Работа с точным совпадением данных (EDM) для DLP

Эта статья объясняет, как создать пользовательские типы данных точного совпадения данных (EDM) для определения конфиденциальных данных для политики DLP.

Подробнее о пользовательских типах данных для DLP смотрите в Работа с пользовательскими типами данных для DLP.

Обзор

Точное совпадение данных (EDM) для DLP находит специфические конфиденциальные значения данных, которые важны для организации, вместо совпадения с общими шаблонами данных. Например, вместо блокировки передачи всех данных кредитных карт, можно заблокировать конкретный набор данных, содержащих информацию кредитных карт ваших клиентов. Используя EDM для адаптации политики DLP, вы можете значительно снизить количество ложных срабатываний и повысить продуктивность администраторов.

Чтобы реализовать точное совпадение данных в вашей политике DLP, импортируйте структурированный набор данных конфиденциальных данных и используйте его для создания профиля EDM. Затем вы можете настроить правило DLP для профиля и блокировать только эти специфические данные. Это пример рабочего процесса блокирования специфического набора данных с использованием профиля EDM:

  1. Создайте файл типа CSV или аналогичного (например TSV или PSV), содержащий необходимый набор данных.

  2. В приложении управления Cato импортируйте CSV файл и создайте профиль EDM на основе данных из файла.

  3. Настройте правило Контроль данных для профиля EDM.

Определение данных для совпадения

Когда вы создаете профиль EDM, вы можете выбрать до двух столбцов из импортированного файла данных для включения в профиль. Когда вы выбираете два столбца, между ними существует связь И, и движок DLP возвращает совпадение только при обнаружении обоих значений данных. Например, если вы выберете столбец «Имя сотрудника» и столбец «Зарплата» в наборе данных, движок DLP вернет совпадение только для содержания, содержащего совпадающие значения имени и соответствующие значения зарплаты.

Понимание основных и вторичных данных

Для профилей EDM, включающих два столбца данных, настройте один столбец как Основной, а другой как Вторичный. Это определяет порядок, в котором движок DLP ищет данные. Только если основные данные совпали, движок DLP продолжает и ищет вторичные данные.

Поскольку EDM предназначен для идентификации специфических данных, основные данные не могут содержать много повторений одного значения. Столбец данных, содержащий значение, которое встречается более 3 раз, не может быть определен как Основной.

Понимание типов данных для профилей EDM

Для каждого столбца данных, включенного в профиль EDM, определите существующий общий тип данных DLP, соответствующий данным в столбце. Когда движок DLP сканирует контент для совпадения данных профиля EDM, он сначала пытается сопоставить контент с существующим типом данных, и только если есть совпадение, продолжает проверку специфических данных в профиле. Например, движок сначала сопоставляет общий шаблон данных кредитной карты, а затем ищет конкретные номера кредитных карт. Это обеспечивает большую эффективность сканирования данных EDM.

Понимание безопасности данных для профилей EDM

Когда вы импортируете наборы данных для профилей EDM, все данные хешируются браузером пользователя перед загрузкой в Cato Cloud. Когда движок DLP сравнивает хешированные данные с содержимым и ищет совпадение, он сначала хеширует содержимое, используя тот же алгоритм. Этот метод позволяет движку DLP идентифицировать совпадения с профилями EDM без загрузки или хранения данных в открытом виде.

Требования к файлам импортированных наборов данных

EDM для DLP поддерживает импортированные файлы наборов данных, которые соответствуют следующим требованиям:

  • Файлы должны быть одного из следующих форматов: CSV, TSV, PSV, SSV, HSV, TXT

  • Поддерживаемые разделители включают следующие символы:

    • Запятая (,)

    • Труба (|)

    • Табуляция

    • Точка с запятой (;)

    • Двоеточие (:)

    • Дефис (-)

    • Знак номера (#)

    • Крышка (^)

    • Восклицательный знак (!)

    • Знак «ат» (@)

    • Знак доллара ($)

    • Знак процента (%)

    • Амперсанд (&)

    • Косая черта (/)

  • Поддерживаемый размер файла до 8 МБ

Это пример файла CSV набора данных, который можно использовать для профиля EDM:

DLP_-_EDM_Sample_CSV.png

Создание профиля EDM

Создайте новый профиль EDM и загрузите файл набора данных, содержащий специфические данные для совпадения с содержанием. Выберите до двух столбцов данных и определите Основной столбец. Для каждого выбранного столбца определите существующий тип данных, который соответствует данным в столбце. Это может быть предопределенный или пользовательский тип данных.

DLP_-_EDM_Page.png

Чтобы создать профиль EDM:

  1. В меню навигации выберите Безопасность > Типы данных & Профили, а на вкладке Профили DLP выберите Профиль EDM.

  2. Нажмите Новый. Откроется панель Добавить профиль точного соответствия данных.

    DLP_-_EDM_New_Panel.png

  3. Введите Имя профиля и Описание.

    Имя профиля должно быть уникальным и не использоваться для других профилей EDM или любых других пользовательских типов данных.

  4. Перетащите и отпустите или просмотрите, чтобы загрузить файл, содержащий схему и точные данные для профиля. Сообщение Файл загружен появляется, когда загрузка завершена, и содержит следующую информацию:

    • Количество строк данных, обнаруженных в файле

    • Обнаруженный разделитель

  5. Выберите столбцы файла для включения в профиль, вы можете выбрать до двух столбцов.

  6. Для каждого выбранного столбца настройте следующее:

    1. Тип Тип данных в столбце. Вы можете выбрать один предопределенный или пользовательский тип данных для каждого столбца.

    2. Является ли столбец Основным. Вы можете определить только один столбец как Основной, другой столбец автоматически настраивается как Вторичный.

  7. Нажмите Сохранить.

Лучшие практики для пользовательских типов данных

  • Когда вы реализуете политику или добавляете новое приложение с действием блокировки:

    • Используйте действие мониторинга для правила.

    • Просмотрите события, которые генерирует правило, и убедитесь, что нет событий для трафика, который вы хотите разрешить (ложный положительный трафик).

    • Если есть ложный положительный трафик, вы можете внести следующие изменения:

      • Уточните область действия правила, чтобы исключить ложный положительный трафик.

      • Создайте новое правило разрешения перед правилом блокировки, и область действия нового правила будет только для ложного положительного трафика.

  • Помните, что политика контроля приложений является упорядоченной политикой, и последнее неявное правило — ЛЮБОЙ ЛЮБОЙ Принимаю. Добавьте правила в политику для блокировки соответствующего трафика приложений, активности и критериев.

Известные ограничения

  • Вы можете создать до 15 профилей EDM для вашей учетной записи

  • OCR сканирование не поддерживается для совпадений содержимого DLP для профилей EDM

  • Подробнее о требованиях к файлам см. в Что такое Cato DLP Service?

  • Файлы, закодированные в формате Base64, не поддерживаются, и движок DLP не может проверить содержимое этих файлов.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев