Этот плейбук описывает шаги для устранения проблем, когда Предотвращение утечки данных (DLP) не работает так, как ожидалось, на вашем Аккаунт.
Обзор
Сложности с политиками Предотвращения утечки данных (DLP) могут привести к непредвиденным результатам, создавая потенциальные риски безопасности. This might be due to configuration that doesn't align with the requirements, or inaccurately defined custom data type or profile.dd
Первоначальная оценка с использованием Событий
Фильтрация событий Предотвращения утечки данных (DLP) с использованием Событий может быть достигнута с помощью установки предустановки "Безопасность приложений":
События, связанные с правилом контроля данных, будут включать информативные поля, такие как Профили DLP, которые были активированы, совпадающие Типы данных, атрибуты файлов и многое другое.
Это позволит вам понять, что в настоящее время активируется, и задать себе вопрос 'Соответствуют ли результаты тому, что я ожидал в соответствии с моей конфигурацией?'
Устранение неисправностей
Процесс устранения неисправностей разработан как последовательный, с каждым шагом, построенным на предыдущем. Если предыдущее требование не выполнено, последующие шаги не будут активированы.
Примечание
Примечание: Требование для всех следующих шагов — убедиться, что у вас есть правило FW (даже временно созданное для целей устранения неполадок) с включенным отслеживанием событий, которое будет соответствовать трафику, ожидаемому для инспекции DLP.
Ещё одна конфигурация, ориентированная на устранение неполадок, будет резервное правило DLP, охватывающее как загрузку, так и скачивание для целей мониторинга, без совпадения контента или спецификации типа файла.
It’s also recommended to test using a non-textual file, such as .docx or .pdf, to ensure file type detection problems related to textual files (more on that below).
(1) Включена проверка TLS (для трафика TLS)
-
Проверьте в событии Firewall: Проверьте поле булевой регистрации TLS инспекции в сгенерированном событии FW и убедитесь, что установлено на 1. Если значение установлено на 0, убедитесь, что вы следуете рекомендациям в следующих статьях для настройки и тестирования инспекции TLS на вашем аккаунте:
- Configuring TLS Inspection Policy for the Account
- Testing TLS Inspection in the Cato Cloud - Определенные типы ОС (Android, Linux, Неизвестная ОС) не проходят инспекцию TLS.
- Некоторые собственные клиентские приложения не проходят проверку TLS (из-за проблем с закреплением сертификатов). Правила обхода TLS по умолчанию можно идентифицировать в CMA.
- Убедитесь, что ваша политика межсетевого экрана для Интернета содержит два правила с высоким приоритетом (близко к верхней части базы правил) для блокировки QUIC и GQUIC, так как инспекция TLS не может работать с этим типом трафика:
Чтобы убедиться, что определённый запрос использует или не использует протокол QUIC, создайте файл HAR и проверьте колонку "Протокол" в соответствующем запросе POST/GET. Если запрос использует QUIC, он будет указан как "h3", "http/2+quic/46" или подобное:
(2) Verify destination application identified by Cato
- Проверьте в Событии Брандмауэра: Посмотрите поле события “Приложение” и найдите идентифицированное приложение.
- Если ваше приложение не идентифицировано правильно, убедитесь, что выполнены следующие условия:
- You are accessing the destination of the application using its hostname instead of directly using the IP address.
- This step ensures CATO sees the associated DNS query, allowing us to derive the destination's hostname, which is crucial for App detection.
- Убедитесь, что трафик, направленный на DNS-сервер, который вы используете для решения Имя хоста/ов приложения назначения, виден CATO (например, достиг интерфейса Socket LAN)
- You are accessing the destination of the application using its hostname instead of directly using the IP address.
- You can define either a specific application for CASB/DLP policies or select "Any Application" (All HTTP/S application traffic).
- The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
- Вы можете открыть тикет Запрос на совершенствование (Request For Enhancement, RFE) в Поддержка CATO, если у вас есть конкретное приложение, которое вы хотите добавить как Облачное приложение.
- The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
(3) Проверка требования к размеру файла
- Проверьте в DLP (подтип «Безопасность приложений») Событие: Ищите поле события Угроза Вердикт и проверьте, установлено ли значение на Обход по размеру - если вы видите это значение, это указывает на то, что содержимое не было сканировано из-за размера файла, не подпадающего в необходимый диапазон минимального/максимального размера.
- Максимальный размер файла для встроенного DLP составляет 50MB (500MB для API защиты данных)
- Обычно вы можете выявить поведение gzip за кулисами, следуя шагам ниже:
- Открыть средства разработчика в браузере, вкладка «Сеть»
- При загрузке файла найдите запрос, представляющий загрузку (в Google Suite, скорее всего, можно обнаружить, отфильтровав домен:*.googleusercontent.com, синий фрейм на изображении ниже)
- Ищите заголовок Content-Encoding в ответе (красная рамка на изображении ниже). Если это gzip, можно понять, что включено сжатие.
- Обычно вы можете выявить поведение gzip за кулисами, следуя шагам ниже:
- Для профилей DLP с OCR поддерживаемый размер файла находится в пределах 10KB и 50 МБ
(4) Тип Файла Определен + Поддерживается для DLP
- Проверьте в событии DLP (подтип "Безопасность приложений"): Ищите поле Тип Файла, указывающее, какой класс файла был обнаружен Cato
- Если значение Неизвестные типы файлов, это означает, что Cato не удалось идентифицировать файл, и он освобождается от сканирования содержимого.
- Verify the file type is supported for DLP: audio, video, and binary files are not supported.
- Требуется дополнительная осторожность при сопоставлении JAR-файла по типу контента, поскольку файл .JAR может быть или архивом Zip, или архивом Java (файлом JAR). Для подробностей обратитесь к статье Правило контроля данных не работает с файлом JAR при сопоставлении по исходному коду.
- For DLP OCR Profiles, supported file types include: PNG, JPEG, TIFF, BMP, PNM, WEBP, JPEG
Ограничения обнаружения текстовых файлов
Обнаружение текстовых файлов, таких как CSV & TXT, сталкивается с проблемами из-за отсутствия специфических индикаторов. Наше обнаружение основывается на трех основных вводных данных:
- Magiclib: Заголовок файла, уникальный для его типа. Например, файлы PDF начинаются с характерного заголовка (%PDF-1.5, %µµµµ и т.д.), служащего сильным показателем типа файла.
- HTTP-заголовки: Заголовок "Content-Type" при загрузке файлов может указывать на тип файла, например, application/vnd.ms-excel для файлов Excel во время загрузки.
- Расширение имени файла: используется, когда другие индикаторы отсутствуют или неубедительны, предполагая, что имя файла корректно извлечено.
Ограничения возникают с текстовыми файлами, потому что:
- Они не имеют уникального магического заголовка для различения типов (CSV, TXT, скрипт Python).
- HTTP-запросы на загрузку (например, через curl) могут не содержать достаточных метаданных о типе файла (например, заголовок "Content-Type").
- Имя файла может отсутствовать в HTTP-запросе.
- Если имя файла отсутствует в событиях, Связаться со службой поддержки
Эти факторы могут усложнить различение между простым текстовым содержимым в запросе POST/PUT и реальной загрузкой текстового файла, что потенциально может привести к тому, что DLP пропустит эти файлы.
Для других известных ограничений DLP обратитесь к статье Создание политики контроля данных.
(5) Профиль DLP соответствует сканированному содержимому
- Этот шаг помогает выявить, является ли проблема следствием несоответствия типа данных содержимому файла
- Инструмент проверки DLP: проверка типов данных с помощью тестового файла является важным и полезным шагом в процессе устранения неполадок. Она предоставляет практический способ проверки правил DLP на реальных данных, служа эффективным методом для выявления и исправления проблем.
- Пример успешной проверки типа данных с ключевым словом в файле .csv:
-
Проверка регулярных выражений: при использовании пользовательского типа данных с регулярными выражениями, окно тестирования регулярных выражений становится незаменимым ресурсом. Она позволяет тестировать шаблоны регулярных выражений и проверять их точность. Всегда рекомендуется сначала протестировать ваши шаблоны здесь, чтобы избежать нежелательных результатов в системе DLP.
- Опция "Экспортировать извлеченный текст" может быть полезной для изучения разобранных текстовых данных файла, как они были сканированы движком DLP:
- Например, проверка, что обнаружены ID меток конфиденциальности, прикрепленные к документу, может быть проведена с помощью просмотра .txt файла, созданного опцией "Экспортировать извлеченный текст". Ниже представлен текстовый результат разбора .docx, содержащего метку конфиденциальности MIP: mip-example.png
- Пример успешной проверки типа данных с ключевым словом в файле .csv:
0 комментариев
Войдите в службу, чтобы оставить комментарий.