Безопасность : устройство защиты веб-трафика Cisco

Почему мой тестовый POST не становится обновленным в "Журналах Безопасности данных"?

21 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Внесенный Kei Ozaki и Siddharth Rajpathak, специалистами службы технической поддержки Cisco.

Вопрос:

То, почему не делает моего тестового запроса POST, обновлено в "Журналах Безопасности данных" на Cisco Web Security Appliance (WSA)?

Признаки:
"Журналы безопасности данных" не обновляют даже при том, что запросы POST отправляются через WSA.
"Журнал доступа" обновляет и показывает, что запросы POST работают должным образом.

Решение:
Размер запроса POST, который по существу является загружаемым объемом данных, определил бы, просмотрен ли запрос фильтрами безопасности данных на коробке или предотвращением Потери внешних данных (DLP) политика

По умолчанию WSA имеет минимальный предел размера в байтах 4096 байтов (4K) для DLP для инициирования. Этот минимальный размер в байтах должен избежать ошибочных допусков от DLP, просмотрев, как это избегает загрузок как входы в систему веб-сайта, которые являются маленькими запросами POST.

Таким образом, любой запрос/загрузка POST ниже предела 4K не был бы зарегистрирован в "Журналах Безопасности данных". Однако, WSA обработает запрос POST и сделает запись транзакции в "Журнале Доступа"

Для DLP на коробке (Фильтры безопасности данных)
Мы можем изменить предел сканирования по умолчанию от CLI WSA с помощью команды: datasecurityconfig

Для отдельного DLP (внешний DLP)

Мы можем изменить предел сканирования по умолчанию от CLI WSA с помощью команды: externaldlpconfig

Значение по умолчанию для обоих вышеупомянутые команды составляет 4096 байтов.



Document ID: 118096