Wie funktioniert die Datenverschlüsselung?

Vorhandene Ereignisdaten

Wenn ein Datenverschlüsselungsprofil aktiviert ist, maskiert das System die Daten für jedes Ereignis, das von QRadarempfangen wird. Ereignisse, die von der Appliance vor dem Konfigurieren der Datenverschlüsselung empfangen werden, verbleiben im ursprünglichen, unverschlüsselten Status. Die älteren Ereignisdaten werden nicht maskiert und Benutzer können die Informationen anzeigen.

Anlagen

Beim Konfigurieren der Datenverschlüsselung kumuliert das Assetmodell maskierte Daten, während die vorher vorhandenen Daten des Assetmodells unmaskiert bleiben.

Um einen Benutzer daran zu hindern, unmaskierte Daten zum Aufzeichnen der verschlüsselten Informationen zu verwenden, bereinigen Sie die Daten des Assetmodells, um die unmaskierten Daten zu entfernen. QRadar füllt die Assetdatenbank erneut mit verschlüsselten Werten.

Sicherheitsverstöße

Um sicherzustellen, dass Angriffe keine Daten anzeigen, die zuvor unmaskiert wurden, schließen Sie alle vorhandenen Angriffe, indem Sie das SIM-Modell zurücksetzen. Weitere Informationen finden Sie unter SIM zurücksetzen.

Regeln

Sie müssen Regeln aktualisieren, die auf Daten beruhen, bei welchen die Maskierung zuvor aufgehoben wurde. Beispielsweise werden Regeln, die auf einem bestimmten Benutzernamen basieren, beim Verschlüsseln dieses Benutzernamens nicht ausgelöst.

Erweiterungen für Protokollquellen

Protokollquellenerweiterungen, die das Format der Ereignisnutzdaten ändern, können zu Problemen bei der Datenverschlüsselung führen.