이 기사에서는 DLP 정책 위반 이벤트로부터 포렌식 증거를 보는 방법을 설명합니다.
DLP 정책 위반을 조사하려면 Cato 관리 애플리케이션(CMA)에서 위반 증거를 안전하게 보실 수 있습니다. 이는 보안 팀이 사건의 맥락을 빠르게 이해하고, 잠재적인 데이터 노출을 평가하며, 오탐을 확인하고, DLP 정책을 신뢰할 수 있게 미세 조정하는 데 도움이 됩니다.
DLP 정책 이벤트가 생성되면 증거 파일들이 암호화되어 구성된 안전한 저장소 목적지로 전송됩니다. 데이터 노출을 최소화하고 규제 요구사항을 준수하기 위해, 이러한 파일들은 관련 권한을 가진 관리자에 의해 요청 시에만 보일 수 있습니다.
참고: 이미지 파일 유형은 지원되지 않습니다
영업 사원이 고객에게 환불을 처리해야 합니다. 그들은 고객의 주소가 포함된 환불 승인을 위해 관리자에게 Slack 메시지를 보냅니다. PII를 감지하도록 구성된 DLP 규칙이 고객의 주소를 식별하고, 메시지를 차단하며 이벤트를 트리거합니다. Slack 메시지들은 암호화되어 증거로 Amazon S3 버킷에 안전하게 저장됩니다.
포렌식 증거를 볼 권한이 있는 보안 분석가가 이벤트를 조사하기 시작합니다. 조사의 일환으로, 그들은 Slack 대화 내용을 안전하게 보고 PII 데이터가 노출되었음을 확인합니다.
정책 위반이 발생했음을 확실히 확인함으로써, 보안 분석가는 관련 직원들과 연락하여 회사의 데이터 보호 정책에 대해 교육할 수 있습니다.
포렌식 증거를 보려면 다음을 수행해야 합니다:
- 증거의 안전한 저장을 위한 선호하는 옵션을 활성화하십시오
- 포렌식 증거 설정 구성
- 증거를 볼 수 있는 관리자에 대한 권한 제공
포렌식 증거는 Cato 외부의 선택한 저장 목적지에 저장됩니다. 증거 저장을 활성화하려면 Cato와 지원되는 저장 서비스 간에 통합을 만들어야 합니다. 이 통합은 DLP 정책이 트리거될 때 Cato가 암호화된 증거 파일을 사용자가 지정한 저장소에 안전하게 기록할 수 있도록 합니다. 통합을 구성하는 단계별 지침은 아래 링크를 참조하십시오. 지원되는 저장 서비스는 다음과 같습니다:
포렌식 증거 저장을 시작하려면 CMA에서 기능을 활성화해야 합니다. 증거의 일부만 표시하거나 조사 동안 원본 파일을 저장하고 다운로드할 수 있도록 선택할 수 있습니다.
참고: 모든 포렌식 증거는 항상 암호화되어 있으며, 구성된 목적지에 저장된 증거 암호화 체크박스를 선택 취소할 수 없습니다.
DLP 포렌식 권한이 있는 관리자만 이벤트 내에서 포렌식 증거를 볼 수 있습니다. 이 권한을 기존 사용자 정의 역할에 추가하거나 새로운 사용자 정의 역할을 만들어 관련 관리자에게 적용할 수 있습니다. 역할 및 권한에 대한 자세한 정보는 RBAC을 사용하여 관리자 역할 관리를 참조하십시오.
포렌식 증거는 데이터 사건 패널에서 사용할 수 있으며, DLP 규칙을 위반한 후 생성된 이벤트에서 사용할 수 있습니다.
참고: 이벤트가 생성된 후 파일을 다운로드할 수 있게 되기까지 몇 분이 걸릴 수 있습니다.
포렌식 증거를 보려면:
- 네비게이션 메뉴에서 클릭 보안 > 데이터 보호하여 데이터 보호 대시보드를 봅니다.
-
가장 많이 위반된 규칙에서 조사할 규칙을 클릭하십시오.
이벤트 페이지는 이 규칙으로 생성된 이벤트의 사전 정의된 필터로 표시됩니다. 자세한 정보는 네트워크에서 이벤트 분석을 참조하십시오.
-
이벤트를 확장하고 증거 필드에서 클릭 포렌식 보기.
데이터 사건 패널이 열립니다.
-
포렌식 섹션에서 클릭 증거 보기 그리고 팝업 상자에서 클릭 확인.
포렌식 증거는 스니펫에 표시됩니다. 전체 파일을 보려면 클릭 파일 다운로드. 이 옵션은 2단계에서 일치 시 원본 파일 저장 체크박스를 선택 취소했을 때 회색으로 표시됩니다.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.