이 플레이북에서는 계정에서 데이터 유출 방지(DLP)가 예상대로 작동하지 않을 때 문제를 해결하는 단계를 설명합니다.
개요
데이터 유출 방지(DLP) 정책의 복잡성은 예상치 못한 결과를 초래할 수 있으며, 잠재적인 보안 위험을 초래합니다. This might be due to configuration that doesn't align with the requirements, or inaccurately defined custom data type or profile.dd
이벤트를 사용한 초기 평가
이벤트를 사용하여 데이터 유출 방지(DLP) 이벤트를 필터링하려면 "앱 보안" 프리셋을 설정해야 합니다:
데이터 제어 규칙과 연관된 이벤트에는 트리거된 데이터 유출 방지 프로필, 데이터 유형 일치, 파일 속성 등의 유용한 정보가 포함됩니다.
이것은 현재 무엇이 트리거되고 있는지 이해할 수 있도록 하며, 구성에 따라 내가 예상했던 결과와 일치하는지 자문할 수 있게 합니다 '결과가
문제 해결
문제 해결 과정은 순차적으로 설계되어 있으며, 각 단계가 이전 단계를 기반으로 구축됩니다. 이전 요구사항이 충족되지 않으면 후속 단계가 트리거되지 않습니다.
참고
참고: 아래 모든 단계의 요구 사항은 DLP에 의해 검사될 것으로 예상되는 트래픽과 일치하는 이벤트 추적이 활성화된 FW 규칙을 보유하는 것입니다(문제 해결을 위해 일시적으로 생성되었을 수도 있음).
문제 해결을 위한 또 다른 구성은 콘텐츠 일치나 파일 유형 지정 없이 모니터링 목적으로 업로드/다운로드 모두를 포착하는 대체 DLP 규칙입니다.
It’s also recommended to test using a non-textual file, such as .docx or .pdf, to ensure file type detection problems related to textual files (more on that below).
(1) TLS 검사 활성화됨 (TLS 트래픽의 경우)
-
방화벽 이벤트에서 확인: 생성된 FW 이벤트에서 TLS 검사 불리언 필드를 확인하여 그 값이 1로 설정되어 있는지 확인합니다. 값이 0으로 설정된 경우, 다음 문서의 지침을 따라 계정에서 TLS 검사를 구성하고 테스트하는지 확인하세요:
- Configuring TLS Inspection Policy for the Account
- Testing TLS Inspection in the Cato Cloud - 특정 운영 체제 유형(Android, Linux, 알 수 없는 OS)은 TLS 검사를 받지 않습니다.
- 일부 네이티브 클라이언트 애플리케이션은 인증서 핀닝 문제로 인해 TLS 검사가 수행되지 않습니다. CMA에서 TLS 기본 우회 규칙을 식별할 수 있습니다.
- 인터넷 방화벽 정책이 QUIC 및 GQUIC을 차단하기 위해 규칙 베이스 상단에 가까운 높은 우선순위의 두 규칙을 포함하는지 확인하세요, 왜냐하면 TLS 검사는 이 유형의 트래픽에서 작동할 수 없습니다:
특정 요청이 QUIC 프로토콜을 사용하거나 아닌지를 확인하려면 HAR 파일을 생성하고 관련 POST/GET 요청의 "프로토콜" 열을 검사하세요. QUIC를 사용하는 요청은 "h3", "http/2+quic/46" 또는 유사하게 나열될 것입니다:
(2) Verify destination application identified by Cato
- 방화벽 이벤트에서 확인: "애플리케이션" 이벤트 필드를 살펴보고 식별된 애플리케이션을 검색하세요.
- 애플리케이션이 제대로 식별되지 않은 경우, 다음이 모두 사실인지 확인하세요:
- You are accessing the destination of the application using its hostname instead of directly using the IP address.
- This step ensures CATO sees the associated DNS query, allowing us to derive the destination's hostname, which is crucial for App detection.
- 목적지 애플리케이션의 호스트 이름을 해석하기 위해 사용하는 DNS 서버로 가는 트래픽이 CATO에서 볼 수 있도록 하십시오(예: 소켓 LAN 인터페이스에 도달)
- You are accessing the destination of the application using its hostname instead of directly using the IP address.
- You can define either a specific application for CASB/DLP policies or select "Any Application" (All HTTP/S application traffic).
- The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
- 특정 애플리케이션을 클라우드 애플리케이션으로 추가하고자 하는 경우, CATO 지원팀을 통해 RFE(엔드포인트 보호 요청) 티켓을 열 수 있습니다.
- The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
(3) 파일 크기 요구 사항 확인
- DLP(하위 유형 "앱 보안") 이벤트에서 확인: 위협 판결 이벤트 필드를 찾고 값이 크기에 의한 우회로 설정되었는지 확인합니다. 이 값을 보면 파일 크기가 필요한 최소/최대 범위에 포함되지 않아 내용이 스캔되지 않았음을 나타냅니다.
- 인라인 DLP의 최대 파일 크기는 50MB이고, 데이터 보호 API의 최대 파일 크기는 500MB입니다.
- 일반적으로, 아래 단계에 따라 배경에 있는 gzip 동작을 식별할 수 있습니다.
- 브라우저 개발 도구, "연결성" 탭 열기
- 파일을 다운로드할 때, 다운로드를 나타내는 요청을 발견합니다(구글 스위트에서는 주로 도메인:*.googleusercontent.com을 필터링하여 식별할 수 있으며, 아래 이미지의 파란색 프레임에 표시됨).
- 콘텐츠 인코딩 헤더를 응답에서 찾아보세요 (아래 이미지의 빨간 프레임). 만약 그것이 gzip이라면, 내부에서 압축이 있는 것으로 감지할 수 있습니다.
- 일반적으로, 아래 단계에 따라 배경에 있는 gzip 동작을 식별할 수 있습니다.
- DLP OCR 프로필 지원 파일 크기는 10KB에서 50MB 사이입니다
(4) 파일 유형이 식별 + DLP에 지원됨
- DLP(서브 유형 "앱 보안") 이벤트에서 확인하십시오: CATO가 감지한 파일 종류를 나타내는 파일 유형 필드를 찾습니다
- 값이 알 수 없는 파일 유형이라면 CATO가 파일을 식별하지 못함을 의미하며, 콘텐츠 스캔에서 제외되었습니다.
- Verify the file type is supported for DLP: audio, video, and binary files are not supported.
- JAR 파일을 콘텐츠 유형으로 일치시킬 때 주의를 기울여야 합니다. 왜냐하면 .JAR 파일은 Zip 아카이브 또는 Java 아카이브(JAR) 파일일 수 있기 때문입니다. 자세한 사항은 소스 코드로 일치시킬 때 JAR 파일에 데이터 제어 규칙이 작동하지 않음을 참조하십시오.
- For DLP OCR Profiles, supported file types include: PNG, JPEG, TIFF, BMP, PNM, WEBP, JPEG
텍스트 파일 감지 제약사항
텍스트 파일 감지, 예: CSV 및 TXT는 특정 지표 부재로 인해 도전 과제에 직면합니다. 우리의 감지는 세 가지 주요 입력에 의존합니다:
- Magiclib: 파일 유형에 독특한 파일 헤더. 예를 들어, PDF 파일은 특유의 헤더(%PDF-1.5, %µµµµ 등)로 시작하여 강력한 파일 유형을 나타냅니다.
- HTTP 헤더: 파일 업로드 시 "Content-Type" 헤더는 파일 유형을 나타낼 수 있으며, 예를 들어, 엑셀 파일 업로드 시 application/vnd.ms-excel 로 설정됩니다.
- 파일 이름 확장자: 다른 지표가 없거나 확정적이지 않을 때 사용하며, 파일 이름이 올바르게 추출되었음을 전제로 합니다.
텍스트 파일에는 다음과 같은 제한이 있습니다:
- (CSV, TXT, Python 스크립트)와 같이 특정 유형을 구분하는 고유한 매직 헤더가 없습니다.
- HTTP 요청(예: curl을 통한 업로드)는 파일 유형에 대한 충분한 메타데이터(예: "Content-Type" 헤더)가 없을 수 있습니다.
- 파일 이름이 HTTP 요청에 포함되지 않을 수 있습니다.
- 이벤트에서 파일 이름이 누락된 경우, 지원 문의하기
이러한 요인들은 POST/PUT 요청의 간단한 텍스트 본문과 실제 텍스트 파일 업로드를 구별하기 어렵게 만들 수 있으며, 잠재적으로 DLP가 이러한 파일을 놓칠 수 있습니다.
DLP의 다른 알려진 제한사항에 대해서는 데이터 제어 정책 생성을 참조하십시오.
(5) DLP 프로필이 스캔된 콘텐츠와 일치합니다
- 이 단계는 데이터 유형이 파일의 내용과의 정렬 문제인지 여부를 확인하는 데 도움을 줍니다
- DLP 검증 도구: 테스트 파일을 사용하여 데이터 유형을 검증하는 것은 문제 해결 과정에서 필수적이고 유익한 단계입니다. 실제 데이터에 대해 DLP 규칙을 검증하는 실질적인 방법을 제공하여 문제를 식별하고 수정하는데 효과적인 방법입니다.
- 키워드 데이터 유형이 .csv 파일에서 성공적으로 검증된 사례:
-
정규 표현식 검증: 정규 표현식을 사용하는 사용자 정의 데이터 유형을 사용할 때, 정규 표현식 테스트 박스는 귀중한 자산이 됩니다. 정규 표현식 패턴을 테스트하고 정확성을 검증할 수 있습니다. DLP 시스템에서 원하지 않는 결과를 피하기 위해 먼저 이곳에서 패턴을 테스트하는 것이 항상 권장됩니다.
- "추출된 텍스트 내보내기" 옵션은 DLP 엔진이 스캔한 파일의 파싱된 텍스트 데이터를 검토할 때 유용할 수 있습니다:
- 예를 들어, 문서에 첨부된 민감도 라벨 ID가 감지되는지 확인하려면 "추출된 텍스트 내보내기" 옵션으로 생성된 .txt 파일을 검토하면 됩니다. 아래는 MIP 라벨이 포함된 .docx 파일을 파싱한 텍스트 결과입니다: mip-example.png
- 키워드 데이터 유형이 .csv 파일에서 성공적으로 검증된 사례:
댓글 0개
댓글을 남기려면 로그인하세요.