Confidentialité des données : Présentation

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente aux responsables de la confidentialité des données et aux administrateurs qui gèrent l'exposition des données confidentielles dans Security Analytics, le concept et les considérations liées à l'implémentation de la confidentialité. En outre, elle comprend des informations et des cas d'utilisation recommandés.

Remarque : Un plan de confidentialité des données touche la plupart des composants de Security Analytics. La personne qui configure la confidentialité des données doit comprendre les composants réseau de Security Analytics, la configuration des hôtes et services Security Analytics présentée dans le Guide de mise en route de l'hôte et des services, et les types d'informations qui requièrent une protection.

Dans certaines zones comme l'Union européenne, la réglementation impose que les systèmes d'information disposent de moyens de protection des données confidentielles. Toutes les données pouvant décrire directement ou indirectement « Qui a fait quoi, et quand ? » peuvent être considérées comme des données confidentielles. Citons comme exemple les noms d'utilisateurs, les adresses e-mail et les noms d'hôtes. Security Analytics propose une gamme de contrôles dont les clients peuvent tirer parti pour protéger les données confidentielles. Ces contrôles peuvent être associés de différentes façons pour protéger les données confidentielles sans réduire de manière significative la fonction analytique.

Le rôle d'utilisateur intitulé Responsable de la confidentialité des données (DPO, Data Privacy Officer) a été ajouté à Security Analytics 10.5 pour prendre en charge la gestion des données confidentielles. Le Responsable de la confidentialité des données peut configurer Security Analytics pour limiter l'exposition des métadonnées et du contenu brut (paquets et logs) à l'aide d'une combinaison de techniques. Les méthodes disponibles pour protéger les données dans Security Analytics sont les suivantes :

  • Obfuscation des données
  • Application de la rétention des données
  • Consignation des audits

Obfuscation des données

Security Analytics propose des options configurables pour l'obfuscation des données. Les Responsables de la confidentialité des données peuvent signaler les clés méta considérées comme confidentielles dans leur environnement, et limiter les emplacements où ces métavaleurs et données brutes s'affichent sur le réseau Security Analytics. À la place des valeurs d'origine, Security Analytics fournit des représentations obfusquées afin de permettre les procédures d'enquête et l'analytique. En outre, les Responsables de la confidentialité des données et les administrateurs sont en mesure d'empêcher la persistance des métavaleurs confidentielles et des paquets ou logs bruts.

Trois méthodes collaborent pour implémenter l'obfuscation des données :

  • Obfuscation des métavaleurs pour les clés méta confidentielles avec valeur salt en option. Les clés méta dont la protection est configurée sont représentées par des valeurs obfusquées au moment de la création sur Decoder ou Log Decoder. Pour l'implémentation, vous devez configurer l'algorithme de hachage et la valeur salt de Decoder et Log Decoder, et configurer les clés de langue confidentielles protégées dans tous les services Security Analytics Core.
  • L'accès basé sur les rôles (RBAC) aux paquets et logs bruts et aux métavaleurs confidentielles. Le Responsable de la confidentialité des données peut utiliser des rôles avec des fonctions d'autorisation granulaire pour restreindre les données affichées par les analystes au cours de la configuration, de l'analyse et des procédures d'enquête. Le Guide de la sécurité du système et de la gestion des utilisateurs couvre de manière détaillée l'implémentation RBAC dans Security Analytics. Pour l'implémentation, vous devez configurer la visibilité du contenu et des méta par rôle sur les différents modules Broker, Concentrator, Decoder, Log Decoder et Archiver.
  • Prévention de la persistance des métavaleurs confidentielles et des paquets et logs bruts. Pour l'implémentation, vous devez configurer les clés méta sur les parsers comme étant transitoires pour les différents Decoders et Log Decoders.

Remarque : Selon les autorisations du rôle d'analyste Security Analytics par défaut, un analyste qui ne peut pas afficher certaines méta peut exporter et télécharger des PCAP pour les clés méta restreintes à partir du module Investigation et afficher les données dans une application tierce comme Wireshark. Pour empêcher cela, le Responsable de la confidentialité des données doit supprimer l'autorisation sdk.packets du rôle Analyste par défaut. Gardez cependant à l'esprit que lorsque vous supprimez l'autorisation sdk.packets du rôle Analyste, aucun analyste avec ce rôle ne pourra exporter ou télécharger des PCAP, ce qui les empêchera de réaliser certains types d'analyse. Si les analystes doivent pouvoir exporter et télécharger des PCAP, le Responsable de la confidentialité des données peut tirer parti de la fonction d'audits globaux de Security Analytics afin de capturer les événements liés à ces exportations ou téléchargements, et surveiller les lots d'audit à la recherche de violations des stratégies.

Application de la rétention des données

Security Analytics peut s'assurer que les données sont conservées aussi longtemps que nécessaire ou le temps indiqué. Un administrateur peut configurer la rétention de données à l'aide de seuils d'âge et de temps ou bien par service. Les planificateurs fonctionnant sur chaque service suppriment automatiquement les données qui atteignent ces seuils. Une fois que les données sont supprimées, elles ne sont plus disponibles via les interfaces utilisateur, les requêtes ou les appels API (Application Programming Interface). Certains composants Security Analytics prennent également en charge la purge de données par le biais de leur remplacement.

Un administrateur peut gérer la rétention de données de différentes façons :

  • Configurer la durée de persistance des données dans le stockage sur le système.
  • Pour les services Core, supprimer de manière stratégique les données confidentielles qui pourraient s'y trouver en configurant la suppression automatique des données d'un âge spécifique.
  • Configurer Security Analytics de façon à ce que les données d'origine ne soient pas envoyées ou enregistrées vers les autres composants. Si des données confidentielles se retrouvent dans une autre base de données des serveurs Reporting Engine, Malware Analysis et Security Analytics, la rétention de données peut aussi s'appliquer à ces emplacements. Pour Event Stream Analysis, cette configuration est gérée dans la vue Explorer les services.

Remarque : Si le Responsable de la confidentialité des données décide que des données déjà collectées sont confidentielles après la disponibilité du système, l'administrateur peut remplacer manuellement les données dans les bases de données ou fichiers où les données sont enregistrées.

Consignation des audits

Les administrateurs peuvent tirer parti des logs d'audit créés par Security Analytics à l'aide de la fonction de Consignation globale des audits. La fonction de consignation des audits génère des entrées de log d'audit sur de nombreuses activités, et voici des exemples d'entrées de log liées à la confidentialité des données :

  • Modifications des autorisations et utilisateurs attribués à des rôles
  • Tentatives réussies et échecs de connexion à Security Analytics, et déconnexions.
  • Suppression de données
  • Exportations et téléchargements de données
  • Navigation des utilisateurs vers les interfaces utilisateurs et requêtes réalisées par les utilisateurs
  • Tentatives (réussies ou non) d'afficher ou de modifier des données confidentielles, y compris l'identification de leur auteur.

Toutes les entrées de log font partie d'une piste d'audit standard pour Security Analytics. Les administrateurs peuvent configurer Security Analytics pour transférer les logs d'audit vers une destination précise, y compris des systèmes tiers, afin de proposer des fonctions supplémentaires de filtrage et de reporting. Pour plus d'informations sur la consignation globale des audits, reportez-vous à la section Configurer la consignation globale des audits dans le Guide de configuration système.

Composants couverts par la fonction de confidentialité des données

La figure ci-dessous identifie les composants Security Analytics couverts par la fonction de confidentialité des données de la version 10.5 ou ultérieure à l'aide d'une coche verte. Les composants marqués d'une X ne sont pas pris en charge par la fonction de confidentialité des données. Le Guide de mise en route de Security Analytics fournit une description fonctionnelle des composants de Security Analytics.

Remarque : Les fonctions de confidentialité des données Security Analytics ne sont pas prise en charge pour Warehouse et les métadonnées protégées peuvent parvenir à Warehouse via Warehouse Connector, à moins que le filtrage ne soit explicitement configuré grâce aux métafiltres de Warehouse Connector. Si des métadonnées protégées parviennent à Warehouse, les utilisateurs ayant un accès direct à Warehouse peuvent envoyer des requêtes sur ces données. Les Responsables de la confidentialité des données doivent empêcher cela par le biais de contrôles administratifs, techniques et procéduraux en dehors de Security Analytics.

Implémentation de la fonction de confidentialité des données par composant

Le tableau suivant identifie les fonctions de confidentialité des données pour chaque composant Security Analytics. Pour chaque composant, une coche indique si le composant prend en charge l'obfuscation de données, l'application de la rétention de données, le remplacement des données et la consignation des audits.

                                                                                                         
ComposantObfuscation des donnéesApplication de la rétention des données Remplacement des donnéesConsignation des audits
Ingestion
Decoder checkmark3.png checkmark3.png checkmark3.png checkmark3.png
Log Decoder checkmark3.png checkmark3.png checkmark3.png checkmark3.png
Agrégation des métadonnées
Concentrator checkmark3.png checkmark3.png checkmark3.png checkmark3.png
Brokers.o. checkmark3.png
(stockage dans le cache DPO uniquement)1
  checkmark3.png
Analyse en temps réel  
Investigation checkmark3.png checkmark3.png
(stockage dans le cache DPO uniquement)2
  checkmark3.png
Event Stream Analysis checkmark3.png    checkmark3.png
Malware Analysis checkmark3.png checkmark3.png   checkmark3.png
Gestion des incidents checkmark3.png checkmark3.png   checkmark3.png
Reporting
Reporting Engine checkmark3.png checkmark3.png   checkmark3.png
Analyse à long terme
Archiver checkmark3.png checkmark3.png checkmark3.png
(sans compression)3
checkmark3.png
Warehouse    

Remarques :
1 - Les Brokers peuvent mettre les données en cache mais celui-ci doit être vidé en configurant un transfert indépendant et d'autres suppressions de cache si nécessaire. L'administrateur peut configurer le transfert de cache pour un Broker à l'aide du planificateur dans l'onglet Fichiers de la vue Configuration des services.
2 - Investigation et données de cache Security Analytics Server, vidées automatiquement toutes les 24 heures.
3 - La procédure de remplacement décrite dans Configurer la rétention de données s'applique aux données non compressées.

Instructions de configuration spécifiques aux composants

Les composants et modules Security Analytics ayant accès aux métadonnées confidentielles et leurs correspondances obfusquées sont Investigation, Event Stream Analysis (ESA), Malware Analysis, Incident Management et Reports. Elles obtiennent l'accès aux données en fonction des autorisations définies pour le rôle auquel appartient l'utilisateur. L'administrateur ou le Responsable de la confidentialité des données configure chaque Decoder ou Log Decoder pour identifier les métaclés signalées pour l'obfuscation.

Ces composants disposent d'instructions supplémentaires pour s'assurer qu'elles fonctionnent comme prévu avec un plan de confidentialité des données :

  • Event Stream Analysis. Lorsqu'ESA reçoit des données sensibles confidentielles de Security Analytics Core, ESA ne transmet que la version obfusquée des données. ESA ne stocke pas ou n'affiche pas les données protégées. Il existe des instructions supplémentaires pour la configuration de règles EPL avancées et les sources d'enrichissement (décrites dans la section Données sensibles du Guide des alertes basées sur ESA).
  • Malware Analysis. Malware Analysis référence certaines clés méta pendant la notation, y compris alias.host, client et bien d'autres. Pour éviter toute perte de fonctionnalité analytique, Malware Analysis doit être configuré comme un client de confiance, c'est-à-dire configuré pour se connecter à l'infrastructure Security Analytics Core avec un compte équivalent à celui d'un utilisateur de rôle Responsable de la confidentialité des données. Sinon, si les clés méta référencées par Malware Analysis sont balisées pour l'obfuscation et ne sont pas accessibles par Malware Analysis, certains indicateurs de compromission (IOC) peuvent être rendus inefficaces.
  • Gestion des incidents Incident Management utilise un fichier de mappage de confidentialité des données pour afficher les données obfusquées dans les alertes (consultez la section Obfusquer les données privées dans le Guide d'Incident Management) et il dispose d'une période de rétention de données configurable pour les alertes (consultez la section Définir une période de rétention pour les alertes et les incidents dans le Guide d'Incident Management).
  • Rapports.Dans Reporting Engine, chaque service Core est ajouté comme deux sources de données séparées, avec deux comptes de services séparés : une source de données dispose d'un compte de service représentant le rôle de Responsable de la confidentialité des données, et l'autre source de données dispose d'un compte de service représentant un rôle autre que celui du Responsable de la confidentialité des données. La section Configurer la confidentialité des données pour le Reporting Engine dans le Guide de configuration de Reporting Engine comporte les procédures de configuration de la confidentialité des données pour Reporting Engine.

 

 

Rubriques connexes

You are here
Table of Contents > Présentation de la protection des données

Attachments

    Outcomes