Solution d‟intelligence opérationnelle

Centralisation, Corrélation, Contrôle, Analyse des logs

Marouen BEN CHAABANE

marouen.benchaabane@gmail.com
 Qu‟est-ce que Splunk ?

Solution d‟intelligence opérationnelle, Splunk permet de surveiller, de générer des rapports et d'analyser des données
temps réel ou historiques – qu'elles proviennent de sources physiques, virtuelles ou dans le cloud.

Les données informatiques d'une entreprise sont une source précise d'informations opérationnelles et comportementales
– y compris les transactions des utilisateurs, le comportement des clients et des machines, les menaces pour la sécurité
et tout type d'activité frauduleuse. En permettant aux utilisateurs de valoriser leurs données informatiques, Splunk les aide
à exploiter cette intelligence opérationnelle pour améliorer les niveaux de service, réduire les coûts d'exploitation IT,
atténuer les risques pour la sécurité, créer de nouvelles offres de produits et de services et favoriser le respect de la
conformité réglementaire.

Splunk permet de rechercher, générer des rapports, surveiller et analyser toutes les données informatiques temps réel et
historiques à partir d'une seule interface.

Splunk permet aussi de :

- résoudre les problèmes d'application et d‟enquêter sur les incidents de sécurité en quelques minutes au lieu
d'heures ou de jours

- de surveiller et générer des alertes afin d'éviter la dégradation ou l‟arrêt du service

- d‟assurer la conformité à moindre coût et d‟obtenir ainsi de nouvelles perspectives de fonctionnement à partir des
données informatiques analysées.

Comment fonctionne Splunk ?

Splunk est suffisamment souple pour gérer toutes les données informatiques, suffisamment polyvalent pour travailler avec
tout ce qu‟il a collecté : les données récentes et historiques, évolutif pour fonctionner à travers l'ensemble des sites de
centre de données et suffisamment puissant pour fournir des informations dans un contexte significatif à n'importe qui
dans l'entreprise.

Page 2
Splunk est capable de recevoir des données en scrutant des fichiers, un répertoire, en étant à l‟écoute de ports
TCP/UDP, de trappes SNMP, de queues FIFO, de scripts ou bien d‟APIs aussi que l‟on appelle des « Modular Inputs »
chez Splunk comme Twitter, Facebook, des solutions Cloud ou bien aussi des bases de données SQL, etc.

Cela rend Splunk particulièrement bien adapté à la résolution de nombreux types de questions qui se posent dans des
environnements informatiques complexes.

Pour plus d‟informations détaillées: http://docs.splunk.com/Documentation/Splunk/latest/Data/WhatSplunkcanmonitor

Durant le processus de collecte des données, la phase de Parsing est aisément configurable, on peut modifier ou enlever
des évènements avant de les indexer dans Splunk. Cette phase de parsing peut être effectuée de façon automatique,
conditionnelle ou sur mesures via des commandes regex principalement.

Concrètement, ce processus s‟effectue sur une instance Splunk qui a le rôle de « Forwarder ». Celle-ci se charge de
collecter les données qui sont nécessaires et de les envoyer vers un indexeur ou plusieurs ou bien d‟en router une partie
vers un indexeur spécifique ou vers une solution tierce. Le schéma ci-dessous illustre une vision avec ou sans
“Forwarder” (l‟agent Splunk).

Local File
Syslog
TCP/UDP Monitoring
log files
config files
dumps and trace files
Script Windows Inputs
Event Logs
ed performance counters
Mounted File WMI Active
Event Inputs registry monitoring
Systems Direct shell Active Directory
\\hostname\mount
Logs c monitoring
Perform ory shell o
scripts
ance custom
d virtu
parsers
perfe al
batch
Unix, Linux and Windows hosts host
loading
Windows hosts Custom apps and scripted API Windows
connections
hosts
Sans Agent Splunk Forwarder

Pour plus d‟informations détaillées:

http://docs.splunk.com/Documentation/Splunk/5.0.1/Deploy/Datapipeline

Page 3
http://docs.splunk.com/Documentation/Splunk/6.3.0/Forwarding/Routeandfilterdatad

Concernant les performances et l‟évolutivité de la plateforme Splunk, vous devez prendre en compte plusieurs éléments.
Les collecteurs « Forwarder » peuvent simplement faire passer les données ou les parser. Concernant les indexeurs, la
règle de base est d‟environ 100Go de données par jour pour chaque instance, Splunk utilise la technologie Map-Reduce,
donc pas de base de données à gérer, et en terme d‟évolutivité, il suffit, tout simplement, de rajouter des indexeurs.

Quant aux instances de Recherche et de Rapports (Search Heads), elles peuvent supporter jusqu'à 12 connexions pour
des recherches simultanées.

Pour le dimensionnement du matériel voir les liens suivant:

http://docs.splunk.com/Documentation/Splunk/6.3.0/Capacity/Referencehardware
http://docs.splunk.com/Documentation/Splunk/latest/installation/SystemRequirements#Recommended_hardware

Exploration des données en temps réel

Vous pouvez lancer une recherche sur vos données informatiques temps réel et historisées à partir d'une seule et même
interface. L'interaction avec les résultats s'effectue en temps réel. Il est ensuite rapide de dégager les tendances, les pics,
les relations et les anomalies à l'aide des fonctions de Zoom avant et Zoom arrière.

Splunk permet de créer des tableaux de bord dynamiques en quelques clics, comprenant des représentations graphiques
différentes de l‟ensemble de l‟information: voir les incidents et les attaques au moment où ils se passent, surveiller les
niveaux de services applicatifs en temps réels, corréler et analyser les événements, suivre les transactions et tout le
workflow de l‟activité informatique. Splunk permet, par ailleurs, de créer des tableaux de bord sur les données actives
combinées aux données conservées.

Page 4
Seul Splunk permet d‟associer des capacités de recherche, de contrôle et d‟analyse sur les informations temps réel et sur
des téraoctets d‟informations conservées sur plusieurs années, le tout à partir d‟une interface unique.

Splunk intègre la technologie brevetée Map Reduce pour la recherche temps réel qui permet une évolutivité en termes de
volume de données sans limite.

Architecture

La technologie de recherche de Splunk est fondamentalement différente des autres solutions SIEM du marché. Splunk ne
se limite pas à détecter ce qui est connu.

Tout en répondant aux exigences les plus sévères du SIEM, cette architecture est adaptable à d‟autres sources
d‟informations extrêmement variées, à des responsabilités diverses de gestion tant techniques que financières et à
d‟autres applications. Ainsi, Splunk est apte à s‟adapter aux changements de structure de l‟information et de requêtes.

Grâce à L‟indexation agnostique et à l‟indépendance par rapport à des schémas préalables, Splunk est capable d‟indexer
tout format d‟information provenant de toute source d‟information sans règles ou adaptateurs.

Splunk permet d‟accéder aux données par diverses méthodes avant d‟appliquer une indexation universelle précise et
intelligente sur n‟importe quel format de donnée.

La solution utilise un ensemble de techniques d‟apprentissage pour trouver, extraire et normaliser des tampons horaires
indépendant du format et identifier les évènements parmi les lignes d‟information même pour des formats complexes multi
lignes XML tout en les classant par source. Elle peut alors indexer tout le contenu de chaque évènement afin de
permettre une recherche et une identification rapide sans schéma figé.

L‟extraction de champs, leur nomination et la classification des évènements sont fait à la recherche ; ce qui permet un
stockage des données dans leur forme originale et élimine toute nécessité de demander à l‟éditeur d‟adapter sa solution à
Page 5
un format spécifique et laisse la solution flexible et adaptable à tout changement de format de données (assez fréquent)
ou à l‟apparition de messages imprévus.

Pour prendre en charger ces fonctionnalités, Splunk peut être installé en mode Indexer ou en mode Forwarder.

- Mode Indexer : “Indexer” ou serveur d‟indexes, dispose des fonctions d‟indexation pour les données locales ou
distantes et gère le stockage données.

- Mode Forwarder : Les « Forwarders » (les agents) sont issues du même ensemble logiciel Splunk mais ne stocke
pas les données localement. Toutes les donnes indexées sont transférées vers le serveur d‟index (Indexer). Afin
de réduire la charge, l‟interface utilisateur n‟est pas utilisée. Il y a trois types de « forwarder », le tableau ci-
dessous montre les différences :

Autres modes d‟instance Splunk :

- Mode Search Head : Le « Search Head » (Tète de recherche) contient le service Web Splunk, ainsi que toutes
les recherches planifiées, les tableaux de bords, les rapports, …

Page 6
 - Mode Deployment Server : Le « Deployment Server » (Serveur de déploiement) a pour rôle de centraliser les
informations des configurations des instances Splunk dans le but de synchroniser, de mettre à jour les fichiers de
configurations, les App, etc…

Voici quelques exemples de déploiements :

Splunk collecte les informations directement du réseau local et à partir de scripts de collecte distant

Dans cet exemple, Splunk est installé en central. Il reçoit les informations des serveurs et des périphériques réseau.

Il aurait tout aussi bien pu utiliser des requêtes distantes et se connecter aux services distants via des scripts.

Recherche distribuée et load balancing

Dans cet exemple, la recherche distribuée est associée à un load-balancing des données afin d‟assurer une disponibilité
maximale et une évolutivité sans limite. Splunk est configuré en mode « Forwarder » sur tous les serveurs.

Les « forwarder » envoient leurs données au trois Indexeurs configurés pour effectuer des recherches distribuées.

Page 7
En fédérant l‟exécution des recherches au travers de 3 différents indexeurs, on associe les capacités d‟une façon
linéaire. Si l‟on a besoin de plus de performance, on peut rajouter des indexeurs à chaud dans le groupe de recherche
distribuée.

Cloning des données pour assurer une haute disponibilité

Dans cet exemple, la réplication des indexes permet de respecter différents scenarii de PRA et de haute disponibilité. En
effet, les indexeurs peuvent se substituer en cas de panne de l‟un d‟entre eux.

Corrélation

Splunk propose une approche technique unique pour la corrélation des événements complexes afin d‟offrir une visibilité
opérationnelle sur tous les systèmes.

Splunk est un moteur de recherche basé sur le temps. Comme le temps est la clé primaire, la recherche par
l‟intermédiaire du temps est une fonction standard Splunk.

Splunk indexant chaque mot de chaque évènement, la corrélation des données sur n‟importe quel point ou plusieurs
points de données se fait en précisant ce ou ces point (s) de données. Par exemple, en spécifiant une adresse IP, il sera
présenté tous les journaux contenant cette IP. Des moyens plus sophistiqués sont possibles, tels que la recherche d‟un
bloc CIDR.

Splunk supporte 5 types de corrélation:

- Temps (Time based) : consiste à identifier des relations fondées sur la proximité de temps ou la distance des uns
des autres pour permettre de voir tout ou n‟importe quel sous-ensemble d'événement qui s‟est déroulé sur une
période de temps donné. Cette corrélation de base qui permet de visualiser les événements qui ont eu lieu au
cours de la dernière année, dernière seconde, ou toute autre période de temps entre les deux, est essentielle à
toute enquête de sécurité ou opérationnelle. Cette fonctionnalité est disponible via l'interface utilisateur Splunk.

Page 8
 - Transaction (Transaction based) : consiste à suivre une série d‟événements liés ensemble et à afficher un
événement unique et produire une «durée» et / ou «nombre d‟événements». Cela permet de suivre une série
d'événements connexes comme une seule transaction. Ces événements peuvent provenir de n'importe quel
nombre de systèmes IT et sources de données distinctes. Par exemple, pour les sociétés qui proposent le
paiement par carte bancaire, la mesure essentielle est le temps que prend l‟autorisation d‟une transaction
d‟achat. Le temps de transaction correspond au traitement de l‟opération par tous les composants concernés de
l‟infrastructure informatique. Il est sensibilisé par le temps d‟attente que ressent le titulaire de la carte de
paiement. Il est donc important de maîtriser les ressources et les performances du système d‟information qui
supporte ce processus.

- Sous-recherches (Sub-searches) : consiste à prendre les résultats d‟une recherche pour les utiliser dans une
autre pour créer des conditions „if / then‟ par exemple. L'utilisation d‟une sous-recherche permet aux utilisateurs
de voir les résultats d'une recherche que si un ensemble d'autres conditions est remplies (ou non). Les outils de
Gestion d‟Évènements Sécurité fonctionnent sur ce principe. Par exemple, on peut être uniquement intéressé par
l'affichage d'un événement si un seuil relatif à autre événement est atteint dans une période de temps donnée.

- Table externe (Lookups) : consiste à corréler les données à une source de données externe et peut être utilisé
pour améliorer, enrichir, valider ou ajouter du contexte aux données recueillies par Splunk. Par exemple, la
corrélation des données de détection d'intrusion (IDS) avec les données d'un système de gestion d'actifs permet
de réduire les faux-positifs IDS. Une attaque basée sur une vulnérabilité d‟un OS Windows vu par un IDS, peut
être corrélée avec les données d'un système de gestion d'actifs qui indique que l'hôte attaqué fonctionne sur un
système d'exploitation AIX, permettant ainsi de rendre compte qu‟il s‟agit d‟un faux positif.

- Base de données (Joins) : il s‟agit de jointures intérieure et extérieure similaires dans leur concept au «Joins»
dans une base de données SQL. "Joins" dans le cadre d'une chaîne de recherche peut relier un ensemble de
données à un autre ou plusieurs en fonction des champs communs. Deux ensembles de données complètement
différents pourraient être reliés entre eux en se basant sur un nom d'utilisateur ou le champ de l‟ID Evénement
présentant les résultats dans une seule vue.

Contrôle et alerte

Les alertes Splunk sont basées sur des rapports qui s‟exécutent à intervalle régulier sur une plage de temps définie
historique ou en temps réel (si le rapport est une recherche en temps réel). Lorsque les alertes se déclenchent,
Page 9
différentes actions peuvent avoir lieu, comme l'envoi d'un email avec les résultats de la recherche de déclenchement à
une liste prédéfinie de personnes.

Splunk et les Apps

Splunk, ses partenaires technologiques et ses clients ont conçu des applications pour des environnements ou des
domaines d‟exploitation différents. Une application est un ensemble de recherche, de règles de corrélation, de tableaux
de bord et de rapport.

Il y en a environ plus de 500 App disponibles sur lke site http://splunk-base.splunk.com/apps/

En plus de ces App gratuites, Splunk propose les premiums apps :

- Splunk Enterprise Security. Cette application fournit aux équipes de sécurité un aperçu permettant de détecter et
réagir rapidement aux attaques internes et externes permettant ainsi de simplifier la gestion de menaces tout en
minimisant les risques. ES permet d‟avoir une visibilité sur ce qui se passe à travers l‟ensemble de l‟organisation
en continue.

- Splunk app for PCI Compliance : cette application est développée et supportée par Splunk. Elle a été conçue
pour aider les organisations à satisfaire les exigences PCI DSS. Elle passe en revue et mesure l‟efficacité et le
niveau de conformité en temps réel. Elle identifie les zones de contrôles susceptibles de poser problèmes et
établit un ordre de priorité permettant aux responsables de réagir rapidement.

- Splunk app for VMware : l‟application fournit une visibilité sur les métriques de performances granulaires, les logs,
les tâches et les évènements des hôtes, des machines virtuelles et des centres viruels (vCenter). Cela permet
aux administrateurs d‟avoir un aperçu en temps réel sur l‟état de santé de l‟ensemble de l‟environnement et
d‟identifier de manière proactive les éventuels étranglements de performances.

Page 10
 - Splunk app for Microsoft Exchange : une solution unique qui utilise le pouvoir de la plateforme Splunk pour
rassembler des données de performances, de journalisation et de configuration à partir de tous les éléments de
Microsoft exchange pour fournir un aperçu opérationnel sur l‟infrastructure de messagerie mettant l‟accent sur les
problèmes de manière proactive.

Toutes ces applications sont en fait un ensemble de recherches, de règles de rapports et de tableaux de bord. Ce qui les
rend personnalisables et modifiable à volonté.

Splunk Enterprise Security (ES)

Conçue pour être mise en œuvre en quelques jours plutôt qu'en semaines ou en mois, elle fournit les fonctionnalités de
sécurités les plus utilisées dans la gestion d'événements.

ES couvre les cas d‟utilisations les plus répandus pour la corrélation des données et des alertes, en organisant la sécurité
des données pertinentes, dans un format facile à utiliser et par domaine de sécurité, pour fournir une surveillance
continue et une visibilité contextuelle.

ES s'appuie sur la capacité de Splunk à traiter des téraoctets de données pour surveiller les menaces persistantes qui ne
se révèlent que lors d'activités aléatoires au travers de grandes quantités de données système, et sur de longues
périodes de temps.

Lorsque vous travaillez avec les données brutes, des actions intégrées dans le flux de travail permettent à l'utilisateur de
tracer la source à travers les hôtes et à travers les domaines de sécurité.

ES contient un cadre ou peut être intégrée la liste des équipements informatiques qui fournit le contexte pour les incidents
de sécurité.

En utilisant les données de la liste des équipements informatiques, les métriques de sécurité peuvent être signalées par
entités, emplacement, criticité des actifs, et par d'autres informations sur les équipements informatiques connexes.

Beaucoup de fournisseurs de solutions fournissent un grand nombre de rapports prédéfinis et de règles de corrélation,
mais il est souvent difficile de personnaliser ou de créer vos propres rapports ou règles de corrélation.

ES fournit plus de 50 recherches de corrélations de sécurité. Quelques exemples dans l‟annexe.

Avec Splunk ES, il est facile d'utiliser ces corrélations prêtes-à-l‟ emploi comme modèles pour d'autres corrélations
personnalisées, ainsi que des tableaux de bord et des rapports personnalisées.
ES fournit des corrélations, recherches, rapports, alertes, tableaux de bord et des actions de workflow pour répondre à
vos besoins de sécurité pour les domaines suivants :

Page 11
Posture Sécurité (Security Posture)

Ce tableau de bord est conçu pour fournir un aperçu de haut-niveau sur les évènements marquants « notable events » à
travers tous les domaines du déploiement. Il permet de recevoir des alertes immédiates sur les événements de sécurité et
les incidents et de descendre dans les événements de sécurité. Il fournit également des chiffres clés en temps réel avec
des seuils personnalisables.

Page 12
Examen des Incidents (Incident Review)

La visualisation des incidents fournit aux membres de l'équipe de sécurité la possibilité d'examiner les événements de
sécurité corrélés par : période, urgence, domaine de sécurité ou d‟autres filtres.

Les événements sont audités sur leur intégrité et marqués avec un degré d'urgence personnalisable.

Chaque événement peut être classé comme ayant été revu, fermé, ou avec des classifications définies par les
utilisateurs.

Un tableau de bord sur la gestion de ces incidents fournit des informations sur le moment où le statut d'un incident a été
modifié, qui l'a changé, et pourquoi.

Advanced threat

Constitué de plusieurs tableaux de bord relatifs à l‟identification et la gestion des risques et des menaces, Advanced
Threat permet, entre autres, d‟identifier les menaces potentielles et persistantes et les risques les plus vraisemblables :

Page 13
Le tableau de bord Analyse des risques (Risk Analysis) affiche les changements récents de scores de risqueset les objets
qui ont les scores de risque les plus élevés. Un analyste peut s‟en servir pour évaluer les changements de scores de
risque et pour examiner les évènements qui se cachent derrière.

Page 14
Le tableau de bord Threat Activity fournit des informations sur les activités qui représentent une menace en comparant les
évènements collectés par Splunk à une base de renseignements sur les menaces. Ces informations peuvent être filtrées
par groupe ou catégorie de menaces entre autres.

Le tableau de bord HTTP Category Analysis examine le trafic de données et fournit un aperçu sur tout le trafic réseau, les
données des pare-feu, des routeurs et des switchs. Ainsi il permet de :

- Comparer des données statistiques pour identifier les piques de trafic et les anomalies.

- Identifier le nombre de catégories qui dévient de la norme qui pourrait indiquer une menace potentielle.

- Identifier les activités relatives à un faible volume de trafic et passer des données résumées aux évènements qui
se cachent derrière.

- Utiliser les sparklines pour identifier les schémas suspicieux d‟activité par catégorie.

Page 15
Accès (Access)

Ce tableau de bord fournit un résumé de tous les évènements d‟authentification qui peut être utilisé pour identifier les
incidents de sécurité impliquant des tentatives d‟authentification. Il permet de simplifier la surveillance des contrôles
d‟accès, l'analyse des exceptions et d‟auditer les processus pour les applications, les systèmes d'exploitation et les
systèmes de gestion d'identité à travers l'entreprise.

Ainsi, une seule et même interface permet de surveiller l'utilisation de comptes systèmes, de comptes inactifs pendant
des périodes définies par l'utilisateur, de mot de passe par défaut et voir des preuves d'attaques par force brute.

Il aide également à définir l'accès des utilisateurs et la politique d'accès aux ressources, pour ensuite découvrir et
rapporter les exceptions.

Page 16
Une vue de l‟Access Center :

Page 17
Une vue de l‟Account Management:

Postes de Travail/Serveurs (Endpoint)

Le tableau de bord Malware d‟ES accroit l'efficacité des produits de sécurité de Postes de Travail/Serveurs tels que
Symantec Endpoint Protection, IBM Proventia Desktop, ou solution McAfee Endpoint Protection et permet d‟établir un
ordre de priorité pour les menaces, et de voir les tendances à long terme.

ES fournit des recherches préconstruites, des rapports et une bibliothèque d'alertes pour les programmes malveillants.

Page 18
Une vue du Malware Center ci-dessous :

Réseau (Network)

Ce tableau de bord intègre les données du réseau et des dispositifs de sécurité à travers l'entreprise. Il aide à définir les
politiques d'accès réseau, puis à découvrir et faire un rapport sur les anomalies à travers les pare-feux, routeurs, serveurs
proxy, équilibreurs de charge, données d‟analyse de vulnérabilité, IDS, et les dispositifs de prévention de pertes de
données DLP. Il se charge également de corréler les événements pour suivre les activités réseau à travers les
technologies réseau.

Page 19
Voici une vue du tableau de bord Traffic Center :

Intrusion Center :

Gestion des Assets (Asset Center)

Page 20
Ce tableau de bord permet de comprendre où sont les équipements informatiques, leur criticité dans l'infrastructure, qui
sont les administrateurs et contribue à hiérarchiser les événements de sécurité et d'investigation.

ES s'appuie sur la capacité de Splunk à lier des données extérieures stockées dans une base de données, des tableurs
ou des fichiers CSV et utiliser cette information pour plus de contexte pour les événements de sécurité dans les rapports
et tableaux de bord.
Voici une vue du tableau de bord Asset Center :

Ceci est une vue du tableau de bord Identity Center :

Page 21
Audit

Un des aspects les plus importants de la gouvernance des données est l'audit de la solution de sécurité elle-même et la
protection des journaux d'événements contre la falsification et l'accès non autorisé.

Splunk ES fournit des rapports sur tous les utilisateurs Splunk et les activités du système pour une trace de vérification
complète.

Le moteur utilise la signature de bloc de données afin de maintenir la chaîne de traçabilité et de détecter toute
modification dans le journal original et données d'événement.

Page 22
Voici une vue du tableau de bord Incident Review Audit :

Page 23
 Règles de corrélations de l‟App ES
Abnormally High Number of Endpoint Changes By User
Abnormally High Number of HTTP Method Events By Src
Account Deleted
Activity from Expired User Identity
Anomalous Audit Trail Activity Detected
Anomalous New Listening Port
Anomalous New Process
Anomalous New Service
Asset Ownership Unspecified
Brute Force Access Behavior Detected
Brute Force Access Behavior Detected Over One Day
Cleartext Password At Rest Detected
Completely Inactive Account
Concurrent Login Attempts Detected
Default Account Activity Detected
Default Account At Rest Detected
Excessive DNS Failures
Excessive DNS Queries
Excessive Failed Logins
Excessive HTTP Failure Responses
Expected Host Not Reporting
Geographically Improbable Access Detected
High Number of Hosts Not Updating Malware Signatures
High Number Of Infected Hosts
High Or Critical Priority Host With Malware Detected
High or Critical Priority Individual Logging into Infected Machine
High Process Count
High Volume Email Activity to Non-corporate Domains by User
High Volume of Traffic from High or Critical Host Observed
Host Sending Excessive Email
Host With A Recurring Malware Infection
Host With High Number Of Listening ports
Host With High Number Of Services
Host With Multiple Infections
Host With Old Infection Or Potential Re-Infection

Page 24
Inactive Account Activity Detected
Insecure Or Cleartext Authentication Detected
Multiple Primary Functions Detected
Network Change Detected
Network Device Rebooted
New User Account Created On Multiple Hosts
Outbreak Detected
Personally Identifiable Information Detected
Potential Gap in Data
Prohibited Process Detected
Prohibited Service Detected
Same Error On Many Servers Detected
Short-lived Account Detected
Should Timesync Host Not Syncing
Substantial Increase In Events
Substantial Increase In Port Activity
Test Correlation Search
Threat Activity Detected
UEBA Threat Detected
UEBA Threat Detected (Risk)
Unapproved Port Activity Detected
Unroutable Activity Detected
Untriaged Notable Events
Unusual Volume of Network Activity
Vulnerability Scanner Detected (by events)
Vulnerability Scanner Detected (by targets)
Watchlisted Event Observed
Web Uploads to Non-corporate Sites by Users

Page 25