Exfiltration de données
Utilisez la IBM Security QRadar Data Exfiltration Content Extension pour surveiller de près les activités d'exfiltration de données dans votre déploiement.
Important: Pour éviter les erreurs de contenu dans cette extension de contenu, tenez à jour les DSM associés. Les DSM sont mis à jour dans le cadre des mises à jour automatiques. Si les mises à jour automatiques ne sont pas activées, téléchargez la version la plus récente des DSM associés à partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).
A propos de l'extension d'exfiltration de données
Le pack QRadar Content Extension Pack for Data Exfiltration ajoute plusieurs règles et recherches sauvegardées qui se concentrent sur la détection des activités d'exfiltration de données.
Exemples d'activités d'exfiltration de données:
- Transfert de données sortantes de grande taille vers une adresse IP malveillante connue ou vers un service de stockage de fichiers en ligne.
- Transfert de données sortant lent et furtif sur plusieurs jours ou mois.
- Fuite de données ou perte de données dans le cloud. Par exemple, si un fichier confidentiel est téléchargé dans un dossier ou un compartiment accessible au public, ou si les droits d'accès d'un fichier confidentiel sont modifiés pour être accessibles ou lisibles par le monde entier.
- Partage de fichiers confidentiels. Par exemple, si des fichiers confidentiels sont partagés avec un hôte malveillant, un utilisateur invité ou un utilisateur externe à l'organisation.
IBM Security QRadar Data Exfiltration Content Extensions
- IBM Security QRadar Data Exfiltration Content Extension 1.0.5
- IBM Security QRadar Data Exfiltration Content Extension 1.0.4
- IBM Security QRadar Data Exfiltration Content Extension 1.0.3
- IBM Security QRadar Data Exfiltration Content Extension 1.0.2
- IBM Security QRadar Data Exfiltration Content Extension 1.0.1
- IBM Security QRadar Data Exfiltration Content Extension 1.0.0
IBM Security QRadar Data Exfiltration Content Extension 1.0.5
Cette version d' IBM Security QRadar Data Exfiltration Content Extension inclut un correctif pour l'erreur qui a provoqué l'affichage du nom et de la description du groupe de règles Exfiltration sous la formenulllorsqu'il est appelé à partir de l'API.
Le tableau suivant présente les propriétés d'événement personnalisées qui sont nouvelles ou mises à jour dans IBM Security QRadar Data Exfiltration Content Extension 1.0.5.
Remarque: Les propriétés personnalisées qui sont incluses dans le tableau suivant sont des marques de réservation. Vous pouvez télécharger d'autres extensions de contenu qui incluent des propriétés personnalisées avec ces noms, ou vous pouvez créer les vôtres.
| Propriété personnalisée | optimisé | Trouvé dans |
|---|---|---|
| Répertoire de fichiers | Oui | |
| Hôte destinataire | Oui | |
| Utilisateur destinataire | Oui | |
| UrlHost | Oui | |
| Catégorie Web | Oui |
Le tableau suivant présente les règles nouvelles ou mises à jour dans IBM Security QRadar Data Exfiltration 1.0.5.
| Nom | Descriptif |
|---|---|
| Evénements d'accès excessif aux fichiers à partir de la même adresse IP source | Modification de la plage d'adresses IP exclues de 192.168.2.0/24 à 192.0.2.0/24. |
| Excès d'événements d'accès aux fichiers à partir du même nom d'utilisateur | Modification de la plage d'adresses IP exclues de 192.168.2.0/24 à 192.0.2.0/24. |
| Evénements de téléchargement de fichier excessifs à partir du même nom d'utilisateur | Modification de la plage d'adresses IP exclues de 192.168.2.0/24 à 192.0.2.0/24. |
| Nombre excessif d'événements de téléchargement de fichiers à partir de la même adresse IP source | Modification de la plage d'adresses IP exclues de 192.168.2.0/24 à 192.0.2.0/24. |
IBM Security QRadar Data Exfiltration Content Extension 1.0.4
Le tableau suivant présente les règles et les blocs de construction qui sont nouveaux ou mis à jour dans IBM Security QRadar Data Exfiltration 1.0.4.
| Type | Nom | Descriptif |
|---|---|---|
| Bloc de construction | BB:BehaviorDefinition:Hôte destinataire potentiellement hostile | Ajout d'un filtre pour améliorer les performances. |
| Bloc de construction | BB:CategoryDefinition: Communication avec des IP de destination potentiellement hostiles | Ajout d'un filtre de direction de flux pour améliorer les performances. |
| Bloc de construction | BB:CategoryDefinition: Communication avec des hôtes destinataires potentiellement hostiles | Ce bloc de construction a été supprimé. |
| Bloc de construction | BB:BehaviorDefinition: Hôte destinataire externe | Correction du lien d'ID d'ensemble de référence sur ce bloc de construction. |
| Règle | Evénements d'accès excessif aux fichiers à partir de la même adresse IP source | Ajout du même emplacement (source de journal) à la logique de règle. |
| Règle | Excès d'événements d'accès aux fichiers à partir du même nom d'utilisateur | Ajout du même emplacement (source de journal) à la logique de règle. |
| Règle | Nombre excessif d'événements de téléchargement de fichiers à partir de la même adresse IP source | Ajout du même emplacement (source de journal) à la logique de règle. |
| Règle | Nombre excessif d'événements de téléchargement de fichiers à partir du même nom d'utilisateur | Ajout du même emplacement (source de journal) à la logique de règle. |
| Règle | Fichier accédé ou téléchargé à partir d'une adresse IP malveillante | Le limiteur de réponse a été remplacé par l'adresse IP de destination. |
| Règle | Transfert de données sortantes de grande taille | Supprimé en raison d'un incident connu qui enfreint l'importation des règles de seuil. |
| Règle | Transfert de données sortantes de grande taille pour les flux | Supprimé en raison d'un incident connu qui enfreint l'importation des règles de seuil. |
| Règle | Transfert de données sortantes volumineuses vers un hôte File Storage | Supprimé en raison d'un incident connu qui enfreint l'importation des règles de seuil. |
| Règle | Transfert de données sortantes de grande taille vers un hôte ou une adresse IP malveillante | Supprimé en raison d'un incident connu qui enfreint l'importation des règles de seuil. |
| Règle | Transfert de données sortantes de grande taille vers une adresse IP malveillante pour les flux | Supprimé en raison d'un incident connu qui enfreint l'importation des règles de seuil. |
Le tableau suivant présente les recherches sauvegardées qui sont nouvelles ou mises à jour dans IBM Security QRadar Data Exfiltration 1.0.4.
| Nom | Descriptif |
|---|---|
| Transfert de données sortantes de grande taille | Suppression de la clause d'inclusion de la recherche AQL. |
| Transfert de données sortantes de grande taille-Surveillance des anomalies | Suppression de la clause d'inclusion de la recherche AQL. |
| Transfert de données sortantes volumineuses vers un hôte File Storage | Suppression de la clause d'inclusion de la recherche AQL. |
| Transfert de données sortantes de grande taille vers un hôte ou une adresse IP malveillante | Suppression de la clause d'inclusion de la recherche AQL. |
| Transfert de données sortantes de grande taille vers une adresse IP malveillante | Suppression de la clause d'inclusion de la recherche AQL. |
IBM Security QRadar Data Exfiltration Content Extension 1.0.3
Correction des erreurs dans le tableau de bord Pulse qui entraînaient une analyse incorrecte des requêtes AQL.
Le tableau suivant montre que les blocs de construction sont renommés dans IBM Security QRadar Data Exfiltration Content Extension 1.0.3.
| Ancien nom | Nouveau nom |
|---|---|
| BB:BehaviorDefinition: Adresses électroniques externes | BB:BehaviorDefinition: Hôte destinataire externe |
| BB:BehaviorDefinition:Hôte de courrier électronique potentiellement hostile | BB:BehaviorDefinition:Hôte destinataire potentiellement hostile |
IBM Security QRadar Data Exfiltration Content Extension 1.0.2
Mise à jour des conditions pour les règles suivantes:
- Transfert de données sortantes de grande taille
- Transfert de données sortantes de grande taille pour les flux
- Transfert de données sortantes volumineuses vers un hôte File Storage
- Transfert de données sortantes de grande taille vers un hôte ou une adresse IP malveillante
- Transfert de données sortantes de grande taille vers une adresse IP malveillante pour les flux
IBM Security QRadar Data Exfiltration Content Extension 1.0.1
Mise à jour de la règle QNI: Confidential Content Being Transferred pour inclure les enregistrements qui ont déclenché la règle dans l'infraction.
IBM Security QRadar Data Exfiltration Content Extension 1.0.0
Le tableau suivant présente les propriétés d'événement personnalisées dans IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
Remarque: Les propriétés personnalisées qui sont incluses dans le tableau suivant sont des marques de réservation. Vous pouvez télécharger d'autres extensions de contenu qui incluent des propriétés personnalisées avec ces noms, ou vous pouvez créer les vôtres.
| Propriété personnalisée | optimisé | Trouvé dans |
|---|---|---|
| BytesReceived | Oui | |
| BytesSent | Oui | |
| Répertoire de fichiers | Oui | |
| Extension de fichier | Oui | |
| filename | Oui | |
| MessageID | Oui | |
| Nom de la politique | Oui | |
| Autorisation publique | Oui | Amazon AWS |
| Hôte destinataire | Oui | |
| Utilisateur destinataire | Oui | |
| Nom du stockage | Oui | Amazon AWS |
| Zone utilisateur cible | Oui | Microsoft Office 365 |
| URL | Oui | |
| UrlHost | Oui | |
| Catégorie Web | Oui |
Le tableau suivant présente les blocs de construction et les règles d' IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Type | Nom | Descriptif |
|---|---|---|
| Bloc de construction | BB:BehaviorDefinition: Adresses électroniques externes | Ce bloc de construction identifie les hôtes destinataires qui ne figurent pas dans l'ensemble de références Domaines de messagerie d'entreprise. Remarque: l'ensemble de références des domaines d'e-mail d'entreprise doit être renseigné.
|
| Bloc de construction | BB:BehaviorDefinition:Hôte de courrier électronique potentiellement hostile | Ce bloc de construction identifie un e-mail envoyé à un hôte malveillant. L'hôte est malveillant si sa catégorisation X-Force ® renvoie l'un des éléments suivants: URL de hameçonnage, URL de spam, logiciel malveillant, serveur de commande et de contrôle de botnet ou Cryptocurrency Mining. |
| Bloc de construction | BB:CategoryDefinition: Communication avec des IP de destination potentiellement hostiles | Ce bloc de construction identifie les communications avec les adresses IP malveillantes. L'hôte est malveillant si sa catégorisation X-Force renvoie l'un des éléments suivants: Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scanning IPs, Bots ou Phishing. |
| Bloc de construction | BB:CategoryDefinition: Communication avec des hôtes destinataires potentiellement hostiles | Ce bloc de construction identifie les communications avec les hôtes malveillants. L'hôte est malveillant si sa catégorisation X-Force renvoie l'un des éléments suivants: Botnet Command and Control Server, Malware, Phishing URLs, Cryptocurrency Mining ou Spam URLs. |
| Bloc de construction | BB:CategoryDefinition: Pays/régions à accès restreint | Modifier ce bloc de construction afin d'inclure tout emplacement géographique qui ne serait généralement pas autorisé à accéder à l'entreprise. |
| Bloc de construction | BB:CategoryDefinition: Événements de suppression de fichiers | Modifiez ce bloc de construction pour inclure les catégories d'événement de suppression de fichier. |
| Bloc de construction | BB:CategoryDefinition: Lier les événements partagés | Modifiez ce bloc de construction pour inclure des catégories d'événements connexes partagées de lien. |
| Bloc de construction | BB:CategoryDefinition: Événements d'accès aux objets | Modifiez ce bloc de construction pour inclure toutes les catégories d'événement liées à l'accès aux objets (fichier, dossier, etc.). |
| Bloc de construction | BB:CategoryDefinition: Événements de téléchargement d'objets | Modifiez ce bloc de construction pour inclure toutes les catégories d'événement liées au téléchargement d'objet (fichier, dossier, etc.). |
| Bloc de construction | BB:CategoryDefinition: Événements de téléchargement d'objets | Modifiez ce bloc de construction pour inclure tous les objets (fichier, dossier, etc.) qui téléchargent des catégories d'événements connexes. |
| Bloc de construction | BB:DeviceDefinition: Dispositifs DLP | Ce bloc de construction définit toutes les unités de prévention de perte de données (DLP) sur le système. |
| Bloc de construction | BB:DeviceDefinition: Mail | Ce bloc de construction définit tous les périphériques de messagerie du système. |
| Bloc de construction | BB:Exfiltration: Fichiers dans les répertoires sensibles | Détecte les fichiers qui se trouvent dans des chemins sensibles. Les chemins d'accès sensibles sont définis dans l'ensemble de références Chemins d'accès aux fichiers sensibles. Remarque: L'ensemble de références des chemins d'accès aux fichiers sensibles doit être renseigné.
|
| Règle | Sauvegarde de base de données ou fichier compressé téléchargé dans un dossier accessible au public | Cette règle se déclenche lorsqu'une sauvegarde de base de données ou un fichier compressé est téléchargé dans un dossier ou un compartiment accessible au public. L'ensemble de références Dossiers accessibles au public doit être renseigné avec les noms de dossier appropriés. Remarque: L'ensemble de références des extensions de fichier critiques est prérempli avec des extensions de fichier critiques et peut être optimisé.
|
| Règle | E-mail contenant le fichier sensible envoyé à l'hôte externe | Cette règle se déclenche lorsqu'un e-mail contenant des données sensibles est envoyé à une adresse e-mail qui se trouve en dehors de l'organisation. Remarque: L'ensemble de références Répertoires de fichiers sensibles doit être renseigné avec le nom des dossiers appropriés. L'ensemble de références Domaines d'e-mail d'entreprise doit être renseigné avec le domaine d'e-mail de l'organisation.
|
| Règle | E-mail contenant un fichier sensible envoyé à un hôte potentiellement hostile | Cette règle se déclenche lorsqu'un courrier électronique contenant un fichier sensible est envoyé à un hôte connu pour des activités hostiles telles que le hameçonnage, le spam, les logiciels malveillants, la commande et le contrôle Botnet ou Cryptocurrency Mining. L'ensemble de références Fichiers dans les répertoires sensibles est renseigné par la règle Fichiers dans les répertoires de fichiers sensibles. Remarque: l'ensemble de références des répertoires sensibles doit être renseigné.
|
| Règle | Evénements d'accès excessif aux fichiers à partir de la même adresse IP source | Cette règle se déclenche lorsqu'au moins 15 fichiers différents sont accessibles par la même adresse IP source en moins de 5 minutes. Remarque: éditez la fonction AQL pour exclure les activités de téléchargement légitimes connues telles que les mises à jour du système d'exploitation ou les mises à jour logicielles.
|
| Règle | Excès d'événements d'accès aux fichiers à partir du même nom d'utilisateur | Cette règle se déclenche lorsqu'au moins 15 fichiers différents sont accessibles par le même nom d'utilisateur en moins de 5 minutes. Remarque: éditez la fonction AQL pour exclure les activités de téléchargement légitimes connues telles que les mises à jour du système d'exploitation ou les mises à jour logicielles.
|
| Règle | Nombre excessif d'événements de téléchargement de fichiers à partir de la même adresse IP source | Cette règle se déclenche lorsqu'au moins 10 fichiers différents sont téléchargés à partir de la même adresse IP source en moins de 5 minutes. Remarque: éditez la fonction AQL pour exclure les activités de téléchargement légitimes connues telles que les mises à jour du système d'exploitation ou les mises à jour logicielles.
|
| Règle | Nombre excessif d'événements de téléchargement de fichiers à partir du même nom d'utilisateur | Cette règle se déclenche lorsqu'au moins 15 fichiers différents sont téléchargés par le même nom d'utilisateur dans les 5 minutes. Remarque: éditez la fonction AQL pour exclure les activités de téléchargement légitimes connues telles que les mises à jour du système d'exploitation ou les mises à jour logicielles.
|
| Règle | Fichier accédé ou téléchargé à partir d'une adresse IP malveillante | Cette règle se déclenche lorsqu'un fichier est consulté ou téléchargé à partir d'une adresse IP malveillante telle que des serveurs de commande et de contrôle connus ou des serveurs malveillants. |
| Règle | Fichier ou dossier partagé avec un e-mail hébergé sur un domaine potentiellement hostile | Cette règle se déclenche lorsqu'un fichier ou un dossier est partagé avec un e-mail associé à des domaines hostiles tels que des URL de spam, des URL de hameçonnage, des logiciels malveillants ou Cryptocurrency Mining. |
| Règle | Fichier ou dossier partagé avec une adresse électronique externe | Cette règle se déclenche lorsqu'un fichier ou un dossier est partagé avec des domaines d'adresse e-mail non professionnels. Remarque: L'ensemble de références Domaines d'e-mail d'entreprise doit être renseigné avec le domaine d'e-mail de l'organisation.
|
| Règle | Fichiers supprimés des répertoires de fichiers sensibles | Cette règle détecte lorsqu'il y a un événement de suppression de fichier dans un répertoire de fichiers sensibles, puis supprime le nom de fichier de l'ensemble de références Fichiers dans les répertoires sensibles en tant que réponse à la règle. Remarque: Dans IBM Security QRadar 7.3.2 et les versions antérieures, l'ensemble de références n'est pas correctement lié aux fichiers des répertoires sensibles- AlphaNumeric. Cette erreur a été corrigée dans le correctif 1 de la version 7.3.2 . Si le correctif 1 de 7.3.2 n'est pas installé, vous pouvez effectuer les opérations suivantes: Sélectionnez la règle et cliquez sur Suivant. Sous Réponse à la règle, cliquez sur la liste de l'ensemble de références et sélectionnez Fichiers dans les répertoires sensibles- AlphaNumeric.
|
| Règle | Fichiers dans les répertoires de fichiers sensibles | Cette règle détecte lorsqu'un nouveau fichier est trouvé dans un répertoire de fichiers sensibles, puis ajoute le nom de fichier à l'ensemble de références Fichiers dans des répertoires sensibles en tant que réponse à la règle. |
| Règle | Transfert de données sortantes de grande taille | Cette règle d'anomalie se déclenche lorsque plus de 5 Go de données sont transférés à une adresse IP dans les 4 jours. |
| Règle | Transfert de données sortantes de grande taille pour les flux | Cette règle d'anomalie de flux se déclenche lorsque plus de 1 Go de données sont transférés dans les 24 heures à une seule adresse IP. Pour plus d'informations, voir la recherche sauvegardée de l'activité réseau de transfert de données sortantes de grande taille. |
| Règle | Transfert de données sortantes volumineuses vers un hôte File Storage | Cette règle d'anomalie se déclenche lorsque plus de 1 Go de données est transféré vers une URL classée par X-Force dans la catégorie Stockage Web, en l'espace de 24 heures. La règle est également configurée pour correspondre à la catégorie de proxy renseignée dans le jeu de référence, Catégories Web de File Storage. Pour plus d'informations, voir la rubrique relative au transfert de données volumineuses sortantes vers une recherche sauvegardée d'activité de journal hôte File Storage . |
| Règle | Transfert de données sortantes de grande taille vers un hôte ou une adresse IP malveillante | Cette règle d'anomalie se déclenche lorsque plus de 1 Go de données est transféré en 24 heures vers une adresse IP ou une URL classée dans l'une des catégories X-Force suivantes : Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scanning IPs (uniquement sur les adresses IP), Phishing, ou Bots (uniquement sur les adresses IP). La règle est également configurée pour correspondre à la catégorie de proxy renseignée dans l'ensemble de référence, les catégories Web malveillantes. Pour plus d'informations, voir la recherche sauvegardée sur le transfert de données volumineuses sortantes vers un hôte malveillant ou sur l'activité des journaux IP. |
| Règle | Transfert de données sortantes de grande taille vers une adresse IP malveillante pour les flux | Cette règle d'anomalie de flux se déclenche lorsque plus de 1 Go de données sont transférés dans les 24 heures à une adresse IP classée dans l'une des catégories X-Force suivantes: Malware, Botnet Command and Control Server, Spam, Cryptocurrency Mining, Scanning IPs, Phishing ou Bots. Pour plus d'informations, voir la recherche sauvegardée "Large Outbound Data Transfer to Malicious IP Network Activity". |
| Règle | QNI: Contenu confidentiel en cours de transfert | Cette règle détecte le contenu confidentiel qui est transféré vers une destination distante. Le contenu suspect peut être réglé avec les règles YARA. Pour plus d'informations, voir la documentation QNI. |
| Règle | Fichier sensible consulté ou téléchargé à partir de régions ou de pays à accès restreint | Cette règle se déclenche lorsqu'un fichier confidentiel est consulté ou téléchargé à partir d'une région ou d'un pays à accès restreint. Ces régions sont définies dans le bloc de construction BB:CategoryDefinition: Pays/Régions à accès restreint. |
| Règle | Les droits d'accès aux fichiers sensibles autorisent l'accès public | Cette règle se déclenche lorsque les droits d'accès à un fichier sensible sont accessibles au public. L'ensemble de références Fichiers dans les répertoires sensibles est renseigné par la règle Fichiers dans les répertoires de fichiers sensibles. Remarque: l'ensemble de références des répertoires sensibles doit être renseigné.
|
| Règle | Fichier sensible partagé avec un utilisateur ou un groupe invité | Cette règle se déclenche lorsqu'un fichier sensible est partagé avec un utilisateur ou un groupe invité. L'ensemble de références Fichiers dans les répertoires sensibles est alimenté par la règle Fichiers dans les répertoires de fichiers sensibles, qui utilise l'ensemble de références Répertoires sensibles. Remarque: Les ensembles de références Répertoires sensibles et Utilisateurs de connexion invités doivent être renseignés.
|
| Règle | Fichier sensible téléchargé dans un dossier accessible au public | Cette règle se déclenche lorsqu'un fichier sensible est téléchargé dans un dossier ou un compartiment accessible au public. |
| Règle | Activité suspecte sur les données confidentielles détectées par les périphériques DLP | Cette règle se déclenche lorsque des activités suspectes sur des données confidentielles sont détectées à partir d'une unité DLP. Les dispositifs DLP sont définis dans le bloc de construction BB:DeviceDefinition: DLP Devices. Remarque: L'ensemble de références des stratégies DLP doit être renseigné.
|
Le tableau suivant présente les données de référence dans IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Type | Nom | Descriptif |
|---|---|---|
| Ensemble de référence | Noms de fichiers confidentiels / sensibles | Contient une liste de noms de fichiers confidentiels ou sensibles. |
| Ensemble de référence | Domaines de courrier électronique d'entreprise | Contient une liste de domaines d'e-mail d'entreprise. |
| Ensemble de référence | Extensions de fichiers critiques | Contient une liste des extensions de fichier critiques. |
| Ensemble de référence | Stratégies de prévention de perte de données | Contient une liste de stratégies DLP. |
| Ensemble de référence | File Storage Catégories Web | Contient une liste de catégories Web de stockage de fichiers. |
| Ensemble de référence | Fichiers dans les répertoires sensibles | Contient une liste de noms de fichiers dans les répertoires sensibles. |
| Ensemble de référence | Utilisateurs de connexion invités | Contient une liste de noms d'utilisateur de connexion invité. |
| Ensemble de référence | IP de destination de transfert de données légitimes | Contient une liste d'adresses IP de destination de transfert de données légitimes. |
| Ensemble de référence | Catégories Web malveillantes | Contient une liste de catégories Web malveillantes. |
| Ensemble de référence | Dossiers accessibles au public | Contient une liste de noms de dossiers accessibles au public. |
| Ensemble de référence | Répertoires de fichiers sensibles | Contient une liste de répertoires de fichiers sensibles. |
Le tableau suivant présente les recherches sauvegardées dans IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Nom | Descriptif |
|---|---|
| Transfert de données sortantes de grande taille | Affiche tous les événements avec un transfert de données sortantes important (supérieur à 1 Go) vers des hôtes distants. |
| Transfert de données sortantes volumineuses vers un hôte File Storage | Affiche tous les événements avec un transfert de données sortantes important (supérieur à 1 Go) vers des hôtes de stockage de fichiers. |
| Transfert de données sortantes de grande taille vers un hôte ou une adresse IP malveillante | Affiche tous les événements avec un transfert de données sortantes important (supérieur à 1GB) vers un hôte ou une adresse IP malveillante. |
| Transfert de données sortant lent sur plusieurs jours | Affiche tous les événements avec un transfert de données sortant important (supérieur à 1 Go) vers des hôtes distants sur plusieurs jours. |
| Transfert de données sortant lent sur plusieurs jours, regroupé par adresse IP source et nom d'utilisateur | Affiche tous les événements avec un transfert de données sortantes important (supérieur à 1 Go) vers des hôtes distants sur plusieurs jours, regroupés par adresse IP source et nom d'utilisateur. |
| Transfert de données sortant lent sur plusieurs mois | Affiche tous les événements avec un transfert de données sortant important (supérieur à 1 Go) vers des hôtes distants sur plusieurs mois. |
| Transfert de données sortantes de grande taille | Affiche tous les flux avec un transfert de données sortant important (supérieur à 1 Go) vers des adresses IP distantes. |
| Transfert de données sortantes de grande taille vers une adresse IP malveillante | Affiche tous les flux avec un transfert de données sortantes important (supérieur à 1 Go) vers une adresse IP malveillante. |
| Transfert de données sortant lent sur plusieurs jours | Affiche tous les flux avec un transfert de données sortantes important (supérieur à 1 Go) vers des adresses IP distantes sur plusieurs jours. |
| Transfert de données sortant lent sur plusieurs jours, regroupé par adresse IP source | Affiche tous les flux avec un transfert de données sortantes important (supérieur à 1 Go) vers des adresses IP distantes sur plusieurs mois, regroupés par adresse IP source. |
| Transfert de données sortant lent sur plusieurs mois | Affiche tous les flux avec un transfert de données sortant important (supérieur à 1 Go) vers des adresses IP distantes sur plusieurs mois. |