米国連邦情報・技術局 (NIST)
NIST の管理要件を満たすには、IBM Security QRadar Content Extension for NIST を使用してください。
NIST Content Extension の正常な実行には、ベースライン保守 V1.09 以上が必要です。 NIST コンテンツ拡張をインストールする前に、 ベースライン保守 をインストールします。
IBM Security QRadar NIST コンテンツ拡張
IBM セキュリティ QRadar NIST向けコンテンツ拡張機能 V1.1.0
以下のリストは、 IBM Security QRadar Content Extension for NIST V1.1.0のユーザー間で共有されるように更新された保存済み検索を示しています。
- Insider Threat (UBA) (内部の脅威 (UBA))
- ISO 27001 (11.4) - 悪意のある攻撃
- フィルタリングされていないインターネット接続 (Non-Filtered Internet Connection)
- 特権アクティビティー
- 特権エスカレーション (特権 Escalations)
IBM セキュリティ QRadar NIST向けコンテンツ拡張機能 V1.0.1
次の表では、 IBM Security QRadar Content Extension for NIST V1.0.1で削除されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:CategoryDefinition:特権活動 : UBA | 特権を持つと考えられるアクションをユーザーがいつ実行したかを示します。 |
| ルール | 基本ビルディング・ブロックのロード | このルールは、レポート作成支援のために実行する必要があるビルディング・ブロックを読み込みます。 このルールにはアクションも応答もありません。 |
IBM Security QRadar Content Extension for NIST RMF 800-53 コンテンツ拡張には、レポート、ルール、および保存済み検索が含まれています。 QRadar には、オフェンスやデータ難読化など、NIST の制御要件を満たすいくつかの機能も含まれています。
IBM セキュリティ QRadar NIST向けコンテンツ拡張機能 V1.0.0
次の表では、 IBM Security QRadar Content Extension for NIST V1.0.0のルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:CategoryDefinition: Malicious Attacks | このビルディング・ブロックを編集して、バッファー・オーバーロー、クロスサイト・スクリプティング、データベース・エクスプロイトなどの悪意のある攻撃を定義します。 |
| ビルディング・ブロック | BB:CategoryDefinition: 特権のエスカレーション | このビルディング・ブロックを編集して、特権エスカレーションの成功に関連するイベントを定義します。 |
| ビルディング・ブロック | BB:CategoryDefinition:特権活動 : UBA | 特権を持つと考えられるアクションをユーザーがいつ実行したかを示します。 |
| ルール | 基本ビルディング・ブロックのロード | このルールは、レポート作成支援のために実行する必要があるビルディング・ブロックを読み込みます。 このルールにはアクションも応答もありません。 |
次の表では、 IBM Security QRadar Content Extension for NIST V1.0.0のレポートを示しています。
| レポート | 説明 |
|---|---|
| NIST RMF (AC-20) Use of External Information Systems (NIST RMF (AC-20) 外部情報システムの使用) | リモート・ネットワークから DMZ 以外のネットワークに対して開始された接続のリストを示します。 ネットワーク階層を構成して、ご使用の環境に適用する DMZ 内のアセットを定義します。 |
| NIST RMF (AC-6) Least Privilege (NIST RMF (AC-6) 最小特権) | 特権のエスカレーションとアクティビティーの概要を示し、許可されたアクセスが確実に行われるようにします。 次のビルディング・ブロックで、イベントに対する特権アクティビティーとエスカレーションを定義します。
|
| NIST RMF (AC-7) Unsuccessful Logon Attempts (NIST RMF (AC-7) 失敗したログオン試行) | 下位カテゴリー別の失敗したログインの数のヒストリカル・トレンドと、ログインに失敗した上位 20 人のユーザーを示します。 次のビルディング・ブロックで、イベントに対する特権アクティビティーとエスカレーションを定義します。
|
| NIST RMF (CA-3) System Interconnections (NIST RMF (CA-3) システム相互接続) | プロキシーによって報告されない、ローカルからリモート・ネットワークに対して行われた要求のヒストリカル・トレンドを示します。 これには、ログ・ソース/宛先 IP ペアごとの上位 10 のグラフと、上位 50 のリストが含まれます。 |
| NIST RMF (CM-2) Baseline Configuration (NIST RMF (CM-2) ベースライン構成) | 情報システムの、完全および正確で、容易に利用可能な最新のベースライン構成を維持するために使用される自動化メカニズムのサマリーを示します。 |
| NIST RMF (CP-2-8) Contingency Plan - Identify Critical Assets (NIST RMF (CP-2-8) コンティンジェンシー・プラン - 重要なアセットの特定) | 正常にバックアップされた上位 50 の重要なアセットと、試行または失敗の上位 50 を示します。 「Critical Assets」リファレンス・セットを構成して、ご使用の環境に適用する IP を定義します。 |
| NIST RMF (IR-4) Incident Handling (NIST RMF (IR-4) インシデント処理) | 当該日の上位 20 のセキュリティー・オフェンスおよびポリシー・オフェンスの概要を示します。 また、ソース IP、宛先 IP、ユーザー、ルール名別のオフェンスに関するレポートについて、「オフェンスの送信元のサマリー」を参照できます。 |
| NIST RMF (PM-12) Insider Threat Program (NIST RMF (PM-12) 内部の脅威プログラム) | User Behavioural Analytics for QRadar (UBA) アプリケーションからの内部の脅威アクティビティーの概要を示します。 |
| NIST RMF (RA-5) Vulnerability Scanning (NIST RMF (RA-5) 脆弱性スキャン) | 新規、修復済み、高リスク、および期限切れの脆弱性の数のサマリーを示します。 詳細については、QRadar の「脆弱性」タブを参照してください。 |
| NIST RMF (SI-3) Malicious Code Protection (NIST RMF (SI-3) 悪意のあるコードからの保護) | ネットワーク内の悪意のある攻撃の概要を示します。 次のビルディング・ブロックで、イベントに対する特権アクティビティーとエスカレーションを定義します。
|
| NIST RMF (PM-5) System Inventory (NIST RMF (PM-5) システム・インベントリー) | 脆弱性インスタンスでソートされた上位 50 のアセットを表示します。 詳細については、QRadar の「アセット」タブを参照してください。 |
| NIST RMF (SI-4-16) Information System Monitoring - Correlate Monitoring Information (情報システムのモニタリング - モニタリング情報の相互の関連付け | 時間の経過に伴う上位 10 のオフェンスをマグニチュード別に示します。 詳細については、QRadar の「オフェンス」タブを参照してください。 |
次の表では、 IBM Security QRadar Content Extension for NIST V1.0.0の保存済み検索を示しています。
| 保存済み検索名 |
|---|
| 失敗したログイン (ユーザー別) |
| 失敗したログイン (下位カテゴリー別) |
| Direct Remote Connection (直接リモート接続) |
| Critical Assets Backup Success (重要なアセットのバックアップの成功) |
| Non Success Backup events on Critical Assets (重要なアセットに対する不成功のバックアップ・イベント) |
| 特権のエスカレーション |
| 特権アクティビティー |
| Insider Threat (UBA) (内部の脅威 (UBA)) |
| Automated Assets Management (自動アセット管理) |
| ISO 27001 (11.4) - 悪意のある攻撃 |