Trabalhando com Tipos de Dados Personalizados para DLP

Este artigo explica como criar tipos de dados personalizados para identificar dados sensíveis em sua organização para a política de DLP.

Visão Geral dos Tipos de Dados Personalizados da Cato DLP

Cato fornece centenas de tipos de dados e categorias predefinidos para cenários típicos de políticas de DLP. No entanto, às vezes, as organizações precisam da capacidade de criar tipos de dados personalizados para corresponder a inspeções de dados específicas que não são cobertas pelo tipo predefinido.

Você pode definir os seguintes tipos de dados personalizados para personalizar a inspeção de conteúdo para suas políticas de DLP:

  • Use Rótulos de Sensibilidade da estrutura Microsoft Information Protection (MIP) em sua política de DLP Cato

  • Tipos de dados definidos pelo usuário incluindo:

    • Use palavras-chave para definir itens que contenham uma palavra ou frase que o motor DLP procura

    • Dicionários são contêineres que contêm até 50 palavras ou frases, e o motor DLP pesquisa para corresponder a qualquer item no dicionário

    • Tipos de dados Regex permitem que você insira expressões regulares que definem o conteúdo que o motor DLP procura

  • Classificadores de aprendizado de máquina personalizados

  • Perfis de Correspondência Exata de Dados (EDM) permitem que você defina dados específicos para correspondência de conteúdo em vez de padrões de dados gerais. Para mais informações sobre perfis EDM, consulte Trabalhando com Correspondência de Dados Exatos (EDM) para DLP.

Após criar o Tipo de Dados Definido pelo Usuário ou o Rótulo de Sensibilidade, você pode adicioná-los a Perfis de Conteúdo DLP existentes ou criar novos.

Criar Manualmente Rótulos de Sensibilidade no Cato DLP

Você pode definir dados sensíveis com rótulos MIP, e então usar os rótulos MIP como os tipos de dados na sua política Cato DLP.

Leia Mais

Após criar as Etiquetas de Sensibilidade no Aplicativo de Gerenciamento Cato, você pode adicioná-las aos Perfis de Conteúdo. Em seguida, você pode criar regras de DLP para gerenciar o acesso ao conteúdo para diferentes usuários e grupos de acordo com as etiquetas MIP.

Por exemplo, se você tiver arquivos com a etiqueta MIP Classificado, crie a etiqueta em sua política de DLP Cato e adicione-a ao Perfil de Conteúdo Documentos Restritos. Em seguida, defina uma regra de DLP que bloqueie o acesso para grupos de usuários sem autorização de segurança suficiente.

O motor DLP verifica as etiquetas definidas nos metadados do arquivo e não no conteúdo real, o que ajuda a reduzir resultados falso-positivos. O motor aplica a Etiqueta de Sensibilidade de acordo com o ID da Etiqueta que você configurou, não de acordo com o Nome. Certifique-se de que o ID da Etiqueta da Etiqueta de Sensibilidade corresponda exatamente ao ID de etiqueta MIP. Para mais informações sobre como encontrar os IDs de etiquetas MIP para a conta de sua organização, consulte a documentação da Microsoft.

DLP_Rótulos_de_Sensibilidade.png

Nota

Nota: Arquivos devem estar rotulados com MIP para serem gerenciados por este tipo de dados. Para verificar se um arquivo está rotulado corretamente, use a ferramenta de validação DLP.

Para criar uma Etiqueta de Sensibilidade:

  1. No menu de navegação, selecione Segurança > Tipos de Dados & Perfis, e selecione a aba Tipos de Dados.

  2. Em Etiquetas de Sensibilidade, clique em Novo. O painel Adicionar Etiqueta de Sensibilidade é aberto.

  3. Insira o Nome e a Descrição da etiqueta.

  4. Insira o mesmo ID da Etiqueta que o ID de etiqueta MIP.

  5. Clique em Aplicar.

Criar Tipos de Dados Definidos pelo Usuário

Os tipos de dados definidos pelo usuário podem ser uma Palavra-chave, Dicionário, expressão regex.

Leia Mais

Criar Novos Tipos de Dados por Palavra-Chave e Dicionário

Crie uma palavra-chave ou dicionário personalizado para o conteúdo sensível personalizado que o motor DLP está procurando. Para dicionários, você pode manter as entradas em um arquivo CSV e, em seguida, colá-las como os valores desse dicionário.

  • O motor DLP procura uma correspondência exata de cada entrada de palavra-chave ou dicionário

  • Uma palavra-chave deve conter pelo menos 8 caracteres (seja de um único byte ou multibyte)

  • Não há limite superior para o número de palavras ou caracteres em uma palavra-chave

  • Palavras-chave e dicionários NÃO são sensíveis a maiúsculas e minúsculas

  • Entradas em um dicionário têm uma relação OU entre elas

  • Frases devem ser uma correspondência exata em cada palavra, por exemplo, a frase health care não corresponde a healthcare

    Assim, para um dicionário, você criaria os seguintes três valores para corresponder às palavras acima: health, care, healthcare

  • Palavras e frases são identificadas de acordo com limites de palavras padrão, por exemplo, um espaço após uma palavra. Deve haver limites antes e depois da palavra para que ela seja detectada. Para uma lista completa de limites de palavras suportados, veja abaixo Limites de Palavras para Tipos de Dados por Palavra-Chave e Dicionário

    • Para detectar palavras multibyte, recomendamos o uso de um Tipo de Dados Regex, pois tipicamente não há limite antes e depois

Trabalhando com Limiares

Você pode definir o Limiar para cada tipo de dado Definido pelo Usuário, o número de vezes que a palavra-chave ou o dicionário corresponde em um Arquivo. Quando corresponde ou excede o Limiar, então o Arquivo corresponde à Regra de Controle de Dados (na página da Segurança > Aplicação de Controle).

  • Palavras-chave - O Limiar para palavras-chave procura ocorrências repetidas que são uma correspondência exata dessa palavra ou frase.

    • Por exemplo, para a palavra-chave apple com um Limiar de 3. Se um Arquivo contiver 3 instâncias da palavra apple, então esse Arquivo é bloqueado.

  • Dicionário - O Limiar para dicionários procura ocorrências repetidas de QUALQUER valor naquele dicionário.

    • Por exemplo, se o dicionário contiver as entradas apple e orange com um Limiar de 3. Se um Arquivo contiver 2 vezes a palavra apple e 1 vez a palavra orange, o Arquivo é bloqueado.

      Além disso, se um Arquivo contiver 3 instâncias da palavra apple e 0 instâncias da palavra orange, o Arquivo é bloqueado.

Para criar um Tipo de Dados Definido pelo Usuário:

  1. No menu de navegação, selecione Segurança > Tipos de Dados & Perfis, e selecione a aba Tipos de Dados.

  2. Em Definido pelo Usuário, clique em Novo e depois selecione Nova Palavra-chave ou Adicionar Novo Dicionário.

  3. Para criar uma Nova Palavra-chave:

    1. Digite o Nome e a Descrição para a palavra-chave.

    2. Selecione o Limite Mínimo, o número mínimo de vezes que a palavra-chave aparece no arquivo.

    3. Digite a Palavra-chave/Frase.

    4. Clique em Aplicar.

  4. Para criar um Novo Dicionário:

    1. Digite o Nome e a Descrição para o dicionário.

    2. Selecione o Limite Mínimo, o número mínimo de vezes que uma das entradas do dicionário aparece no arquivo.

    3. Adicione (ou cole) um ou mais valores para o dicionário. Valores múltiplos devem ser separados por vírgulas.

    4. Clique em Aplicar.

New_DLP_Dictionary.png
Limites de Palavras para Tipos de Dados por Palavra-Chave e Dicionário

Para corresponder a uma palavra-chave ou frase, o motor DLP usa limites de palavras padrão para identificar o final de cada palavra. Estes são os caracteres que o motor reconhece como limites de palavras:

  • ([\s,.:;“‘]|^)

Criar Novos Tipos de Dados Regex

Use expressões regulares para definir o tipo de conteúdo que corresponde ao Tipo de Dados. Por exemplo, fórmulas regex permitem que você corresponda facilmente um ID corporativo personalizado com um número específico de dígitos. Cada Tipo de Dados Regex suporta uma única expressão regular, portanto, se você precisar usar várias expressões regulares, crie um tipo de dados separado para cada expressão.

Use limites de palavra na expressão para definir corretamente o conteúdo que corresponde ao Tipo de Dados.

O motor de regex é baseado em UTF-8 e suporta caracteres para conteúdo não-inglês.

Limites Regex

Você pode definir o Limite para a expressão, o número de vezes que o conteúdo aparece em um Arquivo. Quando corresponde ou excede o Limite, então o Arquivo corresponde à Regra de Controle de Dados.

Por exemplo, se você criou uma expressão para um ID com um Limite de 5, então somente os arquivos que contêm o ID cinco ou mais vezes seriam Bloqueados.

Validar Expressão Regular

Você pode usar o campo Validar Expressão para testar a expressão e garantir que corresponda corretamente ao conteúdo. Quando você clica em Teste, o serviço DLP verifica se o conteúdo coincide com a expressão regular. Este é o mesmo serviço que executa na Cato Cloud, então os resultados dos testes são os mesmos que você verá na sua conta.

Validar a expressão também inclui o Limite para o Tipo de Dados. Assim, quando o Limite é maior que 1, o valor deve aparecer pelo menos tantas vezes para que o teste seja bem-sucedido.

Regex_Tipo_Dados_Usuario.png

Para criar um Tipo de Dados Regex Definido pelo Usuário:

  1. No menu de navegação, selecione Segurança > Tipos de Dados & Perfis, e selecione a aba Tipos de Dados.

  2. Clique em Novo e depois selecione Nova Expressão Regular.

  3. Digite o Nome e a Descrição para a Palavra-chave.

  4. Selecione o Limite, o número mínimo de vezes que o texto que corresponde à Expressão aparece no Arquivo.

  5. Em Expressão, digite a expressão regular para este Tipo de Dados.

  6. (Opcional) Expanda Validar Expressão, insira o texto e clique em Teste.

  7. Clique em Aplicar.

Operadores e Quantificadores Suportados

Estes são os operadores e quantificadores de expressões regulares que são suportados para os Tipos de Dados Regex Definidos pelo Usuário:

Operadores

Padrão Correspondente

\

Citar o próximo metacaractere

^

Corresponder ao início de uma linha

$

Corresponder ao final de uma linha

.

Corresponde a qualquer caractere único

|

Alternância

()

Grupos de captura não são suportados. Parênteses podem ser usados para delimitar subexpressões.

[xy]

Corresponde a um único caractere entre os fornecidos entre os colchetes

[x-z]

O intervalo de caracteres entre x e z

[^z]

Qualquer caractere, exceto z

Quantificadores

Padrão Correspondente

*

Corresponder 0 ou mais vezes (veja a nota abaixo)

+

Corresponder 1 ou mais vezes (veja a nota abaixo)

?

Corresponder 0 ou 1 vez

{n}

Corresponder exatamente n vezes

{n,}

Corresponder pelo menos n vezes

{n,m}

Corresponder pelo menos n vezes, mas não mais que m

Nota

Nota: Não é permitido o uso de quantificadores gananciosos irrestritos de caracteres arbitrários, como .* ou .+. Se você estiver tentando incluir os caracteres em uma classe ou conjunto, inverta-os. Por exemplo, *.

Instead of using these greedy quantifiers, you can use .{1,50} that supports up to 50 characters for each keyword or pattern for the regex data type

Criar Classificadores ML Definidos pelo Usuário

To increase the protection of specialized documents relevant to your industry or company, you can create your own user defined Machine Learning (ML) Classifier.

Leia Mais

Os Classificadores ML definidos pelo usuário reduzem significativamente os falsos positivos e melhoram a eficácia e precisão globais do motor DLP. Using an advanced data science similarity model, the ML Classifiers offer better adaptability and accuracy in detecting sensitive data, as they can dynamically learn and evolve with changing data patterns.

Treinar Classificadores ML Definidos pelo Usuário

Ao enviar arquivos de texto como amostras dos documentos que deseja proteger, você pode treinar um modelo de aprendizado de máquina que pode identificar documentos semelhantes em tempo real, prevenindo a exfiltração não autorizada de dados. O modelo de aprendizado de máquina é baseado no texto dentro de um arquivo, imagens ou vídeos são ignorados.

Requisitos de Arquivos para Classificadores ML

  • Somente conteúdo em inglês é usado para treinar o modelo de ML

  • Tipos de arquivo suportados: DOC, XLS, CSV, TXT e PDF

  • Um máximo de 10 arquivos pode ser enviado

  • O arquivo contém no mínimo 100 palavras

Enviar Arquivos para Criar um Classificador ML Definido pelo Usuário

Envie os arquivos de amostra para o CMA para treinar o modelo de ML para o seu Tipo de Dados Definido pelo Usuário. Recomendamos enviar pelo menos 5 arquivos para treinar com precisão o modelo de aprendizado de máquina para proteger seus documentos.

Para enviar documentos para o Classificador de ML:

  1. No menu de navegação, selecione Segurança > Tipos de Dados & Perfis.

  2. Na aba Tipos de Dados, clique em Classificadores ML Definidos pelo Usuário.

  3. Clique em Novo.

  4. Digite um Nome e uma Descrição para o classificador e clique em Salvar e Continuar.

  5. Adicione os arquivos que você deseja usar para treinar o modelo.

  6. (Opcional) Valide o modelo enviando um arquivo de exemplo e clique em Validar.

  7. Clique em Salvar.

Validando Tipos de Dados e Melhores Práticas

Para cada Tipo de Dados DLP, você pode validar se o motor DLP reconhece e corresponde aos dados sensíveis em um arquivo de teste. A funcionalidade de validação está incorporada nos perfis predefinidos, definidos pelo usuário, e nos perfis de rótulos de sensibilidade localizados na página Tipos de Dados & Perfis. Com qualquer palavra-chave nova ou existente, dicionário ou string REGEX, você pode enviar um documento que testará suas configurações antes de implantar o novo tipo de dado. Você também pode validar tipos de dados predefinidos e Rótulos de Sensibilidade.

Um dos usos principais da ferramenta de validação de DLP é verificar suas configurações de DLP para garantir que palavras-chave e strings de informação (via regex) estão sendo detectadas corretamente usando os dados inseridos para aquele conjunto específico de dados. Outro caso de uso importante é que você pode fazer upload de documentos de amostra para a regra para ver se o tipo de arquivo e formatação serão escaneados corretamente para detectar os dados prescritos para os tipos de dados.

Para solução de problemas e suporte para casos onde o arquivo não corresponda ao tipo de dados, você pode baixar um arquivo de texto analisado do conteúdo como extraído pelo motor DLP.

A seguir está um procedimento de exemplo para validar um tipo de dados de Dicionário:

Para validar um tipo de dados de Dicionário com um arquivo de teste:

  1. No menu de navegação, selecione Segurança > Tipos de Dados & Perfis, e selecione a aba Tipos de Dados.

  2. Passe o mouse sobre a linha de um tipo de dados Dicionário e clique no ícone de editar. O painel Editar abre.

  3. Clique em Validar Dicionário. O painel Validar Dicionário abre.

    DLP_Validar_Dicionário.png

  4. Faça upload de um arquivo de teste e clique em Escanear Arquivo. Os resultados do escaneamento são mostrados.

  5. Para baixar um arquivo de texto do conteúdo extraído pelo motor DLP, clique em Exportar texto extraído.

Melhores Práticas para Tipos de Dados Definidos pelo Usuário

  • Quando você implementa a política, ou adiciona uma nova aplicação com a ação Bloquear:

    • Use a ação Monitorar para a regra.

    • Revise os eventos que a regra gera e certifique-se de que não há eventos para o tráfego que você quer permitir (tráfego de falso positivo).

    • Se houver tráfego de falso positivo, você pode fazer estas mudanças:

      • Refinar o escopo da regra para excluir o tráfego de falso positivo

      • Criar uma nova regra de permitir antes da regra de bloqueio, e o escopo da nova regra é apenas para o tráfego de falso positivo

      • Refinar a expressão regular e certificar-se de validá-la com um exemplo preciso do conteúdo que está escaneando

  • Lembre-se de que a política de Controle de Aplicativos é uma política ordenada, e a regra implícita final é QUALQUER QUALQUER Aceitar. Adicionar regras à política para bloquear o tráfego de aplicação relevante, atividades e critérios.

Limitações Conhecidas

  • Para informações sobre os requisitos do arquivo, veja O que é o Serviço DLP da Cato?

    • Para alguns downloads comprimidos no formato gzip, o tamanho do arquivo para DLP é calculado com base no arquivo comprimido. Se o tamanho do arquivo comprimido for menor que 1kb, ele não será escaneado.

  • Há um limite máximo de 256 caracteres para uma expressão regular.

  • Arquivos codificados em Base64 não são suportados, e o motor DLP não consegue inspecionar o conteúdo nesses arquivos.

Esse artigo foi útil?

Usuários que acharam isso útil: 2 de 2

0 comentário