W jaki sposób działa obfuskacja?

Przed skonfigurowaniem zaciemnienia danych w ramach wdrożenia produktu IBM® QRadar® należy zrozumieć, w jaki sposób działa ona dla nowych i istniejących przestępstw, zasobów, reguł i rozszerzeń źródeł dzienników.

Istniejące dane zdarzeń

Gdy profil zaciemniania danych jest włączony, system maskuje dane dla każdego zdarzenia, ponieważ jest odbierane przez produkt QRadar. Zdarzenia odbierane przez urządzenie przed zaciemniania danych są zachowane w oryginalnym stanie nieuwierzytelnionym. Starsze dane zdarzeń nie są maskowane, a użytkownicy mogą wyświetlać informacje.

Zasoby

Gdy skonfigurowano zaciemnianie danych, model zasobów gromadzi dane, które są zamaskowane, a istniejące dane modelu zasobów pozostają niezamaskowane.

Aby uniemożliwić komuś użycie niezamaskowanych danych w celu śledzenia zaciemnionych informacji, należy wyczyścić dane modelu zasobu w celu usunięcia danych, które nie zostały zamaskowane. Produkt QRadar ponownie zapełnia bazę danych zasobów z zaciemonymi wartościami.

Przestępstwa

Aby upewnić się, że przestępstwa nie wyświetlają danych, które były wcześniej niezamaskowane, należy zamknąć wszystkie istniejące wykroczenia, resetując model SIM. Więcej informacji na ten temat zawiera sekcja Resetowanie SIM.

Reguły

Należy zaktualizować reguły, które zależą od danych, które były wcześniej niezamaskowane. Na przykład reguły, które są oparte na konkretnej nazwie użytkownika, nie są zwalniane, gdy nazwa użytkownika jest zaciemniona.

Rozszerzenia źródła dziennika

Rozszerzenia źródła dziennika, które zmieniają format ładunku zdarzenia, mogą powodować problemy z zaciemnieniami danych.