Incident Management: Ocultar datos privados

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

La función Encargado de la privacidad de datos (DPO) puede identificar claves de metadatos que contienen datos confidenciales y que deben mostrar datos ocultos. En este tema se explica la forma en que el administrador mapea esas claves de metadatos para mostrar un valor al que se aplicó hash en lugar del valor real.

Para los valores de metadatos a los cuales se aplicó hash se aplican las siguientes advertencias:

  • Security Analytics es compatible con dos métodos de almacenamiento para valores de metadatos a los cuales se aplicó hash, hexadecimal (predeterminado) y cadena.
  • Cuando una clave de metadatos está configurada para mostrar un valor al cual se aplicó hash, todas las funciones de seguridad ven únicamente el valor con hash en el módulo Incidentes. 
  • Los valores a los cuales se aplicó hash se usan de la misma manera en que se usan los valores reales. Por ejemplo, cuando usa un valor al cual se aplicó hash en criterios de regla, los resultados son los mismos que si usa el valor real.

En este tema se explica cómo ocultar datos privados en Incident Management. Consulte el tema Descripción general de la administración de la privacidad de datos en la guía Administración de la privacidad de datos para obtener información adicional acerca de la privacidad de datos.

Archivo de mapeo para ocultar claves de metadatos

En el módulo Incidentes, el archivo de mapeo para el ocultamiento de datos es data_privacy_map.js. En él, se escribe un nombre de clave de metadatos oculta y se mapea al nombre de clave de metadatos real.

En el siguiente ejemplo se muestran los mapeos para ocultar datos de dos claves de metadatos, ip.src y user.dst:

'ip.src.hash' : 'ip.src',
'user.dst.hash' : 'user.dst'

Usted determina la convención de asignación de nombres para los nombres de claves de metadatos ocultas. Por ejemplo, ip.src.hash podría ser ip.src.private o ip.src.bin. Debe elegir una convención de asignación de nombres y usarla coherentemente en todos los hosts.

Requisitos previos

  • La función DPO debe especificar qué claves de metadatos requieren ocultamiento de datos.
  • La función de administrador debe mapear las claves de metadatos para el ocultamiento de datos.

Procedimiento

  1. Abra el archivo de mapeo de la privacidad de datos:
    /opt/rsa/im/scripts/normalize/data_privacy_map.js
  2. En la variable obfuscated_attribute_map, escriba el nombre de una clave de metadatos que tendrá datos ocultos. A continuación, mapéela a la clave de metadatos que no contiene datos ocultos de acuerdo con este formato:
    'ip.src.hash' : 'ip.src'
  3. Repita el paso 2 para cada clave de metadatos que deba mostrar un valor al cual se aplicó hash. 
  4. Use la misma convención de asignación de nombres que en el paso 2 y aplíquela coherentemente en todos los hosts.
  5. Guarde el archivo.
    Todas las claves de metadatos mapeadas mostrarán valores a los cuales se aplicó hash en lugar de valores reales.
    En el siguiente gráfico se muestran valores a los cuales se aplicó hash para la dirección IP y el usuario:
    hashed_ip_username.PNG

    Las nuevas alertas mostrarán datos ocultos.

Nota: Las alertas existentes continuarán mostrando datos confidenciales. Este procedimiento no es retroactivo.

You are here
Table of Contents > Automatizar el proceso de administración de incidentes > Ocultar datos privados

Attachments

    Outcomes