General Data Protection Regulamento (PIBR) de conformidade

Use a IBM Security QRadar Content Extension for GDPR para monitorar de perto a conformidade com o GDPR. Baseline Maintenance 1.09 ou superior é necessária para que a GDPR Content Extension seja executada corretamente.

Instalar Manutenção de Linha de Base antes de instalar a Extensão de Conteúdo do GDPR.

O IBM Security QRadar Content Extension for GDPR pode ser usado com:
  • Ofuscação de dados (consulte Proteger dados sensíveis no IBM QRadar Guia de administração.
  • QRadar Network Insights, para detectar dados pessoais sobre fluxos.
  • Aplicativo Pulse do QRadar
Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Content Extensions para GDPR

IBM Extensão de conteúdo de segurança QRadar para o RGPD 1.0.5

A tabela a seguir mostra as regras com as descrições atualizadas no IBM Security QRadar Content Extension for GDPR 1.0.5

Tabela 1. Regras com descrições atualizadas no IBM Security QRadar Content Extension for GDPR 1.0.5
Tipo Nome Descrição
Regra Taxa de transferência alta de transferência de saída grande Detecta um único host que está enviando mais dados da rede do que o recebido. Esta regra detecta mais de 500 MB dos dados transferidos ao longo de um período de 12 minute.
Regra Taxa de transferência lenta de transferência de saída grande Detecta um único host que está enviando mais dados da rede do que o recebido. Esta regra detecta mais de 500 MB dos dados transferidos ao longo de um período de 2 hora. Isto é bastante lento e pode indicar vazamento de dados furtivo.

IBM Extensão de conteúdo de segurança QRadar para o RGPD 1.0.4

Removeu uma expressão duplicada a partir da propriedade customizada Data de nascimento.

IBM Security QRadar Content Extension para GDPR 1.0.3

As procuras salvas agora são compartilhadas com todos os usuários.

A tabela a seguir mostra as propriedades customizáveis no IBM Security QRadar Content Extension for GDPR 1.0.3

Tabela 2. Propriedades customizadas no IBM Security QRadar Content Extension for GDPR 1.0.3
Nome Otimizada Grupo de Captura Expressão regular
Nome da política Sim 1 LEEF:[0-9\.]+\|IBM\|Guardium\|[^\|]+\|([^\|]+)

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Content Extension for GDPR 1.0.3

Tabela 3. Regras e blocos de construção no IBM Security QRadar Content Extension for GDPR 1.0.3
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Modificações do usuário ou função do SIEM Identifica eventos de modificações de função e usuário do SIEM.
Bloco de construção BB:DeviceDefinition: dispositivos DLP Define todos os dispositivos de prevenção de perda de dados (DLP) no sistema.
Regra Atividade suspeita em dados pessoais detectada por dispositivos DLP Detecta atividades suspeitas nos dados pessoais de um dispositivo DLP. Os dispositivos DLP são definidos no bloco de construção BB:DeviceDefinition: dispositivos DLP.

IBM Extensão de conteúdo de segurança QRadar para o RGPD 1.0.2

A tabela a seguir mostra as regras removidas no IBM Security QRadar Content Extension for GDPR 1.0.2

Tabela 4. Regras removidas no IBM Security QRadar Content Extension for GDPR 1.0.2
Tipo Nome Descrição
Regra Carregar Blocos de Construção Básicos Esta regra carrega blocos de construção que precisam ser executados para ajudar com relatórios. Esta regra não possui ações ou respostas.
Nota: No IBM Segurança QRadar Content Extension for GDPR 1.0.2, todas as propriedades customizadas que foram anteriormente vinculadas ao tipo de origem de log do DSM SIM Generic Log são vinculadas ao tipo de origem de log do DSM IBM Custom.

IBM Security QRadar Content Extension para GDPR 1.0.1

A tabela a seguir mostra as propriedades customizáveis no IBM Security QRadar Content Extension for GDPR 1.0.1

Tabela 5. Propriedades customizadas no IBM Security QRadar Content Extension for GDPR 1.0.1
Nome Otimizada Grupo de Captura Expressão regular Notas
ID de Pesquisa API Sim 1 PathInfo=\/ariel\/searches\/(\S{36})\/results Tipo de origem de log: SIM Audit

Nome do evento: solicitação de API com sucesso

Data de nascimento Não 1 ((?:0[1-9]|[12]\d|3[01])([\/.-])(?:0[1-9]|1[12])\2(?:(?:19|20)?\d{2}))

((?:0[1-9]|1[12])([\/.-])(?:0[1-9]|[12]\d|3[01])\2(?:(?:19|20)?\d{2}))

Tipo de origem de log: SIM Generic Log DSM

Edite o regex para esta propriedade customizada conforme necessário para os casos de uso de negócios.

Elemento Não 1 Name= \" ([^ \"] +) \"

\'([\w\s]+) Retention\' from \'\d+\' to \'\d+\'

Tipo de origem de log: SIM Audit

Nomes de eventos:

  • Dados de referência criados
  • Dados de Referência Removidos
  • Dados de referência atualizados
E-mail Sim 1 ([a-zA-Z0-9._%-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,4}) Tipo de origem de log: SIM Generic Log DSM

Edite o regex para esta propriedade customizada conforme necessário para os casos de uso de negócios.

IBAN Não 1 ([a-zA-Z]{2}[0-9]{2}[a-zA-Z0-9]{4}[0-9]{7}([a-zA-Z0-9]?){0,16}) Tipo de origem de log: SIM Generic Log DSM

Edite o regex para esta propriedade customizada conforme necessário para os casos de uso de negócios.

Número de Passaporte Sim 1 ([A-Z0-9<]{9}[0-9]{1}[A-Z]{3}[0-9]{7}[A-Z]{1}[0-9]{7}[A-Z0-9<]{14}[0-9]{2}) Tipo de origem de log: SIM Generic Log DSM

Edite o regex para esta propriedade customizada conforme necessário para os casos de uso de negócios.

Período de retenção Não 1 TimeToLive="([^\"]+)"

\'[\w\s]+ Retention\' from \'\d+\' to \'(\d+)\'

Tipo de origem de log: SIM Audit

Nomes de eventos:

  • Dados de referência criados
  • Dados de referência atualizados
  • Mudança de Configuração do Sistema
Função Sim 1 Role Name:\s+([^|]+)\s+

Estado atual:.+Nome da função:\s+([^\|]+)\s+

Name:\s+([^|]+)\s+

Estado atual:. + Name: \s + \ '([^ \'] +) \'

Tipo de origem de log: SIM Audit

Nomes de eventos:

  • Função de Usuário Incluída
  • Função de Usuário Modificada
  • Conta do Usuário Incluída
  • Conta do Usuário Modificada
Pesquisa Executada Sim 1 Filters:(.*?)\,\s+Columns Tipo de origem de log: SIM Audit

Nome do Evento: Procura Executada

Conta do usuário Sim 1 Username:\s+([^|]+)\s+ Tipo de origem de log: SIM Audit

Categoria: Mudança na Configuração do SIM

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Content Extension for GDPR 1.0.1

Tabela 6. Regras e blocos de construção no IBM Security QRadar Content Extension for GDPR 1.0.1
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Falhas de Autenticação Inclui todos os eventos que indicam uma tentativa sem sucesso de acessar a rede.
Bloco de construção BB:CategoryDefinition: Sucessos de Autenticação Inclui todos os eventos que indicam tentativas bem-sucedidas de acessar a rede.
Bloco de construção BB:CategoryDefinition: Categorias de Evento de Transferência de Dados Edite este bloco de construção para definir categorias de transferência em eventos.
Bloco de construção BB:CategoryDefinition: Categorias de Fluxo de Transferência de Dados Edite este bloco de construção para definir categorias de transferência de dados em fluxos.
Bloco de construção BB:CategoryDefinition: IP de Destino é uma Região/País Terceiro

Edite este BB para incluir qualquer localização geográfica que seria classificada como um país terceiro.

Após a configuração, é possível ativar as regras a seguir:

  • Dados pessoais transferidos para um país terceiro
  • Dados pessoais transferidos para um país terceiro para usuários
Bloco de construção BB:CategoryDefinition: Modificações do usuário ou função do SIEM Verifica o QID específico do usuário do QRadar e a criação e modificação da função.
Bloco de construção BB:CategoryDefinition: IP de Origem é uma Região/País Terceiro

Edite este bloco de construção para incluir qualquer localização geográfica que seria classificada como um país terceiro.

Após a configuração, é possível ativar as regras a seguir:

  • Dados pessoais transferidos para um país terceiro
  • Dados pessoais transferidos para um país terceiro para usuários
Bloco de construção BB:CategoryDefinition: Conta de superusuário Lista as contas ou nomes de usuário de superusuários.
Bloco de construção BB:ComplianceDefinition: Servidor de Dados Pessoais GDPR Este bloco de construção define os hosts que geralmente armazenam e processam dados pessoais. Configure o conjunto de referência Servidor de Dados Pessoais para definir esses hosts em seu ambiente.
Bloco de construção BB:ComplianceDefinition: Dados pessoais detectados em eventos

Edite este bloco de construção para definir propriedades customizadas que possam conter dados pessoais. As propriedades customizadas a seguir são criadas por padrão e devem ser adaptadas às origens de log necessárias:

  • Data de nascimento
  • E-mail
  • International Bank Account Number (IBAN)
  • Número de Passaporte

É possível criar outras propriedades customizadas para dados pessoais e incluí-las neste bloco de construção.

Os dados pessoais são classificados como tendo o identificador comum (por exemplo, endereços IP, nomes de usuários) e o identificador sensível (por exemplo, números de cartão de crédito).

Bloco de construção BB:ComplianceDefinition: Dados pessoais detectados em fluxos

Edite este bloco de construção para definir propriedades customizadas ou campos que possam conter dados pessoais. Os campos QRadar Network Insights a seguir são adaptados por padrão:

  • Senha
  • Descrições de Conteúdo Suspeito (apenas para alerta de entidade e conteúdo confidencial)

Os dados pessoais são classificados como tendo o identificador comum (por exemplo, endereços IP, nomes de usuários) e o identificador sensível (por exemplo, números de cartão de crédito).

Bloco de construção BB:ComplianceDefinition: Processando usuários contestados nos eventos Este bloco de construção define os usuários que contestaram a coleta e o processamento de seus dados pessoais. Configure o conjunto de referência Usuários contestados do GDPR para definir os nomes de usuário que se aplicam em seu ambiente.
Bloco de construção BB:ComplianceDefinition: Processando usuários contestados no fluxos Este bloco de construção define os usuários que contestaram a coleta e o processamento de seus dados pessoais. Configure o conjunto de referência Usuários contestados do GDPR para definir os nomes de usuário que se aplicam em seu ambiente.
Bloco de construção BB:ComplianceDefinition: Processando usuários restritos em eventos Este bloco de construção define os usuários que obtiveram restrições sobre o processamento de seus dados pessoais. Configure o conjunto de referência Usuários restritos do GDPR para definir os nomes de usuário que se aplicam em seu ambiente.
Bloco de construção BB:ComplianceDefinition: Processando usuários restritos em fluxos Este bloco de construção define os usuários que obtiveram restrições sobre o processamento de seus dados pessoais. Configure o conjunto de referência Usuários restritos do GDPR para definir os nomes de usuário que se aplicam em seu ambiente.
Regra Exfiltração de Dados Detectada no Servidor de Dados Pessoais GDPR

Esta regra implementa o GDPR 2016/679, que se concentra na detecção de exfiltração de dados a partir do conjunto de referência Servidor de dados pessoais, em que os hosts que armazenam ou processam dados pessoais são listados. Edite esta regra para refinar eventos de transferência de dados específicos ou blocos de construção.

Defina a transferência de arquivos em eventos nas seguintes regras e blocos de construção:

  • BB:CategoryDefinition: Categorias de transferência de dados em eventos
  • BB:CategoryDefinition: Categorias de transferência de dados em fluxos
  • Taxa de transferência alta de transferência de saída grande
  • Taxa de transferência lenta de transferência de saída grande
Regra Taxa de transferência alta de transferência de saída grande Detecta um único host que está enviando mais dados da rede do que o recebido. Esta regra detecta mais de 2 MB de dados transferidos em um período de 12 horas.
Regra Taxa de transferência lenta de transferência de saída grande Detecta um único host que está enviando mais dados da rede do que o recebido. Esta regra detecta mais de 2 MB de dados transferidos em um período de 2 horas. Isto é bastante lento e pode indicar vazamento de dados furtivo.
Regra Carregar Blocos de Construção Básicos Esta regra carrega blocos de construção que precisam ser executados para ajudar com relatórios. Esta regra não possui ações ou respostas.
Regra Dados Pessoais Processados para Usuários Objetados em Eventos

Esta regra implementa o GDPR 2016/679, que se concentra nos dados pessoais coletados dos usuários que contestam a coleta e o processamento de seus dados pessoais. Edite essa regra para monitorar eventos específicos, como transferência de dados ou modificações de dados com dados pessoais.

Defina a detecção de dados pessoais no bloco de construção BB:ComplianceDefinition: Dados Pessoais Detectados em Eventos.

Defina usuários objetados no bloco de construção BB:ComplianceDefinition: Processando Usuários Objetados em Eventos.

Regra Dados Pessoais Processados para Usuários Objetados em Fluxos

Esta regra implementa o GDPR 2016/679, que se concentra nos dados pessoais coletados dos usuários que contestam a coleta e o processamento de seus dados pessoais. Edite essa regra para monitorar eventos específicos, como transferência de dados ou modificações de dados com dados pessoais.

Defina a detecção de dados pessoais no bloco de construção BB:ComplianceDefinition: Dados Pessoais Detectados em Fluxos.

Defina usuários objetados no bloco de construção BB:ComplianceDefinition: Processando Usuários Objetados em Fluxos.

Regra Dados Pessoais Transferidos para Regiões/Países Terceiros

Esta regra implementa GDPR 2016/679, cujo foco são dados pessoais transferidos para regiões/países terceiros para quaisquer usuários. Edite essa regra para monitorar eventos específicos, como transferência de dados ou modificações de dados com dados pessoais.

Defina categorias de transferência de dados nos seguintes blocos de construção:

  • BB:CategoryDefinition: Categorias de transferência de dados em eventos
  • BB:CategoryDefinition: Categorias de transferência de dados em fluxos

Defina países terceiros no bloco de construção BB:CategoryDefinition: IP de Destino é uma Região/País Terceiro.

Defina a detecção de dados pessoais nos seguintes blocos de construção:

  • BB:ComplianceDefinition: Dados pessoais detectados em eventos
  • BB:ComplianceDefinition: Dados pessoais detectados em fluxos
Regra Dados Pessoais Transferidos para Regiões/Países Terceiros para Usuários

Esta regra implementa GDPR 2016/679, cujo foco são dados pessoais transferidos para regiões/países terceiros para usuários que restringidos ou objetados. Edite essa regra para monitorar eventos específicos, como transferência de dados ou modificações de dados com dados pessoais.

Ao ativar essa regra, refine a regra Dados Pessoais Transferidos para uma Região/País Terceiro para evitar que ambas as regras disparem uma ofensa.

Defina usuários restringidos ou objetados nos seguintes blocos de construção:

  • BB:ComplianceDefinition: Processando usuários restritos em eventos
  • BB:ComplianceDefinition: Processando usuários restritos em fluxos
  • BB:ComplianceDefinition: Processando usuários contestados nos eventos
  • BB:ComplianceDefinition: Processando usuários contestados no fluxos

Defina a detecção de dados pessoais nos seguintes blocos de construção:

  • BB:ComplianceDefinition: Dados pessoais detectados em eventos
  • BB:ComplianceDefinition: Dados pessoais detectados em fluxos
Regra Possíveis Contas Compartilhadas Detecta o uso de uma conta compartilhada. Edite o bloco de construção BB:CategoryDefinition: Contas de Superusuário para excluir contas de superusuário.
Regra Conexão Remota no Servidor de Dados Pessoais GDPR

Esta regra implementa o GDPR 2016/679, que se concentra na detecção de exfiltração de dados a partir do conjunto de referência Servidor de dados pessoais, em que os hosts que armazenam ou processam dados pessoais são listados.

Defina fluxos de comunicação de sucesso no bloco de construção BB:CategoryDefinition: Comunicação de Sucesso.

Regra Comunicação de entrada remota a partir de um país/região estrangeiro

Esta regra implementa o GDPR 2016/679, que se concentra na detecção de exfiltração de dados a partir do conjunto de referência Servidor de dados pessoais, em que os hosts que armazenam ou processam dados pessoais são listados.

Defina fluxos de comunicação de sucesso nos seguintes blocos de construção:

  • BB:CategoryDefinition: IP de Origem é um País Terceiro
  • BB:CategoryDefinition: Comunicação bem-sucedida

A tabela a seguir mostra os relatórios no IBM Security QRadar Content Extension for GDPR 1.0.1

Tabela 7. Relatórios no IBM Security QRadar Content Extension for GDPR 1.0.1
Relatório Descrição
Origem dos Dados Pessoais do GDPR 2016/679

Fornece uma visão geral de onde os dados pessoais foram obtidos. O conteúdo do relatório é coletado a partir das seguintes procuras:

  • GDPR como Grupo de Origem de Log
  • Origem de Log como Servidor de Dados Pessoais

Defina o nome do usuário não pessoal no bloco de construção BB:CategoryDefinition: Contas de Superusuário.

Configuração de Retenção de Dados do QRadar GDPR 2016/679

Fornece uma visão geral das alterações do período de retenção de dados no QRadar® quando o Gerenciamento do conjunto de referência e as Configurações do sistema são configurados. O conteúdo do relatório é intercalado da procura Configuração de Retenção de Dados do QRadar.

Os comandosnullvalor de retenção significa que ele é configurado para o tempo irrestrito. Edite essa procura e as dependências de procura relevantes para refinar os resultados. Esse relatório não inclui dados transmitidos para terceiros, como:

  • aplicativos integrados a um produto ou serviço de terceiros
  • aplicativos que compartilham dados com um serviço de nuvem gerenciado pelo fornecedor do aplicativo
  • respostas de regra configuradas para E-mail, Enviar para SysLog Local, Enviar para Destinos de Encaminhamento ou Executar Ação Customizada
Dados Pessoais do GDPR 2016/679 Processados para um Usuário

Fornece uma visão geral dos dados pessoais processados para um usuário. O nome do usuário deve ser incluído nas procuras antes da geração do relatório.

O conteúdo do relatório é intercalado da procura Dados Pessoais Processados para um Usuário.

Edite essa procura e as dependências de procura relevantes para refinar mais os resultados.

Registro das Atividades de Processamento do GDPR 2016/679

Fornece uma visão geral das Atividades de Processamento do QRadar

O conteúdo do relatório é coletado a partir das seguintes procuras:

  • Atividades de Processamento de
  • Atividades de Processamento do Usuário através de API

Edite essa procura e as dependências de procura relevantes para refinar mais os resultados.

Autenticação de Usuário do GDPR 2016/679 para Servidor de Dados Pessoais do GDPR

Fornece uma visão geral de autenticação para um Servidor de Dados Pessoais do GDPR. O conteúdo do relatório é coletado a partir das seguintes procuras:

  • Sucesso de Autenticação para o Servidor de Dados Pessoais do GDPR
  • Falha de Autenticação para o Servidor de Dados Pessoais do GDPR

Defina eventos de sucesso de autenticação e o Servidor de Dados Pessoais nos seguintes blocos de construção:

  • BB:CategoryDefinition: Sucesso de Autenticação
  • BB:ComplianceDefinition: Servidor de Dados Pessoais do GDPR Este bloco de construção verifica se o endereço IP está no conjunto de referência Servidor de Dados Pessoais do GDPR. Inclua endereços IP nesse conjunto de referência para definir os hosts que geralmente armazenam e processam dados pessoais.
Modificações de Usuário e Função do QRadar do GDPR 2016/679

Fornece uma visão geral das modificações de usuário e de função do QRadar O conteúdo do relatório é intercalado da procura Modificações de Usuário e Função do QRadar.

Defina eventos de usuário e função no bloco de construção BB:CategoryDefinition: Modificações de Usuário e Função do SIEM.

Dados Pessoais do GDPR 2016/679 Transferidos para um País Terceiro

Fornece uma visão geral dos dados pessoais transferidos para um país terceiro.

O conteúdo do relatório é intercalado da procura Dados Pessoais Transferidos para um País Terceiro.

Edite essa procura e as dependências de procura relevantes para refinar mais os resultados.

Auditoria do QRadar - Atividade de autenticação do usuário Mostra os sucessos e as falhas de autenticação no QRadar Isso inclui o principal uso do nome do usuário e um relatório detalhado sobre a atividade de autenticação. O conteúdo do relatório é intercalado através das seguintes procuras:
  • Auditoria SIEM - Sucesso de Autenticação por Nome de Usuário
  • Auditoria SIEM - Falha de Autenticação por Nome de Usuário
  • Auditoria SIEM - Atividade de Autenticação do Usuário

Edite essa procura e as dependências de procura relevantes para refinar mais os resultados.

A tabela a seguir mostra os dados de referência no IBM Security QRadar Content Extension for GDPR 1.0.1

Tabela 8. Dados de Referência no IBM Segurança QRadar Content Extension for GDPR 1.0.1
Tipo Nome
Conjunto de Referências Usuários Objetados do GDPR
Conjunto de Referências Usuários Restritos do GDPR
Conjunto de Referências Servidor de Dados Pessoais
Conjunto de Referências Implementação do QRadar