توضح هذه المقالة كيفية عرض الأدلة الجنائية من أحداث انتهاك سياسة DLP.
للتحقيق في انتهاكات سياسة DLP، يمكنك عرض الأدلة الخاصة بالانتهاك بشكل آمن مباشرة في تطبيق إدارة Cato. يتيح ذلك لفرق الأمن بسرعة فهم سياق الحادث، تقييم احتمالية تعرض البيانات، التحقق من الإيجابيات الزائفة وضبط سياسات DLP بثقة.
عند توليد حدث سياسة DLP، يتم تشفير ملفات الأدلة وإرسالها إلى وجهة تخزين آمنة تم تكوينها. لتقليل تعرض البيانات وضمان الامتثال للمتطلبات التنظيمية، لا يمكن عرض هذه الملفات إلا عند الطلب من قبل المسؤولين الذين لديهم الأذونات ذات الصلة.
ملاحظة: أنواع ملفات الصور غير مدعومة
يحتاج ممثل المبيعات إلى معالجة استرداد للعميل. يرسل رسالة عبر Slack إلى مديره للموافقة على الاسترداد الذي يتضمن عنوان العميل. قانون DLP الذي تم تكوينه للكشف عن بيانات PII يحدد عنوان العميل، ويمنع الرسالة ويؤدي إلى حدث. يتم تشفير رسائل Slack وتخزينها بشكل آمن في حاوية Amazon S3 كأدلة.
يبدأ محلل الأمن؛ بتصريح لعرض الأدلة الجنائية؛ في التحقيق في الحدث. كجزء من التحقيق، يعرضون محادثة Slack بشكل آمن ويؤكدون أن بيانات PII تم الكشف عنها.
بالتأكيد مع الجزم بأن انتهاك سياسة قد وقع، يمكن لمحلل الأمن الاتصال بالموظفين المعنيين وتثقيفهم حول سياسة حماية البيانات الخاصة بالشركة.
لتمكين عرض الأدلة الجنائية، تحتاج إلى:
- تمكين خيارك الأفضل لتخزين الأدلة الآمن
- توصيف إعدادات الأدلة الجنائية
- توفير أذونات للمسؤول الذي يمكنه عرض الأدلة
يتم تخزين الأدلة الجنائية خارجيًا عن Cato في وجهة تخزين تختارها. لتمكين تخزين الأدلة، يجب إنشاء تكامل بين Cato وخدمة التخزين المدعومة. يسمح هذا التكامل لـ Cato بكتابة ملفات الأدلة المشفرة بشكل آمن عند تفعيل سياسة DLP في تخزينك المحدد. للحصول على تعليمات خطوة بخطوة حول تكوين التكامل، انظر الرابط أدناه. الخدمات المدعومة للتخزين هي:
لبدء تخزين الأدلة الجنائية، تحتاج إلى تمكين الميزة في CMA. يمكنك أيضًا اختيار عرض مقتطف فقط من الأدلة أو السماح بتخزين الملف الأصلي وإتاحته للتنزيل أثناء التحقيق.
ملحوظة: كل الأدلة الجنائية دائمًا مشفرة، لا يمكن إلغاء اختيار تشفير الأدلة المخزنة في الوجهة المكونة.
لتكوين الأدلة الجنائية:
- من قائمة التنقل، انقر فوق الأمان > أنواع البيانات & الملفات الشخصية.
- في علامة التبويب الإعدادات، قم بتمكين تخزين أدلة DLP.
- للسماح بتحميل الملف الأصلي من حدث ما، حدد مربع تخزين الملفات الأصلية عند المطابقة. إذا لم يتم اختيار هذا الخيار، سيكون هناك فقط مقتطف من الأدلة متاحًا أثناء التحقيق.
- اختر موقعًا لتخزين الأدلة.
- انقر فوق حفظ.
فقط المسؤولون ذوو أذونات تحقيقات DLP يمكنهم عرض الأدلة الجنائية داخل حدث. يمكنك إضافة هذه الإذن إلى الأدوار المخصصة الموجودة أو إنشاء دور مخصص جديد وتطبيقه على المسؤول ذي الصلة. لمزيد من المعلومات حول الأدوار والأذونات، انظر إدارة أدوار المسؤول باستخدام RBAC.
الأدلة الجنائية متاحة من لوحة حادث البيانات، متاحة من الحدث الذي تمت توليده بعد انتهاك قاعدة DLP.
ملحوظة: بعد توليد الحدث، قد يستغرق الأمر بضع دقائق لتوفر الملف للتنزيل.
لعرض الأدلة الجنائية:
- من قائمة التنقل، انقر فوق الأمان > حماية البيانات لعرض لوحة حماية البيانات.
-
في القواعد الأكثر انتهاكًا، انقر فوق القاعدة التي تريد التحقيق فيها.
يتم عرض صفحة الأحداث مع مرشح محدد مسبقًا للأحداث المولدة بواسطة هذه القاعدة. لمزيد من المعلومات، انظر تحليل الأحداث في شبكتك.
-
قم بتوسيع الحدث وفي حقل الأدلة، انقر فوق عرض الأدلة الجنائية.
تفتح لوحة حادث البيانات.
-
في قسم التحقيقات، انقر فوق عرض الأدلة، وفي النافذة المنبثقة، انقر فوق تأكيد.
يتم عرض الأدلة الجنائية في المقتطف. للوصول إلى الملف الكامل، انقر فوق تنزيل الملف. يكون هذا الخيار غير متاح إذا كان مربع تخزين الملفات الأصلية عند المطابقة غير محدد في الخطوة 2.
لا توجد تعليقات
المقال مغلق أمام التعليقات.