يصف هذا الدليل خطوات حل المشكلات عندما لا يعمل DLP كما هو متوقع على حسابك.
نظرة عامة
تعقيدات سياسات منع تسرب البيانات (DLP) يمكن أن تؤدي إلى نتائج غير متوقعة، مما يؤدي إلى مخاطر أمنية محتملة. This might be due to configuration that doesn't align with the requirements, or inaccurately defined custom data type or profile.dd
التقييم الأولي باستخدام الأحداث
يمكن تحقيق تصفية أحداث منع تسرب البيانات باستخدام الأحداث من خلال إعداد "أمان التطبيقات":
الأحداث المرتبطة بقواعد البيانات ستتضمن حقولًا ذو طابع معلوماتي مثل الملفات الشخصية لـ DLP التي تم تشغيلها، الأنواع المطابقة للبيانات، سمات الملفات والمزيد.
سيتيح لك ذلك فهم ما يتم تشغيله حاليًا، ومزيدًا من التساؤل 'هل النتائج متماشية مع ما كنت أتوقعه وفقًا لتكويني؟'
استكشاف المشكلات
تم تصميم عملية استكشاف الأخطاء وإصلاحها لتكون متسلسلة، حيث تبني كل خطوة على السابقة. إذا لم يتم الوفاء بالشروط السابقة، فلن يتم تنفيذ الخطوات التالية.
ملحوظة
ملحوظة: أحد المتطلبات لجميع الخطوات أدناه هو التأكد من وجود قاعدة جدار ناري (حتى لو تم إنشاؤها مؤقتًا لأغراض استكشاف الأخطاء وإصلاحها) مع التتبع الحدثي مفعّل مطابقة لحركة المرور التي يُتوقع فحصها بواسطة DLP.
ستكون هناك إعدادات موجهة نحو استكشاف الأخطاء وإصلاحها يمكن أن تكون قاعدة احتياطية لـ DLP تلتقط كل من التحميل والتنزيل لأغراض المراقبة بدون مطابقة المحتوى أو تحديد نوع الملف.
It’s also recommended to test using a non-textual file, such as .docx or .pdf, to ensure file type detection problems related to textual files (more on that below).
(1) فحص TLS مفعّل (لحركة المرور عبر TLS)
-
تحقق من الحدث في الجدار الناري: تحقق من حقل فحص TLS المنطقي في الحدث الجداري الناري المُنتج وتأكد من أنه مضبوط على 1. إذا كانت القيمة مضبوطة على 0,، تأكد من الالتزام بالإرشادات في المقالات التالية لتكوين واختبار فحص TLS على حسابك:
- تكوين سياسة فحص TLS للحساب
- اختبار فحص TLS في سحابة Cato - أنواع نظام التشغيل المحددة (Android، Linux، أنظمة التشغيل غير المعروفة) غير مفحوصة عبر TLS.
- تطبيقات العميل الأصلية غير مفحوصة عبر TLS - فحص TLS يعمل فقط على التطبيقات الشبكية (بسبب مخاوف تثبيت الشهادات).
- تأكد من أن سياسة جدار الحماية الخاصة بالإنترنت تحتوي على قاعدتين بأولوية عالية (بالقرب من أعلى قاعدة القواعد) لحجب QUIC وGQUIC، حيث أن فحص TLS لا يمكن أن يعمل على هذا النوع من حركة المرور:
للتحقق مما إذا كانت طلب معين يستخدم بروتوكول QUIC، قم بإنشاء ملف HAR وافحص عمود "البروتوكول" على طلب POST/GET ذي الصلة. إذا كان الطلب يستخدم QUIC، سيتم إدراجه كـ "h3", "http/2+quic/46" أو ما شابه ذلك:
(2) Verify destination application identified by Cato
- تحقق في الحدث الجداري الناري: انظر إلى حقل الحدث "التطبيق" وابحث عن التطبيق المحدد.
- في حال لم يكن تطبيقك محدد بشكل صحيح، تأكد من صحة النقاط التالية:
- You are accessing the destination of the application using its hostname instead of directly using the IP address.
- This step ensures CATO sees the associated DNS query, allowing us to derive the destination's hostname, which is crucial for App detection.
- تأكد من أن حركة المرور الموجهة إلى خادم DNS الذي تستخدمه لحل أسماء المضيف للتطبيق الوجهة ظاهرة لـ CATO (على سبيل المثال، وصلت إلى واجهة LAN المقبس)
- You are accessing the destination of the application using its hostname instead of directly using the IP address.
- You can define either a specific application for CASB/DLP policies or select "Any Application" (All HTTP/S application traffic).
- The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
- يمكنك فتح تذكرة طلب تعزيز (RFE) مع دعم CATO في حال كان لديك تطبيق محدد تود إضافته كتطبيق سحابة.
- The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
(3) التحقق من متطلبات حجم الملف
- تحقق في حدث DLP (النوع الفرعي "أمان التطبيقات"): ابحث عن حقل الحدث الحكم على التهديد وتحقق مما إذا كانت القيمة مضبوطة على تجاوز بواسطة الحجم. رؤية هذه القيمة تشير إلى أن المحتوى لم يتم فحصه بسبب عدم وقوع حجم الملف ضمن النطاق الأدنى/الأقصى المطلوب.
- Minimum file size is 1KB, and the maximum is 20MB
- ينطبق هذا العتبو خلال طلب/استجابة HTTP أثناء نقل الملفات. أحيانًا، قد لا تستوفي الملفات التي تزيد عن 1KB العتبو إذا قام الخادم بضغط طلب/استجابة HTTP أثناء التحميلات/التنزيلات.
- بشكل عام، يمكنك تحديد سلوك gzip وراء الكواليس باتباع الخطوات أدناه:
- افتح أدوات المطور في المتصفح، علامة تبويب "الشبكة"
- أثناء تنزيل ملف، اكتشف الطلب الذي يمثل التنزيل (في مجموعة Google، يُمكن اكتشافه عادةً عن طريق فلترة domain:*.googleusercontent.com، الإطار الأزرق في الصورة أدناه)
- ابحث عن هيدر Content-Encoding في الرد (الإطار الأحمر في الصورة أدناه). إذا كانت gzip، يمكنك معرفة أن هناك ضغطًا خلف الكواليس
- بالنسبة لـ بروفيلات DLP OCR الحجم المدعوم للملف هو بين 10KB و 20MB
(4) نوع الملف محدد ومؤيد لـ DLP
- تحقق في حدث DLP (النوع الفرعي "أمان التطبيقات"): ابحث عن حقل نوع الملف الذي يشير إلى أي فئة من الملفات تم اكتشافها بواسطة CATO
- إذا كانت القيمةأنواع الملفات غير المعروفة، فهذا يعني أن CATO فشل في تحديد الملف + يتم إعفائه من فحص المحتوى.
- Verify the file type is supported for DLP: audio, video, and binary files are not supported.
- يجب توخي الحذر الشديد عند مطابقة ملف JAR باستخدام نوع المحتوى، لأن ملف .JAR يمكن أن يكون إما أرشيف Zip أو ملف أرشيف Java (JAR). ارجع إلى قاعدة التحكم في البيانات لا تعمل على ملف JAR عند المطابقة حسب الشيفرة المصدرية لمزيد من التفاصيل.
- For DLP OCR Profiles, supported file types include: PNG, JPEG, TIFF, BMP, PNM, WEBP, JPEG
قيود اكتشاف الملفات النصية
اكتشاف الملفات النصية، مثل CSV و& TXT، يواجه تحديات بسبب غياب المؤشرات المحددة. يعتمد اكتشافنا على ثلاثة مدخلات رئيسية:
- Magiclib: رأس خاص بالملف مميز لنوعه. على سبيل المثال، تبدأ ملفات PDF برأس مميز (%PDF-1.5، %µµµµ، إلخ)، يعمل كمؤشر قوي لنوع الملف.
- رؤوس HTTP: رأس "نوع المحتوى" في تحميل الملفات يمكن أن يلمح إلى نوع الملف، مثل application/vnd.ms-excel لملفات Excel أثناء تحميلها.
- امتداد اسم الملف: يستخدم عندما تغيب المؤشرات الأخرى أو تكون غير حاسمة، مع افتراض استخراج اسم الملف بشكل صحيح.
تنشأ القيود مع الملفات النصية لأن:
- تفتقر إلى رأس مميز وسحري لتمييز الأنواع (CSV، TXT، شيفرة بايثون).
- طلبات HTTP للتحميلات (مثل عبر curl) قد لا تحتوي على بيانات كافية عن نوع الملف (مثل رأس "نوع المحتوى").
- قد لا يكون اسم الملف موجودًا في طلب HTTP.
- في حال غياب اسم الملف من الأحداث، يرجىالاتصال بالدعم
يمكن أن تجعل هذه العوامل من التحدي التمييز بين جسم بسيط نصي في طلب POST/PUT وتحميل ملف نصي حقيقي، مما قد يؤدي إلى فشل DLP في اكتشاف هذه الملفات.
للقضايا المحدودة الأخرى المتعلقة بـ DLP، يرجى الرجوع إلى إنشاء سياسة التحكم في البيانات.
(5) الملفات الشخصية لـ DLP تطابق المحتوى المُفحوص
- تساعد هذه الخطوة في تحديد ما إذا كانت المشكلة تنبع من تطابق النوع البيانات مع محتوى الملف
- أداة المصادقة DLP: التحقق من أنواع البيانات باستخدام ملف اختبار هو خطوة أساسية ومفيدة في عملية استكشاف الأخطاء وإصلاحها. يوفر طريقة عملية للتحقق من قواعد DLP ضد بيانات العالم الحقيقي، مما يعمل كطريقة فعالة لتحديد المشكلات وتصحيحها.
- مثال على التحقق الناجح من نوع بيانات كلمة رئيسية على ملف .csv:
-
التحقق من العبارات المنتظمة: عند استخدام نوع بيانات مخصص مع regex، يصبح مربع اختبار regex أداة لا تقدر بثمن. يتيح لك اختبار أنماط regex الخاصة بك والتحقق من دقتها. من المستحسن دائمًا اختبار الأنماط هنا أولاً لتجنب النتائج غير المرغوب فيها في نظام DLP.
- يمكن أن يكون خيار "تصدير النص المستخرج" مفيدًا لفحص البيانات النصية المعالجة للملف كما تمت فحصه بواسطة محرك DLP:
- على سبيل المثال، يمكن التحقق من اكتشاف معرفات الملصقات الحساسية المرفقة بالمستند من خلال مراجعة الملف .txt المُنتج بواسطة خيار "تصدير النص المستخرج". أدناه يوجد النتيجة النصية لتحليل ملف .docx يحتوي على ملصق MIP: mip-example.png
- مثال على التحقق الناجح من نوع بيانات كلمة رئيسية على ملف .csv:
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.