データ プライバシー:データ難読化の構成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、NetWitness Suiteでデータ難読化を構成する手順について説明します。単一の導入環境では、すべてのコア サービスのデータ プライバシー ソリューションに関する構成が同じである必要があります。すべてのDecoderとLog Decoderで、同じハッシュおよびソルトを使用してください。

注:データ難読化が機能するためには、「データ プライバシーで使用するためのユーザ アカウントの構成」で説明されているように、ユーザ アカウントを構成する必要があります。

Decoderハッシュ アルゴリズムとソルトの構成

データ プライバシー ソリューションの機能の一部として提供されるハッシュ値の生成は、DecoderおよびLog Decoderがメタ キーを作成するときに実行されます。両サービスには、特定のハッシュ アルゴリズムもソルト値も指定されていないメタ キーに適用するデフォルトの設定があります。NetWitness Suiteのデフォルトの初期値は、ハッシュ アルゴリズム(SHA-256)およびソルト(なし)です。 

注:NetWitness Suite 10.4以下では、下位互換性のためにSHA-1ハッシュ アルゴリズムの使用がサポートされています。RSAでは、SHA-1アルゴリズムを使用することは推奨しません。このアルゴリズムは、NetWitness Suite 10.5以降では使用できません。

デフォルトの設定を変更する場合、[サービス]の[構成]ビュー>[データ プライバシー]タブ、またはNetWitness Suite[サービス]の[エクスプローラ]ビュー内の次のノードで編集できます。

  • /decoder/parsers/transforms/default.type

    type指定なしのtransform属性が定義されているメタキーで使用されるアルゴリズム。 サポートされるアルゴリズムは、duplicatesha-256です。

  • /decoder/parsers/transforms/default.salt

    ハッシュ(sha-256)する値の先頭に付加するソルト値。この値はオプションです。空のソルトも有効であり、ソルトなしのハッシュが生成されます。デフォルトではソルトは定義されていないため、環境に固有のソルトを作成できます。一般的に、ソルトが長く、複雑であるほど、セキュリティが向上します。最大60文字のソルトまで、大きな影響なく使用できます。また、16文字以上にすることをお勧めします。

デフォルトのハッシュ アルゴリズムとソルトを編集するには、次の手順を実行します。

  1. 管理]セクションで[サービス]ビューを選択します。
  2. サービス]グリッドで、DecoderまたはLog Decoderサービスを選択し、Actions button>[表示]>[構成]をクリックします。[データ プライバシー]タブを選択します。

    Decoder Data Privacy tab

  3. ハッシュ アルゴリズムとソルトの構成]セクションで、type指定なしのtransform属性が定義されたメタ キーに対して使用する[ハッシュ アルゴリズム]として sha-256を選択します。(2番目のアルゴリズム、duplicateは、管理者がネットワーク内で期待されるハッシュ処理が行われていることを検証する場合に使用します)。
  4. (オプション)[ソルト]フィールドで、ハッシュするすべての値に付加されるソルト値を入力します。この値はオプションです。空のソルトも有効であり、ソルトなしのハッシュが生成されます。デフォルトではソルトは定義されていないため、環境に固有のソルトを作成できます。一般的に、ソルトが長く、複雑であるほど、セキュリティが向上します。セキュリティ上のベスト プラクティスとして、ソルト値は、100ビット以上または16文字以上にする必要があります。メタ キーごとに異なるソルトが必要な場合、後述の例3で示すように、インデックス ファイルを構成する必要があります。 
  5. 適用]をクリックします。

    新しい設定がすぐに反映されます。 

Languageキーの構成

NetWitness Suite 10.5では、データ プライバシーを促進するために、NetWitness Suiteコア言語に複数のLanguageキー属性が追加されています。各DecoderまたはLog Decoderのカスタム インデックス ファイルで、これらの属性を編集できます。カスタム インデックス ファイル(たとえば、index-decoder-custom.xml)は、[サービス]の[構成]ビュー>[ファイル]タブで編集できます。インデックス ファイルを修正した後、下の例に示すように、決められた順序でのサービスの再起動が必要です。

自社のデータ プライバシー要件に基づいて、次のkey属性を使用して保護対象の個々のメタ キーを構成します。

  • protected

    この属性を指定した場合、NetWitness Suiteは値を保護対象とみなし、値の公開を厳密に管理します。protected属性を伝播する場合、NetWitness Suiteは、ダウンストリームの信頼済みシステムでも同様に値を処理することを保証します。保護対象の値を作成するすべてのサービス(つまり、DecoderまたはLog Decoder)、およびコア サービスの外部で信頼済みアクセス(SDK(Software Development Kit)クエリ/値、集計)を提供するすべてのサービスにこの属性を追加します。このルールに対する例外は、インデックス ファイルが指定されていないBrokerで、属性を追加する必要がない場合です。 

  • token

    この属性は、このキーの値が別の値の代用であり、視覚的に意味のある内容でないことを指定します。token属性は情報提供用であり、主として値をより使いやすく見やすい形式で表示するUIエレメントのためのものです。

  • transform

    keyの子エレメントです。これが指定されたメタ キーでは、すべての値を変換する必要があり、また変換結果の値は別のメタ キーに保存されることを意味します。transformエレメントは、DecoderおよびLog Decoderでのみ必要であり、それ以外のコア サービスに対して指定された場合は情報提供のためのものです。 transformエレメントには、次の属性と子エレメントがあります。    

                                 
名前タイプ説明オプションまたは必須
destination 属性変換後の値を保存するメタ キーの名前を指定します。必須
type 属性適用する変換アルゴリズム。指定しない場合、/decoder/parsers/transforms/default.typeの値が使用される。オプション
param 子エレメント名前/値のペアを指定します。各paramエレメントに、必須の属性であるnameと、子テキストの値を指定します。唯一サポートされるparamは、キーに固有のsalt値を指定するために使用されます。指定しない場合、/decoder/parsers/transforms/default.saltの値が使用される。オプション

例1

DecoderまたはLog Decoder上で、usernameをprotectedに指定し、デフォルトのアルゴリズムおよびソルトでハッシュした値をusername.hashに保存します。

<key name="username" description="Username" format="Text" protected="true"><transform destination="username.hash"/></key>

例2

Concentrator上で、usernameをprotectedに指定し、username.hashをtokenに指定します。

<?xml version="1.0" encoding="utf-8"?> <language level="IndexNone" defaultAction="Auto"> <key description="Username" format="Text" level="IndexValues" name="username" protected="true"/> <key description="Username Hash" format="Binary" level="IndexValues" name="username.hash" token="true"/> </language>

例3

DecoderまたはLog Decoder上で、usernameをprotectedに指定し、指定したアルゴリズムおよびソルトでハッシュした値をusername.binに保存します。

<key name="username" description="Username" format="Text" protected="true"> <transform destination="username.bin" type="sha-256"> <param name="salt">0000</param> </transform></key>

コア サービスのユーザ ロールごとにメタデータおよびコンテンツの可視性を構成

メタデータとコンテンツの可視性は、管理者が、[サービス]の[セキュリティ]ビューに表示されている個別のBroker、Concentrator、Decoder、Log Decoder、Archiverサービスで、ユーザに割り当てられているユーザ グループまたはロールに基づいて構成できます。これはSDKメタ ロール機能と呼ばれ、デフォルトで有効化されています。

注:各ユーザのメタデータとコンテンツの可視性を構成する必要がある管理者は、([ロール]タブで) sdk.content権限を無効化できません。[ロール]タブでsdk.content権限が無効になっていると、パケットとrawログはsystem.rolesノードから認識されません。system.rolesノードでは、[設定]タブで構成された方法を使用してフィルタリングを処理します。

sdk.content機能が有効化されている場合、次のステップは、[設定]タブでメタデータとコンテンツのフィルタリング方法を選択することです。ブラックリストまたはホワイトリストのオプションを選択すると、特定のメタ キーの追加権限が[ロール]タブで使用可能になります。その結果、管理者が、アナリストなどのユーザ ロールを[ロール]タブで選択し、そのユーザ グループに対してブラックリストまたはホワイトリストに登録する特定のメタ キー(およびコンテンツ)を選択できます。権限はユーザ グループのすべてのユーザに適用されます。

次の表は、[設定]タブのフィルタのオプションと、それぞれの数値を示しています。0はフィルタ無効化、1~6はフィルタ タイプを表します。system.rolesノードでメタデータおよびコンテンツの可視性を手動で構成しない限り、数値を把握する必要はありません。

                                                          
system.rolesノード値[設定]タブのオプションイベント メタデータ元のイベント
0フィルタなし。
メタ キーごとに権限を定義するシステム ロールは無効です。
表示表示
1メタとコンテンツのホワイトリスト。
デフォルトでは、メタ キーとパケットは両方とも表示されません。ユーザ グループごとに個別のSDKメタ ロールを選択すると、ユーザが、そのSDKメタ ロールのメタデータとパケットを表示できます。
非表示
選択したもののみ表示
非表示
選択したもののみ表示
2メタのみのホワイトリスト。
デフォルトでは、パケットが表示され、メタデータは表示されません。ユーザ グループごとに個別のSDKメタ ロールを選択すると、ユーザが、そのロールのメタデータを表示できます。
非表示
選択したもののみ表示
表示
3コンテンツのみのホワイトリスト。
デフォルトでは、メタデータが表示され、パケットは表示されません。ユーザ グループごとに個別のSDKメタ ロールを選択すると、ユーザが、そのロールのパケットを表示できます。
表示非表示
選択したもののみ表示
4メタとコンテンツのブラックリスト。
デフォルトでは、すべてのメタデータとすべてのパケットが表示されます。ユーザ グループごとに個別のSDKメタ ロールを選択すると、ユーザが、そのロールのメタデータとパケットを表示できません。
表示
選択したもののみ非表示
表示
選択したもののみ非表示
5メタのみのブラックリスト。
デフォルトでは、すべてのメタデータとすべてのパケットが表示されます。ユーザ グループごとに個別のSDKメタ ロールを選択すると、ユーザが、そのロールのメタデータを表示できません。
表示
選択したもののみ非表示
表示
6コンテンツのみのブラックリスト。
デフォルトでは、すべてのメタデータとすべてのパケットが表示されます。ユーザ グループごとに個別のSDKメタ ロールを選択すると、ユーザには、そのロールのパケットが表示されません。
表示表示
選択したもののみ非表示

ユーザへの表示内容は、3つの要因によって決まります。

  • SDKメタ ロールの設定(ブラックリストまたはホワイトリスト)。
  • ユーザが属するグループに対して構成されたメタ キー表示制限。
  • 分析中のセッションのメタ キー。

注意:ブラックリストを使用すると、暗黙的なTRUSTが、構成済みメタデータを除くすべてに付与されることに注意してください。DecoderでRBACを有効化して、暗黙的なTRUSTを使用するには、使用するのはブラックリスト システム設定だけにします。ホワイトリスト設定を使用すると、明示的に有効になっていない非表示のメタ キーで問題がいくつか発生する可能性があります。メタ キーのユニバースは把握できないため、ホワイトリスト ルールで暗黙的なTRUSTを付与することはできません。ホワイトリストを使用する場合は、回避策として、DecoderのRBACをオフにします。また、RBACをオンにする必要がある場合は、Decoderに直接接続するすべてのユーザ アカウントを無効化します。

次の例は、SDKメタ ロール構成と、グループに設定されたメタ キー表示制限によりどのような結果が表示されるかを示しています。

構成:

  • SDKメタ ロールの設定は、[メタとコンテンツのブラックリスト]です。このオプションが選択された場合、すべてのメタとコンテンツ(パケットとログ)がデフォルトで表示されます。
  • 管理者は、アナリスト グループに機微データ(usernameなど)が表示されないようメタ キーの表示制限を構成しました。
  • usernameメタ キーが含まれるセッションのパケットとログは、アナリストには表示されません。

結果:アナリスト グループのメンバーであるユーザがセッションを調査します。結果は、セッションのコンテンツによって異なります。

  • セッション1には、メタ キー ipethhostfile. は含まれません。このセッションにはusernameが含まれないため、セッション内のすべてのパケットとログが表示されます。
  • セッション2には、メタ キーiptimesizefileusernameが含まれます。このセッションにはusernameが含まれているため、セッション内のパケットとログはいずれも、アナリストには表示されません。

DecoderまたはLog Decoderでメタおよびコンテンツの表示制限を構成するには、次の手順を実行します。

  1. 管理]ビューで[サービス]を選択します。
  2. サービス]グリッドで、Broker、Concentrator、Decoder、Log Decoder、Archiverサービスを選択し、Actions button>[表示]>[セキュリティ]をクリックします。[ロール]タブをクリックし、ロールを選択して、sdk.content ロールが有効化されていることを確認します。

  3. 設定]タブをクリックします。
    Security Settings tab
  4. フィルタ方法(ブラックリスト、ホワイトリスト)とコンテンツ タイプ(メタとコンテンツ、メタのみ、コンテンツのみ)の組み合わせから1つのオプションを選択し、[適用]をクリックします。

  5. ロール]タブをクリックし、SDKメタ ロール権限設定の指定に従って、コンテンツを許可(ホワイトリスト)またはコンテンツをブロック(ブラックリスト)するロールをクリックします。

    選択したロールのロール権限が表示され、SDKメタ ロール権限(たとえば、sdk.meta.action)がロール権限のリストに追加され、選択できるようになります。SDKメタ ロール権限設定でホワイトリストの1つを選択した場合、ユーザに対してコンテンツを表示可能にするには、対応するSDKメタ ロール権限を選択する必要があります。SDKメタロール権限設定でブラックリストの1つを選択した場合、選択したSDKメタ ロール権限のコンテンツがユーザに対して非表示になります。

  6. このロールが割り当てられたユーザのSDKメタ ロール権限を選択します。[適用]をクリックします。

    設定は即座に有効になり、DecoderまたはLog Decoderで処理される新しいパケットとログに適用されます。 

Decoderのディスクに書き込まれないメタ キーをParserごとに構成 

データ プライバシー責任者は、DecoderおよびLog Decoderで、ディスクに書き込まないメタ キーを構成できます。これを実現するには、インデックスおよびParserの構成で、メタ キーをTransientに設定します。

注:同じ機能が以前にLog Decoderで提供されており、Parserの設定時にtable-map.xmlファイルを修正することにより構成できました。現在は、[サービス]の[構成]ビューに統合されています。

個々のParserに対して選択したメタ キーをディスクに書き込まないよう構成するには、次の手順を実行します。

  1. 管理]セクションで[サービス]を選択します。
  2. サービス]グリッドで、DecoderまたはLog Decoderサービスを選択し、Actions button>[表示]>[構成]を選択します。
  3. 全般]タブの[Parser構成]セクションで、パーサを選択し、次に[構成]ドロップダウン リストで[Transient]を選択します。構成値(Enabled、Disabled、Transient)をクリックして、リストにアクセスします。

    構成を変更すると、赤い三角形が表示されます。

    Red marks showing the configuration was changed

  4. 適用]をクリックします。

    変更はすぐに反映されます。Parserは、Transientに構成されたメタ キーをディスクに保存しなくなります。

Previous Topic:詳細な手順
You are here
Table of Contents > 詳細な手順 > データ難読化の構成

Attachments

    Outcomes