DPO(データ プライバシー責任者)ロールは機微データを含むメタ キーを特定でき、難読化されたデータを表示する必要があります。このトピックでは、実際の値ではなくハッシュ化された値が表示されるように、管理者がそのメタ キーを割り当てる方法について説明します。
ハッシュ化されたメタ値に関する注意事項を次に示します。
- NetWitness Suiteでは、ハッシュ化されたメタ値の保存方法として、進(デフォルト)と文字列の2つの方法をサポートしています。
- ハッシュ化された値を表示するようにメタ キーが構成されている場合、Incidentモジュールでは、すべてのセキュリティ ロールにハッシュ化された値のみが表示されます。
- ハッシュ化された値は、実際の値と同じように使用します。たとえば、ハッシュされた値をルールの条件で使用すると、結果は、実際の値を使用した場合と同じになります。
このトピックでは、NetWitness Respondでプライベート データを難読化する方法について説明します。データ プライバシーの詳細情報については、「データ プライバシーの管理ガイド」の「データ プライバシーの管理の概要」トピックを参照してください。
メタ キー難読化のためのマッピング ファイル
NetWitness Respondでは、データの難読化のためのマッピング ファイルはdata_privacy_map.jsです。そのファイルで、難読化されたメタ キー名を入力し、実際のメタ キー名に割り当てます。
次の例は、ip.srcとuser.dstの2つのメタ キーのデータを難読化するためのマッピングを示しています。
'ip.src.hash' : 'ip.src',
'user.dst.hash' : 'user.dst'
難読化されたメタ キー名の命名規則を決定します。たとえば、ip.src.hashについては、ip.src.privateまたはip.src.binとなります。命名規則を1つ選択し、その規則をすべてのホストで一貫して使用する必要があります。
前提条件
- DPOロールは、データの難読化を必要とするメタ キーを指定する必要があります。
- 管理者ロールは、データの難読化のメタ キーを割り当てる必要があります。
手順
- データ プライバシー マッピング ファイルを開きます。
/var/lib/netwitness/respond-server/scripts/data_privacy_map.js - obfuscated_attribute_map変数で、メタ キーの名前を入力して、難読化されたデータを保持します。次に、その難読化されたデータを、次のフォーマットに従って、難読化されたデータが含まれないメタ キーに割り当てます。
'ip.src.hash' : 'ip.src' - ハッシュ化された値を表示する必要があるメタ キーごとにステップ2を繰り返します。
- ステップ2と同じ命名規則を使用します。その規則はすべてのホストで一貫して使用します。
- ファイルを保存します。
割り当てられたメタ キーすべてについて、実際の値ではなくハッシュ化された値が表示されます。
次の図では、[イベントの詳細]内のハッシュ化された宛先IPアドレスが表示されています。![ハッシュ化された宛先IPアドレスを表示する[Incident Details]ビューの[イベントの詳細]パネル](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-89521-1-420886/EventDtlsIPhashed_480x83.png)
新しいアラートによって、難読化されたデータが表示されます。
![ハッシュ化された宛先IPアドレスを表示する[Incident Details]ビューの[イベントの詳細]パネル](https://community.rsa.com/servlet/JiveServlet/showImage/102-89521-1-420886/EventDtlsIPhashed_480x83.png)
注:既存のアラートでも、引き続き、機微データが表示されます。この手順は、遡っては適用されません。
Previous Topic:アラートとインシデントの保持期間の設定
Next Topic:NetWitness SecOps Managerでのインシデント管理
You are here
Table of Contents > Respondの構成のための追加の手順 > プライバシー データの難読化