Criando a Política de Controle de Dados

Este artigo discute como usar a página de Controle de Aplicativos para configurar a política de Controle de Dados de Prevenção de Perda de Dados (DLP) para sua conta.

Visão Geral da Política de Controle de Dados

A política de Controle de Dados permite definir regras para inspecionar como os dados e conteúdos são transferidos e movidos dentro e fora da sua organização. A página de Controle de Aplicativos suporta três tipos de regras: Controle de Aplicativo CASB, Controle de Tipo de Arquivo e Controle de Dados DLP. As regras de Controle de Dados contêm Configurações adicionais para inspeção de conteúdo, incluindo:

Atributos de Arquivo - Suporta mais de 40 tipos de arquivos diferentes em várias categorias, incluindo: Microsoft Office, executáveis e código fonte. Além disso, você pode refinar a regra para corresponder apenas a um intervalo específico de tamanhos de arquivo, ou configurar a regra para corresponder a arquivos criptografados.
Perfis de Conteúdo DLP - Estes perfis podem definir a inspeção de conteúdo baseada em mais de 350 tipos de dados em mais de 30 países e idiomas, incluindo: PII, dados financeiros e médicos.

A política de Controle de Aplicativos é um conjunto de regras ordenado que permite definir Atividades e Critérios necessários para Aplicações e Categorias. Cada regra define uma Aplicação ou uma Categoria. Uma vez que uma regra coincide com o tráfego, as regras de menor Prioridade (abaixo da regra coincidente) não são aplicadas ao tráfego.

A regra final no conjunto de regras é uma regra implícita de permitir Qualquer Qualquer, então, se uma conexão não corresponder a uma regra, ela é permitida pela regra implícita final.

Proteção DLP para Arquivos Criptografados

O motor DLP tem a capacidade de identificar e bloquear arquivos criptografados com uma senha. Isso pode ajudar a proteger suas informações, impedindo que os usuários façam upload ou download de dados sensíveis ocultos em arquivos protegidos por senha. O motor DLP não escaneia o conteúdo do arquivo criptografado, mas o identifica como criptografado e aplica a Ação da Regra correspondente. Como o motor não escaneia o conteúdo do arquivo, a Ação da Regra é aplicada a todos os arquivos criptografados, independentemente de quaisquer Perfis de Conteúdo configurados na regra. Você pode definir regras para permitir ou bloquear arquivos criptografados, de acordo com as necessidades da sua organização.

Os arquivos criptografados detectados pelo motor DLP incluem arquivos protegidos por senha dos seguintes tipos: Word, Excel, PowerPoint, ZIP e PDF

Revisões de Política e Edição Conjunta por Vários Administradores

A Política de Controle de Dados permite que diferentes administradores editem a política em paralelo. Cada administrador pode editar regras e salvar as alterações na base de regras em sua própria revisão privada e, em seguida, publicá-las na política da conta (a revisão publicada). Para mais informações sobre como gerenciar revisões de políticas, consulte Trabalhando com Revisões de Políticas.

Pré-requisitos

As Regras de Controle de Dados exigem que a Inspeção TLS esteja habilitada para inspecionar o conteúdo.
- A política de Inspeção TLS granular da Cato permite criar regras que apenas inspecionam o tráfego relevante para uma regra de Controle de Dados.
A política de Controle de Aplicativos está incluída na Licença CASB. Habilitar as Regras de Controle de Dados na política de Controle de Aplicativos também requer a Licença DLP.

Para mais informações sobre a compra das licenças mencionadas acima, entre em contato com seu representante da Cato.

Limitações Conhecidas

Para informações sobre os requisitos do arquivo, veja O que é o Serviço DLP da Cato?
O motor DLP ignora um arquivo se a inspeção demorar mais de 10 segundos.
Ao usar o Microsoft Copilot, o DLP só suporta uploads de arquivos, e não prompts.
Estes aplicativos não são suportados para inspeção de conteúdo com regras de Controle de Dados:
- Bitbucket
- GitHub
- WhatsApp

Compreendendo o DLP na Base de Regras de Proteção em Linha de Aplicativos e Dados

Use as regras de Controle de Dados na página de Controle de Aplicativo para implementar a Política de DLP de sua empresa e definir o conteúdo que é bloqueado pela pilha de segurança na Nuvem Cato. Esta seção descreve os campos e configurações que são específicos para as regras de Controle de Dados. Para mais informações sobre regras e configurações que também são relevantes para regras de Controle de Aplicativo, consulte Gerenciamento da Política de Controle de Aplicativo.

Item	Descrição
1	Ativar ou desativar as regras de Controle de Aplicativos na política
2	Ativar ou desativar as regras de Controle de Dados na política
3	Criar uma nova regra de Controle de Aplicativo ou Controle de Dados
4	Ícone que mostra o tipo de regra: Regra de Controle de Dados Regra de Controle de Aplicativos
5	Criteria column shows the DLP Content Profiles that match this rule Os Perfis de Conteúdo DLP são configurados em Segurança > Perfis DLP

Configurações de Regras de Controle de Dados

Uma Regra de Controle de Dados tem as seguintes seções:

Geral - Nome e gravidade que você escolhe para atribuir à regra. Também permite que você ative ou desative a regra.
Aplicação - Aplicação predefinida, categoria, aplicação personalizada ou Aplicativo Autorizado que corresponde a essa regra. Somente os aplicativos suportados aparecem na lista de aplicações predefinidas.
Atividades - Para regras de Controle de Dados, as atividades são simplificadas para facilitar a implementação da Política de DLP. Selecione se a regra é para tráfego de upstream e/ou downstream.
- Para aplicativos, selecione a atividade correspondente à qual a ação é aplicada. Para mais informações, veja O que é o Serviço DLP da Cato?.
  
  Nota
  
  Nota: Para regras de aplicação, você deve habilitar a Inspeção TLS para inspecionar o tráfego que corresponde à regra.
- Para categorias, selecione a atividade ou critério correspondente ao qual a ação é aplicada.
Você deve definir uma atividade para cada regra.
Atributos de Arquivo - Defina o tipo de conteúdo e tamanho do arquivo para os dados que correspondem a essa regra, e se há uma relação E ou OU entre os itens.
- Tipo de Conteúdo - O menu suspenso mostra todos os tipos de conteúdo de arquivo suportados com extensões de arquivo e exemplos
- Tamanho do Conteúdo - Para mais informações, veja O que é o Serviço DLP da Cato?
- Conteúdo Criptografado - A Ação da Regra é aplicada a todos os Arquivos Criptografados. O conteúdo de arquivos criptografados não pode ser escaneado pelo motor DLP.
Perfis DLP - O motor DLP pode identificar mais de 350 tipos de dados, veja Criando Perfis de Conteúdo DLP. Você pode configurar o perfil com uma relação E ou OU entre os tipos de dados.
Métodos de Acesso - Requisitos para os agentes de usuário em hosts e dispositivos que podem conectar-se à sua conta.
Fonte - Fonte do Tráfego para esta Regra.
- Você pode configurar a Fonte para um País para criar uma regra que aplica o tráfego originado nesse país, com base na geolocalização IP
- Para informações sobre outros itens de Fonte para uma regra, consulte Referência para Objetos de Regra
Tempo - Defina o período de tempo em que a regra está ativa.
Ações - Aplique a ação especificada ao tráfego que corresponde à regra. Também defina as opções de rastreamento para eventos e notificações por email.

Configurando as Regras de Controle de Dados

Crie uma nova Regra de Controle de Dados e configure as configurações da regra para implementar a Política de Controle de Dados DLP para sua organização.

As opções de Tempo definem o intervalo de tempo em que a regra está habilitada. Você pode configurar opções personalizadas para uma regra, ou escolher as horas de trabalho padrão definidas para a conta.

Para criar uma nova Regra de Controle de Dados:

No menu de navegação, selecione Segurança > Aplicativo & Dados em Linha.
Certifique-se de que o Controle de Dados esteja ativado (verde está ativado, cinza está desativado).
Clique em Novo > Regra de Controle de Dados.

O painel Regra de Controle de Dados é aberto.
Expandir a seção Geral e configurar estas configurações:
1. Digite um Nome para a regra.
2. Ative ou desative a regra usando o controle deslizante (verde está ativado, cinza está desativado).
3. Selecione a Gravidade.
  
  A Gravidade é utilizada nos eventos e análises de monitoramento para esta regra.
Na seção Aplicação, selecione Qualquer Aplicação, ou você pode escolher limitar a inspeção de conteúdo para uma aplicação ou categoria específica.
- Quando você seleciona Qualquer Aplicação para uma regra, a regra é aplicada a todo o tráfego de aplicações HTTP/S, incluindo tanto o tráfego da Internet quanto o tráfego da WAN. Quando você seleciona Qualquer Aplicação para uma regra, as regras são aplicadas tanto para aplicações em nuvem quanto para tráfego de aplicações na WAN.
Expanda a seção Atividades e configure estas configurações:
1. Clique em Adicionar Atividade e selecione o item para a regra.
2. Quando houver vários itens na seção Atividades, no menu suspenso Satisfazer, defina a relação entre os itens:
  - Qualquer (OU) - Se qualquer dos itens corresponder ao tráfego, então a regra é aplicada
  - Todos (E) - Se todos os itens corresponderem ao tráfego, então a regra é aplicada
Na seção Atributos de Arquivo, você pode optar por inspecionar apenas o conteúdo para tipos específicos de arquivo e tamanhos de arquivo.

Se você não configurar nenhuma configuração de Atributo de Arquivo, então todos os tipos e tamanhos de arquivo suportados são inspecionados.
1. Clique em Adicionar Atributo de Arquivo e selecione Tipo de Conteúdo, Tamanho de Conteúdo ou Conteúdo Criptografado.
2. Defina as configurações para o item Atributo de Arquivo.
3. Para múltiplos itens, defina a relação entre os itens (veja acima 6b).
Na seção Perfis de DLP, você pode adicionar perfis de Inspeção de Conteúdo existentes e definir os tipos de dados que correspondem a esta regra.

Se houver vários Perfis de DLP para uma regra, há uma relação E entre eles.
Expanda a seção Métodos de Acesso e defina os requisitos do agente de usuário.

Se houver vários itens, há uma relação E entre eles.
Expanda a seção Origem e selecione um ou mais objetos para a fonte de tráfego para esta regra (ou você pode inserir um endereço IP).

Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Qualquer). O valor padrão é Qualquer.
(Opcional) Expanda a seção Tempo e defina quando a regra está ativa.

Selecione Sem restrição de tempo para definir a regra como sempre ativa.
Expanda a seção Ações e configure estas configurações:
1. Selecione a Ação para esta regra. As opções são Permitir, Bloquear e Monitorar.
2. (Opcional) Configurar opções de Rastreamento para gerar Eventos e Enviar Notificação. A frequência inicia a contagem após a primeira notificação ser enviada.
  
  Para mais informações sobre notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alertas na Alertas seção.
Clique em Aplicar.

Configurando o Modo de Falha DLP

Habilitar ou desabilitar a configuração DLP Fail Close. Quando ativado, a política de Controle de Dados aplica uma ação padrão de Bloquear quando uma verificação de arquivo atinge o tempo limite ou não pode ser concluída devido a outros problemas. Por padrão, a configuração DLP Fail Close está desativada. Para mais sobre o modo de Falha do DLP, veja O que é o Serviço DLP da Cato?.

Para definir o modo DLP Fail:

No menu de navegação, selecione Segurança > Tipos de Dados & Perfis, e na guia Configurações selecione Geral.
Clique para ativar (verde) a configuração de DLP Fail Close para a conta.
Clique em Salvar. A configuração Ativando o DLP Fail Close é aplicada à conta.

Analisando Eventos de Controle de Dados

A página de Eventos mostra todos os eventos de Controle de Dados para a sua conta. Esses eventos de Segurança são do Subtipo, Segurança de Aplicativos.

Você pode aprender mais sobre o uso da página de Eventos aqui.

Estes são os campos que estão unicamente relacionados ao Controle de Aplicativos:

Nome do campo	Descrição
DLP Profiles	Perfis de Conteúdo DLP que corresponderam a esta conexão
Nome do Arquivo	Nome do arquivo que foi escaneado pelo motor DLP
Tamanho do Arquivo	Tamanho do arquivo (em bytes) que foi escaneado pelo motor DLP
Tipo de Arquivo	Tipo de conteúdo do arquivo (como Arquivo ou Microsoft Office)

Notificações de Usuário

Se uma atividade for bloqueada por uma Regra de Controle de Dados, você pode configurar uma notificação para ser exibida ao Usuário, explicando qual aplicativo foi bloqueado e por quê. Você pode personalizar o conteúdo e a marca de uma notificação para atender aos requisitos da sua organização.

Assim é como a notificação padrão aparece em um dispositivo Windows:

Assim é como a notificação padrão aparece em um dispositivo iOS:

Pré-requisitos para Notificações de Usuário

Suportado de:
- Cliente Windows v5.10 e superior
- macOS Client v5.7 and higher
- iOS Client v5.4 and higher
Usuário deve estar conectado remotamente
Notificações devem estar ativadas no dispositivo

Habilitando Notificações de Usuário

Você pode ativar usuários para receber notificações do sistema se uma atividade for bloqueada por uma Regra de Controle de Dados.

Para habilitar as notificações de usuário:

No menu de navegação, selecione Acesso > Acesso do Cliente VPN > Notificações de Política de Segurança.
Selecione a caixa de seleção Habilitar Notificações de Política de Segurança para o Usuário.
Clique em Salvar.

Personalizando Notificações de Usuário

Para orientar os usuários sobre por que uma ação foi bloqueada, você pode criar e atribuir múltiplos modelos de notificação e atribuí-los a uma regra de política. Isso permite fornecer notificações contextuais adaptadas a casos de uso específicos no momento da aplicação. Para mais informações, veja Criando Modelos de Notificação de Usuário.