DLPトラブルシューティング

このプレイブックは、アカウントでDLPが期待通りに動作しない場合の問題を解決する手順を説明します。

概要

データ損失防止(DLP)ポリシーの複雑さが予期しない結果を引き起こし、潜在的なセキュリティリスクをもたらす可能性があります。 This might be due to configuration that doesn't align with the requirements, or inaccurately defined custom data type or profile.dd

イベントを使用した初期評価

イベントを使用してデータ損失防止(DLP)イベントをフィルタリングするには、「アプリケーションセキュリティ」プリセットを設定することで達成できます:

preset.png

データ制御ルールに関連するイベントには、トリガーされたDLPプロファイル、一致したデータタイプ、ファイル属性などの知見が含まれます。

これにより、現在何がトリガーされているかを理解し、さらに自問することができます「設定に従って期待していた結果と合っていますか?」

問題のトラブルシューティング

トラブルシューティングプロセスは順番に設計されており、各ステップが前のステップに基づいています。 前提条件が満たされていない場合、後続のステップはトリガーされません。

注意

注: 以下のすべての手順を実行するための要件として、DLPによって検査される予定のトラフィックに一致するイベントトラッキングが有効なFWルールが(トラブルシューティングのために一時的に作成されたものであっても)必要です。

別のトラブルシューティング指向の設定として、アップロード/ダウンロードの両方をキャッチするフォールバックDLPルールが推奨されます。これは、モニタリングの目的であり、コンテンツの一致やファイルタイプの指定は行いません。 

It’s also recommended to test using a non-textual file, such as .docx or .pdf, to ensure file type detection problems related to textual files (more on that below).

(1) TLSインスペクション有効(TLSを介したトラフィックの場合)

  • ファイアウォールイベントで確認: 生成されたFWイベントでTLSインスペクションというブールフィールドを確認し、それが1に設定されていることを確認します。 0に設定されている場合、アカウントでTLSインスペクションを設定およびテストするために、以下のガイドラインに従ってください:
    - アカウントのTLSインスペクションポリシーの設定
    - Cato CloudでのTLSインスペクションのテスト 
  • 特定の OS タイプ (Android、Linux、不明な OS) は、TLSインスペクションが行われません。
  • あるネイティブクライアントアプリケーションは、証明書のピン留めに関連する懸念のため、TLS検査の対象にはなりません。 TLS デフォルトのバイパスルールは、CMAで識別できます。
  • QUIC および GQUIC をブロックするために、インターネットファイアウォール ポリシーに高優先度のルールを2つ設定(ルールベースの上位付近)していることを確認してください。TLSインスペクションは、この種のトラフィックでは機能しません:



    特定のリクエストが QUIC プロトコルを使用しているかどうかを確認するには、HAR ファイルを生成し、関連する POST/GET リクエストの「プロトコル」列を確認してください。 リクエストが使用中、QUIC を使用している場合、「h3」、「http/2+quic/46」または同様のものとしてリストされます:

    mceclip0.png

(2) Verify destination application identified by Cato

  • ファイアウォール イベントで確認: 「アプリケーション」イベント項目を確認し、特定されたアプリケーションを検索します。
  • アプリケーションが正しく識別されない場合、以下の条件が満たされていることを確認してください:
    • You are accessing the destination of the application using its hostname instead of directly using the IP address.
      • This step ensures CATO sees the associated DNS query, allowing us to derive the destination's hostname, which is crucial for App detection.
    • 使用中の DNS サーバーに向けられたトラフィックが CATO に認識されるように(例: ソケット LAN インターフェースに到達)されていることを確認してください
  • You can define either a specific application for CASB/DLP policies or select "Any Application" (All HTTP/S application traffic).
    • The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
    • 特定のアプリケーションをクラウドアプリケーションとして追加したい場合には、CATOサポートに RFE (機能拡張リクエスト) チケットを開くことができます。

(3) ファイルサイズの要件を確認

  • DLP (サブタイプ "アプリケーションセキュリティ") イベントで確認: 脅威判定 イベント項目を見て、サイズによるバイパス と設定されているかを確認してください。この値が表示されると、ファイルサイズが必要な最小/最大範囲に収まらないため、コンテンツがスキャンされていないことを示します。
  • インライン DLP 用の最大ファイルサイズは50MB (データ保護 API 用は 500MB)。
    • 通常、以下の手順に従って、内部での gzip の動作を識別できます。
      • ブラウザの開発ツール「ネットワーク」タブを開く
      • ファイルをダウンロードする際、ダウンロードを表すリクエストを見つけます (Google suite においては、ドメイン:*.googleusercontent.com としてフィルタリングすることで特定可能で、以下の画像の青い枠内に表示されます)。
      • 以下の画像の赤枠内にある応答内のContent-Encodingヘッダーを探してください。 それがgzipの場合、内部で圧縮されていることがわかります。
  • DLP OCR プロファイルでサポートされるファイルサイズは10KBから50MBの間です。

(4) ファイルタイプが識別され、DLPにサポートされています

  • DLP(サブタイプ「アプリケーションセキュリティ」)イベントで確認:どのファイルクラスがCATOによって検出されたかを示すファイルタイプフィールドを探してください
  • 値が不明 ファイルタイプの場合、それはCatoがファイルを識別できず、コンテンツスキャンから除外されていることを意味します。
  • Verify the file type is supported for DLP: audio, video, and binary files are not supported.
  • コンテンツタイプを使用してJARファイルを一致させる場合、.JARファイルはZipアーカイブまたはJavaアーカイブ(JAR)ファイルのいずれかである可能性があるため、注意が必要です。 詳細については、データ・コントロール・ルールがソース・コードによるJARファイルマッチで機能しないを参照してください。
  • For DLP OCR Profiles, supported file types include: PNG, JPEG, TIFF, BMP, PNM, WEBP, JPEG

テキストファイル検出の制限

CSV&TXTのようなテキストファイルの検出は、特定の指標が欠如しているため、課題に直面しています。 私たちの検出は、3つの主要な入力に依存しています:

  • Magiclib: ファイルタイプに特有のヘッダー。 例えば、PDFファイルは特有のヘッダー(%PDF-1.5、%µµµµなど)で始まり、強力なファイルタイプの指標として機能します。
  • HTTPプロトコルのヘッダー:「Content-Type」ヘッダーはファイルアップロード中にファイルタイプを示すことができ、例えばExcelファイルのアップロード中にはapplication/vnd.ms-excelが使用されます。
  • ファイル名の拡張子:他の指標が欠如しているか決定的でない場合に使用され、ファイル名が正しく抽出されていることが前提です。

テキストファイルには以下の理由で制限があります:

  • 彼らには、タイプを識別するための独自のマジックヘッダーがありません(CSV、TXT、Pythonスクリプト)。
  • アップロードのためのHTTPプロトコルのリクエスト(例:curl経由)は、ファイルタイプに関する十分なメタデータ("Content-Type" ヘッダーなど)を持たない場合があります。
  • ファイル名がHTTPプロトコルのリクエストに含まれていない可能性があります。

これらの要因は、POST/PUTリクエストの単純なテキスト本体と実際のテキストファイルのアップロードを区別するのを難しくし、DLPがこれらのファイルを見逃す原因となる可能性があります。

DLPの他の既知の制限については、データ制御ポリシーの作成を参照してください。 

(5) DLPプロファイルはスキャンされたコンテンツに一致します

  • このステップは、問題がデータタイプのファイルコンテンツとの一致に起因しているかどうかを特定するのに役立ちます
  •  DLPバリデータツール:テストファイルでデータタイプを検証することは、トラブルシューティングプロセスで重要で有用なステップです。 これにより、DLPルールを現実世界のデータに対して検証する実践的な方法が提供され、問題の識別と修正に効果的な方法として機能します。
    • .csvファイルでキーワードデータタイプを成功裏に検証した例:

      scan-work.png
       
    • 正規表現の検証: カスタムデータタイプで正規表現を使用する際には、正規表現テスターボックスが非常に貴重なものとなります。 それにより、正規表現のパターンをテストして、その精度を検証することができます。 データ漏洩防止システムでの意図しない結果を避けるために、ここで最初にパターンをテストすることが常に推奨されます。



       
    • 抽出されたテキストをエクスポート」オプションは、データ漏洩防止エンジンによってスキャンされたファイルの解析済みテキストデータを確認するのに役立ちます:

      export-text-show.png
       
    • 例えば、ドキュメントに添付された機密ラベルのIDが検出されるかどうかを確認するためには、「抽出されたテキストをエクスポート」オプションで生成された.txtファイルを確認することができます。 以下は、MIPラベルを含む.docxを解析したテキスト結果です: mip-example.png

      mip-example.png

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント