Privacidad de datos: Configurar el ocultamiento de datos

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se proporcionan los procedimientos para configurar el ocultamiento de datos en NetWitness Suite. En una única implementación, todas las configuraciones de servicios Core para una solución de privacidad de datos deben ser iguales; asegúrese de usar el mismo hash y el mismo valor de sal en todos los Decoders y Log Decoders.

Nota: Para que el ocultamiento de datos funcione, es necesario configurar cuentas de usuario como se describe en Configurar cuentas de usuario para su uso en la privacidad de datos.

Configurar el algoritmo hash y el valor de sal de Decoder

La aplicación de hash a valores que se realiza como parte de la solución de privacidad de datos ocurre en el momento de la creación de claves de metadatos en el Decoder y el Log Decoder. Ambos servicios tienen una configuración predeterminada para usar con todas las claves de metadatos, cuyos valores se transforman sin un tipo de algoritmo hash o valor de sal especificados. Los valores iniciales de NetWitness Suite para los valores predeterminados son: algoritmo hash (SHA-256) y valor de sal (ninguno). 

Nota: NetWitness Suite 10.4 y anteriores son compatibles con el uso del algoritmo hash SHA-1 para ofrecer compatibilidad con versiones anteriores. RSA no recomienda el uso del algoritmo SHA-1, el cual no está disponible en NetWitness Suite 10.5 y versiones posteriores.

Si desea cambiar la configuración predeterminada, puede editarla en la vista Configuración de Servicios > pestaña Privacidad de datos o en los siguientes nodos de la vista Explorador de servicios de NetWitness Suite:

  • /decoder/parsers/transforms/default.type

    El algoritmo que se usará para cualquier clave con una transformación definida que no especifica type.  Los algoritmos compatibles son: duplicate y sha-256.

  • /decoder/parsers/transforms/default.salt

    El valor de sal que se antepondrá a cualquier valor en el cual se use hash (sha-256). Este valor es opcional. Un valor de sal vacío es válido y produce un hash sin valor de sal. El valor de sal no se define de manera predeterminada, de modo que usted pueda crear un valor de sal único para su ambiente. En general, cuanto más largo y más complejo sea el valor de sal, mejor será la seguridad. Se puede usar un valor de sal de 60 caracteres como máximo sin ningún impacto importante. Se recomienda un valor de sal por lo menos de 16 caracteres.

Para editar el algoritmo hash y el valor de sal predeterminados:

  1. En la sección Admin, seleccione la vista Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Decoder o Log Decoder y haga clic en Actions button > Ver > Configuración. Seleccione la pestaña Privacidad de datos.

    Decoder Data Privacy tab

  3. En la sección Configurar algoritmo hash y valor de sal, seleccione un Algoritmo hash que desee usar para cualquier clave de metadatos con una transformación definida que no especifique el tipo: sha-256. (Un segundo algoritmo, duplicate, está a disposición de los administradores cuando desean validar que en la red se produzca el comportamiento de hash previsto).
  4. (Opcional) En el campo Valor de sal, ingrese un valor de sal que se antepondrá a cualquier valor al cual se aplique hash. Este valor es opcional. Un valor de sal vacío es válido y produce un hash sin valor de sal. El valor de sal no se define de manera predeterminada, de modo que usted pueda crear un valor de sal único para su ambiente. En general, cuanto más largo y más complejo sea el valor de sal, mejor será la seguridad. Las mejores prácticas con fines de seguridad recomiendan un valor de sal que no sea inferior a 100 bits o 16 caracteres de largo. Si se requiere un valor de sal único para cada clave de metadatos individual, este se debe configurar en el archivo de índice, como se muestra más adelante en el ejemplo 3. 
  5. Haga clic en Aplicar.

    Los nuevos ajustes se aplican de inmediato. 

Configurar claves de idioma

En NetWitness Suite 10.5, al idioma de NetWitness Suite Core se le agregaron varios atributos de clave de idioma para facilitar la privacidad de datos. Puede editar estos atributos en el archivo de índice personalizado para cada Decoder o Log Decoder. El archivo de índice personalizado (por ejemplo, index-decoder-custom.xml) es editable en la vista Configuración de Servicios > pestaña Archivos. Después de realizar cambios en el archivo de índice, como los que se muestran en los ejemplos que aparecen a continuación, se requiere un reinicio del servicio en una secuencia específica.

De acuerdo con los requisitos de privacidad de datos del sitio, configure claves de metadatos individuales que se protegerán mediante los siguientes atributos key:

  • protected

    Este atributo especifica que NetWitness Suite debe considerar los valores como protegidos y controlar estrictamente cualquier versión del valor. Cuando se propaga el atributo protegido, NetWitness Suite se asegura de que cualquier sistema de confianza descendente trate a los valores según corresponda. Agregue este atributo a todos los servicios que creen los valores protegidos (es decir, Decoder o Log Decoder) y a cualquier servicio que proporcione acceso de confianza (consulta/valores y agregación del Software Development Kit [SDK]) fuera de los servicios principales. La excepción a esta regla es que no es necesario agregar el atributo a un Broker para el cual no se especificó un archivo de índice. 

  • token

    Este atributo especifica que los valores para esta clave son sustitutos de otro valor y tal vez no sean visualmente interesantes. El atributo token es informativo y se usa principalmente para que elementos de la interfaz del usuario muestren el valor en un formato más útil o visualmente agradable.

  • transform

    Este elemento secundario de key indica que cualquier valor para una determinada clave de metadatos se debe transformar y que el valor resultante debe persistir en otra clave de metadatos. El elemento transform solo se requiere en Decoders y Log Decoders y es informativo si se especifica en cualquier otro servicio Core.  El elemento transform tiene los siguientes atributos y elementos secundarios:    

                                 
NombreTipoDescripciónOpcional u obligatorio
destination atributoEspecifica el nombre de la clave donde persistirá el valor transformado.required
type atributoEl algoritmo de transformación que se aplicará. Si no se especifica, se utiliza el valor de /decoder/parsers/transforms/default.type.Opcional
param elemento secundarioUn par nombre/valor, en el cual cada elemento param tiene un atributo name requerido y el texto secundario es el valor. El único param compatible se usa para proporcionar un valor salt específico de la clave. Si no se especifica, se utiliza el valor de /decoder/parsers/transforms/default.salt.Opcional

Ejemplo 1

En un Decoder o un Log Decoder, marque username como protegido y aplique hash a todos los valores en username.hash con el algoritmo y el valor de sal predeterminados:

<key name="username" description="Username" format="Text" protected="true"><transform destination="username.hash"/></key>

Ejemplo 2

En un Concentrator, marque username como protegido y username.hash como token:

<?xml version="1.0" encoding="utf-8"?> <language level="IndexNone" defaultAction="Auto"> <key description="Username" format="Text" level="IndexValues" name="username" protected="true"/> <key description="Username Hash" format="Binary" level="IndexValues" name="username.hash" token="true"/> </language>

Ejemplo 3

En un Decoder o un Log Decoder, marque username como protegido y aplique hash a todos los valores en username.bin con el algoritmo y el valor de sal especificados:

<key name="username" description="Username" format="Text" protected="true"> <transform destination="username.bin" type="sha-256"> <param name="salt">0000</param> </transform></key>

Configurar la visibilidad de metadatos y contenido por función de usuario en servicios principales

En servicios Broker, Concentrator, Decoder, Log Decoder y Archiver individuales que se observan en la vista Seguridad de Servicios, los administradores pueden configurar la visibilidad de los metadatos y del contenido según la función o el grupo de usuarios asignados a ese usuario. Esto se denomina funcionalidad de funciones de metadatos de SDK y está habilitada de manera predeterminada.

Nota: Los administradores que desean configurar la visibilidad de los metadatos y del contenido por usuario no deben deshabilitar el permiso sdk.content (en la pestaña Funciones). Si el permiso sdk.content se deshabilitó en la pestaña Funciones, los paquetes y los registros crudos no se pueden ver en el nodo system.roles. El nodo system.roles maneja el filtrado mediante el método configurado en la pestaña Ajustes de configuración.

Con la funcionalidad sdk.content habilitada, el paso siguiente es seleccionar el método de filtrado de metadatos y contenido en la pestaña Ajustes de configuración. La selección de una opción de lista negra o lista blanca pone a disposición permisos adicionales para claves de metadatos específicas en la pestaña Funciones. El resultado es que los administradores pueden elegir una función de usuario, como analista, en la pestaña Funciones y seleccionar claves de metadatos específicas (y contenido) para incluir en la lista negra o en la lista blanca de ese grupo de usuarios. Los permisos se aplican a cualquier usuario del grupo de usuarios.

En la siguiente tabla se indican las opciones de filtrado en la pestaña Ajustes de configuración, así como los valores numéricos que se usan para deshabilitar (0) y los tipos de filtrado (del 1 al 6). No hay necesidad de conocer el valor numérico, a menos que la visibilidad de metadatos y contenido en el nodo system.roles se configure manualmente.

                                                          
Valor del nodo system.rolesOpción de la pestaña ConfiguraciónMetadatos de eventosEvento original
0Sin filtrado.
Las funciones del sistema que definen permisos por clave de metadatos están deshabilitadas.
VisibleVisible
1Ingresar en lista blanca metadatos y contenido.
De manera predeterminada, las claves de metadatos y los paquetes no están visibles. La selección de funciones de metadatos de SDK individuales por grupo de usuarios permite que los usuarios vean metadatos y paquetes para esa función de metadatos de SDK.
No visibles
Seleccione para mostrar
No visibles
Seleccione para mostrar
2Ingresar en lista blanca solo metadatos.
De manera predeterminada, los paquetes están visibles, pero no los metadatos. La selección de funciones de metadatos de SDK individuales por grupo de usuarios permite que los usuarios vean metadatos para esa función.
No visibles
Seleccione para mostrar
Visible
3Ingresar en lista blanca solo contenido.
De manera predeterminada, los metadatos están visibles, pero no los paquetes. La selección de funciones de metadatos de SDK individuales por grupo de usuarios permite que los usuarios vean paquetes para esa función.
VisibleNo visibles
Seleccione para mostrar
4Ingresar en lista negra metadatos y contenido.
De manera predeterminada, todos los metadatos y todos los paquetes están visibles. La selección de funciones de metadatos de SDK individuales por grupo de usuarios impide que los usuarios vean metadatos y paquetes para esa función.
Visibles
Seleccionar para ocultar
Visibles
Seleccionar para ocultar
5Ingresar en lista negra solo metadatos.
De manera predeterminada, todos los metadatos y todos los paquetes están visibles. La selección de funciones de metadatos de SDK individuales por grupo de usuarios impide que los usuarios vean metadatos para esa función.
Visibles
Seleccionar para ocultar
Visible
6Ingresar en lista negra solo contenido.
De manera predeterminada, todos los metadatos y todos los paquetes están visibles. La selección de funciones de metadatos de SDK individuales por grupo de usuarios impide que los usuarios vean paquetes para esa función.
VisibleVisibles
Seleccionar para ocultar

Tres factores determinan lo que ve un usuario:

  • La configuración de funciones de metadatos de SDK (lista negra o lista blanca).
  • Las claves de metadatos restringidas configuradas para el grupo al cual pertenece el usuario.
  • Las claves de metadatos de la sesión que se analiza.

Precaución: Tenga en cuenta que, con la lista negra, se otorga confianza implícita para todo, excepto para los metadatos configurados. Para que un Decoder tenga RBAC habilitado y use confianza implícita, solo debe usar una configuración del sistema de lista negra; una configuración de lista blanca producirá algunos problemas con las claves de metadatos que no están habilitadas explícitamente y, por lo tanto, no están visibles. Es imposible otorgar confianza implícita bajo reglas de lista blanca, debido a que no es posible conocer el universo de claves de metadatos. Si desea usar una lista blanca, una solución alternativa es desactivar RBAC para el Decoder y deshabilitar las cuentas de usuario para que no se conecten directamente al Decoder si deben estar bajo RBAC.

El siguiente es un ejemplo de cómo la configuración de la función de metadatos de SDK se ajusta a un grupo que tiene claves de metadatos restringidas.

Configuración:

  • La configuración de la función de metadatos de SDK es Ingresar en lista negra metadatos y contenido. Con esta opción implementada, todos los metadatos y todo el contenido (paquetes y registros) están visibles de manera predeterminada.
  • El administrador configuró claves de metadatos restringidas para el grupo Analistas con el fin de impedir que vean datos confidenciales (por ejemplo, username).
  • Los paquetes y los registros de cualquier sesión que incluya la clave de metadatos username no están visibles para un analista.

Resultado: ahora, un usuario que es miembro del grupo Analista investiga una sesión. Según el contenido de la sesión, los resultados difieren:

  • La sesión 1 incluye las siguientes claves de metadatos: ip, eth, host y file. La sesión no incluye username y, por lo tanto, se muestran todos sus paquetes y registros.
  • La sesión 2 incluye las siguientes claves de metadatos: ip, time, size, file y username. Debido a que la sesión incluye username, no se muestra al analista ninguno de sus paquetes o registros.

Para configurar restricciones de metadatos y contenido para un Decoder o un Log Decoder:

  1. En la vista Admin, seleccione Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Broker, Concentrator, Decoder, Log Decoder o Archiver y haga clic en Actions button > Ver > Seguridad. Haga clic en la pestaña Funciones, seleccione una función y verifique que la función sdk.content esté habilitada.

  3. Haga clic en la pestaña Ajustes de configuración.
    Security Settings tab
  4. Seleccione uno de los métodos de filtrado (lista negra o lista blanca) y los tipos de contenido (metadatos y contenido, solo metadatos o solo contenido) y haga clic en Aplicar.

  5. Haga clic en la pestaña Funciones y en una función para la cual desee permitir contenido (lista blanca) o bloquear contenido (lista negra) según lo especificado en la configuración de Permisos de función de metadatos de SDK.

    Se muestran los permisos de función para la función seleccionada y los permisos de función de metadatos de SDK están disponibles para su selección, por ejemplo, sdk.meta.action. Si seleccionó una de las opciones de la lista blanca en la configuración de permisos de función de SDK, debe asignar cada función de metadatos de SDK para que el contenido seleccionado sea visible para los usuarios a los que se asignó esa función de metadatos de SDK. Si seleccionó una de las opciones de lista negra en la configuración de Permisos de función de SDK, el contenido seleccionado estará oculto para los usuarios a quienes se asignó esa función de metadatos de SDK.

  6. Seleccione los permisos de función de metadatos de SDK para los usuarios a quienes se asignó esta función. Haga clic en Aplicar.

    La configuración entra en vigencia de inmediato y se aplica a los paquetes y los registros nuevos que procesa el Decoder o el Log Decoder. 

Configurar claves de metadatos que no se escriben en disco por analizador en un Decoder 

En un Decoder y un Log Decoder, un encargado de la privacidad de datos puede configurar claves de metadatos individuales que no se escriben en el disco. Para hacerlo, el DPO especifica las claves de metadatos como transitorias en el índice y en la configuración del analizador.

Nota: La misma funcionalidad estaba disponible anteriormente en Log Decoders y se configuraba cuando se definían analizadores mediante la modificación del archivo table-map.xml. Ahora está integrada en la vista Configuración de servicios.

Para configurar claves de metadatos seleccionadas en analizadores individuales que no se escribirán en disco:

  1. En la sección Admin, seleccione Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Decoder o Log Decoder y elija Actions button > Ver > Configuración.
  3. En la sección Configuración de analizadores de la pestaña General, seleccione un analizador y, a continuación, elija Transitorio en la lista desplegable Valor de configuración. Acceda a la lista, para lo cual debe hacer clic en el valor de configuración (Habilitado, Deshabilitado o Transitorio).

    El cambio en la configuración se marca con un triángulo rojo.

    Red marks showing the configuration was changed

  4. Haga clic en Aplicar.

    El cambio se aplica de inmediato. El analizador configurado como transitorio ya no almacenará claves de metadatos en disco.

You are here
Table of Contents > Procedimientos detallados > Configurar el ocultamiento de datos

Attachments

    Outcomes