Работа с точным соответствием данных (EDM) для DLP

Эта статья объясняет, как создать пользовательские типы данных для точного соответствия данных (EDM), чтобы идентифицировать конкретные чувствительные данные для политики DLP.

Подробнее о пользовательских типах данных для DLP смотрите в Работа с пользовательскими типами данных для DLP.

Обзор

Точное соответствие данных (EDM) для DLP находит конкретные значения чувствительных данных, которые важны для организации, а не соответствует общим шаблонам данных. Например, вместо блокировки передачи всех данных кредитных карт, вы можете заблокировать конкретный набор данных, содержащий информацию о кредитных картах ваших клиентов. Используя EDM для настройки ваших политик DLP, вы можете значительно снизить количество ложных срабатываний и повысить продуктивность администраторов.

Чтобы внедрить точное соответствие данных в вашей политике DLP, импортируйте структурированный набор данных конкретных чувствительных данных и используйте его для создания профиля EDM. Затем вы можете настроить правило DLP для профиля и заблокировать только эти конкретные данные. Это пример рабочего процесса для блокировки конкретного набора данных с использованием профиля EDM:

  1. Создайте CSV или аналогичный тип файла (например, TSV или PSV), содержащий необходимый набор данных.
  2. В приложении управления Cato импортируйте файл CSV и создайте профиль EDM на основе данных файла.
  3. Настройте правило Контроль данных для профиля EDM.

Определение данных для соответствия

При создании профиля EDM вы можете выбрать до двух столбцов из импортированного файла данных для включения в профиль. Когда вы выбираете два столбца, между ними существует связь И, и движок DLP возвращает соответствие только тогда, когда оба значения данных обнаружены. Например, если вы выберете столбец с именами сотрудников и столбец с зарплатами в наборе данных, движок DLP вернёт соответствие только для содержимого, содержащего как имя, так и его соответствующее значение зарплаты.

Понимание основных и вторичных данных

Для профилей EDM, которые включают две колонки данных, вы можете настроить одну колонку как Основной, а другую как Вторичный. Это определяет порядок, в котором движок DLP ищет данные. Только если совпадение найдено по Основным данным, движок DLP продолжит и будет искать Вторичные данные.

Поскольку EDM разработан для идентификации конкретных данных, Основные данные не могут содержать много повторений одного и того же значения. Столбец данных, содержащий значение, которое встречается более 3 раз, не может быть определён как Основной.

Понимание типов данных для профилей EDM

Для каждого столбца данных, который вы включаете в профиль EDM, вы определяете существующий общий тип данных DLP, соответствующий данным в столбце. Когда движок DLP сканирует содержимое для поиска совпадений по данным профиля EDM, он сначала пытается сопоставить содержимое с существующим типом данных, и только при совпадении продолжает проверку на конкретные данные в профиле. Например, движок сначала сравнивает с общим шаблоном данных кредитной карты, а затем ищет конкретные номера кредитных карт. Это обеспечивает большую эффективность для сканирования EDM данных.

Понимание безопасности данных для профилей EDM

Когда вы импортируете наборы данных для профилей EDM, все данные хэшируются браузером пользователя перед загрузкой в облако Cato. Когда движок DLP сравнивает хэшированные данные с содержимым и ищет соответствие, он сначала хэширует содержимое, используя тот же алгоритм. Этот метод позволяет движку DLP идентифицировать соответствия с профилями EDM без загрузки или хранения любых текстовых данных в ясном виде.

Требования к импортируемым файлам наборов данных

EDM для DLP поддерживает импортированные файлы наборов данных, которые соответствуют следующим требованиям:

  • Файлы должны быть в одном из следующих форматов: CSV, TSV, PSV, SSV, HSV, TXT

  • Поддерживаемые разделители включают следующие символы:

    • Запятая (,)
    • Трубка (|)
    • Табуляция
    • Точка с запятой (;)
    • Двоеточие (:)
    • Дефис (-)
    • Знак номера (#)
    • Каретка (^)
    • Восклицательный знак (!)
    • Символ "@" (@)
    • Знак доллара ($)
    • Знак процента (%)
    • Амперсанд (&)
    • Косая черта (/)
  • Поддерживаемый размер файла до 8 МБ

Это пример CSV файла данных, который можно использовать для профиля EDM:

DLP_-_EDM_Sample_CSV.png

Создание профиля EDM

Создать новый профиль EDM и загрузить файл набора данных, содержащий специфические данные для сопоставления контента. Выберите до двух столбцов данных и определите Основной столбец. Для каждого выбранного столбца определите существующий тип данных, который соответствует данным в столбце. Это может быть предопределенный или определенный пользователем тип данных.

DLP_-_EDM_Page.png

Чтобы создать профиль EDM:

  1. Из меню навигации выберите Безопасность > Типы данных и профили, и на вкладке Профили DLP выберите Профиль EDM.

  2. Нажмите Новый. Откроется панель Добавить профиль точного соответствия данных.

    DLP_-_EDM_New_Panel.png

  3. Введите Имя профиля и Описание.

    Имя профиля должно быть уникальным именем, не используемым для других профилей EDM или любых других пользовательских типов данных.

  4. Перетащите или используйте обзор для загрузки файла, содержащего схему и точные данные для профиля. При завершении загрузки появится сообщение Файл загружен, содержащее следующую информацию:

    • Количество строк данных, обнаруженных в файле
    • Обнаруженный разделитель
  5. Выберите столбцы файла, которые следует включить в профиль, вы можете выбрать до двух столбцов.

  6. Для каждого выбранного столбца настройте следующее:

    1. Тип Тип данных в столбце. Вы можете выбрать один предопределенный или определенный пользователем тип данных для каждого столбца.
    2. Определите, является ли столбец Основным. Вы можете определить только один столбец как Основной, другой столбец автоматически будет настроен как Вторичный.
  7. Нажмите Сохранить.

Лучшие практики для пользовательских типов данных

  • Когда вы реализуете политику или добавляете новое приложение с действием Блокировать:

    • Используйте действие Мониторинг для правила.
    • Просмотрите события, которые генерирует правило, и убедитесь, что нет событий для трафика, который вы хотите разрешить (ложный положительный трафик).

    • Если имеется ложный положительный трафик, вы можете внести следующие изменения:

      • Уточните область правила, чтобы исключить ложный положительный трафик
      • Создайте новое правило разрешения перед правилом блокировки, и область нового правила касается только ложного положительного трафика
  • Помните, что политика управления приложениями является упорядоченной политикой, и окончательное неявное правило - любое любое принять. Добавьте правила в политику, чтобы блокировать соответствующий трафик приложений, активности и критерии.

Известные ограничения

  • Вы можете создать до 15 профилей EDM для вашей учетной записи
  • Поддержка OCR-сканирования не предусмотрена для соответствия содержанию DLP в профилях EDM
  • Для получения информации о требованиях к файлу см. Что такое Cato DLP Service?
  • Файлы, закодированные в Base64, не поддерживаются, и движок DLP не может инспектировать содержимое этих файлов.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев