Datenschutz: Konfigurieren der Datenverschleierung

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema werden die Verfahren zur Konfiguration der Datenverschleierung in NetWitness Suite beschrieben. In einer einzelnen Bereitstellung müssen alle Core-Servicekonfigurationen für eine Datenschutzlösung identisch sein. Vergewissern Sie sich, dass Sie für alle Decoders und Log Decoders denselben Hash und Salt verwenden.

Hinweis: Damit die Datenverschleierung funktioniert, müssen Benutzerkonten wie in Konfigurieren von Benutzerkonten für die Verwendung im Datenschutz beschrieben konfiguriert werden.

Konfigurieren des Decoder-Hashalgorithmus und Salt-Werts

Abgeschlossenes Hashing von Werten als Teil der Datenschutzlösung geschieht zum Zeitpunkt der Erstellung von Metaschlüsseln auf Decoder und Log Decoder. Beide Services haben Standardeinstellungen für die Verwendung mit allen Metaschlüsseln, deren Werte ohne bestimmten Hashalgorithmustyp oder Salt-Wert umgewandelt werden. Die anfänglichen NetWitness Suite-Werte für Standardeinstellungen lauten: Hashalgorithmus (SHA-256) und Salt (keiner). 

Hinweis: NetWitness Suite 10.4 und niedriger unterstützen für die Abwärtskompatibilität die Verwendung des Hash-Algorithmus SHA-1. RSA empfiehlt nicht die Verwendung des SHA-1-Algorithmus, da dieser in NetWitness Suite 10.5 nicht verfügbar ist.

Wenn Sie die Standardeinstellungen ändern möchten, können Sie sie auf der Registerkarte „Datenschutz“ in der Ansicht „Service-Konfiguration“ oder in den folgenden Nodes in der Ansicht „NetWitness Suite-Services-Explorer“ bearbeiten:

  • /decoder/parsers/transforms/default.type

    Der zu verwendende Algorithmus für alle Schlüssel mit einer definierten Umwandlung, in der kein type angegeben wird.  Die unterstützten Algorithmen sind: duplicate und sha-256.

  • /decoder/parsers/transforms/default.salt

    Der Salt-Wert, der gehashten Werten (sha-256) vorangestellt wird. Dieser Wert ist optional, ein leerer Salt-Wert ist gültig und erzeugt einen Hashwert ohne Salt. Die Salt ist standardmäßig nicht definiert, damit Sie einen eindeutigen Salt für Ihre Umgebung erstellen können. Im Allgemeinen gilt: je länger und komplexer der Salt, desto besser die Sicherheit. Ein Salt-Wert von bis zu 60 Zeichen kann ohne größere Auswirkungen verwendet werden. Es wird ein Salt von mindestens 16 Zeichen empfohlen.

So bearbeiten Sie den standardmäßigen Hashalgorithmus und Salt:

  1. Wählen Sie im Abschnitt Admin die Ansicht Services aus.
  2. Wählen Sie im Raster Services einen Decoder- oder Log Decoder-Service aus und klicken Sie dann auf Actions button > Ansicht > Konfigurieren. Wählen Sie die Registerkarte Datenschutz aus.

    Decoder Data Privacy tab

  3. Wählen Sie im Abschnitt Hash-Algorithmus und Salt konfigurieren einen Hashalgorithmus für alle Metaschlüssel mit einer definierten Umwandlung aus, in der kein Typ angegeben wird: sha-256. (Für Administratoren ist ein zweiter Algorithmus, duplicate, verfügbar, mit dem sie überprüfen können, ob erwartetes Hashing-Verhalten im Netzwerk erfolgt.)
  4. (Optional) Geben Sie in das Feld Salt einen Salt-Wert ein, der jedem gehashten Wert vorangestellt wird. Dieser Wert ist optional, ein leerer Salt-Wert ist gültig und erzeugt einen Hash ohne Salt. Der Salt ist standardmäßig nicht definiert, damit Sie einen eindeutigen Salt für Ihre Umgebung erstellen können. Im Allgemeinen gilt: je länger und komplexer der Salt, desto besser die Sicherheit. Bewährte Vorgehensweisen für Sicherheitszwecke geben einen Salt-Wert vor, der nicht kleiner als 100 Bits oder 16 Zeichen lang ist. Wenn ein eindeutiger Salt für jeden einzelnen Metaschlüssel erforderlich ist, muss dies in der Indexdatei konfiguriert werden, wie unten in Beispiel 3 gezeigt. 
  5. Klicken Sie auf Anwenden.

    Die neuen Einstellungen werden sofort wirksam. 

Konfigurieren von Sprachschlüsseln

In NetWitness Suite 10.5 wurden der NetWitness Suite-Core-Sprache mehrere Sprachschlüsselattribute hinzugefügt, um Datenschutz zu ermöglichen. Sie können diese Attribute in der benutzerdefinierten Indexdatei für jeden Decoder oder Log Decoder bearbeiten. Die benutzerdefinierte Indexdatei (zum Beispiel „index-decoder-custom.xml“) kann auf der Registerkarte „Dateien“ in der Ansicht „Service-Konfiguration“ bearbeitet werden. Nachdem Sie an der Indexdatei Änderungen vorgenommen haben, wie die in den unten stehenden Beispielen, ist ein Neustart der Services in einer bestimmten Reihenfolge erforderlich.

Konfigurieren Sie basierend auf den Datenschutzanforderungen für Ihren Standort mithilfe der folgenden key-Attribute einzelne zu schützende Metaschlüssel:

  • protected

    Dieses Attribut legt fest, dass NetWitness Suite die Werte als geschützt erachten und jede Veröffentlichung des Werts streng kontrollieren sollte. Wenn die geschützten Attribute verteilt werden, sorgt NetWitness Suite dafür, dass jedes vertrauenswürdige Downstreamsystem die Werte entsprechend behandelt. Fügen Sie dieses Attribut allen Services hinzu, die die geschützten Werte erstellen (d. h. Decoder oder Log Decoder) sowie allen Services, die sicheren Zugriff (SDK (Software Development Kit)-Abfrage/Werte, Aggregation) außerhalb von Core-Services bereitstellen. Davon ausgenommen ist ein Broker ohne angegebene Indexdatei, dem die Attribute nicht hinzugefügt werden müssen. 

  • token

    Dieses Attribut legt fest, dass Werte für diesen Schlüssel Platzhalter für andere Werte und visuell möglicherweise nicht interessant sind. Das Attribut token ist informationell und dient hauptsächlich dazu, dass Benutzeroberflächenelemente den Wert in einem nützlicheren oder einem visuell ansprechenderen Format anzeigen.

  • transform

    Dieses untergeordnete Element zu key zeigt an, dass alle Werte für einen gegebenen Metaschlüssel umgewandelt und die sich ergebenden Werte dauerhaft einem anderen Metaschlüssel zugeordnet werden sollten. Das Element transform ist nur auf Decoders und Log Decoders erforderlich und hat informativen Charakter, wenn es auf anderen Core-Services angegeben ist.  Das Element transform enthält die folgenden Attribute und untergeordneten Elemente:    

                                 
NameTypBeschreibungOptional oder erforderlich
destination AttributGibt den Namen des Schlüssels an, dem der umgewandelte Wert dauerhaft zugeordnet wird.Erforderlich
type AttributDer anzuwendende Umwandlungsalgorithmus. Wenn kein Wert angegeben wird, wird der Wert von /decoder/parsers/transforms/default.type verwendet.Optional
param Untergeordnetes ElementEin Name-Wert-Paar, bei dem jedes param-Element ein erforderliches name-Attribut hat und der untergeordnete Text der Wert ist. Das einzige unterstützte param-Element wird verwendet, um einen schlüsselspezifischen salt-Wert festzulegen. Wenn kein Wert angegeben wird, wird der Wert von /decoder/parsers/transforms/default.salt verwendet.Optional

Beispiel 1

Markieren Sie auf einem Decoder oder Log Decoder username als geschützt und führen Sie das Hashing aller Werte zu username.hash mit dem standardmäßigen Algorithmus und Salt durch:

<key name="username" description="Username" format="Text" protected="true"><transform destination="username.hash"/></key>

Beispiel 2

Markieren Sie auf einem Concentrator username als geschützt und username.hash als Token:

<?xml version="1.0" encoding="utf-8"?> <language level="IndexNone" defaultAction="Auto"> <key description="Username" format="Text" level="IndexValues" name="username" protected="true"/> <key description="Username Hash" format="Binary" level="IndexValues" name="username.hash" token="true"/> </language>

Beispiel 3

Markieren Sie auf einem Decoder oder Log Decoder username als geschützt und führen Sie das Hashing aller Werte zu username.bin mit dem angegebenen Algorithmus und Salt durch:

<key name="username" description="Username" format="Text" protected="true"> <transform destination="username.bin" type="sha-256"> <param name="salt">0000</param> </transform></key>

Konfigurieren von Metadaten- und Contentsichtbarkeit pro Benutzerrolle auf Core-Services

Bei einzelnen Broker-, Concentrator-, Decoder-, Log Decoder- und Archiver-Services, die in der Ansicht „Services-Sicherheit“ angezeigt werden, können Administratoren die Sichtbarkeit von Metadaten und Content konfigurieren, basierend auf der Benutzergruppe oder der Rolle, die einem Benutzer zugewiesen ist. Dies ist die Funktion „SDK-Metarollen“ und sie ist standardmäßig aktiviert.

Hinweis: Administratoren, die Metadaten- und Contentsichtbarkeit pro Benutzer konfigurieren möchten, dürfen die sdk.content-Berechtigung (auf der Registerkarte „Rollen“) nicht deaktivieren. Wenn die sdk.content-Berechtigung auf der Registerkarte „Rollen“ deaktiviert ist, sind Pakete und unverarbeitete Protokolle für system.roles-Node nicht sichtbar. Der system.roles-Node verarbeitet die Filterung mithilfe der Methode, die auf der Registerkarte „Einstellungen“ konfiguriert ist.

Wenn die Funktion sdk.content aktiviert ist, ist der nächste Schritt die Auswahl der Methode des Filterns von Metadaten und Content auf der Registerkarte „Einstellungen“. Die Auswahl einer Schwarze- oder Weiße-Listen-Option stellt zusätzliche Berechtigungen für bestimmte Metaschlüssel auf der Registerkarte „Rollen“ zur Verfügung. Das Ergebnis ist, dass Administratoren auf der Registerkarte „Rollen“ eine Benutzerrolle wählen können, z. B. Analyst, und bestimmte Metaschlüssel (und Inhalte) auswählen können, die für diese Benutzergruppe auf der schwarzen oder auf der weißen Liste stehen. Die Berechtigungen gelten für alle Benutzer in der Benutzergruppe.

In der folgenden Tabelle sind die Filteroptionen auf der Registerkarte „Einstellungen“ aufgeführt sowie die numerischen Werte, die zur Deaktivierung (0) und für andere Arten des Filterns verwendet werden (1 bis 6). Es ist nicht notwendig, die numerischen Werte zu kennen, es sei denn, Sie konfigurieren die Metadaten- und Contentsichtbarkeit im system.roles-Node manuell.

                                                          
system.roles-Node-WertOption der Registerkarte EinstellungenEreignis-MetadatenUrsprüngliches Ereignis
0Keine Filterung.
Systemrollen, die Berechtigungen auf Metaschlüsselbasis definieren, sind deaktiviert.
SichtbarSichtbar
1Metadaten und Content in der weißen Liste.
Standardmäßig sind keine Metaschlüssel und Pakete sichtbar. Das Auswählen einzelner SDK-Metarollen pro Benutzergruppe ermöglicht Benutzern das Einsehen von Metadaten und Paketen für diese SDK-Metarolle.
Nicht sichtbar
Zum Anzeigen auswählen
Nicht sichtbar
Zum Anzeigen auswählen
2Nur Metadaten in der weißen Liste.
Standardmäßig sind Pakete sichtbar, jedoch keine Metadaten. Das Auswählen einzelner SDK-Metarollen pro Benutzergruppe ermöglicht Benutzern das Einsehen von Metadaten für diese Rolle.
Nicht sichtbar
Zum Anzeigen auswählen
Sichtbar
3Nur Content in der weißen Liste.
Standardmäßig sind Metadaten sichtbar, jedoch keine Pakete. Das Auswählen einzelner SDK-Metarollen pro Benutzergruppe ermöglicht Benutzern das Einsehen von Paketen für diese Rolle.
SichtbarNicht sichtbar
Zum Anzeigen auswählen
4Metadaten und Content in der schwarzen Liste.
Standardmäßig sind alle Metadaten und Pakete sichtbar. Das Auswählen einzelner SDK-Metarollen pro Benutzergruppe verhindert, das Benutzer Metadaten und Pakete für diese Rolle einsehen.
Sichtbar
Zum Ausblenden auswählen
Sichtbar
Zum Ausblenden auswählen
5Nur Metadaten in der schwarzen Liste.
Standardmäßig sind alle Metadaten und Pakete sichtbar. Das Auswählen einzelner SDK-Metarollen pro Benutzergruppe verhindert, dass Benutzer Metadaten für diese Rolle einsehen.
Sichtbar
Zum Ausblenden auswählen
Sichtbar
6Nur Content in der schwarzen Liste.
Standardmäßig sind alle Metadaten und Pakete sichtbar. Das Auswählen einzelner SDK-Metarollen pro Benutzergruppe verhindert, dass Benutzer Pakete für diese Rolle einsehen.
SichtbarSichtbar
Zum Ausblenden auswählen

Drei Faktoren bestimmen, was dem Benutzer angezeigt wird:

  • Die Einstellung der SDK-Metarolle (schwarze oder weiße Liste).
  • Die beschränkten Metaschlüssel, konfiguriert für die Gruppe, der der Benutzer angehört.
  • Die Metaschlüssel in der analysierten Sitzung

Achtung: Beachten Sie, dass beim Hinzufügen zur schwarzen Liste das implizite Vertrauen für alle gewährt wird, außer für die konfigurierten Metadaten. Damit ein Decoder RBAC aktiviert hat und implizites Vertrauen verwendet, darf er nur eine Systemeinstellung für schwarze Listen verwenden; eine Einstellung für weiße Listen führt zu einigen Problemen mit Metaschlüsseln, die nicht explizit aktiviert und daher nicht sichtbar sind. Es ist unmöglich, implizites Vertrauen unter Whitelist-Regeln zu gewähren, da die Gesamtheit der Metaschlüssel nicht bekannt ist. Wenn Sie weiße Listen verwenden möchten, besteht ein Workaround darin, RBAC für den Decoder auszuschalten und für alle Benutzerkonten die Möglichkeit zu deaktivieren, sich direkt mit dem Decoder zu verbinden, wenn RBAC verwendet werden soll.

Im Folgenden finden Sie ein Beispiel dafür, wie sich die Konfiguration von SDK-Metarollen auf eine Gruppe mit beschränkten Metaschlüsseln auswirkt.

Konfiguration:

  • Die SDK-Metarolleneinstellung ist Metadaten und Content in der schwarzen Liste. Wenn diese Option implementiert ist, sind standardmäßig alle Metadaten und Inhalte (Pakete und Protokolle) sichtbar.
  • Der Administrator hat für die Gruppe „Analysten“ konfigurierte Metaschlüssel beschränkt, um zu verhindern, dass sensible Daten angezeigt werden (z. B. username).
  • Die Pakete und Protokolle zu jeglichen Sitzungen, die den Metaschlüssel username enthalten, sind für einen Analysten nicht sichtbar.

Ergebnis: Jetzt führt ein Benutzer, der Mitglied der Gruppe Analysten ist, eine Ermittlung zu einer Sitzung durch. Abhängig vom Inhalt der Sitzung, fällt das Ergebnisse unterschiedlich aus:

  • Sitzung 1 enthält die folgenden Metaschlüssel: ip, eth, host und file. Die Sitzung enthält nicht username, daher werden alle Pakete und Protokolle in der Sitzung angezeigt.
  • Sitzung 2 enthält die folgenden Metaschlüssel: ip, time, size, file und username. Da die Sitzung den Metaschlüssel username enthält, werden dem Analysten keine Pakete oder Protokolle der Sitzung angezeigt.

So konfigurieren Sie Beschränkungen für Metadaten und Inhalte für einen Decoder oder Log Decoder:

  1. Wählen Sie in der Ansicht Admin Services aus.
  2. Wählen Sie im Raster Services einen Broker-, Concentrator-, Decoder-, Log Decoder- oder Archiver-Service aus und klicken Sie auf Actions button > Ansicht > Sicherheit. Klicken Sie auf die Registerkarte Rollen, wählen Sie eine Rolle aus und überprüfen Sie, ob die sdk.content Rolle aktiviert ist.

  3. Klicken Sie auf die Registerkarte Einstellungen.
    Security Settings tab
  4. Wählen Sie eine der Filtermethoden (schwarze oder weiße Liste) und einen der Contenttypen (Metadaten und Content, Nur Metadaten oder Nur Content) aus und klicken Sie auf Anwenden.

  5. Klicken Sie auf die Registerkarte Rollen und auf eine Rolle, für die Sie Content erlauben (weiße Liste) oder blockieren (schwarze Liste) möchten, wie in der Einstellung „SDK-Meta-Rollenberechtigungen“ angegeben.

    Die Rollenberechtigungen für die ausgewählte Rolle werden angezeigt und die SDK-Metarollenberechtigungen sind zur Auswahl verfügbar, zum Beispiel sdk.meta.action. Wenn Sie eine der Optionen für die weiße Liste in der Einstellung „SDK-Rollenberechtigungen“ auswählen, müssen Sie jede SDK-Metarolle zuweisen, damit die ausgewählten Inhalte für Benutzer mit dieser zugewiesenen SDK-Metarolle sichtbar sind. Wenn Sie eine der Optionen für die schwarze Liste in der Einstellung „SDK-Rollenberechtigungen“ ausgewählt haben, wird ausgewählter Content vor Benutzern verborgen, denen die SDK-Metarolle zugewiesen ist.

  6. Wählen Sie die SDK-Metarollenberechtigungen für Benutzer aus, denen diese Rolle zugewiesen ist. Klicken Sie auf Anwenden.

    Die Einstellungen werden sofort wirksam und gelten für neue Pakete und Protokolle, die von Decoder oder Log Decoder verarbeitet werden. 

Konfigurieren von Metaschlüsseln, die auf einem Decoder nicht per Parser auf einen Datenträger geschrieben werden 

Auf einem Decoder und Log Decoder kann ein Datenschutzbeauftragter (DPO) einzelne Metaschlüssel konfigurieren, die nicht auf die Festplatte geschrieben werden. Dazu gibt der DPO die Metaschlüssel im Index und in der Parserkonfiguration als „vorübergehend“ an.

Hinweis: Dieselbe Fähigkeit war vorher auf Log Decodern verfügbar und wurde bei der Einrichtung der Parser durch Änderung der Datei „table-map.xml“ konfiguriert. Jetzt ist sie in der Ansicht „Service-Konfiguration“ integriert.

So konfigurieren Sie ausgewählte Metaschlüssel auf einzelnen Parsern, die nicht auf den Datenträger geschrieben werden:

  1. Wählen Sie im Abschnitt Admin Services aus.
  2. Wählen Sie im Raster Services einen Decoder- oder Log Decoder-Service und dann Actions button > Ansicht > Konfiguration aus.
  3. Wählen Sie im Abschnitt Parserkonfiguration auf der Registerkarte Allgemein einen Parser aus und wählen Sie dann Vorübergehend in der Drop-down-Liste Konfigurationswert aus. Greifen Sie auf die Liste zu, indem Sie auf den Konfigurationswert klicken („Aktiviert“, „Deaktiviert“ oder „Vorübergehend“).

    Die Konfigurationsänderung wird durch ein rotes Dreieck markiert.

    Red marks showing the configuration was changed

  4. Klicken Sie auf Anwenden.

    Die Änderung wird sofort wirksam. Der als „vorübergehend“ konfigurierte Parser speichert nicht länger Store-Metaschlüssel auf dem Datenträger.

Previous Topic:Detaillierte Verfahren
You are here
Table of Contents > Detaillierte Verfahren > Konfigurieren der Datenverschleierung

Attachments

    Outcomes