混合云用例
使用 IBM 安全 QRadar 混合云使用案例的内容扩展来密切监控您的混合云部署。
关于 IBM Security QRadar Content Extension for Hybrid Cloud 用例
IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 添加了若干规则和已保存的搜索,这些搜索专注于检测虚拟化活动。
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。
- IBM 安全性 QRadar 适用于混合云使用案例的内容扩展 2.3.2
- IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.3.1
- IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.3.0
- IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.2.1
- IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.2.0
- IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.1.0
- IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.0.0
- IBM Security QRadar Content Extension for Hybrid Cloud 用例 1.0.0
IBM 安全性 QRadar 混合云使用案例的内容扩展 2.3.2
下表显示了 IBM 安全性 QRadar 混合云使用案例内容扩展 2.3.2 中新增的规则。
| 类型 | 名称 | 描述 |
|---|---|---|
| 规则 | 已删除/已禁用或已停止日志 | 删除、禁用或停止日志时会触发此规则。 |
| 规则 | 已为 Azure添加管理角色 | 此规则检测为 Azure 添加的管理员角色。 |
下表显示了 IBM 安全 QRadar 混合云使用案例内容扩展 2.3.2 中的自定义事件属性。
注: 下表中包含的定制属性是占位符。 您可以下载包含具有这些名称的定制属性的其他内容扩展,也可以创建自己的内容扩展。
| 定制属性 | Forceparse | 描述 | UUID | 位置 |
|---|---|---|---|---|
| 警报严重性 | TRUE | 从 DSM 有效负载中自定义提取警报严重程度的默认值 | cfa63d4b-ee3c-40b6-bb3b-1913a35cdb23 | 亚马逊 AWS Azure |
IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.3.1
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.1中的新增规则。
| 类型 | 名称 | 描述 |
|---|---|---|
| 规则 | 已为 Azure添加管理角色 | 检测为 Azure添加的管理员角色。 |
下表是 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.1中新增的定制属性。
| 名称 | 已优化 | 描述 |
|---|---|---|
| 属性新值 | 否 | 这是从 DSM 有效内容中抽取的缺省定制属性新值。 |
IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.3.0
多因子认证旁路 规则过滤器已更新为使用 lower 函数。
日志已删除/已禁用或已停止 规则已更新为更通用以捕获其他云设备。
IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.2.1
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1中新增或更新的规则和构建块。
| 类型 | 名称 | 描述 |
|---|---|---|
| 构建块 | BB:BehaviorDefinition: 已添加管理角色分配 (Office 365) | 标识将管理角色分配给管理角色组,管理角色分配策略,用户或通用安全组 (USG) 的时间。 |
| 构建块 | BB:BehaviorDefinition: 已移除管理角色分配 (Office 365) | 标识从管理角色组,管理角色分配策略,用户或通用安全组 (USG) 中除去管理角色的时间。 |
| 构建块 | BB:CategoryDefinition:对象访问事件 | 编辑此构建块以包含所有对象 (文件,文件夹等) 访问相关事件类别。 |
| 构建块 | BB:CategoryDefinition:对象下载事件 | 编辑此构建块以包含所有对象 (文件,文件夹等) 下载相关事件类别。 |
| 构建块 | BB:CategoryDefinition:对象上传事件 | 编辑此构建块以包含所有对象 (文件,文件夹等) 上载相关事件类别。 |
| 构建块 | BB:BehaviorDefinition:常规虚拟化管理 | 定义常规虚拟环境管理活动,例如机器管理和权限管理。 |
| 规则 | 已删除/已禁用或已停止日志 | 在删除,禁用或停止日志时触发。 |
| 规则 | 在短时间内添加和删除相同的管理策略 (Office 365) | 当来自同一源地址的虚拟化或云系统存在多个认证失败时触发。 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1中新增或更新的定制属性。
| 名称 | 已优化 |
|---|---|
| 受影响的工作负载 | 是 |
| 策略名称 | 是 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1中新增的报告。
| 报告名称 | 描述 |
|---|---|
| Office 365 文件活动-每月 | 已保存的搜索: Office 365: 文件活动 |
| Office 365 文件活动-每周 | 已保存的搜索: Office 365: 文件活动 |
| 影响 Office 365 工作负载运行状况的 Office 365 事件-每月 | 已保存的搜索: Office 365: 影响 Office 365 工作负载运行状况的事件 |
| 影响 Office 365 工作负载运行状况的 Office 365 事件-每周 | 已保存的搜索: Office 365: 影响 Office 365 工作负载运行状况的事件 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1中新增的已保存搜索。
| 名称 | 描述 |
|---|---|
| Office365: 文件活动 | 描述 Office 365 文件活动事件。 |
| Office 365: 影响 Office 365 工作负载运行状况的事件 | 描述影响 Office 365 工作负载运行状况的事件 |
IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.2.0
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0中新增或更新的规则和构建块。
| 类型 | 名称 | 描述 |
|---|---|---|
| 构建块 | BB: AWS Cloud: API 请求已被拒绝 | 定义被拒绝的 pi 请求 (AWS)。 |
| 构建块 | BB:BehaviourDefinition:实例配置文件中的修改 (AWS) | 在 AWS上定义实例概要文件值的更改。 实例概要文件包含一个角色,可以随意更改该角色。 例如,可以将具有 "受限角色" 的 "受限实例概要文件" 更改为具有 "管理员角色"。 在这种情况下,实例概要文件名称不会更改,这更难以注意。 |
| 构建块 | BB:DeviceDefinition: Cloud | 已将更多设备添加到构建块。 |
| 规则 | 来自不同源 IP 的混合云多次登录失败 | 当用户无法在两分钟内从不同源 IP 地址登录到云平台 25 次时触发。 |
| 规则 | 已删除/禁用或停止日志 (AWS) | 在 Amazon AWS 日志上存在正在删除,禁用或停止的警报时触发。 |
| 规则 | 来自同一源 IP 的多个失败 API 请求 (AWS) | 在两分钟内从同一源 IP 启动至少 10 个失败的 API 请求时触发。 |
| 规则 | 来自同一用户名的多个失败 API 请求 (AWS) | 在两分钟内从同一用户名启动至少 10 个失败的 API 请求时触发。 |
| 规则 | 对 AWS 跟踪日志记录配置的潜在更改 | 在对 Cloud Trail 日志进行配置更改时触发警报。 |
| 规则 | 通过实例概要文件的潜在特权升级 (AWS) | 在 AWS 实例概要文件更改后执行管理操作时触发。 用户可以更改 AWS 实例概要文件以分配其他角色。 如果管理活动遵循此操作,那么它可能指示潜在的特权升级事件。 |
| 规则 | 创建或删除的安全规则 (Azure) | 由低特权用户创建或删除安全规则时触发。 这可能指示攻击者创建或删除安全规则以授予对虚拟机或资源的访问权或拒绝对虚拟机或资源的访问权。 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0中新增或更新的定制属性。
| 名称 | 已优化 | 描述 |
|---|---|---|
| 联合用户 (federated user) | 否 | 此属性是用于从 DSM 有效内容中缺省定制抽取 联合用户 的占位符。 |
| 组名 | 是 | 此属性是用于从 DSM 有效内容中缺省定制抽取 组名 的占位符。 |
| 本地网关 | 否 | 此属性是用于从 DSM 有效内容中缺省定制抽取 本地网关 的占位符。 |
| 网络接口 | 否 | 此属性是用于从 DSM 有效内容中缺省定制抽取 网络接口 的占位符。 |
| 网络安全组 | 否 | 此属性是用于从 DSM 有效内容中缺省定制抽取 网络安全组 的占位符。 |
| 网络观察者 | 否 | 此属性是用于从 DSM 有效内容中缺省定制抽取 Network Watcher 的占位符。 |
| 概要文件 | 是 | 此属性是用于从 DSM 有效内容中缺省定制抽取 概要文件 的占位符。 |
| 安全规则 | 否 | 此属性是用于从 DSM 有效内容中缺省定制抽取 安全规则 的占位符。 |
| UserType | 是 | 此属性是用于从 DSM 有效内容中缺省定制抽取 UserType 的占位符。 |
| 虚拟网络 | 否 | 此属性是用于从 DSM 有效内容中缺省定制抽取 虚拟网络 的占位符。 |
| VPC 标识 | 是 | 此属性是用于从 DSM 有效内容中缺省定制抽取 VPC 标识 的占位符。 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0中新增的参考集。
| 类型 | 名称 |
|---|---|
| 引用集 | AWS -审计事件 |
| 引用集 | AWS -VPC 事件 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0中新增的报告。
| 报告名称 | 描述 |
|---|---|
| AWS 审计事件-每月 | 提供对 AWS 审计活动的更大监视和趋势。 |
| AWS 审计事件-每周 | 提供对 AWS 审计活动的更大监视和趋势。 |
| AWS 失败的控制台登录联合用户-每月 | 提供对 AWS 登录活动的更大监视和趋势。 |
| AWS 失败的控制台登录联合用户-每周 | 提供对 AWS 登录活动的更大监视和趋势。 |
| AWS 失败的控制台登录非联合用户-每月 | 提供对 AWS 登录活动的更大监视和趋势。 |
| AWS 失败的控制台登录非联合用户-每周 | 提供对 AWS 登录活动的更大监视和趋势。 |
| AWS 策略更改审计-每月 | 提供对 AWS 策略更改活动的更大监视和趋势。 |
| AWS 策略更改审计-每周 | 提供对 AWS 策略更改活动的更大监视和趋势。 |
| AWS 安全组入口-每月 | 提供对 AWS 安全组入口活动的更大监视和趋势。 |
| AWS 安全组入口-每周 | 提供对 AWS 安全组入口活动的更大监视和趋势。 |
| AWS 成功的控制台登录联合用户-每月 | 提供对 AWS 登录活动的更大监视和趋势。 |
| AWS 成功的控制台登录联合用户-每周 | 提供对 AWS 登录活动的更大监视和趋势。 |
| AWS 成功的控制台登录非联合用户-每月 | 提供对 AWS 登录活动的更大监视和趋势。 |
| AWS 成功的控制台登录非联合用户-每周 | 提供对 AWS 登录活动的更大监视和趋势。 |
| AWS VPC 事件审计-每月 | 提供 Amazon Virtual Private Cloud 事件的趋势。 |
| AWS VPC 事件审计-每周 | 提供 Amazon Virtual Private Cloud 事件的趋势。 |
| Azure 已创建或更新网络安全组-每月 | 为 Azure 安全组提供更大的监视和趋势。 |
| Azure 已创建或更新网络安全组-每周 | 为 Azure 安全组提供更大的监视和趋势。 |
| Azure 安全规则已创建,已更新或已删除-每月 | 为 Azure 安全规则提供更大的监视和趋势。 |
| Azure 安全规则创建,更新或删除-每周 | 为 Azure 安全规则提供更大的监视和趋势。 |
| Azure 虚拟网络已创建或更新-每月 | 为 Azure 虚拟网络提供更大的监视和趋势。 |
| Azure 虚拟网络创建或更新-每周 | 为 Azure 虚拟网络提供更大的监视和趋势。 |
| Azure Web 应用程序虚拟连接已删除-每月 | 为 Azure Web 应用程序虚拟连接提供更大的监视和趋势。 |
| Azure Web 应用程序虚拟连接已删除-每周 | 为 Azure Web 应用程序虚拟连接提供更大的监视和趋势。 |
| 虚拟化-组审计-每月 | 提供对云组审计活动的更大监控和趋势。 |
| 虚拟化-组审计-每周 | 提供对云组审计活动的更大监控和趋势。 |
| 虚拟化-角色创建,删除和更新-每月 | 提供对云角色活动的更大监视和趋势。 |
| 虚拟化-角色创建,删除和更新-每周 | 提供对云角色活动的更大监视和趋势。 |
| 虚拟化-已创建用户帐户-每月 | 提供对云用户帐户创建活动的更大监控和趋势。 |
| 虚拟化-已创建用户帐户-每周 | 提供对云用户帐户创建活动的更大监控和趋势。 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0中新增的已保存搜索。
| 名称 | 描述 |
|---|---|
| AWS 审计事件 | 此已保存的搜索在 " 审计事件 " 报告中使用。 |
| AWS 失败的控制台登录 Fed 用户-按用户名和源 IP 分组 | 此已保存的搜索在 " 失败控制台登录联合用户 " 报告中使用。 |
| AWS 失败的控制台登录非 Fed 用户-按用户名和源 IP 分组 | 此已保存的搜索在 " 失败的控制台登录非联合用户 " 报告中使用。 |
| AWS 策略更改审计 | 此保存的搜索将在 策略更改 报告中使用。 |
| AWS 安全组入口 | 此已保存的搜索在 安全组入口 报告中使用。 |
| AWS 成功控制台登录 Fed 用户-按用户名和源 IP 分组 | 此已保存的搜索在 " 成功控制台登录联合用户 " 报告中使用。 |
| AWS 成功控制台登录非 Fed 用户组 (按用户名和源 IP 排列) | 在 " 成功控制台登录非联合用户 " 报告中使用此已保存的搜索。 |
| AWS VPC 审计事件 | 在 " VPC 事件审计 " 报告中使用此已保存的搜索。 |
| Azure 网络安全组已创建或更新 | 此已保存的搜索在 " 已创建或已更新的安全组 " 报告中使用。 |
| Azure 安全规则已创建,已更新或已删除 | 此已保存的搜索在 已创建,已更新或已删除的安全规则 报告中使用。 |
| Azure 虚拟网络已创建或更新 | 此已保存的搜索在 " 虚拟网络已创建或已更新 " 报告中使用。 |
| Azure Web 应用程序虚拟网络连接已删除 | 此已保存的搜索将在 " 已删除的 Web 应用程序虚拟网络连接 " 报告中使用。 |
| 虚拟化-组更改审计 | 此已保存的搜索将在 " 组更改 " 报告中使用。 |
| 虚拟化-角色创建,删除和更新 | 此已保存的搜索在 角色 报告中使用。 |
| 虚拟化-已创建用户帐户 | 此已保存的搜索将在 " 用户帐户已创建 " 报告中使用。 |
IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.1.0
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.1.0中新增或更新的规则和构建块。
| 类型 | 名称 | 描述 |
|---|---|---|
| 构建块 | BB:DeviceDefinition: Cloud | 定义系统上的所有云源。 |
| 规则 | 来自同一源的混合云多次登录失败 | 当来自同一源地址的虚拟化或云系统存在多个认证失败时触发。 |
| 规则 | 来自同一用户名的混合云多次登录失败 | 当来自同一用户名的虚拟化或云系统存在多个认证失败时触发。 |
IBM Security QRadar Content Extension for Hybrid Cloud 用例 2.0.0
此内容扩展已从 IBM Security QRadar Virtualized Environment Content Extension 重命名为 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases。
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases V2.0.0中的定制事件属性。
注: 下表中包含的定制属性是占位符。 您可以下载包含具有这些名称的定制属性的其他内容扩展,也可以创建自己的内容扩展。
| 定制属性 | 位置 |
|---|---|
| 访问密钥标识 | Amazon AWS |
| 警报严重性 | |
| 审计标志 | |
| 已用 MFA | |
| 对象标识 | Azure |
| ObjectName | Microsoft Office 365 |
| ObjectType | |
| 已执行搜索 | Microsoft Office 365 |
| 目标访问密钥标识 | Amazon AWS |
| 目标用户标识 | Azure |
| 用户标识 | Azure |
| UserType | Amazon AWS |
| 卷标识 | Amazon AWS |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0中新增或更新的规则和构建块。
| 类型 | 名称 | 描述 |
|---|---|---|
| 构建块 | BB:BehaviorDefinition: 为另一个用户创建访问密钥 (AWS) | 定义为另一个用户创建访问密钥的用户。 在 AWS 中,具有 iam:CreateAccessKey权限的用户可以为其拥有访问权限的用户创建访问密钥。 攻击者可能获得管理用户的访问权。 AWS 访问密钥是用于请求 AWS CLI 或 API 的凭证。 |
| 构建块 | BB:BehaviorDefinition: Amazon 中的凭证外渗 GuardDuty | 定义何时检测到 Amazon GuardDuty 中的凭证渗透。 |
| 构建块 | BB:BehaviorDefinition: 默认策略创建 (AWS) | 定义用户创建新策略版本的时间,并将其设置为缺省 (当前) 版本。 在 AWS 中,具有 iam:CreatePolicyVersion权限的用户可以在现有策略上创建新版本,从而覆盖现有策略。 攻击者可以为自己分配最高特权,或者撤销作为特权升级和防御规避技术的安全管理器许可权。 |
| 构建块 | BB:BehaviorDefinition: 默认策略版本修改 (AWS) | 定义何时更改用户的缺省策略版本。 在 AWS 中,具有 iam:SetDefaultPolicyVersion权限的用户可以将策略更改为不同的版本,即默认(当前)策略版本。 这要求预先填充策略版本,因为用户无权重写策略。 例如,名为 |
| 构建块 | BB:BehaviorDefinition:中度或高度严重性虚拟化事件 | 定义虚拟化环境中的中严重性和高严重性事件。 以下指示符已用作定义每个严重性级别的基础。
根据您的需求相应地调整阈值。 在 Azure中,事件严重性基于 Azure 安全中心和 Azure Defender。 环境中显示的警报取决于资源和服务以及定制配置。 在 AWS GuardDuty, 中,以下定义定义了严重性:
|
| 构建块 | BB:BehaviorDefinition:常规虚拟化管理 | 定义常规虚拟环境管理活动,例如机器管理和权限管理。 |
| 构建块 | BB:BehaviorDefinition: 分配给具有受管身份的资源的角色 (Azure) | 定义何时将具有受管身份的 Azure 资源实例分配给另一个资源的角色。 具有受管身份的资源可以通过 Azure Active Directory 认证来访问和管理其他资源。 |
| 构建块 | BB:BehaviorDefinition:可疑虚拟化活动 | 定义可疑的虚拟化活动。 |
| 构建块 | BB:BehaviorDefinition:在同一台机器上分离和附加的卷 | 检测正在从机器拆离的卷,并在一小时内将其重新连接到该机器。 |
| 构建块 | BB:CategoryDefinition: 云对象共享 (O365) | 在 Office 365 中定义 "策略共享" 类别,例如有关日历,联系人和电子邮件的策略。 |
| 构建块 | BB:CategoryDefinition: 虚拟机上的网络配置更新 | 已从内容扩展中除去此构建块。 |
| 构建块 | BB:CategoryDefinition:虚拟机配置更改 | 已更新此构建块的规则过滤器。 |
| 规则 | 来自同一用户的凭证渗透和管理任务 | 在观察到管理任务之前或之后的短时间内发生凭证渗透警报时触发,这可能指示攻击者已使用其对平台的访问权。 |
| 规则 | 执行可疑操作的高特权虚拟机 | 当可访问包含个人信息 (例如,信用卡号) 的存储器的虚拟机执行可疑活动时触发。 此操作可指示虚拟机更改许可权以执行恶意操作。 |
| 规则 | 多因子认证旁路 | 在没有多因子认证 (MFA) 的情况下对虚拟化或云系统进行登录尝试时触发。 注: 缺省情况下会禁用此规则,因为在某些业务场景中可能未启用或未使用 MFA。 只有那些使用 MFA 的环境才应启用此规则。
|
| 规则 | 可疑活动后跟虚拟化管理任务 | 在虚拟环境中发现可疑活动后执行常规管理任务时触发。 可疑活动包括正在删除的多个虚拟机以及检测到的凭证渗透。 常规管理任务包括创建或删除虚拟机以及角色更新。 |
| 规则 | 在虚拟机上进行的可疑修改数 | 已从 在虚拟机上进行的异常修改数重命名。 |
| 规则 | 创建的虚拟机的可疑数量 | 已从 创建的虚拟机数异常重命名。 |
| 规则 | 用户具有特权访问权 (AWS) | 检测到具有临时特权访问权的用户时触发。 在 AWS上,假定角色向用户请求访问的资源返回临时凭证。 用户的临时安全凭证或访问密钥将添加到 临时访问密钥 引用集,缺省情况下,该引用集的生存时间间隔为 1 小时。 根据环境的到期配置调整时间。 注: 必须使用相关角色名称填充 低特权角色名称 引用集。 在特权方面,未在此引用集中定义的任何内容都被视为可疑。
|
| 规则 | 用户已更改为高特权角色 | 已从 用户角色已更改为高特权角色名称重命名。 |
| 规则 | 用户已更改为低特权角色 | 已从 用户角色已更改为低特权角色名称重命名。 |
| 规则 | 具有临时访问权的用户执行可疑活动 (AWS) | 具有临时访问权的用户执行可疑活动时触发。 在 AWS上,假定角色向用户请求访问的资源返回临时凭证。 仅此一项并不表示攻击,因为凭证甚至可能无法使用,或者用户可能是合法的,但应该监视进一步的活动。 |
| 规则 | 分配的虚拟机高特权角色 | 将虚拟机的机器标识添加到 具有高特权角色的资源 引用集 (如果为其分配了高特权角色)。 注: 必须使用相关角色名称填充 低特权角色名称 引用集。 在特权方面,未在此引用集中定义的任何内容都被视为可疑。
|
| 规则 | 未分配虚拟机高特权角色 | 将虚拟机的机器标识除去到 具有高特权角色的资源 引用集 (如果未向其分配高特权角色)。 注: 必须使用相关角色名称填充 低特权角色名称 引用集。 在特权方面,未在此引用集中定义的任何内容都被视为可疑。
|
| 规则 | 在不同机器上连接和拆离的卷 | 在多台机器上连接和拆离单个卷时触发。 例如,在 AWS 环境中替换 SSH 密钥对涉及切换不同实例上的卷。 对卷的此类操作可能会揭示恶意行为。 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0中新增或更新的报告。
| 报告名称 | 搜索名称和描述 |
|---|---|
| 虚拟化-机器创建 | 已保存的搜索: 虚拟化-机器创建,虚拟化-每个用户名的机器创建 过去 24 小时内创建的虚拟机的报告。 |
| 虚拟化-按国家或地区创建用户 | 已保存的搜索: 按国家或地区创建云用户 按国家或地区显示用户创建。 通过使用 云用户创建 (按国家或地区) 搜索来整理报告内容。 编辑此搜索以及任何相关搜索依赖关系以优化结果。 |
下表显示了 IBM Security QRadar Virtualization Content Extension 2.0.0中新增或更新的参考数据。
| 类型 | 名称 | 描述 |
|---|---|---|
| 引用集 | 具有高特权角色的资源 | 定义具有高特权角色的资源。 |
| 引用集 | 临时访问密钥 | 定义 AWS 临时访问密钥。 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0中新增或更新的已保存搜索。
| 名称 | 描述 |
|---|---|
| Microsoft Office365 eDiscovery 已创建或已启动搜索 | 为已创建或已启动的搜索定义 Azure eDiscovery 事件。 |
| Microsoft Office365 eDiscovery 搜索已删除 | 定义用于删除搜索的 Azure eDiscovery 事件。 |
| Microsoft Office365 eDiscovery 搜索已导出或已下载 | 定义用于导出或下载搜索的 Azure eDiscovery 事件。 |
| 虚拟化-机器创建 | 定义虚拟机创建事件。 |
| 虚拟化-每个用户名的机器创建 | 定义按用户名分组的虚拟机创建事件。 |
| 虚拟化-按国家或地区创建用户 | 按国家或地区定义云设备的用户创建事件。 |
| 虚拟化-用户锁定的帐户 | 定义云设备的锁定用户帐户。 |
IBM Security QRadar Content Extension for Hybrid Cloud 用例 1.0.0
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0中的定制事件属性。
注: 下表中包含的定制属性是占位符。 您可以下载包含具有这些名称的定制属性的其他内容扩展,也可以创建自己的内容扩展。
| 定制属性 | 已优化 | 位置 |
|---|---|---|
| 机器标识 | 是 |
|
| 角色名 | 是 |
|
| 目标用户名 | 是 |
|
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0中的构建块和规则。
| 类型 | 名称 | 描述 |
|---|---|---|
| 构建块 | BB:CategoryDefinition: 用户角色分配事件 | 编辑此构建块以包含任何用户角色分配事件。 |
| 构建块 | BB:DeviceDefinition: Virtualization | 此规则定义系统上的所有系统管理器。 |
| 构建块 | BB:DeviceDefinition: Cloud | 此规则定义系统上的所有云源。 |
| 构建块 | BB:CategoryDefinition: 虚拟机已重新启动 | 编辑此构建块以包含指示虚拟机已重新启动的所有事件。 |
| 构建块 | BB:CategoryDefinition: 虚拟机已启动 | 编辑此构建块以包含指示虚拟机已启动的所有事件。 |
| 构建块 | BB:CategoryDefinition: 虚拟机已停止 | 编辑此构建块以包含指示虚拟机已停止的所有事件。 |
| 构建块 | BB:CategoryDefinition: 已删除虚拟机 | 编辑此构建块以包含指示已删除虚拟机的所有事件。 |
| 构建块 | BB:CategoryDefinition: 虚拟机上的配置更改事件 | 编辑此构建块以包含任何配置事件。 |
| 构建块 | BB:CategoryDefinition: 虚拟机上的网络配置更新 | 编辑此构建块以包含指示虚拟机上的网络配置更新的所有事件。 |
| 构建块 | BB:CategoryDefinition:系统配置 | 此构建块定义系统配置事件。 |
| 构建块 | BB:CategoryDefinition: 已创建虚拟机 | 编辑此构建块以包含指示已创建虚拟机的所有事件。 |
| 规则 | 用户角色已更改为低特权角色名称 | 如果为用户提供了较低的特权角色,那么此规则将从引用集 "具有高特权角色名称的用户" 中除去用户名。 注: 必须使用相关角色名称填充 "低特权角色名称" 引用集。 在特权方面,未在此 "参考集" 中定义的任何内容都被视为可疑。
|
| 规则 | 长时间不可用的敏感虚拟机 | 当敏感虚拟机已停止且长时间不可用时,将触发此规则。 通过更改敏感虚拟机的停机时间来调整规则。 |
| 规则 | 用户角色已更改为高特权角色名称 | 如果用户获得了潜在的高特权角色,那么此规则会将用户名添加到具有高特权角色名称的引用集 "用户"。 注: 必须使用相关角色名称填充 "低特权角色名称" 引用集。 在特权方面,未在此 "参考集" 中定义的任何内容都被视为可疑。
|
| 规则 | 执行可疑操作的高特权用户 | 当用户角色更改了更高特权 (例如,管理员) ,后跟可疑活动时,将触发此规则。 此操作可指示用户更改许可权以执行恶意操作或访问未经授权的机器。 |
| 规则 | 在短时间内删除了多个敏感虚拟机 | 在以简明方式删除多个敏感机器或安全设备时,将触发此规则。 这可能表明入侵者正在损害敏感信息或在攻击前被隐藏。 注: 必须使用相关机器名称填充敏感虚拟机引用集。
注意:
如果授权用户经常执行此操作,请通过添加规则条件来排除这些用户。 请参阅 在虚拟机上进行的异常修改数 以获取示例。 |
| 规则 | 在短时间内关闭多个虚拟安全设备 | 当多个虚拟安全设备 (例如,虚拟 IDS ,虚拟 SIEM 组件) 在短时间内断电时,将触发此规则。 注: 必须使用相关机器名称或标识来填充 "安全设备" 引用集。
注意:
如果授权用户经常执行此操作,请通过添加规则条件来排除这些用户。 请参阅 在虚拟机上进行的异常修改数 以获取示例。 |
| 规则 | 在虚拟机上进行的异常修改数 | 在虚拟机上执行异常数目的配置更新时,将触发此规则。 典型的管理不应意味着多个配置更新,例如添加更多内存或减少一台或多台机器的存储大小。 这表示可疑行为 注: 使用有权执行这些操作的用户填充 授权用户 参考集。
|
| 规则 | 创建的虚拟机数异常 | 在短时间内创建大量虚拟机时,将触发此规则。 这可能会显示恶意用户行为。 请参阅 在虚拟机上进行的异常修改数 以获取示例。 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0中的参考数据。
| 类型 | 名称 | 描述 |
|---|---|---|
| 引用集 | 授权用户 | 定义授权用户。 此引用集可用于在执行高特权操作时排除授权用户触发误报。 |
| 引用集 | 低特权角色名称 | 收集具有高特权角色名称的用户名。 |
| 引用集 | 安全设备 | 定义安全设备名称或标识。 |
| 引用集 | 敏感虚拟机 | 定义敏感虚拟机名称或标识。 |
| 引用集 | 具有高特权角色名称的用户 | 收集具有高特权角色名称的用户名。 |
下表显示了 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0中的已保存搜索。
| 名称 | 描述 |
|---|---|
| VMWare 审计事件 | 定义 VMware 审计事件。 |
| VMWare 系统状态 | 定义 VMware 系统状态事件。 |