NIST (National Institute of Standards and Technology)
Use a IBM Security QRadar Content Extension for NIST para atender aos requisitos de controle do NIST.
Baseline Maintenance V1.09 ou mais recente é necessário para que o NIST Content Extension execute corretamente. Instalar Manutenção de Linha de Base antes de instalar a Extensão de Conteúdo NIST.
IBM Segurança QRadar Extensões de conteúdo do NIST
IBM Extensão de conteúdo de segurança QRadar para NIST V1.1.0
A lista a seguir mostra as procuras salvas que são atualizadas para serem compartilhadas entre os usuários no IBM Security QRadar Content Extension for NIST V1.1.0
- Ameaça interna (UBA)
- ISO 27001 (11.4) - Ataques Maliciosos
- Conexão Internet Não Filtrada
- Atividades Privilegiadas
- Escalações de Privilégios
IBM Extensão de conteúdo de segurança QRadar para NIST V1.0.1
A tabela a seguir mostra as regras e os blocos de construção que são removidos no IBM Security QRadar Content Extension for NIST V1.0.1
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: atividade privilegiada: UBA | Indica quando um usuário executou uma ação considerada como privilegiada. |
| Regra | Carregar Blocos de Construção Básicos | Esta regra carrega blocos de construção que precisam ser executados para ajudar com relatórios. Esta regra não possui ações ou respostas. |
A extensão de conteúdo do IBM Security QRadar Content Extension for NIST RMF 800-53 inclui relatórios, regras e procuras salvas. QRadar também inclui alguns recursos que atendem aos requisitos de controle NIST, como ofensas e ofuscação de dados.
IBM Extensão de conteúdo de segurança QRadar para NIST V1.0.0
A tabela a seguir mostra as regras e os blocos de construção no IBM Security QRadar Content Extension for NIST V1.0.0
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:CategoryDefinition: ataques maliciosos | Edite esse bloco de construção para definir ataques maliciosos como o estouro de buffer, script de site cruzado, exploit de banco de dados e outros. |
| Bloco de construção | BB:CategoryDefinition: escaladas de privilégio | Edite esse bloco de construção para definir eventos relacionados a escaladas de privilégio bem-sucedidas. |
| Bloco de construção | BB:CategoryDefinition: atividade privilegiada: UBA | Indica quando um usuário executou uma ação considerada como privilegiada. |
| Regra | Carregar Blocos de Construção Básicos | Esta regra carrega blocos de construção que precisam ser executados para ajudar com relatórios. Esta regra não possui ações ou respostas. |
A tabela a seguir mostra os relatórios no IBM Segurança QRadar Content Extension for NIST V1.0.0.
| Relatório | Descrição |
|---|---|
| NIST RMF (AC-20) Uso de sistemas de informações externos | Fornece uma lista de conexões iniciadas por meio de uma rede remota para uma rede que não é a DMZ. Configure a hierarquia de rede para definir os ativos no DMZ que se aplicam em seu ambiente. |
| NIST RMF (AC-6) Menos privilégio | Fornece uma visão geral de escaladas e atividades privilegiadas para assegurar acessos autorizados. Defina a atividade e a escalada de privilégio em eventos no bloco de construção a seguir:
|
| NIST RMF (AC-7) Tentativas de logon malsucedidas | Fornece uma tendência histórica do número de falhas de login por categoria de baixo nível, bem como os 20 principais usuários com logins com falha. Defina a atividade e a escalada de privilégio em eventos no bloco de construção a seguir:
|
| NIST RMF (CA-3) Interconexões do sistema | Fornece uma tendência histórica de solicitações feitas da rede local para a remota que não são relatadas por um Proxy. Ele inclui os 10 principais gráficos por pares de IP de origem/destino de log e uma lista dos 50 principais. |
| NIST RMF (CM-2) Configuração de linha de base | Fornece um resumo de mecanismos automatizados usados para manter uma configuração de linha de base atualizada, completa, precisa e prontamente disponível do sistema de informações. |
| NIST RMF (CP-2-8) Plano de contingência - Identificar ativos críticos | Fornece os 50 principais ativos críticos que foram submetidos a backup com sucesso e as 50 principais tentativas ou falhas. Configure o conjunto de referência Ativos críticos para definir os IPs que se aplicam em seu ambiente. |
| NIST RMF (IR-4) Manipulação de incidentes | Fornece uma visão geral das 20 principais ofensas de segurança e de política para o dia. Também é possível consultar o Resumo de origem de ofensa para um relatório sobre ofensas por IP de origem, IP de destino, usuário e nome da regra. |
| NIST RMF (PM-12) Programa de ameaça interna | Fornece uma visão geral das atividades de ameaça interna por meio do aplicativo User Behavioural Analytics for QRadar (UBA). |
| NIST RMF (RA-5) Varredura de vulnerabilidade | Fornece um resumo da contagem de vulnerabilidade nova, corrigida, de alto risco e atrasada. Consulte a guia Vulnerabilidades no QRadar para obter mais informações. |
| NIST RMF (SI-3) Proteção de código malicioso | Fornece uma visão geral dos ataques maliciosos na rede. Defina a atividade e a escalada de privilégio em eventos no bloco de construção a seguir:
|
| NIST RMF (PM-5) Inventário do sistema | Mostra os 50 principais ativos classificados por instâncias de vulnerabilidade. Consulte a guia Ativos no QRadar para obter mais informações. |
| Monitoramento do sistema de informações - Correlacionar informações de monitoramento NIST RMF (SI-4-16) | Fornece as 10 principais ofensas ao longo do tempo por magnitude. Consulte a guia Ofensas no QRadar para obter mais informações. |
A tabela a seguir mostra as procuras salvas no IBM Security QRadar Content Extension for NIST V1.0.0
| Nome da Procura Salva |
|---|
| Falhas de Login por Usuário |
| Falhas de Login Por Categoria de Baixo Nível |
| Conexão remota direta |
| Backup de ativos críticos bem-sucedido |
| Eventos de backup malsucedidos em ativos críticos |
| Escaladas Privilegiadas |
| Atividades Privilegiadas |
| Ameaça interna (UBA) |
| Gerenciamento de ativos automatizados |
| ISO 27001 (11.4) - Ataques Maliciosos |