一般データ保護規則 (GDPR) への準拠

IBM Security QRadar Content Extension for GDPR を使用して、GDPR コンプライアンスを詳細に監視します。 GDPR コンテンツ拡張が正常に機能するには、ベースライン保守 1.09 以上が必要です。

GDPR コンテンツ拡張をインストールする前に、 ベースライン保守 をインストールします。

IBM Security QRadar Content Extension for GDPR は、以下とともに使用できます。
  • データ難読化 (「 IBM QRadar 管理ガイド」の「 機密データの保護 」を参照)。
  • QRadar Network Insights。フロー上の個人データを検出します。
  • QRadar Pulse アプリケーション。
重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするには、関連する DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能

IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能 1.0.5

次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.5で説明が更新されたルールを示しています。

表 1. IBM セキュリティー QRadar Content Extension for GDPR 1.0.5 の説明が更新されたルール
タイプ 名前 説明
ルール Large Outbound Transfer High Rate of Transfer 受信量を超えるデータをネットワークから送信している 1 つのホストを検出します。 この規則は、12 分間に転送された 500 MB を超えるデータを検出します。
ルール 大容量のアウトバウンド転送速度の低下 受信量を超えるデータをネットワークから送信している 1 つのホストを検出します。 この規則は、2 時間にわたって転送された 500 MB を超えるデータを検出します。 これはかなり遅く、知らないうちにデータが漏えいしていることを示している場合があります。

IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能 1.0.4

「Birth Date」カスタム・プロパティーから重複する式が削除されました。

IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能 1.0.3

保存済み検索がすべてのユーザーで共有されるようになりました。

次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.3のカスタム・プロパティーを示しています。

表 2. IBM セキュリティー QRadar Content Extension for GDPR 1.0.3 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
ポリシー名 はい 1 LEEF:[0-9\.]+\|IBM\|Guardium\|[^\|]+\|([^\|]+)

次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.3のルールおよびビルディング・ブロックを示しています。

表 3. IBM セキュリティー QRadar GDPR のコンテンツ拡張 1.0.3 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition: SIEM User and Role Modifications SIEM ユーザーおよびロールの変更イベントを識別します。
ビルディング・ブロック BB:DeviceDefinition: DLP Devices システム上のすべてのデータ損失防止 (DLP) デバイスを定義します。
ルール DLP デバイスによって検出された個人データに対する疑わしいアクティビティー DLP デバイスからの個人データに対する疑わしいアクティビティーを検出します。 DLP デバイスは、「BB:DeviceDefinition: DLP Devices」ビルディング・ブロックで定義されています。

IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能 1.0.2

次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.2で削除されたルールを示しています。

表 4. IBM セキュリティー QRadar Content Extension for GDPR 1.0.2 で削除されたルール
タイプ 名前 説明
ルール 基本ビルディング・ブロックのロード このルールは、レポート作成支援のために実行する必要があるビルディング・ブロックを読み込みます。 このルールにはアクションも応答もありません。
注: IBM Security QRadar Content Extension for GDPR 1.0.2では、以前に SIM 汎用ログ DSM ログ・ソース・タイプにリンクされていたすべてのカスタム・プロパティーが、 IBM カスタム DSM ログ・ソース・タイプにリンクされます。

IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能 1.0.1

次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.1のカスタム・プロパティーを示しています。

表 5. IBM セキュリティー QRadar Content Extension for GDPR 1.0.1 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
API 検索 ID はい 1 PathInfo=¥/ariel¥/searches¥/(¥S{36})¥/results ログ・ソース・タイプ: SIM 監査

イベント名: API request successful

Birth Date いいえ 1 ((?:0[1-9]|[12]¥d|3[01])([¥/.-])(?:0[1-9]|1[12])¥2(?:(?:19|20)?¥d{2}))

((?:0[1-9]|1[12])([¥/.-])(?:0[1-9]|[12]¥d|3[01])¥2(?:(?:19|20)?¥d{2}))

ログ・ソース・タイプ: SIM 汎用ログ DSM

ビジネス・ユース・ケースでの必要に応じてこのカスタム・プロパティーの正規表現を編集してください。

エレメント いいえ 1 Name=\"([^\"]+)\"

¥'([¥w¥s]+) Retention¥' from ¥'¥d+¥' to ¥'¥d+¥'

ログ・ソース・タイプ: SIM 監査

イベント名:

  • Reference Data Created
  • Reference Data Removed
  • Reference Data Updated
Email はい 1 ([a-zA-Z0-9._%-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,4}) ログ・ソース・タイプ: SIM 汎用ログ DSM

ビジネス・ユース・ケースでの必要に応じてこのカスタム・プロパティーの正規表現を編集してください。

IBANコード いいえ 1 ([a-zA-Z]{2}[0-9]{2}[a-zA-Z0-9]{4}[0-9]{7}([a-zA-Z0-9]?){0,16}) ログ・ソース・タイプ: SIM 汎用ログ DSM

ビジネス・ユース・ケースでの必要に応じてこのカスタム・プロパティーの正規表現を編集してください。

Passport Number はい 1 ([A-Z0-9<]{9}[0-9]{1}[A-Z]{3}[0-9]{7}[A-Z]{1}[0-9]{7}[A-Z0-9<]{14}[0-9]{2}) ログ・ソース・タイプ: SIM 汎用ログ DSM

ビジネス・ユース・ケースでの必要に応じてこのカスタム・プロパティーの正規表現を編集してください。

保存期間 いいえ 1 TimeToLive="([^\"]+)"

&#xa5;'[&#xa5;w&#xa5;s]+ Retention&#xa5;' from &#xa5;'&#xa5;d+&#xa5;' to &#xa5;'(&#xa5;d+)&#xa5;'

ログ・ソース・タイプ: SIM 監査

イベント名:

  • Reference Data Created
  • Reference Data Updated
  • System Setting Change
役割 はい 1 Role Name:&#xa5;s+([^|]+)&#xa5;s+

現在の状態:.役名:˶‾([^|]+)˶‾([^|]+)˶‾([^|]+)

Name:&#xa5;s+([^|]+)&#xa5;s+

現在の状態:.+名前:\s+\'([^\']+)\'

ログ・ソース・タイプ: SIM 監査

イベント名:

  • User Role Added
  • User Role Modified
  • User Account Added
  • User Account Modified
実行された検索 (Search Executed) はい 1 Filters:(.*?)\,\s+Columns ログ・ソース・タイプ: SIM 監査

イベント名: Search Executed

ユーザー・アカウント はい 1 Username:&#xa5;s+([^|]+)&#xa5;s+ ログ・ソース・タイプ: SIM 監査

カテゴリー: SIM 構成変更

次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.1のルールおよびビルディング・ブロックを示しています。

表 6. IBM セキュリティー QRadar GDPR のコンテンツ拡張 1.0.1 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition: Authentication Failures ネットワークへのアクセスに失敗した試行を示すすべてのイベントを含めます。
ビルディング・ブロック BB:CategoryDefinition:認証に成功しました ネットワークへのアクセスに成功した試行を示すすべてのイベントを含めます。
ビルディング・ブロック BB:CategoryDefinition: データ転送イベントのカテゴリー イベントに関するデータ転送カテゴリーを定義するにはこのビルディング・ブロックを編集します。
ビルディング・ブロック BB:CategoryDefinition: データ転送フローのカテゴリー フローに関するデータ転送カテゴリーを定義するにはこのビルディング・ブロックを編集します。
ビルディング・ブロック BB:CategoryDefinition: 宛先IPが第3の国/地域

第三国として分類される地理的位置を含めるには、この BB を編集します。

構成した後、以下のルールを有効にすることができます。

  • 第 3 国に転送された個人データ
  • ユーザーのために第 3 国に転送された個人データ
ビルディング・ブロック BB:CategoryDefinition: SIEM User and Role Modifications QRadar ユーザーおよびロールの作成と変更に固有の QID を検査します。
ビルディング・ブロック BB:CategoryDefinition: 送信元IPは第三国/地域

第三国として分類される地理的位置を含めるには、このビルディング・ブロックを編集します。

構成した後、以下のルールを有効にすることができます。

  • 第 3 国に転送された個人データ
  • ユーザーのために第 3 国に転送された個人データ
ビルディング・ブロック BB:CategoryDefinition: スーパーユーザーアカウント スーパーユーザーのアカウントまたはユーザー名をリストします。
ビルディング・ブロック BB:ComplianceDefinition: GDPR個人データサーバー このビルディング・ブロックは、個人データの保管と処理を通常行うホストを定義します。 環境でこれらのホストを定義するには、「Personal Data Server」リファレンス・セットを構成します。
ビルディング・ブロック BB:ComplianceDefinition: イベントで検出された個人データ

個人データを含めることができるカスタム・プロパティーを定義するには、このビルディング・ブロックを編集します。 以下のカスタム・プロパティーはデフォルトで作成され、必要なログ・ソースに適合させる必要があります。

  • Birth Date
  • E メール
  • International Bank Account Number (IBAN)
  • Passport Number

個人データに関する他のカスタム・プロパティーを作成して、このビルディング・ブロックに追加することができます。

個人データは、共通 (例えば、IP アドレス、ユーザー名) および機密 (例えば、クレジット・カード番号) の両方の ID を持つものとして分類されます。

ビルディング・ブロック BB:ComplianceDefinition: フローで検出された個人データ

個人データを含めることができるカスタム・プロパティーまたはフィールドを定義するには、このビルディング・ブロックを編集します。 デフォルトでは、以下の QRadar Network Insights フィールドが適応されます。

  • パスワード
  • Suspect Content Descriptions (エンティティー・アラートおよび機密コンテンツの場合のみ)

個人データは、共通 (例えば、IP アドレス、ユーザー名) および機密 (例えば、クレジット・カード番号) の両方の ID を持つものとして分類されます。

ビルディング・ブロック BB:ComplianceDefinition: イベントで拒否されたユーザーを処理する このビルディング・ブロックは、個人データの収集と処理に異議を唱えるユーザーを定義します。 環境で該当するユーザー名を定義するには、「GDPR Objected Users」リファレンス・セットを構成します。
ビルディング・ブロック BB:ComplianceDefinition: オブジェクションされたユーザーをフローで処理する このビルディング・ブロックは、個人データの収集と処理に異議を唱えるユーザーを定義します。 環境で該当するユーザー名を定義するには、「GDPR Objected Users」リファレンス・セットを構成します。
ビルディング・ブロック BB:ComplianceDefinition: イベントで制限ユーザーを処理する このビルディング・ブロックは、個人データの処理に対する制限を取得したユーザーを定義します。 環境で該当するユーザー名を定義するには、「GDPR Restricted Users」リファレンス・セットを構成します。
ビルディング・ブロック BB:ComplianceDefinition: フロー上の制限ユーザーの処理 このビルディング・ブロックは、個人データの処理に対する制限を取得したユーザーを定義します。 環境で該当するユーザー名を定義するには、「GDPR Restricted Users」リファレンス・セットを構成します。
ルール GDPR 個人データ・サーバーからデータ引き出しが検出されました (Data Exfiltration Detected from GDPR Personal Data Server)

このルールは、GDPR 2016/679 を実装します。この規則では、個人データを保管または処理するホストがリストされている「Personal Data Server」リファレンス・セットからのデータ引き出し検出に焦点を当てています。 特定のデータ転送イベントまたはビルディング・ブロックを詳細化するには、このルールを編集します。

以下のルールおよびビルディング・ブロックでイベントおよびフローに関するファイル転送を定義します。

  • BB:CategoryDefinition: イベントのデータ転送カテゴリー
  • BB:CategoryDefinition: フローのデータ転送カテゴリー
  • Large Outbound Transfer High Rate of Transfer
  • 大容量のアウトバウンド転送速度の低下
ルール Large Outbound Transfer High Rate of Transfer 受信量を超えるデータをネットワークから送信している 1 つのホストを検出します。 このルールは、12 分間にわたって転送された 2 MB よりも大きいデータを検出します。
ルール 大容量のアウトバウンド転送速度の低下 受信量を超えるデータをネットワークから送信している 1 つのホストを検出します。 このルールは、2 時間にわたって転送された 2 MB よりも大きいデータを検出します。 これはかなり遅く、知らないうちにデータが漏えいしていることを示している場合があります。
ルール 基本ビルディング・ブロックのロード このルールは、レポート作成支援のために実行する必要があるビルディング・ブロックを読み込みます。 このルールにはアクションも応答もありません。
ルール イベントで監視されたユーザーのために処理された個人データ

このルールは、GDPR 2016/679 を実装します。この規則では、個人データの収集および処理に異議を唱えるユーザーについて収集された個人データに焦点を当てています。 個人データを使用するデータ転送やデータ変更など、特定のイベントをモニターするには、このルールを編集します。

「BB:ComplianceDefinition: Personal Data Detected on Events」ビルディング・ブロックで個人データ検出を定義します。

「BB:ComplianceDefinition: Processing Objected Users on Events」ビルディング・ブロックで、異議を唱えたユーザーを定義します。

ルール フロー上の監視対象ユーザーのために処理された個人データ

このルールは、GDPR 2016/679 を実装します。この規則では、個人データの収集および処理に異議を唱えるユーザーについて収集された個人データに焦点を当てています。 個人データを使用するデータ転送やデータ変更など、特定のイベントをモニターするには、このルールを編集します。

「BB:ComplianceDefinition: Personal Data Detected on Flows」ビルディング・ブロックで個人データ検出を定義します。

「BB:ComplianceDefinition: Processing Objected Users on Flows」ビルディング・ブロックで、異議を唱えたユーザーを定義します。

ルール 第 3 国/地域に転送される個人データ

このルールは、GDPR 2016/679 を実装します。この規則では、すべてのユーザーについて第三国/地域に移転された個人データに焦点を当てています。 個人データを使用するデータ転送やデータ変更など、特定のイベントをモニターするには、このルールを編集します。

以下のビルディング・ブロックでデータ転送カテゴリーを定義します。

  • BB:CategoryDefinition: イベントのデータ転送カテゴリー
  • BB:CategoryDefinition: フローのデータ転送カテゴリー

「BB:CategoryDefinition: Destination IP is a Third Country/Region」ビルディング・ブロックで第三国を定義します。

以下のビルディング・ブロックで個人データ検出を定義します。

  • BB:ComplianceDefinition: イベントで検出された個人データ
  • BB:ComplianceDefinition: フローで検出された個人データ
ルール ユーザーのために第 3 国/地域に転送される個人データ

このルールは、GDPR 2016/679 を実装します。この規則では、制限しているか異議を唱えるユーザーについて第三国/地域に移転された個人データに焦点を当てています。 個人データを使用するデータ転送やデータ変更など、特定のイベントをモニターするには、このルールを編集します。

このルールを有効にする場合、両方のルールによってオフェンスが発生しないように、「Personal Data Transferred to a Third Country/Region」ルールを詳細化してください。

以下のビルディング・ブロックで、制限したか異議を唱えたユーザーを定義します。

  • BB:ComplianceDefinition: イベントで制限ユーザーを処理する
  • BB:ComplianceDefinition: フロー上の制限ユーザーの処理
  • BB:ComplianceDefinition: イベントで拒否されたユーザーを処理する
  • BB:ComplianceDefinition: オブジェクションされたユーザーをフローで処理する

以下のビルディング・ブロックで個人データ検出を定義します。

  • BB:ComplianceDefinition: イベントで検出された個人データ
  • BB:ComplianceDefinition: フローで検出された個人データ
ルール 可能な共有アカウント 共有アカウントの使用を検出します。 スーパーユーザー・アカウントを除外するには、「BB:CategoryDefinition: Superuser Accounts」ビルディング・ブロックを編集します。
ルール GDPR 個人データ・サーバー上のリモート接続

このルールは、GDPR 2016/679 を実装します。この規則では、個人データを保管または処理するホストがリストされている「Personal Data Server」リファレンス・セットからのデータ引き出し検出に焦点を当てています。

「BB:CategoryDefinition: Successful Communication」ビルディング・ブロックで、成功した通信のフローを定義します。

ルール 外部の国/地域からのリモート・インバウンド通信

このルールは、GDPR 2016/679 を実装します。この規則では、個人データを保管または処理するホストがリストされている「Personal Data Server」リファレンス・セットからのデータ引き出し検出に焦点を当てています。

以下のビルディング・ブロックで、成功した通信のフローを定義します。

  • BB:CategoryDefinition: 送信元IPは第三国
  • BB:CategoryDefinition: Successful Communication

次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.1のレポートを示しています。

表 7. IBM セキュリティー QRadar Content Extension for GDPR 1.0.1 のレポート
レポート 説明
GDPR 2016/679 個人データの発信元

個人データの取得元の概要を示します。 レポート・コンテンツは以下の検索から照合されます。

  • ログ・ソース・グループとしての GDPR
  • 個人データ・サーバーとしてのログ・ソース

「BB:CategoryDefinition: Superuser Accounts」ビルディング・ブロックで個人用ではないユーザー名を定義します。

GDPR 2016/679 QRadar データ保存構成

QRadar®でリファレンス・セット管理およびシステム設定が構成されている場合のデータ保持期間の変更の概要を提供します。 レポート・コンテンツは「QRadar Data Retention Configuration」検索から照合されます。

このnullretention 値は、無制限の時間に設定されることを意味します。 結果を詳細化するには、この検索および関連検索の依存関係を編集します。 このレポートには、以下のようなサード・パーティーに送信されたデータは含まれません。

  • サード・パーティーの製品またはサービスと統合するアプリケーション
  • アプリケーション・ベンダーによって管理されるクラウド・サービスとデータを共有するアプリケーション
  • 「E メール」「ローカル SysLog に送信」「宛先転送に送信」、または「カスタム・アクションの実行」に設定されたルール応答
GDPR 2016/679 ユーザーのために処理された個人データ

ユーザーのために処理された個人データの概要を示します。 レポートを生成する前に、ユーザー名を検索に追加する必要があります。

レポート・コンテンツは「Personal Data Processed for a User」検索から照合されます。

結果をさらに詳細化するには、この検索および関連検索の依存関係を編集します。

GDPR 2016/679 処理アクティビティーの記録

QRadar 処理アクティビティーの概要を示します。

レポート・コンテンツは以下の検索から照合されます。

  • ユーザー処理アクティビティー
  • API を使用したユーザー処理アクティビティー

結果をさらに詳細化するには、この検索および関連検索の依存関係を編集します。

GDPR 2016/679 GDPR 個人データ・サーバーに対するユーザー認証

GDPR Personal Data Server に対する認証の概要を示します。 レポート・コンテンツは以下の検索から照合されます。

  • GDPR 個人データ・サーバーに対する認証の成功
  • GDPR 個人データ・サーバーに対する認証の失敗

以下のビルディング・ブロックで、認証成功イベントおよび Personal Data Server を定義します。

  • BB:CategoryDefinition: Authentication Success
  • BB:ComplianceDefinition: GDPR Personal Data Server。このビルディング・ブロックは、IP アドレスが「GDPR Personal Data Server」リファレンス・セット内にあるかどうかを検査します。 個人データの保管と処理を通常行うホストを定義するには、このリファレンス・セットに IP アドレスを追加します。
GDPR 2016/679 QRadar ユーザーおよび役割の変更

QRadar のユーザーおよびロールの変更の概要を示します。 レポート・コンテンツは「QRadar User and Role Modifications」検索から照合されます。

「BB:CategoryDefinition: SIEM User and Role Modifications」ビルディング・ブロックでユーザーおよびロールのイベントを定義します。

GDPR 2016/679 個人データが第 3 国に転送されました

第三国に移転された個人データの概要を示します。

レポート・コンテンツは「Personal Data Transferred to a Third Country」検索から照合されます。

結果をさらに詳細化するには、この検索および関連検索の依存関係を編集します。

QRadar 監査-ユーザー認証アクティビティー QRadarでの認証の成功と失敗を表示します。 これには、認証アクティビティーでの上位のユーザー名の使用と詳細なレポートも含まれます。 レポート・コンテンツは以下の検索から照合されます。
  • SIEM 監査-認証成功 (ユーザー名別)
  • SIEM 監査-認証障害 (ユーザー名別)
  • SIEM 監査-ユーザー認証アクティビティー

結果をさらに詳細化するには、この検索および関連検索の依存関係を編集します。

次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.1のリファレンス・データを示しています。

表 8. IBM セキュリティー QRadar Content Extension for GDPR 1.0.1 のリファレンス・データ
タイプ 名前
リファレンス・セット GDPR 拒否されたユーザー
リファレンス・セット GDPR 制限付きユーザー
リファレンス・セット 個人データ・サーバー
リファレンス・セット QRadar のデプロイメント