Confidentialité des données : Configurer l'obfuscation des données

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit les procédures de configuration de l'obfuscation des données dans Security Analytics. Dans un déploiement unique, toutes les configurations de service Core d'une solution de confidentialité des données doivent être identiques. Veillez à utiliser le même hachage et la même valeur salt dans l'ensemble des modules Decoder et Log Decoder.

Condition préalable

Pour permettre l'obfuscation des données, les comptes utilisateur doivent être configurés comme décrit dans Configurer les comptes d'utilisateur dans le cadre de la protection des données.

Configurer l'algorithme de hachage et la valeur salt Decoder

Le hachage de valeur obtenu dans le cadre de la solution de confidentialité des données a lieu au moment de la création des clés méta sur Decoder et Log Decoder. Ces deux services ont des paramètres par défaut pour une utilisation avec toutes les clés méta dont les valeurs sont transformées en l'absence d'un type d'algorithme de hachage spécifié ou de la valeur salt. Les valeurs Security Analytics initiales des paramètres par défaut sont : algorithme de hachage (SHA256) et valeur salt (aucune). 

Remarque : Security Analytics 10.4 et les versions antérieures prennent en charge l'utilisation de l'algorithme de hachage SHA1 pour la compatibilité en amont. RSA déconseille l'utilisation de l'algorithme SHA1. Celuici n'est pas disponible dans Security Analytics 10.5 et les versions supérieures.

Si vous souhaitez changer les paramètres par défaut, modifiezles dans la vue Configuration des services > onglet Confidentialité des données, ou dans les nœuds suivants de la vue Explorer des services Security Analytics :

  • /decoder/parsers/transforms/default.type

    Algorithme à utiliser pour toutes les clés avec une transformation définie qui ne précise pas le type.  Les algorithmes pris en charge sont les suivants : duplicate et sha-256.

  • /decoder/parsers/transforms/default.salt

    La valeur salt ajoutée à toute valeur hachée (sha-256). Cette valeur est facultative, une valeur salt vide est valide et produit un hachage sans valeur salt. La valeur salt n'est pas définie par défaut afin que vous puissiez créer une valeur salt unique pour votre environnement. En général, plus la valeur salt est longue et complexe, plus la sécurité est accrue. Vous pouvez utiliser une valeur salt comprenant jusqu'à 60 caractères sans que cela ait un impact majeur. Il est recommandé d'utiliser une valeur salt d'au moins 16 caractères.

Pour modifier l'algorithme de hachage et la valeur salt par défaut :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Decoder ou Log Decoder, puis  > Vue > Configuration, et cliquez ensuite sur l'onglet Confidentialité des données.

  3. Dans la section Configurer l'algorithme de hachage et le sel, sélectionnez un Algorithme de hachage à utiliser pour les clés méta avec une transformation définie qui ne précise pas de type. sha-256. (Un  second algorithme, duplicate, peut être utilisé par les administrateurs pour valider que le comportement de ce hachage doit bien se produire sur le réseau.)
  4. (Facultatif) Dans le champ Sel, saisissez une valeur salt à placer juste avant la valeur hachée. Cette valeur est facultative, une valeur salt vide est valide et produit un hachage sans valeur salt. La valeur salt n'est pas définie par défaut afin que vous puissiez créer une valeur salt unique pour votre environnement. En général, plus la valeur salt est longue et complexe, plus la sécurité est accrue. Les bonnes pratiques de sécurité recommandent une valeur salt de 100 bits minimum ou 16 caractères de long. Si une valeur salt unique est requise pour chaque clé méta, vous devez la configurer dans le fichier d'index, comme indiqué dans l'exemple 3 cidessous. 
  5. Cliquez sur Apply.

    Les nouveaux paramètres prennent effet immédiatement. 

Configurer des clés de langue

Dans Security Analytics 10.5, le langage de Security Analytics Core possédait plusieurs attributs de clés de langue supplémentaires pour faciliter la mise en œuvre de la confidentialité des données. Vous pouvez modifier ces attributs dans le fichier d'index personnalisé de chaque service Decoder ou Log Decoder. Le fichier d'index personnalisé (par exemple indexdecodercustom.xml) est modifiable dans la vue Configuration des services > onglet Fichiers. Après avoir apporté des modifications aux fichiers d'index, comme celles indiquées dans les exemples cidessous, vous devez redémarrer le service selon une séquence spécifique.

Selon les exigences de confidentialité des données définies pour votre site, configurez des clés méta individuelles à protéger à l'aide des attributs suivants de key :

  • protected

    Cet attribut indique que Security Analytics doit considérer les valeurs comme étant protégées et contrôler étroitement toute version de la valeur. Lors de la propagation de l'attribut protected, Security Analytics vérifie que les systèmes fiables en aval traitent les valeurs en conséquence. Ajoutez cet attribut à tous les services qui créent les valeurs protégées (c'est-à-dire Decoder ou Log Decoder), et tous les services qui fournissent un accès fiable (requête/valeurs de SDK, agrégation) en dehors des services Security Analytics Core. Seule exception à cette règle : un Broker sans fichier d'index spécifié n'a pas besoin de l'ajout de l'attribut. 

  • token

    Cet attribut spécifie que les valeurs de cette clé remplacent d'autres valeurs et peuvent être visuellement intéressantes. L'attribut token est un attribut d'information. Il sert principalement aux éléments d'interface utilisateur qui affichent la valeur dans un format plus utile ou visuellement plus agréable.

  • transform

    Cet élément enfant de key indique que les valeurs d'une métaclé donnée doivent être transformées et que la valeur de résultat est conservée dans une autre métaclé. L'élément transform est requis uniquement dans les services Decoder et Log Decoder. Il s'agit d'un élément d'information, s'il est spécifié dans d'autres services Core.  L'élément transform possède les attributs et enfants suivants :    

                             
NameTypeDescription :Facultatif ou requis
destination PropriétéSpécifie le nom de clé où la valeur transformée doit persister.obligatoire
type PropriétéAlgorithme de transformation à appliquer. S'il n'est pas spécifié, la valeur /decoder/parsers/transforms/default.type est utilisée.facultatif
param élément enfantPaire nom/valeur, où chaque élément param possède un attribut name, et où le texte de l'élément enfant représente la valeur. Le seul élément param pris en charge sert à indiquer une valeur salt spécifique d'une clé. S'il n'est pas spécifié, la valeur /decoder/parsers/transforms/default.salt est utilisée.facultatif

Exemple 1

Dans Decoder ou Log Decoder, marquez username comme étant protégé, et hachez toutes les valeurs en username.hash avec l'algorithme et la valeur salt par défaut :

<key name="username" description="Username" format="Text" protected="true"><transform destination="username.hash"/></key>

Exemple 2

Dans Concentrator, marquez username comme étant protégé, et username.hash comme étant un jeton :

<?xml version="1.0" encoding="utf-8"?> <language level="IndexNone" defaultAction="Auto"> <key description="Username" format="Text" level="IndexValues" name="username" protected="true"/> <key description="Username Hash" format="Binary" level="IndexValues" name="username.hash" token="true"/> </language>

Exemple 3

Dans Decoder ou Log Decoder, marquez username comme étant protégé, et hachez toutes les valeurs en username.bin avec l'algorithme et la valeur salt par défaut :

<key name="username" description="Username" format="Text" protected="true"> <transform destination="username.bin" type="sha-256"> <param name="salt">0000</param> </transform></key>

Configurer la visibilité des métadonnées et du contenu en fonction du rôle d'utilisateur dans les services Core

Vous pouvez configurer l'accès d'un groupe d'utilisateurs aux métadonnées et au contenu pour chaque service Broker, Concentrator, Decoder, Log Decoder et Archiver dans la vue Sécurité des services. Les administrateurs activent le rôle méta SDK et spécifient le type du filtrage de rôle méta sous l'onglet Paramètres. Des autorisations supplémentaires relatives aux rôles de clés méta apparaissent sous l'onglet Rôles. Elles ont pour effet de mettre sur liste noire ou sur liste blanche les rôles méta sélectionnés pour des groupes spécifiques.

Le tableau suivant répertorie les options de filtrage et les valeurs numériques utilisées à des fins de désactivation (0), ainsi que les types de filtrages (1 à 6). Il n'est pas nécessaire de connaître la valeur numérique à moins de configurer la visibilité manuelle du contenu et méta dans le nœud system.roles.

                                                          
Valeur du nœud system.rolesOption de l'onglet ParamètresMétadonnées d'une sessionPaquets d'une session
0Aucun filtrage.
Les rôles système qui définissent les autorisations sur la base d'une clé méta sont désactivés.
VisibleVisible
1Liste blanche méta et contenu.
Par défaut, aucune métadonnée et aucun paquet n'est visible. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs sont autorisés à voir les métadonnées et les paquets correspondant au rôle méta SDK choisi.
Invisible
Sélectionner pour afficher
Invisible
Sélectionner pour afficher
2Liste blanche méta uniquement.
Par défaut, les paquets sont affichés, mais aucune métadonnée n'est visible. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs sont autorisés à voir les métadonnées correspondant au rôle choisi.
Invisible
Sélectionner pour afficher
Visible
3Liste blanche contenu uniquement.
Par défaut, les métadonnées sont visibles, mais aucun paquet n'est visible. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs sont autorisés à voir les paquets correspondant au rôle choisi.
VisibleInvisible
Sélectionner pour afficher
4Liste noire méta et contenu.
Par défaut, toutes les métadonnées et tous les paquets sont visibles. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs ne sont pas autorisés à voir les métadonnées et les paquets correspondant au rôle choisi.
Visible
Sélectionner pour masquer
Visible
Sélectionner pour masquer
5Liste noire méta uniquement.
Par défaut, toutes les métadonnées et tous les paquets sont visibles. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs ne sont pas autorisés à voir les métadonnées correspondant au rôle choisi.
Visible
Sélectionner pour masquer
Visible
6Liste noire contenu uniquement.
Par défaut, toutes les métadonnées et tous les paquets sont visibles. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs ne sont pas autorisés à voir les paquets correspondant au rôle choisi.
VisibleVisible
Sélectionner pour masquer

Trois facteurs déterminent ce qu'un utilisateur peut voir :

  • Le paramètre de rôle méta SDK.
  • Les clés méta restreintes configurées pour le groupe auquel appartient l'utilisateur.
  • Les clés méta de la session en cours d'analyse.

Voici un exemple de maillage de la configuration du rôle méta SDK avec un groupe disposant de clés méta restreintes.

Configuration :

  • Le paramètre de rôle méta SDK est Liste noire méta et contenu. Si cette option est implémentée, la totalité des métadonnées et du contenu (paquets et logs) est visible par défaut.
  • L'administrateur a restreint les clés méta configurées pour le groupe Analystes afin d'empêcher l'affichage des données sensibles (par exemple username).
  • Les paquets et les logs d'une session qui comprend la clé méta username ne sont pas visibles par un analyste.

Résultat : un utilisateur membre du groupe Analystes enquête sur une session. En fonction du contenu de la session, les résultats sont différents :

  • La session 1 comprend les clés méta suivantes : ip, eth, host et file. La session ne comporte pas username. Par conséquent, tous les paquets et logs de la session sont affichés.
  • La session 2 comprend les clés méta suivantes : ip, time, size, file, username. Dans la mesure où la session comporte username, aucun paquet ou log de la session n'est visible par l'analyste.

Pour configurer les restrictions relatives aux métadonnées et au contenu pour Decoder ou Log Decoder :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Broker, Concentrator, Decoder, Log Decoder ou Archiver et ic-actns.png > Vue > Sécurité, puis cliquez sur l'onglet Paramètres.

  3. Sélectionnez l'une des méthodes de filtrage (liste noire ou liste blanche), les types de contenus (métadonnées et contenu, métadonnées uniquement ou contenu uniquement), puis cliquez sur Appliquer.

  4. Cliquez sur l'onglet Rôles, puis sur un rôle pour lequel vous souhaitez autoriser l'accès au contenu (liste blanche) ou bloquer l'accès au contenu (liste noire), tel que cela est spécifié dans le paramètre Autorisations de rôle méta SDK.

    Les autorisations relatives au rôle sélectionné s'affichent, ainsi que les autorisations de rôle méta SDK disponibles pour la sélection, par exemple sdk.meta.action. Si vous avez sélectionné l'une des options de liste blanche dans le paramètre Autorisations de rôle méta SDK, vous devez attribuer chaque rôle méta SDK pour rendre le contenu sélectionné visible par les utilisateurs possédant ce rôle méta SDK. Si vous avez sélectionné l'une des options de liste noire dans le paramètre Autorisations de rôle méta SDK, le contenu sélectionné n'est pas visible par les utilisateurs possédant ce rôle méta SDK.

  5. Cliquez sur Apply.

    Les paramètres entrent en vigueur immédiatement et s'appliquent aux nouveaux paquets et logs traités par Decoder ou Log Decoder. 

Configurer les clés méta non écrites sur disque pour chaque parser sur un Decoder 

Sur un Decoder et Log Decoder, un responsable de la confidentialité des données peut configurer les clés méta individuelles qui ne sont pas écrites sur disque. Pour ce faire, le responsable de la confidentialité des données spécifie les clés méta comme étant transitoires dans l'index et la configuration du parser.

Remarque : La même fonctionnalité était disponible auparavant sur Log Decoder. Vous pouviez la configurer durant l'installation des parsers en modifiant le fichier tablemap.xml. Désormais, elle est intégrée dans la vue Configuration des services.

Pour configurer les clés méta sélectionnées pour des parsers individuels, sans les écrire sur disque :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Decoder ou Log Decoder, puis cliquez sur ic-actns.png > Vue > Config.
  3. Dans la section Configuration des analyseurs, sélectionnez un parser, puis Transitoire dans la liste déroulante Valeur de configuration.

    La modification de configuration est indiquée par un triangle rouge.

    SvsCfgGetParCfTb.png

  4. Cliquez sur Apply.

    La modification prend effet immédiatement. Le parser configuré avec l'état Transitoire ne stocke plus de clés méta sur disque.

You are here
Table of Contents > Procédures détaillées > Configurer l'obfuscation des données

Attachments

    Outcomes