IBM QRadar UBA(用户行为分析) 规则集合
langu_xyz

UBA 规则包摘要

Content Pack Custom Rules
Access and Authentication 42
Accounts and Privileges 32
Browsing Behavior 20
Cloud 16
DNS Analyzer 5
Domain Controller 15
Endpoint 22
Exfiltration 27
Geography 12
MaaS360 10
Network Traffic 4
Other 50+

Access and authentication 访问和身份验证

UBA:暴力验证尝试

检测身份验证失败蛮力攻击(水平和垂直)。

UBA:检测到来自锁定机器

检测来自锁定机器的活动。

UBA:非执行用户从外部网络访问的仅执行资产

检测来自外部网络的非执行用户何时登录到供执行使用的资产。

UBA:非执行用户从内部网络访问的仅限执行资产

检测非执行用户何时登录仅供执行使用的资产。

UBA:对关键资产的高风险用户访问

检测用户何时参与事件(犯罪)访问关键资产。

UBA:针对外部域的大量拒绝访问事件

检测何时有异常数量的针对任何外部域的拒绝访问事件。

UBA:多个 VPN 帐户无法从单个 IP 登录

检测任何 VPN 帐户登录失败。

UBA:从单个 IP 登录的多个 VPN 帐户

映射来自同一 IP 地址的多个 VPN 用户,然后提高风险评分。

UBA:企业防火墙中的远程访问漏洞

检测 GotoMyPC 和 OpenVPN 应用程序创建的防火墙中何时存在远程访问漏洞。

UBA:重复未经授权的访问

表示发现重复的未经授权的访问活动。

UBA:终止的用户活动

检测任何被列为已终止或已辞职的用户的活动。

UBA:未经授权的访问

表示发现了未经授权的访问活动。

UBA:使用服务或机器帐户访问的 Unix/Linux 系统

检测由 UNIX 和 Linux 服务器中的服务或计算机帐户启动的任何交互式会话(通过 GUI 和 CLI,本地和远程登录)。

UBA:用户访问 - 对关键资产的访问失败

此规则检测位于关键资产参考集中的系统的身份验证失败。

UBA:对关键资产的首次访问

表示这是用户第一次访问关键资产。

UBA:来自多个主机的用户访问

检测单个用户何时从超过允许数量的设备登录。

UBA:用户从 Jump 服务器访问内部服务器

检测单个用户何时从超过允许数量的设备登录。

UBA:登录异常

指示本地资产上的一系列登录失败。

UBA:来自匿名来源的用户访问帐户

表示用户正在从匿名源(例如 TOR 或 VPN)访问内部资源。

UBA:异常时间的用户访问

表示用户在您的网络不寻常的时间成功进行身份验证。

UBA:通过服务或机器帐户访问 VPN

检测服务或计算机帐户何时访问 Cisco VPN。

UBA:VPN 证书共享

此规则检测 VPN 事件的用户名何时不等于“VPNSubjectcn”。这可能表明正在发生 VPN 证书共享。证书共享或其他身份验证令牌共享会使识别谁做了什么变得困难。如果发生妥协,这可能会使采取下一步措施变得复杂。

UBA:使用服务或机器帐户进行 Windows 访问

检测由 Windows Server 中的服务或计算机帐户启动的任何交互式会话(RDP、本地登录)。

Accounts and privileges 帐户和权限

UBA:添加了帐户或组或特权

检测用户执行的并且属于以下类别之一的事件。

  •     Authentication.Group Added
    
  •     Authentication.Group Changed
    
  •     Authentication.Group Member Added
    
  •     Authentication.Computer Account Added
    
  •     Authentication.Computer Account Changed
    
  •     Authentication.Policy Added
    
  •     Authentication.Policy Change
    
  •     Authentication.Trusted Domain Added
    
  •     Authentication.User Account Added
    
  •     Authentication.User Account Changed
    
  •     Authentication.User Right Assigned
    

UBA:帐户或组或权限已修改

指示用户帐户何时受到更改用户有效权限(向上或向下)的操作的影响。

UBA:帐户删除造成的 DoS 攻击

通过在固定时间跨度内根据固定阈值检查帐户删除事件的数量来检测 DoS 攻击。

UBA:在短时间内创建和删除用户帐户

检测在短时间内创建和删除用户帐户的时间。

UBA:使用的休眠帐户

检测从已确定为休眠的帐户成功登录。

UBA:尝试使用休眠帐户

从已确定为休眠的帐户检测失败的登录尝试。

UBA:已使用过期帐户

表示用户尝试登录本地系统上已禁用或过期的帐户。

UBA:首次权限提升

表示用户第一次执行特权访问。

UBA:检测到新帐户使用

提供表明帐户首次成功使用的报告功能。

UBA:可疑特权活动(首次观察到的特权使用)

表示用户执行了该用户以前从未执行过的特权操作。

UBA:可疑特权活动(很少使用的特权)

表示用户执行了该用户最近未执行的特权操作。

UBA:用户尝试使用已禁用帐户

检测用户何时尝试使用禁用的帐户访问组织资源。

UBA:用户尝试使用暂停的帐户

检测用户何时尝试使用暂停或阻止的权限访问组织资源。

Browsing behavior 浏览行为

UBA:浏览至业务/服务网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览至通信网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览到教育网站

检测到用户浏览与教育内容相关的网站。

UBA:浏览至娱乐网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览到赌博网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览至政府网站

检测到用户浏览与政府内容相关的网站。

UBA:浏览至信息技术网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览至求职网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览至 LifeStyle 网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览到恶意网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览到混合内容/可能是成人网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览到网络钓鱼网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览到色情网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览到宗教网站

用户访问了与宗教内容相关联的 URL。

UBA:浏览到诈骗/可疑/非法网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:浏览到社交网络网站

用户访问了归类为社交网络的网站。

UBA:浏览至未分类网站

用户访问的 URL 可能表明安全性或法律风险较高。

UBA:用户访问有风险的 URL

此规则检测本地用户何时访问有问题的在线内容。

Cloud 云相关

UBA:匿名用户访问资源

检测访问资源的匿名用户。

UBA:未经授权的用户访问的 AWS 控制台

检测到“AWS - 标准用户”参考集中授权列表之外的用户未经授权尝试访问 Amazon Web Services (AWS) 控制台。

UBA:外部用户邮箱登录失败

检测外部用户登录邮箱的重复失败。

UBA:无法设置邮箱审核日志绕过

检测用户何时未能正确设置邮箱审核日志绕过。

UBA:收件箱设置为转发到外部收件箱

检测邮箱是否设置为转发到信任域引用集中未列出的域。

UBA:内部用户失败邮箱登录,随后成功

在内部用户成功登录之前检测到多个邮箱登录失败。

UBA:在短时间内添加和删除邮箱权限

检测一个小时内添加和删除的邮箱权限。

UBA:访问 AWS 资源的非标准用户

检测尝试访问 Amazon Web Services (AWS) 资源的非标准用户。

UBA:共享发送给访客的链接

检测发送给来宾的共享邀请。

UBA:共享策略已更改或共享外部 (SharePoint/OneDrive)

检测项目的共享策略何时更改为与来宾用户共享。

UBA:站点管理员将用户添加到 SharePoint 或 OneDrive 上的组

检测系统管理员将用户添加到 Sharepoint 或 OneDrive 中的组。

UBA:未能将用户添加到角色

检测将用户添加到角色的尝试何时失败。

Domain controller 域名控制

UBA:尝试恢复 DPAPI 备份主密钥

检测何时尝试恢复 DPAPI 主密钥。

UBA:检测到 Kerberos 帐户枚举

通过检测用于从同一源 IP 发出 Kerberos 请求的大量用户名来检测 Kerberos 帐户枚举。

UBA:来自同一用户的多个 Kerberos 身份验证失败

检测多个 Kerberos 身份验证票证拒绝或失败。

UBA:对域控制器的非管理员访问

检测对域控制器的非管理员帐户访问尝试。

UBA:传递哈希

检测在传递散列漏洞期间可能生成的 Windows 登录事件。

UBA:可能的目录服务枚举

检测对目录服务枚举的侦察尝试。

UBA:域控制器上可能的 SMB 会话枚举

检测对域控制器的 SMB 枚举尝试。

UBA:可能的 TGT 伪造

检测包含域名异常的 Kerberos TGT。这些可能表明使用 pass the ticket 漏洞生成的票证。

UBA:可能的 TGT PAC 伪造

检测到使用伪造的 PAC 证书从 Kerberos TGS 获取服务票证。

UBA:来自非域控制器的复制请求

检测来自非法域控制器的复制请求。

UBA:多台主机使用的 TGT 票证

检测在两台(或更多)不同的计算机上使用的 Kerberos TGT 票证。

Endpoint 端点

UBA:检测不安全或非标准协议

检测通过被视为不安全或非标准协议的未经授权协议进行通信的任何用户。

UBA:检测持久 SSH 会话

检测活动时间超过 10 小时的 SSH 会话。

UBA:修改了 Internet 设置

检测系统上 Internet 设置的修改。

UBA:恶意软件活动 - 批量修改注册表

检测在较短时间间隔内批量修改多个注册表值的进程。

UBA:Netcat 进程检测 (Linux)

检测 Linux 系统上的 netcat 进程。

UBA:Netcat 进程检测 (Windows)

在 Windows 系统上检测 Netcat 进程。

UBA:在 Gold Disk 白名单之外执行的进程 (Linux)

检测在 Linux 系统上创建的进程,并在进程超出Gold Disk 进程允许列表时发出警报。

UBA:在 Gold Disk 白名单之外执行的进程 (Windows)

检测在 Windows 系统上创建的进程,并在进程超出Gold Disk 进程许可名单时发出警报。

UBA:检测到勒索软件行为

检测勒索软件感染期间通常出现的行为。

UBA:受限程序使用

表示创建了一个进程,并且该进程名称与引用集“UBA : Restricted Program Filenames”中列出的二进制名称之一匹配。

UBA:用户安装可疑应用程序

检测应用程序安装事件,然后在发现可疑应用程序时发出警报。

UBA:创建的卷影副本

检测使用 vssadmin.exe 或 Windows Management Instrumentation 命令行 (WMIC) 创建的卷影副本。

Exfiltration 泄漏

UBA:云服务的数据泄露

检测正在将文件上传到个人云服务的用户。

UBA:打印数据泄露

检测发送文件以进行打印或使用屏幕捕获工具(例如 Print Screen 和 Snipping Tool)的用户。

UBA:可移动媒体的数据泄露

检测正在将文件传输到 USB 和 CD 等可移动媒体的用户。

UBA:可能丢失数据

检测由数据源、事件类别或与数据丢失检测和预防相关的特定事件确定的可能的数据丢失。

UBA:可疑活动后的初始访问

在 24 小时内检测网络钓鱼或恶意软件活动以及随后的可疑访问活动。注意:编辑支持的构建块以监控适用于环境的任何规则。

UBA:高风险用户的大量出站传输

检测到高风险用户的 200,000 字节或更多的出站传输。

UBA:文件传输后的多个阻止文件传输

通过检查最初被阻止但随后在 5 分钟内成功上传的文件上传来检测渗漏。

UBA:多次阻止文件上传,然后成功上传

检测何时有大量被阻止的文件上传,然后上传成功。

UBA:潜在受损帐户

检测可疑活动场景,然后在 24 小时内渗透。

UBA:可疑访问,然后是数据泄露

检测来自异常、受限或禁止位置的访问,然后进行数据泄露尝试。

UBA:可疑活动,随后是泄露

检测可疑活动场景,然后在 24 小时内渗透。

UBA:用户可能被钓鱼

在一小时内检测到 3 个或更多针对单个用户的潜在网络钓鱼攻击实例。注意:编辑支持的构建块以监控适用于环境的任何规则。

Geography 位置

UBA:从新位置创建的异常帐户

检测来自新位置的异常帐户创建活动。

UBA:从新位置创建的异常云帐户

从新位置检测云帐户创建活动。

UBA:来自多个位置的用户访问

表示多个位置或来源同时使用同一个用户帐户。调整匹配和持续时间参数以调整响应性。

UBA:禁止位置的用户访问

从不在“UBA:允许的位置列表”中的位置检测用户访问。

UBA:受限位置的用户访问

从“UBA:受限位置列表”中的某个位置检测用户访问。

UBA:用户地理变化

匹配表示用户从不同于用户上次远程登录的国家/地区远程登录。此规则还可能表明帐户被盗,尤其是在规则匹配发生的时间很近的情况下。

UBA:来自异常位置的用户访问

表示用户能够在您的网络不常见的国家/地区进行身份验证。

MaaS360 Security MaaS360 安全告警

UBA:MaaS360 检测到具有低加密级别的设备

检测到设备的加密级别较低。

UBA:由于非漫游数据使用导致 MaaS360 设备不合规

设备不合规,因为它超出了 MaaS 管理员设置的移动使用限制。

UBA:MaaS360 设备因设备被 root 不合规

设备不合规,因为它已越狱或root以绕过操作系统限制。

UBA:由于加密级别导致 MaaS360 设备不合规

设备不合规,因为它支持 MaaS 管理员设置的指定加密级别。

UBA:由于操作系统版本导致 MaaS360 设备不合规

设备不合规,因为它需要更新的操作系统版本。

UBA:收到 MaaS360 恶意 SMS

检测到表明用户收到恶意 SMS 消息的 MaaS360 事件。

UBA:收到 MaaS360 恶意电子邮件

检测到表明用户收到恶意电子邮件的 MaaS360 事件。

UBA:MaaS360 URL 访问被阻止

检测到指示用户对 URL 的访问已被阻止的 MaaS360 事件。

UBA:安装了 MaaS360 恶意软件应用程序

检测 MaaS360 事件,表明用户的设备上有恶意软件。

UBA:访问了 MaaS360 恶意 URL

检测从 iOS 和 Android 设备单击的网络钓鱼链接,无论来源如何。

Network traffic and attacks 网络流量和攻击

UBA:检测到 D/DoS 攻击

检测用户的网络拒绝服务 (DoS) 攻击。

UBA:Honeytoken 活动

使用 Honeytoken 帐户检测活动。

UBA:网络流量:捕获监控和分析程序使用情况

表示创建了一个进程,并且该进程名称与参考集“UBA:网络捕获、监视和分析程序文件名”中列出的二进制名称之一匹配。此参考集列出了网络数据包捕获软件的二进制名称。参考集预先填充了一些常见的网络协议分析软件文件名的名称。

QRadar DNS Analyzer QRadar DNS 分析器

UBA:对阻止列表域的潜在访问

检测表明用户可能访问了阻止列表域的事件。

UBA:对 DGA 域的潜在访问

检测表明用户可能访问了 DGA(由算法生成的域)域的事件。

UBA:对抢注域的潜在访问

检测表明用户可能访问了抢注域的事件。

UBA:对隧道域的潜在访问

检测指示用户可能访问隧道域的事件。

Threat intelligence 威胁情报

UBA:为 Locky 检测 IOC

使用从 X-Force 活动源填充的 URL 或 IP 检测显示 Locky 的妥协指标 (IOC) 的用户计算机。

UBA:为 WannaCry 检测 IOC

使用从 X-Force 活动源填充的 URL、IP 或哈希来检测显示 WannaCry 的妥协指标 (IOC) 的用户计算机。

UBA:受监​​控日志源的多个会话(NIS 指令)

在 5 分钟内检测到单个用户与同一 QRadar 日志源系统的连接超过 2 个。

UBA:勒索软件修改的 ShellBags

检测表明典型恶意软件或勒索软件行为的 ShellBag 注册表修改。

UBA:用户访问有风险的 IP 匿名化

此规则检测本地用户或主机何时连接到外部匿名化服务。

UBA:用户访问有风险的 IP 僵尸网络

此规则检测本地用户或主机何时连接到僵尸网络命令和控制服务器。

UBA:用户访问有风险的 IP 动态

此规则检测本地用户或主机何时连接到动态分配的 IP 地址。

UBA:用户访问有风险的 IP 恶意软件

此规则检测本地用户或主机何时连接到恶意软件主机。

UBA:用户访问有风险的 IP 垃圾邮件

此规则检测本地用户或主机何时连接到垃圾邮件发送主机。

机器学习规则部分

UBA:异常出站传输尝试
UBA:发现异常的出站转移尝试
UBA:到外部域的异常数据量
UBA:发现到外部域的数据量异常
UBA : 对风险资源的异常访问
UBA:发现异常访问风险资源
UBA : 用户访问有风险的资源
UBA : 风险资源
UBA:用户行为、会话异常(按目的地)
UBA:发现目的地的用户行为、会话异常
UBA : User Event Frequency Anomaly - 研究主题
UBA:用户事件频率异常 - 找到的类别
UBA : User Running New Process(在 UBA 3.8.0 中替换为Process Usage ML 用户模型)
UBA:用户量活动异常 - 到外部域的流量
UBA:用户量活动异常 - 发现到外部域的流量
UBA:用户量活动异常 - 到内部域的流量
UBA:用户量活动异常 - 发现到内部域的流量
UBA:用户活动异常量 - 流量
UBA:用户活动量异常 - 发现流量

以下规则和构建块以及它们提供的功能现在在 UBA 应用程序中进行管理:

UBA:用户已休眠(无活动异常规则)
BB:UBA : 休眠用户首次登录 (逻辑)
BB:UBA : 休眠用户后续登录 (逻辑)
UBA : 用户名,成功,休眠
新账户
UBA:用户帐户的用户名,成功,观察到
UBA:用户帐户的用户名,成功,最近
UBA:用户帐户的用户名,成功,最近更新
BB:UBA:用户首次访问(逻辑)

以下规则和构建块以及它们提供的功能现在通过允许非 UBA 规则与 UBA 一起使用来处理:

QNI
UBA:QNI - 访问不适当保护的服务 - 证书过期
UBA:QNI - 访问不适当保护的服务 - 证书无效
UBA:QNI - 访问不适当保护的服务 - 自签名证书
UBA:QNI - 访问不适当保护的服务 - 弱公钥长度
UBA:QNI - 观察到的与恶意软件威胁相关的文件哈希
UBA:QNI - 在多个主机上观察到的文件哈希
UBA:QNI - 在被拒绝的电子邮件收件人上检测到潜在的垃圾邮件/网络钓鱼尝试
UBA:QNI - 从多次发送中检测到的潜在垃圾邮件/网络钓鱼主题服务器
UBA : QNI - 机密内容被转移到国外

系统监控
UBA:可疑的 PowerShell 活动
UBA:可疑的 PowerShell 活动(资产)
UBA:可疑的命令提示符活动
UBA:检测到用户访问控制绕过(资产)
UBA:可疑的计划任务活动
UBA:可疑的服务活动
UBA:可疑的服务活动(资产)
UBA:系统注册表(资产)中的可疑条目
UBA:检测到可疑图像负载(资产)
UBA:可疑管道活动(资产)
UBA:受损主机上的可疑活动 UBA:受损主机(资产)上的可疑活动
UBA:检测到可疑管理活动
UBA:检测到创建可疑远程线程的进程(资产)
UBA:检测到常见漏洞利用工具
UBA:检测到常见漏洞利用工具(资产)
UBA:检测到恶意进程
UBA:访问了网络共享

侦察
UBA:检测到 DHCP 服务器
异常扫描 UBA:检测到 DNS 服务器
异常扫描 UBA:检测到数据库服务器
异常扫描 UBA:检测到 FTP 服务器
异常扫描 UBA:检测到游戏服务器
异常扫描 UBA:检测到通用 ICMP
异常扫描UBA:检测到通用 TCP
异常扫描 UBA:检测到通用 UDP
异常扫描 UBA:检测到 IRC 服务器
异常扫描 UBA:检测到 LDAP 服务器
异常扫描 UBA:检测到邮件服务器
异常扫描 UBA:检测到消息服务器
异常扫描 UBA:异常扫描检测到 P2P 服务器的
UBA : 检测到代理服务器的异常扫描
UBA:检测到 RPC 服务器
异常扫描 UBA:检测到 SNMP 服务器
异常扫描 UBA:检测到 SSH 服务器
异常扫描 UBA:检测到 Web 服务器
异常扫描 UBA:检测到 Windows 服务器异常扫描

用于 Sysmon 的 IBM QRadar 内容

检测到可能的键盘记录器
检测到以系统用户权限启动的新的看不见的进程
检测到在多个主机上远程执行的进程
进程从异常目录开始(Recycle.bin,..)
添加了隐藏的网络共享
检测到 Powershell 恶意使用
使用编码命令检测到 Powershell 恶意使用
不寻常的过程(例如:word、iexplore、AcroRd..)
启动命令外壳
以系统权限启动的命令外壳
检测到从受损主机成功登录到其他主机
检测到可能的凭证转储工具
无子进程启动/产生了一个进程
从临时目录启动的进程
系统进程的异常父级
检测到可疑的 Svchost 进程
已从受损主机访问网络共享
已访问管理共享
已从受损计算机访问管理共享
进程从共享文件夹启动并创建线程到另一个进程
检测到单台机器过度使用系统工具
从受损主机访问网络共享资源的尝试过多失败
从单一来源访问管理共享的尝试过多失败
Powershell 已在受损主机中启动
PsExec 已从受损主机启动
检测到从受损主机到其他主机的 SMB 流量
已从远程系统启动命令 Shell 或 Powershell
已在受损主机中创建计划任务
系统中安装了恶意服务
检测到配置为使用 Powershell 的服务
检测到配置为使用管道的服务

适用于 Amazon AWS 的 IBM QRadar 内容扩展

AWS 云:根用户的云活动
AWS 云:关键 EC2 实例已停止或终止
AWS 云:检测到从不同地区成功登录 AWS 控制台
AWS 云:日志已被删除/禁用或停止
AWS 云:来自不同源 IP 的多个控制台登录失败
AWS 云:来自同一源 IP 的多个控制台登录失败
AWS 云:来自不同源 IP 的多个失败的 API 请求
AWS 云:来自同一源 IP 的多个失败的 API 请求
AWS 云:来自同一用户名的多个失败的 API 请求

IBM 安全侦察内容

本地 L2L TCP 扫描器
本地 L2L Windows 服务器扫描程序
本地 L2L 游戏服务器扫描器
本地 L2L DNS 扫描程序
本地 L2L 邮件服务器扫描程序
本地 L2L 代理服务器扫描程序
本地 L2L IM 服务器扫描程序
本地 L2L Web 服务器扫描程序
本地 L2L P2P 服务器扫描器
本地 L2L SNMP 扫描程序
本地 L2L RPC 服务器扫描程序
本地 L2L UDP 扫描器
本地 L2L DHCP 扫描程序
本地 L2L ICMP 扫描器

QRadar Network Insights 内容

QNI : 机密内容被转移到国外
QNI : 访问不适当的安全服务 - 证书已过期
QNI : 访问不适当的安全服务 - 证书无效
QNI:从多个发送服务器检测到的潜在垃圾邮件/网络钓鱼主题
QNI:在多个主机上观察到的文件哈希
QNI:观察到的与恶意软件威胁相关的文件哈希
QNI:在被拒绝的电子邮件收件人上检测到潜在的垃圾邮件/网络钓鱼尝试
QNI : 访问不适当的安全服务 - 自签名证书
QNI : 访问不适当的安全服务 - 弱公钥长度

  • Post title:IBM QRadar UBA(用户行为分析) 规则集合
  • Post author:langu_xyz
  • Create time:2022-04-22 21:00:00
  • Post link:https://blog.langu.xyz/IBM QRadar UBA(用户行为分析) 规则集合/
  • Copyright Notice:All articles in this blog are licensed under BY-NC-SA unless stating additionally.