Datenschutz: Konfigurieren der empfohlenen Lösung

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema erklärt Administratoren und Datenschutzbeauftragten, wie sie die empfohlene Datenschutzlösung in einem NetWitness Suite-Netzwerk konfigurieren können. Dies sind die grundlegenden Schritte, um das NetWitness Suite-System so zu konfigurieren, dass es sensible Daten erkennt, und um festzulegen, welche Person diese Daten einsehen kann. Die empfohlene Konfiguration erzeugt verschleierte Werte von bestimmten ursprünglichen Metaschlüsseln und bewahrt sowohl ursprüngliche als auch verschleierte Daten so auf, dass sie für Benutzer verfügbar sind, denen privilegierter Rollenzugriff zugewiesen wurde.

Diese Konfiguration hat mehrere Teile:

  1. Erstellen Sie zunächst zwei Benutzer mit verschiedenen Berechtigungsniveaus. Ein Benutzer (der Datenschutzbeauftragte) kann alle Metadaten sehen und ein anderer Benutzer (ein Analyst) darf bestimmte Metadaten und Inhalte mit zugehörigen Metadaten nicht sehen.
  2. Richten Sie mithilfe eines Salts und eines Hashs zwei Transformationen ein, um eine verborgene Version der ursprünglichen Metaschlüssel username und ip.src zu erstellen.
  3. Konfigurieren von Datenaufbewahrung auf den Services Decoder und Concentrator

Hinweis: Die folgenden Bedingungen sind erforderlich, um dieses Verfahren abzuschließen:
- Concentrator und Decoder müssen dem NetWitness-Server-Server über vertrauenswürdige Verbindungen hinzugefügt werden.
- Es muss NW-Server Version 10.5 oder höher verwendet werden.
- Die Core-Services müssen Version 10.5 oder höher aufweisen.
- Die Aggregation muss auf allen Core-Services Aggregatorenkonten verwenden.

Konfigurieren von Metadaten- und Inhaltsbeschränkungen für Brokers, Concentrators und Decoders

Wenn Sie die Metadaten und Rohinhalte beschränken möchten, die Benutzer sehen können, müssen Sie SDK-Systemrollen aktivieren, um feiner abgestimmte Steuerungen zu erlauben, indem Sie Beschränkungen für Metadaten und Content auf jedem Service in der Ansicht „Services-Sicherheit“ konfigurieren.

  1. Wählen Sie in der Ansicht Admin-Services einen Service aus und klicken Sie dann auf Aktionsschaltfläche > Ansicht > Sicherheit.
  2. Klicken Sie auf die Registerkarte Einstellungen.

    Registerkarte „Sicherheitseinstellungen“

  3. Wählen Sie im Feld SDK-Meta-Rollenberechtigungen die Option Metadaten und Content in der schwarzen Liste aus. Klicken Sie auf Anwenden.

    Dies erlaubt es dem Administrator, individuelle Metaschlüssel einer schwarzen Liste hinzuzufügen, sodass nur der Datenschutzbeauftragte die Metaschlüssel und den Content sehen kann. Neue Rollen werden pro Metaschlüssel der Registerkarte Rollen hinzugefügt.

  4. Klicken Sie auf die Registerkarte Rollen.

    Registerkarte „Sicherheitsrollen“

  5. Auf der Registerkarte „Rollen“:

    1. Wählen Sie die Metaschlüssel aus, die sie vor Analysten verbergen möchten. Wählen Sie zum Beispiel sdk.meta.username und sdk.meta.ip.src aus.

      Dadurch können Analysten die datenschutzrelevanten Metaschlüssel username und ip.src nicht sehen, ebenso wenig wie jeglichen Content für jegliche Sitzung, in der diese Metaschlüssel enthalten sind.

    2. Heben Sie die Auswahl von sdk.packet auf. Dadurch können Analysten nicht länger Rohpakete und Protokolle massenweise exportieren.
    3. Klicken Sie auf Anwenden.
  6. Vergewissern Sie sich, dass für die Rolle Data_Privacy_Officers auf der Registerkarte „Rollen“ der Wert „sdk.meta.values“ nicht ausgewählt ist. Klicken Sie auf Anwenden.

    Ein DPO kann alle Metadaten und alle Sitzungen anzeigen.

    Vergewissern Sie sich, dass für die Rolle Aggregation auf der Registerkarte „Rollen“ folgende Berechtigungen festgelegt sind: Wählen Sie aggregate, sdk.content, sdk.meta und sdk.packets. aus

Hinzufügen von Konten für Datenschutzbeauftragte und Analysten auf dem NetWitness-Server

Sie müssen in NetWitness Suite zwei neue Benutzerkonten auf Systemebene hinzufügen, um einen berechtigten Datenschutzbeauftragten und einen typischen Analysten abzubilden. Wenn die Umgebung mit den vertrauenswürdigen Standardverbindungen konfiguriert wurde, müssen Sie in den Core-Services (Broker, Concentrator und Decoder) keine neuen Benutzerkonten erstellen. Wenn ein Benutzer auf dem NetWitness-Server-Server erstellt wird, kann sich dieser bei den Services anmelden.

Hinweis: Der Rollenname muss sowohl auf dem Server als auch auf den Services existieren und er muss in beiden Fällen identisch sein. Wenn Sie eine neue benutzerdefinierte Rolle auf dem NetWitness-Server erstellen, achten Sie darauf, dass Sie diese auch allen Core-Services hinzufügen.

  1. Erstellen Sie für den Datenschutzbeauftragten ein neues Benutzerkonto:

    1. Wählen Sie in der Ansicht Services-Sicherheit die Registerkarte Benutzer aus. Klicken Sie auf der Symbolleiste der Registerkarte Benutzer auf Hinzufügen-Symbol.

      Das Dialogfeld „Benutzer hinzufügen“ wird angezeigt.

      Dialogfeld „Benutzer hinzufügen“

    2. Erstellen Sie das neue Konto mit den folgenden Anmeldeinformationen.

      Benutzername = <neuer Benutzername für die Anmeldung, zum Beispiel „DPOadmin“>
      E-Mail = <E-Mail-Adresse des neuen Benutzers, zum Beispiel „DPOadmin@rsa.com“>
      Passwort = <Passwort des neuen Benutzers, zum Beispiel „RSAprivacy1!@“>
      Vollständiger Name = <vollständiger Name des neuen Benutzers, zum Beispiel „DPO-Administrator“>

    3. Klicken Sie auf die Registerkarte „Rollen“, Hinzufügen-Symbol und wählen Sie für den neuen Benutzer die Rolle Data_Privacy_Officers aus.
    4. Klicken Sie auf Speichern.
  2. Erstellen Sie ein neues Benutzerkonto für den Analysten mit eingeschränkten Berechtigungen:

    1. Wählen Sie in der Ansicht Services-Sicherheit die Registerkarte Benutzer aus. Klicken Sie auf der Symbolleiste der Registerkarte Benutzer auf Hinzufügen-Symbol.

      Das Dialogfeld „Benutzer hinzufügen“ wird angezeigt.

    2. Erstellen Sie das neue Konto mit den folgenden Anmeldeinformationen:

      Benutzername = <neuer Benutzername für die Anmeldung, zum Beispiel „NichtprivAnalyst“>
      E-Mail = <E-Mail-Adresse des neuen Benutzers, zum Beispiel „NichtprivAnalyst@rsa.com“>
      Passwort = <Passwort des neuen Benutzers, zum Beispiel „RSAprivacy2!@“>
      Vollständiger Name = <vollständiger Name des neuen Benutzers, zum Beispiel „Nicht privilegierter Analyst“>

    3. Klicken Sie auf die Registerkarte „Rollen“, Hinzufügen-Symbol und wählen Sie für den neuen Benutzer die Rolle Analysts aus.
    4. Klicken Sie auf Speichern.

Konfigurieren von verborgenen Daten auf Decodern und Concentratorn

Dieses Verfahren erstellt die verborgenen Werte zur Bereitstellung für Benutzer, die keinen Zugriff auf die ursprünglichen Werte haben.

  1. Konfigurieren Sie einen Salt, sodass der verborgene Wert einzigartig wird. Verschiedene Unternehmen beschäftigen eventuell Analysten mit demselben Vornamen und möglicherweise demselben Benutzernamen zur Anmeldung. Die Verwendung eines Salt schränkt die Möglichkeit ein, dass jemand von außerhalb Ihrer Organisation Ihren Mechanismus zur Verschleierung ermittelt. In diesem Beispiel verwenden Sie einen einfachen Salt und SHA-256, aber der Salt ist konfigurierbar und der Hashalgorithmus kann geändert werden. Weitere Informationen finden Sie unter Konfigurieren der Datenverschleierung.

    1. Um Salt und den Hash-Algorithmus zu definieren, wählen Sie die Ansicht ADMIN > Services aus.
    2. Wählen Sie einen Decoder in der Ansicht Admin-Services aus und klicken Sie auf Aktionsschaltfläche > Ansicht > Konfiguration.
    3. Klicken Sie auf die Registerkarte Datenschutz und wählen Sie den Hashalgorithmus (SHA-256) aus. Geben Sie im Feld „Salt“ einen Hash ein, zum Beispiel rsasecurity, und klicken Sie auf Anwenden.
  2. Definieren Sie die Transformationen, inklusive Hash-Format, zwischen dem ursprünglichen Metaschlüssel und dem verschleierten Metaschlüssel auf dem Decoder. Das Standardformat für Hashes ist binär, die empfohlene Konfiguration nutzt jedoch das Format Text/Zeichenfolge.

    1. Klicken Sie auf die Registerkarte Dateien und wählen Sie aus dem Drop-down-Menü index-decoder-custom.xml aus. (Sie können diese Konfiguration genauso auf den Log Decoder in der Datei „index-logdecoder-custom.xml“ anwenden.)
    2. Geben Sie die folgenden Zeilen in den verfügbaren Eingabebereich ein:

      <?xml version="1.0" encoding="utf-8"?>
      <language level="IndexNone" defaultAction="Auto">
      <key name="username" description="Username" format="Text" protected="true"><transform destination="username.hash"/></key>
      <key name="username.hash" description="Username Hash" format="Text"/>
      <key name="ip.src" description="Source IP Address" format="IPv4" protected="true"><transform destination="ip.src.hash"/></key>
      <key name="ip.src.hash" description="Source IP Address Hash" format="Text"/>
      </language>

    3. Wählen Sie zum Neustarten des Decoder-Services in der Symbolleiste im Drop-down-Menü Ansicht (gegenwärtig als „Konfiguration“ bezeichnet) die Option System aus. Wählen Sie in der Ansicht „Services“ > „System“ die Option Service herunterfahren aus. Der Service sollte automatisch neu starten.
  3. Definieren Sie die Metaschlüssel auf dem Concentrator in der Datei „index-concentrator-custom.xml“:

    1. Klicken Sie auf die Registerkarte Dateien und wählen Sie aus dem Drop-down-Menü index-concentrator-custom.xml aus.
    2. Geben Sie die folgenden Zeilen in den verfügbaren Eingabebereich ein:

      <?xml version="1.0" encoding="utf-8"?>
      <language level="IndexValues" defaultAction="Auto">
      <key name="username" description="Username" format="Text" level="IndexValues" protected="true"/>
      <key name="username.hash" description="Username Hash" format="Text" level="IndexValues" token="true"/>
      <key name="ip.src" description="Source IP Address" format="IPv4" level="IndexValues" protected="true"/>
      <key name="ip.src.hash" description="Source IP Address Hash" format="Text" level="IndexValues" token="true"/>
      </language>

    3. Wählen Sie zum Neustarten des Concentrator-Services in der Symbolleiste im Drop-down-Menü Ansicht (gegenwärtig als „Konfiguration“ bezeichnet) die Option System aus. Wählen Sie in der Ansicht „Services“ > „System“ die Option Service herunterfahren aus. Der Service sollte automatisch neu starten.

Konfigurieren von Datenaufbewahrung auf Concentratorn und Decodern

Durch die Konfiguration der Datenaufbewahrung wird sichergestellt, dass die Daten auf den NetWitness Suite Core-Komponenten nach einer bestimmten Zeit gelöscht werden. Die Konfiguration der Datenaufbewahrung auf Concentratorn und Decodern ist nicht für alle Umgebungen erforderlich, aber möglicherweise müssen geltende Gesetze und Vorschriften eingehalten werden. Es ist wichtig, eine entsprechenden Aufbewahrungsfrist für Ihre Umgebung zu bewerten. Die von Ihnen festgelegten Einstellungen für den Datenaufbewahrungsplaner gelten für ALLE Daten auf einem Concentrator oder Decoder.  

In diesem Beispiel ist NetWitness Suite so konfiguriert, dass alle 15 Minuten überprüft wird, ob der Schwellenwert für die Aufbewahrungsdauer erreicht wurde. Wenn der Schwellenwert erreicht wurde, löscht NetWitness Suite Daten, die älter als 90 Tage sind, aus den entsprechenden Datenbanken.

Achtung: Die Aufbewahrungsfrist von 90 Tagen ist nur ein Beispiel. Passen Sie Ihre Rollover-Kriterien abhängig vom Speicherort der Daten und den geltenden Gesetzen an. In einer Umgebung mit streng geregeltem Datenschutz wie z. B. in Europa, wo gesetzlich vorgeschrieben ist, dass persönlich identifizierbare Informationen (PII) nicht gespeichert werden dürfen oder häufig gelöscht werden müssen, müssen Sie möglicherweise die Aufbewahrungsfrist anpassen.

Dieses Verfahren ist optional. Wenn Sie kein Zeitlimit für die Aufbewahrungsfrist festlegen, löscht das System automatisch die ältesten Daten, wenn der Festplattenspeicher voll ist. 

(Optional) Für jeden Concentrator und Decoder:

  1. Navigieren Sie zur Registerkarte Datenaufbewahrungsplaner der Ansicht Services-Konfiguration.

    Registerkarte „Datenaufbewahrungsplaner“

  2. Definieren Sie die Datenaufbewahrungsfrist. Legen Sie beispielsweise den Schwellenwert auf Dauer fest und geben Sie im Feld Tage den Wert 90 ein.
  3. Definieren Sie, wie oft der Planer überprüfen soll, ob der Schwellenwert erreicht wurde. Stellen Sie zum Beispiel die Laufzeit auf Intervall ein und wählen Sie im Feld Minuten den Wert 15 aus.
  4. Klicken Sie zum Speichern der Konfiguration auf Anwenden.

Datenschutz validieren

An diesem Punkt wurden Benutzern Rollen zugewiesen, die Berechtigungen in Bezug auf bestimmte Typen von Metadaten haben. Der nächste Schritt ist, sicherzustellen, dass der eingeschränkte Benutzer (der Analyst) nicht sehen kann, was der unbeschränkte Benutzer (der DPO) sehen kann. Sie müssen sich auch vergewissern, dass die Konfiguration der Datenaufbewahrung die Dauer beschränkt, die Daten auf den Systemen aufbewahrt werden.

  1. Sehen Sie rollenbasierte Verschleierung in Aktion:

    1. Melden Sie sich als unbeschränkter Benutzer an (DPOadmin) und vergewissern Sie sich, dass dieser Benutzer alle Daten einsehen kann, einschließlich der geschützten sensiblen Daten username und ip.src, sowie jede Sitzung, die diese Metadaten enthält.
    2. Melden Sie sich ab und melden Sie sich als DPO-Benutzer wieder an.
    3. Importieren Sie für jeden Decoder und Log Decoder eine PCAP- oder Protokolldatei in die Ansicht „Services-System“.  Laden Sie mithilfe der Option Paketdatei hochladen eine PCAP-Datei hoch, die die Metadaten username und ip.src enthält.
    4. Wenn der Import abgeschlossen ist, sehen Sie sich die Metadaten in der Ansicht Investigation > Navigieren an. Wählen Sie dafür den Concentrator aus, der mit dem Decoder verbunden ist, auf den die Daten gerade importiert wurden.
    5. Scrollen Sie herunter, um sich zu vergewissern, dass die Metaschlüssel username und ip.src und die entsprechenden Werte sichtbar sind.
    6. Klicken Sie auf eine der grünen Nummern neben einem Wert username oder ip.src und überprüfen Sie, dass die Sitzung in der Ereignisansicht geladen wird.
    7. Notieren Sie sich die Sitzungs-ID, um sie zu prüfen, wenn Sie sich als eingeschränkter Benutzer anmelden.
    8. Melden Sie sich ab und melden Sie sich als eingeschränkter Benutzer (NonprivAnalyst) wieder an.
    9. Wiederholen Sie die Schritte c bis f, um zu überprüfen, ob der Benutzer die Metaschlüssel username oder ip.src oder Sitzungen mit diesen Metaschlüsseln, einschließlich der vorhin erwähnten, nicht sehen kann. 
    10. Navigieren Sie zu der Ansicht Investigation > Navigieren, um zu einer bestimmten Sitzung zu springen. Wählen Sie im Menü Aktionen die Option Zu Ereignis wechseln und geben Sie die Sitzungs-ID ein.
  2. Überprüfen Sie, ob die in der Datenbank aufbewahrten Daten innerhalb der Aufbewahrungszeit liegen, die im Datenaufbewahrungsplaner konfiguriert wurden.

    1. Melden Sie sich ab und dann als unbeschränkter Benutzer (DPOadmin) wieder an.
    2. Navigieren Sie auf dem Concentrator zur Ansicht Services > Durchsuchen.
    3. Wählen Sie in der Node-Struktur den Node database und dann stats aus.
    4. Beobachten Sie den Wert meta.oldest.file.time und überprüfen Sie, ob dieser nicht älter ist als der im Datenaufbewahrungsplaner eingesetzte Schwellenwert.
    5. Ändern Sie den Service auf den Decoder und wiederholen Sie die Schritte b bis d, prüfen Sie auf stats meta.oldest.file.time und packet.oldest.file.time.
You are here
Table of Contents > Schnellstartverfahren > Konfigurieren der empfohlenen Datenschutzlösung

Attachments

    Outcomes