Good Practice Guide 13 (GPG13)

IBM セキュリティ QRadar セキュリティ GPG13 Content Extensionを使用して、GPG13 コンプライアンスを確保しましょう。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

IBM Security QRadar GPG13 コンテンツ拡張 1.1.0

次の表では、 IBM Security QRadar GPG13 コンテンツ拡張 1.1.0で更新されたビルディング・ブロックおよびルールを示しています。

表 1. IBM セキュリティー QRadar GPG13 コンテンツ拡張 1.1.0 のビルディング・ブロックおよびルール
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition: Failed Object Accesses QID の代わりにカテゴリーを使用するようにルール条件が更新されました。

名前変更。 以前は「BB:CategoryDefinition: Failed File Accesses」という名前でした。

ルール Configuration Change Made to Device in Perimeter Network 「BB:DeviceDefinition: VPN」ビルディング・ブロックがルール条件に追加されました。

名前変更。 以前は「Configuration Change Made to Device in Perimeter network」という名前でした。

ルール Configuration Changes Made to Endpoint Protection Devices 名前変更。 以前は「Configuration Changes Made to AV/Malware Devices」という名前でした。
ルール Failed VPN Accesses 名前変更。 以前は「Failed VPN Acceses」という名前でした。
ルール Object Access Failure 名前変更。 以前は「File System Access Failure」という名前でした。
ルール Packets Dropped by Perimeter Network Devices 「BB:DeviceDefinition: VPN」ビルディング・ブロックがルール条件に追加されました。
ルール User Authentication Failures on Internal Systems 「BB:DeviceDefinition: VPN」ビルディング・ブロックがルール条件に追加されました。
ルール User Authentication Failures on Perimeter Systems 「BB:DeviceDefinition: VPN」ビルディング・ブロックがルール条件に追加されました。
ルール User Sessions on non-Perimeter Devices 「BB:DeviceDefinition: VPN」ビルディング・ブロックがルール条件に追加されました。

IBM Security QRadar GPG13 コンテンツ拡張 1.1.0で削除された以下のルールおよびビルディング・ブロック。

  • BB:CategoryDefinition: Application or Service Installed or Modified
  • BB:CategoryDefinition: Authentication Failures
  • BB:CategoryDefinition: Authentication Success
  • BB:CategoryDefinition: Authentication to Disabled Account
  • BB:CategoryDefinition: Authentication to Expired Account
  • BB:CategoryDefinition: Logout Events
  • BB:CategoryDefinition: SIEM User and Role Modifications
  • BB:DeviceDefinition: FW / Router / Switch
  • BB:DeviceDefinition: IDS / IPS
  • BB:DeviceDefinition: VPN
  • BB:HostDefinition: Database Servers
  • BB:HostDefinition: DHCP Servers
  • BB:HostDefinition: DNS Servers
  • BB:HostDefinition: FTP Servers
  • BB:HostDefinition: LDAP Servers
  • BB:HostDefinition: Mail Servers
  • BB:HostDefinition: Network Management Servers
  • BB:HostDefinition: Protected Assets
  • BB:HostDefinition: Proxy Servers
  • BB:HostDefinition: RPC Servers
  • BB:HostDefinition: Servers
  • BB:HostDefinition: SNMP Sender or Receiver
  • BB:HostDefinition: SSH Servers
  • BB:HostDefinition: Virus Definition and Other Update Servers
  • BB:HostDefinition: Web Servers
  • BB:HostDefinition: Windows Servers
  • BB:PortDefinition: Database Ports
  • BB:PortDefinition: DHCP Ports
  • BB:PortDefinition: DNS Ports
  • BB:PortDefinition: FTP Ports
  • BB:PortDefinition: LDAP Ports
  • BB:PortDefinition: Mail Ports
  • BB:PortDefinition: P2P Ports
  • BB:PortDefinition: RPC Ports
  • BB:PortDefinition: SNMP Ports
  • BB:PortDefinition: SSH Ports
  • BB:PortDefinition: Web Ports
  • BB:PortDefinition: Windows Ports
  • BB:ProtocolDefinition: Windows Protocols
  • Device Stopped Sending Events
  • デバイスがイベント (ファイアウォール、IPS、VPN、またはスイッチ) の送信を停止した

「GPG13 (PMC4) Failing File System Access Attempts (Daily)」レポートの名前が「GPG13 (PMC4) Failing Object Access Attempts (Daily)」に変更されました。

「File System Access Failures in the last 24 hours」保存済み検索の名前が「Object Access Failures in the last 24 hours」に変更されました。

( 上に戻る )

IBM Security QRadar GPG13 コンテンツ拡張 1.0.6

次の表では、 IBM Security QRadar GPG13 コンテンツ拡張 1.0.6で更新されたカスタム・プロパティーを示しています。

表 2. IBM セキュリティー QRadar GPG13 コンテンツ拡張 1.0.6 で更新されたカスタム・プロパティー
カスタム・プロパティー キャプチャー・グループ 最適化済み 正規表現
GroupID 1 はい Group ID[:¥s¥¥=]*(¥d+)

( 上に戻る )

IBM Security QRadar GPG13 コンテンツ拡張 1.0.5

IBM Security QRadar GPG13 コンテンツ拡張 1.0.5で削除された以下のルールおよびビルディング・ブロック。

  • BB:DeviceDefinition: AntiVirus
  • User Privilege Changes on Protected Assets
  • VPN Session Tracking

( 上に戻る )

IBM Security QRadar GPG13 コンテンツ拡張 1.0.4

次の表では、 IBM Security QRadar GPG13 コンテンツ拡張 1.0.4で更新されたカスタム・プロパティーを示しています。

表 3. IBM セキュリティー QRadar GPG13 コンテンツ拡張 1.0.4 で更新されたカスタム・プロパティー
カスタム・プロパティー キャプチャー・グループ 最適化済み 正規表現
GroupID 1 いいえ Group ID[:¥s¥¥=]*(¥d+)

( 上に戻る )

IBM Security QRadar GPG13 コンテンツ拡張 1.0.3

次の表では、 IBM Security QRadar GPG13 コンテンツ拡張 1.0.3のカスタム・プロパティーを示しています。

表 4. IBM セキュリティー QRadar GPG13 コンテンツ拡張 1.0.3 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
SSH ログイン監査 はい 1 ¥[Authentication¥] ¥[User¥] ¥[(UserLogin|LoginAttempt)¥] .*? on host .*
ログ・ソースのホスト はい 1 \s+hostName=(\S+)
監査オブジェクト ID はい 1 ¥s+id=(¥S+)

( 上に戻る )

IBM Security QRadar GPG13 コンテンツ拡張 1.0.2

次の表では、 IBM Security QRadar GPG13 コンテンツ拡張 1.0.2で更新されたビルディング・ブロックを示しています。

表 5. IBM セキュリティー QRadar GPG13 コンテンツ拡張 1.0.2 のビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:DeviceDefinition: IDS / IPS IDS/IPS デバイスによってビルディング・ブロックを更新しました。
ビルディング・ブロック BB:DeviceDefinition: FW / Router / Switch FW/ルーター/スイッチ・デバイスによってビルディング・ブロックを更新しました。
ビルディング・ブロック BB:DeviceDefinition: VPN VPN デバイスによってビルディング・ブロックを更新しました。
ビルディング・ブロック BB:HostDefinition: Proxy Servers ルール・テストに「BB:PortDefinition: Proxy Ports」を追加しました。
ビルディング・ブロック BB:HostDefinition: Servers サーバー定義によってビルディング・ブロックを更新しました。
ビルディング・ブロック BB:CategoryDefinition: Authentication to Disabled Account 以下の QID を追加しました。
  • 5001948: Failure Audit: An account failed to log on: Account Disabled
  • 5001959: An account failed to log on: Account Disabled
  • 5001954: Failure Audit: An account failed to log on: User Locked Out
  • 5001965: An account failed to log on: User Locked Out
  • 5001949: Failure Audit: An account failed to log on: Account Expired
  • 5001960: An account failed to log on: Account Expired
  • 5001951: Failure Audit: An account failed to log on: Logon Outside Normal Time
  • 5001962: An account failed to log on: Logon Outside Normal Time

( 上に戻る )

IBM Security QRadar GPG13 コンテンツ拡張 1.0.1

次の表では、 IBM Security QRadar GPG13 コンテンツ拡張 1.0.1で更新されたビルディング・ブロックを示しています。

表 6. IBM セキュリティー QRadar GPG13 コンテンツ拡張 1.0.1 のビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition: Authentication to Disabled Account 「QID 5000475: Failure Audit: An account failed to log on」を追加しました。

( 上に戻る )

IBM Security QRadar GPG13 コンテンツ拡張 1.0.0

次の表では、 IBM Security QRadar GPG13 コンテンツ拡張 1.0.0のカスタム・プロパティーを示しています。

表 7. IBM セキュリティー QRadar GPG13 コンテンツ拡張 1.0.0 のカスタム・プロパティー
名前 正規表現
監査オブジェクト ID ¥s+id=(¥S+)
AccountDomain Target Domain: (.*?)
AccountID Target Account ID: (.*?)
コンピューター (Computer) ¥s+Computer=(¥S+)
バージョン ¥s+Version:¥s+(¥S+)
GroupID Group ID: (¥d+)
ChangedAttributes Changed Attributes: (.*)
ログ・ソース・ホスト名 (Log Source Hostname) \s+hostName=(\S+)

次の表では、 IBM Security QRadar GPG13 コンテンツ拡張 1.0.0にあるルールおよびビルディング・ブロックを示しています。

表 8. IBM セキュリティー QRadar GPG13 コンテンツ拡張 1.0.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition: Access Denied さまざまなアクセス拒否カテゴリーのイベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Account Lockout Events アカウント・ロックアウト・イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Accountable User Activities バックアップ・アクティビティーや一般監査イベントなど、説明義務があるユーザー・アクティビティー・イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Backup and Restore Events バックアップおよびリストア・イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Backup Categories バックアップ・カテゴリーを定義します。
ビルディング・ブロック BB:CategoryDefinition: Backup Events バックアップ・イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Changed File or Folder Access Rights ファイルまたはフォルダーの許可変更イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: CISCO Session Events Cisco セッション・イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Failed File Accesses ファイル・アクセス失敗イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Failure Service or Hardware サービス内またはハードウェア内の障害を示すイベント・カテゴリーを定義します。
ビルディング・ブロック BB:CategoryDefinition: Log File Manipulation Events ログ・ファイル操作イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Service Started サービス開始イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Service Status Change Events サービス状況変更イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Service Stopped サービス停止イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Session Closed すべての「セッションのクローズ」イベントをカテゴリー別に定義します。
ビルディング・ブロック BB:CategoryDefinition: Session Opened すべての「セッションのオープン」イベントをカテゴリー別に定義します。
ビルディング・ブロック BB:CategoryDefinition: SIEM Authentication SIEM 監査ユーザー認証イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: SIEM Authentication Failures SIEM 認証失敗イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: SIEM IP Lockouts SIEM IP ロックアウト・イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Superuser Accounts スーパーユーザー・アカウントのイベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: System or Device Configuration Change システムまたはデバイスの構成変更イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: System Start/Stop Events システムの開始イベントまたは停止イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: System Status Change Events システム状況変更イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: VoIP Session Opened VoIP セッションの開始を示すイベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: VPN Access Denied アクセス拒否と見なされる VPN イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: VPN Status Changes VPN 状況変更イベントを定義します。
ビルディング・ブロック BB:Compliance: Session Tracking セッション・トラッキング・イベントを定義します。
ビルディング・ブロック BB:Compliance: SIEM Detection Configuration Changes SIEM 検出構成変更イベントを定義します。
ビルディング・ブロック BB:DeviceDefinition: Perimeter Network Devices 周辺ネットワーク・デバイスを定義します。
注: 「周辺ネットワーク・デバイス (Perimeter Network Devices)」 ログ・ソース・グループに該当するログ・ソースを取り込みます。
ビルディング・ブロック BB:External Contractor 失敗イベント 外部の請負業者が原因で発生する障害を定義します。
ビルディング・ブロック BB:External Contractor Policy Violation イベント 外部の請負業者が原因で発生するポリシー違反を定義します。
ビルディング・ブロック BB:Failed Events (BB:失敗したイベント) 失敗イベントを定義します。
ビルディング・ブロック BB:CategoryDefinition: Failed File Accesses オブジェクトへのアクセス失敗のイベントを定義します。
ビルディング・ブロック BB:HostBased: Critical Events 重要なイベントを示すイベント・カテゴリーを定義します。
ビルディング・ブロック BB:IT 管理イベント IT 管理者スタッフによって実行されるアクションを定義します。
ビルディング・ブロック BB:Mobile Worker の失敗イベント (BB:Mobile Worker Failed Events) モバイル作業者が原因で発生する障害を定義します。
ビルディング・ブロック BB:Mobile ワーカー・ポリシー違反イベント (BB:Mobile Worker Policy Violation Events) モバイル作業者が原因で発生するポリシー違反を定義します。
ビルディング・ブロック BB:Review Of Access Rights ユーザーに対して管理者が実行するアクションを定義します。
ビルディング・ブロック BB: テレワーカー失敗イベント テレワーカーが原因で発生する障害を定義します。
ビルディング・ブロック BB:テレワーカーポリシー違反事象 テレワーカーが原因で発生するポリシー違反を定義します。
ビルディング・ブロック BB:VMware: Session Activity VMware セッション・アクティビティー・イベントを定義します。
ルール Blocked Inbound File Transfer on Perimeter 通常はファイル転送に使用されるポートで、周辺装置への通信の試行がブロックされた場合にトリガーされます。

コンプライアンス要件に応じてルールを調整し、ルール応答を有効にしてください。 多数のイベントと一致する可能性があるので、応答リミッターを適用することを強くお勧めします。

ルール Blocked Outbound File Transfer on Perimeter 通常はファイル転送に使用されるポートで、周辺装置からの通信の試行がブロックされた場合にトリガーされます。

コンプライアンス要件に応じてルールを調整し、ルール応答を有効にしてください。 多数のイベントと一致する可能性があるので、応答リミッターを適用することを強くお勧めします。

ルール Configuration Change Made to Device in Perimeter Network 構成変更として分類されたイベントが周辺装置で検出された場合にトリガーされます。

コンプライアンス要件に応じてルールを調整し、ルール応答を有効にしてください。 多数のイベントと一致する可能性があるので、応答リミッターを適用することを強くお勧めします。

ルール Configuration Changes Made to AV/Malware Devices 構成変更として分類されたイベントがエンドポイント保護デバイスで検出された場合にトリガーされます。

コンプライアンス要件に応じてルールを調整し、ルール応答を有効にしてください。 多数のイベントと一致する可能性があるので、応答リミッターを適用することを強くお勧めします。

ルール Critical Server Messages 緊急またはクリティカルに分類されたイベントが検出された場合にトリガーされます。
ルール Failed VPN Acceses 認証の失敗、または無効なアカウントによる認証の試行が検出された場合にトリガーされます。
ルール File System Access Failure オブジェクトへのアクセスが拒否された場合にトリガーされます。

コンプライアンス要件に応じてルールを調整し、ルール応答を有効にしてください。 多数のイベントと一致する可能性があるので、応答リミッターを適用することを強くお勧めします。

ルール Packets Dropped by Perimeter Network Devices 周辺装置でトラフィックが拒否された場合にトリガーされます。

コンプライアンス要件に応じてルールを調整し、ルール応答を有効にしてください。 多数のイベントと一致する可能性があるので、応答リミッターを適用することを強くお勧めします。

ルール サービスが停止し、再始動されない システム上でサービスが停止され、再始動されなかった場合にトリガーされます。
ルール User Authentication Failures on Internal Systems 周辺装置以外のデバイスで認証の失敗が検出された場合にトリガーされます。
ルール User Authentication Failures on Perimeter Systems 周辺装置で認証の失敗が検出された場合にトリガーされます。
ルール User Privilege Changes on Protected Assets 「Protected Assets」ビルディング・ブロックに含まれているアセットに対する権限がユーザーに割り当てられた場合、またはユーザーへの割り当てが解除された場合にトリガーされます。

コンプライアンス要件に応じてルールを調整し、ルール応答を有効にしてください。 多数のイベントと一致する可能性があるので、応答リミッターを適用することを強くお勧めします。

ルール User Responsibilities and Password Use ユーザー・アカウントがロックアウトされた場合にトリガーされます。
ルール User Sessions on non-Perimeter Devices このルールは、非周辺装置でのセッションのオープンとクローズを追跡します。

コンプライアンス要件に応じてルールを調整し、ルール応答を有効にしてください。 多数のイベントと一致する可能性があるので、応答リミッターを適用することを強くお勧めします。

ルール VPN Session Tracking VPN デバイスでのセッションのオープンとクローズを追跡します。

コンプライアンス要件に応じてルールを調整し、ルール応答を有効にしてください。 多数のイベントと一致する可能性があるので、応答リミッターを適用することを強くお勧めします。

以下のレポートは、 IBM Security QRadar GPG13 コンテンツ拡張 1.0.0に含まれています。

  • GPG13 (PMC3) User Authentication Failures on Boundary Systems (Daily)
  • GPG13 (PMC3) Packets Being Dropped by Boundary Firewalls (Daily)
  • GPG13 (PMC7) Recording of session activity by user and workstation - Review Access Rights (Daily)
  • GPG13 (PMC7) Accountable User Activites or Transactions (Daily)
  • GPG13 (PMC4) Host Messages at Critical and Above (Daily)
  • GPG13 (PMC7) Network Account Status Changes (Daily)
  • GPG13 (PMC5) User Authentication Failures on Internal Monitoring Systems (Daily)
  • GPG13 (PMC8) Backup and Restore Events
  • GPG13 (PMC2) Configuration and Signature Changes in Boundary Devices
  • GPG13 (PMC6) VPN User Session Activity (Daily)
  • GPG13 (PMC4) Changes to File or Path Access Rights (Daily)
  • GPG13 (PMC4) Changes in System Status (Daily)
  • GPG13 (PMC9) Configuration Changes to SIEM, Alerts, Rules (Daily)
  • GPG13 (PMC6) Changes in Status of VPN Node Registration (Daily)
  • GPG13 (PMC7) Use of Administrative Facilities (Daily)
  • GPG13 (PMC4) Configuration Changes to AV/Malware Devices (Daily)
  • GPG13 (PMC7) User Network Account Status Change (Daily)
  • GPG13 (PMC4) Failing File System Access Attempts (Daily)
  • GPG13 (PMC10) Log File Resets, Errors and Threshold Conditions
  • GPG13 (PMC2) Blocked Inbound File Transfers at the Boundary (Daily)
  • GPG13 (PMC7) Changes in Privilege Status on Critical Assets (Daily)
  • GPG13 (PMC4) Changes in Service Status (Daily)
  • GPG13 (PMC6) Unsuccessful VPN Node Registrations (Daily)
  • GPG13 (PMC3) Changes in status of external attack recognition software (Daily)
  • GPG13 (PMC2) Blocked Outbound File Transfers at the Boundary (Daily)
  • GPG13 (PMC3) User Sessions on Boundary Devices (Daily)
  • GPG13 (PMC5) User Sessions on Internal Devices (Daily)
  • GPG13 (PMC7) User Network Sessions (Daily)
  • GPG13 (PMC4) Changes to any host A/V signature base

以下の保存済み検索は、 IBM Security QRadar GPG13 コンテンツ拡張 1.0.0に含まれています。

  • Packets Dropped by Perimeter Network Devices in the last 24 hours
  • User Authentication Failures on Perimeter Systems by User in the last 24 hours
  • Compliance: System Status Change Events
  • Critical Server Messages in the last 24 hours
  • Compliance: Changed File or Folder Access Rights
  • Compliance: Administrator Authentications and Sessions
  • Packets Dropped by Perimeter Network Devices by Source and Destination IP in the last 24 hours
  • Backup and Restore Events
  • User Authentication Failures on Perimeter Systems in the last 24 hours
  • Compliance: Windows Host A/V Signature Changes
  • Log File Manipulation Events in the last 24 hours
  • File System Access Failures in the last 24 hours
  • Compliance: Network Account Status Changes
  • Compliance: Blocked Outbound Transfer
  • Compliance: Failed VPN Accesses
  • Review of Access Rights, SIEM
  • Compliance: Accountable User Activity Events
  • Compliance: Blocked Inbound Transfers
  • User Authentication Failures on Internal Monitoring Systems in the last 24 hours
  • Compliance: User Privilege Change Events on Protected Assets
  • Compliance: VPN SessionTracking Events
  • Compliance: Service Status Change Events
  • Compliance: VPN Status Change Events
  • Review of Access Rights, Windows
  • Compliance: SIEM Configuration Changes
  • Compliance: All User Sessions
  • Review of Access Rights, Network
  • Compliance: Internal User Sessions
  • GPG13 (PMC7) - Review of Access Rights
  • Configuration and Signature Changes Made to Perimeter Devices
  • Compliance: SIEM Detection Configuration Changes
  • Compliance: Perimeter Device User Sessions
  • Compliance: Configuration Change Events on AV/Malware Devices

( 上に戻る )