Este libro de jugadas describe pasos para resolver problemas cuando DLP no funciona como se espera en su cuenta.
Visión general
Las complicaciones con las políticas de Prevención de Pérdida de Datos (DLP) pueden causar resultados inesperados, lo que lleva a posibles riesgos de seguridad. This might be due to configuration that doesn't align with the requirements, or inaccurately defined custom data type or profile.dd
Evaluación inicial usando Eventos
El filtrado de eventos de Prevención de Pérdida de Datos (DLP) usando Eventos se puede lograr configurando el preset "Apps Security":
Los eventos asociados con reglas de control de datos incluirán campos informativos como los perfiles de DLP que se activaron, Tipos de Datos coincididos, atributos de archivos y más.
Esto te permitirá entender qué se está desencadenando actualmente, y preguntarte a ti mismo '¿Los resultados están en línea con lo que esperaba según mi configuración?'
Resolución de problemas del problema
El proceso de resolución de problemas está diseñado para ser secuencial, con cada paso construyéndose sobre el anterior. Si no se cumple un requisito anterior, no se activarán los pasos subsecuentes.
Nota
Nota: Un requisito para todos los pasos a continuación es asegurarse de que tenga una regla de FW (incluso creada temporalmente para propósitos de resolución de problemas) con seguimiento de eventos activado que coincida con el tráfico esperado a ser inspeccionado por DLP.
Otra configuración orientada a la resolución de problemas será una regla de DLP de respaldo que capture tanto carga/descarga para propósitos de monitoreo sin coincidencia de contenido ni especificación de tipo de archivo.
It’s also recommended to test using a non-textual file, such as .docx or .pdf, to ensure file type detection problems related to textual files (more on that below).
(1) Inspección de TLS habilitada (para tráfico sobre TLS)
-
Verificar en el Evento de Firewall: Comprobar el campo booleano de inspección TLS en el evento de FW generado y asegurarse de que esté configurado en 1. Si el valor está establecido en 0,, asegúrese de seguir las pautas en los siguientes artículos para configurar y probar la inspección TLS en su cuenta:
- Configurar la Política de Inspección TLS para la Cuenta
- Probar la Inspección TLS en la Cato Cloud - Ciertos tipos de OS (Android, Linux, OS desconocidos) no son inspeccionados por TLS.
- Algunas aplicaciones de cliente nativas no son inspeccionadas por TLS (debido a preocupaciones con el anclaje de certificados). Las reglas predeterminadas de omisión de TLS pueden ser identificadas en CMA.
- Asegúrese de que su política de firewall de Internet contenga dos reglas con alta prioridad (cerca de la parte superior de la base de reglas) para bloquear QUIC y GQUIC, ya que la inspección TLS no puede funcionar con este tipo de tráfico:
Para verificar que una cierta solicitud está o no está usando el protocolo QUIC, genere un archivo HAR e inspeccione la columna "Protocolo" en la solicitud POST/GET relevante. Si una solicitud está usando QUIC, se listará como "h3", "http/2+quic/46" o similar:
(2) Verify destination application identified by Cato
- Verificar en Evento de Firewall: Revise el campo del evento "Aplicación" y busque la aplicación identificada.
- En caso de que su aplicación no esté identificada correctamente, asegúrese de que lo siguiente sea cierto:
- You are accessing the destination of the application using its hostname instead of directly using the IP address.
- This step ensures CATO sees the associated DNS query, allowing us to derive the destination's hostname, which is crucial for App detection.
- Asegúrese de que el tráfico destinado al servidor DNS que está usando para resolver los Nombre de Host de la aplicación de Destinación sea visible para CATO (por ejemplo, alcanzó la interfaz de LAN del Socket)
- You are accessing the destination of the application using its hostname instead of directly using the IP address.
- You can define either a specific application for CASB/DLP policies or select "Any Application" (All HTTP/S application traffic).
- The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
- Puede abrir un ticket RFE (Solicitud de Mejora) con el Soporte de CATO en caso de que tenga una aplicación específica que le gustaría agregar como Aplicación en la Nube.
- The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
(3) Verificación del Requisito de Tamaño de Archivo
- Verifique en el Evento DLP (sub-tipo "Seguridad de Aplicaciones"): Busque el campo de evento Veredicto de Amenaza y verifique si el valor está establecido como Omitir Por Tamaño - ver este valor indicará que el contenido no fue escaneado debido a que el tamaño del archivo no cae dentro del rango mínimo/máximo requerido.
- El tamaño máximo de archivo para DLP integrado es 50MB (500MB para la Protección de Datos API)
- En general, puedes identificar el comportamiento gzip detrás del telón siguiendo los siguientes pasos:
- Abierto las herramientas de desarrollo del navegador, pestaña "Red"
- Al descargar un archivo, detecta la solicitud que representa la descarga (en el suite de Google, lo más probable es que se pueda detectar filtrando dominio:*.googleusercontent.com, marco azul en la imagen de abajo)
- Busca el encabezado Content-Encoding en la respuesta (marco rojo en la imagen a continuación). Si es gzip, puedes decir que hay compresión bajo el capó
- En general, puedes identificar el comportamiento gzip detrás del telón siguiendo los siguientes pasos:
- Para Perfiles OCR de DLP el Tamaño de Archivo Soportado está entre 10KB y 50 MB
(4) Tipo de Archivo Está Identificado + Soportado para DLP
- Verificar en el Evento de DLP (sub-tipo "Apps Security"): Busque el campo Tipo de Archivo que indica qué clase de archivo fue detectada por CATO
- Si el valor es Tipos de Archivo Desconocidos, significa que CATO no pudo identificar el archivo y está exento del escaneo de contenido.
- Verify the file type is supported for DLP: audio, video, and binary files are not supported.
- Se necesita tener especial precaución al coincidir el archivo JAR usando el tipo de contenido porque un archivo .JAR puede ser ya sea un archivo Zip o un archivo de Java (JAR). Consulte La regla de control de datos no funciona en el archivo JAR cuando coincide por código fuente para más detalles.
- For DLP OCR Profiles, supported file types include: PNG, JPEG, TIFF, BMP, PNM, WEBP, JPEG
Limitaciones para la Detección de Archivos Textuales
La detección de archivos textuales, como CSV & TXT, enfrenta desafíos debido a la ausencia de indicadores Específicos. Nuestra detección se basa en tres entradas principales:
- Magiclib: El encabezado único de un archivo para su tipo. Por ejemplo, los archivos PDF comienzan con un encabezado distintivo (%PDF-1.5, %µµµµ, etc.), que sirve como un fuerte indicador de tipo de archivo.
- Encabezados HTTP: El encabezado "Content-Type" en las cargas de archivos puede indicar el tipo de archivo, como application/vnd.ms-excel para archivos de Excel durante una carga.
- Extensión de Nombre de Archivo: Utilizado cuando otros indicadores están ausentes o no son concluyentes, asumiendo que el nombre de archivo se extrajo correctamente.
Las limitaciones surgen con archivos textuales porque:
- Carecen de un encabezado mágico único para distinguir tipos (CSV, TXT, script de Python).
- Las solicitudes HTTP para cargas (por ejemplo, usando curl) pueden no tener suficientes metadatos sobre el tipo de archivo (por ejemplo, encabezado "Content-Type").
- El nombre de archivo podría no estar presente en la solicitud HTTP.
- En caso de que el nombre de archivo esté ausente de los eventos, por favor Contactar Soporte
Estos factores pueden hacer que sea un desafío diferenciar entre un simple cuerpo de texto en una solicitud POST/PUT y una carga real de archivo textual, lo que podría causar que DLP no detecte estos archivos.
Para otras limitaciones conocidas de DLP, consulte Creación de la Política de Control de Datos.
(5) El perfil de DLP coincide con el contenido escaneado
- Este paso ayuda a precisar si el problema proviene de la alineación del tipo de dato con el contenido del archivo
- Herramienta de Validación de DLP: Validar Tipos de Datos con un Archivo de Prueba es un paso esencial y útil en el proceso de resolución de problemas. Proporciona una manera práctica de validar reglas de DLP contra datos del mundo real, sirviendo como un método efectivo para identificar y rectificar problemas.
- Un ejemplo de validación exitosa de un Tipo de Dato de palabra clave en un archivo .csv:
-
Validación de Expresiones Regulares: Cuando use un Tipo de Dato personalizado con regex, la casilla de prueba de regex se convierte en un recurso invaluable. Le permite probar sus patrones de regex y validar su precisión. Siempre es aconsejable probar sus patrones aquí primero para evitar resultados no deseados en el sistema DLP.
- La opción "Exportar texto extraído" puede ser útil para examinar los datos textuales analizados del archivo tal como fueron escaneados por el motor DLP:
- Por ejemplo, verificar que se detecten los ID de etiquetas de sensibilidad adjuntas a un documento se puede hacer revisando el archivo .txt generado por la opción "Exportar Texto Extraído". A continuación se muestra el resultado textual de analizar un .docx que contiene una etiqueta MIP: mip-example.png
- Un ejemplo de validación exitosa de un Tipo de Dato de palabra clave en un archivo .csv:
0 comentarios
Inicie sesión para dejar un comentario.