データ難読化の仕組み

IBM QRadar デプロイメントでデータ難読化を構成する前に、新規および既存のオフェンス、アセット、ルール、およびログ・ソース拡張に対してデータ難読化がどのように機能するかを理解する必要があります。

既存のイベント・データ

データ難読化プロファイルが有効になっている場合、システムは、 QRadarが受信した各イベントのデータをマスクします。 データ難読化を構成する前にアプライアンスが受信したイベントは、難読化されていない状態のままとなります。 以前のイベント・データはマスクされず、ユーザーはその情報を表示することができます。

アセット

データ難読化を構成すると、アセット・モデルでマスクされたデータが蓄積されますが、既存のアセット・モデル・データはマスクされないままとなります。

難読化された情報が、マスクされていないデータを使用してトレースされないようにするには、アセット・モデル・データをパージしてマスクされていないデータを削除します。 QRadar は、難読化された値をアセット・データベースに再取り込みします。

攻撃

それまでマスクされていなかったデータがオフェンスにより表示されることのないようにするには、SIM モデルをリセットして既存のオフェンスをすべて閉じます。 詳しくは、 SIM のリセットを参照してください。

ルール

以前にマスクが解除されたデータに依存するルールを更新する必要があります。 例えば、ユーザー名が難読化されると、特定のユーザー名を基準とするルールは作動しなくなります。

ログ・ソース拡張

イベント・ペイロードのフォーマットを変更するログ・ソース拡張が原因で、データ難読化に問題が生じる場合があります。