General Data Protection Regulamento (PIBR) de conformidade
Use a IBM Security QRadar Content Extension for GDPR para monitorar de perto a conformidade com o GDPR. Baseline Maintenance 1.09 ou superior é necessária para que a GDPR Content Extension seja executada corretamente.
Instalar Manutenção de Linha de Base antes de instalar a Extensão de Conteúdo do GDPR.
- Ofuscação de dados (consulte
Proteger dados sensíveis
no IBM QRadar Guia de administração. - QRadar Network Insights, para detectar dados pessoais sobre fluxos.
- Aplicativo Pulse do QRadar
IBM Security QRadar Content Extensions para GDPR
IBM Extensão de conteúdo de segurança QRadar para o RGPD 1.0.5
A tabela a seguir mostra as regras com as descrições atualizadas no IBM Security QRadar Content Extension for GDPR 1.0.5
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Taxa de transferência alta de transferência de saída grande | Detecta um único host que está enviando mais dados da rede do que o recebido. Esta regra detecta mais de 500 MB dos dados transferidos ao longo de um período de 12 minute. |
| Regra | Taxa de transferência lenta de transferência de saída grande | Detecta um único host que está enviando mais dados da rede do que o recebido. Esta regra detecta mais de 500 MB dos dados transferidos ao longo de um período de 2 hora. Isto é bastante lento e pode indicar vazamento de dados furtivo. |
IBM Extensão de conteúdo de segurança QRadar para o RGPD 1.0.4
Removeu uma expressão duplicada a partir da propriedade customizada Data de nascimento.
IBM Security QRadar Content Extension para GDPR 1.0.3
As procuras salvas agora são compartilhadas com todos os usuários.
A tabela a seguir mostra as propriedades customizáveis no IBM Security QRadar Content Extension for GDPR 1.0.3
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Nome da política | Sim | 1 | LEEF:[0-9\.]+\|IBM\|Guardium\|[^\|]+\|([^\|]+) |
A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Content Extension for GDPR 1.0.3
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Modificações do usuário ou função do SIEM | Identifica eventos de modificações de função e usuário do SIEM. |
| Bloco de construção | BB:DeviceDefinition: dispositivos DLP | Define todos os dispositivos de prevenção de perda de dados (DLP) no sistema. |
| Regra | Atividade suspeita em dados pessoais detectada por dispositivos DLP | Detecta atividades suspeitas nos dados pessoais de um dispositivo DLP. Os dispositivos DLP são definidos no bloco de construção BB:DeviceDefinition: dispositivos DLP. |
IBM Extensão de conteúdo de segurança QRadar para o RGPD 1.0.2
A tabela a seguir mostra as regras removidas no IBM Security QRadar Content Extension for GDPR 1.0.2
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Carregar Blocos de Construção Básicos | Esta regra carrega blocos de construção que precisam ser executados para ajudar com relatórios. Esta regra não possui ações ou respostas. |
IBM Security QRadar Content Extension para GDPR 1.0.1
A tabela a seguir mostra as propriedades customizáveis no IBM Security QRadar Content Extension for GDPR 1.0.1
| Nome | Otimizada | Grupo de Captura | Expressão regular | Notas |
|---|---|---|---|---|
| ID de Pesquisa API | Sim | 1 | PathInfo=\/ariel\/searches\/(\S{36})\/results | Tipo de origem de log: SIM Audit Nome do evento: solicitação de API com sucesso |
| Data de nascimento | Não | 1 | ((?:0[1-9]|[12]\d|3[01])([\/.-])(?:0[1-9]|1[12])\2(?:(?:19|20)?\d{2})) ((?:0[1-9]|1[12])([\/.-])(?:0[1-9]|[12]\d|3[01])\2(?:(?:19|20)?\d{2})) |
Tipo de origem de log: SIM Generic Log DSM Edite o regex para esta propriedade customizada conforme necessário para os casos de uso de negócios. |
| Elemento | Não | 1 | Name= \" ([^ \"] +) \" \'([\w\s]+) Retention\' from \'\d+\' to \'\d+\' |
Tipo de origem de log: SIM Audit Nomes de eventos:
|
| Sim | 1 | ([a-zA-Z0-9._%-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,4}) | Tipo de origem de log: SIM Generic Log DSM Edite o regex para esta propriedade customizada conforme necessário para os casos de uso de negócios. |
|
| IBAN | Não | 1 | ([a-zA-Z]{2}[0-9]{2}[a-zA-Z0-9]{4}[0-9]{7}([a-zA-Z0-9]?){0,16}) | Tipo de origem de log: SIM Generic Log DSM Edite o regex para esta propriedade customizada conforme necessário para os casos de uso de negócios. |
| Número de Passaporte | Sim | 1 | ([A-Z0-9<]{9}[0-9]{1}[A-Z]{3}[0-9]{7}[A-Z]{1}[0-9]{7}[A-Z0-9<]{14}[0-9]{2}) | Tipo de origem de log: SIM Generic Log DSM Edite o regex para esta propriedade customizada conforme necessário para os casos de uso de negócios. |
| Período de retenção | Não | 1 | TimeToLive="([^\"]+)" \'[\w\s]+ Retention\' from \'\d+\' to \'(\d+)\' |
Tipo de origem de log: SIM Audit Nomes de eventos:
|
| Função | Sim | 1 | Role Name:\s+([^|]+)\s+ Estado atual:.+Nome da função:\s+([^\|]+)\s+ Name:\s+([^|]+)\s+ Estado atual:. + Name: \s + \ '([^ \'] +) \' |
Tipo de origem de log: SIM Audit Nomes de eventos:
|
| Pesquisa Executada | Sim | 1 | Filters:(.*?)\,\s+Columns | Tipo de origem de log: SIM Audit Nome do Evento: Procura Executada |
| Conta do usuário | Sim | 1 | Username:\s+([^|]+)\s+ | Tipo de origem de log: SIM Audit Categoria: Mudança na Configuração do SIM |
A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Content Extension for GDPR 1.0.1
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Falhas de Autenticação | Inclui todos os eventos que indicam uma tentativa sem sucesso de acessar a rede. |
| Bloco de construção | BB:CategoryDefinition: Sucessos de Autenticação | Inclui todos os eventos que indicam tentativas bem-sucedidas de acessar a rede. |
| Bloco de construção | BB:CategoryDefinition: Categorias de Evento de Transferência de Dados | Edite este bloco de construção para definir categorias de transferência em eventos. |
| Bloco de construção | BB:CategoryDefinition: Categorias de Fluxo de Transferência de Dados | Edite este bloco de construção para definir categorias de transferência de dados em fluxos. |
| Bloco de construção | BB:CategoryDefinition: IP de Destino é uma Região/País Terceiro | Edite este BB para incluir qualquer localização geográfica que seria classificada como um país terceiro. Após a configuração, é possível ativar as regras a seguir:
|
| Bloco de construção | BB:CategoryDefinition: Modificações do usuário ou função do SIEM | Verifica o QID específico do usuário do QRadar e a criação e modificação da função. |
| Bloco de construção | BB:CategoryDefinition: IP de Origem é uma Região/País Terceiro | Edite este bloco de construção para incluir qualquer localização geográfica que seria classificada como um país terceiro. Após a configuração, é possível ativar as regras a seguir:
|
| Bloco de construção | BB:CategoryDefinition: Conta de superusuário | Lista as contas ou nomes de usuário de superusuários. |
| Bloco de construção | BB:ComplianceDefinition: Servidor de Dados Pessoais GDPR | Este bloco de construção define os hosts que geralmente armazenam e processam dados pessoais. Configure o conjunto de referência Servidor de Dados Pessoais para definir esses hosts em seu ambiente. |
| Bloco de construção | BB:ComplianceDefinition: Dados pessoais detectados em eventos | Edite este bloco de construção para definir propriedades customizadas que possam conter dados pessoais. As propriedades customizadas a seguir são criadas por padrão e devem ser adaptadas às origens de log necessárias:
É possível criar outras propriedades customizadas para dados pessoais e incluí-las neste bloco de construção. Os dados pessoais são classificados como tendo o identificador comum (por exemplo, endereços IP, nomes de usuários) e o identificador sensível (por exemplo, números de cartão de crédito). |
| Bloco de construção | BB:ComplianceDefinition: Dados pessoais detectados em fluxos | Edite este bloco de construção para definir propriedades customizadas ou campos que possam conter dados pessoais. Os campos QRadar Network Insights a seguir são adaptados por padrão:
Os dados pessoais são classificados como tendo o identificador comum (por exemplo, endereços IP, nomes de usuários) e o identificador sensível (por exemplo, números de cartão de crédito). |
| Bloco de construção | BB:ComplianceDefinition: Processando usuários contestados nos eventos | Este bloco de construção define os usuários que contestaram a coleta e o processamento de seus dados pessoais. Configure o conjunto de referência Usuários contestados do GDPR para definir os nomes de usuário que se aplicam em seu ambiente. |
| Bloco de construção | BB:ComplianceDefinition: Processando usuários contestados no fluxos | Este bloco de construção define os usuários que contestaram a coleta e o processamento de seus dados pessoais. Configure o conjunto de referência Usuários contestados do GDPR para definir os nomes de usuário que se aplicam em seu ambiente. |
| Bloco de construção | BB:ComplianceDefinition: Processando usuários restritos em eventos | Este bloco de construção define os usuários que obtiveram restrições sobre o processamento de seus dados pessoais. Configure o conjunto de referência Usuários restritos do GDPR para definir os nomes de usuário que se aplicam em seu ambiente. |
| Bloco de construção | BB:ComplianceDefinition: Processando usuários restritos em fluxos | Este bloco de construção define os usuários que obtiveram restrições sobre o processamento de seus dados pessoais. Configure o conjunto de referência Usuários restritos do GDPR para definir os nomes de usuário que se aplicam em seu ambiente. |
| Regra | Exfiltração de Dados Detectada no Servidor de Dados Pessoais GDPR | Esta regra implementa o GDPR 2016/679, que se concentra na detecção de exfiltração de dados a partir do conjunto de referência Servidor de dados pessoais, em que os hosts que armazenam ou processam dados pessoais são listados. Edite esta regra para refinar eventos de transferência de dados específicos ou blocos de construção. Defina a transferência de arquivos em eventos nas seguintes regras e blocos de construção:
|
| Regra | Taxa de transferência alta de transferência de saída grande | Detecta um único host que está enviando mais dados da rede do que o recebido. Esta regra detecta mais de 2 MB de dados transferidos em um período de 12 horas. |
| Regra | Taxa de transferência lenta de transferência de saída grande | Detecta um único host que está enviando mais dados da rede do que o recebido. Esta regra detecta mais de 2 MB de dados transferidos em um período de 2 horas. Isto é bastante lento e pode indicar vazamento de dados furtivo. |
| Regra | Carregar Blocos de Construção Básicos | Esta regra carrega blocos de construção que precisam ser executados para ajudar com relatórios. Esta regra não possui ações ou respostas. |
| Regra | Dados Pessoais Processados para Usuários Objetados em Eventos | Esta regra implementa o GDPR 2016/679, que se concentra nos dados pessoais coletados dos usuários que contestam a coleta e o processamento de seus dados pessoais. Edite essa regra para monitorar eventos específicos, como transferência de dados ou modificações de dados com dados pessoais. Defina a detecção de dados pessoais no bloco de construção BB:ComplianceDefinition: Dados Pessoais Detectados em Eventos. Defina usuários objetados no bloco de construção BB:ComplianceDefinition: Processando Usuários Objetados em Eventos. |
| Regra | Dados Pessoais Processados para Usuários Objetados em Fluxos | Esta regra implementa o GDPR 2016/679, que se concentra nos dados pessoais coletados dos usuários que contestam a coleta e o processamento de seus dados pessoais. Edite essa regra para monitorar eventos específicos, como transferência de dados ou modificações de dados com dados pessoais. Defina a detecção de dados pessoais no bloco de construção BB:ComplianceDefinition: Dados Pessoais Detectados em Fluxos. Defina usuários objetados no bloco de construção BB:ComplianceDefinition: Processando Usuários Objetados em Fluxos. |
| Regra | Dados Pessoais Transferidos para Regiões/Países Terceiros | Esta regra implementa GDPR 2016/679, cujo foco são dados pessoais transferidos para regiões/países terceiros para quaisquer usuários. Edite essa regra para monitorar eventos específicos, como transferência de dados ou modificações de dados com dados pessoais. Defina categorias de transferência de dados nos seguintes blocos de construção:
Defina países terceiros no bloco de construção BB:CategoryDefinition: IP de Destino é uma Região/País Terceiro. Defina a detecção de dados pessoais nos seguintes blocos de construção:
|
| Regra | Dados Pessoais Transferidos para Regiões/Países Terceiros para Usuários | Esta regra implementa GDPR 2016/679, cujo foco são dados pessoais transferidos para regiões/países terceiros para usuários que restringidos ou objetados. Edite essa regra para monitorar eventos específicos, como transferência de dados ou modificações de dados com dados pessoais. Ao ativar essa regra, refine a regra Dados Pessoais Transferidos para uma Região/País Terceiro para evitar que ambas as regras disparem uma ofensa. Defina usuários restringidos ou objetados nos seguintes blocos de construção:
Defina a detecção de dados pessoais nos seguintes blocos de construção:
|
| Regra | Possíveis Contas Compartilhadas | Detecta o uso de uma conta compartilhada. Edite o bloco de construção BB:CategoryDefinition: Contas de Superusuário para excluir contas de superusuário. |
| Regra | Conexão Remota no Servidor de Dados Pessoais GDPR | Esta regra implementa o GDPR 2016/679, que se concentra na detecção de exfiltração de dados a partir do conjunto de referência Servidor de dados pessoais, em que os hosts que armazenam ou processam dados pessoais são listados. Defina fluxos de comunicação de sucesso no bloco de construção BB:CategoryDefinition: Comunicação de Sucesso. |
| Regra | Comunicação de entrada remota a partir de um país/região estrangeiro | Esta regra implementa o GDPR 2016/679, que se concentra na detecção de exfiltração de dados a partir do conjunto de referência Servidor de dados pessoais, em que os hosts que armazenam ou processam dados pessoais são listados. Defina fluxos de comunicação de sucesso nos seguintes blocos de construção:
|
A tabela a seguir mostra os relatórios no IBM Security QRadar Content Extension for GDPR 1.0.1
| Relatório | Descrição |
|---|---|
| Origem dos Dados Pessoais do GDPR 2016/679 | Fornece uma visão geral de onde os dados pessoais foram obtidos. O conteúdo do relatório é coletado a partir das seguintes procuras:
Defina o nome do usuário não pessoal no bloco de construção BB:CategoryDefinition: Contas de Superusuário. |
| Configuração de Retenção de Dados do QRadar GDPR 2016/679 | Fornece uma visão geral das alterações do período de retenção de dados no QRadar® quando o Gerenciamento do conjunto de referência e as Configurações do sistema são configurados. O conteúdo do relatório é intercalado da procura Configuração de Retenção de Dados do QRadar. Os comandosnullvalor de retenção significa que ele é configurado para o tempo irrestrito. Edite essa procura e as dependências de procura relevantes para refinar os resultados. Esse relatório não inclui dados transmitidos para terceiros, como:
|
| Dados Pessoais do GDPR 2016/679 Processados para um Usuário | Fornece uma visão geral dos dados pessoais processados para um usuário. O nome do usuário deve ser incluído nas procuras antes da geração do relatório. O conteúdo do relatório é intercalado da procura Dados Pessoais Processados para um Usuário. Edite essa procura e as dependências de procura relevantes para refinar mais os resultados. |
| Registro das Atividades de Processamento do GDPR 2016/679 | Fornece uma visão geral das Atividades de Processamento do QRadar O conteúdo do relatório é coletado a partir das seguintes procuras:
Edite essa procura e as dependências de procura relevantes para refinar mais os resultados. |
| Autenticação de Usuário do GDPR 2016/679 para Servidor de Dados Pessoais do GDPR | Fornece uma visão geral de autenticação para um Servidor de Dados Pessoais do GDPR. O conteúdo do relatório é coletado a partir das seguintes procuras:
Defina eventos de sucesso de autenticação e o Servidor de Dados Pessoais nos seguintes blocos de construção:
|
| Modificações de Usuário e Função do QRadar do GDPR 2016/679 | Fornece uma visão geral das modificações de usuário e de função do QRadar O conteúdo do relatório é intercalado da procura Modificações de Usuário e Função do QRadar. Defina eventos de usuário e função no bloco de construção BB:CategoryDefinition: Modificações de Usuário e Função do SIEM. |
| Dados Pessoais do GDPR 2016/679 Transferidos para um País Terceiro | Fornece uma visão geral dos dados pessoais transferidos para um país terceiro. O conteúdo do relatório é intercalado da procura Dados Pessoais Transferidos para um País Terceiro. Edite essa procura e as dependências de procura relevantes para refinar mais os resultados. |
| Auditoria do QRadar - Atividade de autenticação do usuário | Mostra os sucessos e as falhas de autenticação no QRadar Isso inclui o principal uso do nome do usuário e um relatório detalhado sobre a atividade de autenticação. O conteúdo do relatório é intercalado através das seguintes procuras:
Edite essa procura e as dependências de procura relevantes para refinar mais os resultados. |
A tabela a seguir mostra os dados de referência no IBM Security QRadar Content Extension for GDPR 1.0.1
| Tipo | Nome |
|---|---|
| Conjunto de Referências | Usuários Objetados do GDPR |
| Conjunto de Referências | Usuários Restritos do GDPR |
| Conjunto de Referências | Servidor de Dados Pessoais |
| Conjunto de Referências | Implementação do QRadar |