Confidentialité des données : Configurer l'obfuscation des données

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique fournit les procédures de configuration nécessaires pour l'obfuscation des données dans NetWitness Suite. Dans un déploiement unique, toutes les configurations de service Core d'une solution de confidentialité des données doivent être identiques. Veillez à utiliser le même hachage et la même valeur salt dans l'ensemble des modules Decoder et Log Decoder.

Remarque : Pour permettre l'obfuscation des données, les comptes utilisateur doivent être configurés comme décrit dans la section Configurer les comptes d'utilisateur dans le cadre de la protection des données.

Configurer l'algorithme de hachage et la valeur salt Decoder

Le hachage de valeur obtenu dans le cadre de la solution de confidentialité des données a lieu au moment de la création des clés méta sur Decoder et Log Decoder. Ces deux services ont des paramètres par défaut pour une utilisation avec toutes les clés méta dont les valeurs sont transformées en l'absence d'un type d'algorithme de hachage spécifié ou de la valeur salt. Les valeurs NetWitness Suite initiales des paramètres par défaut sont : algorithme de hachage (SHA-256) et valeur salt (aucune). 

Remarque : NetWitness Suite 10.4 et les versions antérieures prennent en charge l'utilisation de l'algorithme de hachage SHA-1 pour la compatibilité en amont. RSA déconseille l'utilisation de l'algorithme SHA-1. Celuici n'est pas disponible dans NetWitness Suite 10.5 et les versions supérieures.

Si vous souhaitez changer les paramètres par défaut, modifiezles dans la vue Configuration des services NetWitness Suite onglet Confidentialité des données, ou dans les nœuds suivants de la vue Explorer des services  Security Analytics :

  • /decoder/parsers/transforms/default.type

    Algorithme à utiliser pour toutes les clés avec une transformation définie qui ne précise pas le type.  Les algorithmes pris en charge sont les suivants : duplicate et sha-256.

  • /decoder/parsers/transforms/default.salt

    La valeur salt ajoutée à toute valeur hachée (sha-256). Cette valeur est facultative, une valeur salt vide est valide et produit un hachage sans valeur salt. La valeur salt n'est pas définie par défaut afin que vous puissiez créer une valeur salt unique pour votre environnement. En général, plus la valeur salt est longue et complexe, plus la sécurité est accrue. Vous pouvez utiliser une valeur salt comprenant jusqu'à 60 caractères sans que cela ait un impact majeur. Il est recommandé d'utiliser une valeur salt d'au moins 16 caractères.

Pour modifier l'algorithme de hachage et la valeur salt par défaut :

  1. Dans la section Admin, sélectionnez la vue Services.
  2. Dans la grille Services, sélectionnez un service Decoder ou Log Decoder, puis cliquez sur Actions button  Vue Config. Cliquez sur l'onglet Confidentialité des données.

    Decoder Data Privacy tab

  3. Dans la section Configurer l'algorithme de hachage et le sel, sélectionnez un Algorithme de hachage à utiliser pour les clés méta avec une transformation définie qui ne précise pas de type. sha-256. (Un  second algorithme, duplicate, peut être utilisé par les administrateurs pour valider que le comportement de ce hachage doit bien se produire sur le réseau.)
  4. (Facultatif) Dans le champ Sel, saisissez une valeur salt à placer juste avant la valeur hachée. Cette valeur est facultative, une valeur salt vide est valide et produit un hachage sans valeur salt. La valeur salt n'est pas définie par défaut afin que vous puissiez créer une valeur salt unique pour votre environnement. En général, plus la valeur salt est longue et complexe, plus la sécurité est accrue. Les bonnes pratiques de sécurité recommandent une valeur salt de 100 bits minimum ou 16 caractères de long. Si une valeur salt unique est requise pour chaque clé méta, vous devez la configurer dans le fichier d'index, comme indiqué dans l'exemple 3 cidessous. 
  5. Cliquez sur Appliquer.

    Les nouveaux paramètres prennent effet immédiatement. 

Configurer des clés de langue

Dans NetWitness Suite 10.5, le langage de NetWitness Suite Core possédait plusieurs attributs de clés de langue supplémentaires pour faciliter la mise en œuvre de la confidentialité des données. Vous pouvez modifier ces attributs dans le fichier d'index personnalisé de chaque service Decoder ou Log Decoder. Le fichier d'index personnalisé (par exemple indexdecodercustom.xml) est modifiable dans la vue Configuration des services > onglet Fichiers. Après avoir apporté des modifications aux fichiers d'index, comme celles indiquées dans les exemples cidessous, vous devez redémarrer le service selon une séquence spécifique.

Selon les exigences de confidentialité des données définies pour votre site, configurez des clés méta individuelles à protéger à l'aide des attributs suivants de key :

  • protected

    Cet attribut indique que NetWitness Suite doit considérer les valeurs comme étant protégées et contrôler étroitement toute version de la valeur. Lors de la propagation de l'attribut protected, NetWitness Suite vérifie que les systèmes fiables en aval traitent les valeurs en conséquence. Ajoutez cet attribut à tous les services qui créent les valeurs protégées (c'est-à-dire Decoder ou Log Decoder), et tous les services qui fournissent un accès fiable (requête/valeurs de SDK, agrégation) en dehors des services Core. Seule exception à cette règle : un Broker sans fichier d'index spécifié n'a pas besoin de l'ajout de l'attribut. 

  • token

    Cet attribut spécifie que les valeurs de cette clé remplacent d'autres valeurs et peuvent être visuellement intéressantes. L'attribut token est un attribut d'information. Il sert principalement aux éléments d'interface utilisateur qui affichent la valeur dans un format plus utile ou visuellement plus agréable.

  • transform

    Cet élément enfant de key indique que les valeurs d'une métaclé donnée doivent être transformées et que la valeur de résultat est conservée dans une autre métaclé. L'élément transform est requis uniquement dans les services Decoder et Log Decoder. Il s'agit d'un élément d'information, s'il est spécifié dans d'autres services Core.  L'élément transform possède les attributs et enfants suivants :    

                                 
NomTypeDescriptionFacultatif ou requis
destination PropriétéSpécifie le nom de clé où la valeur transformée doit persister.obligatoire
type PropriétéAlgorithme de transformation à appliquer. S'il n'est pas spécifié, la valeur /decoder/parsers/transforms/default.type est utilisée.facultatif
param élément enfantPaire nom/valeur, où chaque élément param possède un attribut name, et où le texte de l'élément enfant représente la valeur. Le seul élément param pris en charge sert à indiquer une valeur salt spécifique d'une clé. S'il n'est pas spécifié, la valeur /decoder/parsers/transforms/default.salt est utilisée.facultatif

Exemple 1

Dans Decoder ou Log Decoder, marquez username comme étant protégé, et hachez toutes les valeurs en username.hash avec l'algorithme et la valeur salt par défaut :

<key name="username" description="Username" format="Text" protected="true"><transform destination="username.hash"/></key>

Exemple 2

Dans Concentrator, marquez username comme étant protégé, et username.hash comme étant un jeton :

<?xml version="1.0" encoding="utf-8"?> <language level="IndexNone" defaultAction="Auto"> <key description="Username" format="Text" level="IndexValues" name="username" protected="true"/> <key description="Username Hash" format="Binary" level="IndexValues" name="username.hash" token="true"/> </language>

Exemple 3

Dans Decoder ou Log Decoder, marquez username comme étant protégé, et hachez toutes les valeurs en username.bin avec l'algorithme et la valeur salt par défaut :

<key name="username" description="Username" format="Text" protected="true"> <transform destination="username.bin" type="sha-256"> <param name="salt">0000</param> </transform></key>

Configurer la visibilité des métadonnées et du contenu en fonction du rôle d'utilisateur dans les services Core

Sur chaque service Broker, Concentrator, Decoder, Log Decoder et Archiver affichés dans la vue Sécurité des services, les administrateurs peuvent configurer la visibilité des métadonnées et du contenu en fonction du groupe d'utilisateurs ou du rôle attribué à un utilisateur. Il s'agit de la capacité de rôles méta SDK, et il est activé par défaut.

Remarque : Les administrateurs souhaitant configurer la visibilité des métadonnées et du contenu par l'utilisateur ne doivent pas désactiver l'autorisation sdk.content (dans l'onglet Rôles). Si l'autorisation sdk.content a été désactivée dans l'onglet Rôles, les paquets et logs bruts ne sont pas visibles sur le nœud system.roles. Le nœud system.roles gère le filtrage à l'aide de la méthode de configuration sous l'onglet Paramètres.

Avec la fonction sdk.content activée, l'étape suivante consiste à sélectionner la méthode de filtrage des métadonnées et le contenu sous l'onglet Paramètres. La sélection d'une option de liste noire ou de liste blanche permet d'attribuer des autorisations supplémentaires pour des clés méta spécifiques disponibles dans l'onglet Rôles. Le résultat est que les administrateurs peuvent choisir un rôle d'utilisateur (analystes, par exemple) sous l'onglet Rôles et sélectionner les clés méta spécifiques (et le contenu) pour figurer sur la liste noire ou blanche de ce groupe d'utilisateurs. Les autorisations s'appliquent à tous les utilisateurs du groupe d'utilisateurs.

Le tableau suivant répertorie les options de filtrage dans l'onglet Paramètres et les valeurs numériques utilisées à des fins de désactivation (0), ainsi que les types de filtrages (1 à 6). Il n'est pas nécessaire de connaître la valeur numérique à moins de configurer la visibilité manuelle du contenu et des métadonnées dans le nœud system.roles.

                                                          
Valeur du nœud system.rolesOption de l'onglet ParamètresMétadonnées de l'événementÉvénement d'origine.
0Aucun filtrage.
Les rôles système qui définissent les autorisations sur la base d'une clé méta sont désactivés.
VisibleVisible
1Métadonnées et contenu de la liste blanche.
Par défaut, aucune métadonnée ni aucun paquet ne sont visibles. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs sont autorisés à voir les métadonnées et les paquets correspondant au rôle méta SDK choisi.
Invisible
Sélectionner pour afficher
Invisible
Sélectionner pour afficher
2Métadonnées de la liste blanche uniquement.
Par défaut, les paquets sont affichés, mais aucune métadonnée n'est visible. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs sont autorisés à voir les métadonnées correspondant au rôle choisi.
Invisible
Sélectionner pour afficher
Visible
3Contenu de la liste blanche uniquement.
Par défaut, les métadonnées sont visibles, mais aucun paquet n'est visible. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs sont autorisés à voir les paquets correspondant au rôle choisi.
VisibleInvisible
Sélectionner pour afficher
4Métadonnées et contenu de la liste noire.
Par défaut, toutes les métadonnées et tous les paquets sont visibles. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs ne sont pas autorisés à voir les métadonnées et les paquets correspondant au rôle choisi.
Visible
Sélectionner pour masquer
Visible
Sélectionner pour masquer
5Métadonnées de la liste noire uniquement.
Par défaut, toutes les métadonnées et tous les paquets sont visibles. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs ne sont pas autorisés à voir les métadonnées correspondant au rôle choisi.
Visible
Sélectionner pour masquer
Visible
6Contenu de la liste noire uniquement.
Par défaut, toutes les métadonnées et tous les paquets sont visibles. Si vous sélectionnez des rôles méta SDK individuels en fonction du groupe d'utilisateurs, les utilisateurs ne sont pas autorisés à voir les paquets correspondant au rôle choisi.
VisibleVisible
Sélectionner pour masquer

Trois facteurs déterminent ce qu'un utilisateur peut voir :

  • Paramètre de rôle méta SDK (liste noire ou blanche).
  • Les clés méta restreintes configurées pour le groupe auquel appartient l'utilisateur.
  • Les clés méta de la session en cours d'analyse.

Attention : Sachez qu'avec la mise sur liste noire, l'approbation implicite est accordée à tous sauf aux métadonnées configurées. Pour qu'un Decoder ait un RBAC activé et utilise une fiabilité implicite, il doit uniquement utiliser la configuration système sur liste noire ; la configuration système sur liste blanche entraînerait des problèmes avec les clés méta qui ne sont pas explicitement activées et donc invisibles. Il est impossible d'accorder une confiance implicite avec les règles de la liste blanche, car l'univers des clés méta ne peut pas être connu. Si vous souhaitez utiliser la configuration sur liste blanche, une solution de contournement consiste à désactiver le paramètre RBAC pour le Decoder et à empêcher les comptes utilisateur de se connecter directement au Decoder et activer RBAC.

Voici un exemple de maillage de la configuration du rôle méta SDK avec un groupe disposant de clés méta restreintes.

Configuration :

  • Le paramètre de rôle méta SDK est Liste noire méta et contenu. Si cette option est implémentée, la totalité des métadonnées et du contenu (paquets et logs) est visible par défaut.
  • L'administrateur a restreint les clés méta configurées pour le groupe Analystes afin d'empêcher l'affichage des données sensibles (par exemple username).
  • Les paquets et les logs d'une session qui comprend la clé méta username ne sont pas visibles par un analyste.

Résultat : un utilisateur membre du groupe Analystes enquête sur une session. En fonction du contenu de la session, les résultats sont différents :

  • La session 1 comprend les clés méta suivantes : ip, eth, host et file. La session ne comporte pas username. Par conséquent, tous les paquets et logs de la session sont affichés.
  • La session 2 comprend les clés méta suivantes : ip, time, size, file, username. Dans la mesure où la session comporte username, aucun paquet ou log de la session n'est visible par l'analyste.

Pour configurer les restrictions relatives aux métadonnées et au contenu pour Decoder ou Log Decoder :

  1. Dans la vue Admin, sélectionnez Services.
  2. Dans la grille Services, sélectionnez un service Broker, Concentrator, Decoder, Log Decoder ou Archiver, cliquez sur Actions button > Vue > Sécurité. Cliquez sur l'onglet Rôles, sélectionnez un rôle et vérifiez que lesdk.content rôle est activé.

  3. Cliquez sur l'onglet Paramètres.
    Security Settings tab
  4. Sélectionnez l'une des méthodes de filtrage (liste noire ou liste blanche), les types de contenus (métadonnées et contenu, métadonnées uniquement ou contenu uniquement), puis cliquez sur Appliquer.

  5. Cliquez sur l'onglet Rôles, puis sur un rôle pour lequel vous souhaitez autoriser l'accès au contenu (liste blanche) ou bloquer l'accès au contenu (liste noire), tel que cela est spécifié dans le paramètre Autorisations de rôle méta SDK.

    Les autorisations relatives au rôle sélectionné s'affichent, ainsi que les autorisations de rôle méta SDK disponibles pour la sélection, par exemple sdk.meta.action. Si vous avez sélectionné l'une des options de liste blanche dans le paramètre Autorisations de rôle méta SDK, vous devez attribuer chaque rôle méta SDK pour rendre le contenu sélectionné visible par les utilisateurs possédant ce rôle méta SDK. Si vous avez sélectionné l'une des options de liste noire dans le paramètre Autorisations de rôle méta SDK, le contenu sélectionné n'est pas visible par les utilisateurs possédant ce rôle méta SDK.

  6. Sélectionnez les autorisations de rôle méta SDK pour les utilisateurs possédant ce rôle. Cliquez sur Appliquer.

    Les paramètres entrent en vigueur immédiatement et s'appliquent aux nouveaux paquets et logs traités par Decoder ou Log Decoder. 

Configurer les clés méta non écrites sur disque pour chaque parser sur un Decoder 

Sur un Decoder et Log Decoder, un responsable de la confidentialité des données peut configurer les clés méta individuelles qui ne sont pas écrites sur disque. Pour ce faire, le responsable de la confidentialité des données spécifie les clés méta comme étant transitoires dans l'index et la configuration du parser.

Remarque : La même fonctionnalité était disponible auparavant sur Log Decoder. Vous pouviez la configurer durant l'installation des analyseurs en modifiant le fichier tablemap.xml. Désormais, elle est intégrée dans la vue Configuration des services.

Pour configurer les clés méta sélectionnées pour des parsers individuels, sans les écrire sur disque :

  1. Dans la section Admin, sélectionnez la vue Services.
  2. Dans la grille Services, sélectionnez un service Decoder ou Log Decoder, puis cliquez sur Actions button > Vue > Config.
  3. Dans la section Configuration des analyseurs de l'onglet Général, sélectionnez un analyseur, puis sélectionnez Transitoire dans la liste déroulante Valeur de configuration. Accédez à la liste en cliquant sur la valeur de configuration (Activé, Désactivé ou Transitoire).

    La modification de configuration est indiquée par un triangle rouge.

    Red marks showing the configuration was changed

  4. Cliquez sur Appliquer.

    La modification prend effet immédiatement. L'analyseur configuré avec l'état Transitoire ne stocke plus de clés méta sur disque.

You are here
Table of Contents > Procédures détaillées > Configurer l'obfuscation des données

Attachments

    Outcomes