Investigation des violations de DLP avec preuves médico-légales

Cet article explique comment voir les preuves médico-légales des événements de violation de la politique DLP.

Vue d'ensemble

Pour enquêter sur les violations de la politique DLP, vous pouvez voir en toute sécurité les preuves de violation directement dans l'application de gestion Cato (CMA). Cela permet aux équipes de sécurité de comprendre rapidement le contexte d'un incident, d'évaluer l'exposition potentielle des données, de valider les faux positifs et d'affiner les politiques DLP avec confiance.

Lorsqu'un événement de politique DLP est généré, les fichiers de preuves sont chiffrés et envoyés vers une destination de stockage sécurisée configurée. Pour minimiser l'exposition des données et garantir la conformité aux exigences réglementaires, ces fichiers ne peuvent être consultés sur demande que par les administrateurs disposant des autorisations pertinentes.

Note : Les types de fichiers image ne sont pas pris en charge

Cas d'utilisation : Investiguer l'exposition de PII via Slack

Un représentant commercial doit traiter un remboursement à un client. Ils envoient un message Slack à leur manager pour approuver le remboursement qui inclut l'adresse du client. Une règle DLP configurée pour détecter les PII identifie l'adresse du client, bloque le message et déclenche un événement. Les messages Slack sont chiffrés et stockés en toute sécurité dans un compartiment Amazon S3 à titre de preuve.

Un analyste de sécurité, avec l'autorisation de voir les preuves médico-légales, commence à enquêter sur l'événement. Dans le cadre de l'enquête, ils voient en toute sécurité la conversation Slack et confirment que des données PII ont été exposées.

En confirmant avec certitude qu'une violation de la politique a eu lieu, l'analyste de sécurité peut contacter les employés impliqués et les informer sur la politique de protection des données de l'entreprise.

Activation de l'affichage des preuves médico-légales

Pour permettre l'affichage des preuves médico-légales, vous devez :

  1. Activez votre option préférée pour le stockage sécurisé des preuves
  2. Configurez les paramètres de preuve médico-légale
  3. Fournissez des autorisations pour l'administrateur qui peut voir les preuves

Étape 1 : Activer le stockage sécurisé des preuves

Les preuves médico-légales sont stockées à l'extérieur de Cato dans une destination de stockage que vous choisissez. Pour activer le stockage des preuves, vous devez créer une intégration entre Cato et le service de stockage pris en charge. Cette intégration permet à Cato d'écrire en toute sécurité des fichiers de preuves chiffrés lorsqu'une politique DLP est déclenchée dans votre stockage désigné. Pour des instructions étape par étape sur la configuration de l'intégration, voir le lien ci-dessous. Les services de stockage pris en charge sont :

Étape 2 : Configurer les paramètres de preuve médico-légale

Pour commencer à stocker les preuves médico-légales, vous devez activer la fonctionnalité dans le CMA. Vous pouvez également choisir d'afficher uniquement un extrait de la preuve ou d'autoriser le fichier original à être stocké et disponible pour téléchargement lors d'une enquête.

Note : Toutes les preuves médico-légales sont toujours chiffrées, il n'est pas possible de décocher la case Chiffrer les preuves stockées dans la destination configurée

Forensics.png

Pour configurer la preuve médico-légale :

  1. Dans le menu de navigation, cliquez sur Sécurité > Types de données & Profils.
  2. Dans l'onglet Paramètres, activez le paramètre Stocker les preuves DLP.
  3. Pour autoriser le téléchargement du fichier de preuve original depuis un événement, cochez la case Stocker les fichiers originaux lors d'une correspondance. Si cette option n'est pas cochée, seul un extrait de la preuve est disponible lors d'une enquête.
  4. Choisissez l'emplacement de stockage des preuves.
  5. Cliquez sur Sauvegarder.

Étape 3 : Fournir des autorisations pour l'administrateur

Seuls les administrateurs ayant la permission DLP Forensics peuvent voir les preuves médico-légales dans un événement. Vous pouvez ajouter cette permission à des rôles personnalisés existants ou créer un nouveau rôle personnalisé et l'appliquer à l'administrateur concerné. Pour plus d'informations sur les rôles et autorisations, consultez Gérer les rôles d'administrateur à l'aide de RBAC.

Permissions.png

Affichage des preuves médico-légales

Les preuves médico-légales sont disponibles depuis le panneau Incident de données, disponibles à partir de l'événement généré après qu'une règle DLP ait été violée.

Note : Après qu'un événement soit généré, il peut prendre quelques minutes pour que le fichier soit disponible au téléchargement.

DLP_Draw.png

Pour voir les preuves médico-légales :

  1. Dans le menu de navigation, cliquez sur Sécurité > Protection des données pour voir le Tableau de bord de protection des données.

  2. Dans la rubrique Principale règle violée, cliquez sur la règle que vous souhaitez étudier.

    La page Événements s'affiche avec un filtre prédéfini des événements générés par cette règle. Pour plus d'informations, consultez Analyser les événements dans votre réseau.

  3. Déployez l'événement et dans le champ Preuve, cliquez sur Voir les médico-légaux.

    View_Forensics.png

    Le panneau Incident de données s'ouvre.

  4. Dans la section Forensic, cliquez sur Voir les preuves , et dans la boîte qui s'affiche, cliquez sur Confirmer.

    Event.png

    Les preuves médico-légales sont affichées dans l'extrait. Pour accéder au fichier complet, cliquez sur Télécharger le fichier. Cette option est grisée si la case Stocker les fichiers originaux lors d'une correspondance n'a pas été cochée à l'étape 2.

    Evidence.png

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire