网络异常
使用 IBM 安全 QRadar 网络异常现象内容扩展密切监控异常现象。
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。
此内容扩展包含一个或多个 Pulse 仪表板。 有关 Pulse 仪表板的更多信息,请参阅 QRadar Pulse 应用程序。
IBM Security QRadar 网络异常内容扩展 1.1.1
下表显示了 IBM Security QRadar Network An异常内容扩展 1.1.1中更新的规则。
| 名称 | 描述 |
|---|---|
| 可疑的帐户锁定数 | 当同一用户被锁定异常次数时触发。 注: 根据您的合规性需求调整此规则。
用于称为 相同用户的帐户锁定数异常高。 |
| 同一用户登录到多个设备的可疑次数 | 当同一用户尝试在短时间内登录到多个设备时触发。 注: 根据您的合规性需求调整此规则。
|
IBM Security QRadar 网络异常内容扩展 1.1.0
下表显示了在 IBM Security QRadar Network An暨 Content Extension 1.1.0中更新的规则和构建块。
| 类型 | 名称 | 描述 |
|---|---|---|
| 构建块 | BB:HostDefinition:邮件服务器 | 编辑此构建块以定义典型邮件服务器。 该构建模块与 BB:False Positive:邮件服务器误报类别和 BB:FalsePositve: 邮件服务器误报事件构建模块。 |
| 构建块 | BB:Policy 违例 :IRC IM 策略违例 :IM 通信 | 标识已标识为即时消息传递通信的流。 |
| 构建块 | BB:Policy 违例: 邮件策略违例: 出站邮件发件人 | 标识显示向远程主机发送邮件的主机的流。 |
| 规则 | 异常 :DMZ 跳转 | 当连接似乎在网络 DMZ 上桥接时触发。 |
| 规则 | 合规性: 从 DMZ 到内部网络的流量 | 当流量从 DMZ 传递到内部网络时触发。 在合规性监管之下,通常不允许出现这种情况。 您应该确保先在网络层次结构中定义 DMZ 对象,然后再启用此规则。 |
| 规则 | 检测到不可能的差旅 | 根据旅行速度和距离从无法在短时间内到达的位置检测到成功认证时触发。 |
| 规则 | 本地: 在非标准端口上检测到 SSH 或 Telnet | 在非标准端口上观察到远程 FTP 通信时触发。 FTP 的缺省端口是 TCP 端口 21。 在其他端口上检测 FTP 可能指示被利用的主机,攻击者已安装此服务以提供对主机的后门访问权。 |
| 规则 | 本地: 在非标准端口上检测到 SSH 或 Telnet | 在非标准端口上观察到本地 SSH 或 Telnet 通信时触发。 SSH 和 Telnet 服务器的缺省端口是 TCP 端口 22 和 23。 检测到使用其他端口操作的 SSH 或 Telnet 可能表明主机已被渗透,即,攻击者已安装这些服务器以提供对主机的后门访问。 |
| 规则 | 远程 :FTP 在非标准端口上检测到 | 在非标准端口上观察到远程 FTP 通信时触发。 FTP 的缺省端口是 TCP 端口 21。 在其他端口上检测 FTP 可能指示被利用的主机,攻击者已安装此服务以提供对主机的后门访问权。 |
| 规则 | 远程: 本地 P2P 客户机已连接到 100 多个服务器 | 当本地主机作为对等 (P2P) 客户机运行时触发。 这表明违反本地网络策略,并可能表明存在不合法的活动,例如侵犯版权。 |
| 规则 | 远程: 本地 P2P 客户机检测到 | 当本地主机作为对等 (P2P) 客户机运行时触发。 这表明违反本地网络策略,并可能表明存在不合法的活动,例如侵犯版权。 |
| 规则 | 远程: 检测到本地 P2P 服务器 | 当本地主机作为对等 (P2P) 服务器运行时触发。 这表明违反本地网络策略,并可能表明存在不合法的活动,例如侵犯版权。 |
| 规则 | 远程: 可能的隧道 | 在可能的隧道传输时触发,这可能指示绕过策略或检测到受感染的系统。 |
| 规则 | 远程: SMTP 邮件发送方 | 当本地主机在一个时间间隔内将大量 SMTP 流从同一源发送到因特网时触发。 这可能指示存在大量邮件,蠕虫或垃圾邮件中继。 |
| 规则 | 远程: 在非标准端口上检测到 SSH 或 Telnet | 在非标准端口上观察到远程 SSH 或 Telnet 通信时触发。 SSH 和 Telnet 服务器的缺省端口是 TCP 端口 22 和 23。 检测到使用其他端口操作的 SSH 或 Telnet 可能表明主机已被渗透,即,攻击者已安装这些服务器以提供对主机的后门访问。 |
| 规则 | 远程: IM/Chat 流量的可疑量 | 当检测到来自单个源的过多 IM/Chat 流量时触发。 |
| 规则 | 具有多个 MAC 地址的单个 IP | 当与单个 IP 地址关联的 MAC 地址在一段时间内多次更改时触发。 |
| 规则 | 从特定城市成功登录 | 返回由 MaxMind, 提供的选定 IP 地址的位置数据,并填充 Impossible Travel 参考表。 |
| 规则 | 使用许多不同协议的系统 | 当本地系统在一个小时内连接到超过 50 个 DST 端口上的因特网时触发。 这些连接必须成功。 您可以编辑此规则以便同时检测失败的通信,这可能也有帮助。 |
| 规则 | 同一用户登录的设备数异常 | 当同一用户似乎在短时间内登录了异常数量的设备时触发。 |
| 规则 | 同一用户的帐户锁定数异常高 | 当同一用户被锁定异常次数时触发。 |
在 IBM 安全性 QRadar 网络异常内容扩展 1.1.0中除去了以下构建块和规则。 它们可在 "合规性内容扩展" 中使用。
- BB:CategoryDefinition: 没有远程访问的国家/地区
- 过多的防火墙接受从多个源到单个目标
- 从外国/地区远程访问
- 来自外部国家/地区的远程入站通信
下表显示了 IBM Security QRadarNetwork An异常内容扩展 1.1.0中新的或更新的参考数据。
| 类型 | 名称 | 描述 |
|---|---|---|
| 引用表 | 不可能的旅行 | 包含与特定城市关联的 IP 地址和用户名的列表。 |
| 引用表 | 不可能的旅行用户 | 包含根据速度和距离与不可能的旅行关联的用户列表。 |
| 引用数据 | pulse_import | "脉冲" 仪表板的一部分。 |
IBM Security QRadar 网络异常内容扩展 1.0.3
内容扩展不再显示不正确的规则数。
IBM Security QRadar 网络异常内容扩展 1.0.2
下表显示了在 IBM Security QRadar Network An异常内容扩展 1.0.2中更新的规则和构建块。
| 类型 | 名称 | 描述 |
|---|---|---|
| 构建块 | BB:DeviceDefinition: FW / Router / Switch | 已使用 FW/ 路由器/交换机设备更新构建块。 |
| 规则 | 过多的防火墙接受从多个源到单个目标 | 已将规则重命名为命名标准。 |
| 规则 | 使用许多不同协议的系统 | 已将规则重命名为命名标准。 |
| 规则 | 具有多个 MAC 地址的单个 IP | 已将规则重命名为命名标准。 |
IBM Security QRadar 网络异常内容扩展 1.0.1
下表显示了在 IBM Security QRadar Network An异常内容扩展 1.0.1中更新的规则和构建块。
| 类型 | 名称 | 描述 |
|---|---|---|
| 构建块 | BB:DeviceDefinition: FW / Router / Switch | 无更新。 依赖于另一个规则,并且必须包含在扩展框架中。 |
| 构建块 | BB:HostDefinition: DHCP 服务器 | 无更新。 依赖于另一个规则,并且必须包含在扩展框架中。 |
| 构建块 | BB:CategoryDefinition: 成功沟通 | 无更新。 依赖于另一个规则,并且必须包含在扩展框架中。 |
| 规则 | 异常: 过多的防火墙从多个源接受到单个目标 | 为 BB:DeviceDefinition: FW / Router / Switch 构建模块添加了规则测试。 |
| 规则 | 异常: 使用许多不同协议的系统 | 为 BB:DeviceDefinition: FW / Router / Switch 构建模块添加了规则测试。 |
| 规则 | 具有多个 MAC 地址的单个 IP | 为 BB:HostDefinition: DHCP 服务器构建模块添加了规则测试。 |
IBM Security QRadar 网络异常内容扩展 1.0.0
下表显示了 IBM Security QRadar Network An暨 Content Extension 1.0.0中的规则和构建块。
| 类型 | 名称 | 描述 |
|---|---|---|
| 构建块 | BB:CategoryDefinition: Pre Reverse DMZ Jump | 标识在 DMZ 跳跃场景中可能看到的操作。 它主要由 异常: DMZ 跳转 和 异常: DMZ 反向隧道使用。 |
| 构建块 | BB:CategoryDefinition: 验证成功 | 编辑此构建块以包含指示成功尝试访问网络的所有事件。 |
| 构建块 | BB:CategoryDefinition: 没有远程访问的国家/地区 | 编辑此构建块以包含通常不允许对企业进行远程访问的任何地理位置。 配置后,可以启用 异常: 来自外部国家/地区的远程访问 规则。 |
| 构建块 | BB:CategoryDefinition: 防火墙或 ACL 接受 | 编辑此构建块以包含指示对防火墙的访问权的所有事件。 |
| 构建块 | BB:CategoryDefinition:反向 DMZ 跳转 | 标识在 DMZ 跳跃场景中可能看到的操作。 它主要由 异常: DMZ 跳转 和 异常: DMZ 反向隧道使用。 |
| 构建块 | BB:CategoryDefinition: 成功沟通 | 定义成功通信的典型流。 您可能希望将比率降低到 64 字节/包,但是这将导致大量误报,并且可能需要使用标志和其他属性进行进一步调整。 |
| 构建块 | BB:CategoryDefinition:前 DMZ 跳转 | 标识在 DMZ 跳跃场景中可能看到的操作。 它主要由 异常: DMZ 跳转 和 异常: DMZ 反向隧道使用。 |
| 构建块 | BB:CategoryDefinition: Post DMZ Jump | 标识在 DMZ 跳跃场景中可能看到的操作。 它主要由 异常: DMZ 跳转 和 异常: DMZ 反向隧道使用。 |
| 构建块 | BB:DeviceDefinition: FW / Router / Switch | 定义系统上的所有防火墙,路由器和交换机。 |
| 构建块 | BB:HostDefinition: DHCP 服务器 | 编辑此构建块以定义典型 DHCP 服务器。 该构建模块与 BB:False Positive:DHCP 服务器误报类别和 BB:FalsePositve: DHCP 服务器误报事件构建模块。 |
| 构建块 | BB:NetworkDefinition: DMZ 地址 | 更新此构建块以包含 DMZ 中包含的地址。 此构建块引用缺省网络层次结构。 如果您正在使用不同的网络层次结构,请更新此构建块。 |
| 规则 | 过多的防火墙接受从多个源到单个目标 | 报告以下情况:在 5 分钟内,来自至少 100 个唯一源 IP 地址且针对同一目标的防火墙接受过多。 |
| 规则 | DMZ 反向隧道 | 当连接似乎通过反向隧道在网络的 DMZ 上桥接时,此规则将触发。 |
| 规则 | 来自外部国家/地区的远程入站通信 | 报告来自已知不具有远程访问权的国家/地区的 IP 地址的流量。 启用此规则前,请配置 BB:CategoryDefinition: 没有远程访问的国家/地区 构建模块。 您可能必须除去 DMZ 中的 Web 服务器,这些服务器通常由远程主机使用 Web 扫描程序进行探测。 |
| 规则 | 从外国/地区远程访问 | 报告来自已知不具有远程访问权的国家/地区的 IP 地址所进行的成功登录或访问。 启用此规则前,请配置 BB:CategoryDefinition: 没有远程访问的国家/地区 构建模块。 |
| 规则 | 具有多个 MAC 地址的单个 IP | 当 MAC 地址在一段时间内多次更改单个 IP 地址时,将触发此规则。 |
| 规则 | 使用许多不同协议的系统 | 在一小时内,本地系统通过 50 个以上 DST 端口连接到因特网。 这些连接必须成功。 您可以编辑此规则以便同时检测失败的通信,这可能也有帮助。 |