本文讨论如何使用应用控制页面为您的账户配置数据泄露防护 (DLP) 数据控制策略。
数据控制策略允许您定义规则,以检查数据和内容在您的组织内部和外部的传输和移动方式。 应用控制页面支持三种类型的规则:CASB 应用控制、文件类型控制和数据泄露防护数据控制。 数据控制规则包含用于内容检查的其他设置,包括:
- 文件属性-支持超过40种不同类别的文件类型,包括:Microsoft Office、可执行文件和源代码。 此外,您可以优化规则以仅匹配特定范围的文件大小,或配置规则以匹配加密文件。
- DLP内容配置文件 - 这些配置文件可以根据超过30个国家和语言中的350种数据类型定义内容检查,包括:个人信息(PII)、财务和医疗数据。
应用控制策略是一个有序的规则库,允许您为应用程序和类别定义活动和所需条件。 每个规则定义一个应用程序或一个类别。 一旦规则与流量匹配,较低优先级的规则(匹配规则之下)将不适用于该流量。
规则库中的最终规则是一个隐式的ANY ANY 允许规则,因此,如果连接与任何规则不匹配,则由最终隐式规则允许。
数据泄露防护引擎具有识别并阻止通过密码加密的文件的能力。 这可以通过防止用户上传或下载隐藏在密码保护文件中的敏感数据来帮助保护您的信息。 数据泄露防护引擎不会扫描加密文件的内容,而是将其识别为加密文件并应用相关的规则操作。 由于引擎不会扫描文件内容,因此规则操作适用于所有加密文件,无论规则中配置的任何内容配置文件。 您可以根据组织的需求定义规则以允许或阻止加密文件。
数据泄露防护引擎检测到的加密文件包括以下类型的密码保护文件:Word、Excel、PowerPoint、ZIP和PDF
数据控制策略允许不同的管理员并行编辑策略。 每位管理员可以编辑规则并将更改保存到自己的私有修订,然后发布到账户策略(发布的修订版)。 有关如何管理策略修订的更多信息,请参见政策修订操作。
-
数据控制规则要求启用TLS检查以检查内容。
- Cato的细粒度TLS检查策略允许您创建仅检查与数据控制规则相关的流量的规则。
-
应用控制策略包含在CASB许可证中。 在应用控制策略中启用数据控制规则还需要DLP许可证。
有关购买上述许可证的更多信息,请联系您的Cato代表。
- 有关文件要求的信息,请参阅卡托DLP服务是什么。
- 如果检查时间超过10秒,DLP引擎将绕过文件。
- 使用Microsoft Copilot时,DLP仅支持文件上传,不支持提示。
-
- Bitbucket
- GitHub
在应用程序控制页面上使用数据控制规则来实施公司数据泄露防护策略,并定义由Cato Cloud安全堆栈阻止的内容。 本节描述了数据控制规则特有的字段和设置。 有关与应用控制规则相关的规则和设置的更多信息,请参见管理应用控制策略。
| 项目 | 描述 |
|---|---|
| 1 | 在策略中启用或禁用应用控制规则 |
| 2 | 在策略中启用或禁用数据控制规则 |
| 3 | 创建新的应用控制或数据控制规则 |
| 4 |
显示规则类型的图标:
|
| 5 |
标准列显示与此规则匹配的DLP内容配置文件 DLP内容配置文件配置在安全性 > DLP配置文件中 |
数据控制规则包含以下部分:
- 常规 - 您选择分配给规则的名称和严重性。 还可以启用或禁用该规则。
- 应用程序 - 预定义应用程序、类别、自定义应用程序或符合此规则的批准应用程序。 支持的应用程序仅出现在预定义应用程序列表中。
-
活动 - 对于数据控制规则,活动被简化以便于实施数据泄露防护策略。 选择规则是否适用于上行及/或下行流量。
-
对于应用程序,选择要应用操作的匹配活动。有关更多信息,请参见什么是Cato DLP服务?。
注意
注意:对于应用程序规则,您必须启用TLS检查以检查与规则匹配的流量。
- 对于类别,选择应用于操作的匹配活动或标准。
您必须为每个规则定义一个活动。
-
-
文件属性 - 定义与此规则匹配的数据的内容类型和文件大小,以及项目之间是与关系还是或关系。
- 内容类型 - 下拉菜单显示所有支持的文件内容类型以及文件扩展名和示例
- 内容大小 - 有关更多信息,请参阅卡托DLP服务是什么。
- 内容加密 - 对所有加密文件应用规则操作。 加密文件的内容无法被DLP引擎扫描。
- DLP配置文件 - DLP引擎可以识别超过350种数据类型,详见创建DLP内容配置文件。 您可以在数据类型之间选择与或关系来配置配置文件。
- 访问方法 - 主机和设备上的用户代理要求,可以连接到您的账户。
-
源 - 此规则的流量来源。
- 您可以将来源设置为国家/地区,以创建根据IP地理位置强制执行规则的流量。
- 有关规则的其他源项目的信息,请参阅规则对象参考。
- 时间 - 定义规则活动的时间范围。
- 操作 - 将指定的操作应用于匹配该规则的流量。 还要为事件和电子邮件通知定义跟踪选项。
创建新的数据控制规则,并配置规则设置以实现组织的DLP 数据控制策略。
时间选项定义了规则启用的时间范围。 您可以为规则配置自定义选项,或选择账户的默认工作时间。
创建新数据控制规则:
- 从导航菜单中,选择安全性 > 应用程序与数据内联。
- 确保数据控制已启用(绿色为启用,灰色为禁用)。
-
点击新增 > 数据控制规则。
数据控制规则面板打开。
- 展开常规部分并配置这些设置:
- 输入规则的名称。
- 使用滑块启用或禁用规则(绿色为启用,灰色为禁用)。
-
选择严重性。
严重性用于此规则的事件和监控分析。
-
在应用程序部分,选择任何应用程序,或者您可以选择将内容检查限制到特定应用程序或类别。
- 选择任何应用程序,当选择任何应用程序,规则适用于所有HTTP/S应用程序流量,包括互联网和广域网流量。
-
展开活动部分,并配置这些设置:
- 点击添加活动并为规则选择项目。
-
当活动部分中有多个项目时,在满足下拉菜单中定义项目之间的关系:
- 任何 (或) - 如果有任何项目匹配流量,则应用规则
- 全部 (与) - 如果所有项目匹配流量,则应用规则
-
在文件属性部分,您可以选择仅检查特定文件类型和文件大小的内容。
如果您未配置任何文件属性设置,则检查所有支持的文件类型和大小。
- 点击添加文件属性并选择内容类型、内容大小或内容加密。
- 为文件属性项目定义设置。
- 对于多个项目,定义项目之间的关系(见上文6b)。
-
在DLP 配置文件部分中,您可以添加现有的内容检查配置文件,并定义匹配此规则的数据类型。
如果某规则有多个数据泄露防护配置文件,则它们之间是与的关系。
-
展开访问方式部分,并定义用户代理要求。
如果有多个项目,它们之间是与的关系。
-
展开来源部分,并选择一个或多个对象作为该规则的流量来源(或者您可以输入一个 IP 地址)。
选择类型(如:主机、网络接口、IP、任何)。 默认值为任何身份验证方式。
-
(可选)展开时间部分,并定义规则激活的时间。
选择无时间限制以将规则设置为始终激活。
- 展开动作部分,并配置这些设置:
- 选择此规则的操作。 选项有允许和阻止。
-
(可选) 配置跟踪选项以生成 事件 和 发送通知。 频率在第一次通知发送之后开始计数。
有关通知的更多信息,请参阅警报部分中的订阅组、邮件列表 和 警报集成相关文章。
- 点击应用。
启用或禁用 DLP 失败关闭设置。 启用后,当文件扫描超时或由于其他问题无法完成时,数据控制策略会强制执行默认的阻止操作。 默认情况下,DLP 失败关闭设置为禁用。 有关DLP失败模式的更多信息,请参见什么是Cato DLP服务?。
事件页面显示您账号的所有数据控制事件。 这些安全事件是子类型,应用安全。
您可以在此处了解更多关于使用事件页面的信息。
这些是与应用控制唯一相关的字段:
| 字段名称 | 描述 |
|---|---|
| DLP配置文件 | 匹配此连接的DLP内容配置文件 |
| 文件名称 | 由DLP引擎扫描的文件名称 |
| 文件大小 | 由DLP引擎扫描的文件大小(以字节为单位) |
| 文件类型 | 文件内容类型(例如压缩档或Microsoft Office) |
如果某项活动被数据控制规则阻止,您可以配置向用户显示通知,解释哪个应用被阻止以及原因。 您可以自定义通知的内容和品牌形象以满足您组织的要求。
这是默认通知在 Windows 设备上的显示方式:
这是默认通知在 iOS 设备上的显示方式:
为了向用户传达某个操作为何被阻止,您可以创建并分配多个通知模板,并将其分配给 DNS 策略。 这让您能在执行时提供特定使用情况的上下文通知。 更多信息,请参阅创建用户通知模板。
0 条评论
请登录写评论。