Exfiltração de Dados
Use a IBM Security QRadar Data Exfiltration Content Extension para monitorar de perto as atividades de exfiltração de dados em sua implantação.
Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).
Sobre a extensão Data Exfiltration
O QRadar Content Extension pack for Data Exfiltration inclui várias regras e procuras salvas que se concentram na detecção de atividades de exfiltração de dados.
Os exemplos de atividades de exfiltração de dados são:
- Grandes transferências de dados de saída para um IP malicioso conhecido ou para um serviço de armazenamento de arquivo on-line.
- Transferência de dados de saída lenta e silenciosa ao longo de dias ou meses.
- Vazamento de dados ou perda de dados na nuvem. Por exemplo, se um arquivo confidencial for transferido por upload para uma pasta ou um depósito publicamente acessível ou se as permissões de um arquivo confidencial forem alteradas para serem legíveis ou acessíveis mundialmente.
- Compartilhamento de arquivos confidenciais. Por exemplo, se arquivos confidenciais forem compartilhados com um host malicioso, um usuário guest ou com um usuário de fora da organização.
IBM Security QRadar Extensões de Conteúdo de Exfiltração de dados
- IBM Segurança QRadar Extensão de conteúdo para exfiltração de dados 1.0.5
- IBM Security QRadar Extensão de conteúdo de extração de dados 1.0.4
- IBM Segurança QRadar Extensão de conteúdo para exfiltração de dados 1.0.3
- IBM Security QRadar Extensão de conteúdo de extração de dados 1.0.2
- IBM Security QRadar Extensão de conteúdo de extração de dados 1.0.1
- IBM Security QRadar Extensão de conteúdo de extração de dados 1.0.0
IBM Security QRadar Extensão de conteúdo de extração de dados 1.0.5
Esta versão do IBM Security QRadar Data Exfiltration Content Extension inclui uma correção de erro que fez com que o grupo de regras Exfiltration tivesse seu nome e descrição listados comonullquando chamado da API.
A tabela a seguir mostra as propriedades de eventos customizados que são novas ou atualizadas no IBM Security QRadar Data Exfiltration Content Extension 1.0.5.
Nota: As propriedades customizadas que estão incluídas na tabela a seguir são colocadores. É possível fazer download de outras extensões de conteúdo que incluem propriedades customizadas com esses nomes ou criar sua própria extensão.
| Propriedade Customizada | Otimizada | Localizado em |
|---|---|---|
| Diretório de Arquivos | Sim | |
| Host do destinatário | Sim | |
| Recipient_User | Sim | |
| UrlHost | Sim | |
| Categoria da Web | Sim |
A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Data Exfiltration 1.0.5.
| Nome | Descrição |
|---|---|
| Excesso de eventos de acesso de arquivo a partir do mesmo IP de origem | Intervalo modificado de endereços IP excluídos de 192.168.2.0/ 24 para 192.0.2.0/24. |
| Excesso de eventos de acesso de arquivo a partir do mesmo nome do usuário | Intervalo modificado de endereços IP excluídos de 192.168.2.0/ 24 para 192.0.2.0/24. |
| Eventos excessivos de download de arquivos a partir do mesmo nome de usuário | Intervalo modificado de endereços IP excluídos de 192.168.2.0/ 24 para 192.0.2.0/24. |
| Excesso de eventos de download de arquivo a partir do mesmo IP de origem | Intervalo modificado de endereços IP excluídos de 192.168.2.0/ 24 para 192.0.2.0/24. |
IBM Security QRadar Extensão de conteúdo de extração de dados 1.0.4
A tabela a seguir mostra as regras e blocos de construção que são novos ou atualizados no IBM Security QRadar Data Exfiltration 1.0.4.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:BehaviorDefinition: host de destinatário potencialmente hostil | Filtro incluído para melhorar o desempenho. |
| Bloco de construção | BB:CategoryDefinition: comunicação com potenciais IPs de destino hostis | Filtro de direção de fluxo incluído para melhorar o desempenho. |
| Bloco de construção | BB:CategoryDefinition: comunicação com possíveis hosts de destinatário hostis | Este bloco de construção foi removido. |
| Bloco de construção | BB:BehaviorDefinition: host de destinatário externo | O link do ID do conjunto de referência foi corrigido neste bloco de construção. |
| Regra | Excesso de eventos de acesso de arquivo a partir do mesmo IP de origem | O mesmo local (origem de log) foi incluído na lógica de regra. |
| Regra | Excesso de eventos de acesso de arquivo a partir do mesmo nome do usuário | O mesmo local (origem de log) foi incluído na lógica de regra. |
| Regra | Excesso de eventos de download de arquivo a partir do mesmo IP de origem | O mesmo local (origem de log) foi incluído na lógica de regra. |
| Regra | Excesso de eventos de download de arquivo a partir do mesmo nome do usuário | O mesmo local (origem de log) foi incluído na lógica de regra. |
| Regra | Arquivo acessado ou transferido por download a partir de um IP malicioso | Limitador de resposta mudado para IP de destino. |
| Regra | Transferência grande de dados de saída | Removido devido a um defeito conhecido que interrompe a importação de regras de limite. |
| Regra | Transferência grande de dados de saída para fluxos | Removido devido a um defeito conhecido que interrompe a importação de regras de limite. |
| Regra | Transferência grande de dados de saída para um host de armazenamento de arquivo | Removido devido a um defeito conhecido que interrompe a importação de regras de limite. |
| Regra | Transferência grande de dados de saída para um host ou IP malicioso | Removido devido a um defeito conhecido que interrompe a importação de regras de limite. |
| Regra | Transferência grande de dados de saída para um IP malicioso para fluxos | Removido devido a um defeito conhecido que interrompe a importação de regras de limite. |
A tabela a seguir mostra as pesquisas salvas que são novas ou atualizadas no IBM Security QRadar Data Exfiltration 1.0.4.
| Nome | Descrição |
|---|---|
| Transferência grande de dados de saída | A cláusula having foi removida da procura AQL. |
| Transferência de Dados de Grande Saída-Monitoramento Anomalia | A cláusula having foi removida da procura AQL. |
| Transferência grande de dados de saída para um host de armazenamento de arquivo | A cláusula having foi removida da procura AQL. |
| Transferência grande de dados de saída para host ou IP malicioso | A cláusula having foi removida da procura AQL. |
| Grande Transferência de Dados de Saída para IP malicioso | A cláusula having foi removida da procura AQL. |
IBM Security QRadar Extensão de conteúdo de extração de dados 1.0.3
Erros corrigidos no painel do Pulse que fizeram as consultas da AQL serem analisadas incorretamente.
A tabela a seguir mostra os blocos de construção que foram renomeados no IBM Security QRadar Data Exfiltration Content Extension 1.0.3.
| Nome Antigo | Novo Nome |
|---|---|
| BB:BehaviorDefinition: endereços de e-mail externos | BB:BehaviorDefinition: host de destinatário externo |
| BB:BehaviorDefinition: host de e-mail potencialmente hostil | BB:BehaviorDefinition: host de destinatário potencialmente hostil |
IBM Security QRadar Extensão de conteúdo de exfiltração de dados 1.0.2
Foram atualizadas as condições para as regras a seguir:
- Transferência grande de dados de saída
- Transferência grande de dados de saída para fluxos
- Transferência grande de dados de saída para um host de armazenamento de arquivo
- Transferência grande de dados de saída para um host ou IP malicioso
- Transferência grande de dados de saída para um IP malicioso para fluxos
IBM Security QRadar Extensão de conteúdo de extração de dados 1.0.1
Atualizada a regra QNI: Conteúdo confidencial sendo transferido para incluir os registros que acionaram a regra na ofensa.
IBM Security QRadar Extensão de conteúdo de extração de dados 1.0.0
A tabela a seguir mostra as propriedades de evento customizado no IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
Nota: As propriedades customizadas que estão incluídas na tabela a seguir são colocadores. É possível fazer download de outras extensões de conteúdo que incluem propriedades customizadas com esses nomes ou criar sua própria extensão.
| Propriedade Customizada | Otimizada | Localizado em |
|---|---|---|
| BytesReceived | Sim | |
| BytesSent | Sim | |
| Diretório de Arquivos | Sim | |
| Extensão de Arquivo | Sim | |
| Nome do Arquivo | Sim | |
| MessageID | Sim | |
| Nome da política | Sim | |
| Permissão Pública | Sim | Amazon AWS |
| Host do destinatário | Sim | |
| Recipient_User | Sim | |
| Nome do armazenamento | Sim | Amazon AWS |
| Área do Usuário de Destino | Sim | Microsoft Office 365 |
| URL | Sim | |
| UrlHost | Sim | |
| Categoria da Web | Sim |
A tabela a seguir mostra os blocos de construção e as regras no IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:BehaviorDefinition: endereços de e-mail externos | Este Bloco de Construção identifica os hosts de destinatários que não estão no conjunto de referência Domínios de E-mail Corporativo. Nota: O Conjunto de referência de Domínios de Email Corporativo deve ser preenchido.
|
| Bloco de construção | BB:BehaviorDefinition: host de e-mail potencialmente hostil | Este Bloco de Construção identifica um e-mail sendo enviado para um host malicioso. O host é malicioso se a categorização X-Force ® para ele retorna uma das seguintes: URLs de Phishing, Spam URLs, Malware, Botnet Command e Control Server ou Cryptocurrency Mining. |
| Bloco de construção | BB:CategoryDefinition: comunicação com potenciais IPs de destino hostis | Este Bloco de Construção identifica comunicações com IPs maliciosos. O host é malicioso se a categorização de X-Force para ele devolve uma das seguintes: Malware, Botnet Command e Control Server, Spam, Cryptocurrency Mining, Scanning IPs, Bots ou Phishing. |
| Bloco de construção | BB:CategoryDefinition: comunicação com possíveis hosts de destinatário hostis | Este Bloco de Construção identifica comunicações com hosts maliciosos. O host é malicioso se a categorização X-Force for devolve uma das seguintes: Botnet Command e Control Server, Malware, URLs Phishing, Cryptocurrency Mining ou Spam URLs. |
| Bloco de construção | BB:CategoryDefinition: países/regiões com acesso restrito | Edite este BB para incluir qualquer localização geográfica que, geralmente, não teria permissão para acessar a empresa. |
| Bloco de construção | BB:CategoryDefinition: Eventos de arquivos excluídos | Edite este Bloco de Construção para incluir quaisquer categorias de evento de exclusão de arquivo. |
| Bloco de construção | BB:CategoryDefinition: Eventos compartilhados | Edite este Bloco de Construção para incluir categorias de evento relacionadas compartilhadas por link. |
| Bloco de construção | BB:CategoryDefinition: Eventos de acesso a objetos | Edite este Bloco de Construção para incluir todas as categorias de evento relacionadas ao acesso de objeto (arquivo, pasta, entre outros). |
| Bloco de construção | BB:CategoryDefinition: eventos de download de objeto | Edite este Bloco de Construção para incluir todas as categorias de evento relacionadas ao download de objeto (arquivo, pasta, entre outros). |
| Bloco de construção | BB:CategoryDefinition: eventos de upload de objeto | Edite este Bloco de Construção para incluir todas as categorias de evento relacionadas ao upload de objeto (arquivo, pasta, entre outros). |
| Bloco de construção | BB:DeviceDefinition: dispositivos DLP | Este Bloco de Construção define todos os dispositivos de prevenção de perda de dados (DLP) no sistema. |
| Bloco de construção | BB:DeviceDefinition: e-mail | Este Bloco de Construção define todos os dispositivos de Correio no sistema. |
| Bloco de construção | BB:Exfiltration: arquivos em diretórios sensíveis | Detecta arquivos que estão em caminhos sensíveis. Caminhos sensíveis são definidos no conjunto de referência Caminhos de Arquivos Sensíveis. Nota: O Conjunto de referência de Caminhos de Arquivo Sensível deve ser preenchido.
|
| Regra | Backup de banco de dados ou arquivo compactado transferido por upload para uma pasta publicamente acessível | Esta regra é acionada quando um backup de banco de dados ou um arquivo compactado é transferido por upload para uma pasta ou um depósito publicamente acessível. O conjunto de referência Pastas Publicamente Acessíveis deve ser preenchido com os nomes de pasta relevantes. Note: o conjunto de referência de extensões de arquivo crítico é pré-preenchido com extensões de arquivo críticas, e pode ser ajustado.
|
| Regra | E-mail contendo arquivos sensíveis enviados para um host externo | Esta regra é acionada quando um e-mail contendo dados sensíveis é enviado para um endereço de e-mail fora da organização. Note: o conjunto de referência de diretórios de arquivos sensíveis, deve ser preenchido com o nome de pastas relevantes. O conjunto de referência Domínios de E-mail Corporativo deve ser preenchido com o domínio de e-mail da organização.
|
| Regra | E-mail contendo arquivo sensível enviado para um host potencialmente hostil | Esta regra é acionada quando um e-mail contendo um arquivo sensível está sendo enviado para um host conhecido por atividades hostis, como Phishing, Spam, Malware, Comando de Botnet e Controle ou Mineração de Criptomoeda. O conjunto de referência Arquivos nos diretórios sensíveis é preenchido pela regra Arquivos nos diretórios de arquivos sensíveis. Nota: O Conjunto de referência de diretórios sensíveis deve ser preenchido.
|
| Regra | Excesso de eventos de acesso de arquivo a partir do mesmo IP de origem | Esta regra é acionada quando pelo menos 15 arquivos diferentes são acessados pelo mesmo IP de origem dentro de 5 minutos. Nota: Editar a função AQL para excluir atividades de download legítimas conhecidas como o OS Updates ou o Software Updates.
|
| Regra | Excesso de eventos de acesso de arquivo a partir do mesmo nome do usuário | Esta regra é acionada quando pelo menos 15 arquivos diferentes são acessados pelo mesmo nome de usuário dentro de 5 minutos. Nota: Editar a função AQL para excluir atividades de download legítimas conhecidas como o OS Updates ou o Software Updates.
|
| Regra | Excesso de eventos de download de arquivo a partir do mesmo IP de origem | Esta regra é acionada quando pelo menos 10 arquivos diferentes são transferidos por download a partir do mesmo IP de origem dentro de 5 minutos. Nota: Editar a função AQL para excluir atividades de download legítimas conhecidas como o OS Updates ou o Software Updates.
|
| Regra | Excesso de eventos de download de arquivo a partir do mesmo nome do usuário | Esta regra é acionada quando pelo menos 15 arquivos diferentes são transferidos por download pelo mesmo nome de usuário dentro de 5 minutos. Nota: Editar a função AQL para excluir atividades de download legítimas conhecidas como o OS Updates ou o Software Updates.
|
| Regra | Arquivo acessado ou transferido por download a partir de um IP malicioso | Esta regra é acionada quando um arquivo é acessado ou transferido por download a partir de um IP malicioso, como Servidores de Comando e Controle ou Servidores de Malware conhecidos. |
| Regra | Arquivo ou pasta compartilhados com um e-mail hospedado em um domínio potencialmente hostil | Esta regra é acionada quando um arquivo ou uma pasta são compartilhados com um e-mail associado a domínios hostis, como URLs de Spam, URLs de Phishing, Malware ou Mineração de Criptomoeda. |
| Regra | Arquivo ou pasta compartilhados com um endereço de e-mail externo | Esta regra é acionada quando um arquivo ou uma pasta são compartilhados com domínios de endereço de e-mail não corporativos. Nota: O Conjunto de referência de Domínios de E-Mail Corporativa deve ser preenchido com o domínio de e-mail da organização.
|
| Regra | Arquivos excluídos dos diretórios de arquivos sensíveis | Esta regra detecta quando existe um evento de exclusão de arquivo a partir de um diretório de arquivo sensível e, em seguida, remove o nome do arquivo do conjunto de referência Arquivos em Diretórios Sensíveis como uma Resposta de Regra. Nota: No IBM Security QRadar 7.3.2 e versões anteriores, o conjunto de referência não está vinculado adequadamente a Arquivos em Diretórios Sensíveis- AlphaNumeric. Isso foi corrigido em 7.3.2 patch 1. Se você não tiver 7.3.2 patch 1 instalado, pode-se fazer o seguinte: Selecione a regra e clique em Avançar. Em Resposta de Regra, clique na lista para o conjunto de referência e selecione Arquivos em Diretórios Sensíveis - Alfanumérico.
|
| Regra | Arquivos em diretórios de arquivos sensíveis | Esta regra detecta quando um novo arquivo é encontrado no diretório de arquivo sensível e, em seguida, inclui o nome do arquivo no conjunto de referência Arquivos em Diretórios Sensíveis como uma resposta de regra. |
| Regra | Transferência grande de dados de saída | Esta regra de anomalia é acionada quando mais de 5 GB de dados são transferidos para um endereço IP dentro de 4 dias. |
| Regra | Transferência grande de dados de saída para fluxos | Esta regra de anomalia de fluxo é acionada quando mais de 1 GB de dados são transferidos dentro de 24 horas para um único endereço IP. Para obter mais informações, consulte a procura salva de atividade da rede Transferência grande de dados de saída. |
| Regra | Transferência grande de dados de saída para um host de armazenamento de arquivo | Essa regra de anomalia de evento é acionada quando mais de 1 GB de dados é transferido para um URL classificado na categoria Web Storage da X-Force, em um período de 24 horas. A regra também é configurada para correspondência na categoria de proxy preenchida no conjunto de referência Categorias da Web de Armazenamento de Arquivo. Para obter mais informações, consulte a procura salva de atividade do log Transferência grande de dados de saída para um host de armazenamento de arquivo. |
| Regra | Transferência grande de dados de saída para um host ou IP malicioso | Essa regra de anomalia de evento é acionada quando mais de 1 GB de dados é transferido em 24 horas para um endereço IP ou URL classificado em uma das seguintes categorias da X-Force: Malware, Servidor de comando e controle de botnet, Spam, Mineração de criptomoedas, IPs de varredura (somente em endereços IP), Phishing ou Bots (somente em endereços IP). E regra também é configurada para correspondência com a categoria de proxy preenchida no conjunto de referência Categorias Maliciosas da Web. Para obter mais informações, consulte a procura salva de atividade do log Transferência grande de dados de saída para um host ou IP malicioso. |
| Regra | Transferência grande de dados de saída para um IP malicioso para fluxos | Esta regra de anomalia de fluxo aciona quando mais de 1 GB dos dados são transferidos dentro de 24 horas para um endereço IP que é classificado sob uma das seguintes categorias de X-Force: Malware, Botnet Command e Control Server, Spam, Cryptocurrency Mining, Scanning IPs, Phishing ou Bots. Para obter mais informações, consulte a procura salva de atividade da rede Transferência grande de dados de saída para um IP malicioso. |
| Regra | QNI : Conteúdo confidencial sendo transferido | Esta regra detecta o conteúdo confidencial sendo transferido para um destino remoto. O conteúdo suspeito pode ser ajustado com regras YARA. Para obter mais informações, consulte a documentação QNI. |
| Regra | Arquivo sensível acessado ou transferido por download a partir de regiões ou países com acesso restrito | Esta regra é acionada quando um arquivo confidencial é acessado ou transferido por download a partir de uma região ou um país com acesso restrito. Essas regiões são definidas no bloco de construção BB:CategoryDefinition: países/regiões com acesso restrito. |
| Regra | Permissões de arquivo sensível permitem acesso público | Esta regra é acionada quando as permissões para um arquivo sensível estão publicamente acessíveis. O conjunto de referência Arquivos nos diretórios sensíveis é preenchido pela regra Arquivos nos diretórios de arquivos sensíveis. Nota: O Conjunto de referência de diretórios sensíveis deve ser preenchido.
|
| Regra | Arquivo sensível compartilhado com um usuário guest ou grupo | Esta regra é acionada quando um arquivo sensível é compartilhado com um usuário guest ou grupo. O conjunto de referência Arquivos no Diretório Sensível é preenchido pela regra Arquivos em Diretórios de Arquivos Sensíveis, que usa o conjunto de referência Diretórios Sensíveis. Nota: Os Diretórios Sensíveis e os conjuntos de referência de Usuários de Login Guest devem ser preenchidos.
|
| Regra | Arquivo sensível transferido por upload para uma pasta publicamente acessível | Esta regra é acionada quando um arquivo sensível é transferido por upload para uma pasta ou um depósito publicamente acessível. |
| Regra | Atividade suspeita em dados confidenciais detectada por dispositivos DLP | Esta regra é acionada quando uma atividade suspeita em dados confidenciais é detectada a partir de um dispositivo DLP. Os dispositivos DLP são definidos no bloco de construção BB:DeviceDefinition: dispositivos DLP. Nota: O conjunto de referência de Políticas DLP deve ser preenchido.
|
A tabela a seguir mostra os dados de referência no IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Nomes de arquivo confidenciais / sensíveis | Contém uma lista de nomes de arquivo confidenciais ou sensíveis. |
| Conjunto de Referências | Domínios de Email Corporativo | Contém uma lista de domínios de e-mail corporativo. |
| Conjunto de Referências | Extensões de arquivo críticas | Contém uma lista de extensões de arquivo críticas. |
| Conjunto de Referências | Políticas de DLP | Contém uma lista de políticas DLP. |
| Conjunto de Referências | Categorias da web de armazenamento de arquivo | Contém uma lista de categorias da web de armazenamento de arquivo. |
| Conjunto de Referências | Arquivos em Diretórios Sensíveis | Contém uma lista de nomes de arquivo em diretórios sensíveis. |
| Conjunto de Referências | Usuários de Login do Guest | Contém uma lista de nomes de usuário de login do guest. |
| Conjunto de Referências | IPs de Destino de Transferência de Dados Legítimos | Contém uma lista de IPs de destino de transferência de dados legítimos. |
| Conjunto de Referências | Categorias da web maliciosas | Contém uma lista de categorias da web maliciosas. |
| Conjunto de Referências | Pastas Acessíveis Publicamente | Contém uma lista de nomes de pastas acessíveis publicamente. |
| Conjunto de Referências | Diretórios de Arquivo Sensíveis | Contém uma lista de diretórios de arquivos sensíveis. |
A tabela a seguir mostra as procuras salvas no IBM Security QRadar Data Exfiltration Content Extension 1.0.0.
| Nome | Descrição |
|---|---|
| Transferência grande de dados de saída | Mostra todos os eventos com transferências grandes de dados de saída (maior que 1 GB) para hosts remotos. |
| Transferência grande de dados de saída para um host de armazenamento de arquivo | Mostra todos os eventos com transferências grandes de dados de saída (maior que 1 GB) para hosts de armazenamento de arquivo. |
| Transferência grande de dados de saída para host ou IP malicioso | Mostra todos os eventos com transferências grandes de dados de saída (maior que 1 GB GB) para um host ou IP malicioso. |
| Transferência lenta de dados de saída durante vários dias | Mostra todos os eventos com transferências grandes de dados de saída (maior que 1 GB) para hosts remotos durante vários dias. |
| Transferência lenta de dados de saída durante vários dias agrupados por IP de origem e nome de usuário | Mostra todos os eventos com transferências grandes de dados de saída (maior que 1 GB) para hosts remotos durante vários dias agrupados por IP de origem e nome de usuário. |
| Transferência lenta de dados de saída durante vários meses | Mostra todos os eventos com transferências grandes de dados de saída (maior que 1 GB) para hosts remotos durante vários meses. |
| Transferência grande de dados de saída | Mostra todos os fluxos com transferências grandes de dados de saída (maior que 1 GB) para IPs remotos. |
| Transferência grande de dados de saída para um IP malicioso | Mostra todos os fluxos com transferências grandes de dados de saída (maior que 1 GB) para um IP malicioso. |
| Transferência lenta de dados de saída durante vários dias | Mostra todos os fluxos com transferências grandes de dados de saída (maior que 1 GB) para IPs remotos durante vários dias. |
| Transferência lenta de dados de saída durante vários dias agrupados por IP de origem | Mostra todos os fluxos com transferências grandes de dados de saída (maior que 1 GB) para IPs remotos durante vários meses agrupados por IP de origem. |
| Transferência lenta de dados de saída durante vários meses | Mostra todos os fluxos com transferências grandes de dados de saída (maior que 1 GB) para IPs remotos durante vários meses. |