支付卡行业

使用IBM安全QRadar支付卡行业 (PCI) 报告内容扩展,以符合 PCI 报告。

重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。

IBM Security QRadar PCI 内容扩展 V1.1.0

下表显示了 IBM Security QRadar PCI Content Extension V1.1.0中的定制属性。

表 1. IBM 安全性 QRadar PCI 内容扩展 V1.1.0 中的定制属性
名称 已优化 位置
文件散列
文件名
发起方用户名 Microsoft Windows
MD5 散列
SHA1 散列
SHA256 散列
目标用户名
威胁类别
威胁系列
威胁名称
威胁严重性
将从以下定制属性中删除所有表达式:
  • AccountName
  • VirusName

下表显示了在 IBM Security QRadar PCI Content Extension V1.1.0中添加的构建块。

表 2. IBM 安全性 QRadar PCI 内容扩展 V1.1.0 中的构建块
名称 描述
BB:DeviceDefinition: Endpoint Protection Devices

替换 BB:DeviceDefinition: Antivirus

此规则定义系统上的所有端点保护设备。
IBM Security QRadar PCI Content Extension V1.1.0中除去了以下规则和构建块。
  • BB:CategoryDefinition: 身份验证失败
  • BB:CategoryDefinition: 验证成功
  • BB:CategoryDefinition: 防火墙或 ACL 接受
  • BB:CategoryDefinition: 防火墙或 ACL 拒绝
  • BB:CategoryDefinition:超级用户帐户
  • BB:DeviceDefinition: Antivirus
  • BB:DeviceDefinition: IDS / IPS
  • BB:NetworkDefinition: 可信网络段
  • 设备已停止发送事件
  • 清除恶意软件或病毒失败
将更新以下搜索以使用高级搜索。
  • 清除恶意软件失败
  • PCI 1.2.1a - 内部网络(非 DMZ)到因特网(已接受)
  • PCI 1.2.1a - 内部网络(非 DMZ)到因特网(全部)
  • PCI 1.2.1a - 内部网络(非 DMZ)到因特网(被拒)
  • PCI 1.2.1b - 获准入站流量
  • PCI 1.2.1b - 获准出站流量
  • PCI 1.3.1 - 获准从内部进入 DMZ 的流量
  • PCI 1.3.2 - 获准从因特网进入内部网络(非 DMZ)的流量
  • PCI 1.3.3 - 因特网与持卡人数据之间的流量
  • PCI 1.3.5 - 持卡人数据与因特网(非 DMZ)之间的流量
  • PCI 2.3 - 可信网络区域的协议
  • PCI 4.1 - 可信网络区域的协议
  • PCI 5.2 - 恶意软件事件(按事件名称或操作排列)
  • PCI 6.6 -针对面向公共应用程序和服务的攻击
  • PCI 7.1 - 对持卡人和可信系统的访问
  • PCI 10.5.4 对接收到的日志进行的验证
  • 远程访问失败(VPN 和其他)
  • 远程访问成功 (VPN 和其他)
将除去以下已保存的搜索。
  • PCI 8.1 - 用户添加的用户帐户
  • PCI 8.1 - 用户修改的用户帐户

PCI 6.6 -针对面向公共的应用程序和服务的攻击 保存的搜索现在称为 PCI 6.6 -针对面向公共的应用程序和服务的攻击

PCI 10.5.4 已接收日志的验证 已保存搜索现在称为 PCI 10.5.4 已接收日志的验证

按名称列出的恶意软件事件PCI 5.2 -按事件名称或操作列出的恶意软件事件 已保存的搜索中, VirusName 将替换为 威胁名称,并将以下列添加到搜索中。
  • 文件散列
  • 文件名
  • MD5
  • SHA 1
  • SHA 256
  • 威胁类别
  • 威胁系列
  • 威胁严重性

PCI 10.2 - PCI 8.1 - 由管理员用户添加的用户帐户保存的搜索中,使用 BB:CategoryDefinition: Superuser Accounts 替换为 LOWER(username) in ('admin', 'superuser', 'root', 'toor', 'init', 'administrator', 'sys', 'system').

在以下报告中,使用 PCI 8.1 -用户添加的用户帐户 搜索已替换为 用户添加的用户帐户 搜索,使用 PCI 8.1 -用户修改的用户帐户 搜索已替换为 用户修改的用户帐户 搜索。
  • PCI 8.1 - 用户帐户添加和更改(每月)
  • PCI 8.1 - 用户帐户添加和更改(每周)
  • PCI 8.1 - 用户帐户添加和更改

IBM Security QRadar PCI 内容扩展 V1.0.3

现在,已保存的搜索将与所有用户共享。 其他 组中的已保存搜索现在位于 PCI 组中。

(返回到顶部)

IBM Security QRadar PCI 内容扩展 V1.0.2

下表显示了 IBM Security QRadar PCI Content Extension V1.0.2中的定制属性。

表 3. IBM 安全性 QRadar PCI 内容扩展 V1.0.2 中的定制属性
名称 已优化 捕获组 正则表达式
VirusName 1 病毒名称: (. *?) ,

(返回到顶部)

IBM Security QRadar PCI 内容扩展 V1.0.1

下表显示了在 IBM Security QRadar PCI Content Extension V1.0.1中更新的规则和构建块。

表 4。 IBM 安全性 QRadar PCI 内容扩展 V1.0.1 中的规则和构建块
类型 名称 描述
构建块 BB:DeviceDefinition: IDS/IPS 已使用 IDS/IPS 设备更新构建块。
规则 清除恶意软件或病毒失败 添加到规则的新 QID:
  • 42002833: 找到安全风险,实际操作: 所有操作都失败
  • 42002836: 找到安全风险,实际操作: 仅剩
  • 42002845: 检测到病毒,实际操作: 仅剩
  • 42003869: 检测到病毒,实际操作: 操作失败

(返回到顶部)

IBM Security QRadar PCI 内容扩展 V1.0.0

以下报告由 IBM Security QRadar PCI Content Extension V1.0.0添加。

  • PCI 合规性故障
  • 网络流量
  • 网络流量
  • 远程访问活动排名靠前的用户
  • 每周 PCI 合规性故障
  • PCI 1.2.1a - 内部网络(非 DMZ)到因特网
  • PCI 1.2.1a - 内部网络(非 DMZ)到因特网(每月)
  • PCI 1.2.1a - 内部网络(非 DMZ)到因特网(每周)
  • PCI 1.2.1b - 入站和出站流量
  • PCI 1.2.1b - 入站和出站流量(每月)
  • PCI 1.2.1b - 入站和出站流量(每周)
  • PCI 1.3 - 流量摘要(详细信息)
  • PCI 1.3 - 流量摘要(每月)
  • PCI 1.3 - 流量摘要(时间序列)
  • PCI 1.3 - 流量摘要(每周)
  • PCI 2.1 - 供应商缺省值
  • PCI 2.1 - 供应商缺省值(每月)
  • PCI 2.2 - 服务器功能
  • PCI 2.3 - 进入可信分段的流量
  • PCI 2.3 - 进入可信分段的流量(每月)
  • PCI 2.3 - 进入可信分段的流量(每周)
  • PCI 4.1 - 从不可信分段进入可信分段的流量
  • PCI 4.1 - 从不可信分段进入可信分段的流量(每月)
  • PCI 4.1 - 从不可信分段进入可信分段的流量(每周)
  • PCI 5.2 -恶意软件 PCI 5.2 -恶意软件 (每月)
  • PCI 5.2 - 恶意软件(每周)
  • PCI 5.2 - 清除恶意软件或病毒失败
  • PCI 5.2 - 排名靠前的恶意软件活动
  • PCI 6.1 - 漏洞
  • PCI 6.6 - 对公用应用程序或服务的攻击
  • PCI 6.6 - 对公用应用程序或服务的攻击(每月)
  • PCI 6.6 - 对公用应用程序或服务的攻击(每周)
  • PCI 7.1 - 对持卡人和可信系统的访问
  • PCI 7.1 - 对持卡人和可信系统的访问(每月)
  • PCI 7.1 - 对持卡人和可信系统的访问(每周)
  • PCI 8.1 - 用户帐户添加和更改
  • PCI 8.1 - 用户帐户添加和更改(每月)
  • PCI 8.1 - 用户帐户添加和更改(每周)
  • PCI 10-数据审计 PCI 10-数据审计 (每月)
  • PCI 10 - 审计数据(每周)
  • PCI 10.2 - 管理员添加的用户帐户
  • PCI 10.2 - 管理员添加的用户帐户(按月)
  • PCI 10.2 - 管理员添加的用户帐户(每周)
  • PCI 11.3/11.2 漏洞报告
  • PCI 12.9 事故响应(攻击摘要)- 每周

下表显示了 IBM Security QRadar PCI Content Extension V1.0.0添加的规则和构建块。

表 5。 IBM 安全性 QRadar PCI 内容扩展 V1.0.0 中的规则和构建块
类型 名称
规则 设备已停止发送事件
规则 清除恶意软件或病毒失败
构建块 BB:DeviceDefinition: AntiVirus
构建块 BB:DeviceDefinition: IDS / IPS
构建块 BB:CategoryDefinition: 身份验证失败
构建块 BB:CategoryDefinition: 验证成功
构建块 BB:CategoryDefinition: 防火墙或 ACL 接受
构建块 BB:CategoryDefinition: 防火墙或 ACL 拒绝
构建块 BB:CategoryDefinition:超级用户帐户
构建块 BB:NetworkDefinition:从 Internet 到本地主机的入站通信
构建块 BB:NetworkDefinition: 不信任网络段
构建块 BB:NetworkDefinition: 可信网络段
注: 此构建块引用缺省网络层次结构。 如果您正在使用不同的网络层次结构,请更新此构建块。
构建块 BB:NetworkDefinition:不信任的本地网络
注: 此构建块引用缺省网络层次结构。 如果您正在使用不同的网络层次结构,请更新此构建块。

以下搜索由 IBM Security QRadar PCI Content Extension V1.0.0添加。

  • 链路利用率
  • 清除恶意软件失败
  • 恶意软件事件(按 IP 排列)
  • 恶意软件事件(按名称排列)
  • 远程访问失败(VPN 和其他)
  • 排名靠前的目标网络 - 内部网
  • 排名靠前的源网络
  • PCI 1.2.1a - 内部网络(非 DMZ)到因特网(已接受)
  • PCI 1.2.1a - 内部网络(非 DMZ)到因特网(全部)
  • PCI 1.2.1a - 内部网络(非 DMZ)到因特网(被拒)
  • PCI 1.2.1b - 获准入站流量
  • PCI 1.2.1b - 获准出站流量
  • PCI 1.3.1 - 获准从内部进入 DMZ 的流量
  • PCI 1.3.2 - 获准从因特网进入内部网络(非 DMZ)的流量
  • PCI 1.3.3 - 因特网与持卡人数据之间的流量
  • PCI 1.3.5 - 持卡人数据与因特网(非 DMZ)之间的流量
  • PCI 2.1 - 已接受的由供应商提供的缺省值
  • PCI 2.2.1 - 每台服务器的主要功能
  • PCI 2.3 - 可信网络区域的协议
  • PCI 4.1 - 可信网络区域的协议
  • PCI 5.2 - 恶意软件事件(按事件名称或操作排列)
  • PCI 6.1 - 发现的漏洞
  • PCI 6.6 - 对公用应用程序和服务的攻击
  • PCI 7.1 - 对持卡人和可信系统的访问
  • PCI 8.1 - 用户添加的用户帐户
  • PCI 8.1 - 用户修改的用户帐户
  • PCI 10.2 - PCI 8.1 - 管理员用户添加的用户帐户
  • PCI 10.5.4 对接收到的日志进行的验证
  • PCI 10.6 SIEM 审计概述
  • PCI 10.7 SIEM 备份活动

以下定制属性由 IBM Security QRadar PCI Content Extension V1.0.0添加。

  • AccountName
  • VirusName

(返回到顶部)