DLPトラブルシューティング

このプレイブックは、アカウントでDLPが期待通りに動作しない場合の問題を解決する手順を説明します。

概要

データ損失防止(DLP)ポリシーの複雑さが予期しない結果を引き起こし、潜在的なセキュリティリスクをもたらす可能性があります。 This might be due to configuration that doesn't align with the requirements, or inaccurately defined custom data type or profile.dd

イベントを使用した初期評価

イベントを使用してデータ損失防止(DLP)イベントをフィルタリングするには、「アプリケーションセキュリティ」プリセットを設定することで達成できます:

preset.png

データ制御ルールに関連するイベントには、トリガーされたDLPプロファイル、一致したデータタイプ、ファイル属性などの知見が含まれます。

これにより、現在トリガーされているものを理解し、さらに自問することができるでしょう '設定に従って予想される結果と一致していますか?'

問題のトラブルシューティング

トラブルシューティングプロセスは順番に設計されており、各ステップが前のステップに基づいています。 前提条件が満たされていない場合、後続のステップはトリガーされません。

注意

注意: 以下のすべてのステップに対する前提条件は、DLPによって検査されることが期待されるトラフィックに一致するイベントトラッキングを有効にしたFWルールを持っていることを確認することです(トラブルシューティングの目的で一時的に作成されたものでも)。

別のトラブルシューティング指向の設定として、アップロード/ダウンロードの両方をキャッチするフォールバックDLPルールが推奨されます。これは、モニタリングの目的であり、コンテンツの一致やファイルタイプの指定は行いません。 

It’s also recommended to test using a non-textual file, such as .docx or .pdf, to ensure file type detection problems related to textual files (more on that below).

(1) TLSインスペクション有効(TLSを介したトラフィックの場合)

  • ファイアウォールイベントで確認: 生成されたFWイベントでTLSインスペクションのブール値フィールドを確認し、それ が1に設定されていることを確認します。 0 に設定されている場合、アカウントで TLSインスペクションを設定およびテストするために、以下のガイドラインに従ってください:
    - アカウントの TLSインスペクション ポリシーの設定
    - Cato Cloud での TLSインスペクションのテスト 
  • 特定の OS タイプ (Android、Linux、不明な OS) は、TLSインスペクションが行われません。
  • ネイティブ クライアント アプリケーションは TLSインスペクションされません - TLSインスペクションは、ウェブアプリケーションでのみトリガーされます(証明書ピンニングの懸念による)。
  • QUIC および GQUIC をブロックするために、インターネットファイアウォール ポリシーに高優先度のルールを2つ設定(ルールベースの上位付近)していることを確認してください。TLSインスペクションは、この種のトラフィックでは機能しません:



    特定のリクエストが QUIC プロトコルを使用しているかどうかを確認するには、HAR ファイルを生成し、関連する POST/GET リクエストの「プロトコル」列を確認してください。 リクエストが使用中、QUIC を使用している場合、「h3」、「http/2+quic/46」または同様のものとしてリストされます:

    mceclip0.png

(2) Verify destination application identified by Cato

  • ファイアウォール イベントで確認: 「アプリケーション」イベント項目を確認し、特定されたアプリケーションを検索します。
  • アプリケーションが正しく識別されない場合、以下の条件が満たされていることを確認してください:
    • You are accessing the destination of the application using its hostname instead of directly using the IP address.
      • This step ensures CATO sees the associated DNS query, allowing us to derive the destination's hostname, which is crucial for App detection.
    • 使用中の DNS サーバーに向けられたトラフィックが CATO に認識されるように(例: ソケット LAN インターフェースに到達)されていることを確認してください
  • You can define either a specific application for CASB/DLP policies or select "Any Application" (All HTTP/S application traffic).
    • The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
    • 特定のアプリケーションをクラウドアプリケーションとして追加したい場合には、CATOサポートに RFE (機能拡張リクエスト) チケットを開くことができます。

(3) ファイルサイズの要件を確認

  • DLP(サブタイプ「アプリケーションセキュリティ」)イベントで確認:脅威判定イベントフィールドを探し、値がサイズによるバイパスに設定されているか確認してください。この値が表示されると、ファイルサイズが必要な最小/最大範囲に収まらなかったため、コンテンツがスキャンされなかったことを示します。
  • Minimum file size is 1KB, and the maximum is 20MB
    • このしきい値は、ファイル転送中のHTTPプロトコル要求/応答に適用されます。 サーバーがアップロード/ダウンロード中にHTTPプロトコル要求/応答を圧縮する場合、1KB以上のファイルがしきい値を満たさないことがあります。
    • 一般的に、以下の手順によってバックグラウンドでのgzipの動作を特定できます。
      • ブラウザの開発ツール「ネットワーク」タブを開く
      • ファイルをダウンロード中に、ダウンロードを表すリクエストを見つけます(Googleスイートでは、ドメイン:*.googleusercontent.com でフィルタリングすることで確認できる可能性が高いです。下の画像の青枠参照)
      • 対応の中でContent-Encodingヘッダーを探します(下の画像の赤枠参照)。 gzipの場合、裏では圧縮されていることがわかります
  • DLP OCR プロファイルでサポートされるファイルサイズは10KBから20MBの間です

(4) ファイルタイプが識別され、DLPにサポートされています

  • DLP(サブタイプ「アプリケーションセキュリティ」)イベントで確認:どのファイルクラスがCATOによって検出されたかを示すファイルタイプフィールドを探してください
  • 値が不明 ファイルタイプの場合、それはCatoがファイルを識別できず、コンテンツスキャンから除外されていることを意味します。
  • Verify the file type is supported for DLP: audio, video, and binary files are not supported.
  • JARファイルのマッチングにコンテンツタイプを使用する際は、.JARファイルがZIPアーカイブまたはJavaアーカイブ(JAR)ファイルのどちらかである可能性があるため、細心の注意が必要です。 詳細については、データ・コントロール・ルールがソース・コードによるJARファイルマッチで機能しないを参照してください。
  • For DLP OCR Profiles, supported file types include: PNG, JPEG, TIFF, BMP, PNM, WEBP, JPEG

テキストファイル検出の制限

CSV&TXTのようなテキストファイルの検出は、特定の指標が欠如しているため、課題に直面しています。 私たちの検出は、3つの主要な入力に依存しています:

  • Magiclib: ファイルタイプに特有のヘッダー。 例えば、PDFファイルは特有のヘッダー(%PDF-1.5、%µµµµなど)で始まり、強力なファイルタイプの指標として機能します。
  • HTTPプロトコルのヘッダー:「Content-Type」ヘッダーはファイルアップロード中にファイルタイプを示すことができ、例えばExcelファイルのアップロード中にはapplication/vnd.ms-excelが使用されます。
  • ファイル名の拡張子:他の指標が欠如しているか決定的でない場合に使用され、ファイル名が正しく抽出されていることが前提です。

テキストファイルには以下の理由で制限があります:

  • 彼らには、タイプを識別するための独自のマジックヘッダーがありません(CSV、TXT、Pythonスクリプト)。
  • アップロードのためのHTTPプロトコルのリクエスト(例:curl経由)は、ファイルタイプに関する十分なメタデータ("Content-Type" ヘッダーなど)を持たない場合があります。
  • ファイル名がHTTPプロトコルのリクエストに含まれていない可能性があります。

これらの要因は、POST/PUTリクエストの単純なテキスト本体と実際のテキストファイルのアップロードを区別するのを難しくし、DLPがこれらのファイルを見逃す原因となる可能性があります。

DLPの他の既知の制限については、データ制御ポリシーの作成を参照してください。 

(5) DLPプロファイルはスキャンされたコンテンツに一致します

  • このステップは、問題がデータタイプのファイルコンテンツとの一致に起因しているかどうかを特定するのに役立ちます
  •  DLPバリデータツール:テストファイルでデータタイプを検証することは、トラブルシューティングプロセスで重要で有用なステップです。 これにより、DLPルールを現実世界のデータに対して検証する実践的な方法が提供され、問題の識別と修正に効果的な方法として機能します。
    • .csvファイルでキーワードデータタイプを成功裏に検証した例:

      scan-work.png

    • 正規表現の検証: カスタムデータタイプで正規表現を使用する際には、正規表現テスターボックスが非常に貴重なものとなります。 それにより、正規表現のパターンをテストして、その精度を検証することができます。 データ漏洩防止システムでの意図しない結果を避けるために、ここで最初にパターンをテストすることが常に推奨されます。




    • 抽出されたテキストをエクスポート」オプションは、データ漏洩防止エンジンによってスキャンされたファイルの解析済みテキストデータを確認するのに役立ちます:

      export-text-show.png

    • 例えば、ドキュメントに添付された機密ラベルのIDが検出されるかどうかを確認するためには、「抽出されたテキストをエクスポート」オプションで生成された.txtファイルを確認することができます。 以下は、MIPラベルを含む.docxを解析したテキスト結果です: mip-example.png

      mip-example.png

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント