Configuración de Respond: Ocultar datos privados

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

La función Encargado de la privacidad de datos (DPO) puede identificar claves de metadatos que contienen datos confidenciales y que deben mostrar datos ocultos. En este tema se explica la forma en que el administrador mapea esas claves de metadatos para mostrar un valor al que se aplicó hash en lugar del valor real.

Para los valores de metadatos a los cuales se aplicó hash se aplican las siguientes advertencias:

  • NetWitness Suite es compatible con dos métodos de almacenamiento para valores de metadatos a los cuales se aplicó hash, hexadecimal (predeterminado) y cadena.
  • Cuando una clave de metadatos está configurada para mostrar un valor al cual se aplicó hash, todas las funciones de seguridad ven únicamente el valor con hash en el módulo Incidentes. 
  • Los valores a los cuales se aplicó hash se usan de la misma manera en que se usan los valores reales. Por ejemplo, cuando usa un valor al cual se aplicó hash en criterios de regla, los resultados son los mismos que si usa el valor real.

En este tema se explica cómo ocultar datos privados en NetWitness Respond. Consulte el tema Descripción general de la administración de la privacidad de datos en la guía Administración de la privacidad de datos para obtener información adicional acerca de la privacidad de datos.

Archivo de mapeo para ocultar claves de metadatos

En NetWitness Respond, el archivo de mapeo para el ocultamiento de datos es data_privacy_map.js. En él, se escribe un nombre de clave de metadatos oculta y se mapea al nombre de clave de metadatos real.

En el siguiente ejemplo se muestran los mapeos para ocultar datos de dos claves de metadatos, ip.src y user.dst:

'ip.src.hash' : 'ip.src',
'user.dst.hash' : 'user.dst'

Usted determina la convención de asignación de nombres para los nombres de claves de metadatos ocultas. Por ejemplo, ip.src.hash podría ser ip.src.private o ip.src.bin. Debe elegir una convención de asignación de nombres y usarla coherentemente en todos los hosts.

Requisitos previos

  • La función DPO debe especificar qué claves de metadatos requieren ocultamiento de datos.
  • La función de administrador debe mapear las claves de metadatos para el ocultamiento de datos.

Procedimiento

  1. Abra el archivo de mapeo de privacidad de datos:
    /var/lib/netwitness/respond-server/scripts/data_privacy_map.js
  2. En la variable obfuscated_attribute_map, escriba el nombre de una clave de metadatos que tendrá datos ocultos. A continuación, mapéela a la clave de metadatos que no contiene datos ocultos de acuerdo con este formato:
    'ip.src.hash' : 'ip.src'
  3. Repita el paso 2 para cada clave de metadatos que deba mostrar un valor al cual se aplicó hash. 
  4. Use la misma convención de asignación de nombres que en el paso 2 y aplíquela coherentemente en todos los hosts.
  5. Guarde el archivo
    .Todas las claves de metadatos mapeadas mostrarán valores a los cuales se aplicó hash en lugar de valores reales.
    En la siguiente figura, un valor al cual se aplicó hash muestra la dirección IP de destino en Detalles de eventos:
    Panel Detalles de eventos de la vista Detalles de incidente que muestra una dirección IP de destino a la cual se aplicó hash

    Las nuevas alertas mostrarán datos ocultos.

Nota: Las alertas existentes continuarán mostrando datos confidenciales. Este procedimiento no es retroactivo.

You are here
Table of Contents > Procedimientos adicionales para la configuración de Respond > Ocultar datos privados

Attachments

    Outcomes