AWS Failed Console logins Fed User-Group by username and Source IP
AWS Başarısız Konsol Oturum Açması-Birleşik Olmayan Kullanıcılar-Aylık Kayıtlı Arama: AWS Başarısız Konsol Oturum Açmaları-Kullanıcı Adı ve Kaynak IP ' ye Göre Gruplanmış Kullanıcı
AWS Başarısız Olan Konsol Oturum Açması-Birleşik Olmayan Kullanıcılar-Haftalık Kayıtlı Arama: AWS Başarısız Konsol Oturum Açmaları-Kullanıcı Adı ve Kaynak IP ' ye Göre Gruplanmış Kullanıcı
AWS Grup Denetimi-Aylık Kayıtlı Arama: AWS Grup Değişiklikleri Denetimi
AWS Grup Denetimi-Haftalık Kayıtlı Arama: AWS Grup Değişiklikleri Denetimi
AWS Büyük EC2 Yönetim Ortamları Çalışıyor-Aylık Saklanmış Arama: AWS Çalışan Büyük Eşgörünümler
AWS Büyük EC2 Çalışan Eşgörünümler-Haftalık Saklanmış Arama: AWS Çalışan Büyük Eşgörünümler
AWS İlke Değişiklikleri Denetimi-Aylık Saklanmış Arama: AWS İlke Değişikliği Denetimi
AWS İlke Değişiklikleri Denetlemesi-Haftalık Saklanmış Arama: AWS İlke Değişikliği Denetimi
AWS Rol Yaratma, Silme ve Güncelleme İşlemleri-Haftalık Saklanmış Arama: AWS Rol Yaratılması, Silinmesi ve Güncellemesi
AWS Rol Yaratılması, Silinmesi ve Güncellemesi-Aylık Saklanmış Arama: AWS Rol Yaratılması, Silinmesi ve Güncellemesi
AWS S3 Buckets Created-Monthly Saklanmış Arama: AWS S3 Buckets Created
AWS S3 Buckets Created-Weekly Saklanmış Arama: AWS S3 Buckets Created
AWS S3 Kova Silindi-Aylık Saklanmış Arama: AWS S3 Demetler Silindi
AWS S3 Demetler Silindi-Haftalık Saklanmış Arama: AWS S3 Demetler Silindi
AWS Güvenlik Grubu Girişi-Aylık Saklanmış Arama: AWS Güvenlik Grubu Girişi
AWS Güvenlik Grubu Girişi-Haftalık Saklanmış Arama: AWS Güvenlik Grubu Girişi
AWS Başarılı Konsol Oturum Açmaları Birleşik Kullanıcıları-Aylık Kayıtlı Arama: AWS Success Console logins Fed User-Group by username and Source IP
AWS Başarılı Konsol Oturum Açmaları Birleşik Kullanıcıları-Haftalık Kayıtlı Arama: AWS Success Console logins Fed User-Group by username and Source IP
AWS Başarılı Konsol Oturum Açmaları Birleşik Olmayan Kullanıcılar-Aylık Kayıtlı Arama: AWS Success Console Logins Non-Fed User-Group by username and Source IP (Kullanıcı Adı ve Kaynak IP ' ye Göre Oturum Açmalar)
AWS Başarılı Konsol Oturum Açmaları-Birleşik Olmayan Kullanıcılar-Haftalık Kayıtlı Arama: AWS Success Console Logins Non-Fed User-Group by username and Source IP (Kullanıcı Adı ve Kaynak IP ' ye Göre Oturum Açmalar)
AWS Kullanıcı Hesabı Oluşturuldu-Aylık Saklanmış Arama: AWS Kullanıcı Hesabı Oluşturuldu
AWS Kullanıcı Hesabı Oluşturuldu-Haftalık Saklanmış Arama: AWS Kullanıcı Hesabı Oluşturuldu
AWS VPC Olay Denetimi-Aylık Saklanmış Arama: AWS VPC Denetim Olayı
AWS VPC Event Audit-Haftalık Saklanmış Arama: AWS VPC Denetim Olayı

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.2içinde yeni ya da güncellenen başvuru verileri gösterilmektedir.

Tablo 22. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.2 içindeki Başvuru Verileri
Tip Ad
Referans Kümesi AWS -VPC Tanıtıcıları
Referans Kümesi AWS -Yönetim Grupları
Referans Kümesi AWS -Yönetici Kullanıcılar
Referans Kümesi AWS -Yönetici Rolleri
Referans Kümesi AWS -Eşgörünüm Görüntü Tanıtıcıları
Referans Kümesi AWS -Standart Kullanıcılar
Referans Kümesi AWS -Denetleme Olayları

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.2.2içinde yeni ya da güncellenen kayıtlı aramalar gösterilmektedir.

Tablo 23. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.2.2 içinde Kayıtlı Aramalar
Ad Açıklama
AWS S3 Saklama Kabı Yaratıldı Bu kayıtlı arama, S3 Buckets Created reports içinde kullanılır.
AWS S3 Saklama Kabı Silindi Bu kayıtlı arama, S3 Buckets Deleted raporlarında kullanılır.
AWS Çalışan Büyük Eşgörünümler Bu kayıtlı arama, raporları çalıştıran Büyük EC2 Eşgörünümlerinde kullanılır.
AWS VPC Denetim Olayı Bu kayıtlı arama, AWS VPC Olay Denetimi raporlarında kullanılır.
AWS Başarısız Konsol Oturum Açmaları-Kullanıcı Adı ve Kaynak IP ' ye Göre Gruplanmış Bu kayıtlı arama, Başarısız Olan Konsol Oturum Açmaları Birleşik Olmayan Kullanıcılar raporlarında kullanılır.
AWS Failed Console logins Fed User-Group by username and Source IP (AWS Başarısız Konsol Oturum Açmaları Kullanıcı-Kullanıcı adı ve Kaynak IP ' ye göre Grup) Bu kayıtlı arama, Başarısız Olan Konsol Oturum Açma Birleşik Kullanıcıları raporlarında kullanılır.
AWS Güvenlik Grubu Girişi Bu kayıtlı arama, Güvenlik Grubu Giriş raporlarında kullanılır.
AWS Rol Yaratılması, Silinmesi ve Güncellemesi Bu kayıtlı arama, Rol raporlarında kullanılır.
AWS Success Console logins Fed User-Group by username and Source IP (Kullanıcı Adı ve Kaynak IP ' ye Göre Başarılı Konsol Oturum Açtı) Bu kayıtlı arama, Başarılı Konsol Oturum Açmaları Birleşik Kullanıcıları raporlarında kullanılır.
AWS İlke Değişikliği Denetimi Bu kayıtlı arama, İlke Değişikliği raporlarında kullanılır.
AWS Grup Değişiklikleri Denetimi Bu kayıtlı arama, Grup Değişiklikleri raporlarında kullanılır.
AWS Success Console Logins Non-Fed User-Group by username and Source IP (Kullanıcı Adı ve Kaynak IP ' ye göre Oturum Açtı) Bu kayıtlı arama, Başarılı Konsol Oturum Açmaları Birleşik Olmayan Kullanıcılar raporlarında kullanılır.
AWS Denetim Olayları Bu kayıtlı arama, Denetleme Olayı raporlarında kullanılır.
AWS Kullanıcı Hesabı Oluşturuldu Bu kayıtlı arama, Kullanıcı Hesabı Oluşturuldu raporlarında kullanılır.

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 1.1.0

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.1.0içinde yeni ya da güncellenen özel özellikler gösterilmektedir.

Tablo 24. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.1.0 içindeki Özel Özellikler
Ad Düzenli ifade
Kullanıcı İlkesi Adı policyName\"\:\"([^\"]+)
Eşgörünüm Boyutu Tipi instanceType\"\:\"([^\"]+)

Rol özel özelliği bu yayında kaldırıldı.

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.1.0içinde yeni ya da güncellenen kurallar gösterilmektedir.

Tablo 25. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.1.0 içindeki kurallar
Tip Ad Açıklama
Kural AWS Bulut: Büyük Eşgörünüm Çalışıyor Büyük bir eşgörünüm çalışırken algılar.
Kural AWS Bulut: Network ACL Değişiklikleri Erişim Denetim Listesi 'nde (ACL) yapılan değişiklikleri saptar.
Kural AWS Bulut: EC2 Eşgörünüm Silme ve/veya Sonlandırma Bir EC2 yönetim ortamının sonlandırıldığını ya da silindiğini saptar.
Kural AWS Bulut: VPC Yapılandırma Değişiklikleri Bir Sanal Özel Bulut (VPC) üzerinde yapılan yapılandırma değişikliklerini algılar.
Kural AWS Bulut: S3 Standart Olmayan Kullanıcı tarafından erişilen saklama kabı AWS -Standard Users (Standart Kullanıcılar) başvuru kümesinde listelenmeyen bir kullanıcı tarafından S3 saklama kabına erişimi saptar.
Kural AWS Bulut: EC2 Eşgörünüm Çalışan Durum Değişikliği Bir EC2 eşgörünümünün çalışma durumundaki değişiklikleri saptar.
Kural AWS Cloud: Key Pair Management yapılandırma değişiklikleri Anahtar çifti yönetim yapılandırmasındaki değişiklikleri algılar.
Kural AWS Bulut: S3 Kova İlkesi S3 saklama kabı ilkelerindeki değişiklikleri saptar.
Kural AWS Bulut: Güvenlik Grubu Yapılandırma değişiklikleri Güvenlik grubu yapılandırmasındaki değişiklikleri algılar.
Kural AWS Bulut: Ağ Geçidi Değişiklikleri Ağ geçidinde yapılan değişiklikleri algılar.
Kural AWS Cloud: S3 Bucket silindi Bir S3 saklama kabının silindiğini saptar.
Kural AWS Cloud: S3 Bucket oluşturuldu Bir S3 saklama kabının oluşturulduğunu algılar.

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.1.0içinde yeni ya da güncellenen başvuru verileri gösterilmektedir.

Tablo 26. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.1.0 içindeki Başvuru Verileri
Tip Ad Açıklama
Referans Kümesi AWS -Standart Kullanıcılar Kuruluşunuzun AWS kullanıcılarının listesi. Bu başvuru kümesi, AWS Cloud: S3 Non-Standard User(Standart Olmayan Kullanıcı) tarafından erişilen saklama kabı tarafından kullanılır.

(Başa dön)

IBM Security QRadar Amazon için Özel Özellikler AWS 1.0.0

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS 1.0.0içindeki özel özellikler gösterilmektedir.

Tablo 27. IBM Security QRadar (Güvenlik QRadar) Amazon için Özel Özellikler AWS 1.0.0 içindeki Özel Özellikler
Ad Düzenli ifade
Bölge awsRegion\"\:\"([^\"]+)
Hesap Adı \"userName\".+\"userName\"\:\"([^\"\}]+)
Grup Adı groupName\" \:\" ([ ^ \s "] +)
Birleşik Kullanıcı feder-kullanıcı/ ([ ^ \"] +)
UserType "type": " ([ ^ \"] +)
UserAdded \"requestParameters.userName\"\:\"([^\"]+)
Eylem \"ConsoleLogin\"\:\"([^\"]+)
Grup Hesabı Adı userName. +userName\" \:\" ([ ^ \s "] +)
Hata Kodu \"errorCode\":\"([^\"]+)
Görev policy_id = (\d +)

Aşağıdaki tabloda, IBM Security QRadar Custom Properties for Amazon AWS Content Extension 1.0.0içindeki kurallar ve yapı taşları gösterilmektedir.

Tablo 28. IBM Security QRadar (Güvenlik QRadar) Amazon AWS İçerik Uzantısında 1.0.0 Kurallar ve Yapı Blokları
Tip Ad Açıklama
Yapı Taşı BB: AWS Cloud Read Attempt Error Code (Bulut Okuma Deneyi Hata Kodu) Okuma Girişimi kuralları tarafından kullanılır ve Erişim Verilmedi Parametresi döndürür.
Kural AWS Cloud: Farklı Kaynak IP ' den Birden Çok Başarısız Konsol Oturumu Açma Farklı kaynak IP ' lerden AWS Konsolunda 2 dakika içinde toplam beş kez başarısız olan oturum açma işlemlerini saptar.
Kural AWS Cloud: Farklı Coğrafyalardan Birden Çok Konsol Oturum Açma Girişimi Farklı coğrafyalardan AWS Konsolunda 2 dakikada toplam beş kez başarısız olan oturum açma işlemlerini algılar.
Kural AWS Cloud: Aynı Kaynak IP ' den Birden Çok Başarısız Konsol Oturumu Açma Aynı kaynak IP ' den AWS Konsolunda 2 dakika içinde toplam beş kez başarısız olan oturum açma işlemlerini saptar.
Kural AWS Cloud: Aynı Kaynak IP ' den Birden Çok Başarısız Okuma Girişimi Belirli bir süre içinde aynı kaynak IP ' den birden çok AWS Configuration Read olayını algılar.
Kural AWS Bulut: Bulut İzi Silindi Amazon AWS Cloud Trail Günlüklerinin silindiğini algılar.
Kural AWS Cloud: Farklı Kaynak IP ' lerden Birden Çok Başarısız Okuma Girişimi Belirli bir süre içinde farklı kaynak IP ' lerden birden çok AWS Configuration Read olayını algılar.
Kural AWS Bulut: Kök kullanıcıya göre Bulut Etkinliği Kök kullanıcı tarafından Amazon AWS etkinliğini algılar. Kök olarak oturum açılması kullanıcının kimliğini gizler.
Kural AWS Cloud: Aynı Kullanıcı Adından Birden Çok Başarısız Okuma Girişimi Belirli bir süre içinde aynı kaynak IP ' den birden çok AWS Configuration Read olayını algılar.

Aşağıdaki tabloda IBM Security QRadar Amazon AWS Content Extension 1.0.0içindeki raporlar gösterilmektedir.

Tablo 29. IBM Security QRadar (Güvenlik QRadar) Amazon AWS İçerik Uzantısı 1.0.0 ' daki Raporlar
Rapor Adı Açıklama
AWS Denetim Olayları-Aylık AWS denetim etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Denetim Olayları-Haftalık AWS denetim etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Başarısız Konsol Oturum Açmaları Birleşik Kullanıcıları-Aylık AWS oturum açma etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Başarısız Konsol Oturum Açmaları Birleşik Kullanıcılar-Haftalık AWS oturum açma etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Başarısız Konsol Oturum Açması-Birleşik Olmayan Kullanıcılar-Aylık AWS oturum açma etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Başarısız Olan Konsol Oturum Açması-Birleşik Olmayan Kullanıcılar-Haftalık AWS oturum açma etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Grup Denetimi-Aylık AWS grup denetleme etkinliklerinin daha fazla izlenmesini ve eğilim göstermesini sağlar.
AWS Grup Denetimi-Haftalık AWS grup denetleme etkinliklerinin daha fazla izlenmesini ve eğilim göstermesini sağlar.
AWS İlke Değişiklikleri Denetimi-Aylık AWS ilke değişikliği etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS İlke Değişiklikleri Denetlemesi-Haftalık AWS ilke değişikliği etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Rol Yaratma, Silme ve Güncelleme İşlemleri-Aylık AWS rol etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Rol Yaratma, Silme ve Güncelleme İşlemleri-Haftalık AWS rol etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS -Güvenlik Grubu Girişi-Aylık AWS güvenlik grubu alma etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Güvenlik Grubu Girişi-Haftalık AWS güvenlik grubu alma etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Başarılı Konsol Oturum Açmaları Birleşik Kullanıcıları-Aylık AWS oturum açma etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Başarılı Konsol Oturum Açmaları Birleşik Kullanıcıları-Haftalık AWS oturum açma etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Başarılı Konsol Oturum Açmaları Birleşik Olmayan Kullanıcılar-Aylık AWS oturum açma etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Başarılı Konsol Oturum Açmaları-Birleşik Olmayan Kullanıcılar-Haftalık AWS oturum açma etkinliklerinin daha fazla izlenmesini ve eğilimini sağlar.
AWS Kullanıcı Hesabı Oluşturuldu-Aylık AWS kullanıcı hesabı oluşturma etkinliklerinin daha fazla izlenmesini ve eğilim göstermesini sağlar.
AWS Kullanıcı Hesabı Oluşturuldu-Haftalık AWS kullanıcı hesabı oluşturma etkinliklerinin daha fazla izlenmesini ve eğilim göstermesini sağlar.
AWS VPC Olay Denetimi-Aylık Amazon Virtual Private Cloud 'dan olaylar için eğilim sağlar.
AWS VPC Event Audit-Haftalık Amazon Virtual Private Cloud 'dan olaylar için eğilim sağlar.

Aşağıdaki tabloda, IBM Security QRadar Amazon AWS Content Extension 1.0.0içindeki başvuru verileri gösterilmektedir.

Tablo 30. IBM Security QRadar (Güvenlik QRadar) Amazon AWS İçerik Uzantısında 1.0.0 Başvuru Verileri
Tip Ad Açıklama
Referans Kümesi AWS_Audit_Events AWS Denetleme Olayları arama/raporu tarafından kullanılan AWS Denetim olayları (QID) kümesi. Kullanıcılar, ortamlarına göre ekleyebilir ya da silebilirler.

Aşağıdaki tablo, IBM Security QRadar Amazon AWS Content Extension 1.0.0içindeki kayıtlı aramaları göstermektedir.

Tablo 31. IBM Security QRadar (Güvenlik QRadar) Amazon AWS İçerik Uzantısı 1.0.0 ' nde Kayıtlı Aramalar
Ad Açıklama
AWS -Kullanıcı Hesabı Oluşturuldu Bu kayıtlı arama, Kullanıcı Hesabı Oluşturuldu raporlarında kullanılır.
AWS -Grup Değişiklikleri Denetimi Bu kayıtlı arama, Grup Değişiklikleri raporlarında kullanılır.
AWS -Güvenlik Grubu Girişi Bu kayıtlı arama, Güvenlik Grubu Giriş raporlarında kullanılır.
AWS Success Console logins Fed User-Group by username and Source IP (Kullanıcı Adı ve Kaynak IP ' ye Göre Başarılı Konsol Oturum Açtı) Bu kayıtlı arama, Başarılı Konsol Oturum Açmaları Birleşik Kullanıcıları raporlarında kullanılır.
AWS Success Console Logins Non-Fed User-Group by username and Source IP (Kullanıcı Adı ve Kaynak IP ' ye göre Oturum Açtı) Bu kayıtlı arama, Başarılı Konsol Oturum Açmaları Birleşik Olmayan Kullanıcılar raporlarında kullanılır.
AWS Başarısız Konsol Oturum Açmaları-Kullanıcı Adı ve Kaynak IP ' ye Göre Gruplanmış Bu kayıtlı arama, Başarısız Olan Konsol Oturum Açmaları Birleşik Olmayan Kullanıcılar raporlarında kullanılır.
AWS Failed Console logins Fed User-Group by username and Source IP (AWS Başarısız Konsol Oturum Açmaları Kullanıcı-Kullanıcı adı ve Kaynak IP ' ye göre Grup) Bu kayıtlı arama, Başarısız Olan Konsol Oturum Açma Birleşik Kullanıcıları raporlarında kullanılır.
AWS Rol Yaratma, Silme ve Güncelleme Bu kayıtlı arama, Rol raporlarında kullanılır.
AWS İlke Değişikliği Denetimi Bu kayıtlı arama, İlke Değişikliği raporlarında kullanılır.
AWS Denetlenecek Olaylar Bu kayıtlı arama, Denetleme Olayı raporlarında kullanılır.
AWS VPC Denetim Olayı Bu kayıtlı arama, AWS VPC Olay Denetimi raporlarında kullanılır.

(Başa dön)