ISO 27001

Use a IBM Security QRadar ISO 27001 Content Extension para garantir a conformidade com a ISO/IEC 27001:2013.

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.1.4

A tabela a seguir mostra o conteúdo que é removido no IBM Security QRadar ISO 27001 Content Extension V1.1.4.

Tabela 1. Conteúdo removido no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.1.4
Tipo Nome
Propriedade Customizada AccountName
Pesquisa salva Conta do Usuário Incluída Por Usuário
Pesquisa salva Conta do Usuário Modificada Por Usuário
Pesquisa salva Conta do Usuário Removida Por Usuário

IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.1.3

A tabela a seguir mostra as propriedades customizadas novas ou mudadas no IBM Security QRadar ISO 27001 Content Extension V1.1.3.

Tabela 2. Propriedades Customizadas Novas ou Alteradas no IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.1.3
Nome Otimizada Grupo de Captura Expressão regular
AccountName Sim 1 Nome da conta de destino: (.*?)
CRE Name Sim 1 (. +?) \t (. +)
ObjectName Sim 1 Object Name[:\s\\=]+(.*?)\s+(?:Handle ID|&&)

Os valores regex a seguir foram removidos:

  • Novo nome do processo: (. *?)
  • Nome do objeto: (. *?)

A tabela a seguir mostra as procuras salvas alteradas no IBM Security QRadar ISO 27001 Content Extension V1.1.3. As procuras tornaram-se compartilháveis ao configurar o valor compartilhado para TRUE.

Tabela 3. Procuras salvas alteradas no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.1.3
Nome
Falha de Login Admin Por IP
Conformidade: IPs de Origem Envolvidos em Regras de Conformidade
Conformidade: Nome de Usuário Envolvido em Regras de Conformidade
Resumo Diário de Violação de Política
Adição ou Alteração de Usuário do Banco de Dados
Grupos Alterados de Hosts Remotos
ISO 27001 - Acesso a Dados de Recursos Humanos
ISO 27001 - Controle de Acesso ao Aplicativo
ISO 27001 - Eventos de Instalação / Desinstalação do Aplicativo
ISO 27001 - Controle de Software Operacional
ISO 27001 - Canais Ocultos e Troias
ISO 27001 - Acesso a Dados
ISO 27001 - Exceções e Falhas por Contratados Externos
ISO 27001 - Exceções e Falhas por Trabalhadores Móveis
ISO 27001 - Exceções e Falhas por Teletrabalhadores
ISO 27001 - Exceções e Falhas por Servidores de Correio
ISO 27001 - Acesso a Ferramentas de Auditoria de Sistemas de Informações
ISO 27001 - Gerenciamento de Rede
ISO 27001 - Controle de Mudança Operacional
ISO 27001 - Log do Operador
ISO 27001 - Revisão de Direitos de Acesso
ISO 27001 - Acesso a Código-fonte
ISO 27001 - Identificação e Autenticação de Usuário
ISO 27001 - Responsabilidades do Usuário e Uso de Senha
Falhas de Log para Contas Expiradas ou Desativadas
Falhas de Login por Usuário
Crimes por IP de Destino
Ofensas por Nome da Regra
Delitos por IP de Origem
Ofensas por Usuário
Falhas no Acesso Remoto (VPN e Outros)
Conta do Usuário Incluída Por Usuário
Conta do Usuário Modificada Por Usuário
Conta do Usuário Removida Por Usuário

A tabela a seguir mostra as regras mudadas no IBM Security QRadar ISO 27001 Content Extension V1.1.3.

Tabela 4. Regras alteradas no ISO 27001 Content Extension V1.1.3
Nome Descrição
Falhas de banco de dados múltiplas seguidas de sucesso Responde quando ocorrem falhas múltiplas de banco de dados seguidas de sucesso dentro de um curto período de tempo. Essa regra foi renomeada a partir da versão anterior.

IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.1.2

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar ISO 27001 Content Extension V1.1.2.

Tabela 5. Novas propriedades customizadas no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.1.2
Nome Otimizada Grupo de Captura Expressão regular
Auditoria de login SSH Sim 1 \[Authentication\] \[User\] \[(UserLogin|LoginAttempt)\].*? on host .*
Host de origem de log Sim 1 \s+hostName=(\S+)
Identificador de objeto de auditoria Sim 1 \s+id=(\S+)

A tabela a seguir mostra as procuras salvas no IBM Security QRadar ISO 27001 Content Extension V1.1.2.

Tabela 6. Procuras Salvas no IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.1.2
Nome Descrição
Conformidade: Nome de Usuário Envolvido em Regras de Conformidade Esta procura mostra o nome de usuário envolvido em regras de conformidade.
Conformidade: IPs de Origem Envolvidos em Regras de Conformidade Esta procura mostra os endereços IP de origem envolvidos em regras de conformidade.

IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.1.1

A tabela a seguir mostra os blocos de construção no IBM Security QRadar ISO 27001 Content Extension V1.1.1.

Tabela 7. Blocos de construção no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.1.1
Nome Descrição
BB:DeviceDefinition: Definição Bloco de construção atualizado com dispositivos de banco de dados.
BB: Acesso às ferramentas de auditoria Incluída a definição de tipo de origem de log para o Windows e Universal DSM.
BB:CategoryDefinition: Autenticação para Conta Desativada Incluídos os QIDs a seguir:
  • 5001948: Falha de auditoria: uma conta falhou ao efetuar logon: Conta desativada
  • 5001959: Uma conta falhou ao efetuar logon: Conta desativada
  • 5001954: Falha de auditoria: uma conta falhou ao efetuar logon: Usuário bloqueado
  • 5001965: Uma conta falhou ao efetuar logon: Usuário bloqueado
  • 5001949: Falha de auditoria: uma conta falhou ao efetuar logon: Conta expirada
  • 5001960: Uma conta falhou ao efetuar logon: Conta expirada
  • 5001951: Falha de auditoria: uma conta falhou ao efetuar logon: Logon fora do tempo horário normal
  • 5001962: Uma conta falhou ao efetuar logon: Logon fora do horário normal

A tabela a seguir mostra a propriedade customizada atualizada no IBM Security QRadar ISO 27001 Content Extension V1.1.1.

Tabela 8. Propriedade customizada no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.1.1
Nome da Propriedade Otimizado? Notas da Atualização Expressão regular Grupo de Captura
ObjectName Sim Removidos os espaços extra na regex de nome do objeto.

Novo nome do processo: (. *?)

Nome do objeto: (. *?)

1

IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.1.0

A tabela a seguir mostra as procuras salvas novas e atualizadas no IBM Security QRadar ISO 27001 Content Extension V1.1.0

Tabela 9. Procuras salvas novas e atualizadas no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.1.1
Nome Descrição
ISO 27001 - Canais Ocultos e Troias Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Exceções e Falhas por Servidores de Correio Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Exceções e Falhas por Trabalhadores Móveis Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Exceções e Falhas por Contratados Externos Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Controle de Acesso ao Aplicativo Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Responsabilidades do Usuário e Uso de Senha Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Acesso a Dados de Recursos Humanos Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Acesso a Ferramentas de Auditoria de Sistemas de Informações Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Gerenciamento de Rede Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Controle de Software Operacional Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Identificação e Autenticação de Usuário Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Acesso a Dados Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Exceções e Falhas por Teletrabalhadores Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Acesso a Código-fonte Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Log do Operador Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Controle de Mudança Operacional Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Revisão de Direitos de Acesso Nova procura para os padrões ISO 27001/IEC 2013
ISO 27001 - Eventos de Instalação / Desinstalação do Aplicativo Nova procura para os padrões ISO 27001/IEC 2013
Falhas no Acesso Remoto (VPN e Outros) Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Ofensas por Usuário Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Resumo Diário de Violação de Política Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Grupos Alterados de Hosts Remotos Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Ofensas por Nome da Regra Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Falhas de Login por Usuário Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Delitos por IP de Destino Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Falhas de Log para Contas Expiradas ou Desativadas Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Conta do Usuário Incluída Por Usuário Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Adição ou Alteração de Usuário do Banco de Dados Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Conta do Usuário Removida Por Usuário Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Conta do Usuário Modificada Por Usuário Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Delitos por IP de Origem Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Falha de Login Admin Por IP Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Conformidade: IPs de Origem Envolvidos em Regras de Conformidade Procura existente atualizada para novos BBs, regras, propriedades customizadas.
Conformidade: Nome de Usuário Envolvido em Regras de Conformidade Procura existente atualizada para novos BBs, regras, propriedades customizadas.

A tabela a seguir mostra as regras e os blocos de construção que são atualizados no IBM Security QRadar ISO 27001 Content Extension V1.1.0.

Tabela 10. Regras e blocos de construção no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.1.0
Tipo Nome Descrição
Regra Carregar Blocos de Construção da ISO 27001:2013 Nova regra ativada incluída na extensão de conteúdo ISO 27001:2013.
Regra Sistema: Eventos de Instalação / Desinstalação do Aplicativo Nova regra ativada incluída na extensão de conteúdo ISO 27001:2013.
Bloco de construção BB: Controle de acesso a aplicativos Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Controle de Acesso ao Aplicativo.
Bloco de construção BB: Acesso às ferramentas de auditoria Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Acesso a Ferramentas de Auditoria.
Bloco de construção BB:CategoryDefinition: Explorar Backdoors e Trojans Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB:CategoryDefinition: Explorar Backdoors e Troias.
Bloco de construção BB:Acesso a Dados Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Acesso a Dados.
Bloco de construção BB:Eventos com falha do contratado externo Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos com Falha do Contratado Externo.
Bloco de construção BB:Eventos de violação da política do contratado externo Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos de Violação de Política do Contratado Externo.
Bloco de construção BB:Eventos com Falha Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos com Falha.
Bloco de construção BB:Dados de RH Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Dados do RH.
Bloco de construção BB:Eventos do administrador de TI Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos do Administrador de TI.
Bloco de construção BB:Eventos com falha do trabalhador móvel Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos com Falha do Trabalhador Móvel.
Bloco de construção BB:Eventos de violação de política do trabalhador móvel Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos de Violação de Política do Trabalhador Móvel.
Bloco de construção BB:NetworkServices Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB:NetworkServices.
Bloco de construção BB: Controle de Mudanças Operacionais Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Controle de Mudança Operacional.
Bloco de construção BB: Eventos de Violação de Política Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos de Violação de Política.
Bloco de construção BB: Revisão de Direitos de Acesso Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Revisão de Direitos de Acesso.
Bloco de construção BB: Acesso Código Fonte Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Acesso a Código-fonte.
Bloco de construção BB: Eventos com Falha de Atualização do Sistema Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos com Falha de Atualização do Sistema.
Bloco de construção BB:Eventos de violação de política de atualização do sistema Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos de Violação de Política de Atualização do Sistema.
Bloco de construção BB:Eventos com falha do teletrabalhador Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos com Falha do Teletrabalhador.
Bloco de construção BB: Eventos de violação da política de teletrabalho Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Eventos de Violação de Política do Teletrabalhador.
Bloco de construção BB: Identificação e autenticação do usuário Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Identificação e Autenticação de Usuário.
Bloco de construção BB:Responsabilidades do usuário e uso de senha Aplique Carregar Blocos de Construção da ISO 27001:2013 em eventos detectados pelo sistema local e quando um evento corresponder a qualquer um dos seguintes BB: Responsabilidades do Usuário e Uso de Senha.

A tabela a seguir mostra as propriedades customizadas que são atualizadas no IBM Security QRadar ISO 27001 Content Extension V1.1.0.

Tabela 11. Propriedades customizadas no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.1.0
Propriedade Customizada Descrição da mudança
AccountName Atualizadas quatro propriedades do Windows Security Event Log para Account Name, Target Account Name e duas variações alternativas de Account Name.
ObjectName Atualizada uma propriedade ObjectName para a origem do log do Universal DSM. Atualizadas três variações de ObjectName para o Microsoft Windows Security Event Log DSM.
CRE Name Nenhuma mudança, mas é obrigatória na extensão de conteúdo.

A tabela a seguir mostra os relatórios que são atualizados no IBM Security QRadar ISO 27001 Content Extension V1.1.0.

Tabela 12. Relatórios no IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.1.0
Relatório Descrição da mudança
ISO 27001:2013 (6.2.1) Trabalhador móvel (Diário) Referências atualizadas do capítulo 6 para os padrões ISO 27001:2013
ISO 27001:2013 (6.2.1) Trabalhador móvel (Mensal) Referências atualizadas do capítulo 6 para os padrões ISO 27001:2013
ISO 27001:2013 (6.2.1) Trabalhador móvel (Semanal) Referências atualizadas do capítulo 6 para os padrões ISO 27001:2013
ISO 27001:2013 (6.2.2) Teletrabalhador (Diário) Referências atualizadas do capítulo 6 para os padrões ISO 27001:2013
ISO 27001:2013 (6.2.2) Teletrabalhador (Mensal) Referências atualizadas do capítulo 6 para os padrões ISO 27001:2013
ISO 27001:2013 (6.2.2) Teletrabalhador (Semana) Referências atualizadas do capítulo 6 para os padrões ISO 27001:2013
ISO 27001:2013 (9.2.2) Identificação e Autenticação de Usuário (Diário) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.2.2) Identificação e Autenticação de Usuário (Mensal) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.2.2) User Identificação e Autenticação de Usuário (Semanal) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.2.5) Revisão de Direitos de Acesso do Usuário (Diário) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.2.5) Revisão de Direitos de Acesso do Usuário (Mensal) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.2.5) Revisão de Direitos de Acesso do Usuário (Semanal) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.3.1) Responsabilidades do Usuário e Uso de Senha (Diário) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.3.1) Responsabilidades do Usuário e Uso de Senha (Mensal) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.3.1) Responsabilidades do Usuário e Uso de Senha (Semanal) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.4) Controle de Acesso ao Aplicativo (Diário) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.4) Controle de Acesso ao Aplicativo (Mensal) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.4) Controle de Acesso ao Aplicativo (Semanal) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.4.5) Acesso a Código-fonte (Diário) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.4.5) Acesso a Código-fonte (Mensal) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (9.4.5) Acesso a Código-fonte (Semanal) Referências atualizadas do capítulo 9 para os padrões ISO 27001:2013
ISO 27001:2013 (12.1) Canais Ocultos e Código de Troia (Diário) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.1) Canais Ocultos e Código de Troia (Mensal) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.1) Canais Ocultos e Código de Troia (Semanal) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.1.2) Controle de Mudança Operacional (Diário) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.1.2) Controle de Mudança Operacional (Mensal) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.1.2) Controle de Mudança Operacional (Semanal) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.4.3) Log do Operador (Diário) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.4.3) Log do Operador (Mensal) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.4.3) Log do Operador (Semanal) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.6.2) Eventos de Instalação / Desinstalação do Aplicativo (Diário) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.6.2) Eventos de Instalação / Desinstalação do Aplicativo (Mensal) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.6.2) Eventos de Instalação / Desinstalação do Aplicativo (Semanal) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.7.1) Acesso a Ferramentas de Auditoria de Sistemas de Informações (Diário) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.7.1) Acesso a Ferramentas de Auditoria de Sistemas de Informações (Mensal) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (12.7.1) Acesso a Ferramentas de Auditoria de Sistemas de Informações (Semanal) Referências atualizadas do capítulo 12 para os padrões ISO 27001:2013
ISO 27001:2013 (13.1) Gerenciamento de Rede (Diário) Referências atualizadas do capítulo 13 para os padrões ISO 27001:2013
ISO 27001:2013 (13.1) Gerenciamento de Rede (Mensal) Referências atualizadas do capítulo 13 para os padrões ISO 27001:2013
ISO 27001:2013 (13.1) Gerenciamento de Rede (Semanal) Referências atualizadas do capítulo 13 para os padrões ISO 27001:2013
ISO 27001:2013 (13.2.3) Servidor de Correio (Diário) Referências atualizadas do capítulo 13 para os padrões ISO 27001:2013
ISO 27001:2013 (13.2.3) Servidor de Correio (Mensal) Referências atualizadas do capítulo 13 para os padrões ISO 27001:2013
ISO 27001:2013 (13.2.3) Servidor de Correio (Semanal) Referências atualizadas do capítulo 13 para os padrões ISO 27001:2013
ISO 27001:2013 (15.2.1) Controle de Software Operacional (Diário) Referências atualizadas do capítulo 15 para os padrões ISO 27001:2013
ISO 27001:2013 (15.2.1) Controle de Software Operacional (Mensal) Referências atualizadas do capítulo 15 para os padrões ISO 27001:2013
ISO 27001:2013 (15.2.1) Controle de Software Operacional (Semanal) Referências atualizadas do capítulo 15 para os padrões ISO 27001:2013
ISO 27001:2013 (15.2.1) Exceções e Falhas por Contratados Externos (Diário) Referências atualizadas do capítulo 15 para os padrões ISO 27001:2013
ISO 27001:2013 (15.2.1) Exceções e Falhas por Contratados Externos (Mensal) Referências atualizadas do capítulo 15 para os padrões ISO 27001:2013
ISO 27001:2013 (15.2.1) Exceções e Falhas por Contratados Externos (Semanal) Referências atualizadas do capítulo 15 para os padrões ISO 27001:2013
ISO 27001:2013 (16.1) Rastreamento de Incidente (Diário) Referências atualizadas do capítulo 16 para os padrões ISO 27001:2013
ISO 27001:2013 (16.1) Rastreamento de Incidente (Mensal) Referências atualizadas do capítulo 16 para os padrões ISO 27001:2013
ISO 27001:2013 (16.1) Rastreamento de Incidente (Semanal) Referências atualizadas do capítulo 16 para os padrões ISO 27001:2013
ISO 27001:2013 (18.1.3) Acesso a Dados de Recursos Humanos (Diário) Referências atualizadas do capítulo 18 para os padrões ISO 27001:2013
ISO 27001:2013 (18.1.3) Acesso a Dados de Recursos Humanos (Mensal) Referências atualizadas do capítulo 18 para os padrões ISO 27001:2013
ISO 27001:2013 (18.1.3) Acesso a Dados de Recursos Humanos (Semanal) Referências atualizadas do capítulo 18 para os padrões ISO 27001:2013
ISO 27001:2013 (18.1.4) Acesso a Dados (Diário) Referências atualizadas do capítulo 18 para os padrões ISO 27001:2013
ISO 27001:2013 (18.1.4) Acesso a Dados (Mensal) Referências atualizadas do capítulo 18 para os padrões ISO 27001:2013
ISO 27001:2013 (18.1.4) Acesso a Dados (Semanal) Referências atualizadas do capítulo 18 para os padrões ISO 27001:2013
ISO 27001:2013 (6.2.2) Teletrabalhador (Diário) Referências atualizadas do capítulo 6 para os padrões ISO 27001:2013

A tabela a seguir mostra os grupos que são atualizados no IBM Security QRadar ISO 27001 Content Extension V1.1.0.

Tabela 13. Grupos no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.1.0
Tipo Nome Descrição da mudança
Grupo de Regras ISO 27001:2013 Criado um novo grupo para regras e blocos de construção da 27001:2013.
Grupo de Relatórios ISO 27001:2013 Criado um novo nome de grupo para relatórios da ISO 27001:2013.
Grupo de Procura ISO 27001:2013 Criado um novo grupo em conformidade com procuras da ISO 27001:2013.

A tabela a seguir mostra os QIDs que são atualizados no IBM Security QRadar ISO 27001 Content Extension V1.1.0.

Tabela 14. QIDs no IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.1.0
QID Descrição da mudança
Excesso de Logins com Falha para Conformidade IS Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Mudança Remota em Grupos de Banco de Dados Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Falha de login para uma conta desativada. Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Falha de login para uma conta expirada Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Logins Remotos Simultâneos Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Falhas no banco de dados seguidas de sucesso Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Política: Local: Uso de Aplicativo de Texto Não Criptografado Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Login com sucesso no banco de dados a partir de um host remoto Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Fluxo de Longa Duração Detectado Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Mudança Remota nos Direitos do Usuário do Banco de Dados Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Servidor IRC Local Detectado Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Tentativa de modificação de configuração do banco de dados a partir de rede remota Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Política: Remota: Uso de Aplicativo de Texto Não Criptografado Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.
Falhas Múltiplas Seguidas de Mudanças de Usuário Regras e blocos de construção atualizados para referenciar QIDs do QRadar. Nenhuma mudança do QID foi feita.

IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.0.1

A tabela a seguir mostra o bloco de construção que é atualizado no IBM Security QRadar ISO 27001 Content Extension V1.0.1.

Tabela 15. Bloco de construção no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.0.1
Bloco de construção Descrição da mudança
BB:CategoryDefinition: Autenticação para Conta Desativada Incluído QID 5000475: Falha na auditoria: Uma conta com falha ao efetuar logon.

IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.0.0

A tabela a seguir mostra as propriedades customizadas que são incluídas no IBM Security QRadar ISO 27001 Content Extension V1.0.0.

Tabela 16. Propriedades customizadas no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.0.0
Propriedade Customizada Expressão regular
ObjectName Nome do objeto: (. *?)
ObjectName ObjectName: (.*)
ObjectName Novo nome do processo: (. *?)
ObjectName Nome do objeto: (. *?)

A tabela a seguir mostra as procuras que são incluídas no IBM Security QRadar ISO 27001 Content Extension V1.0.0.

Tabela 17. Procura no IBM Security QRadar Extensão de Conteúdo ISO 27001 V1.0.0
Nome Categoria
Falhas de Log para Contas Expiradas ou Desativadas Conformidade
Grupos Alterados de Hosts Remotos Conformidade
Principais Falhas de Autenticação por Usuário Atividade de autenticação, identidade e usuário
Grupos Alterados de Hosts Remotos Atividade de autenticação, identidade e usuário
Logout Admin Por IP Atividade de autenticação, identidade e usuário
Principais Autenticações por Usuário Atividade de autenticação, identidade e usuário
ISO 27001 (10.2.2) - Exceções e Falhas por Contratados Externos Outro
ISO 27001 (11.2.4) – Revisão de Supervisão - Controle de Acesso Outro
ISO 27001 (11.4.3) - Autenticação de Nó Outro
ISO 27001 (11.7.1) - Exceções e Falhas por Trabalhadores Móveis Outro
ISO 27001 (10.1.2.12.5) - Controle de Mudança Operacional Outro
ISO 27001 (10.8.4) - Falhas e Exceções Para Servidores de E-mail Outro
ISO 27001 (11.5.2) – Identificação e Autenticação de Usuário Outro
ISO 27001 (11.6) - Controle de Acesso ao Aplicativo Outro
ISO 27001 (11.7.2) - Exceções e Falhas por Trabalhadores Remotos Outro
ISO 27001 (12.4.1) – Controle de Software Operacional Outro
ISO 27001 (12.4.2) – Dados de Teste do Sistema Outro
ISO 27001 (15.1.3) - Acesso a Dados de Recursos Humanos Outro
ISO 27001 (15.1.4) - Acesso a Dados Outro
ISO 27001 (15.3.2) - Acesso a Ferramentas de Auditoria de Sistemas de Informação Outro
ISO 27001 (10.10.4) – Log do Operador Outro
ISO 27001 (11.2) – Revisão dos Direitos de Acesso Outro
ISO 27001 (11.3.1) – Responsabilidades de Usuário e Uso de Senha Outro
ISO 27001 (11.4) - Ataques Maliciosos Outro
ISO 27001 (11.4.4) - Acesso de Porta de Configuração e Diagnóstico Remoto Outro
ISO 27001 (12.4.3) – Acesso de Código de Origem Outro
ISO 27001 (10.4) – Canais Ocultos e Cavalos de Tróia Outro
ISO 27001 (10.6) – Gerenciamento de Rede Outro
ISO 27001 (10.9.3) - Sistemas Disponíveis Publicamente Outro

A lista a seguir mostra os relatórios que são incluídos no IBM Security QRadar ISO 27001 Content Extension V1.0.0.

  • Falhas de Login de Semanais de Contas Ativadas ou Desativadas
  • Mudanças Semanais de Grupo a partir de Hosts Remotos
  • 20 Últimos Logins com Falha
  • Últimos 20 Logoffs
  • 20 Últimos Logins Bem-sucedidos
  • ISO 27001 (10.2.2) Contratados externos (Semanal)
  • ISO 27001 (10.2.2) Contratados externos (Mensal)
  • ISO 27001 (11.2.4) Supervisão e revisão - Controle de acesso (Mensal)
  • ISO 27001 (11.4.3) Autenticação de nó (Mensal)
  • ISO 27001 (11.7.1) Trabalhador Remoto (Semanal)
  • ISO 27001 (10.1.2,12.5) Controle de Mudança Operacional (Diário)
  • ISO 27001 (10.8.4) Correio do servidor (Semanalmente)
  • ISO 27001 (11.5.2) Identificação e autenticação de usuário (Mensal)
  • ISO 27001 (11.5.2)Identificação e autenticação de usuário (Semanal)
  • ISO 27001 (11.6) Controle de acesso ao aplicativo (Diário)
  • ISO 27001 (11.7.2) Teletrabalhador (Semanal)
  • ISO 27001 (12.4.1) Controle de software operacional (Semanal)
  • ISO 27001 (12.4.2) Dados de teste do sistema (Semanal)
  • ISO 27001 (15.1.3) Acesso a Dados de Recursos Humanos (Diário)
  • ISO 27001 (15.1.4) Acesso a Dados (Mensal)
  • ISO 27001 (15.3.2) – Acesso a ferramentas de auditoria de sistemas de informação (Diário)
  • ISO 27001 (10.10.4) Log do Operador (Semanal)
  • ISO 27001 (11.2) Revisão de direitos de acesso do usuário (Diário)
  • ISO 27001 (11.2) Revisão de direitos de acesso de usuário (Mensal)
  • ISO 27001 (11.2.4) Supervisão e revisão - Controle de acesso (Semanal)
  • ISO 27001 (11.3.1) Responsabilidades de Usuário e uso da senha (Semanal)
  • ISO 27001 (11.4) Ataques maliciosos (Mensal)
  • ISO 27001 (11.4) Ataques Maliciosos (Semanais)
  • ISO 27001 (11.4.3) Autenticação de nó (Semanal)
  • ISO 27001 (11.4.4) Acesso Remoto à Porta de Diagnóstico (Semanal)
  • ISO 27001 (11.7.1) Trabalhador remoto (Diário)
  • ISO 27001 (12.4.1) Controle de software operacional (Diário)
  • ISO 27001 (12.4.2) Dados de Teste do Sistema (Diário)
  • ISO 27001 (12.4.3) Acesso ao código fonte (Diário)
  • ISO 27001 (12.4.3) Acesso de código fonte (Semanal)
  • ISO 27001 (13.2) – Rastreamento de incidente (Diário)
  • ISO 27001 (11.2.4) Supervisão e revisão - Controle de acesso (Mensal)
  • ISO 27001 (10.4) Canais ocultos e código de troia (Diário)
  • ISO 27001 (10.6) Gerenciamento de rede (Mensal)
  • ISO 27001 (10.8.4) Servidor de Correio (Diário)
  • ISO 27001 (10.4) Canais Ocultos e Código de Troia (Mensal)
  • ISO 27001 (10.6) Gerenciamento de rede (Diário)
  • ISO 27001 (10.6) Gerenciamento de rede (Semanal)
  • ISO 27001 (11.3.1) Responsabilidades do usuário e uso da senha (Mensal)
  • ISO 27001 (11.4.4) Acesso de porta de diagnóstico remoto (Diário)
  • ISO 27001 (11.7.1) Trabalhador remoto (Mensal)
  • ISO 27001 (15.1.4) Acesso a Dados (Diário)
  • ISO 27001 (15.1.4) Acesso a Dados (Semanal)
  • ISO 27001 (10.9.3) Sistemas disponíveis publicamente (Mensal)
  • ISO 27001 (10.9.3) Sistemas disponíveis publicamente (Semanal)
  • ISO 27001 (10.10.4) Log de Operador (Diário)
  • ISO 27001 (11.2) Revisão de direitos de acesso do usuário (Semanal)
  • ISO 27001 (11.7.2) Teletrabalhador (Diariamente)
  • ISO 27001 (12.4.3) Acesso ao código fonte (Mensal)
  • ISO 27001 (15.1.3) Acesso de dados de Recursos Humanos (Semanal)
  • ISO 27001 (15.3.2) – Acesso a ferramentas de auditoria dos sistemas de informação (Mensal)
  • ISO 27001 (15.3.2) – Acesso a ferramentas de auditoria de sistemas de informação (Semanal)
  • ISO 27001 (11.2.4) Supervisão e revisão - Controle de acesso (Diário)
  • ISO 27001 (11.3.1) Responsabilidades do usuário e uso da senha (Diário)
  • ISO 27001 (11.4) Ataques maliciosos (Diário)
  • ISO 27001 (11.4.3) Autenticação de nó (Diário)
  • ISO 27001 (11.4.4) Acesso remoto a porta de diagnóstico (Mensal)
  • ISO 27001 (11.5.2) Identificação e Autenticação do Usuário (Diário)
  • ISO 27001 (11.6) Controle de acesso ao aplicativo (Semanal)
  • ISO 27001 (11.6) Controle de acesso ao aplicativo (Mensal)
  • ISO 27001 (11.7.2) Teletrabalhador (Mensal)
  • ISO 27001 (12.4.1) Controle do software operacional (Mensal)
  • ISO 27001 (12.4.2) Dados de teste do sistema (Mensal)
  • ISO 27001 (15.1.3) Acesso de Dados de Recursos Humanos (Mensal)
  • ISO 27001 (13.2.1) – Resposta a incidentes de segurança (Diário)
  • ISO 27001 (10.2.2) Contratados externos (Diário)
  • ISO 27001 (10.4) Canais ocultos e código de troia (Semanal)
  • ISO 27001 (10.8.4) Servidor de Correio (Mensal)
  • ISO 27001 (10.9.3) Sistemas disponíveis publicamente (Diário)
  • ISO 27001 (10.10.4) Log do operador (Mensal)
  • ISO 27001 (10.1.2,12.5) Controle de Mudança Operacional (Mensal)
  • ISO 27001 (10.1.2,12.5) Controle de mudança operacional (Semanal)

A tabela a seguir mostra as regras e os blocos de construção que são incluídos no IBM Security QRadar ISO 27001 Content Extension V1.0.0.

Tabela 18. Regras e blocos de construção no IBM Security QRadar Extensão de conteúdo ISO 27001 V1.0.0
Tipo Nome Categoria
Regra Falha de login na conta desativada Movimento Horizontal
Regra Grupos de bancos de dados mudados a partir do host remoto Conformidade
Regra Falha de login na conta desativada Autenticação
Regra Grupos de bancos de dados mudados a partir do host remoto Atividade de Pós-intrusão
Bloco de construção BB:HostDefinition: Servidores de banco de dados Definições de Host
Bloco de construção BB:CategoryDefinition: Autenticação para Conta Desativada Definições de Categoria
Bloco de construção BB:CategoryDefinition: Explorar Backdoors e Trojans Definições de Categoria
Bloco de construção BB:CategoryDefinition: Sucesso de Autenticação Definições de Categoria
Bloco de construção BB:CategoryDefinition: Falhas de Autenticação Definições de Categoria
Bloco de construção BB: Acesso às ferramentas de auditoria Outro
Bloco de construção BB:Acesso a Dados Outro
Bloco de construção BB: Sucessos e Falhas em Ativos Chave Outro
Bloco de construção BB: Eventos com Falha de Atualização do Sistema Outro
Bloco de construção BB: Controle de acesso a aplicativos Outro
Bloco de construção BB:Eventos com falha do trabalhador móvel Outro
Bloco de construção BB:Eventos de violação de política do trabalhador móvel Outro
Bloco de construção BB:NetworkServices Outro
Bloco de construção BB:Local Para Remoto Outro
Bloco de construção BB:Dados de RH Outro
Bloco de construção BB: Acesso Código Fonte Outro
Bloco de construção BB:Eventos com Falha Outro
Bloco de construção BB:Eventos de violação da política do contratado externo Outro
Bloco de construção BB:Eventos de violação de política de atualização do sistema Outro
Bloco de construção BB:Responsabilidades do usuário e uso de senha Outro
Bloco de construção BB:Eventos do administrador de TI Outro
Bloco de construção BB:Eventos com falha do contratado externo Outro
Bloco de construção BB: Sistemas disponíveis ao público Outro
Bloco de construção BB: Revisão de Direitos de Acesso Outro
Bloco de construção BB:ataques Maliciosos Outro
Bloco de construção BB: Controle de Mudanças Operacionais Outro
Bloco de construção BB: Eventos de Violação de Política Outro
Bloco de construção BB: Identificação e autenticação do usuário Outro
Bloco de construção BB: Eventos de violação da política de teletrabalho Outro
Bloco de construção BB: Dados de teste do sistema Outro
Bloco de construção BB:Eventos com falha do teletrabalhador Outro