本剧本描述了在 DLP 未按预期在您的账户上工作时解决问题的步骤。
概述
数据泄露防护 (DLP) 策略的复杂性可能会导致意外结果,形成潜在的安全风险。 This might be due to configuration that doesn't align with the requirements, or inaccurately defined custom data type or profile.dd
使用事件进行初步评估
使用事件过滤数据泄露防护 (DLP) 事件可以通过设置“应用安全”预设来实现:
与数据控制规则相关联的事件将包含信息丰富的字段,例如触发的 DLP 配置文件、匹配的数据类型、文件属性等。
这将使您了解当前触发的内容,并进一步询问自己:'结果是否符合我根据配置所期望的内容?'
问题故障排除
故障排除过程设计为顺序的,每个步骤都建立在上一个步骤的基础上。 如果未满足之前的要求,后续步骤将不会被触发。
注意
注意:所有以下步骤的要求是确保您有一个启用事件跟踪的FW规则(即使是为了故障排除而临时创建的),该规则将匹配预期由DLP检查的流量。
另一个以故障排除为导向的配置将是一个后备 DLP 规则,捕获监控目的的上传下载,没有内容匹配或文件类型规格。
It’s also recommended to test using a non-textual file, such as .docx or .pdf, to ensure file type detection problems related to textual files (more on that below).
(1) TLS 检查已启用 (用于 TLS 流量)
-
在防火墙事件中验证:检查生成的FW事件中的TLS检查布尔字段,并确保其设置为1。 如果值设置为0,请确保遵循以下文章中的指南,以配置并测试您账户上的TLS检查:
- 配置账户的TLS检查策略
- 在Cato云中测试TLS检查 - 特定操作系统类型(Android、Linux、未知操作系统)不进行 TLS 检查。
- 一些本地客户端应用程序未进行TLS检查(由于证书钉住问题)。 TLS 默认绕过规则 可以在CMA中识别。
- 确保您的互联网防火墙策略包含两个高优先级(靠近规则基顶部)的规则,以阻止 QUIC 和 GQUIC,因为 TLS 检查无法在此类流量上工作:
要验证某个请求是否使用 QUIC 协议,请生成 HAR 文件并检查相关 POST/GET 请求的“协议”列。 如果一个请求正在使用 QUIC,它将被列为“h3”、“http/2+quic/46”或类似项:
(2) Verify destination application identified by Cato
- 在防火墙事件中验证:查看“应用程序”事件字段并搜索识别的应用程序。
- 如果您的应用程序未正确识别,请确保以下内容为真:
- You are accessing the destination of the application using its hostname instead of directly using the IP address.
- This step ensures CATO sees the associated DNS query, allowing us to derive the destination's hostname, which is crucial for App detection.
- 确保指向您用于解析目标应用程序主机名的 DNS 服务器的流量对 CATO 可见(例如,到达 Socket LAN 接口)
- You are accessing the destination of the application using its hostname instead of directly using the IP address.
- You can define either a specific application for CASB/DLP policies or select "Any Application" (All HTTP/S application traffic).
- The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
- 在您希望添加为云应用程序的特定应用程序情况下,您可以向 CATO 支持提交 RFE(Request For Enhancement)工单。
- The full list of what CATO defines as "Cloud Applications" and "Applications" can be found under "Resources -> App Catalog" filtered by the type.
(3) 验证文件大小要求
- 在DLP(子类型 "应用安全")事件中验证: 查找威胁判定事件字段,并检查值是否设置为绕过文件大小 - 看到此值表示由于文件大小未达到要求的最小或最大范围,内容未被扫描。
- 内联DLP的最大文件大小为50MB(数据保护API为500MB)。
- 通常,您可以通过以下步骤识别幕后gzip行为:
- 打开浏览器开发工具,“网络”标签页
- 下载文件时,标识代表下载的请求(在Google套件中,最有可能通过过滤域名:*.googleusercontent.com 来识别,在下图的蓝色框内)。
- 在响应中寻找 Content-Encoding 标头(下图中的红色框)。 如果它是 gzip,则可以知道底层有压缩。
- 通常,您可以通过以下步骤识别幕后gzip行为:
- 对于 DLP OCR 配置文件 支持的文件大小在 10KB 到 50 MB 之间。
(4) 文件类型已识别且支持 DLP
- 在 DLP(子类型“应用安全”)事件中验证:查找表示 CATO 检测到的文件类别的文件类型字段
- 如果值为未知文件类型,这意味着 CATO 未能识别文件,并将其从内容扫描中豁免。
- Verify the file type is supported for DLP: audio, video, and binary files are not supported.
- 在匹配JAR文件时使用内容类型需要格外小心,因为.JAR文件可以是Zip档案或Java档案(JAR)文件。 有关更多详情,请参阅按来源代码匹配时数据控制规则无法在JAR文件上生效。
- For DLP OCR Profiles, supported file types include: PNG, JPEG, TIFF, BMP, PNM, WEBP, JPEG
文本文件检测限制
由于缺少特定指标标识,文本文件(例如CSV和TXT)的检测面临挑战。 我们的检测依赖于三个主要输入:
- Magiclib:文件的头部独特于其类型。 例如,PDF文件以具有标志性的头部开始(%PDF-1.5, %µµµµ等),这作为强烈的文件类型指示器。
- 超文本传输协议头:文件上传中的 "Content-Type" 头可以指示文件类型,例如在上传的Excel文件中是application/vnd.ms-excel。
- 文件名称后缀:在没有其他指示器或不确定的情况下使用,假设文件名称正确提取。
文本文件出现限制,因为:
- 它们缺乏独特的魔术头来区分类型(CSV、TXT、Python脚本)。
- 用于上传的超文本传输协议请求(例如,通过curl)可能没有足够的关于文件类型的元数据(例如"Content-Type"头)。
- 文件名可能不在超文本传输协议请求中。
- 如果事件中不存在文件名称,请联系支持。
这些因素可能使得区分POST/PUT请求中的简单文本体和实际的文本文件上传变得困难,可能导致数据泄露防护无法检测到这些文件。
有关数据泄露防护的其他已知限制,请参阅创建数据控制策略。
(5) 数据泄露防护配置文件匹配扫描内容
- 此步骤有助于确定问题是否源于数据类型与文件内容的不一致
- 数据泄露防护验证工具:使用测试文件验证数据类型是故障排除过程中一个重要且有用的步骤。 它提供了一种实践验证数据泄露防护规则的方法,能有效识别和解决问题。
- 关键词数据类型在.csv文件中成功验证的示例:
-
验证正则表达式:使用自定义数据类型和正则表达式时,正则表达式测试框变成了一个无价的资源。 它允许您测试正则表达式模式并验证其准确性。 建议您先在此处测试您的模式,以避免在数据泄露防护系统中产生不需要的结果。
- "导出提取的文本"选项可以用于检查DLP引擎扫描的文件解析文本数据:
- 例如,通过查看"导出提取的文本"选项生成的.txt文件,可以验证附加到文档的敏感度标签ID是否被检测到。 下面是对包含MIP标签的.docx进行解析的文本结果:mip-example.png
- 关键词数据类型在.csv文件中成功验证的示例:
0 条评论
请登录写评论。