Este artigo explica como visualizar evidências forenses de eventos de violação de política de DLP.
Para investigar violações de política de DLP, você pode visualizar com segurança as evidências de violação diretamente no Aplicativo de Gerenciamento Cato (CMA). Isso permite que as equipes de segurança compreendam rapidamente o contexto de um incidente, avaliem a exposição potencial de dados, validem falsos positivos e ajustem finamente as políticas de DLP com confiança.
Quando um evento de política de DLP é gerado, os arquivos de evidência são criptografados e enviados para um destino de armazenamento seguro configurado. Para minimizar a exposição de dados e garantir conformidade com os requisitos regulatórios, esses arquivos só podem ser visualizados mediante solicitação por administradores com as permissões relevantes.
Nota: Tipos de imagem não são suportados
Um representante de vendas precisa processar um reembolso para um cliente. Eles enviam uma mensagem no Slack para seu gerente aprovar o reembolso que inclui o endereço do cliente. Uma regra de DLP configurada para detectar PII identifica o endereço do cliente, bloqueia a mensagem e aciona um evento. As mensagens do Slack são criptografadas e armazenadas com segurança em um bucket Amazon S3 como evidência.
Um analista de segurança, com permissão para visualizar evidências forenses, começa a investigar o evento. Como parte da investigação, eles visualizam com segurança a conversa do Slack e confirmam que dados PII foram expostos.
Ao confirmar com certeza que uma violação de política ocorreu, o analista de segurança pode entrar em contato com os funcionários envolvidos e educá-los sobre a política de proteção de dados da empresa.
Para habilitar que as evidências forenses sejam visualizadas, você precisa:
- Ativar sua opção preferida para o armazenamento seguro das evidências
- Configurar as configurações de evidências forenses
- Conceder permissões para o Admin que pode visualizar a evidência
As evidências forenses são armazenadas externamente ao Cato em um destino de armazenamento que você escolhe. Para habilitar o armazenamento de evidências, você deve criar uma integração entre o Cato e o serviço de armazenamento suportado. Esta integração permite que o Cato escreva com segurança arquivos de evidências criptografados quando uma política de DLP é acionada no seu armazenamento designado. Para instruções passo a passo sobre como configurar a integração, veja o link abaixo. Os serviços de armazenamento suportados são:
Para começar a armazenar evidências forenses, você precisa habilitar a funcionalidade no CMA. Você também pode optar por apenas exibir um snippet da evidência ou permitir que o arquivo original seja armazenado e esteja disponível para download durante uma investigação.
Nota: Todas as evidências forenses são sempre criptografadas, não é possível desmarcar a caixa de seleção Criptografar evidências armazenadas no destino configurado
Para configurar evidências forenses:
- No menu de navegação, clique em Segurança > Tipos de Dados & Perfis.
- Na aba Configurações, habilite o botão de Armazenar Evidências de DLP.
- Para permitir que o arquivo original da evidência seja baixado de um evento, selecione a caixa Armazenar arquivos originais após correspondência. Se esta opção não for marcada, apenas um snippet da evidência estará disponível durante uma investigação.
- Escolha o local onde a evidência será armazenada.
- Clique em Salvar.
Somente Administradores com a permissão de DLP Forensics podem visualizar evidências forenses dentro de um evento. Você pode adicionar essa permissão a funções personalizadas existentes ou criar uma nova função personalizada e aplicá-la ao administrador relevante. Para mais informações sobre Funções & Permissões, consulte Managing Admin Roles Using RBAC.
Evidências forenses estão disponíveis no painel Incidente de Dados, disponível a partir do evento que foi gerado após uma regra de DLP ter sido violada.
Nota: Após um evento ser gerado, pode levar alguns minutos para que o arquivo esteja disponível para download.
Para visualizar evidências forenses:
- No menu de navegação, clique em Segurança > Proteção de Dados para visualizar o Painel de Controle de Proteção de Dados.
-
No Principais Regras Violadas, clique na regra que deseja investigar.
A página de Eventos é exibida com um filtro predefinido dos eventos gerados por esta regra. Para Mais Informações, consulte Analisando Eventos na Sua Rede.
-
Expanda o evento e no campo Evidência, clique em Visualizar Forenses.
O painel Incidente de Dados é aberto.
-
Na seção Forenses, clique em Visualizar Evidência, e na caixa pop-up, clique em Confirmar.
A evidência forense é exibida no snippet. Para acessar o arquivo completo, clique em Baixar Arquivo. Esta opção fica desabilitada se a caixa de seleção Armazenar arquivos originais após correspondência não foi marcada na Etapa 2.
0 comentário
Artigo fechado para comentários.