本页内容
异常规则是 Log360 Cloud 的 UEBA 模块使用的预定义或自定义条件或逻辑,用于识别异常或可疑行为及潜在威胁。
Log360 Cloud 中的异常规则分为
注意:最多可激活 20 条异常规则,包括预定义和自定义规则。如果用户尝试创建新规则或激活已有规则超过该限制,将弹出如下错误消息。用户需先 停用规则 才能激活其他规则。
以下是 Log360 Cloud 中 UEBA 模块中全部 预定义 异常检测规则列表,按特权用户活动异常、账户被攻击、防火墙策略异常等类别分组。每条规则旨在检测用户或实体行为的特定偏差,提高威胁检测和响应的准确性。
| 规则类别名称 | 规则名称 | 规则描述 |
|---|---|---|
| 特权用户活动异常 | IIS FTP 服务器特权命令执行异常 | IIS FTP 服务器上的异常特权命令执行。 |
| Unix 特权命令执行异常 | 发现 Unix 设备上异常的成功 sudo 命令执行。 | |
| Unix 特权命令执行失败异常 | 发现 Unix 设备上异常的 sudo 命令执行失败。 | |
| Fortinet 特权命令执行失败异常 | 发现 Fortinet 设备上的异常特权命令执行失败。 | |
| Check Point 特权命令执行异常 | 发现 Check Point 设备上的异常特权命令执行。 | |
| 账户被攻击 | 工作站上的可疑成功密码更改活动 | 发现工作站上的可疑成功密码更改。 |
| MSSQL 可疑成功密码更改活动 | 发现 SQL Server 上的可疑成功密码更改。 | |
| Windows 上的可疑成功密码更改活动 | 发现 Windows 中的可疑成功密码更改。 | |
| Windows 上的可疑失败密码更改活动 | 发现 Windows 中用户账号密码更改的可疑失败尝试。 | |
| 目录服务还原模式(DSRM)账户的可疑密码更改 | 发现域控制器中 DSRM 账户的可疑密码更改。 | |
| MSSQL 可疑失败密码更改活动 | 发现 SQL Server 上可疑的密码更改失败尝试。 | |
| IIS FTP 服务器上的可疑密码更改活动 | 发现 IIS FTP 服务器上的可疑密码更改。 | |
| 工作站上的可疑失败密码更改活动 | 发现工作站上的可疑密码更改失败尝试。 | |
| 可疑软件更改 | Windows 上过多的软件安装尝试 | 检测到 Windows 用户进行过多的软件安装尝试。 |
| Windows 上过多的软件更新尝试 | 检测到 Windows 用户进行过多的软件更新尝试。 | |
| 防火墙策略异常 | SonicWall 非工作时间删除策略 | SonicWall 设备在非工作时间删除了某策略。 |
| NetScreen 非工作时间添加策略 | NetScreen 设备在非工作时间添加了某策略。 | |
| WatchGuard 非工作时间删除策略 | WatchGuard 设备在非工作时间删除了某策略。 | |
| WatchGuard 非工作时间添加策略 | WatchGuard 设备在非工作时间添加了某策略。 | |
| Fortinet 非工作时间添加策略 | Fortinet 设备在非工作时间添加了某策略。 | |
| SonicWall 非工作时间添加策略 | SonicWall 设备在非工作时间添加了某策略。 | |
| NetScreen 非工作时间删除策略 | NetScreen 设备在非工作时间删除了某策略。 | |
| Fortinet 非工作时间删除策略 | Fortinet 设备在非工作时间删除了某策略。 | |
| 数据外泄 | Windows 上可疑的大批量文件修改或删除 | 发现 Windows 上可疑的大批量文件修改或删除。 |
| Salesforce 上的可疑大批量数据传输活动 | 发现 Salesforce 中可疑的大批量数据传输活动。 | |
| SaaS 配置异常 | Salesforce 用户管理设置修改 | 发现 Salesforce 中用户管理设置的可疑修改。 |
| Salesforce 中非工作时间的连接应用集成活动 | 发现 Salesforce 中非工作时间的连接应用集成活动。 | |
| 可疑邮件访问 | 异常邮箱访问 | 检测到异常邮箱访问 |
| 终端行为异常 | Windows 非工作时间创建的可疑计划任务 | Windows 非工作时间创建的可疑计划任务。 |
另请参阅
本文档解释了 Log360 Cloud 的 UEBA 异常规则。欲利用 UEBA 的功能,请参考以下文章: