DLP समस्या निवारण

यह प्लेबुक आपके खाते पर DLP अपेक्षित रूप से काम नहीं करने पर समस्याओं को हल करने के चरणों का वर्णन करता है।

अवलोकन

डेटा लॉस प्रिवेंशन (DLP) नीतियों की जटिलता अप्रत्याशित परिणाम उत्पन्न कर सकती है, जिससे संभावित सुरक्षा जोखिम होते हैं। This might be due to configuration that doesn't align with the requirements, or inaccurately defined custom data type or profile.dd

प्रारंभिक मूल्यांकन घटनाएँ का उपयोग करना

घटनाओं का उपयोग करके डेटा लॉस प्रिवेंशन (DLP) घटनाओं के लिए फ़िल्टर करें "एप्लिकेशन सुरक्षा" प्रीसेट सेट करके प्राप्त किया जा सकता है:

डेटा नियंत्रण नियमों से जुड़ी घटनाओं में सक्रिय DLP प्रोफाइल, मिलान किए गए डेटा प्रकार, फाइल विशेषताएँ और अधिक जैसे जानकारीपूर्ण क्षेत्र शामिल होंगे।

यह आपको यह समझने की अनुमति देगा कि वर्तमान में क्या ट्रिगर हो रहा है, और आगे पूछें 'क्या मेरे कॉन्फ़िगरेशन के अनुसार परिणाम मेरी अपेक्षाओं के अनुरूप हैं?'

समस्या का समस्या निवारण

समस्या निवारण प्रक्रिया को क्रमगत रूप से बनाया गया है, जिसमें प्रत्येक चरण पिछले चरण पर निर्भर होता है। यदि एक पूर्व आवश्यकता पूरी नहीं होती है, तो चीज़ें अनुक्रमित चरणों को ट्रिगर नहीं करेंगी।

(1) TLS निरीक्षण सक्षम (TLS ट्रैफ़िक के लिए)

• फ़ायरवॉल घटना में सत्यापित करें: उत्पन्न FW घटना में TLS निरीक्षण बूलियन फ़ील्ड की जांच करें और सुनिश्चित करें कि यह  1 पर सेट है। यदि मान 0 पर सेट है, तो अपने खाते में TLS निरीक्षण को कॉन्फ़िगर और परीक्षण करने के लिए निम्नलिखित आलेखों की मार्गदर्शिकाओं का पालन करना सुनिश्चित करें:
  - Configuring TLS Inspection Policy for the Account
  - Testing TLS Inspection in the Cato Cloud 
• विशिष्ट OS प्रकार (एंड्रॉयड, लिनक्स, अज्ञात OS's) TLS निरीक्षण नहीं किये जाते।
• कुछ मूल क्लाइंट अनुप्रयोगों का TLS निरीक्षण नहीं किया जाता है (प्रमाणपत्र पिनिंग संबंधित चिंताओं के कारण)। TLS डिफ़ॉल्ट बायपास नियम CMA में पहचाने जा सकते हैं।
• सुनिश्चित करें कि आपकी इंटरनेट फ़ायरवॉल नीति में उच्च प्राथमिकता के साथ (नियम आधार के शीर्ष के पास) दो नियम QUIC और GQUIC को अवरुद्ध करने के लिए शामिल हैं, क्योंकि TLS निरीक्षण इस प्रकार की ट्रैफिक पर काम नहीं कर सकता:
  
  
  
  पक्का करने के लिए कि कोई निश्चित अनुरोध QUIC प्रोटोकॉल का उपयोग कर रहा है या नहीं, एक HAR फ़ाइल जनरेट करें और संबंधित POST/GET अनुरोध पर "प्रोटोकॉल" कॉलम का निरीक्षण करें। यदि कोई अनुरोध क्विक का उपयोग कर रहा है, तो इसे "h3", "http/2+quic/46" या इसी तरह सूचीबद्ध किया जाएगा:
  
  

(2) Verify destination application identified by Cato

• फ़ायरवॉल इवेंट में पुष्टि करें: "एप्लिकेशन" इवेंट फ़ील्ड देखें और पहचाने गए एप्लिकेशन की खोज करें।
• यदि आपका एप्लिकेशन सही ढंग से पहचाना नहीं गया है, तो सुनिश्चित करें कि निम्नलिखित सत्य हैं:
  • You are accessing the destination of the application using its hostname instead of directly using the IP address.
    • This step ensures CATO sees the associated DNS query, allowing us to derive the destination's hostname, which is crucial for App detection.
  • सुनिश्चित करें कि जिस डीएनएस सर्वर का आप उपयोग कर रहे हैं, उसके लिए ट्रैफ़िक CATO पर दृश्यमान है (उदा. सॉकेट LAN इंटरफ़ेस तक पहुँचा गया)
• You can define either a specific application for CASB/DLP policies or select "Any Application" (All HTTP/S application traffic).
  
  • The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
    
  • यदि आपके पास कोई विशिष्ट एप्लिकेशन है जिसे आप क्लाउड एप्लिकेशन के रूप में जोड़ना चाहते हैं तो आप CATO समर्थन के साथ एक RFE (रिक्वेस्ट फॉर एन्हांसमेंट) टिकट खोल सकते हैं।

(3) फ़ाइल आकार की आवश्यकता की पुष्टि

• DLP (उप-प्रकार "ऐप्स सुरक्षा") घटना में सत्यापित करें: खतरे का निर्णय फील्ड देखें और जांचें कि क्या मान फ़ाइल आकार द्वारा बायपास के लिए सेट है - इस मान को देखने से संकेत मिलेगा कि सामग्री को स्कैन नहीं किया गया था क्योंकि फ़ाइल आकार आवश्यक न्यूनतम/अधिकतम सीमा में नहीं आता।
• इनलाइन DLP के लिए अधिकतम फ़ाइल आकार 50MB है (डेटा सुरक्षा API के लिए 500MB)।
  • आमतौर पर, आप नीचे दिए गए चरणों का पालन करके पर्दे के पीछे gzip व्यवहार की पहचान कर सकते हैं:
    • ब्राउज़र devtools, "नेटवर्क" टैब्स खुला करें
    • एक फ़ाइल डाउनलोड करते समय, रिक्वेस्ट की पहचान करें जो डाउनलोड का प्रतिनिधित्व करती है (Google सुईट में, यह सबसे अधिक संभावना से डोमेन:*.googleusercontent.com फ़िल्टर करके स्पॉट किया जा सकता है, नीचे दी गई तस्वीर में नीला फ्रेम)।
    • प्रतिक्रिया में Content-Encoding शीर्षलेख की खोज करें (नीचे दी गई छवि में लाल फ्रेम)। यदि यह gzip है, तो आप बता सकते हैं कि अंदरूनी रूप से संपीड़न है।
      
• DLP OCR प्रोफ़ाइल समर्थित फ़ाइल का आकार 10KB से 50 MB के बीच है।

(4) फ़ाइल प्रकार पहचाना गया + DLP के लिए समर्थित है

• DLP (उप-प्रकार "ऐप्स सुरक्षा") इवेंट में पुष्टि करें: CATO द्वारा कौन सी फ़ाइल क्लास का पता लगाया गया था यह दर्शाने वाले फ़ाइल प्रकार फ़ील्ड को खोजें
• यदि मान अज्ञात फ़ाइल प्रकार है, तो इसका अर्थ है कि CATO फ़ाइल की पहचान करने में विफल रहा है और यह सामग्री स्कैन से छूट दी जा रही है।
• Verify the file type is supported for DLP: audio, video, and binary files are not supported.
• सामग्री प्रकार का उपयोग करके JAR फ़ाइल का मिलान करते समय अतिरिक्त सावधानी बरतनी चाहिए क्योंकि एक .JAR फ़ाइल या तो ज़िप आर्काइव या जावा आर्काइव (JAR) फ़ाइल हो सकती है। अधिक विवरण के लिए, स्रोत कोड द्वारा मेल करते समय JAR फ़ाइल पर डेटा नियंत्रण नियम काम नहीं करता देखें।
• For DLP OCR Profiles, supported file types include: PNG, JPEG, TIFF, BMP, PNM, WEBP, JPEG

पाठ फ़ाइल पहचान सीमाएं

पाठीय फ़ाइल पहचान, जैसे कि CSV & TXT, विशिष्ट संकेतकों के अभाव के कारण चुनौतियों का सामना करती है। हमारी पहचान तीन मुख्य इनपुट्स पर निर्भर करती है:

• Magiclib: फ़ाइल का शीर्षक जो उसके प्रकार के लिए अद्वितीय होता है। उदाहरण के लिए, PDF फ़ाइलें एक विशिष्ट शीर्षक (%PDF-1.5, %µµµµ, आदि) के साथ शुरू होती हैं, जो एक मजबूत फाइल प्रकार संकेतक के रूप में कार्य करता है।
• HTTP हेडर: "कंटेंट-टाइप" हेडर में फाइल अपलोड के समय फाइल के प्रकार के बारे में संकेत हो सकता है, जैसे कि Excel फाइलों के अपलोड के दौरान application/vnd.ms-excel।
• फ़ाइल का नाम एक्सटेंशन: अन्य संकेतकों के अनुपस्थित या अनिर्णायक होने पर उपयोग किया जाता है, यह मानते हुए कि फ़ाइल का नाम सही ढंग से निकाला गया है।

पाठीय फ़ाइलों के साथ सीमाएं उत्पन्न होती हैं क्योंकि:

• उनमें प्रकारों को भेदने के लिए एक अद्वितीय मैजिक हेडर की कमी होती है (CSV, TXT, Python स्क्रिप्ट)।
• अपलोड के लिए HTTP अनुरोध (उदाहरण के लिए, curl के माध्यम से) फ़ाइल के प्रकार पर पर्याप्त मेटाडेटा नहीं हो सकते हैं (उदाहरण के लिए "कंटेंट-टाइप" हेडर)।
• फ़ाइल का नाम HTTP अनुरोध में उपस्थित नहीं हो सकता है।
  • यदि घटनाओं में फ़ाइल नाम अनुपस्थित है, तो कृपया सहायता से संपर्क करें

ये कारक POST/PUT अनुरोध में एक सरल पाठ बॉडी और एक वास्तविक पाठ फ़ाइल अपलोड के बीच अंतर करना चुनौतीपूर्ण बना सकते हैं, जिससे DLP इन फ़ाइलों को मिस कर सकता है।

DLP के लिए अन्य ज्ञात सीमाओं के लिए, कृपया डेटा नियंत्रण नीति बनाना देखें। 

(5) DLP प्रोफ़ाइल स्कैन की गई सामग्री से मेल खाती है

• यह चरण यह निर्धारित करने में मदद करता है कि क्या समस्या डेटा प्रकार की फ़ाइल की सामग्री के साथ मेल नहीं खाने की वजह से उत्पन्न होती है
•  DLP सत्यापनकर्ता उपकरण: परीक्षण फ़ाइल के साथ डेटा प्रकारों को सत्यापित करना समस्या निवारण प्रक्रिया में एक महत्वपूर्ण और सहायक कदम है। यह वास्तविक दुनिया के डेटा के खिलाफ DLP नियमों को मान्य करने का एक व्यावहारिक तरीका प्रदान करता है, जिससे समस्याओं की पहचान और सुधार के लिए एक प्रभावी विधि के रूप में कार्य किया जा सकता है।
  • एक .csv फ़ाइल पर कुंजी शब्द डेटा प्रकार को सफलतापूर्वक सत्यापित करने का एक उदाहरण:
    
    
     
  • नियमित अभिव्यक्तियों को मान्य करना: कस्टम डेटा प्रकार के साथ रेगेक्स का उपयोग करते समय, रेगेक्स परीक्षक बॉक्स एक अमूल्य संपत्ति बन जाता है। यह आपको अपने रेगेक्स पैटर्न का परीक्षण करने और उनकी सटीकता को सत्यापित करने की अनुमति देता है। DLP सिस्टम में अवांछित परिणामों से बचने के लिए पहले यहां अपने पैटर्न का परीक्षण करना हमेशा सलाह दिया जाता है।
    
    
    
     
  • "निकाला गया पाठ निर्यात करें" विकल्प फ़ाइल का पार्स किया हुआ पाठ डेटा जांचने के लिए उपयोगी हो सकता है जैसा कि डेटा लीक प्रतिरोध इंजन द्वारा स्कैन किया गया था:
    
    
     
  • उदाहरण के लिए, संवेदनशीलता लेबल IDs के जुड़े होने की जाँच करने के लिए "निकाला गया पाठ निर्यात करें" विकल्प द्वारा उत्पन्न .txt फ़ाइल की समीक्षा करें। नीचे MIP लेबल युक्त एक .docx फ़ाइल का पार्सिंग के परिणामस्वरूप प्राप्त पाठ है: mip-example.png