调查 DLP 违规行为时的证据分析

本文解释如何查看来自 DLP 政策违规事件中的证据。

概述

为调查 DLP 访问权限策略违规,您可以在 Cato 管理应用程序 (CMA) 中安全查看违规证据。 这让安全性团队快速了解事件上下文,评估潜在数据暴露,验证误报,并自信地微调 DLP 访问权限策略。

当生成 DLP 访问权限策略事件时,证据文件被加密并发送到已配置的安全存储目的地。 为了最大限度地减少数据暴露并确保合规性,这些文件只有在请求时才能由拥有相关权限的管理员查看。

注意:图片文件类型不支持

使用案例:调查通过 Slack 暴露的 PII

销售代表需要处理客户的退款。 他们发送 Slack 消息给其经理以批准退款,其中包括客户的地址。 配置了检测 PII 的 DLP 规则识别到客户的地址,阻止了消息并触发了事件。 Slack 消息被加密并安全地存储在 Amazon S3 存储桶中作为证据。

具有权限查看证据的安全性分析师开始调查事件。 作为调查的一部分,他们安全地查看 Slack 对话并确认 PII 数据被暴露。

确认政策违规行为确实发生后,安全性分析师可以联系相关员工并教育他们公司的数据保护政策。

启用查看证据

要启用查看证据,您需要:

  1. 启用您首选的证据安全存储选项
  2. 配置证据设置
  3. 为可以查看证据的管理员提供权限

第 1 步:启用证据的安全存储

证据存储在您选择的目的地,外部于 Cato。 要启用证据存储,您必须在 Cato 和支持的存储服务之间创建集成。 此集成允许 Cato 在触发 DLP 访问权限策略时,安全地写入加密的证据文件到您指定的存储。 有关配置集成的分步骤说明,请参见下面的链接。 支持的存储服务包括:

第 2 步:配置证据设置

要开始存储证据,您需要在 CMA 启用该功能。 您还可以选择仅显示证据摘录,或允许存储原始文件并在调查期间下载。

注意:所有证据始终加密,无法取消选中加密存储在已配置目的地的证据复选框

Forensics.png

要配置证据:

  1. 从导航菜单中,点击 安全性> 数据类型& 数据丢失防护配置文件
  2. 设置选项卡上,启用存储 DLP 证据切换。
  3. 要允许从事件下载原始证据文件,选择匹配时存储原始文件复选框。 如果此选项未选中,调查期间仅提供证据摘录。
  4. 选择证据存储的位置。
  5. 点击保存

第 3 步:为管理员提供权限

只有拥有DLP 证据权限的管理员可以在事件中查看证据。 您可以将此权限添加到现有自定义角色,或创建新的自定义角色并应用到相关管理员。 有关角色和权限的更多信息,请参阅使用 RBAC 管理管理员角色

Permissions.png

查看证据

可以从事件生成后由 DLP 规则违反生成的数据事件面板中获取证据。

注意:生成事件后,文件可能需要几分钟才能可供下载。

DLP_Draw.png

查看证据:

  1. 从导航菜单中,点击安全性> 数据保护以查看数据保护仪表板

  2. 违规规则排名中,点击要调查的规则。

    事件页面显示了由该规则生成的已设定过滤器事件。 有关更多信息,请参阅分析您网络中的事件

  3. 展开事件,在证据字段中,点击查看证据

    View_Forensics.png

    数据事件面板打开。

  4. 证据部分中,点击查看证据 ,然后在弹出框内点击确认

    Event.png

    证据显示在摘要中。 要访问完整文件,点击下载文件。 如果在步骤 2 中未选中匹配时存储原始文件复选框,此选项将呈灰色。

    Evidence.png

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论