Confidentialité des données : Configurer la solution recommandée

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique indique aux administrateurs et aux agents de protection des données comment configurer la solution de protection des données recommandée sur un réseau Security Analytics. Voici les étapes de base à suivre afin de configurer le système Security Analytics pour identifier les données sensibles et déterminer quelles sont les personnes autorisées à les visualiser. La configuration recommandée génère des valeurs obfusquées de certaines clés méta d'origine. Elle permet la persistance des données d'origine et des données obfusquées afin qu'elles soient à la disposition des utilisateurs auxquels un rôle d'accès privilégié a été attribué.

Cette configuration comporte plusieurs parties :

  1. Créez deux utilisateurs avec des niveaux d'autorisation distincts. Un utilisateur (le responsable de la confidentialité des données) peut visualiser toutes les métadonnées, alors qu'un autre utilisateur (l'analyste) n'a pas l'autorisation d'afficher certaines métadonnées et certains contenus associés à des métadonnées.
  2. Configurez deux transformations à l'aide d'une valeur salt et d'un hachage pour créer une version obfusquée des clés méta d'origine username et ip.src.
  3. Configurer la rétention de données sur les services Decoder et Concentrator.

Conditions préalables

Pour que vous puissiez effectuer cette procédure, les conditions suivantes doivent être remplies :

  • Concentrator et Decoder doivent être ajoutés au serveur Security Analytics à l’aide de connexions approuvées.
  • La version du serveur SA doit être 10.5 ou une version supérieure.
  • Les services Security Analytics Core doivent être 10.5 ou une version supérieure.
  • L'agrégation doit utiliser des comptes d'agrégation sur tous les services Security Analytics Core.

Procédures

Configurer les métadonnées et les restrictions de contenu sur les Brokers, Concentrators et Decoders

Pour limiter les métadonnées et le contenu brut visibles par les utilisateurs, activez les rôles système SDK afin d'effectuer des contrôles plus granulaires. Pour ce faire, configurez les restrictions relatives aux métadonnées et au contenu sur chaque service dans la vue Sécurité des services.

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service, puis ic-actns.png > Vue > Sécurité.
  3. Cliquez sur l'onglet Paramètres.

    SvsConLdSetTb.png

  4. Dans le champ Autorisations de rôle méta SDK, sélectionnez Liste noire méta et contenu. Cliquez sur Appliquer.

    Cela permet à l'administrateur de mettre sur liste noire des clés méta individuelles afin que seul le responsable de la confidentialité des données puisse voir les clés méta et le contenu. Les nouveaux rôles de chaque clé méta sont ajoutés à l'onglet Rôles.

  5. Cliquez sur l’onglet Rôles.

  6. Sous l'onglet Rôles,

    1. Sélectionnez les clés méta que les analystes ne doivent pas voir. Par exemple, sélectionnez sdk.meta.username et sdk.meta.ip.src.

      Cela empêche l'analyste de voir les clés méta sensibles au niveau de la confidentialité, à savoir username et ip.src, ainsi que tous les contenus de sessions comprenant des métadonnées.

    2. Désélectionnez sdk.packet. Cela empêche l'analyste d'exporter en bloc les paquets et logs bruts.
    3. Cliquez sur Appliquer.
  7. Sous l'onglet Rôles, vérifiez qu'aucune valeur sdk.meta n'est sélectionnée pour le rôle Data_Privacy_Officers. Cliquez sur Appliquer.

    Un responsable de la confidentialité des données peut afficher la totalité des métadonnées et des sessions.

    Dans l’onglet Rôles, vérifiez que le rôle Aggregation dispose des autorisations suivantes : sélectionnez aggregate,sdk.content, sdk.meta et sdk.packets..

Ajouter un compte d'analyste et d'agent de protection des données sur le serveur Security Analytics

Vous devez ajouter deux nouveaux comptes utilisateur dans Security Analytics au niveau système pour représenter un responsable de la confidentialité des données disposant de privilèges et un analyste classique. Si l’environnement est configuré à l’aide de connexions approuvées par défaut, vous n’avez pas besoin créer les nouveaux comptes utilisateur sur les services Security Analytics Core (Brokers, Concentrators et Decoders). Lorsqu'un utilisateur est créé sur le serveur Security Analytics, ce dernier peut se connecter aux services.

Remarque : Le nom du rôle est obligatoire pour le serveur et les services, il doit être identique pour les deux. Si vous créez un nouveau rôle personnalisé sur le serveur Security Analytics, veillez à lui ajouter également tous les services Security Analytics Core.

  1. Créez un nouveau compte d'utilisateur pour l'agent de protection des données :

    1. Dans le menu Security Analytics, sélectionnez Administration > Sécurité. Dans la barre d'outils de l'onglet Utilisateurs, cliquez sur ic-add.png.

      La boîte de dialogue Ajouter un utilisateur s'affiche.

      AddUserDPOex.png

    2. Créez le nouveau compte avec les informations d'identification suivantes :

      Nom d'utilisateur = <nouveau nom d'utilisateur pour la connexion, par exemple, DPOadmin>
      Email = <nouvelle adresse e-mail de l'utilisateur, par exemple DPOadmin@rsa.com>
      Mot de passe = <mot de passe du nouvel utilisateur pour la connexion, par exemple, RSAprivacy1!@>
      Nom complet = <nouveau nom complet de l'utilisateur, par exemple DPO Administrator>

    3. Dans la section Rôles et attributs, cliquez sur l'onglet Rôles, ic-add.png, puis sélectionnez le rôle Data_Privacy_Officers pour le nouvel utilisateur.
    4. Sélectionnez Enregistrer.
  2. Créez un nouveau compte d'utilisateur pour l'analyste avec des privilèges limités :

    1. Dans le menu Security Analytics, sélectionnez Administration > Sécurité. Dans la barre d'outils de l'onglet Utilisateurs, cliquez sur ic-add.png.

      La boîte de dialogue Ajouter un utilisateur s'affiche.

    2. Créez le nouveau compte avec les informations d'identification suivantes :

      Nom d'utilisateur = <nouveau nom d'utilisateur pour la connexion, par exemple, NonprivAnalyst>
      Email = <nouvelle adresse e-mail de l'utilisateur, par exemple NonprivAnalyst@rsa.com>
      Mot de passe = <mot de passe du nouvel utilisateur pour la connexion, par exemple, RSAprivacy2!@>
      Nom complet = <nouveau nom complet de l'utilisateur, par exemple Nonprivileged Analyst>

    3. Dans la section Rôles et attributs, cliquez sur l'onglet Rôles, ic-add.png, puis sélectionnez le rôle Analysts pour le nouvel utilisateur.
    4. Sélectionnez Enregistrer.

      dposysrolEx.png

Configurer des données obfusquées pour les Decoders et les Concentrators

Cette procédure crée les valeurs obfusquées présentées aux utilisateurs qui n'ont pas accès aux valeurs d'origine.

  1. Configurez une valeur salt pour rendre la valeur obfusquée unique. Des analystes travaillant pour des entreprises distinctes peuvent avoir le même prénom et éventuellement le même nom d'utilisateur de connexion. L'utilisation d'une valeur salt restreint la possibilité pour une personne externe à votre organisation de déterminer votre mécanisme d'obfuscation. Dans cet exemple, vous utilisez une valeur salt simple et un algorithme SHA256. Toutefois, vous pouvez configurer la valeur salt et modifier l'algorithme de hachage. Pour plus d'informations, consultez la rubrique Configurer l'obfuscation des données.

    1. Pour définir la valeur salt et l'algorithme de hachage, dans le menu Security Analytics, sélectionnez Administration > Services.
    2. Sélectionnez Decoder, puis ic-actns.png > Vue > Config.
    3. Cliquez sur l'onglet Confidentialité des données, puis sélectionnez l'algorithme de hachage (SHA256). Dans le champ Sel, saisissez un hachage, par exemple rsasecurity, puis cliquez sur Appliquer.
  2. Définissez les transformations, notamment le format de hachage, entre la clé méta d'origine et la clé méta obfusquée dans Decoder. Le format de hachage par défaut est binaire, mais la configuration recommandée nécessite l'utilisation du format texte/chaîne.

    1. Cliquez sur l'onglet Fichiers, puis dans le menu déroulant, sélectionnez indexdecodercustom.xml. (Vous pouvez appliquer la même configuration à Log Decoder dans le fichier indexlogdecodercustom.xml.)
    2. Saisissez les lignes suivantes dans la zone de saisie disponible :

      <?xml version="1.0" encoding="utf-8"?>
      <language level="IndexNone" defaultAction="Auto">
      <key name="username" description="Username" format="Text" protected="true"><transform destination="username.hash"/></key>
      <key name="username.hash" description="Username Hash" format="Text"/>
      <key name="ip.src" description="Source IP Address" format="IPv4" protected="true"><transform destination="ip.src.hash"/></key>
      <key name="ip.src.hash" description="Source IP Address Hash" format="Text"/>
      </language>

    3. Pour redémarrer le service Decoder, dans la barre d'outils, sélectionnez Système dans le menu déroulant Vue (portant actuellement le nom Config). Dans la vue Système de services, sélectionnez Arrêter le service. Le service doit redémarrer automatiquement.
  3. Définissez les clés méta de Concentrator dans le fichier index-concentrator-custom.xml :

    1. Cliquez sur l'onglet Fichiers, puis dans le menu déroulant, sélectionnez indexconcentratorcustom.xml
    2. Saisissez les lignes suivantes dans la zone de saisie disponible :

      <?xml version="1.0" encoding="utf-8"?>
      <language level="IndexValues" defaultAction="Auto">
      <key name="username" description="Username" format="Text" level="IndexValues" protected="true"/>
      <key name="username.hash" description="Username Hash" format="Text" level="IndexValues" token="true"/>
      <key name="ip.src" description="Source IP Address" format="IPv4" level="IndexValues" protected="true"/>
      <key name="ip.src.hash" description="Source IP Address Hash" format="Text" level="IndexValues" token="true"/>
      </language>

    3. Pour redémarrer le service Concentrator, dans la barre d'outils, sélectionnez Système dans le menu déroulant Vue (portant actuellement le nom Config). Dans la vue Système de services, sélectionnez Arrêter le service. Le service doit redémarrer automatiquement.

Configurer la rétention de données dans les Concentrators et les Decoders

La configuration de la rétention des données garantit que les données résidant dans les composants de Security Analytics Core sont supprimés après un certain temps. La configuration de la rétention de données sur les Concentrators et les Decoders n'est pas requise pour tous les environnements, mais il peut être nécessaire d'être en conformité avec les lois et réglementations applicables. Il importe d'évaluer une période de rétention appropriée pour votre environnement. Les paramètres Planificateur de rétention des données que vous définissez s'appliquent à TOUTES les données présentes sur un Concentrator ou un Decoder.  

Dans l'exemple suivant, Security Analytics est configuré pour vérifier toutes les 15 minutes si le seuil de durée est atteint. Si le seuil est atteint, Security Analytics supprime les données antérieures à 90 jours dans les bases de données applicables.

Attention : La période de rétention de 90 jours n'est qu'un exemple. Ajustez vos critères de transfert selon l'emplacement des données et les lois applicables. Dans un environnement de confidentialité des données strictes comme en Europe où les lois exigent que les informations PII (Personally Identifiable Information) ne soient pas enregistrées ou supprimées fréquemment, vous devrez peut-être ajuster la période.

Cette procédure est facultative. Si vous ne définissez aucune limite de période de rétention, le système supprime automatiquement les données les plus anciennes lorsque l'espace de disque dur est saturé. 

(Facultatif) Pour chaque Decoder et Concentrator :

  1. Accédez à la vue Configuration des Services > onglet Planificateur de rétention des données.

    DatRetSchDeTbEX.png

  2. Définissez la période de rétention des données. Par exemple, définissez le Seuil sur Durée, puis dans le champ Jours, sélectionnez 90.
  3. Définissez la fréquence de vérification du planificateur pour voir si le seuil a été atteint. Par exemple, définissez l'exécution sur Intervalle, puis dans le champ Minutes, sélectionnez 15.
  4. Pour enregistrer la configuration, cliquez sur Appliquer.

Valider la protection de la confidentialité des données

À ce stade, les utilisateurs ont été ajoutés avec des rôles disposant d'autorisations sur certains types de métadonnées. L'étape suivante consiste à vérifier que l'utilisateur restreint (l'analyste) ne peut pas visualiser ce qu'un utilisateur non restreint (le responsable de la confidentialité des données) peut afficher. En outre, vous devez vous assurer que la configuration de la rétention de données limite la durée de conservation de ces dernières sur les systèmes.

  1. Visualiser l'obfuscation basée sur les rôles en action :

    1. Connectez-vous en tant qu'utilisateur non restreint (DPOadmin), puis assurez-vous que cet utilisateur peut voir toutes les données, notamment les données sensibles protégées username et ip.src, quelle que soit la session contenant ces métadonnées.
    2. Déconnectezvous, puis reconnectezvous en tant qu'utilisateur responsable de la confidentialité des données.
    3. Pour chaque Decoder et Log Decoder, importez un fichier PCAP ou log dans la vue Système de services.  Utilisez l'option Télécharger le fichier de paquet pour télécharger un fichier PCAP contenant les métadonnées username et ip.src.
    4. Une fois l'importation terminée, consultez les métadonnées dans la vue Investigation > Naviguer, en choisissant le Concentrator connecté au Decoder où les données viennent d'être importées.
    5. Faites défiler la fenêtre vers le bas pour vous assurer que les clés méta username et ip.src, ainsi que leurs valeurs correspondantes, sont visibles.
    6. Cliquez sur l'un des numéros verts en regard d'une valeur username ou ip.src, puis vérifiez que la session se charge dans la vue Événements.
    7. Notez l'identifiant SID à vérifier lorsque vous vous connecterez en tant qu'utilisateur restreint.
    8. Déconnectez-vous, puis connectez-vous en tant qu'utilisateur restreint (NonprivAnalyst).
    9. Répétez les étapes c à f pour vérifier que l'utilisateur ne peut pas voir les métadonnées username ou ip.src, ni les sessions qui les contiennent, à l'instar de celle évoquée précédemment. 
    10. Pour atteindre une session spécifique, accédez à la vue Investigation > Naviguer. Dans le menu Actions, sélectionnez Accéder à l'événement, puis saisissez l'identifiant SID.
  2. Vérifiez que les données conservées dans la base de données correspondent à la durée de conservation configurée dans le planificateur de rétention des données.

    1. Déconnectezvous, puis connectezvous en tant qu'utilisateur non restreint (DPOadmin).
    2. Dans Concentrator, accédez à la vue Services > Explorer.
    3. Dans l'arborescence de nœuds, sélectionnez le nœud base de données, puis statistiques.
    4. Examinez la valeur meta.oldest.file.time, et vérifiez que son ancienneté ne dépasse pas le seuil défini dans le planificateur de rétention des données.
    5. Passez au service Decoder et répétez les étapes b à d, vérifiez stats meta.oldest.file.time et packet.oldest.file.time.
You are here
Table of Contents > Procédures de démarrage rapide > Configurer la solution de protection des données recommandée

Attachments

    Outcomes