Este artículo explica cómo ver las evidencias forenses de eventos de violación de la política de DLP.
Para investigar violaciones de políticas de DLP, puede ver de forma segura las evidencias de violación directamente en la Aplicación de Gestión de Cato. Esto permite a los equipos de seguridad entender rápidamente el contexto de un incidente, evaluar la exposición potencial de datos, validar falsos positivos y ajustar las políticas de DLP con confianza.
Cuando se genera un evento de política de DLP, los archivos de evidencia se cifran y se envían a un destino de almacenamiento seguro configurado. Para minimizar la exposición de datos y asegurar el cumplimiento de los requisitos regulatorios, estos archivos solo pueden ser vistos a petición por administradores con los permisos correspondientes.
Nota: Los tipos de archivo de imagen no son compatibles
Un representante de ventas necesita procesar un reembolso a un cliente. Envía un mensaje de Slack a su gerente para aprobar el reembolso que incluye la dirección del cliente. Una regla de DLP configurada para detectar PII identifica la dirección del cliente, bloquea el mensaje y desencadena un evento. Los mensajes de Slack están cifrados y almacenados de forma segura en un bucket de Amazon S3 como evidencia.
Un analista de seguridad, con permiso para ver evidencias forenses, comienza a investigar el evento. Como parte de la investigación, visualizan de forma segura la conversación de Slack y confirman que se expusieron datos PII.
Al confirmar con certeza que ha ocurrido una violación de política, el analista de seguridad puede contactar a los empleados implicados y educarlos sobre la política de protección de datos de la empresa.
Para permitir que se vean las evidencias forenses, debe:
- Habilite su opción preferida para el almacenamiento seguro de las evidencias
- Configure las configuraciones de evidencias forenses
- Proporcione permisos para el administrador que puede ver la evidencia
La evidencia forense se almacena externamente a Cato en un destino de almacenamiento que usted elija. Para habilitar el almacenamiento de evidencia, debe crear una integración entre Cato y el servicio de almacenamiento compatible. Esta integración permite a Cato escribir de manera segura archivos de evidencias cifrados cuando se desencadena una política de DLP en su almacenamiento designado. Para obtener instrucciones paso a paso sobre cómo configurar la integración, vea el enlace abajo. Los servicios de almacenamiento compatibles son:
Para comenzar a almacenar evidencias forenses, necesita habilitar la función en CMA. También puede elegir solo mostrar un fragmento de la evidencia o permitir que el archivo original se almacene y esté disponible para descargar durante una investigación.
Nota: Todas las evidencias forenses siempre están cifradas, no es posible desmarcar la casilla Cifrar evidencia almacenada en el destino configurado
Para configurar evidencias forenses:
- Desde el menú de navegación, haz clic en Seguridad > Tipos de Datos & Perfiles.
- En la pestaña Configuración, habilite el interruptor Almacenar evidencia DLP.
- Para permitir que el archivo de evidencia original sea descargado desde un evento, seleccione la casilla Almacenar archivos originales al coincidir. Si esta opción no está marcada, solo un fragmento de la evidencia está disponible durante una investigación.
- Elija la ubicación para que se almacene la evidencia.
- Haz clic en Guardar.
Solo los administradores con el permiso DLP Forensics pueden ver las evidencias forenses dentro de un evento. Puede agregar este permiso a roles personalizados existentes o crear un nuevo rol personalizado y aplicarlo al administrador correspondiente. Para más información sobre Roles & Permisos, vea Managing Admin Roles Using RBAC.
La evidencia forense está disponible desde el panel Incidente de Datos, disponible desde el evento que se generó después de violar una regla de DLP.
Nota: Después de que se genera un evento, puede tomar unos minutos para que el archivo esté disponible para descargar.
Para ver evidencias forenses:
- Desde el menú de navegación, haga clic en Seguridad > Protección de Datos para ver el Tablero de Protección de Datos.
-
En el Principales Reglas Infringidas, haga clic en la regla que desea investigar.
Se muestra la página de Eventos con un filtro predefinido de los eventos generados por esta regla. Para más información, consulte Analyzing Events in Your Network.
-
Expanda el evento y en el campo Evidencia, haga clic en Ver forense.
Se abre el panel Incidente de Datos.
-
En la sección Forense, haga clic en Ver evidencia , y en el cuadro emergente, haga clic en Confirmar.
La evidencia forense se muestra en el fragmento. Para acceder al archivo completo haga clic en Descargar archivo. Esta opción está deshabilitada si la casilla Almacenar archivos originales al coincidir fue desmarcada en el Paso 2.
0 comentarios
El artículo está cerrado para comentarios.