Payment Card Industry
PCI レポートに準拠するには、IBM Security QRadar Payment Card Industry (PCI) Reporting Content Extension を使用してください。
IBM セキュリティ QRadar PCI コンテンツ拡張 V1.1.1
以下の表は、 IBM Security QRadar PCI Content Extension V1.1.1 のカスタムプロパティを示しています。
| 今までの値 | 新規の値 |
|---|---|
| イニシエーター・ユーザー名 (Initiator User Name) | イニシエーター・ユーザー名 (Initiator Username) |
| ターゲット・ユーザー名 | ターゲット・ユーザー名 |
IBM Security QRadar PCI コンテンツ拡張 V1.1.0
次の表では、 IBM Security QRadar PCI コンテンツ拡張 V1.1.0のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | 場所 |
|---|---|---|
| File Hash | はい | |
| ファイル名 | はい | |
| イニシエーター・ユーザー名 (Initiator User Name) | はい | Microsoft Windows |
| MD5 ハッシュ | はい | |
| SHA1 ハッシュ | はい | |
| SHA256 ハッシュ | はい | |
| ターゲット・ユーザー名 | はい | |
| 脅威カテゴリー (Threat Category) | いいえ | |
| 脅威ファミリー (Threat Family) | いいえ | |
| 脅威名 | はい | |
| 脅威の重大度 | いいえ |
- AccountName
- VirusName
次の表では、 IBM Security QRadar PCI コンテンツ拡張 V1.1.0で追加されたビルディング・ブロックを示しています。
| 名前 | 説明 |
|---|---|
| BB:DeviceDefinition: Endpoint Protection Devices | 「BB:DeviceDefinition: Antivirus」を置き換えるものです。 このルールは、システム上のすべてのエンドポイント保護デバイスを定義します。 |
- BB:CategoryDefinition: Authentication Failures
- BB:CategoryDefinition: Authentication Success
- BB:CategoryDefinition: Firewall or ACL Accept
- BB:CategoryDefinition: Firewall or ACL Denies
- BB:CategoryDefinition: Superuser Accounts
- BB:DeviceDefinition: AntiVirus
- BB:DeviceDefinition: IDS / IPS
- BB:NetworkDefinition: 信頼されたネットワークセグメント
- Device Stopped Sending Events
- 失敗したマルウェアまたはウィルスのクリーニング
- 失敗したマルウェアのクリーニング
- PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (許可)
- PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (すべて)
- PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (拒否)
- PCI 1.2.1b - 許可されたインバウンド・トラフィック
- PCI 1.2.1b - 許可されたアウトバウンド・トラフィック
- PCI 1.3.1 - 内部から DMZ への許可されたトラフィック
- PCI 1.3.2 - インターネットから内部ネットワーク (非 DMZ) へのトラフィックを許可
- PCI 1.3.3 - インターネットとカード所有者データとの間のトラフィック
- PCI 1.3.5 - カード所有者データとインターネット (非 DMZ) との間のトラフィック
- PCI 2.3 - トラステッド・ネットワーク・ゾーンに対するプロトコル
- PCI 4.1 - トラステッド・ネットワーク・ゾーンに対するプロトコル
- PCI 5.2 - マルウェア・イベント (イベント名別またはアクション別)
- PCI 6.6 - 公開されたアプリケーションとサービスに対する攻撃
- PCI 7.1 - カード所有者とトラステッド・システムへのアクセス
- PCI 10.5.4 受け取ったログの検査
- 失敗したリモート・アクセス (VPN およびその他)
- 成功したリモート・アクセス (VPN およびその他)
- PCI 8.1 - ユーザーによって追加されたユーザー・アカウント
- PCI 8.1 - ユーザーによって変更されたユーザー・アカウント
保存済み検索の名前 (英語)「PCI 6.6 - Attacks against Public Facing Applications and Servies (PCI 6.6 - 公開されたアプリケーションとサービスに対する攻撃)」が、「PCI 6.6 - Attacks against Public Facing Applications and Services」に変更されました。
保存済み検索の名前 (英語)「PCI 10.5.4 Verification of Logs Recieved (PCI 10.5.4 受け取ったログの検査)」が、「PCI 10.5.4 Verification of Logs Received」に変更されました。
- File Hash
- ファイル名
- MD5
- SHA 1
- SHA 256
- 脅威カテゴリー (Threat Category)
- 脅威ファミリー (Threat Family)
- 脅威の重大度
保存済み検索「PCI 10.2 - PCI 8.1 - 管理ユーザーによって追加されたユーザー・アカウント」で、「BB:CategoryDefinition: Superuser Accounts」が使用されていた箇所が、「LOWER(username) in ('admin', 'superuser', 'root', 'toor', 'init', 'administrator', 'sys', 'system')」
に置き換えられました。
- PCI 8.1 - ユーザー・アカウントの追加および変更 (月次)
- PCI 8.1 - ユーザー・アカウントの追加および変更 (週次)
- PCI 8.1 - ユーザー・アカウントの追加および変更
IBM Security QRadar PCI コンテンツ拡張 V1.0.3
保存済み検索がすべてのユーザーで共有されるようになりました。 「その他」
グループに入っていた保存済み検索は、「PCI」
グループに移動ました。
IBM Security QRadar PCI コンテンツ拡張 V1.0.2
次の表では、 IBM Security QRadar PCI コンテンツ拡張 V1.0.2のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| VirusName | はい | 1 | Virus Name: (.*?), |
IBM Security QRadar PCI コンテンツ拡張 V1.0.1
次の表では、 IBM Security QRadar PCI コンテンツ拡張 V1.0.1で更新されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:DeviceDefinition: 侵入検知システム/侵入防止システム | IDS/IPS デバイスによってビルディング・ブロックを更新しました。 |
| ルール | 失敗したマルウェアまたはウィルスのクリーニング | 以下の新規 QID がルールに追加されました。
|
IBM Security QRadar PCI コンテンツ拡張 V1.0.0
以下のレポートが IBM Security QRadar PCI コンテンツ拡張 V1.0.0によって追加されました。
- PCI コンプライアンス失敗
- ネットワーク・トラフィック量
- ネットワーク・トラフィック量
- 上位のユーザー (リモート・アクセス・アクティビティー別)
- PCI コンプライアンス失敗 (週次)
- PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット
- PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (月次)
- PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (週次)
- PCI 1.2.1b - インバウンド・トラフィックおよびアウトバウンド・トラフィック
- PCI 1.2.1b - インバウンド・トラフィックおよびアウトバウンド・トラフィック (月次)
- PCI 1.2.1b - インバウンド・トラフィックおよびアウトバウンド・トラフィック (週次)
- PCI 1.3 - トラフィックのサマリー (詳細)
- PCI 1.3 - トラフィックのサマリー (月次)
- PCI 1.3 - トラフィックのサマリー (時系列)
- PCI 1.3 - トラフィックのサマリー (週次)
- PCI 2.1 - ベンダーのデフォルト
- PCI 2.1 - ベンダーのデフォルト (月次)
- PCI 2.2 - サーバー機能
- PCI 2.3 - トラステッド・セグメントへのトラフィック
- PCI 2.3 - トラステッド・セグメントへのトラフィック (月次)
- PCI 2.3 - トラステッド・セグメントへのトラフィック (週次)
- PCI 4.1 - 非トラステッド・セグメントからトラステッド・セグメントへのトラフィック
- PCI 4.1 - 非トラステッド・セグメントからトラステッド・セグメントへのトラフィック (月次)
- PCI 4.1 - 非トラステッド・セグメントからトラステッド・セグメントへのトラフィック (週次)
- PCI 5.2 - マルウェア PCI 5.2 - マルウェア (月次)
- PCI 5.2 - マルウェア (週次)
- PCI 5.2 - 失敗したマルウェアまたはウィルスのクリーニング
- PCI 5.2 - 上位のマルウェア・アクティビティー
- PCI 6.1 - 脆弱性
- PCI 6.6 - 公開されたアプリケーションまたはサービスに対する攻撃
- PCI 6.6 - 公開されたアプリケーションまたはサービスに対する攻撃 (月次)
- PCI 6.6 - 公開されたアプリケーションまたはサービスに対する攻撃 (週次)
- PCI 7.1 - カード所有者とトラステッド・システムへのアクセス
- PCI 7.1 - カード所有者とトラステッド・システムへのアクセス (月次)
- PCI 7.1 - カード所有者とトラステッド・システムへのアクセス (週次)
- PCI 8.1 - ユーザー・アカウントの追加および変更
- PCI 8.1 - ユーザー・アカウントの追加および変更 (月次)
- PCI 8.1 - ユーザー・アカウントの追加および変更 (週次)
- PCI 10 - PCI 10 データ監査 - データ監査 (月次)
- PCI 10 - データ監査 (週次)
- PCI 10.2 - 管理者によるユーザー・アカウントの追加
- PCI 10.2 - 管理者によるユーザー・アカウントの追加 (月次)
- PCI 10.2 - 管理者によるユーザー・アカウントの追加 (週次)
- PCI 11.3/11.2 脆弱性レポート
- PCI 12.9 インシデント対応 (オフェンスのサマリー) - 週次
次の表では、 IBM Security QRadar PCI コンテンツ拡張 V1.0.0によって追加されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 |
|---|---|
| ルール | Device Stopped Sending Events |
| ルール | 失敗したマルウェアまたはウィルスのクリーニング |
| ビルディング・ブロック | BB:DeviceDefinition: AntiVirus |
| ビルディング・ブロック | BB:DeviceDefinition: IDS / IPS |
| ビルディング・ブロック | BB:CategoryDefinition: Authentication Failures |
| ビルディング・ブロック | BB:CategoryDefinition: Authentication Success |
| ビルディング・ブロック | BB:CategoryDefinition: Firewall or ACL Accept |
| ビルディング・ブロック | BB:CategoryDefinition: Firewall or ACL Denies |
| ビルディング・ブロック | BB:CategoryDefinition: Superuser Accounts |
| ビルディング・ブロック | BB:NetworkDefinition: Inbound Communication from Internet to Local Host |
| ビルディング・ブロック | BB:NetworkDefinition: 信頼できないネットワークセグメント |
| ビルディング・ブロック | BB:NetworkDefinition: 信頼されたネットワークセグメント 注: このビルディング・ブロックは、デフォルトのネットワーク階層を参照します。 別のネットワーク階層を使用している場合は、このビルディング・ブロックを更新してください。
|
| ビルディング・ブロック | BB:NetworkDefinition: 信頼されないローカルネットワーク 注: このビルディング・ブロックは、デフォルトのネットワーク階層を参照します。 別のネットワーク階層を使用している場合は、このビルディング・ブロックを更新してください。
|
以下の検索が IBM Security QRadar PCI コンテンツ拡張 V1.0.0によって追加されました。
- リンク使用状況
- 失敗したマルウェアのクリーニング
- マルウェア・イベント (IP 別)
- マルウェア・イベント (名前別)
- 失敗したリモート・アクセス (VPN およびその他)
- 上位の宛先ネットワーク - 内部
- 上位の送信元ネットワーク
- PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (許可)
- PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (すべて)
- PCI 1.2.1a - 内部ネットワーク (非 DMZ) からインターネット (拒否)
- PCI 1.2.1b - 許可されたインバウンド・トラフィック
- PCI 1.2.1b - 許可されたアウトバウンド・トラフィック
- PCI 1.3.1 - 内部から DMZ への許可されたトラフィック
- PCI 1.3.2 - インターネットから内部ネットワーク (非 DMZ) へのトラフィックを許可
- PCI 1.3.3 - インターネットとカード所有者データとの間のトラフィック
- PCI 1.3.5 - カード所有者データとインターネット (非 DMZ) との間のトラフィック
- PCI 2.1 - 受け入れられたベンダー提供のデフォルト
- PCI 2.2.1 - サーバーごとのプライマリー機能
- PCI 2.3 - トラステッド・ネットワーク・ゾーンに対するプロトコル
- PCI 4.1 - トラステッド・ネットワーク・ゾーンに対するプロトコル
- PCI 5.2 - マルウェア・イベント (イベント名別またはアクション別)
- PCI 6.1 - 検出された脆弱性
- PCI 6.6 - 公開されたアプリケーションとサービスに対する攻撃
- PCI 7.1 - カード所有者とトラステッド・システムへのアクセス
- PCI 8.1 - ユーザーによって追加されたユーザー・アカウント
- PCI 8.1 - ユーザーによって変更されたユーザー・アカウント
- PCI 10.2 - PCI 8.1 - 管理ユーザーによって追加されたユーザー・アカウント
- PCI 10.5.4 受け取ったログの検査
- PCI 10.6 SIEM 監査の概要
- PCI 10.7 SIEM バックアップ・アクティビティー
以下のカスタム・プロパティーが IBM Security QRadar PCI コンテンツ拡張 V1.0.0によって追加されました。
- AccountName
- VirusName