この記事は、DLPポリシー違反イベントからフォレンジック証拠を表示する方法を説明します。
DLPポリシー違反を調査するために、Cato管理画面(CMA)で違反証拠を安全に表示できます。 これによりセキュリティチームはインシデントの文脈を迅速に理解し、潜在的なデータ露出を評価し、偽陽性を検証し、DLPポリシーを自信を持って微調整できます。
DLPポリシーイベントが生成されると、証拠ファイルは暗号化され、設定されたセキュアストレージの宛先に送信されます。 データ露出を最小限に抑え、規制要件への準拠を維持するために、これらのファイルは関連する権限を持つ管理者による要求でのみ表示できます。
注意: 画像ファイルタイプはサポートされていません
営業担当者が顧客に返金処理を行う必要があります。 彼らはSlackでマネージャーにメッセージを送り、顧客の住所を含む返金の承認を求めます。 PIIを検出するよう設定されたDLPルールが顧客の住所を特定し、メッセージをブロックし、イベントをトリガーします。 Slackメッセージは暗号化され、証拠としてAmazon S3バケットに安全に保存されます。
フォレンジック証拠を表示する権限を持つセキュリティアナリストがイベントの調査を開始します。 調査の一環として、Slackの会話を安全に表示し、PIIデータが露出されたことを確認します。
ポリシー違反が発生したことを確信を持って確認することで、セキュリティアナリストは関係する従業員に連絡し、会社のデータ保護ポリシーについて教育することができます。
フォレンジック証拠を表示するには次のことが必要です。
- 証拠を安全に保管するためのオプションを有効にする
- フォレンジック証拠設定を設定する
- 証拠を表示できる管理者に権限を提供する
フォレンジック証拠は、選択したストレージの宛先にCato外部に保存されます。 証拠ストレージを有効にするには、Catoとサポート対象のストレージサービスとの間に統合を作成する必要があります。 この統合により、DLPポリシーがトリガーされたときにCatoが暗号化された証拠ファイルを指定のストレージに安全に書き込むことができます。 統合の設定に関するステップバイステップの指示については、以下のリンクを参照してください。 サポートされているストレージサービスは次のとおりです。
フォレンジック証拠の保存を開始するには、CMAでこの機能を有効にする必要があります。 証拠のスニペットのみを表示するか、調査中に元のファイルを保存してダウンロード可能にすることを選択できます。
注意: すべてのフォレンジック証拠は常に暗号化されており、暗号化された証拠を設定された宛先に保存 チェックボックスを解除することはできません。
DLPフォレンジック 権限を持つ管理者のみがイベント内でフォレンジック証拠を表示できます。 この権限を既存のカスタム役割に追加するか、新しいカスタム役割を作成して関連する管理者に適用することができます。 役割と権限の詳細については、RBACを使用した管理者の役割の管理を参照してください。
フォレンジック証拠はDLPルールが違反された後に生成されたイベントから、データインシデント パネルで利用可能です。
注意: イベントが生成された後、ファイルがダウンロード可能になるまでに数分かかることがあります。
フォレンジック証拠を表示するには:
- ナビゲーションメニューから、セキュリティ> データ保護をクリックして、データ保護ダッシュボードを表示します。
-
トップ違反ルールで、調査したいルールをクリックします。
イベントページが表示され、このルールによって生成されたイベントの定義済みフィルターが適用されます。 詳細については、ネットワークでのイベント分析を参照してください。
-
イベントを展開し、証拠 フィールドで、フォレンジックを表示をクリックします。
データインシデント パネルが開きます。
-
フォレンジック セクションで、証拠を表示 をクリックし、ポップアップボックスで確認 をクリックします。
フォレンジック証拠がスニペットとして表示されます。 完全なファイルにアクセスするには、ファイルをダウンロードをクリックします。 ステップ2で一致した場合に元のファイルを保存 チェックボックスがオフになっていると、このオプションはグレーアウトされます。
0件のコメント
記事コメントは受け付けていません。