Die Verwaltung eines Security Operations Center (SOC) ist eine ständige Übung im Paradoxmanagement. Um den Anforderungen von Compliance-Audits (SOC 2, NIS 2) gerecht zu werden, muss das System einerseits die kleinsten Maßnahmen der Analysten während der Behebung umfassend erfassen. Andererseits darf die Anwendung zur Einhaltung strenger Datenschutzbestimmungen (DSGVO) niemals personenbezogene oder sensible Daten im Klartext sammeln oder speichern.
Einer der kritischsten Reibungspunkte entsteht beim Zurücksetzen eines Benutzerkennworts nach einer Entra-ID-Kompromittierung. Wie können wir einem Prüfer einen unbestreitbaren Beweis dafür liefern, dass das Passwort geändert wurde, und gleichzeitig sicherstellen, dass das neue Passwort nicht in Protokollen erscheint? Dies ist die Rolle der Politik vonDatenmaskierung(Daten werden ausgeblendet).
Die Gefahr übermäßiger Protokollierung
Wenn ein Entwickler eine Überwachungsfunktion entwirft, besteht der einfache Ausweg darin, alle an die API gesendeten Parameter zu erfassen und sie in der Protokolldatei zu serialisieren.
Wenn der Analyst die Aktion auslöstresetUserPassword, erhält die Graph-API von Microsoft eine Nutzlast, die die Benutzer-ID und die Zeichenfolge des neuen temporären Passworts enthält. Wenn das System die Rohanfrage in den Textüberwachungsprotokollen protokolliert, wird das neue Passwort im Klartext in die Systemdateien geschrieben.
Dieses Phänomen heißtAusführliche Protokollierungoder übermäßige Protokollierung stellen eine große Sicherheitslücke dar:
- Die interne Ausstellung:Jeder Netzwerktechniker, Datenbankadministrator oder Prüfer mit Zugriff auf die Protokollkonsole kann das Passwort des Mitarbeiters lesen und seine Identität stehlen.
- DSGVO-Verstoß:Das Schreiben von Klartext-Authentifizierungsgeheimnissen in Protokolldateien (die oft lange Aufbewahrungszeiten haben) stellt einen schwerwiegenden Verstoß gegen die Grundsätze der Datenvertraulichkeit dar.
Der SOC-Ansatz von Akuity: Selektive Maskierung an der Quelle
Um diesen Architekturkonflikt zu lösen, wendet die Akuity SOC-Plattform die Grundprinzipien von anDatenmaskierungund die Trennung von Berechtigungen direkt innerhalb seiner Serveraktionen.
1. Die vergängliche Generation auf der Frontalseite
Wenn die Rücksetzaktion vom Analysten validiert wird (Sitzung über MFA auf AAL2-Ebene angehoben), wird der Befehl an das Akuity-Backend gesendet. Das System generiert ein äußerst robustes temporäres Passwort (das die Komplexitätskriterien von Microsoft erfüllt).
Dieses Passwort wird direkt an die Benutzeroberfläche übermittelt und in einem angezeigtsicheres persistentes ModalAusgestattet mit einer Schnellkopiertaste. Dieses Passwort wird nirgendwo in der Datenbank gespeichert. Es ist nur kurzzeitig auf dem Bildschirm des Analysten sichtbar, damit dieser es über einen sicheren Kanal an den Mitarbeiter übermitteln kann.
2. Audit-Nutzdaten bereinigen (logAudit)
Wenn das Ereignis im standardisierten JSON-Format in die Standardausgabe geschrieben wird, wird die FunktionlogAudit(definiert inaudit.ts) wendet einen strengen Maskierungsfilter an.
Das generierte Protokoll hat das folgende Format: