AUF DIESER SEITE
Wie funktioniert Datenverschleierung?
Bevor Sie die Datenverschleierung in Ihrer JSA-Bereitstellung konfigurieren, müssen Sie verstehen, wie sie bei neuen und bestehenden Angriffen, Assets, Regeln und Protokollquellenerweiterungen funktioniert.
Vorhandene Ereignisdaten
Wenn ein Daten-Verschleierungsprofil aktiviert ist, maskiert das System die Daten für jedes Ereignis, sobald es von der JSA empfangen wird. Ereignisse, die von der Appliance empfangen werden, bevor die Datenverschleierung konfiguriert wird, bleiben im ursprünglichen unbeobachteten Zustand. Die älteren Ereignisdaten sind nicht maskiert, und benutzer können die Informationen einsehen.
Vermögenswerte
Wenn die Datenverleumdung konfiguriert ist, sammelt das Asset-Modell Maskierungsdaten, während die daten des bereits vorhandenen Asset-Modells enttarnt bleiben.
Um zu verhindern, dass jemand enttarnte Daten verwendet, um die verschleierten Informationen nachzuverfolgen, bereinigen Sie die Daten des Asset-Modells, um die nicht maskierten Daten zu entfernen. JSA wird die Asset-Datenbank mit verschleierten Werten erneut bevölkern.
Straftaten
Um sicherzustellen, dass bei Angriffen keine zuvor enttarnten Daten angezeigt werden, schließen Sie alle bestehenden Angriffe, indem Sie das SIM-Modell zurücksetzen. Weitere Informationen finden Sie unter Zurücksetzen von SIM.
Regeln
Sie müssen Regeln aktualisieren, die auf Daten angewiesen sind, die zuvor enttarnt wurden. Beispielsweise werden Regeln, die auf einem bestimmten Benutzernamen basieren, nicht ausgelöst, wenn der Benutzername verschleiert wird.
Protokollquellenerweiterungen
Protokollquellenerweiterungen, die das Format der Ereignisnutzlast ändern, können Probleme mit der Datenverschleierung verursachen.