¿Has necesitado ocultar información?
Es posible que, en algún punto, como usuario de la herramienta Splunk se desee ocultar información sensible con fines de auditoría. En la mayoría de países, se exige el cumplimiento del tratamiento de datos personales en las plataformas digitales (Reglamento 2016/679 en la Unión Europea / Ley de protección de datos personales en Colombia). Splunk, dentro su amplio espectro de usos puede incurrir en la exposición de datos personales si no se toman las medidas adecuadas.
Afortunadamente, Splunk cuenta con una función para enmascarar datos sensibles que se encuentre en un evento.
¿Cómo y cuándo debes hacerlo?
El enmascaramiento de Splunk, para este escenario, se aplica en la fase de análisis (parsing) de todo el ciclo de recepción de los datos a un ambiente Splunk. La función debe aplicarse en el archivo “props.conf” del servidor que realiza la fase de análisis (generalmente es un reenviador pesado o Heavy Forwarder).
La sintaxis de enmascaramiento es “SEDCMD-<nombre-de-clase> = s/<su-expresión-regular>/<el-contenido-a-reemplazar>/g”.
Caso práctico
En este caso práctico, se observa la necesidad de hacer una modificación en un archivo de registro para proteger la información sensible que sería el número de tarjeta de crédito.
Evento original
hora = «03/03/2024 13:16» nombres = «ANTONIO» tarjeta_credito = «000000000000000″ TX_resp = «ACEPTADO»
Este es el formato de un registro de evento tal y como aparecería originalmente en los registros. Contiene informaciones como: la hora del evento, el nombre del cliente (en este caso «ANTONIO»), el número de tarjeta de crédito (representado por ceros en el caso pero iría el número completo), y cuál es la respuesta de la transacción («ACEPTADO»).
Evento visto desde Splunk
hora = «03/03/2024 13:16» nombres = «ANTONIO» tarjeta_credito = «XXXXXXXXXX00000″ TX_resp = «ACEPTADO»
Después de ingresar el registro inicial en Splunk, se hace una modificación de los campos en los que se quiere proteger la información (la tarjeta de crédito). Se puede ver que los números de la tarjeta se han enmascarado, mostrando solo los últimos dígitos y sustituyendo los primeros dígitos por «X». Esto ayuda a proteger cierta información confidencial pero pudiendo observar el props.conf.
Cambio que debe ser aplicado en el props.conf
[<sourcetype>/host::<host>/source::<source>]
SEDCMD-anon= s/tarjeta_credito\s=\s»(\d{10})/tarjeta_credito = «XXXXXXXXXX/g
En Splunk, se puede configurar cómo se indexan y presentan los datos mediante el archivo `props.conf`. En este caso, te muestra cuál es el cambio que se debe realizar para enmascarar el número de tarjeta de crédito en todos los eventos que coincidan.
Y si tiene todo esto en cuenta…
Es por esto por lo que Splunk ayuda a cualquier organización a cumplir con la normativa de protección de datos personales vigente en su país mediante el enmascaramiento de datos que puedan ser considerados sensibles.
Sin embargo, sería recomendable que antes de implementar esta solución, se realicen pruebas en un entorno de control de calidad (QA) para evitar que se den posibles resultados que no se desean.
Esta recomendación se debe a que una vez se tengan los datos sean indexados, cualquier cambio en la acción de enmascaramiento podría ser difícil de realizar o directamente no modificable.
En definitiva, la precaución y la planificación son fundamentales para que el enmascaramiento que se desee realizar sea útil y no traiga consigo problemas a largo plazo.
