Privacidad de datos: Configurar la solución recomendada

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se indica a los administradores y a los encargados de la privacidad de datos cómo configurar la solución de privacidad de datos recomendada en una red de NetWitness Suite. Estos son los pasos básicos que se deben seguir para configurar el sistema NetWitness Suite con el fin de identificar datos confidenciales y determinar quién puede verlos. La configuración recomendada genera valores ocultos de ciertas claves de metadatos originales y después hace persistir los datos originales y los ocultos de modo que estén disponibles para usuarios a quienes se asignó acceso de funciones con privilegios.

Esta configuración tiene varias partes:

  1. Cree dos usuarios con distintos niveles de permisos. Un usuario (el encargado de la privacidad de datos) puede ver todos los metadatos y al otro (un analista) se le impide ver ciertos metadatos y contenido con metadatos asociados.
  2. Configure dos transformaciones que usen un valor de sal y un hash para crear una versión oculta de las claves de metadatos username e ip.src originales.
  3. Configure la retención de datos en los servicios Decoder y Concentrator.

Nota: Para realizar este procedimiento se requieren las siguientes condiciones:
-Concentrator y Decoder se deben agregar al Servidor de NetWitness mediante conexiones de confianza.
-La versión de Servidor de NW debe ser 10.5 o superior.
-Los servicios principales deben ser 10.5 o superior.
-La agregación debe usar cuentas de agregadores en todos los servicios principales.

Configurar restricciones de metadatos y contenido en Brokers, Concentrators y Decoders

Para restringir los metadatos y el contenido crudo que los usuarios pueden ver, debe habilitar funciones del sistema de SDK con el fin de permitir controles más granulares mediante la configuración de restricciones de metadatos y contenido en cada servicio en la vista Seguridad de servicios.

  1. En la vista Servicios de Admin, seleccione un servicio y haga clic en Botón Acciones > Ver > Seguridad.
  2. Haga clic en la pestaña Ajustes de configuración.

    Pestaña Configuración de seguridad

  3. En el campo Permisos de función de metadatos de SDK, seleccione Ingresar en lista negra metadatos y contenido. Haga clic en Aplicar.

    Esto permite que el administrador ponga en lista blanca claves de metadatos individuales de modo que solo el encargado de la privacidad de datos pueda ver las claves de metadatos y el contenido. Las funciones nuevas por clave de metadatos se agregan en la pestaña Funciones.

  4. Haga clic en la pestaña Funciones.

    Pestaña Funciones de seguridad

  5. En la pestaña Funciones,

    1. Seleccione las claves de metadatos que no desea que los analistas vean, por ejemplo, seleccione sdk.meta.username y sdk.meta.ip.src.

      Esto impide que el analista vea las claves de metadatos confidenciales username e ip.src, así como el contenido de cualquier sesión que incluya esos metadatos.

    2. Deseleccione sdk.packet. Esto elimina la capacidad de los analistas de exportar registros y paquetes crudos de forma masiva.
    3. Haga clic en Aplicar.
  6. En la pestaña Funciones, asegúrese de que sdk.meta.values no esté seleccionado para la función Data_Privacy_Officers. Haga clic en Aplicar.

    Un DPO puede ver cualquier metadato y cualquier sesión.

    En la pestaña Funciones, asegúrese de que la función Aggregation tenga los siguientes permisos: seleccione aggregate, sdk.content, sdk.meta y sdk.packets.

Agregar cuentas de encargado de la privacidad de datos y analista en el Servidor de NetWitness

Debe agregar dos cuentas de usuario nuevas en NetWitness Suite en el nivel del sistema, las cuales representan un encargado de la privacidad de datos con privilegios y un analista típico. Si el ambiente se configura con el uso de las conexiones de confianza predeterminadas, no necesita crear las cuentas de usuario nuevas en los servicios principales (Brokers, Concentrators y Decoders). Cuando se crea un usuario en el Servidor de NetWitness, ese usuario puede iniciar sesión en los servicios.

Nota: se requiere que el nombre de la función exista tanto en el servidor como en los servicios, y este nombre debe ser idéntico. Si crea una nueva función personalizada en el Servidor de NetWitness, asegúrese de agregarla también a todos los servicios principales.

  1. Cree una cuenta de usuario nueva para el encargado de la privacidad de datos:

    1. En la vista Seguridad de servicios, seleccione la pestaña Usuarios. En la barra de herramientas de la pestaña Usuarios, haga clic en Ícono Agregar.

      Se muestra el cuadro de diálogo Agregar usuario.

      Cuadro de diálogo Agregar usuario

    2. Cree la nueva cuenta con las siguientes credenciales.

      Nombre de usuario = <nuevo nombre de usuario de inicio de sesión, por ejemplo, DPOadmin>
      Correo electrónico = <correo electrónico del nuevo usuario, por ejemplo, DPOadmin@rsa.com>
      Contraseña = <contraseña del nuevo usuario para el inicio de sesión, por ejemplo, RSAprivacy1!@>
      Nombre completo = <nombre completo del nuevo usuario, por ejemplo, DPO Administrator>

    3. Haga clic en la pestaña Funciones, Ícono Agregar, y seleccione la función Data_Privacy_Officers para el nuevo usuario.
    4. Seleccione Guardar.
  2. Cree una nueva cuenta de usuario para el analista con privilegios limitados:

    1. En la vista Seguridad de servicios, seleccione la pestaña Usuarios. En la barra de herramientas de la pestaña Usuarios, haga clic en Ícono Agregar.

      Se muestra el cuadro de diálogo Agregar usuario.

    2. Cree la nueva cuenta con las siguientes credenciales:

      Nombre de usuario = <nuevo nombre de usuario de inicio de sesión, por ejemplo, NonprivAnalyst>
      Correo electrónico = <correo electrónico del nuevo usuario, por ejemplo, NonprivAnalyst@rsa.com>
      Contraseña = <contraseña del nuevo usuario para inicio de sesión, por ejemplo, RSAprivacy2!@>
      Nombre completo = <nombre completo del nuevo usuario, por ejemplo, Nonprivileged Analyst>

    3. Haga clic en la pestaña Funciones, Ícono Agregar, y seleccione la función Analysts para el nuevo usuario.
    4. Seleccione Guardar.

Configurar datos ocultos en Decoders y Concentrators

En este procedimiento se crean los valores ocultos que se proporcionan a los usuarios que no tienen acceso a los valores originales.

  1. Configure un valor de sal de modo que el valor oculto se vuelva único. Distintas empresas pueden tener analistas con el mismo nombre y posiblemente el mismo nombre de usuario de inicio de sesión, y el uso de un valor de sal limita la posibilidad de que alguien externo a la organización determine el mecanismo de ocultamiento. En este ejemplo se usa un valor de sal simple y SHA-256, pero el valor de sal es configurable y el algoritmo hash se puede cambiar. Para obtener información adicional, consulte Configurar el ocultamiento de datos.

    1. Para definir el valor de sal y el algoritmo hash, seleccione la vista ADMIN > Servicios.
    2. Seleccione un Decoder en la vista Servicios de Admin y haga clic en Botón Acciones > Ver > Configuración.
    3. Haga clic en la pestaña Privacidad de datos y seleccione el algoritmo hash (SHA-256). En el campo Valor de sal, escriba un hash, por ejemplo, rsasecurity y haga clic en Aplicar.
  2. Defina las transformaciones, incluido el formato de hash, entre la clave de metadatos original y la clave de metadatos oculta en el Decoder. El formato de hash predeterminado es binario, pero la configuración recomendada requiere el uso del formato de texto/cadena.

    1. Haga clic en la pestaña Archivos y, en el menú desplegable, seleccione index-decoder-custom.xml. (Puede aplicar esta misma configuración al Log Decoder en el archivo index-logdecoder-custom.xml).
    2. Ingrese las siguientes líneas en el área de entrada disponible:

      <?xml version="1.0" encoding="utf-8"?>
      <language level="IndexNone" defaultAction="Auto">
      <key name="username" description="Username" format="Text" protected="true"><transform destination="username.hash"/></key>
      <key name="username.hash" description="Username Hash" format="Text"/>
      <key name="ip.src" description="Source IP Address" format="IPv4" protected="true"><transform destination="ip.src.hash"/></key>
      <key name="ip.src.hash" description="Source IP Address Hash" format="Text"/>
      </language>

    3. Para reiniciar el servicio Decoder, en la barra de herramientas, seleccione Sistema en el menú desplegable Ver (actualmente etiquetado Configuración). En la vista Sistema de servicios, seleccione Apagar servicio. El servicio se debe reiniciar automáticamente.
  3. Defina las claves de metadatos en el Concentrator en el archivo index-concentrator-custom.xml:

    1. Haga clic en la pestaña Archivos y, en el menú desplegable, seleccione index-concentrator-custom.xml.
    2. Ingrese las siguientes líneas en el área de entrada disponible:

      <?xml version="1.0" encoding="utf-8"?>
      <language level="IndexValues" defaultAction="Auto">
      <key name="username" description="Username" format="Text" level="IndexValues" protected="true"/>
      <key name="username.hash" description="Username Hash" format="Text" level="IndexValues" token="true"/>
      <key name="ip.src" description="Source IP Address" format="IPv4" level="IndexValues" protected="true"/>
      <key name="ip.src.hash" description="Source IP Address Hash" format="Text" level="IndexValues" token="true"/>
      </language>

    3. Para reiniciar el servicio Concentrator, en la barra de herramientas, seleccione Sistema en el menú desplegable Ver (actualmente etiquetado Configuración). En la vista Sistema de servicios, seleccione Apagar servicio. El servicio se debe reiniciar automáticamente.

Configurar la retención de datos en Concentrators y Decoders

La configuración de la retención de datos garantiza que los datos que residen en los componentes de NetWitness Suite Core se eliminen después de cierto tiempo. No se requiere configurar la retención de datos en Concentrators y Decoders de todos los ambientes, pero puede ser necesario cumplir con las leyes y las normativas aplicables. Es importante evaluar un período de retención adecuado para su ambiente. Los ajustes del Calendarizador de retención de datos que configuró se aplican a TODOS los datos en un Concentrator o Decoder.  

En este ejemplo, NetWitness Suite está configurado para ejecutar una comprobación cada 15 minutos con el fin de determinar si se alcanzó el umbral de duración. Si se alcanzó el umbral, NetWitness Suite elimina los datos que tienen más de 90 días de las bases de datos pertinentes.

Precaución: El período de 90 días de retención es solo un ejemplo. Ajuste los criterios de transferencia según la ubicación de los datos y las leyes aplicables. En un ambiente de privacidad de datos estricto, como en Europa, donde las leyes exigen que la información de identificación personal (PII) no se guarde o que se quite con frecuencia, es posible que deba ajustar el tiempo.

Este procedimiento es opcional. Si no configura un límite de retención de tiempo, el sistema elimina automáticamente los datos más antiguos cuando el espacio del disco duro está lleno. 

(Opcional) Para cada Concentrator y Decoder:

  1. Navegue a la vista Configuración de servicios > pestaña Programador de retención de datos.

    Pestaña Calendarizador de retención de datos

  2. Definir el período de retención de datos. Por ejemplo, defina el Umbral en Duración y en el campo Días, escriba 90.
  3. Defina la frecuencia con que el programador comprueba si se alcanzó el umbral. Por ejemplo, configure el tiempo de ejecución en Intervalo y, en el campo Minutos, seleccione 15.
  4. Para guardar la configuración, haga clic en Aplicar.

Validar la protección de la privacidad de datos

En este punto, los usuarios se agregaron con funciones que tienen permisos relacionados con tipos de metadatos específicos. El paso siguiente es asegurarse de que el usuario restringido (el analista) no pueda ver lo que ve el usuario sin restricciones (el DPO). Además, debe asegurarse de que la configuración de la retención de datos limite el tiempo que se mantienen los datos en los sistemas.

  1. Vea el ocultamiento basado en funciones en acción:

    1. Inicie sesión como el usuario sin restricciones (DPOadmin) y asegúrese de que este usuario pueda ver todos los datos, incluidos los datos confidenciales protegidos username e ip.src, junto con cualquier sesión que contenga los metadatos.
    2. Cierre sesión y vuelva a iniciarla como el usuario DPO.
    3. Para cada Decoder y Log Decoder, importe una PCAP o un archivo de registro en la vista Sistema de servicios.  Use la opción Cargar archivo de paquete para cargar un archivo PCAP que contenga los metadatos username e ip.src.
    4. Cuando se complete la importación, observe los metadatos en la vista Investigation > Navegar y elija el Concentrator conectado al Decoder al cual se acaban de importar los datos.
    5. Desplácese hacia abajo para asegurarse de que las claves de metadatos username e ip.src y los valores correspondientes estén visibles.
    6. Haga clic en uno de los números verdes junto a un valor username o ip.src y verifique que la sesión se cargue en la vista Eventos.
    7. Anote el ID de la sesión para comprobarla cuando inicie sesión como el usuario restringido.
    8. Cierre sesión y vuelva a iniciarla como el usuario restringido (NonprivAnalyst).
    9. Repita los pasos del c al f para verificar que el usuario no pueda ver ninguno de los metadatos username o ip.src ni sesiones que los contienen, incluida la mencionada anteriormente. 
    10. Para ir a una sesión específica, navegue a la vista Investigation > Navegar. En el menú Acciones, seleccione Ir a evento e ingrese el ID de la sesión.
  2. Valide que los datos que se conservan en la base de datos estén dentro del tiempo de retención configurado en el Programador de retención de datos.

    1. Cierre sesión y vuelva a iniciarla como el usuario sin restricciones (DPOadmin).
    2. En el Concentrator, navegue a la vista Servicios > Explorar.
    3. En el árbol de nodos, seleccione el nodo database y, a continuación, stats.
    4. Observe el valor meta.oldest.file.time y verifique que no sea anterior al umbral establecido en el programador de retención de datos.
    5. Cambie el servicio al Decoder, repita los pasos del b al d y busque stats meta.oldest.file.time y packet.oldest.file.time.
You are here
Table of Contents > Procedimientos de inicio rápido > Configurar la solución de privacidad de datos recomendada

Attachments

    Outcomes