Para impedir o acesso não autorizado a informações sensíveis ou identificáveis do usuário, dados ofuscação criptografa os dados do evento fazem distinção entre maiúsculas e minúsculas.
Todas as informações a partir da carga útil do evento, como nome de usuário, número do cartão, ou os campos nome do host podem ser escamoteada. Utilize dados para ajudar a atender os requisitos de ofuscação comissão regulamentar e políticas de privacidade corporativa.
Restrição: Você não pode ofuscar um campo numérico normalizada, como porta ou um endereço IP.
Para configurar e gerenciar dados ofuscado, execute as seguintes tarefas:
1. Gere um par de chaves privada/pública RSA.
O processo de ofuscação requer que você crie uma chave pública e privada para o QRadar SIEM Console.
os usuários não autorizados que tentam para consultar o banco de dados diretamente não pode visualizar dados sigilosos Ariel sem utilizar a chave de decriptografia pública e privada.
A chave pública permanece no QRadar Console e você deve armazenar a chave privada em um local seguro. A chave privada contém a chave de decriptografia que é necessário para que os administradores visualizem os dados
decriptografada.
O script obfuscation_updater.sh instala a chave pública em seu sistema e configura as instruções de expressão comum (regex). O instruções regex definem os parâmetros que você deseja mascarado.
2. Configure os dados ofuscação.
Ofuscação de dados criptografa novos eventos, assim que são processados e normalizados pelo, QRadar. O processo de ofuscação avalia a expressão de expressão de ofuscação e verifica que o novo evento bruto, e o evento
normalizado, contém dados que são requeridos na para os dados máscara. Os dados que estão definidos nas expressões de ofuscação estão associados aos eventos de dados, criptografados e em seguida escritos no Ariel banco de dados
O arquivo obfuscation_expressions.xml especifica declarações de expressão regular (regex) que identificam os dados que deseja ofuscar. Qualquer texto contendo um evento que marca expressões regulares que são especificadas em
obfuscation_expressions.xmlé criptografado em ambos os campos de cargas
úteis do evento
3. Configure os dados ofuscação.
Quando atividade suspeita ocorre em sua rede, você pode descriptografar os dados, para que você possa investigar todos os dados que está envolvido na atividade.
O script decriptografa obfuscation_decoder.sh o valor criptografado específico que você deseja investigar.
Gerando um Par de Chaves Pública/Privada
A ofuscação e decriptografia de dados requerem um par de chaves privada/pública RSA.
Procedimento
1. Utilizando o SSH, efetue login no QRadar Console como o usuário raiz.
2. Para gerar uma chave privada RSA, digite o seguinte comando:
openssl genrsa [-out filename] [numbits] A tabela a seguir descreve as opções de comando. Tabela 75. Opções de Comando para Gerar a Chave Privada RSA
Opção Descrição
[-out filename] O nome do arquivo de chave privada RSA [numbits] Especifica o tamanho, em bits, da chave privada
O tamanho padrão é 512.
Exemplo: O comando a seguir gera uma chave privada denominada mykey.pem. O tamanho da chave privada é 512 bits.
openssl genrsa -out mykey.pem 512
3. Para formatar a chave privada, digite o seguinte comando:
openssl pkcs8 [-topk8] [-inform PEM] [-outform PEM] [-in filename] [-out
filename] [-nocrypt]
A tabela a seguir descreve as opções de comando. Tabela 76. Opções para Formatar a Chave Privada
Opção Descrição
[-topk8] Lê uma chave privada no formato tradicional e grava a chave privada no formato PKCS #8
[-inform] O formato de entrada da chave privada como Privacy Enhanced Mail (.PEM)
Exemplo: -inform PEM
[-outform] O formato da saída da chave privada como .PEM
Exemplo: -outform PEM
[-in filename] O nome do arquivo para a chave privada [-outfilename] O nome do arquivo de saída
[-nocrypt] Especifica que a chave privada utiliza o formato criptografado PrivateKeyInfo.
Exemplo: O comando a seguir grava a chave privada no formato PKCS #8 e utiliza o formato de entrada PEM. A chave privada é enviada no formato PEM, é denominada mykey.pem, e utiliza um formato decriptografado.
openssl pkcs8 -topk8 -inform PEM -outform PEM -in mykey.pem -out private_key.pem -nocrypt
4. Para gerar a chave pública RSA, digite o seguinte comando:
openssl rsa [-in filename] [-pubout] [-outform DER] [-out filename] A tabela a seguir descreve as opções de comando
Tabela 77. Opções de Comando para Gerar a Chave Pública
Opção Descrição
[-in filename] Especifica o nome do arquivo de entrada [-pubout] Gera uma chave pública
[-outform DER] O tipo do arquivo de chave pública como arquivo de Certificado X509 Codificado DER (.DER)
Tabela 77. Opções de Comando para Gerar a Chave Pública (continuação)
Opção Descrição
[-out filename] O nome do arquivo de chave pública
Exemplo: Neste exemplo, as chaves a seguir são geradas:
v mykey.pem
v private_key.pem
v public_key.der
openssl rsa -in mykey.pem -pubout -outform DER -out public_key.der
5. Exclua o arquivo mykey.pem a partir de seu sistema.
6. Para instalar a chave pública, digite o seguinte comando:
obfuscation_updater.sh [-k filename]
[-k filename] especifica o nome do arquivo para o arquivo de chave pública que você deseja instalar.
Exemplo: O comando a seguir instala a chave pública denominada public_key.der.
obfuscation_updater.sh -k public_key.der
Restrição: Apenas uma chave pública pode ser instalada para cada sistema. Depois de instalar uma chave pública, a chave não pode ser sobrescrita. Depois de instalar a chave pública em seu QRadar Console, o QRadar Console assegura que os hosts gerenciados ofusquem os dados para corresponder aos padrões de expressão de ofuscação.
O que Fazer Depois
Para evitar o acesso não autorizado aos dados ofuscados, remova o arquivo de chave privada de seu sistema. Armazene-o em um local seguro e crie um backup da chave privada. Siga os regulamentos locais para o armazenamento da chave privada.
Configurando ofuscação de dados
Use o script obfuscation_updater.sh para configurar dados de ofuscação.
Restrição: Os eventos que estão no diretório /store antes de você ativar a ofuscação de dados permanecerão em seu estado atual.
Quaisquer extensões de fonte de log que mudem o formato da carga útil do evento pode causar problemas com os dados.
Você não pode ofuscar um campo numérico normalizada, como porta ou um endereço IP.
Procedimento
1. Utilizando o SSH, efetue login no QRadar Console como o usuário raíz:
2. Para configurar a ofuscação de dados, digite o seguinte comando:
Você pode executar o script a partir de qualquer diretório em
obfuscation_updater.shdo QRadar Console.
obfuscation_updater.sh [-p filename] [-e filename]
[-p filename] especifica o nome do arquivo de chave privada.
[-e filename] especifica a oexpressão de fuscação XML de entrada de nome de arquivo.
Exemplo: O comando a seguir utiliza um arquivo chamado private_key.pem como a chave privada e um arquivo denominado obfuscation_expressions.xml como o arquivo ofuscação de expressão.
obfuscation_updater.sh -p private_key.pem -e obfuscation_expressions.xml
3. Configure os atributos do arquivo obfuscation_expressions.xml.
O arquivo obfuscation_expressions.xml define as expressões comuns que são utilizadas para ofuscar de dados. Você pode incluir várias expressões regulares. A tabela a seguir descreve o atributo de arquivo obfuscation_expressions.xml que você pode configurar.
Tabela 78. Atributos do arquivo obfuscation_expressions.xml
Atributos Descrição
tabela do banco de dados que contém o valor do atributo
<expression name> Um nome exclusivo para identificar a expressão regular
<regex> A expressão regular que você deseja utilizar para extrair os dados para ofuscação
<captureGroup> O grupo de captura que está associado à expressão regular
<deviceTypeId> Identifica o tipo de Efetue de Origem. Identifica o evento e extrai os dados a serem ofuscados.
1sensordeviceType
<deviceId> Identifica o Efetue de Origem. Identifica o evento e extrai os dados a serem ofuscados.
1sensordevice
<qidId> Identifica o nome dos Eventos. Identifica o evento e extrai os dados para ofuscar.
1qidmap
<category> Identifica o baixo nível da Categoria do
Evento.
Identifica o evento e extrai os dados a serem ofuscados.
1Tipo
<enabled> Se verdadeiro, ativa a expressão regular. Se falso, desativa a expressão regular.
1Você pode configurar um valor de -1 para desativar este atributo.
Exemplos de ofuscação de dados
1. O código a seguir mostra um exemplo de carga útil do evento.
LEEF:1.0|VMware|EMC VMWare|5,1 Terça Oct 09 12:39:31 EDT 2012|jobEnable| usrName=john.smith msg=john.smith@1.1.1.1 src=1.1.1.1
2. O código a seguir mostra um exemplo de um arquivo
obfuscation_expressions.xml.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <ObfuscationExpressions> <expression name="VMwareUsers"> <regex>usuário (\S)</regex> <deviceTypeId>-1</deviceTypeId> <deviceId>-1</deviceId> <qidId>-1</qidId> <category>-1</category> <enabled>verdadeiro</enabled> </expression> <expression name="VMwarehosts"> <regex>ruser=(\S)</regex> <deviceTypeId>-1</deviceTypeId> <deviceId>-1</deviceId> <qidId>-1</qidId>
<category>-1</category> <enabled>falso</enabled> </expression> </ObfuscationExpressions>
3. O exemplo a seguir mostra as expressões regulares que podem analisar nomes
de usuários.
Tabela 79. Exemplo de padrões regex que podem analisar os nomes de usuário.
Exemplo de padrões regex Correspondentes
usrName=([0-9a-zA-Z]([-.\w]*[0-9a-zA-Z])*@([0-9 a-zA-Z][-\w]*[0-9a-zA-Z]\.)+[a-zA-Z]{2,20})$
john_smith@IBM.com, jon@ibm.com, jon@us.ibm.com
usrName=(^([\w]+[^\W])([^\W]\.?)([\w]+[^\W]$)) john.smith, John.Smith, john, jon_smith ^ usrName= ([a-zA-Z])[a-zA-Z_-]*[\w_-]*[\s]$|^([um
-zA-Z])[0-9_-]*[\s]$|^[a-zA-Z]*[\s]$
johnsmith, Johnsmith123, john_smith123, john123_smith, john-smith
usrName=(/S) Marca qualquer espaço preenchido depois do sinal de igual =. Esta expressão regular, pode levar a problemas de desempenho do sistema. msg=([0-9a-zA-Z]([-.\w]*[0-9a-zA-Z]))*@\b(([01]
?\d?\d|2[0-4]\d|25[0-5])\.){3}([01]?\d?\d|2[0-4 ]\d|25[0-5])\b
Corresponde usuários com endereço IP.
Exemplo: john.smith@1.1.1.1
src=\b(([01]?\d?\d|2[0-4]\d|25[0-5])\.){3}([01] ?\d?\d|2[0-4]\d|25[0-5])\b
Corresponde os formatos de endereço IP. host=^(([a-zA-Z0-9]|[a-zA-Z0-9][a-zA-Z0-9\-]*[um
-zA-Z0-9])\.)*([A-Za-z0-9]|[A-Za-z0-9][A-Za-z0- 9\-]*[A-Za-z0-9])$
hostname.ibm.com, hostname.co.uk,
Decriptografando Dados Ofuscados
Quando a ofuscação de dados está configurada em um sistema IBM Security QRadar SIEM, a versão criptografada dos dados é exibida nas colunas e
parâmetros na interface com o usuário. Utilize o script obfuscation_decoder.sh para decriptografar dados ofuscados.
Procedimento
1. Efetue login na interface com o usuário do IBM Security QRadar SIEM e copie
o texto ofuscado que você deseja decriptografar
2. Utilizando o SSH, efetue login no QRadar Console como o usuário raiz.
Nome de usuário: raiz
3. Crie um diretório e copie as chaves pública e privada nesse diretório.
4. Vá para o diretório no qual as chaves estão localizadas.
5. Para decriptografar o texto ofuscado, digite o seguinte comando:
obfuscation_decoder.sh -k publickey filename -p privatekey filename -d <obfuscated_text>
A tabela a seguir descreve as opções de obfuscation_decoder.sh. Tabela 80. Opções para o Script obfuscation_decoder.sh
Opção Descrição
-k publickey filename O nome do arquivo de chave pública -p privatekey filename O nome do arquivo de chave privada -d obfuscated text O texto ofuscado que você deseja decriptografar
Exemplo: O comando a seguir decriptografa os dados mascarados. obfuscation_decoder.sh -k public_key.der -p private_key.pem -d obfuscated_text
Dados do Perfil do Ativo QRadar não Exibem Dados Ofuscados Após
o Upgrade
Os nomes de usuário e os dados de nome do host que fazem parte do perfil de ativo do IBM Security QRadar antes do upgrade para o QRadar V7.2 podem não exibir dados ofuscados conforme o esperado.
Procedimento
Para ofuscar dados do perfil de ativos, siga estas etapas:
1. Efetue login no QRadar Console.
2. Clique na guia Ativos.
3. Para remover hosts e nomes de usuário não ofuscados, clique em Ações >
Excluir Listados.
4. Execute o perfil de varredura manualmente ou planeje o perfil de varredura
para execução.
5. Para preencher novamente os dados para blocos de construção em seu sistema