機密データフィルター
ディスカバリー機密データフィルター [discovery_sensitive_data_filter] テーブルは、データ収集中に編集ルールを適用することで、機密情報が 構成管理データベース (CMDB) で公開されないようにする方法を提供します。
ディスカバリー サーバーとアプリケーションから構成データと運用データを収集して CMDBに入力します。このデータには、パスワード、トークン、認証情報などの機密情報が含まれている場合があります。これらの値を CMDB に保存すると、セキュリティとコンプライアンスのリスクが発生する可能性があります。機密データフィルターを使用すると、アドミニストレーターはプローブ結果の機密情報を識別する正規表現フィルターを定義できます。ディスカバリーが実行されると、プローブはデータを収集し、MID サーバーで処理します。ECC キュー入力ペイロードがインスタンスに送信される前に、ポストプロセッサースクリプトは変換を適用し、ディスカバリー機密データフィルター [discovery_sensitive_data_filter] テーブルで定義されている正規表現フィルターをチェックします。一致するものが見つかると、スクリプトはペイロード内の機密値を編集して、編集されたデータのみがインスタンスに送信され、 CMDBに保存されるようにします。
たとえば、正規表現が
(?i)(?:p wd|password|passwd|secret)=(\S+) で、元のコンテンツが次のようになるとします。user=admin password=MySecret123 host=localhostuser=admin password=REDACTED host=localhost要件
ディスカバリー バージョン XP11、YP10、ZP4 以降を使用している必要があります。
ヴィジビリティコンテンツ バージョン 6.29.0 を使用している必要があります。
利点
機密データフィルターを実装するメリットは次のとおりです。
- 機密情報の保護:認証情報やその他の機密値がログや出力に表示されないようにします。
- コンプライアンス:要件を満たすことで、組織のセキュリティとプライバシーの標準をサポートします。
- 柔軟性:環境とデータソースに合わせてフィルターをカスタマイズします。
例
機密データフィルターで保護できるデータの例としては、次のようなものがあります。
- 記録対象構成ファイル:MySQL 構成ファイルにパスワードが含まれている場合があります。正規表現フィルターはパスワードを検出して編集できます。
- プロセスパラメーター: Linux サーバープロセスの引数には機密性の高いトークンが含まれている場合があります。フィルターはこれらの値を識別して編集できます。