Guia de Boa prática 13 (GPG13)

Use a extensão de conteúdo IBM Segurança QRadar GPG13 para ajudar a garantir a conformidade com GPG13.

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Segurança QRadar GPG13 Extensão de conteúdo 1.1.0

A tabela a seguir mostra os blocos de construção e as regras que são atualizados no IBM Security QRadar GPG13 Content Extension 1.1.0.

Tabela 1. Blocos de construção e regras no IBM Security QRadar GPG13 Extensão de conteúdo 1.1.0
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Acessos de objeto com falha Condição de regra atualizada para usar uma categoria em vez de um QID.

Renomeado. Anteriormente chamado de BB:CategoryDefinition: Acessos de arquivos com falha.

Regra Mudança de configuração feita para dispositivo na rede de perímetro Incluído o bloco de construção BB:DeviceDefinition: VPN à condição de regra.

Renomeado. Anteriormente chamado de Mudança de configuração feita para dispositivo na rede de perímetro.

Regra Mudanças de configuração feitas em dispositivos de proteção de terminal Renomeado. Anteriormente chamado de Mudanças de configuração feitas para dispositivos AV/Malware.
Regra Acessos VPN com falha Renomeado. Anteriormente chamado de Acessos VPN com falha.
Regra Falha de acesso a objeto Renomeado. Anteriormente chamado de Falha de acesso do sistema de arquivos.
Regra Pacotes descartados por dispositivos de rede de perímetro Incluído o bloco de construção BB:DeviceDefinition: VPN à condição de regra.
Regra Falhas na Autenticação do Usuário em Sistemas Internos Incluído o bloco de construção BB:DeviceDefinition: VPN à condição de regra.
Regra Falhas na Autenticação do Usuário em Sistemas de Perímetro Incluído o bloco de construção BB:DeviceDefinition: VPN à condição de regra.
Regra Sessões do Usuário em Dispositivos de Não Perímetro Incluído o bloco de construção BB:DeviceDefinition: VPN à condição de regra.

As seguintes regras e blocos de construção que são removidos no IBM Security QRadar GPG13 Content Extension 1.1.0.

  • BB:CategoryDefinition: Aplicativo ou Serviço Instalado ou Modificado
  • BB:CategoryDefinition: Falhas de Autenticação
  • BB:CategoryDefinition: Sucesso de Autenticação
  • BB:CategoryDefinition: Autenticação para Conta Desativada
  • BB:CategoryDefinition: Autenticação para Conta Expirada
  • BB:CategoryDefinition: Eventos de Logout
  • BB:CategoryDefinition: Modificações do usuário ou função do SIEM
  • BB:DeviceDefinition: FW/Roteador/Comutador
  • BB:DeviceDefinition: IDS / IPS
  • BB:DeviceDefinition: VPN
  • BB:HostDefinition: Servidores de banco de dados
  • BB:HostDefinition: Servidores DHCP
  • BB:HostDefinition: Servidores DNS
  • BB:HostDefinition: Servidores FTP
  • BB:HostDefinition: Servidores LDAP
  • BB:HostDefinition: servidores de e-mail
  • BB:HostDefinition: Servidores de gerenciamento de rede
  • BB:HostDefinition: Ativos Protegidos
  • BB:HostDefinition: Servidores proxy
  • BB:HostDefinition: Servidores RPC
  • BB:HostDefinition: Servidores
  • BB:HostDefinition: Remetente ou destinatário SNMP
  • BB:HostDefinition: Servidores SSH
  • BB:HostDefinition: Definição de vírus e outros servidores de atualização
  • BB:HostDefinition: Servidores da Web
  • BB:HostDefinition: Servidores Windows
  • BB:PortDefinition: Portas do banco de dados
  • BB:PortDefinition: Portas DHCP
  • BB:PortDefinition: Portas DNS
  • BB:PortDefinition: Portas FTP
  • BB:PortDefinition: Portas LDAP
  • BB:PortDefinition: portas de e-mail
  • BB:PortDefinition: Portas P2P
  • BB:PortDefinition: Portas RPC
  • BB:PortDefinition: Portas SNMP
  • BB:PortDefinition: Portas SSH
  • BB:PortDefinition: Portas Web
  • BB:PortDefinition: Portas do Windows
  • BB:ProtocolDefinition: Protocolos do Windows
  • Dispositivo Parou de Enviar Eventos
  • Dispositivo parou de enviar eventos (Firewall, IPS, VPN ou Comutador)

O relatório GPG13 (PMC4) Failing File System Access Attempts (Daily) é agora chamado GPG13 (PMC4) Failing Object Access Attempts (Daily).

A procura salva Falhas de acesso ao sistema de arquivos nas últimas 24 horas agora é chamada Falhas de acesso ao objeto nas últimas 24 horas.

(Voltar para o topo)

IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.6

A tabela a seguir mostra as propriedades customizadas atualizadas no IBM Security QRadar GPG13 Content Extension 1.0.6.

Tabela 2. Propriedades Customizadas Atualizadas no IBM Security QRadar GPG13 Extensão de Conteúdo 1.0.6
Propriedade Customizada Grupo de Captura Otimizada Expressão regular
GroupID 1 Sim Group ID[:\s\\=]*(\d+)

(Voltar para o topo)

IBM Segurança QRadar GPG13 Content Extension 1.0.5

As regras e blocos de construção a seguir que são removidos no IBM Security QRadar GPG13 Content Extension 1.0.5.

  • BB:DeviceDefinition: AntiVirus
  • Mudanças de Privilégio de Usuário em Ativos Protegidos
  • Rastreamento de Sessão VPN

(Voltar para o topo)

IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.4

A tabela a seguir mostra as propriedades customizadas atualizadas no IBM Security QRadar GPG13 Content Extension 1.0.4.

Tabela 3. Propriedades customizadas atualizadas no IBM Security QRadar GPG13 Content Extension 1.0.4
Propriedade Customizada Grupo de Captura Otimizada Expressão regular
GroupID 1 Não Group ID[:\s\\=]*(\d+)

(Voltar para o topo)

IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.3

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar GPG13 Content Extension 1.0.3.

Tabela 4. Propriedades customizadas no IBM Security QRadar GPG13 Content Extension 1.0.3
Nome Otimizada Grupo de Captura Expressão regular
Auditoria de login SSH Sim 1 \[Authentication\] \[User\] \[(UserLogin|LoginAttempt)\].*? on host .*
Host de origem de log Sim 1 \s+hostName=(\S+)
Identificador de objeto de auditoria Sim 1 \s+id=(\S+)

(Voltar para o topo)

IBM Segurança QRadar GPG13 Content Extension 1.0.2

A tabela a seguir mostra os blocos de construção que são atualizados no IBM Security QRadar GPG13 Content Extension 1.0.2.

Tabela 5. Blocos de construção no IBM Security QRadar GPG13 Content Extension 1.0.2
Tipo Nome Descrição
Bloco de construção BB:DeviceDefinition: IDS / IPS Bloco de construção atualizado com dispositivos IDS/IPS.
Bloco de construção BB:DeviceDefinition: FW/Roteador/Comutador Bloco de construção atualizado com dispositivos FW/Roteador/Comutador.
Bloco de construção BB:DeviceDefinition: VPN Blocos de construção atualizados com dispositivos VPN.
Bloco de construção BB:HostDefinition: Servidores proxy Incluídas BB:PortDefinition: Portas de proxy no teste de regra.
Bloco de construção BB:HostDefinition: Servidores Bloco de construção atualizado com definição do servidor.
Bloco de construção BB:CategoryDefinition: Autenticação para Conta Desativada Incluídos os QIDs a seguir:
  • 5001948: Falha de auditoria: uma conta falhou ao efetuar logon: Conta desativada
  • 5001959: Uma conta falhou ao efetuar logon: Conta desativada
  • 5001954: Falha de auditoria: uma conta falhou ao efetuar logon: Usuário bloqueado
  • 5001965: Uma conta falhou ao efetuar logon: Usuário bloqueado
  • 5001949: Falha de auditoria: uma conta falhou ao efetuar logon: Conta expirada
  • 5001960: Uma conta falhou ao efetuar logon: Conta expirada
  • 5001951: Falha de auditoria: uma conta falhou ao efetuar logon: Logon fora do tempo horário normal
  • 5001962: Uma conta falhou ao efetuar logon: Logon fora do horário normal

(Voltar para o topo)

IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.1

A tabela a seguir mostra o bloco de construção atualizado no IBM Security QRadar GPG13 Content Extension 1.0.1.

Tabela 6. Bloco de construção no IBM Security QRadar GPG13 Content Extension 1.0.1
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Autenticação para Conta Desativada Incluído QID 5000475: Falha na auditoria: Uma conta com falha ao efetuar logon.

(Voltar para o topo)

IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.0

A tabela a seguir mostra as propriedades customizadas no IBM Segurança QRadar GPG13 Content Extension 1.0.0.

Tabela 7. Propriedades customizadas no IBM Security QRadar GPG13 Content Extension 1.0.0
Nome Expressão regular
Identificador de objeto de auditoria \s+id=(\S+)
AccountDomain Target Domain: (.*?)
AccountID ID da conta de destino: (.*?)
Computer \s+Computer=(\S+)
Versão \s+Version:\s+(\S+)
GroupID ID do grupo: (\d+)
ChangedAttributes Changed Attributes: (.*)
Nome do Host de Origem de Log \s+hostName=(\S+)

A tabela a seguir mostra as regras e os blocos de construção que estão no IBM Security QRadar GPG13 Content Extension 1.0.0.

Tabela 8. Regras e blocos de construção no IBM Security QRadar GPG13 Extensão de conteúdo 1.0.0
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: Acesso Negado Define eventos em diferentes categorias de Acesso Negado.
Bloco de construção BB:CategoryDefinition: Eventos de Bloqueio de Conta Define eventos de bloqueio de contas.
Bloco de construção BB:CategoryDefinition: Atividades do Usuário Responsável Define eventos de atividade do usuário responsável, como atividade de backup, e eventos de auditoria geral.
Bloco de construção BB:CategoryDefinition: Eventos de Backup e Restauração Define eventos de backup e restauração.
Bloco de construção BB:CategoryDefinition: Categorias de backup Define categorias de backup.
Bloco de construção BB:CategoryDefinition: Eventos de backup Define eventos de backup.
Bloco de construção BB:CategoryDefinition: Direitos de acesso a arquivo ou pasta mudados Define mudança de permissão em eventos de pasta ou arquivo.
Bloco de construção BB:CategoryDefinition: Eventos da Sessão CISCO Define eventos de sessão Cisco.
Bloco de construção BB:CategoryDefinition: Falha de Acessos de Arquivo Define eventos de acesso de arquivo com falha.
Bloco de construção BB:CategoryDefinition: Falha de Serviço ou Hardware Define categorias de eventos que indicam falhas nos serviços ou hardware.
Bloco de construção BB:CategoryDefinition: Eventos de Manipulação de Arquivo de Log Define eventos de manipulação de arquivos de log.
Bloco de construção BB:CategoryDefinition: Serviço Iniciado Define eventos iniciados de serviço.
Bloco de construção BB:CategoryDefinition: Eventos de Mudança de Status de Serviço Define eventos de mudança de status de serviço.
Bloco de construção BB:CategoryDefinition: Serviço Interrompido Define eventos interrompidos de serviço.
Bloco de construção BB:CategoryDefinition: Sessão Encerrada Define todos os eventos Sessão encerrada por categorias.
Bloco de construção BB:CategoryDefinition: Sessão Aberta Define todos os eventos Sessão aberta por categorias.
Bloco de construção BB:CategoryDefinition: Autenticação do SIEM Define eventos de autenticação do usuário do SIEM Audit.
Bloco de construção BB:CategoryDefinition: Falhas de autenticação do SIEM Define eventos de falha de autenticação do SIEM.
Bloco de construção BB:CategoryDefinition: Bloqueios de Acesso de IP do SIEM Define evento de bloqueio de IP do SIEM.
Bloco de construção BB:CategoryDefinition: Contas de Superusuário Define eventos de contas de superusuário.
Bloco de construção BB:CategoryDefinition: Mudança na Configuração do Sistema ou Dispositivo Define eventos de mudança de configuração do sistema ou dispositivo.
Bloco de construção BB:CategoryDefinition: Eventos de Início/Parada do Sistema Define eventos de início ou parada do sistema.
Bloco de construção BB:CategoryDefinition: Eventos de Mudança de Status do Sistema Define eventos de mudança de status do sistema.
Bloco de construção BB:CategoryDefinition: Sessão VoIP Aberta Define eventos que indicam o início de uma sessão VoIP.
Bloco de construção BB:CategoryDefinition: Acesso VPN Negado Define eventos de VPN que são considerados acessos negados.
Bloco de construção BB:CategoryDefinition: Mudanças de Status de VPN Define eventos de mudança de status de VPN.
Bloco de construção BB:Compliance: Rastreamento de Sessão Define eventos de rastreamento de sessão.
Bloco de construção BB:Compliance: Mudanças de Configuração de Detecção do SIEM Define eventos de mudança de configuração de detecção do SIEM.
Bloco de construção BB:DeviceDefinition: Dispositivos de Rede de Perímetro Define dispositivos de rede de perímetro.
Nota: Preencha o grupo de origem de log do Perimeter Network Devices com fontes de log aplicáveis.
Bloco de construção BB:Eventos com falha do contratado externo Define falhas causadas por contratados externos.
Bloco de construção BB:Eventos de violação da política do contratado externo Define violações de políticas causadas por contratados externos.
Bloco de construção BB:Eventos com Falha Define eventos com falha
Bloco de construção BB:CategoryDefinition: Falha de Acessos de Arquivo Define eventos com falha de acesso a objetos.
Bloco de construção BB:HostBased: Eventos Críticos Define categorias de evento que indicam eventos críticos.
Bloco de construção BB:Eventos do administrador de TI Define ações executadas pela equipe Admin.de TI.
Bloco de construção BB:Eventos com falha do trabalhador móvel Define falhas causadas por trabalhadores móveis.
Bloco de construção BB:Eventos de violação de política do trabalhador móvel Define violações de políticas causadas por trabalhadores móveis.
Bloco de construção BB: Revisão de Direitos de Acesso Define ações realizadas por administradores em usuários.
Bloco de construção BB:Eventos com falha do teletrabalhador Define falhas causadas por teletrabalhadores.
Bloco de construção BB: Eventos de violação da política de teletrabalho Define violações de políticas causadas por teletrabalhadores.
Bloco de construção BB:VMware: Atividade de Sessão Define eventos de atividade de sessão VMware.
Regra Transferência de Arquivo de Entrada Bloqueada no Perímetro Aciona quando há uma tentativa bloqueada de se comunicar a um Dispositivo do Perímetro em uma porta geralmente usada para transferir arquivos.

Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos.

Regra Transferência de Arquivo de Saída Bloqueada no Perímetro Aciona quando há uma tentativa bloqueada de se comunicar de um Dispositivo do Perímetro em uma porta geralmente usada para transferir arquivos.

Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos.

Regra Mudança de configuração feita para dispositivo na rede de perímetro Aciona quando um evento categorizado como uma modificação de configuração é observado em um dispositivo de perímetro.

Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos.

Regra Mudanças de Configuração Feitas em Dispositivos AV/Malware Aciona quando um evento categorizado como uma modificação de configuração é observado em um dispositivo de proteção de terminal.

Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos.

Regra Mensagens Críticas do Servidor Aciona quando um evento categorizado como emergência ou crítico é observado.
Regra Falha no Acesso ao VPN Aciona quando uma falha de autenticação, uma tentativa de autenticação em uma conta desativada ou uma tentativa de autenticação em uma conta desativada for detectada.
Regra Falha de Acesso do Sistema de Arquivos Aciona quando um acesso a um objeto está sendo negado.

Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos.

Regra Pacotes descartados por dispositivos de rede de perímetro Aciona quando o tráfego é negado por um dispositivo de perímetro.

Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos.

Regra Serviço Interrompido e Não Reiniciado Aciona quando um serviço foi interrompido em um sistema e não foi reiniciado.
Regra Falhas na Autenticação do Usuário em Sistemas Internos Aciona quando uma falha de autenticação é observada em um dispositivo que não é de perímetro.
Regra Falhas na Autenticação do Usuário em Sistemas de Perímetro Aciona quando uma falha de autenticação é observada em um dispositivo que é de perímetro.
Regra Mudanças de Privilégio de Usuário em Ativos Protegidos Aciona quando direitos são designados ou removidos para um usuário em um ativo, que está no bloco de construção de ativos protegidos.

Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos.

Regra Responsabilidades do Usuário e Uso de Senha Aciona quando uma conta de usuário é bloqueada.
Regra Sessões do Usuário em Dispositivos de Não Perímetro Esta regra acompanha a abertura de sessão e o encerramento em dispositivos que não são de perímetro.

Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos.

Regra Rastreamento de Sessão VPN Rastreia abertura e encerramento de sessão em dispositivos VPN.

Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos.

Os relatórios a seguir estão incluídos na IBM Segurança QRadar GPG13 Extensão de Conteúdo 1.0.0.

  • GPG13 (PMC3) Falhas de Autenticação do Usuário em Sistemas Limite (Diário)
  • GPG13 (PMC3) Pacotes Sendo Descartados por Firewalls Limite (Diário)
  • GPG13 (PMC7) Gravação de atividade de sessão por usuário e estação de trabalho - Revisão de Direitos de Acesso (Diário)
  • GPG13 (PMC7) Atividades ou Transações do Usuário Responsável (Diário)
  • GPG13 (PMC4) Mensagens do Host em Crítico e Acima (Diário)
  • GPG13 (PMC7) Mudanças de Status da Conta de Rede (Diário)
  • GPG13 (PMC5) Falhas de Autenticação do Usuário em Sistemas de Monitoramento Interno (Diário)
  • GPG13 (PMC8) Eventos de Backup e Restauração
  • GPG13 (PMC2) Mudanças de Configuração e Assinatura em Dispositivos Limite
  • GPG13 (PMC6) Atividade de Sessão do Usuário VPN (Diário)
  • GPG13 (PMC4) Mudanças nos Direitos de Acesso de Arquivo ou Caminho (Diário)
  • GPG13 (PMC4) Mudanças no Status do Sistema (Diário)
  • GPG13 (PMC9) Mudanças de Configuração para SIEM, Alertas, Regras (Diário)
  • GPG13 (PMC6) Mudanças no Status do Registro do Nó VPN (Diário)
  • GPG13 (PMC7) Uso de Instalações Administrativas (Diário)
  • GPG13 (PMC4) Mudanças de Configuração para Dispositivos AV/Malware (Diário)
  • GPG13 (PMC7) Mudança de Status da Conta de Rede do Usuário (Diário)
  • GPG13 (PMC4) Falha nas Tentativas de Acessar o Sistema de Arquivos (Diário)
  • GPG13 (PMC10) Reconfigurações do Arquivo de Log, Erros e Condições de Limite
  • GPG13 (PMC2) Transferências de Arquivo de Entrada Bloqueadas no Limite (Diário)
  • GPG13 (PMC7) Mudanças no Status de Privilégio em Ativos Críticos (Diário)
  • GPG13 (PMC4) Mudanças no Status de Serviço (Diário)
  • GPG13 (PMC6) Registros de Nó VPN Malsucedidos (Diário)
  • GPG13 (PMC3) Mudanças de status de software de reconhecimento de ataque externo (Diário)
  • GPG13 (PMC2) Transferências de Arquivo de Saída Bloqueadas no Limite (Diário)
  • GPG13 (PMC3) Sessões do Usuário em Dispositivos Limite (Diário)
  • GPG13 (PMC5) Sessões do Usuário em Dispositivos Internos (Diário)
  • GPG13 (PMC7) Sessões de Rede do Usuário (Diário)
  • GPG13 (PMC4) Mudanças em qualquer base de assinatura de A/V do host

As procuras salvas a seguir estão incluídas no IBM Security QRadar GPG13 Content Extension 1.0.0

  • Pacotes Descartados por Dispositivos da Rede de Perímetro nas Últimas 24 Horas
  • Falhas na Autenticação do Usuário em Sistemas de Perímetro pelo Usuário nas Últimas 24 Horas
  • Conformidade: Eventos de Mudança de Status do Sistema
  • Mensagens Críticas do Servidor nas Últimas 24 Horas
  • Conformidade: Mudanças nos Direitos de Acesso de Arquivo ou Pasta
  • Conformidade: Autenticações e Sessões do Administrador
  • Pacotes Descartados por Dispositivos da Rede de Perímetro por IP de Origem e Destino nas Últimas 24 Horas
  • Eventos de Backup e Restauração
  • Falhas de Autenticação do Usuário em Sistemas de Perímetro nas últimas 24 horas
  • Conformidade: Mudanças de Assinatura de A/V do Host do Windows
  • Eventos de Manipulação de Arquivo de Log nas Últimas 24 Horas
  • Falhas de Acesso ao Sistema de Arquivo nas Últimas 24 Horas
  • Conformidade: Mudanças de Status da Conta de Rede
  • Conformidade: Transferência de Saída Bloqueada
  • Conformidade: Falha no Acesso ao VPN
  • Revisão de Direitos de Acesso, SIEM
  • Conformidade: Eventos de Atividade do Usuário Responsável
  • Conformidade: Transferências de Entrada Bloqueadas
  • Falhas de Autenticação do Usuário em Sistemas de Monitoramento Interno nas Últimas 24 Horas
  • Conformidade: Eventos de Mudança de Privilégio de Usuário em Ativos Protegidos
  • Conformidade: Eventos SessionTracking VPN
  • Conformidade: Eventos de Mudança de Status de Serviço
  • Conformidade: Eventos de Mudanças de Status de VPN
  • Revisão de Direitos de Acesso, Windows
  • Conformidade: Mudanças de Configuração do SIEM
  • Conformidade: Todas as Sessões do Usuário
  • Revisão de Direitos de Acesso, Rede
  • Conformidade: Sessões do Usuário Interno
  • GPG13 (PMC7) - Revisão de Direitos de Acesso
  • Mudanças de Configuração e Assinatura Feitas em Dispositivos de Perímetro
  • Conformidade: Mudanças de Configuração de Detecção do SIEM
  • Conformidade: Sessões do Usuário do Dispositivo de Perímetro
  • Conformidade: Eventos de Mudança de Configuração em Dispositivos AV/Malware

(Voltar para o topo)