Payment Card Industry

PCI レポートに準拠するには、IBM Security QRadar Payment Card Industry (PCI) Reporting Content Extension を使用してください。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

IBM セキュリティ QRadar PCI コンテンツ拡張 V1.1.1

以下の表は、 IBM Security QRadar PCI Content Extension V1.1.1 のカスタムプロパティを示しています。

表 1. IBM セキュリティのカスタムプロパティ QRadar PCI コンテンツ拡張機能 V1.1.1
今までの値 新規の値
イニシエーター・ユーザー名 (Initiator User Name) イニシエーター・ユーザー名 (Initiator Username)
ターゲット・ユーザー名 ターゲット・ユーザー名

IBM Security QRadar PCI コンテンツ拡張 V1.1.0

次の表では、 IBM Security QRadar PCI コンテンツ拡張 V1.1.0のカスタム・プロパティーを示しています。

表 2. IBM セキュリティー QRadar PCI コンテンツ拡張 V1.1.0 のカスタム・プロパティー
名前 最適化済み 場所
File Hash はい
ファイル名 はい
イニシエーター・ユーザー名 (Initiator User Name) はい Microsoft Windows
MD5 ハッシュ はい
SHA1 ハッシュ はい
SHA256 ハッシュ はい
ターゲット・ユーザー名 はい
脅威カテゴリー (Threat Category) いいえ
脅威ファミリー (Threat Family) いいえ
脅威名 はい
脅威の重大度 いいえ
以下のカスタム・プロパティーの式はすべて削除されました。
  • AccountName
  • VirusName

次の表では、 IBM Security QRadar PCI コンテンツ拡張 V1.1.0で追加されたビルディング・ブロックを示しています。

表 3. IBM セキュリティー QRadar PCI コンテンツ拡張 V1.1.0 のビルディング・ブロック
名前 説明
BB:DeviceDefinition: Endpoint Protection Devices

「BB:DeviceDefinition: Antivirus」を置き換えるものです。

このルールは、システム上のすべてのエンドポイント保護デバイスを定義します。

以下のルールおよびビルディング・ブロックは、 IBM Security QRadar PCI コンテンツ拡張 V1.1.0で削除されました。
  • BB:CategoryDefinition: Authentication Failures
  • BB:CategoryDefinition: Authentication Success
  • BB:CategoryDefinition: Firewall or ACL Accept
  • BB:CategoryDefinition: Firewall or ACL Denies
  • BB:CategoryDefinition: Superuser Accounts
  • BB:DeviceDefinition: AntiVirus
  • BB:DeviceDefinition: IDS / IPS
  • BB:NetworkDefinition: 信頼されたネットワークセグメント
  • Device Stopped Sending Events
  • 失敗したマルウェアまたはウィルスのクリーニング
拡張検索を使用するように以下の検索が更新されました。
  • 失敗したマルウェアのクリーニング
  • PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (許可)
  • PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (すべて)
  • PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (拒否)
  • PCI 1.2.1b - 許可されたインバウンド・トラフィック
  • PCI 1.2.1b - 許可されたアウトバウンド・トラフィック
  • PCI 1.3.1 - 内部から DMZ への許可されたトラフィック
  • PCI 1.3.2 - インターネットから内部ネットワーク (非 DMZ) へのトラフィックを許可
  • PCI 1.3.3 - インターネットとカード所有者データとの間のトラフィック
  • PCI 1.3.5 - カード所有者データとインターネット (非 DMZ) との間のトラフィック
  • PCI 2.3 - トラステッド・ネットワーク・ゾーンに対するプロトコル
  • PCI 4.1 - トラステッド・ネットワーク・ゾーンに対するプロトコル
  • PCI 5.2 - マルウェア・イベント (イベント名別またはアクション別)
  • PCI 6.6 - 公開されたアプリケーションとサービスに対する攻撃
  • PCI 7.1 - カード所有者とトラステッド・システムへのアクセス
  • PCI 10.5.4 受け取ったログの検査
  • 失敗したリモート・アクセス (VPN およびその他)
  • 成功したリモート・アクセス (VPN およびその他)
以下の保存済み検索は削除されました。
  • PCI 8.1 - ユーザーによって追加されたユーザー・アカウント
  • PCI 8.1 - ユーザーによって変更されたユーザー・アカウント

保存済み検索の名前 (英語)「PCI 6.6 - Attacks against Public Facing Applications and Servies (PCI 6.6 - 公開されたアプリケーションとサービスに対する攻撃)」が、「PCI 6.6 - Attacks against Public Facing Applications and Services」に変更されました。

保存済み検索の名前 (英語)「PCI 10.5.4 Verification of Logs Recieved (PCI 10.5.4 受け取ったログの検査)」が、「PCI 10.5.4 Verification of Logs Received」に変更されました。

保存済み検索「マルウェア・イベント (名前別)」および「PCI 5.2 - マルウェア・イベント (イベント名別またはアクション別)」「ウィルス名」「脅威名」に置き換えられ、以下の列が検索に追加されました。
  • File Hash
  • ファイル名
  • MD5
  • SHA 1
  • SHA 256
  • 脅威カテゴリー (Threat Category)
  • 脅威ファミリー (Threat Family)
  • 脅威の重大度

保存済み検索「PCI 10.2 - PCI 8.1 - 管理ユーザーによって追加されたユーザー・アカウント」で、「BB:CategoryDefinition: Superuser Accounts」が使用されていた箇所が、「LOWER(username) in ('admin', 'superuser', 'root', 'toor', 'init', 'administrator', 'sys', 'system')」に置き換えられました。

以下のレポートでは、「PCI 8.1 - ユーザーによって追加されたユーザー・アカウント」検索が使用されていた箇所が、「ユーザーによって追加されたユーザー・アカウント」検索に置き換えられ、「PCI 8.1-ユーザーによって変更されたユーザー・アカウント」が検索が使用されていた箇所が、「ユーザーによって変更されたユーザー・アカウント」検索に置き換えられました。
  • PCI 8.1 - ユーザー・アカウントの追加および変更 (月次)
  • PCI 8.1 - ユーザー・アカウントの追加および変更 (週次)
  • PCI 8.1 - ユーザー・アカウントの追加および変更

IBM Security QRadar PCI コンテンツ拡張 V1.0.3

保存済み検索がすべてのユーザーで共有されるようになりました。 「その他」グループに入っていた保存済み検索は、「PCI」グループに移動ました。

( 上に戻る )

IBM Security QRadar PCI コンテンツ拡張 V1.0.2

次の表では、 IBM Security QRadar PCI コンテンツ拡張 V1.0.2のカスタム・プロパティーを示しています。

表 4. IBM セキュリティー QRadar PCI コンテンツ拡張 V1.0.2 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
VirusName はい 1 Virus Name: (.*?),

( 上に戻る )

IBM Security QRadar PCI コンテンツ拡張 V1.0.1

次の表では、 IBM Security QRadar PCI コンテンツ拡張 V1.0.1で更新されたルールおよびビルディング・ブロックを示しています。

表 5. IBM セキュリティー QRadar PCI コンテンツ拡張 V1.0.1 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:DeviceDefinition: 侵入検知システム/侵入防止システム IDS/IPS デバイスによってビルディング・ブロックを更新しました。
ルール 失敗したマルウェアまたはウィルスのクリーニング 以下の新規 QID がルールに追加されました。
  • 42002833: Security risk found, Actual action: All actions failed
  • 42002836: Security risk found, Actual action: Left alone
  • 42002845: Virus Detected, Actual action: Left alone
  • 42003869: Virus Detected, Actual action: Actions failed

( 上に戻る )

IBM Security QRadar PCI コンテンツ拡張 V1.0.0

以下のレポートが IBM Security QRadar PCI コンテンツ拡張 V1.0.0によって追加されました。

  • PCI コンプライアンス失敗
  • ネットワーク・トラフィック量
  • ネットワーク・トラフィック量
  • 上位のユーザー (リモート・アクセス・アクティビティー別)
  • PCI コンプライアンス失敗 (週次)
  • PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット
  • PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (月次)
  • PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (週次)
  • PCI 1.2.1b - インバウンド・トラフィックおよびアウトバウンド・トラフィック
  • PCI 1.2.1b - インバウンド・トラフィックおよびアウトバウンド・トラフィック (月次)
  • PCI 1.2.1b - インバウンド・トラフィックおよびアウトバウンド・トラフィック (週次)
  • PCI 1.3 - トラフィックのサマリー (詳細)
  • PCI 1.3 - トラフィックのサマリー (月次)
  • PCI 1.3 - トラフィックのサマリー (時系列)
  • PCI 1.3 - トラフィックのサマリー (週次)
  • PCI 2.1 - ベンダーのデフォルト
  • PCI 2.1 - ベンダーのデフォルト (月次)
  • PCI 2.2 - サーバー機能
  • PCI 2.3 - トラステッド・セグメントへのトラフィック
  • PCI 2.3 - トラステッド・セグメントへのトラフィック (月次)
  • PCI 2.3 - トラステッド・セグメントへのトラフィック (週次)
  • PCI 4.1 - 非トラステッド・セグメントからトラステッド・セグメントへのトラフィック
  • PCI 4.1 - 非トラステッド・セグメントからトラステッド・セグメントへのトラフィック (月次)
  • PCI 4.1 - 非トラステッド・セグメントからトラステッド・セグメントへのトラフィック (週次)
  • PCI 5.2 - マルウェア PCI 5.2 - マルウェア (月次)
  • PCI 5.2 - マルウェア (週次)
  • PCI 5.2 - 失敗したマルウェアまたはウィルスのクリーニング
  • PCI 5.2 - 上位のマルウェア・アクティビティー
  • PCI 6.1 - 脆弱性
  • PCI 6.6 - 公開されたアプリケーションまたはサービスに対する攻撃
  • PCI 6.6 - 公開されたアプリケーションまたはサービスに対する攻撃 (月次)
  • PCI 6.6 - 公開されたアプリケーションまたはサービスに対する攻撃 (週次)
  • PCI 7.1 - カード所有者とトラステッド・システムへのアクセス
  • PCI 7.1 - カード所有者とトラステッド・システムへのアクセス (月次)
  • PCI 7.1 - カード所有者とトラステッド・システムへのアクセス (週次)
  • PCI 8.1 - ユーザー・アカウントの追加および変更
  • PCI 8.1 - ユーザー・アカウントの追加および変更 (月次)
  • PCI 8.1 - ユーザー・アカウントの追加および変更 (週次)
  • PCI 10 - PCI 10 データ監査 - データ監査 (月次)
  • PCI 10 - データ監査 (週次)
  • PCI 10.2 - 管理者によるユーザー・アカウントの追加
  • PCI 10.2 - 管理者によるユーザー・アカウントの追加 (月次)
  • PCI 10.2 - 管理者によるユーザー・アカウントの追加 (週次)
  • PCI 11.3/11.2 脆弱性レポート
  • PCI 12.9 インシデント対応 (オフェンスのサマリー) - 週次

次の表では、 IBM Security QRadar PCI コンテンツ拡張 V1.0.0によって追加されたルールおよびビルディング・ブロックを示しています。

表6. IBM セキュリティー QRadar PCI コンテンツ拡張 V1.0.0 のルールおよびビルディング・ブロック
タイプ 名前
ルール Device Stopped Sending Events
ルール 失敗したマルウェアまたはウィルスのクリーニング
ビルディング・ブロック BB:DeviceDefinition: AntiVirus
ビルディング・ブロック BB:DeviceDefinition: IDS / IPS
ビルディング・ブロック BB:CategoryDefinition: Authentication Failures
ビルディング・ブロック BB:CategoryDefinition: Authentication Success
ビルディング・ブロック BB:CategoryDefinition: Firewall or ACL Accept
ビルディング・ブロック BB:CategoryDefinition: Firewall or ACL Denies
ビルディング・ブロック BB:CategoryDefinition: Superuser Accounts
ビルディング・ブロック BB:NetworkDefinition: Inbound Communication from Internet to Local Host
ビルディング・ブロック BB:NetworkDefinition: 信頼できないネットワークセグメント
ビルディング・ブロック BB:NetworkDefinition: 信頼されたネットワークセグメント
注: このビルディング・ブロックは、デフォルトのネットワーク階層を参照します。 別のネットワーク階層を使用している場合は、このビルディング・ブロックを更新してください。
ビルディング・ブロック BB:NetworkDefinition: 信頼されないローカルネットワーク
注: このビルディング・ブロックは、デフォルトのネットワーク階層を参照します。 別のネットワーク階層を使用している場合は、このビルディング・ブロックを更新してください。

以下の検索が IBM Security QRadar PCI コンテンツ拡張 V1.0.0によって追加されました。

  • リンク使用状況
  • 失敗したマルウェアのクリーニング
  • マルウェア・イベント (IP 別)
  • マルウェア・イベント (名前別)
  • 失敗したリモート・アクセス (VPN およびその他)
  • 上位の宛先ネットワーク - 内部
  • 上位の送信元ネットワーク
  • PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (許可)
  • PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (すべて)
  • PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (拒否)
  • PCI 1.2.1b - 許可されたインバウンド・トラフィック
  • PCI 1.2.1b - 許可されたアウトバウンド・トラフィック
  • PCI 1.3.1 - 内部から DMZ への許可されたトラフィック
  • PCI 1.3.2 - インターネットから内部ネットワーク (非 DMZ) へのトラフィックを許可
  • PCI 1.3.3 - インターネットとカード所有者データとの間のトラフィック
  • PCI 1.3.5 - カード所有者データとインターネット (非 DMZ) との間のトラフィック
  • PCI 2.1 - 受け入れられたベンダー提供のデフォルト
  • PCI 2.2.1 - サーバーごとのプライマリー機能
  • PCI 2.3 - トラステッド・ネットワーク・ゾーンに対するプロトコル
  • PCI 4.1 - トラステッド・ネットワーク・ゾーンに対するプロトコル
  • PCI 5.2 - マルウェア・イベント (イベント名別またはアクション別)
  • PCI 6.1 - 検出された脆弱性
  • PCI 6.6 - 公開されたアプリケーションとサービスに対する攻撃
  • PCI 7.1 - カード所有者とトラステッド・システムへのアクセス
  • PCI 8.1 - ユーザーによって追加されたユーザー・アカウント
  • PCI 8.1 - ユーザーによって変更されたユーザー・アカウント
  • PCI 10.2 - PCI 8.1 - 管理ユーザーによって追加されたユーザー・アカウント
  • PCI 10.5.4 受け取ったログの検査
  • PCI 10.6 SIEM 監査の概要
  • PCI 10.7 SIEM バックアップ・アクティビティー

以下のカスタム・プロパティーが IBM Security QRadar PCI コンテンツ拡張 V1.0.0によって追加されました。

  • AccountName
  • VirusName

( 上に戻る )