Konfigurieren von Respond: Verschleiern von privaten Daten

Document created by RSA Information Design and Development on May 14, 2018
Version 1Show Document
  • View in full screen mode
 

Die Rolle des Datenschutzbeauftragten (Data Privacy Officer, DPO) kann Metaschlüssel identifizieren, die vertrauliche Daten enthalten und verschleierte Daten anzeigen sollten. In diesem Thema wird erläutert, wie der Administrator diesen Metaschlüsseln einen gehashten Wert anstelle des tatsächlichen Werts zuordnen kann.

Bei gehashten Metawerten sind folgende Punkte zu beachten:

  • NetWitness Suite unterstützt zwei Speichermethoden für Hash-Metawerte: HEX (Standard) und Zeichenfolge.
  • Wenn ein Metaschlüssel zum Anzeigen eines Hash-Werts ist, sehen alle Sicherheitsrollen im Modul Incidents nur den gehashten Wert. 
  • Gehashte Werte werden genauso wie die tatsächlichen Werte verwendet. Wenn Sie beispielsweise in Regelkriterien einen gehashten Wert verwenden, sind die Ergebnisse die gleichen wie bei Verwendung des tatsächlichen Werts.

In diesem Thema wird erläutert, wie private Daten in NetWitness Respond verschleiert werden. Zusätzliche Informationen zum Datenschutz finden Sie im Thema Übersicht zum Datenschutzmanagement im Leitfaden Datenschutzmanagement.

Zuordnungsdatei für die Verschleierung von Metaschlüsseln

Im NetWitness Respond trägt die Zuordnungsdatei für die Datenverschleierung den Namen „data_privacy_map.js“. Darin geben Sie den Namen für einen verschleierten Metaschlüssel ein und ordnen diesen dem Namen des tatsächlichen Metaschlüssels zu.

Das folgende Beispiel zeigt die Zuordnungen für die Verschleierung der Daten von zwei Metaschlüsseln, ip.src und user.dst:

'ip.src.hash' : 'ip.src',
'user.dst.hash' : 'user.dst'

Sie bestimmen die Benennungskonvention für Namen von verschleierten Metaschlüsseln. Beispielsweise könnte ip.src.hash auch ip.src.private sein oderip.src.bin heißen. Die festgelegte Benennungskonvention muss jedoch konsistent auf allen Hosts verwendet werden.

Voraussetzungen

  • Von der DPO-Rolle wird festgelegt, für welche Metaschlüssel eine Datenverschleierung erforderlich ist.
  • Die Administratorrolle ordnet anschließend die Metaschlüssel für die Datenverschleierung zu.

Verfahren

  1. Öffnen Sie die Datenschutz-Zuordnungsdatei:
    /var/lib/netwitness/respond-server/scripts/data_privacy_map.js
  2. Geben Sie in der Variablen obfuscated_attribute_map den Namen des Metaschlüssels ein, der verschleierte Daten enthalten soll. Ordnen Sie diesen dann dem Metaschlüssel zu, der die nicht verschleierten Originaldaten enthält. Verwenden Sie dazu folgendes Format:
    'ip.src.hash' : 'ip.src'
  3. Wiederholen Sie Schritt 2 für jeden Metaschlüssel, der einen gehashten Wert anzeigen soll. 
  4. Folgen Sie derselben Benennungskonvention wie in Schritt 2 und verwenden Sie diese konsistent auf allen Hosts.
  5. Speichern Sie die Datei
    .Alle zugeordneten Metaschlüssel zeigen nun gehashte Werte statt der tatsächlichen Werte an.
    In der folgenden Abbildung wird ein Hash-Wert für die Ziel-IP-Adresse in den Ereignisdetails angezeigt:
    Ansicht „Incident-Details“, Bereich „Ereignisdetails“, mit gehashter Ziel-IP-Adresse

    In neuen Warnmeldungen werden verschleierte Daten angezeigt.

Hinweis: Vorhandene Warnmeldungen können weiterhin sensible Daten enthalten. Das Verfahren funktioniert nicht rückwirkend.

You are here
Table of Contents > Zusätzliche Verfahren für die Respond-Konfiguration > Verschleiern von privaten Daten

Attachments

    Outcomes