Guia de Boa prática 13 (GPG13)
Use a extensão de conteúdo IBM Segurança QRadar GPG13 para ajudar a garantir a conformidade com GPG13.
- IBM Segurança QRadar GPG13 Extensão de conteúdo 1.1.0
- IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.6
- IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.5
- IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.4
- IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.3
- IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.2
- IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.1
- IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.0
IBM Segurança QRadar GPG13 Extensão de conteúdo 1.1.0
A tabela a seguir mostra os blocos de construção e as regras que são atualizados no IBM Security QRadar GPG13 Content Extension 1.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Acessos de objeto com falha | Condição de regra atualizada para usar uma categoria em vez de um QID. Renomeado. Anteriormente chamado de BB:CategoryDefinition: Acessos de arquivos com falha. |
| Regra | Mudança de configuração feita para dispositivo na rede de perímetro | Incluído o bloco de construção BB:DeviceDefinition: VPN à condição de regra. Renomeado. Anteriormente chamado de Mudança de configuração feita para dispositivo na rede de perímetro. |
| Regra | Mudanças de configuração feitas em dispositivos de proteção de terminal | Renomeado. Anteriormente chamado de Mudanças de configuração feitas para dispositivos AV/Malware. |
| Regra | Acessos VPN com falha | Renomeado. Anteriormente chamado de Acessos VPN com falha. |
| Regra | Falha de acesso a objeto | Renomeado. Anteriormente chamado de Falha de acesso do sistema de arquivos. |
| Regra | Pacotes descartados por dispositivos de rede de perímetro | Incluído o bloco de construção BB:DeviceDefinition: VPN à condição de regra. |
| Regra | Falhas na Autenticação do Usuário em Sistemas Internos | Incluído o bloco de construção BB:DeviceDefinition: VPN à condição de regra. |
| Regra | Falhas na Autenticação do Usuário em Sistemas de Perímetro | Incluído o bloco de construção BB:DeviceDefinition: VPN à condição de regra. |
| Regra | Sessões do Usuário em Dispositivos de Não Perímetro | Incluído o bloco de construção BB:DeviceDefinition: VPN à condição de regra. |
As seguintes regras e blocos de construção que são removidos no IBM Security QRadar GPG13 Content Extension 1.1.0.
- BB:CategoryDefinition: Aplicativo ou Serviço Instalado ou Modificado
- BB:CategoryDefinition: Falhas de Autenticação
- BB:CategoryDefinition: Sucesso de Autenticação
- BB:CategoryDefinition: Autenticação para Conta Desativada
- BB:CategoryDefinition: Autenticação para Conta Expirada
- BB:CategoryDefinition: Eventos de Logout
- BB:CategoryDefinition: Modificações do usuário ou função do SIEM
- BB:DeviceDefinition: FW/Roteador/Comutador
- BB:DeviceDefinition: IDS / IPS
- BB:DeviceDefinition: VPN
- BB:HostDefinition: Servidores de banco de dados
- BB:HostDefinition: Servidores DHCP
- BB:HostDefinition: Servidores DNS
- BB:HostDefinition: Servidores FTP
- BB:HostDefinition: Servidores LDAP
- BB:HostDefinition: servidores de e-mail
- BB:HostDefinition: Servidores de gerenciamento de rede
- BB:HostDefinition: Ativos Protegidos
- BB:HostDefinition: Servidores proxy
- BB:HostDefinition: Servidores RPC
- BB:HostDefinition: Servidores
- BB:HostDefinition: Remetente ou destinatário SNMP
- BB:HostDefinition: Servidores SSH
- BB:HostDefinition: Definição de vírus e outros servidores de atualização
- BB:HostDefinition: Servidores da Web
- BB:HostDefinition: Servidores Windows
- BB:PortDefinition: Portas do banco de dados
- BB:PortDefinition: Portas DHCP
- BB:PortDefinition: Portas DNS
- BB:PortDefinition: Portas FTP
- BB:PortDefinition: Portas LDAP
- BB:PortDefinition: portas de e-mail
- BB:PortDefinition: Portas P2P
- BB:PortDefinition: Portas RPC
- BB:PortDefinition: Portas SNMP
- BB:PortDefinition: Portas SSH
- BB:PortDefinition: Portas Web
- BB:PortDefinition: Portas do Windows
- BB:ProtocolDefinition: Protocolos do Windows
- Dispositivo Parou de Enviar Eventos
- Dispositivo parou de enviar eventos (Firewall, IPS, VPN ou Comutador)
O relatório GPG13 (PMC4) Failing File System Access Attempts (Daily) é agora chamado GPG13 (PMC4) Failing Object Access Attempts (Daily).
A procura salva Falhas de acesso ao sistema de arquivos nas últimas 24 horas agora é chamada Falhas de acesso ao objeto nas últimas 24 horas.
IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.6
A tabela a seguir mostra as propriedades customizadas atualizadas no IBM Security QRadar GPG13 Content Extension 1.0.6.
| Propriedade Customizada | Grupo de Captura | Otimizada | Expressão regular |
|---|---|---|---|
| GroupID | 1 | Sim | Group ID[:\s\\=]*(\d+) |
IBM Segurança QRadar GPG13 Content Extension 1.0.5
As regras e blocos de construção a seguir que são removidos no IBM Security QRadar GPG13 Content Extension 1.0.5.
- BB:DeviceDefinition: AntiVirus
- Mudanças de Privilégio de Usuário em Ativos Protegidos
- Rastreamento de Sessão VPN
IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.4
A tabela a seguir mostra as propriedades customizadas atualizadas no IBM Security QRadar GPG13 Content Extension 1.0.4.
| Propriedade Customizada | Grupo de Captura | Otimizada | Expressão regular |
|---|---|---|---|
| GroupID | 1 | Não | Group ID[:\s\\=]*(\d+) |
IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.3
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar GPG13 Content Extension 1.0.3.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Auditoria de login SSH | Sim | 1 | \[Authentication\] \[User\] \[(UserLogin|LoginAttempt)\].*? on host .* |
| Host de origem de log | Sim | 1 | \s+hostName=(\S+) |
| Identificador de objeto de auditoria | Sim | 1 | \s+id=(\S+) |
IBM Segurança QRadar GPG13 Content Extension 1.0.2
A tabela a seguir mostra os blocos de construção que são atualizados no IBM Security QRadar GPG13 Content Extension 1.0.2.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:DeviceDefinition: IDS / IPS | Bloco de construção atualizado com dispositivos IDS/IPS. |
| Bloco de construção | BB:DeviceDefinition: FW/Roteador/Comutador | Bloco de construção atualizado com dispositivos FW/Roteador/Comutador. |
| Bloco de construção | BB:DeviceDefinition: VPN | Blocos de construção atualizados com dispositivos VPN. |
| Bloco de construção | BB:HostDefinition: Servidores proxy | Incluídas BB:PortDefinition: Portas de proxy no teste de regra. |
| Bloco de construção | BB:HostDefinition: Servidores | Bloco de construção atualizado com definição do servidor. |
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Desativada | Incluídos os QIDs a seguir:
|
IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.1
A tabela a seguir mostra o bloco de construção atualizado no IBM Security QRadar GPG13 Content Extension 1.0.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Autenticação para Conta Desativada | Incluído QID 5000475: Falha na auditoria: Uma conta com falha ao efetuar logon. |
IBM Segurança QRadar GPG13 Extensão de conteúdo 1.0.0
A tabela a seguir mostra as propriedades customizadas no IBM Segurança QRadar GPG13 Content Extension 1.0.0.
| Nome | Expressão regular |
|---|---|
| Identificador de objeto de auditoria | \s+id=(\S+) |
| AccountDomain | Target Domain: (.*?) |
| AccountID | ID da conta de destino: (.*?) |
| Computer | \s+Computer=(\S+) |
| Versão | \s+Version:\s+(\S+) |
| GroupID | ID do grupo: (\d+) |
| ChangedAttributes | Changed Attributes: (.*) |
| Nome do Host de Origem de Log | \s+hostName=(\S+) |
A tabela a seguir mostra as regras e os blocos de construção que estão no IBM Security QRadar GPG13 Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: Acesso Negado | Define eventos em diferentes categorias de Acesso Negado. |
| Bloco de construção | BB:CategoryDefinition: Eventos de Bloqueio de Conta | Define eventos de bloqueio de contas. |
| Bloco de construção | BB:CategoryDefinition: Atividades do Usuário Responsável | Define eventos de atividade do usuário responsável, como atividade de backup, e eventos de auditoria geral. |
| Bloco de construção | BB:CategoryDefinition: Eventos de Backup e Restauração | Define eventos de backup e restauração. |
| Bloco de construção | BB:CategoryDefinition: Categorias de backup | Define categorias de backup. |
| Bloco de construção | BB:CategoryDefinition: Eventos de backup | Define eventos de backup. |
| Bloco de construção | BB:CategoryDefinition: Direitos de acesso a arquivo ou pasta mudados | Define mudança de permissão em eventos de pasta ou arquivo. |
| Bloco de construção | BB:CategoryDefinition: Eventos da Sessão CISCO | Define eventos de sessão Cisco. |
| Bloco de construção | BB:CategoryDefinition: Falha de Acessos de Arquivo | Define eventos de acesso de arquivo com falha. |
| Bloco de construção | BB:CategoryDefinition: Falha de Serviço ou Hardware | Define categorias de eventos que indicam falhas nos serviços ou hardware. |
| Bloco de construção | BB:CategoryDefinition: Eventos de Manipulação de Arquivo de Log | Define eventos de manipulação de arquivos de log. |
| Bloco de construção | BB:CategoryDefinition: Serviço Iniciado | Define eventos iniciados de serviço. |
| Bloco de construção | BB:CategoryDefinition: Eventos de Mudança de Status de Serviço | Define eventos de mudança de status de serviço. |
| Bloco de construção | BB:CategoryDefinition: Serviço Interrompido | Define eventos interrompidos de serviço. |
| Bloco de construção | BB:CategoryDefinition: Sessão Encerrada | Define todos os eventos Sessão encerrada por categorias. |
| Bloco de construção | BB:CategoryDefinition: Sessão Aberta | Define todos os eventos Sessão aberta por categorias. |
| Bloco de construção | BB:CategoryDefinition: Autenticação do SIEM | Define eventos de autenticação do usuário do SIEM Audit. |
| Bloco de construção | BB:CategoryDefinition: Falhas de autenticação do SIEM | Define eventos de falha de autenticação do SIEM. |
| Bloco de construção | BB:CategoryDefinition: Bloqueios de Acesso de IP do SIEM | Define evento de bloqueio de IP do SIEM. |
| Bloco de construção | BB:CategoryDefinition: Contas de Superusuário | Define eventos de contas de superusuário. |
| Bloco de construção | BB:CategoryDefinition: Mudança na Configuração do Sistema ou Dispositivo | Define eventos de mudança de configuração do sistema ou dispositivo. |
| Bloco de construção | BB:CategoryDefinition: Eventos de Início/Parada do Sistema | Define eventos de início ou parada do sistema. |
| Bloco de construção | BB:CategoryDefinition: Eventos de Mudança de Status do Sistema | Define eventos de mudança de status do sistema. |
| Bloco de construção | BB:CategoryDefinition: Sessão VoIP Aberta | Define eventos que indicam o início de uma sessão VoIP. |
| Bloco de construção | BB:CategoryDefinition: Acesso VPN Negado | Define eventos de VPN que são considerados acessos negados. |
| Bloco de construção | BB:CategoryDefinition: Mudanças de Status de VPN | Define eventos de mudança de status de VPN. |
| Bloco de construção | BB:Compliance: Rastreamento de Sessão | Define eventos de rastreamento de sessão. |
| Bloco de construção | BB:Compliance: Mudanças de Configuração de Detecção do SIEM | Define eventos de mudança de configuração de detecção do SIEM. |
| Bloco de construção | BB:DeviceDefinition: Dispositivos de Rede de Perímetro | Define dispositivos de rede de perímetro. Nota: Preencha o grupo de origem de log do Perimeter Network Devices com fontes de log aplicáveis.
|
| Bloco de construção | BB:Eventos com falha do contratado externo | Define falhas causadas por contratados externos. |
| Bloco de construção | BB:Eventos de violação da política do contratado externo | Define violações de políticas causadas por contratados externos. |
| Bloco de construção | BB:Eventos com Falha | Define eventos com falha |
| Bloco de construção | BB:CategoryDefinition: Falha de Acessos de Arquivo | Define eventos com falha de acesso a objetos. |
| Bloco de construção | BB:HostBased: Eventos Críticos | Define categorias de evento que indicam eventos críticos. |
| Bloco de construção | BB:Eventos do administrador de TI | Define ações executadas pela equipe Admin.de TI. |
| Bloco de construção | BB:Eventos com falha do trabalhador móvel | Define falhas causadas por trabalhadores móveis. |
| Bloco de construção | BB:Eventos de violação de política do trabalhador móvel | Define violações de políticas causadas por trabalhadores móveis. |
| Bloco de construção | BB: Revisão de Direitos de Acesso | Define ações realizadas por administradores em usuários. |
| Bloco de construção | BB:Eventos com falha do teletrabalhador | Define falhas causadas por teletrabalhadores. |
| Bloco de construção | BB: Eventos de violação da política de teletrabalho | Define violações de políticas causadas por teletrabalhadores. |
| Bloco de construção | BB:VMware: Atividade de Sessão | Define eventos de atividade de sessão VMware. |
| Regra | Transferência de Arquivo de Entrada Bloqueada no Perímetro | Aciona quando há uma tentativa bloqueada de se comunicar a um Dispositivo do Perímetro em uma porta geralmente usada para transferir arquivos. Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos. |
| Regra | Transferência de Arquivo de Saída Bloqueada no Perímetro | Aciona quando há uma tentativa bloqueada de se comunicar de um Dispositivo do Perímetro em uma porta geralmente usada para transferir arquivos. Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos. |
| Regra | Mudança de configuração feita para dispositivo na rede de perímetro | Aciona quando um evento categorizado como uma modificação de configuração é observado em um dispositivo de perímetro. Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos. |
| Regra | Mudanças de Configuração Feitas em Dispositivos AV/Malware | Aciona quando um evento categorizado como uma modificação de configuração é observado em um dispositivo de proteção de terminal. Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos. |
| Regra | Mensagens Críticas do Servidor | Aciona quando um evento categorizado como emergência ou crítico é observado. |
| Regra | Falha no Acesso ao VPN | Aciona quando uma falha de autenticação, uma tentativa de autenticação em uma conta desativada ou uma tentativa de autenticação em uma conta desativada for detectada. |
| Regra | Falha de Acesso do Sistema de Arquivos | Aciona quando um acesso a um objeto está sendo negado. Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos. |
| Regra | Pacotes descartados por dispositivos de rede de perímetro | Aciona quando o tráfego é negado por um dispositivo de perímetro. Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos. |
| Regra | Serviço Interrompido e Não Reiniciado | Aciona quando um serviço foi interrompido em um sistema e não foi reiniciado. |
| Regra | Falhas na Autenticação do Usuário em Sistemas Internos | Aciona quando uma falha de autenticação é observada em um dispositivo que não é de perímetro. |
| Regra | Falhas na Autenticação do Usuário em Sistemas de Perímetro | Aciona quando uma falha de autenticação é observada em um dispositivo que é de perímetro. |
| Regra | Mudanças de Privilégio de Usuário em Ativos Protegidos | Aciona quando direitos são designados ou removidos para um usuário em um ativo, que está no bloco de construção de ativos protegidos. Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos. |
| Regra | Responsabilidades do Usuário e Uso de Senha | Aciona quando uma conta de usuário é bloqueada. |
| Regra | Sessões do Usuário em Dispositivos de Não Perímetro | Esta regra acompanha a abertura de sessão e o encerramento em dispositivos que não são de perímetro. Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos. |
| Regra | Rastreamento de Sessão VPN | Rastreia abertura e encerramento de sessão em dispositivos VPN. Ajuste a regra adequadamente em seu requisito de conformidade e ative as respostas de regra. É altamente recomendável aplicar limitador de respostas devido à probabilidade de corresponder a um alto número de eventos. |
Os relatórios a seguir estão incluídos na IBM Segurança QRadar GPG13 Extensão de Conteúdo 1.0.0.
- GPG13 (PMC3) Falhas de Autenticação do Usuário em Sistemas Limite (Diário)
- GPG13 (PMC3) Pacotes Sendo Descartados por Firewalls Limite (Diário)
- GPG13 (PMC7) Gravação de atividade de sessão por usuário e estação de trabalho - Revisão de Direitos de Acesso (Diário)
- GPG13 (PMC7) Atividades ou Transações do Usuário Responsável (Diário)
- GPG13 (PMC4) Mensagens do Host em Crítico e Acima (Diário)
- GPG13 (PMC7) Mudanças de Status da Conta de Rede (Diário)
- GPG13 (PMC5) Falhas de Autenticação do Usuário em Sistemas de Monitoramento Interno (Diário)
- GPG13 (PMC8) Eventos de Backup e Restauração
- GPG13 (PMC2) Mudanças de Configuração e Assinatura em Dispositivos Limite
- GPG13 (PMC6) Atividade de Sessão do Usuário VPN (Diário)
- GPG13 (PMC4) Mudanças nos Direitos de Acesso de Arquivo ou Caminho (Diário)
- GPG13 (PMC4) Mudanças no Status do Sistema (Diário)
- GPG13 (PMC9) Mudanças de Configuração para SIEM, Alertas, Regras (Diário)
- GPG13 (PMC6) Mudanças no Status do Registro do Nó VPN (Diário)
- GPG13 (PMC7) Uso de Instalações Administrativas (Diário)
- GPG13 (PMC4) Mudanças de Configuração para Dispositivos AV/Malware (Diário)
- GPG13 (PMC7) Mudança de Status da Conta de Rede do Usuário (Diário)
- GPG13 (PMC4) Falha nas Tentativas de Acessar o Sistema de Arquivos (Diário)
- GPG13 (PMC10) Reconfigurações do Arquivo de Log, Erros e Condições de Limite
- GPG13 (PMC2) Transferências de Arquivo de Entrada Bloqueadas no Limite (Diário)
- GPG13 (PMC7) Mudanças no Status de Privilégio em Ativos Críticos (Diário)
- GPG13 (PMC4) Mudanças no Status de Serviço (Diário)
- GPG13 (PMC6) Registros de Nó VPN Malsucedidos (Diário)
- GPG13 (PMC3) Mudanças de status de software de reconhecimento de ataque externo (Diário)
- GPG13 (PMC2) Transferências de Arquivo de Saída Bloqueadas no Limite (Diário)
- GPG13 (PMC3) Sessões do Usuário em Dispositivos Limite (Diário)
- GPG13 (PMC5) Sessões do Usuário em Dispositivos Internos (Diário)
- GPG13 (PMC7) Sessões de Rede do Usuário (Diário)
- GPG13 (PMC4) Mudanças em qualquer base de assinatura de A/V do host
As procuras salvas a seguir estão incluídas no IBM Security QRadar GPG13 Content Extension 1.0.0
- Pacotes Descartados por Dispositivos da Rede de Perímetro nas Últimas 24 Horas
- Falhas na Autenticação do Usuário em Sistemas de Perímetro pelo Usuário nas Últimas 24 Horas
- Conformidade: Eventos de Mudança de Status do Sistema
- Mensagens Críticas do Servidor nas Últimas 24 Horas
- Conformidade: Mudanças nos Direitos de Acesso de Arquivo ou Pasta
- Conformidade: Autenticações e Sessões do Administrador
- Pacotes Descartados por Dispositivos da Rede de Perímetro por IP de Origem e Destino nas Últimas 24 Horas
- Eventos de Backup e Restauração
- Falhas de Autenticação do Usuário em Sistemas de Perímetro nas últimas 24 horas
- Conformidade: Mudanças de Assinatura de A/V do Host do Windows
- Eventos de Manipulação de Arquivo de Log nas Últimas 24 Horas
- Falhas de Acesso ao Sistema de Arquivo nas Últimas 24 Horas
- Conformidade: Mudanças de Status da Conta de Rede
- Conformidade: Transferência de Saída Bloqueada
- Conformidade: Falha no Acesso ao VPN
- Revisão de Direitos de Acesso, SIEM
- Conformidade: Eventos de Atividade do Usuário Responsável
- Conformidade: Transferências de Entrada Bloqueadas
- Falhas de Autenticação do Usuário em Sistemas de Monitoramento Interno nas Últimas 24 Horas
- Conformidade: Eventos de Mudança de Privilégio de Usuário em Ativos Protegidos
- Conformidade: Eventos SessionTracking VPN
- Conformidade: Eventos de Mudança de Status de Serviço
- Conformidade: Eventos de Mudanças de Status de VPN
- Revisão de Direitos de Acesso, Windows
- Conformidade: Mudanças de Configuração do SIEM
- Conformidade: Todas as Sessões do Usuário
- Revisão de Direitos de Acesso, Rede
- Conformidade: Sessões do Usuário Interno
- GPG13 (PMC7) - Revisão de Direitos de Acesso
- Mudanças de Configuração e Assinatura Feitas em Dispositivos de Perímetro
- Conformidade: Mudanças de Configuração de Detecção do SIEM
- Conformidade: Sessões do Usuário do Dispositivo de Perímetro
- Conformidade: Eventos de Mudança de Configuração em Dispositivos AV/Malware