Trabajando con Coincidencia de Datos Exactos (EDM) para DLP

Este artículo explica cómo crear tipos de datos personalizados de Coincidencia de Datos Exactos (EDM) para identificar datos sensibles específicos para la política DLP.

Para más información sobre los tipos de datos personalizados para DLP, consulte Trabajando con Tipos de Datos Personalizados para DLP.

Nota

Nota: Por favor contacte con SaaSecAPI@catonetworks.com o su revendedor oficial de Cato para más información sobre el uso de perfiles EDM.

Visión general

La Coincidencia de Datos Exactos (EDM) para DLP encuentra valores de datos sensibles específicos que son importantes para la organización, en lugar de coincidir con patrones de datos generales. Por ejemplo, en lugar de bloquear la transferencia de todos los datos de tarjetas de crédito, puede bloquear un conjunto específico de datos que contiene la información de la tarjeta de crédito de sus clientes. Al usar EDM para adaptar sus políticas de DLP, puede reducir significativamente los falsos positivos y aumentar la productividad del administrador.

Para implementar la Coincidencia de Datos Exactos en su política DLP, importe un conjunto de datos estructurados de los datos sensibles específicos y utilícelo para crear un perfil EDM. Luego, puede configurar una regla de DLP para el perfil y bloquear solo esos datos específicos. Este es un ejemplo de flujo de trabajo para bloquear un conjunto específico de datos usando un perfil EDM:

Cree un archivo CSV o tipo de archivo similar (como TSV o PSV) que contenga el conjunto de datos requerido.
En la Aplicación de Gestión de Cato, importe el archivo CSV y cree un perfil EDM basado en los datos del archivo.
Configure una regla de Control de Datos para el perfil EDM.

Definiendo los Datos para Coincidencia

Cuando crea un perfil EDM, puede seleccionar hasta dos columnas del archivo de datos importado para incluir en el perfil. Cuando selecciona dos columnas, hay una relación Y entre ellas y el motor DLP devuelve una coincidencia solo cuando se detectan ambos valores de datos. Por ejemplo, si selecciona la columna de Nombre del Empleado y la columna de Salario en un conjunto de datos, el motor DLP devolverá una coincidencia solo para contenido que contenga tanto un valor de nombre coincidente como su valor salarial relevante.

Entendiendo los Datos Primarios y Secundarios

Para los perfiles EDM que incluyen dos columnas de datos, configure una columna como Primaria y la otra como Secundaria. Esto define el orden en el que el motor DLP busca los datos. Solo si los datos Primarios se igualan, el motor DLP continúa y busca los datos Secundarios.

Dado que EDM está diseñado para identificar datos específicos, los datos Primarios no pueden contener muchas ocurrencias del mismo valor. Una columna de datos que contiene un valor que ocurre más de 3 veces no puede definirse como Primaria.

Entendiendo los Tipos de Datos para Perfiles EDM

Para cada columna de datos que incluya en el perfil EDM, defina un tipo de datos DLP general existente que coincida con los datos de la columna. Cuando el motor DLP escanea contenido para igualar los datos del perfil EDM, primero intenta coincidir el contenido con el tipo de datos existente, y solo si hay una coincidencia continúa verificando los datos específicos en el perfil. Por ejemplo, el motor primero busca un patrón general de datos de tarjeta de crédito y luego busca números de tarjeta de crédito específicos. Esto asegura una mayor eficiencia para los escaneos de datos EDM.

Entendiendo la Seguridad de los Datos para Perfiles EDM

Cuando importa conjuntos de datos para perfiles EDM, todos los datos se hashían por el navegador del usuario antes de que se suba a la Nube de Cato. Cuando el motor DLP compara los datos hashados con el contenido y busca una coincidencia, primero hashía el contenido usando el mismo algoritmo. Este método permite al motor DLP identificar coincidencias con perfiles EDM sin subir ni almacenar ningún dato en texto claro.

Requisitos para Archivos de Conjuntos de Datos Importados

EDM para DLP admite archivos de conjuntos de datos importados que cumplen con los siguientes requisitos:

Los archivos deben ser uno de los siguientes formatos: CSV, TSV, PSV, SSV, HSV, TXT
Los delimitadores admitidos incluyen los siguientes caracteres:
- Coma (,)
- Tubería (|)
- Tabulador
- Punto y coma (;)
- Dos puntos (:)
- Guion (-)
- Signo de número (#)
- Signo de intercalado (^)
- Signo de exclamación (!)
- Arroba (@)
- Signo de dólar ($)
- Signo de porcentaje (%)
- Ampersand (&)
- Barra diagonal (/)
El tamaño del archivo admitido es de hasta 8 MB

Este es un ejemplo de un archivo CSV de conjunto de datos que se puede utilizar para un perfil EDM:

Creando un Perfil EDM

Cree un nuevo perfil EDM y suba un archivo de conjunto de datos que contenga los datos específicos para coincidencia de contenido. Seleccione hasta dos columnas de datos y defina la columna Primaria. Para cada columna seleccionada, defina un tipo de datos existente que coincida con los datos en la columna. Esto puede ser un tipo de datos predefinido o definido por el usuario.

Para crear un perfil EDM:

Desde el menú de navegación, seleccione Seguridad > Tipos de Datos & Perfiles, y en la pestaña Perfiles DLP seleccione Perfil EDM.
Haz clic en Nuevo. Se abre el panel Añadir Perfil de Coincidencia de Datos Exactos.
Ingrese el Nombre del Perfil y la Descripción.

El Nombre del Perfil debe ser un nombre único que no se utilice para otros perfiles EDM u otros tipos de datos personalizados.
Arrastre y suelte o explore para subir un archivo que contenga un esquema y datos exactos para el perfil. Aparece un mensaje Archivo Cargado cuando la carga se completa, que contiene la siguiente información:
- Número de filas de datos detectadas en el archivo
- El delimitador detectado
Seleccione las columnas de archivo para incluir en el perfil, puede seleccionar hasta dos columnas.
Para cada columna seleccionada configure lo siguiente:
1. Tipo de Datos de los datos en la columna. Puede seleccionar un tipo de datos predefinido o definido por el usuario para cada columna.
2. Si la columna es Primaria. Solo puede definir una columna como Primaria, la otra columna se configura automáticamente como Secundaria.
Haz clic en Guardar.

Mejores Prácticas para Tipos de Datos Definidos por el Usuario

Cuando implementa la política, o agrega una nueva aplicación con la acción de Bloqueo:
- Utilice la acción de Monitor para la regla.
- Revise los eventos que la regla genera y asegúrese de que no haya eventos para el tráfico que desee permitir (tráfico de falsos positivos).
- Si hay tráfico de falsos positivos, puede hacer estos cambios:
  - Refine el alcance de la regla para excluir el tráfico de falsos positivos
  - Cree una nueva regla de permitir antes de la regla de bloqueo, y el alcance de la nueva regla es solo para el tráfico de falsos positivos
Recuerde que la política de Control de Aplicaciones es una política ordenada, y la regla implícita final es ACEPTAR TODO TODO. Agregue reglas a la política para bloquear el tráfico de aplicaciones relevante, actividades y criterios.

Limitaciones conocidas

Puede crear hasta 15 perfiles EDM para su cuenta
El escaneo OCR no es compatible para coincidencia de contenido DLP para perfiles EDM
Los límites de tamaño de archivo para la inspección de contenido están entre 1KB y 20MB. Los eventos para archivos fuera de este límite muestran el veredicto omitido debido al tamaño.
- Para algunas descargas comprimidas en formato gzip, el tamaño del archivo para DLP se calcula en función del archivo comprimido. Si el tamaño del archivo comprimido es menor de 1kb, no se escaneará.
Los archivos codificados en Base64 no son compatibles, y el motor DLP no puede inspeccionar el contenido en estos archivos.