数据外泄

使用 IBM 安全 QRadar 数据渗漏内容扩展密切监控部署中的数据渗漏活动。

重要信息: 为了避免此内容扩展中的内容错误，请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。如果未启用自动更新，请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。

关于数据泄露扩展

QRadar Content Extension Pack for Data Ex过滤添加了若干规则和已保存的搜索，这些搜索专注于检测数据渗透活动。

数据泄露活动的示例如下:

大型出站数据传输到已知恶意 IP 或联机文件存储服务。
在几天或几个月内缓慢且隐秘的出站数据传输。
云中的数据泄露或数据丢失。例如，如果将机密文件上载到可公开访问的文件夹或存储区，或者将机密文件的许可权更改为全球可读或可访问。
共享机密文件。例如，如果与恶意主机，访客用户或来自组织外部的用户共享机密文件。

IBM Security QRadar 数据渗透内容扩展 1.0.5

此版本的 IBM Security QRadar 数据渗透内容扩展包含导致渗透规则组将其名称和描述列示为null从 API 调用时。

下表显示了 IBM Security QRadar Data Ex过滤内容扩展 1.0.5中新增或更新的定制事件属性。

注: 下表中包含的定制属性是占位符。您可以下载包含具有这些名称的定制属性的其他内容扩展，也可以创建自己的内容扩展。

表 1. IBM 安全性 QRadar 数据泄露内容扩展 1.0.5 中的定制事件属性
定制属性	已优化	位置
文件目录	是	Cisco AMP Cisco Firepower Linux Microsoft Office 365 Microsoft Windows osquery Microsoft 365 Defender
收件人主机	是	Cisco IronPort Microsoft Exchange Microsoft Office 365 Postfix
收件人用户	是	Cisco IronPort Microsoft Exchange Microsoft Office 365 Postfix
UrlHost	是	蓝色外套 Cisco IronPort IBM Cloud Discovery App for QRadar McAfee EPO Squid Microsoft 365 Defender
Web 类别	是	蓝色外套 Cisco IronPort

下表显示了 IBM Security QRadar Data Ex过滤 1.0.5中新增或更新的规则。

表 2. IBM Security QRadar Data Ex过滤 1.0.5中的规则。
名称	描述
来自同一源 IP 的过多文件访问事件	已将排除的 IP 地址范围从 192.168.2.0/24 更改为 192.0.2.0/24。
来自同一用户名的过多文件访问事件	已将排除的 IP 地址范围从 192.168.2.0/24 更改为 192.0.2.0/24。
来自同一用户名的文件下载事件过多	已将排除的 IP 地址范围从 192.168.2.0/24 更改为 192.0.2.0/24。
过多文件从同一源 IP 下载事件	已将排除的 IP 地址范围从 192.168.2.0/24 更改为 192.0.2.0/24。

_{(返回到顶部)}

IBM Security QRadar 数据渗透内容扩展 1.0.4

下表显示了 IBM Security QRadar Data Ex过滤 1.0.4中新增或更新的规则和构建块。

表 3. IBM Security QRadar 数据渗透 1.0.4中的规则和构建块。
类型	名称	描述
构建块	BB:BehaviorDefinition: 潜在敌对接收主机	添加了过滤器以提高性能。
构建块	BB:CategoryDefinition: 与潜在敌对目标 IP 通信	添加了流方向过滤器以提高性能。
构建块	BB:CategoryDefinition: 与潜在敌对接收主机通信	已除去此构建块。
构建块	BB:BehaviorDefinition:外部收件人主机	已修复此构建块上的引用集标识链接。
规则	来自同一源 IP 的过多文件访问事件	向规则逻辑添加了相同的位置 (日志源)。
规则	来自同一用户名的过多文件访问事件	向规则逻辑添加了相同的位置 (日志源)。
规则	过多文件从同一源 IP 下载事件	向规则逻辑添加了相同的位置 (日志源)。
规则	来自同一用户名的文件下载事件过多	向规则逻辑添加了相同的位置 (日志源)。
规则	从恶意 IP 访问或下载的文件	已将响应限制器更改为目标 IP。
规则	大出站数据传输	由于已知缺陷导致阈值规则导入中断，因此已除去。
规则	流的大出站数据传输	由于已知缺陷导致阈值规则导入中断，因此已除去。
规则	大型出站数据传输到 File Storage 主机	由于已知缺陷导致阈值规则导入中断，因此已除去。
规则	到恶意主机或 IP 的大出站数据传输	由于已知缺陷导致阈值规则导入中断，因此已除去。
规则	大出站数据传输到流的恶意 IP	由于已知缺陷导致阈值规则导入中断，因此已除去。

下表显示了 IBM Security QRadar Data Ex过滤 1.0.4中新增或更新的已保存搜索。

表 4。 IBM 安全性 QRadar 数据泄露 1.0.4 中的已保存搜索
名称	描述
大出站数据传输	已从 AQL 搜索中除去具有子句。
大出站数据传输-异常监视	已从 AQL 搜索中除去具有子句。
大型出站数据传输到 File Storage 主机	已从 AQL 搜索中除去具有子句。
到恶意主机或 IP 的大出站数据传输	已从 AQL 搜索中除去具有子句。
大型出站数据传输到恶意 IP	已从 AQL 搜索中除去具有子句。

_{(返回到顶部)}

IBM Security QRadar 数据渗透内容扩展 1.0.3

修复了 Pulse 仪表板中导致 AQL 查询解析不正确的错误。

下表显示了在 IBM Security QRadar Data Ex过滤内容扩展 1.0.3中重命名构建块。

表 5。构建块已重命名为 n IBM Security QRadar 数据渗透内容扩展 1.0.3
旧名称	新名称
BB:BehaviorDefinition:外部电子邮件地址	BB:BehaviorDefinition:外部收件人主机
BB:BehaviorDefinition:潜在敌对电子邮件主机	BB:BehaviorDefinition: 潜在敌对接收主机

_{(返回到顶部)}

IBM Security QRadar 数据渗透内容扩展 1.0.2

更新了以下规则的条件:

大出站数据传输
流的大出站数据传输
大型出站数据传输到 File Storage 主机
到恶意主机或 IP 的大出站数据传输
大出站数据传输到流的恶意 IP

_{(返回到顶部)}

IBM Security QRadar 数据渗透内容扩展 1.0.1

更新了 QNI: 正在传输的保密内容规则，以在攻击中包含触发该规则的记录。

_{(返回到顶部)}

IBM Security QRadar 数据渗透内容扩展 1.0.0

下表显示了 IBM Security QRadar Data Ex过滤内容扩展 1.0.0中的定制事件属性。

注: 下表中包含的定制属性是占位符。您可以下载包含具有这些名称的定制属性的其他内容扩展，也可以创建自己的内容扩展。

表 6。 IBM 安全性 QRadar 数据泄露内容扩展 1.0.0 中的定制事件属性
定制属性	已优化	位置
BytesReceived	是	蓝色外套 Cisco Firepower Cisco IronPort Juniper SSL VPN Palo Alto PA 系列 Squid
BytesSent	是	蓝色外套 Cisco Firepower Juniper SSL VPN Palo Alto PA 系列
文件目录	是	Cisco AMP Cisco Firepower Linux Microsoft Office 365 Microsoft Windows osquery Microsoft 365 Defender
文件扩展名	是	Amazon AWS 蓝色外套 Cisco AMP Cisco IronPort McAfee EPO Microsoft Office 365 Microsoft Windows osquery Postfix Squid Microsoft 365 Defender
文件名	是	Amazon AWS Azure Bit9 安全平台蓝色外套碳黑保护 Cisco AMP Cisco Firepower Cisco IronPort 端点 FireEye MPS Fortinet FortiAnalyzer Linux McAfee EPO Microsoft Office 365 Microsoft Windows osquery Palo Alto PA 系列 Postfix Squid Sysmon VMware Microsoft 365 Defender
MessageID	是	Cisco IronPort Microsoft Exchange Postfix
策略名称	是	Amazon AWS IBM Guardium Microsoft Office 365
公共许可权	是	Amazon AWS
收件人主机	是	Cisco IronPort Microsoft Exchange Microsoft Office 365 Postfix
收件人用户	是	Cisco IronPort Microsoft Exchange Microsoft Office 365 Postfix
存储器名称	是	Amazon AWS
目标用户区域	是	Microsoft Office 365
URL	是	蓝色外套 Check Point Cisco IronPort IBM Security QRadar DNS 分析器 FireEye MPS Fortinet FortiAnalyzer Juniper SSL VPN McAfee EPO Palo Alto PA 系列 Squid Symantec Endpoint Protection 威胁监视 Microsoft 365 Defender
UrlHost	是	蓝色外套 Cisco IronPort IBM Cloud Discovery App for QRadar McAfee EPO Squid Microsoft 365 Defender
Web 类别	是	蓝色外套 Cisco IronPort

下表显示了 IBM Security QRadar Data Ex过滤内容扩展 1.0.0中的构建块和规则。

表 7。 IBM 安全性 QRadar 数据渗透内容扩展 1.0.0 中的构建块和规则
类型	名称	描述
构建块	BB:BehaviorDefinition:外部电子邮件地址	此构建块标识不在 "公司电子邮件域" 参考集中的收件人主机。注: 必须填充 "公司电子邮件域" 引用集。
构建块	BB:BehaviorDefinition:潜在敌对电子邮件主机	此构建块标识要发送到恶意主机的电子邮件。如果针对主机的 X-Force ® 分类返回下列其中一项，那么该主机是恶意主机: 网络钓鱼 URL ，垃圾邮件 URL ，恶意软件，僵尸网络命令和控制服务器或加密货币挖掘。
构建块	BB:CategoryDefinition: 与潜在敌对目标 IP 通信	此构建块标识与恶意 IP 的通信。如果针对主机的 X-Force 分类返回下列其中一项，那么该主机是恶意主机: 恶意软件，僵尸网络命令和控制服务器，垃圾邮件，加密货币挖掘，扫描 IP ，机器人或网络钓鱼。
构建块	BB:CategoryDefinition: 与潜在敌对接收主机通信	此构建块标识与恶意主机的通信。如果主机的 X-Force 分类返回下列其中一项，那么该主机是恶意的 :Botnet 命令和控制服务器，恶意软件，网络钓鱼 URL ，加密货币挖掘或垃圾邮件 URL。
构建块	BB:CategoryDefinition: 限制访问的国家/地区	编辑此 BB 以包含通常不允许访问企业的任何地理位置。
构建块	BB:CategoryDefinition:文件删除事件	编辑此构建块以包含任何文件删除事件类别。
构建块	BB:CategoryDefinition: 链接共享事件	编辑此构建块以包含链接共享的相关事件类别。
构建块	BB:CategoryDefinition:对象访问事件	编辑此构建块以包含所有对象 (文件，文件夹等) 访问相关事件类别。
构建块	BB:CategoryDefinition:对象下载事件	编辑此构建块以包含所有与下载相关的对象 (文件，文件夹等) 事件类别。
构建块	BB:CategoryDefinition:对象上传事件	编辑此构建块以包含所有对象 (文件，文件夹等) 上载相关事件类别。
构建块	BB:DeviceDefinition:DLP设备	此构建块定义系统上的所有数据丢失预防 (DLP) 设备。
构建块	BB:DeviceDefinition: Mail	此构建块定义系统上的所有邮件设备。
构建块	BB:Ex过滤: 敏感目录中的文件	检测敏感路径中的文件。敏感路径在 "敏感文件路径" 参考集中定义。注: 必须填充敏感文件路径引用集。
规则	数据库备份或压缩文件已上载到可公开访问的文件夹	将数据库备份或压缩文件上载到可公开访问的文件夹或存储区时，将触发此规则。必须使用相关文件夹名称填充 "可公开访问的文件夹" 引用集。注: "关键文件扩展名" 参考集预先填充了关键文件扩展名，可以对其进行调整。
规则	包含发送到外部主机的敏感文件的电子邮件	将包含敏感数据的电子邮件发送到组织外部的电子邮件地址时，将触发此规则。注: 必须使用相关文件夹名称填充敏感文件目录引用集。必须使用组织的电子邮件域填充 "公司电子邮件域" 引用集。
规则	包含发送到潜在敌对主机的敏感文件的电子邮件	当将包含敏感文件的电子邮件发送到以恶意活动 (例如，网络钓鱼，垃圾邮件，恶意软件，僵尸网络命令和控制或加密货币挖掘) 着称的主机时，将触发此规则。 "敏感目录中的文件" 引用集由 "敏感文件目录中的文件" 规则填充。注: 必须填充敏感目录引用集。
规则	来自同一源 IP 的过多文件访问事件	当同一源 IP 在 5 分钟内访问至少 15 个不同文件时，将触发此规则。注: 编辑 AQL 功能以排除已知的合法下载活动，例如操作系统更新或软件更新。
规则	来自同一用户名的过多文件访问事件	当同一用户名在 5 分钟内访问至少 15 个不同的文件时，将触发此规则。注: 编辑 AQL 功能以排除已知的合法下载活动，例如操作系统更新或软件更新。
规则	过多文件从同一源 IP 下载事件	在 5 分钟内从同一源 IP 下载至少 10 个不同的文件时，将触发此规则。注: 编辑 AQL 功能以排除已知的合法下载活动，例如操作系统更新或软件更新。
规则	来自同一用户名的文件下载事件过多	当同一用户名在 5 分钟内下载至少 15 个不同的文件时，将触发此规则。注: 编辑 AQL 功能以排除已知的合法下载活动，例如操作系统更新或软件更新。
规则	从恶意 IP 访问或下载的文件	当从恶意 IP (例如，已知命令和控制服务器或恶意软件服务器) 访问或下载文件时，将触发此规则。
规则	与潜在敌对域上托管的电子邮件共享的文件或文件夹	当与与恶意域 (例如垃圾邮件 URL ，网络钓鱼 URL ，恶意软件或加密货币挖掘) 关联的电子邮件共享文件或文件夹时，将触发此规则。
规则	与外部电子邮件地址共享的文件或文件夹	当文件或文件夹与非公司电子邮件地址域共享时，将触发此规则。注: 必须使用组织的电子邮件域填充 "公司电子邮件域" 参考集。
规则	从敏感文件目录中删除的文件	此规则会检测是否存在来自敏感文件目录的文件删除事件，然后将 "敏感目录" 引用集中的 "文件" 中的文件名作为规则响应除去。注: 在 IBM Security QRadar 7.3.2 和更低版本中，引用集无法正确链接到敏感目录中的 "文件"- AlphaNumeric。在 7.3.2 补丁 1 中更正了此问题。如果未安装 7.3.2 补丁 1 ，那么可以执行以下操作: 选择规则，然后单击下一步。在规则响应下，单击参考集的列表，然后选择敏感目录中的文件- AlphaNumeric。
规则	敏感文件目录中的文件	此规则会检测何时在敏感文件目录中找到新文件，然后将文件名作为规则响应添加到 "敏感目录" 引用集中的 "文件"。
规则	大出站数据传输	当 5 GB 以上的数据在 4 天内传输到 IP 地址时，将触发此异常规则。
规则	流的大出站数据传输	当在 24 小时内将超过 1 GB 的数据传输到单个 IP 地址时，将触发此流异常规则。有关更多信息，请参阅 "大型出站数据传输网络活动" 已保存的搜索。
规则	大型出站数据传输到 File Storage 主机	当24小时内传输到X-Force类别Web Storage下的 URL 的数据超过1GB时，此事件异常规则将触发。规则还配置为与参考集 File Storage 中填充的代理类别匹配。有关更多信息，请参阅 "大型出站数据传输到 File Storage 主机日志活动已保存的搜索"。
规则	到恶意主机或 IP 的大出站数据传输	当在24小时内向属于以下X-Force类别之一的IP地址或 URL 传输超过1GB的数据时，此事件异常规则将被触发：恶意软件、僵尸网络命令和控制服务器、垃圾邮件、加密货币挖掘、IP扫描（仅适用于IP地址）、网络钓鱼或机器人（仅适用于IP地址）。该规则还配置为在 "参考集" "恶意 Web 类别" 中填充的代理类别上匹配。有关更多信息，请参阅 "大型出站数据传输到恶意主机" 或 "IP 日志活动" 已保存的搜索。
规则	大出站数据传输到流的恶意 IP	当超过 1 GB 的数据在 24 小时内传输到以下 X-Force 类别之一下分类的 IP 地址时，将触发此流异常规则: 恶意软件，僵尸网络命令和控制服务器，垃圾邮件，加密货币挖掘，扫描 IP ，网络钓鱼或机器人。有关更多信息，请参阅 "大型出站数据传输到恶意 IP 网络活动" 保存的搜索。
规则	QNI: 正在传输的保密内容	此规则会检测要传输到远程目标的机密内容。可使用 YARA 规则调整可疑内容。有关更多信息，请参阅 QNI 文档。
规则	从具有受限访问权的区域或国家或地区访问或下载的敏感文件	当从具有受限访问权的区域或国家或地区访问或下载机密文件时，将触发此规则。这些地区在 BB:CategoryDefinition: 限制访问的国家/地区构件中定义。
规则	敏感文件许可权允许公共访问	当敏感文件的许可权可公开访问时，将触发此规则。 "敏感目录中的文件" 引用集由 "敏感文件目录中的文件" 规则填充。注: 必须填充敏感目录引用集。
规则	与访客用户或组共享的敏感文件	当与访客用户或组共享敏感文件时，将触发此规则。 "敏感目录中的文件" 引用集由 "敏感文件目录中的文件" 规则填充，该规则使用 "敏感目录" 引用集。注: 必须填充敏感目录和访客登录用户参考集。
规则	敏感文件已上载到可公开访问的文件夹	将敏感文件上载到可公开访问的文件夹或存储区时，将触发此规则。
规则	DLP 设备检测到的机密数据上的可疑活动	从 DLP 设备检测到机密数据上的可疑活动时，将触发此规则。 DLP 设备在 BB:DeviceDefinition: DLP 设备构建模块中定义。注: 必须填充 DLP 策略参考集。

下表显示了 IBM Security QRadar Data Ex过滤内容扩展 1.0.0中的参考数据。

表 8。 IBM 安全性 QRadar 数据泄露内容扩展 1.0.0 中的参考数据
类型	名称	描述
引用集	机密/敏感文件名	包含机密或敏感文件名的列表。
引用集	公司电子邮件域	包含公司电子邮件域的列表。
引用集	关键文件扩展名	包含关键文件扩展名的列表。
引用集	DLP 策略	包含 DLP 策略的列表。
引用集	File Storage Web 类别	包含文件存储器 Web 类别的列表。
引用集	敏感目录中的文件	包含敏感目录中的文件名列表。
引用集	访客登录用户	包含访客登录用户名的列表。
引用集	合法数据传输目标 IP	包含合法数据传输目标 IP 的列表。
引用集	恶意 Web 类别	包含恶意 Web 类别的列表。
引用集	可公开访问的文件夹	包含可公开访问的文件夹的名称列表。
引用集	敏感文件目录	包含敏感文件目录的列表。

下表显示了 IBM Security QRadar Data Ex过滤内容扩展 1.0.0中的已保存搜索。

表 9。 IBM 安全性 QRadar 数据泄露内容扩展 1.0.0 中的已保存搜索
名称	描述
大出站数据传输	显示具有到远程主机的大型出站数据传输 (大于 1 GB) 的所有事件。
大型出站数据传输到 File Storage 主机	显示大型出站数据传输 (大于 1 GB) 到文件存储主机的所有事件。
到恶意主机或 IP 的大出站数据传输	显示具有到恶意主机或 IP 的大型出站数据传输 (大于 1GB) 的所有事件。
多天内的出站数据传输速度缓慢	显示多天内大型出站数据传输 (大于 1 GB) 到远程主机的所有事件。
按源 IP 和用户名分组的多天内的慢速出站数据传输	显示在多天内按源 IP 和用户名分组的大型出站数据传输 (大于 1 GB) 到远程主机的所有事件。
在多个月内缓慢的出站数据传输	显示多个月内大型出站数据传输 (大于 1 GB) 到远程主机的所有事件。
大出站数据传输	显示具有到远程 IP 的大型出站数据传输 (大于 1 GB) 的所有流。
大出站数据传输到恶意 IP	显示具有大型出站数据传输 (大于 1 GB) 到恶意 IP 的所有流。
多天内的出站数据传输速度缓慢	显示在多天内具有到远程 IP 的大型出站数据传输 (大于 1 GB) 的所有流。
按源 IP 分组的多天内的慢速出站数据传输	显示在多个月内按源 IP 分组的具有大型出站数据传输 (大于 1 GB) 到远程 IP 的所有流。
在多个月内缓慢的出站数据传输	显示在多个月内具有到远程 IP 的大型出站数据传输 (大于 1 GB) 的所有流。

_{(返回到顶部)}