Исследование нарушений DLP с судебными доказательствами

Эта статья объясняет, как просмотреть судебные доказательства из событий нарушения политики DLP.

Обзор

Чтобы исследовать нарушения политики DLP, вы можете безопасно посмотреть доказательства нарушений непосредственно в Приложении Управления Cato (CMA). Это позволяет командам безопасности быстро понять контекст инцидента, оценить потенциальную утечку данных, проверить ложные срабатывания и с уверенностью настроить политики DLP.

Когда создается событие нарушения политики DLP, файлы с доказательствами шифруются и отправляются в настроенное безопасное хранилище. Чтобы минимизировать утечку данных и обеспечить соответствие нормативным требованиям, эти файлы могут быть просмотрены только по запросу администраторами, имеющими соответствующие разрешения.

Примечание: Типы файлов изображений не поддерживаются

Пример использования: исследование раскрытия PII через Slack

Представителю отдела продаж необходимо обработать возврат клиенту. Они отправляют сообщение в Slack своему менеджеру для одобрения возврата, которое содержит адрес клиента. Правило DLP, настроенное для обнаружения PII, идентифицирует адрес клиента, блокирует сообщение и запускает событие. Сообщения Slack зашифрованы и надежно хранятся в корзине Amazon S3 в качестве доказательства.

Аналитик безопасности, имеющий разрешение на просмотр судебных доказательств, начинает исследовать событие. В рамках расследования они безопасно просматривают разговор в Slack и подтверждают, что данные PII были раскрыты.

Подтвердив с уверенностью, что нарушение политики имело место, аналитик безопасности может связаться с вовлечёнными сотрудниками и проинструктировать их о политике защиты данных компании.

Включение просмотра судебных доказательств

Чтобы разрешить просмотр судебных доказательств, необходимо:

  1. Включите предпочитаемый вариант безопасного хранения доказательств
  2. Настройте параметры судебных доказательств
  3. Предоставьте разрешения администратору, который может просматривать доказательства

Шаг 1: Включение безопасного хранения доказательств

Судебные доказательства хранятся вне Cato в выбранном вами месте хранения. Чтобы разрешить хранение доказательств, необходимо создать интеграцию между Cato и поддерживаемым сервисом хранения. Эта интеграция позволяет Cato безопасно записывать зашифрованные файлы доказательств, когда политика DLP активируется в вашем назначенном хранилище. Для пошаговых инструкций по настройке интеграции см. ссылку ниже. Поддерживаемые сервисы хранения:

Шаг 2: Настройка параметров судебных доказательств

Чтобы начать хранение судебных доказательств, необходимо включить функцию в CMA. Вы также можете выбрать отображение только фрагмента доказательства или разрешить хранение оригинального файла, который будет доступен для загрузки во время расследования.

Примечание: Все судебные доказательства всегда зашифрованы, не удастся снять отметку с защиты доказательств, хранящихся в настроенном местоположении.

Аналитика.png

Чтобы настроить судебные доказательства:

  1. На панели навигации нажмите Безопасность > Типы данных и профили.
  2. На вкладке Настройки включите переключатель Хранить доказательства DLP.
  3. Чтобы разрешить загрузку оригинального файла доказательства из события, отметьте Хранить оригинальные файлы при совпадении. Если этот параметр не установлен, доступен только фрагмент доказательства во время расследования.
  4. Выберите местоположение для хранения доказательств.
  5. Нажмите Сохранить.

Шаг 3: Предоставление разрешений админу

Только администраторы с разрешением DLP Аналитика могут просматривать судебные доказательства в рамках события. Вы можете добавить это разрешение в существующие пользовательские роли или создать новую пользовательскую роль и применить её к соответствующему администратору. Для получения более подробной информации о ролях и разрешениях см. Управление ролями администраторов с использованием RBAC.

Разрешения.png

Просмотр судебных доказательств

Судебные доказательства доступны из панели Инцидент данных, доступной из события, созданного после нарушения правила DLP.

Примечание: После создания события может пройти несколько минут, прежде чем файл станет доступным для загрузки.

DLP_Draw.png

Чтобы просмотреть судебные доказательства:

  1. На панели навигации нажмите Безопасность > Защита данных для просмотра Консоль защиты данных.

  2. На вкладке Наиболее часто нарушаемое правило, нажмите на правило, которое хотите исследовать.

    Отображается страница событий с предопределенным фильтром событий, созданных этим правилом. Для получения дополнительной информации см. Анализ событий в вашей сети.

  3. Разверните событие и в поле Доказательства нажмите Просмотр аналитики.

    View_Forensics.png

    Открывается панель Инцидент данных.

  4. В разделе Аналитика, нажмите Просмотреть доказательства, и в открывшемся окне нажмите Подтвердить.

    Event.png

    Судебные доказательства отображаются в виде фрагмента. Чтобы получить полный файл, нажмите Скачать файл. Этот параметр выделен серым, если флажок Хранить оригинальные файлы при совпадении был снят в Шаге 2.

    Evidence.png

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев