Создание политики контроля данных

В этой статье обсуждается, как использовать страницу контроля приложений для настройки политики Предотвращения утечки данных (DLP) для вашей учетной записи.

Обзор политики контроля данных

Политика контроля данных позволяет вам определять правила для проверки того, как данные и контент передаются и перемещаются внутри и за пределами вашей организации. Страница контроля приложений поддерживает три типа правил: CASB контроль приложений, контроль типа файлов и DLP контроль данных. Правила контроля данных содержат дополнительные настройки для проверки содержимого, включая:

  • Атрибуты файла - Поддерживает более 40 различных типов файлов в различных категориях, включая: Microsoft Office, исполняемые файлы и исходный код. Кроме того, вы можете уточнить правило, чтобы оно совпадало только с определенным диапазоном размеров файлов, или настроить правило для совпадения с зашифрованными файлами.

  • Профили Контента DLP - Эти профили могут определять проверку содержимого на основе более чем 350 типов данных в более чем 30 странах и языках, включая: персональные данные, финансовые и медицинские данные

Политика контроля приложений - это упорядоченная база правил, которая позволяет вам определять активности и необходимые критерии для приложений и категорий. Каждое правило определяет одно приложение или одну категорию. После того, как правило соответствует трафику, правила с более низким приоритетом (ниже соответствующего правила) не применяются к этому трафику.

Последнее правило в базе правил - это неявное правило разрешить "Любой Любое", поэтому если соединение не соответствует ни одному правилу, оно разрешено последним неявным правилом.

DLP защита для зашифрованных файлов

Движок DLP способен идентифицировать и блокировать файлы, зашифрованные паролем. Это может помочь защитить вашу информацию, предотвращая загрузку или скачивание пользователями конфиденциальных данных, скрытых в файлах, защищенных паролем. Движок DLP не сканирует содержимое зашифрованного файла, но идентифицирует его как зашифрованный и применяет соответствующее действие правила. Поскольку движок не сканирует содержимое файла, действие правила применяется ко всем зашифрованным файлам независимо от любых профилей контента, сконфигурированных в правиле. Вы можете определить правила для разрешения или блокировки зашифрованных файлов, в соответствии с потребностями вашей организации.

Зашифрованные файлы, обнаруженные движком DLP, включают файлы, защищенные паролем, следующих типов: Word, Excel, PowerPoint, ZIP и PDF

Предварительные условия

  • Правила контроля данных требуют, чтобы Инспекция TLS была включена для проверки содержимого.

    • Гранулярная политика инспекции TLS от Cato позволяет создавать правила, которые будут проверять только тот трафик, который релевантен правилу контроля данных.

  • Политика контроля приложений включена в лицензию CASB. Включение правил контроля данных в политике контроля приложений также требует лицензии DLP.

    Для получения дополнительной информации о покупке вышеупомянутых лицензий, пожалуйста, свяжитесь с вашим представителем компании Cato.

Известные ограничения

  • Ограничение размера файла для инспекции содержимого составляет от 1KB до 20MB. События для файлов, выходящих за рамки этого ограничения, показывают вердикт обход по размеру

  • Движок DLP обходит файл, если проверка занимает более 10 секунд.

  • Эти приложения не поддерживают инспекцию содержимого с использованием правил контроля данных:

    • Bitbucket

    • GitHub

    • Google Drive

    • WhatsApp

Понимание DLP в базе правил контроля приложений

Используйте правила контроля данных на странице контроля приложений, чтобы реализовать политику DLP вашей компании и определить контент, который блокируется стеком безопасности в Cato Cloud. Этот раздел описывает поля и настройки, которые специфичны для правил контроля данных. Для получения дополнительной информации о правилах и настройках, которые также релевантны для правил App Control, см. раздел Управление политикой контроля приложений.

Data_Control_Rules_-_Callouts.png

Элемент

Описание

1

Включить или отключить правила App Control в политике

2

Включить или отключить правила Контроля данных в политике

3

Создать новое правило Контроля приложений или Контроля данных

4

Значок, показывающий тип правила:

  • Data_Control_Icon.png Правило контроля данных

  • App_Control_Icon.png Правило контроля приложений

5

Столбец Критерии показывает DLP Профили, которые соответствуют этому правилу

Профили DLP настраиваются в Безопасности > Профили DLP

Настройки правила контроля данных

Правило Контроля данных имеет следующие разделы:

  • Общие сведения - Имя и степень серьезности, которую вы выбираете для назначения правила. Также позволяет включать или отключать правило.

  • Приложение - Предопределенное приложение, категория, пользовательское приложение или разрешенное приложение, соответствующее этому правилу. Только поддерживаемые приложения появляются в списке предопределенных приложений.

  • Активности - Для правил Контроля данных активности упрощены, чтобы облегчить внедрение политики DLP. Выберите, используется ли правило для восходящего и/или нисходящего трафика.

    • Для приложений выберите соответствующую активность, к которой применяется действие.

      Примечание

      Примечание: Для правил приложения необходимо включить инспекцию TLS, чтобы анализировать трафик, который соответствует правилу.

    • Для категорий выберите соответствующую активность или критерии, к которым применяется действие.

    Вы должны определить активность для каждого правила.

  • Атрибуты файла - Определите тип контента и размер файла для данных, которые соответствуют этому правилу, и наличие связи И или ИЛИ между элементами.

    • Тип контента - Выпадающее меню показывает все поддерживаемые типы контента файлов с расширениями и примерами

    • Размер контента - Движок DLP может инспектировать от 1KB до 20MB контента для каждого соединения

    • Контент зашифрован - Действие правила применяется ко всем зашифрованным файлам. Контент зашифрованных файлов не может быть просканирован движком DLP.

  • Профили DLP - Движок DLP может идентифицировать более 350 типов данных, см. Создание DLP Профилей Контента. Вы можете настроить профиль с И или ИЛИ связью между типами данных.

  • Методы доступа - Требования для пользовательских агентов на хостах и устройствах, которые могут подключаться к вашему аккаунту.

  • Источник - Источник трафика для этого правила.

    • Вы можете установить Источник на Страну, чтобы создать правило, которое будет распространяться на трафик, исходящий из этой страны, на основе геолокации IP

    • Для информации о других элементах Источник для правила, см. Справочник по объектам правил

  • Время - Определите период времени, когда правило активно.

  • Действия - Примените указанное действие к трафику, который соответствует правилу. Также определите параметры отслеживания для событий и уведомлений по электронной почте.

Настройка правил контроля данных

Создайте новое правило Контроля данных и настройте его, чтобы внедрить политику Контроля данных DLP для вашей организации.

Опции Время определяют временной диапазон, в течение которого правило включено. Вы можете настроить пользовательские опции для правила или выбрать стандартные рабочие часы, определенные для аккаунта.

Чтобы создать новое правило Контроля данных:

  1. В меню навигации выберите Безопасность > Контроль приложений.

  2. Убедитесь, что Контроль данных включен (зеленый включен, серый отключен).

  3. Нажмите Новый > Правило контроля данных.

    Панель правило контроля данных открывается.

  4. Разверните раздел Общие и настройте эти параметры:

    1. Введите название для правила.

    2. Включите или отключите правило с помощью ползунка (зеленый — включено, серый — отключено).

    3. Выберите Серьезность.

      Серьезность используется в событиях и аналитике мониторинга для этого правила.

  5. В разделе Приложение выберите Любое приложение, или вы можете ограничить проверку контента определенным приложением или категорией.

    • Когда вы выбираете Любое приложение для правила, правило применяется ко всему трафику HTTP/S приложений, включая интернет и WAN. Когда вы выбираете Любое приложение для правила, правила применяются как для облачных приложений, так и для трафика приложений через глобальную сеть WAN.

  6. Разверните раздел Активности и настройте эти параметры:

    1. Нажмите Добавить активность и выберите элемент для правила.

    2. Когда в разделе Активности несколько элементов, в раскрывающемся списке Соответствие определите связь между элементами:

      • Любой (ИЛИ) - Если любой из элементов соответствует трафику, правило применяется

      • Все (И) - Если все элементы соответствуют трафику, правило применяется

  7. В разделе Атрибуты файла вы можете выбрать проверку контента только для определенных типов и размеров файлов.

    Если вы не настраиваете никакие параметры атрибутов файла, проверяются все поддерживаемые типы и размеры файлов.

    1. Нажмите Добавить атрибут файла и выберите тип контента, размер контента или зашифрованный контент.

    2. Определите настройки для элемента атрибута файла.

    3. Для нескольких элементов определите связь между элементами (см. выше 6b).

  8. В разделе Профили DLP вы можете добавить существующие профили проверки содержимого и определить типы данных, соответствующие этому правилу.

    Если для правила существует несколько профилей DLP, между ними существует логическая связь И.

  9. Разверните раздел Методы доступа и определите требования к пользовательскому агенту.

    Если есть несколько элементов, между ними существует логическая связь И.

  10. Разверните раздел Источник и выберите один или несколько объектов для источника трафика для этого правила (или вы можете ввести IP-адрес).

    Выберите тип (например: Хост, Сетевой интерфейс, IP, Любое). Значение по умолчанию - Любое.

  11. (Необязательно) Разверните раздел Время и определите, когда правило активно.

    Выберите Без временного ограничения, чтобы установить правило как всегда активное.

  12. Разверните раздел Действия и настройте эти параметры:

    1. Выберите действие для этого правила. Варианты: Разрешить, Блокировать и Мониторинг.

    2. (Необязательно) Настроить параметры отслеживания для генерации События и Отправить уведомление.

      Для получения дополнительной информации об уведомлениях, см. соответствующую статью для Группы подписок, Списков рассылки и Интеграций в разделе Оповещения.

  13. Нажмите Применить.

Настройка режима сбоя DLP

Включите или отключите настройку закрить при сбое DLP. При включении политики контроля данных применяется действие по умолчанию «Блокировать», если сканирование файла превышает время ожидания или не может быть завершено по другим причинам. По умолчанию настройка DLP Fail Close отключена. Подробнее о режиме сбоя DLP см. в статье Что такое Cato DLP Service.

DLP_Fail_Mode.png

Чтобы установить режим сбоя DLP:

  1. В навигационном меню выберите Безопасность > Профили DLP, а затем на вкладке Общие настройки выберите Общие.

  2. Щелкните toggle.png, чтобы включить (зелёный) настройку Включение DLP Fail Close для аккаунта.

  3. Щелкните Сохранить. Настройка Включение DLP Fail Close применяется к аккаунту.

Анализ событий контроля данных

Страница События показывает все события контроля данных для вашего аккаунта. Эти события безопасности относятся к подтипу Безопасность приложений.

Вы можете узнать больше о том, как использовать страницу событий здесь.

Это поля, которые уникально связаны с контролем приложений:

Имя Файла

Описание

Профили DLP

Профили контента DLP, соответствующие этому соединению

Имя файла

Имя файла, который был просканирован движком DLP

Размер файла

Размер файла (в байтах), который был просканирован движком DLP

Тип файла

Тип содержимого файла (например, архив или Microsoft Office)

Уведомления пользователей

Если активность заблокирована правилом контроля данных, вы можете настроить уведомление для отображения Пользователю с объяснением, какое приложение было заблокировано и почему.

Так выглядит уведомление на устройстве Windows:

Notificationa.png

Так выглядит уведомление на устройстве iOS:

iOS_not.png

Предварительные условия для уведомлений пользователей

  • Поддерживается с:

    • Клиент для Windows v5.10 и выше

    • macOS Client v5.7 and higher

    • iOS клиент v5.4 и выше

  • Пользователь должен быть подключен удалённо

  • На устройстве должны быть включены уведомления

Включение уведомлений пользователей

Вы можете разрешить пользователям получать системные уведомления, если активность заблокирована правилом контроля данных.

Чтобы включить уведомления пользователей:

  1. From the navigation menu, select Access > Client Access > Security Policy Notifications.

  2. Выберите флажок Включить Уведомления о Политике Безопасности.

  3. Щелкните Сохранить.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 5 из 6

0 комментариев