一般データ保護規則 (GDPR) への準拠
IBM Security QRadar Content Extension for GDPR を使用して、GDPR コンプライアンスを詳細に監視します。 GDPR コンテンツ拡張が正常に機能するには、ベースライン保守 1.09 以上が必要です。
GDPR コンテンツ拡張をインストールする前に、 ベースライン保守 をインストールします。
- データ難読化 (「 IBM QRadar 管理ガイド」の「
機密データの保護
」を参照)。 - QRadar Network Insights。フロー上の個人データを検出します。
- QRadar Pulse アプリケーション。
IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能
IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能 1.0.5
次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.5で説明が更新されたルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | Large Outbound Transfer High Rate of Transfer | 受信量を超えるデータをネットワークから送信している 1 つのホストを検出します。 この規則は、12 分間に転送された 500 MB を超えるデータを検出します。 |
| ルール | 大容量のアウトバウンド転送速度の低下 | 受信量を超えるデータをネットワークから送信している 1 つのホストを検出します。 この規則は、2 時間にわたって転送された 500 MB を超えるデータを検出します。 これはかなり遅く、知らないうちにデータが漏えいしていることを示している場合があります。 |
IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能 1.0.4
「Birth Date」カスタム・プロパティーから重複する式が削除されました。
IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能 1.0.3
保存済み検索がすべてのユーザーで共有されるようになりました。
次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.3のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| ポリシー名 | はい | 1 | LEEF:[0-9\.]+\|IBM\|Guardium\|[^\|]+\|([^\|]+) |
次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.3のルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:CategoryDefinition: SIEM User and Role Modifications | SIEM ユーザーおよびロールの変更イベントを識別します。 |
| ビルディング・ブロック | BB:DeviceDefinition: DLP Devices | システム上のすべてのデータ損失防止 (DLP) デバイスを定義します。 |
| ルール | DLP デバイスによって検出された個人データに対する疑わしいアクティビティー | DLP デバイスからの個人データに対する疑わしいアクティビティーを検出します。 DLP デバイスは、「BB:DeviceDefinition: DLP Devices」ビルディング・ブロックで定義されています。 |
IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能 1.0.2
次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.2で削除されたルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | 基本ビルディング・ブロックのロード | このルールは、レポート作成支援のために実行する必要があるビルディング・ブロックを読み込みます。 このルールにはアクションも応答もありません。 |
IBM セキュリティ QRadar GDPR対応コンテンツ拡張機能 1.0.1
次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.1のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 | 注 |
|---|---|---|---|---|
| API 検索 ID | はい | 1 | PathInfo=¥/ariel¥/searches¥/(¥S{36})¥/results | ログ・ソース・タイプ: SIM 監査 イベント名: API request successful |
| Birth Date | いいえ | 1 | ((?:0[1-9]|[12]¥d|3[01])([¥/.-])(?:0[1-9]|1[12])¥2(?:(?:19|20)?¥d{2})) ((?:0[1-9]|1[12])([¥/.-])(?:0[1-9]|[12]¥d|3[01])¥2(?:(?:19|20)?¥d{2})) |
ログ・ソース・タイプ: SIM 汎用ログ DSM ビジネス・ユース・ケースでの必要に応じてこのカスタム・プロパティーの正規表現を編集してください。 |
| エレメント | いいえ | 1 | Name=\"([^\"]+)\" ¥'([¥w¥s]+) Retention¥' from ¥'¥d+¥' to ¥'¥d+¥' |
ログ・ソース・タイプ: SIM 監査 イベント名:
|
| はい | 1 | ([a-zA-Z0-9._%-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,4}) | ログ・ソース・タイプ: SIM 汎用ログ DSM ビジネス・ユース・ケースでの必要に応じてこのカスタム・プロパティーの正規表現を編集してください。 |
|
| IBANコード | いいえ | 1 | ([a-zA-Z]{2}[0-9]{2}[a-zA-Z0-9]{4}[0-9]{7}([a-zA-Z0-9]?){0,16}) | ログ・ソース・タイプ: SIM 汎用ログ DSM ビジネス・ユース・ケースでの必要に応じてこのカスタム・プロパティーの正規表現を編集してください。 |
| Passport Number | はい | 1 | ([A-Z0-9<]{9}[0-9]{1}[A-Z]{3}[0-9]{7}[A-Z]{1}[0-9]{7}[A-Z0-9<]{14}[0-9]{2}) | ログ・ソース・タイプ: SIM 汎用ログ DSM ビジネス・ユース・ケースでの必要に応じてこのカスタム・プロパティーの正規表現を編集してください。 |
| 保存期間 | いいえ | 1 | TimeToLive="([^\"]+)" ¥'[¥w¥s]+ Retention¥' from ¥'¥d+¥' to ¥'(¥d+)¥' |
ログ・ソース・タイプ: SIM 監査 イベント名:
|
| 役割 | はい | 1 | Role Name:¥s+([^|]+)¥s+ 現在の状態:.役名:˶‾([^|]+)˶‾([^|]+)˶‾([^|]+) Name:¥s+([^|]+)¥s+ 現在の状態:.+名前:\s+\'([^\']+)\' |
ログ・ソース・タイプ: SIM 監査 イベント名:
|
| 実行された検索 (Search Executed) | はい | 1 | Filters:(.*?)\,\s+Columns | ログ・ソース・タイプ: SIM 監査 イベント名: Search Executed |
| ユーザー・アカウント | はい | 1 | Username:¥s+([^|]+)¥s+ | ログ・ソース・タイプ: SIM 監査 カテゴリー: SIM 構成変更 |
次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.1のルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:CategoryDefinition: Authentication Failures | ネットワークへのアクセスに失敗した試行を示すすべてのイベントを含めます。 |
| ビルディング・ブロック | BB:CategoryDefinition:認証に成功しました | ネットワークへのアクセスに成功した試行を示すすべてのイベントを含めます。 |
| ビルディング・ブロック | BB:CategoryDefinition: データ転送イベントのカテゴリー | イベントに関するデータ転送カテゴリーを定義するにはこのビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:CategoryDefinition: データ転送フローのカテゴリー | フローに関するデータ転送カテゴリーを定義するにはこのビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:CategoryDefinition: 宛先IPが第3の国/地域 | 第三国として分類される地理的位置を含めるには、この BB を編集します。 構成した後、以下のルールを有効にすることができます。
|
| ビルディング・ブロック | BB:CategoryDefinition: SIEM User and Role Modifications | QRadar ユーザーおよびロールの作成と変更に固有の QID を検査します。 |
| ビルディング・ブロック | BB:CategoryDefinition: 送信元IPは第三国/地域 | 第三国として分類される地理的位置を含めるには、このビルディング・ブロックを編集します。 構成した後、以下のルールを有効にすることができます。
|
| ビルディング・ブロック | BB:CategoryDefinition: スーパーユーザーアカウント | スーパーユーザーのアカウントまたはユーザー名をリストします。 |
| ビルディング・ブロック | BB:ComplianceDefinition: GDPR個人データサーバー | このビルディング・ブロックは、個人データの保管と処理を通常行うホストを定義します。 環境でこれらのホストを定義するには、「Personal Data Server」リファレンス・セットを構成します。 |
| ビルディング・ブロック | BB:ComplianceDefinition: イベントで検出された個人データ | 個人データを含めることができるカスタム・プロパティーを定義するには、このビルディング・ブロックを編集します。 以下のカスタム・プロパティーはデフォルトで作成され、必要なログ・ソースに適合させる必要があります。
個人データに関する他のカスタム・プロパティーを作成して、このビルディング・ブロックに追加することができます。 個人データは、共通 (例えば、IP アドレス、ユーザー名) および機密 (例えば、クレジット・カード番号) の両方の ID を持つものとして分類されます。 |
| ビルディング・ブロック | BB:ComplianceDefinition: フローで検出された個人データ | 個人データを含めることができるカスタム・プロパティーまたはフィールドを定義するには、このビルディング・ブロックを編集します。 デフォルトでは、以下の QRadar Network Insights フィールドが適応されます。
個人データは、共通 (例えば、IP アドレス、ユーザー名) および機密 (例えば、クレジット・カード番号) の両方の ID を持つものとして分類されます。 |
| ビルディング・ブロック | BB:ComplianceDefinition: イベントで拒否されたユーザーを処理する | このビルディング・ブロックは、個人データの収集と処理に異議を唱えるユーザーを定義します。 環境で該当するユーザー名を定義するには、「GDPR Objected Users」リファレンス・セットを構成します。 |
| ビルディング・ブロック | BB:ComplianceDefinition: オブジェクションされたユーザーをフローで処理する | このビルディング・ブロックは、個人データの収集と処理に異議を唱えるユーザーを定義します。 環境で該当するユーザー名を定義するには、「GDPR Objected Users」リファレンス・セットを構成します。 |
| ビルディング・ブロック | BB:ComplianceDefinition: イベントで制限ユーザーを処理する | このビルディング・ブロックは、個人データの処理に対する制限を取得したユーザーを定義します。 環境で該当するユーザー名を定義するには、「GDPR Restricted Users」リファレンス・セットを構成します。 |
| ビルディング・ブロック | BB:ComplianceDefinition: フロー上の制限ユーザーの処理 | このビルディング・ブロックは、個人データの処理に対する制限を取得したユーザーを定義します。 環境で該当するユーザー名を定義するには、「GDPR Restricted Users」リファレンス・セットを構成します。 |
| ルール | GDPR 個人データ・サーバーからデータ引き出しが検出されました (Data Exfiltration Detected from GDPR Personal Data Server) | このルールは、GDPR 2016/679 を実装します。この規則では、個人データを保管または処理するホストがリストされている「Personal Data Server」リファレンス・セットからのデータ引き出し検出に焦点を当てています。 特定のデータ転送イベントまたはビルディング・ブロックを詳細化するには、このルールを編集します。 以下のルールおよびビルディング・ブロックでイベントおよびフローに関するファイル転送を定義します。
|
| ルール | Large Outbound Transfer High Rate of Transfer | 受信量を超えるデータをネットワークから送信している 1 つのホストを検出します。 このルールは、12 分間にわたって転送された 2 MB よりも大きいデータを検出します。 |
| ルール | 大容量のアウトバウンド転送速度の低下 | 受信量を超えるデータをネットワークから送信している 1 つのホストを検出します。 このルールは、2 時間にわたって転送された 2 MB よりも大きいデータを検出します。 これはかなり遅く、知らないうちにデータが漏えいしていることを示している場合があります。 |
| ルール | 基本ビルディング・ブロックのロード | このルールは、レポート作成支援のために実行する必要があるビルディング・ブロックを読み込みます。 このルールにはアクションも応答もありません。 |
| ルール | イベントで監視されたユーザーのために処理された個人データ | このルールは、GDPR 2016/679 を実装します。この規則では、個人データの収集および処理に異議を唱えるユーザーについて収集された個人データに焦点を当てています。 個人データを使用するデータ転送やデータ変更など、特定のイベントをモニターするには、このルールを編集します。 「BB:ComplianceDefinition: Personal Data Detected on Events」ビルディング・ブロックで個人データ検出を定義します。 「BB:ComplianceDefinition: Processing Objected Users on Events」ビルディング・ブロックで、異議を唱えたユーザーを定義します。 |
| ルール | フロー上の監視対象ユーザーのために処理された個人データ | このルールは、GDPR 2016/679 を実装します。この規則では、個人データの収集および処理に異議を唱えるユーザーについて収集された個人データに焦点を当てています。 個人データを使用するデータ転送やデータ変更など、特定のイベントをモニターするには、このルールを編集します。 「BB:ComplianceDefinition: Personal Data Detected on Flows」ビルディング・ブロックで個人データ検出を定義します。 「BB:ComplianceDefinition: Processing Objected Users on Flows」ビルディング・ブロックで、異議を唱えたユーザーを定義します。 |
| ルール | 第 3 国/地域に転送される個人データ | このルールは、GDPR 2016/679 を実装します。この規則では、すべてのユーザーについて第三国/地域に移転された個人データに焦点を当てています。 個人データを使用するデータ転送やデータ変更など、特定のイベントをモニターするには、このルールを編集します。 以下のビルディング・ブロックでデータ転送カテゴリーを定義します。
「BB:CategoryDefinition: Destination IP is a Third Country/Region」ビルディング・ブロックで第三国を定義します。 以下のビルディング・ブロックで個人データ検出を定義します。
|
| ルール | ユーザーのために第 3 国/地域に転送される個人データ | このルールは、GDPR 2016/679 を実装します。この規則では、制限しているか異議を唱えるユーザーについて第三国/地域に移転された個人データに焦点を当てています。 個人データを使用するデータ転送やデータ変更など、特定のイベントをモニターするには、このルールを編集します。 このルールを有効にする場合、両方のルールによってオフェンスが発生しないように、「Personal Data Transferred to a Third Country/Region」ルールを詳細化してください。 以下のビルディング・ブロックで、制限したか異議を唱えたユーザーを定義します。
以下のビルディング・ブロックで個人データ検出を定義します。
|
| ルール | 可能な共有アカウント | 共有アカウントの使用を検出します。 スーパーユーザー・アカウントを除外するには、「BB:CategoryDefinition: Superuser Accounts」ビルディング・ブロックを編集します。 |
| ルール | GDPR 個人データ・サーバー上のリモート接続 | このルールは、GDPR 2016/679 を実装します。この規則では、個人データを保管または処理するホストがリストされている「Personal Data Server」リファレンス・セットからのデータ引き出し検出に焦点を当てています。 「BB:CategoryDefinition: Successful Communication」ビルディング・ブロックで、成功した通信のフローを定義します。 |
| ルール | 外部の国/地域からのリモート・インバウンド通信 | このルールは、GDPR 2016/679 を実装します。この規則では、個人データを保管または処理するホストがリストされている「Personal Data Server」リファレンス・セットからのデータ引き出し検出に焦点を当てています。 以下のビルディング・ブロックで、成功した通信のフローを定義します。
|
次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.1のレポートを示しています。
| レポート | 説明 |
|---|---|
| GDPR 2016/679 個人データの発信元 | 個人データの取得元の概要を示します。 レポート・コンテンツは以下の検索から照合されます。
「BB:CategoryDefinition: Superuser Accounts」ビルディング・ブロックで個人用ではないユーザー名を定義します。 |
| GDPR 2016/679 QRadar データ保存構成 | QRadar®でリファレンス・セット管理およびシステム設定が構成されている場合のデータ保持期間の変更の概要を提供します。 レポート・コンテンツは「QRadar Data Retention Configuration」検索から照合されます。 このnullretention 値は、無制限の時間に設定されることを意味します。 結果を詳細化するには、この検索および関連検索の依存関係を編集します。 このレポートには、以下のようなサード・パーティーに送信されたデータは含まれません。
|
| GDPR 2016/679 ユーザーのために処理された個人データ | ユーザーのために処理された個人データの概要を示します。 レポートを生成する前に、ユーザー名を検索に追加する必要があります。 レポート・コンテンツは「Personal Data Processed for a User」検索から照合されます。 結果をさらに詳細化するには、この検索および関連検索の依存関係を編集します。 |
| GDPR 2016/679 処理アクティビティーの記録 | QRadar 処理アクティビティーの概要を示します。 レポート・コンテンツは以下の検索から照合されます。
結果をさらに詳細化するには、この検索および関連検索の依存関係を編集します。 |
| GDPR 2016/679 GDPR 個人データ・サーバーに対するユーザー認証 | GDPR Personal Data Server に対する認証の概要を示します。 レポート・コンテンツは以下の検索から照合されます。
以下のビルディング・ブロックで、認証成功イベントおよび Personal Data Server を定義します。
|
| GDPR 2016/679 QRadar ユーザーおよび役割の変更 | QRadar のユーザーおよびロールの変更の概要を示します。 レポート・コンテンツは「QRadar User and Role Modifications」検索から照合されます。 「BB:CategoryDefinition: SIEM User and Role Modifications」ビルディング・ブロックでユーザーおよびロールのイベントを定義します。 |
| GDPR 2016/679 個人データが第 3 国に転送されました | 第三国に移転された個人データの概要を示します。 レポート・コンテンツは「Personal Data Transferred to a Third Country」検索から照合されます。 結果をさらに詳細化するには、この検索および関連検索の依存関係を編集します。 |
| QRadar 監査-ユーザー認証アクティビティー | QRadarでの認証の成功と失敗を表示します。 これには、認証アクティビティーでの上位のユーザー名の使用と詳細なレポートも含まれます。 レポート・コンテンツは以下の検索から照合されます。
結果をさらに詳細化するには、この検索および関連検索の依存関係を編集します。 |
次の表では、 IBM Security QRadar Content Extension for GDPR 1.0.1のリファレンス・データを示しています。
| タイプ | 名前 |
|---|---|
| リファレンス・セット | GDPR 拒否されたユーザー |
| リファレンス・セット | GDPR 制限付きユーザー |
| リファレンス・セット | 個人データ・サーバー |
| リファレンス・セット | QRadar のデプロイメント |