NIST (National Institute of Standards and Technology)

Use a IBM Security QRadar Content Extension for NIST para atender aos requisitos de controle do NIST.

Baseline Maintenance V1.09 ou mais recente é necessário para que o NIST Content Extension execute corretamente. Instalar Manutenção de Linha de Base antes de instalar a Extensão de Conteúdo NIST.

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Segurança QRadar Extensões de conteúdo do NIST

IBM Extensão de conteúdo de segurança QRadar para NIST V1.1.0

A lista a seguir mostra as procuras salvas que são atualizadas para serem compartilhadas entre os usuários no IBM Security QRadar Content Extension for NIST V1.1.0

  • Ameaça interna (UBA)
  • ISO 27001 (11.4) - Ataques Maliciosos
  • Conexão Internet Não Filtrada
  • Atividades Privilegiadas
  • Escalações de Privilégios

IBM Extensão de conteúdo de segurança QRadar para NIST V1.0.1

A tabela a seguir mostra as regras e os blocos de construção que são removidos no IBM Security QRadar Content Extension for NIST V1.0.1

Tabela 1. Regras e blocos de construção removidos no IBM Security QRadar Content Extension for NIST V1.0.1
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: atividade privilegiada: UBA Indica quando um usuário executou uma ação considerada como privilegiada.
Regra Carregar Blocos de Construção Básicos Esta regra carrega blocos de construção que precisam ser executados para ajudar com relatórios. Esta regra não possui ações ou respostas.

A extensão de conteúdo do IBM Security QRadar Content Extension for NIST RMF 800-53 inclui relatórios, regras e procuras salvas. QRadar também inclui alguns recursos que atendem aos requisitos de controle NIST, como ofensas e ofuscação de dados.

IBM Extensão de conteúdo de segurança QRadar para NIST V1.0.0

A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Content Extension for NIST V1.0.0

Tabela 2. Regras e blocos de construção no IBM Security QRadar Content Extension for NIST V1.0.0
Tipo Nome Descrição
Bloco de construção BB:CategoryDefinition: ataques maliciosos Edite esse bloco de construção para definir ataques maliciosos como o estouro de buffer, script de site cruzado, exploit de banco de dados e outros.
Bloco de construção BB:CategoryDefinition: escaladas de privilégio Edite esse bloco de construção para definir eventos relacionados a escaladas de privilégio bem-sucedidas.
Bloco de construção BB:CategoryDefinition: atividade privilegiada: UBA Indica quando um usuário executou uma ação considerada como privilegiada.
Regra Carregar Blocos de Construção Básicos Esta regra carrega blocos de construção que precisam ser executados para ajudar com relatórios. Esta regra não possui ações ou respostas.

A tabela a seguir mostra os relatórios no IBM Segurança QRadar Content Extension for NIST V1.0.0.

Tabela 3. Relatórios no IBM Security QRadar Content Extension for NIST V1.0.0
Relatório Descrição
NIST RMF (AC-20) Uso de sistemas de informações externos

Fornece uma lista de conexões iniciadas por meio de uma rede remota para uma rede que não é a DMZ. Configure a hierarquia de rede para definir os ativos no DMZ que se aplicam em seu ambiente.

NIST RMF (AC-6) Menos privilégio

Fornece uma visão geral de escaladas e atividades privilegiadas para assegurar acessos autorizados.

Defina a atividade e a escalada de privilégio em eventos no bloco de construção a seguir:

  • BB:CategoryDefinition: escaladas de privilégio
NIST RMF (AC-7) Tentativas de logon malsucedidas

Fornece uma tendência histórica do número de falhas de login por categoria de baixo nível, bem como os 20 principais usuários com logins com falha.

Defina a atividade e a escalada de privilégio em eventos no bloco de construção a seguir:

  • BB:CategoryDefinition: Falhas de Autenticação
NIST RMF (CA-3) Interconexões do sistema

Fornece uma tendência histórica de solicitações feitas da rede local para a remota que não são relatadas por um Proxy. Ele inclui os 10 principais gráficos por pares de IP de origem/destino de log e uma lista dos 50 principais.

NIST RMF (CM-2) Configuração de linha de base

Fornece um resumo de mecanismos automatizados usados para manter uma configuração de linha de base atualizada, completa, precisa e prontamente disponível do sistema de informações.

NIST RMF (CP-2-8) Plano de contingência - Identificar ativos críticos

Fornece os 50 principais ativos críticos que foram submetidos a backup com sucesso e as 50 principais tentativas ou falhas. Configure o conjunto de referência Ativos críticos para definir os IPs que se aplicam em seu ambiente.

NIST RMF (IR-4) Manipulação de incidentes

Fornece uma visão geral das 20 principais ofensas de segurança e de política para o dia. Também é possível consultar o Resumo de origem de ofensa para um relatório sobre ofensas por IP de origem, IP de destino, usuário e nome da regra.

NIST RMF (PM-12) Programa de ameaça interna

Fornece uma visão geral das atividades de ameaça interna por meio do aplicativo User Behavioural Analytics for QRadar (UBA).

NIST RMF (RA-5) Varredura de vulnerabilidade

Fornece um resumo da contagem de vulnerabilidade nova, corrigida, de alto risco e atrasada. Consulte a guia Vulnerabilidades no QRadar para obter mais informações.

NIST RMF (SI-3) Proteção de código malicioso

Fornece uma visão geral dos ataques maliciosos na rede.

Defina a atividade e a escalada de privilégio em eventos no bloco de construção a seguir:

  • BB:CategoryDefinition: ataques maliciosos
NIST RMF (PM-5) Inventário do sistema

Mostra os 50 principais ativos classificados por instâncias de vulnerabilidade. Consulte a guia Ativos no QRadar para obter mais informações.

Monitoramento do sistema de informações - Correlacionar informações de monitoramento NIST RMF (SI-4-16)

Fornece as 10 principais ofensas ao longo do tempo por magnitude. Consulte a guia Ofensas no QRadar para obter mais informações.

A tabela a seguir mostra as procuras salvas no IBM Security QRadar Content Extension for NIST V1.0.0

Tabela 4. Procuras salvas no IBM Security QRadar Content Extension for NIST V1.0.0
Nome da Procura Salva
Falhas de Login por Usuário
Falhas de Login Por Categoria de Baixo Nível
Conexão remota direta
Backup de ativos críticos bem-sucedido
Eventos de backup malsucedidos em ativos críticos
Escaladas Privilegiadas
Atividades Privilegiadas
Ameaça interna (UBA)
Gerenciamento de ativos automatizados
ISO 27001 (11.4) - Ataques Maliciosos