Gestion des incidents : Obfusquer les données privées

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Le rôle du responsable de la confidentialité des données peut identifier les clés méta qui contiennent des données sensibles et doivent afficher des données obfusquées. Cette rubrique explique comment l'administrateur mappe ces clés méta pour afficher une valeur hachée au lieu de la valeur réelle.

Les restrictions suivantes s'appliquent aux valeurs de métadonnées hachées :

  • Security Analytics prend en charge deux méthodes de stockage pour les valeurs de métadonnées hachées, HEX (par défaut) et chaîne.
  • Lorsqu'une clé méta est configurée de façon à afficher une valeur hachée, tous les rôles de sécurité voient uniquement la valeur hachée dans le module Incidents. 
  • Vous pouvez utiliser des valeurs hachées de la même façon que vous utilisez des valeurs réelles. Par exemple, lorsque vous utilisez une valeur hachée dans les critères de règle, les résultats sont les mêmes que si vous aviez utilisé la valeur réelle.

Cette rubrique explique comment obfusquer des données privées dans Incident Management. Reportez-vous à la rubrique Présentation de la gestion de la confidentialité des données dans leGuide de gestion de la confidentialité des données pour plus d’informations sur la confidentialité des données.

Mappage du fichier vers des clés méta obfusquées

Dans le module Incidents, le fichier de mappage pour l'obfuscation des données est data_privacy_map.js. Vous pouvez y saisir le nom de clé méta obfusqué et le mapper vers le nom de clé méta réel.

L'exemple suivant présente les mappages pour obfusquer les données pour deux clés méta, ip.src et user.dst :

'ip.src.hash' : 'ip.src',
'user.dst.hash' : 'user.dst'

Vous déterminez la convention de dénomination pour les noms de clé méta obfusquées. Par exemple, ip.src.hash peut être ip.src.private ou ip.src.bin. Vous devez choisir une convention de dénomination et l'utiliser de façon cohérente sur tous les hôtes.

Conditions préalables

  • Le rôle du responsable de la confidentialité des données doit préciser quelles clés méta requièrent une obfuscation des données.
  • Le rôle d'administrateur doit mapper des clés méta pour l'obfuscation des données.

Procédure

  1. Ouvrez le fichier de mappage de confidentialité des données :
    /opt/rsa/im/scripts/normalize/data_privacy_map.js
  2. Dans la variable obfuscated_attribute_map, saisissez le nom d'une clé méta devant contenir les données obfusquées. Puis, mappez-le sur la clé méta qui ne contient pas de données obfusquées en respectant le format suivant :
    'ip.src.hash' : 'ip.src'
  3. Répétez l'étape 2 pour chaque clé méta devant afficher une valeur hachée. 
  4. Utilisez la même convention de dénomination que dans l'étape 2 et utilisez-la de manière cohérente sur tous les hôtes.
  5. Enregistrez le fichier.
    Toutes les clés méta mappées afficheront des valeurs hachées au lieu des valeurs réelles.
    Dans le graphique suivant, les valeurs hachées s'affichent pour l'adresse IP et l'utilisateur :
    hashed_ip_username.PNG

    De nouvelles alertes afficheront les données obfusquées.

Remarque : Les alertes existantes affichent toujours des données sensibles. Cette procédure n'est pas rétroactive.

You are here
Table of Contents > Automatiser le processus de gestion des incidents > Obfusquer les données privées

Attachments

    Outcomes