أستكشاف أخطاء DLP في الوقت الحقيقي وإصلاحها باستخدام Cisco Secure Access

توريط

يصف هذا المستند خطوات أستكشاف الأخطاء وإصلاحها لمشكلات منع فقدان البيانات (DLP) في الوقت الفعلي أو داخل بيئة عبارة الويب الآمنة (SWG).

المتطلبات الأساسية والتحذيرات

• فحص HTTPS: تأكد من تمكين فحص HTTPS. يتعذر على DLP فحص حركة المرور المشفرة. تأكد من فك تشفير موقع الويب باستخدام CA أو CA المخصص لجذر الوصول الآمن من Cisco. 
• بروتوكول QUIC: تعطيل بروتوكول QUIC في جميع المستعرضات. تستخدم Quic بروتوكول UDP، الذي يتجاوز SWG ويمنع مسح DLP.
• بروتوكول IPv6: قم بتعطيل IPv6 إذا لم تكن حركة المرور تصل إلى SWG، نظرا لأنه يجب أن تتسبب وظائف المكدس المزدوج في حدوث عمليات تجاوز.
• نهج الأمان: تأكد من عدم تمكين قاعدة الوصول "السماح - تجاوز الأمان" أو "العزل".
  
  

نظرة عامة

DLP في السطر هي ميزة المسح الضوئي الموسع ل SWG. إنه يراقب أو يمنع تحميل البيانات الحساسة أو السرية أو المعرفة الشخصية في الملفات التي تم تحميلها عبر وكيل SWG. يقوم العملاء بإنشاء تصنيفات بيانات باستخدام معرفات معرفة من Cisco (على سبيل المثال، بطاقات الائتمان أو أرقام الضمان الاجتماعي) أو كلمات أساسية مخصصة. يتم تطبيق هذه التصنيفات على نهج DLP المعينة للهويات والوجهات المحددة. يمسح محرك DLP طرق HTTP و PUT و PATCH فقط.

القائمة المرجعية العامة لاستكشاف الأخطاء وإصلاحها

إذا لم يكن كشف DLP يحدث، فتحقق من الخطوات المحددة:

• الاتصال: تأكد من أن العميل يستخدم SWG بزيارة http://policy.test.sse.cisco.com. تحقق من تطبيق مركز بيانات SWG الصحيح ومن أن نتيجة الاختبار تظهر "محمي بواسطة الوصول الآمن"."
• فك التشفير: تأكد من تمكين فك تشفير SSL في ملف تعريف الأمان. تحقق من عدم وجود إستثناءات لقائمة "عدم فك التشفير" أو "عدم فك التشفير".
• توجيه حركة المرور: تأكد من عدم وجود تجاوز مجال خارجي تم تكوينه في إعدادات إنترنت.
• الهوية: إذا كانت نهج DLP تعتمد على مجموعات Active Directory، فأكد أن المستخدم عضو في المجموعة الصحيحة.
• إعدادات التطبيق: تأكد من تعطيل إعدادات التوافق مع Office 365 Bypass أو M365 في حالة إستخدام مجال Microsoft ل DLP.
• البحث عن الأنشطة: أستخدم Reporting > Activity Search للتأكد من أن عنوان URL الكامل مرئي (تم فك تشفيره) وأن الهوية المتوقعة مرتبطة بحركة المرور. تحقق من إعداد التقارير > منع فقدان البيانات لتأكيد ما إذا كان قد تم تسجيل نشاط المراقبة أو الحظر.
• تكوين النهج: تحقق من تكوين نهج DLP لتطبيق الهوية والوجهة الصحيح.
• الاختبار: أستخدم وجهة جيدة معروفة (على سبيل المثال، pastebin.com أو dlptest.com) وعينة جيدة معروفة من وثائق Cisco.
• بيانات الدعم: اجمع ملف HAR من المستخدم للتحقق من توجيه حركة المرور من خلال SWG وفحص بحثا عن رؤوس SWG.
  
  

أستكشاف أخطاء السلبيات الخاطئة وإصلاحها

إذا كان DLP نشطا ولكنه فشل في تشغيل مصنف محدد، فتحقق من المناطق التالية:

التصنيفات والملفات والسلاسل

• حالة الملف: تأكد من أن الملف غير مشفر أو غير قابل للمسح الضوئي. قم بالاختبار باستخدام ملف نصي بسيط.
• الحدود: تحقق من إعدادات العتبة والقرب في النهج > تصنيف البيانات. قد يتطلب المصنف عددا أكبر من عمليات الوصول أو القرب من سلسلة مخصصة.
• أنماط regex: أستخدم أداة على الإنترنت (على سبيل المثال، regexr.com) لتصور الحشوات. قم بتبسيط النمط للإمساك بجزء أصغر من السلسلة والتوسع تدريجيا.

تسميات الملفات

• التوافق: لا يعمل اكتشاف تسمية الملف ل Convergence أو JIRA.
• البيانات الأولية: فتح خصائص المستند في تطبيق Microsoft. يجب أن تتطابق القيمة تماما مع تسمية ملف Umbrella؛ هذا حساس لحالة الأحرف.
• التشفير: اكتشاف التسمية لا يعمل للملفات المحمية بكلمة مرور أو المشفرة.

مواقع الويب والوجهات

• التطبيقات المدعومة: راجع قائمة التطبيقات المدعومة. بالنسبة للتطبيقات غير المدعومة أو "كافة الوجهات"، يتم مسح أنواع MIME المحددة فقط.
• التطبيقات التي تم فحصها: يتم مسح التطبيقات التي تم فحصها (على سبيل المثال، dlptest.com) ضوئيا بشكل أكثر شمولا. لا يمكن مسح مواقع الويب العشوائية إلا بحثا عن انتهاكات الملفات.
• أسماء الملفات: يبحث النظام عن أسماء الملفات فقط لتطبيقات محددة تم فحصها.
  
  

أستكشاف أخطاء الإيجابيات وإصلاحها

إذا تطابق DLP مع المحتوى بشكل غير متوقع، فتحقق من اسم المصنف وقاعدة DLP في إعداد التقارير > منع فقدان البيانات. إذا كان الكشف شرعيا ولكن غير مرغوب فيه، قم بضبط إعدادات الحدود أو التقارب لتحسين النهج.

دعم تطبيق سطح المكتب

يتم توفير الدعم للتطبيقات القائمة على أجهزة الكمبيوتر المكتبية (على سبيل المثال، Outlook أو Teams أو Google Workspace) على أساس أفضل الجهود. تعتمد الفعالية على تنسيق الرسالة المستخدم أثناء تحميل الملفات، والذي قد يختلف بين الإصدارات المستندة إلى الويب وإصدارات سطح المكتب. بالنسبة للتطبيقات التي لم يتم فحصها، لا يوجد تأكيد على دعم عمليات تحميل الملفات.

علامات مرور فئة DLP

• أرقام بطاقات الائتمان: يتم إستخدام خوارزمية لون للتحقق من الصحة. قم بالاختبار فقط باستخدام أرقام بطاقات ائتمان صالحة.
• أسماء الأشخاص: يتطلب كلمات من 2 إلى 3، ويجب أن تكون كل كلمة كبيرة.
• مجموعات الأسماء: يلزم وجود سلسلة فاصل بين الاسم وبيانات أخرى (على سبيل المثال، تطابقات "Viagra - John Smith"، لكن "Viagra John Smith" لا تتطلب ذلك).
• تاريخ الميلاد: يجب أن يكون قريبا من كلمة أساسية أو رأس مثل "dob" أو "تاريخ الميلاد".
• محتوى غير مقبول: تمنع سلاسل إستثناء معينة هذا المصنف من التشغيل إذا كان النص يشبه كتابا أو تقريرا.
• الرمز البريدي: يجب أن يكون على مقربة من كلمات أساسية محددة تتعلق بموقع معين.
  
  

مطابقة البيانات الدقيقة (EDM)

قبل التحقق من EDM، تأكد من تشغيل المسح العام ل DLP. بالنسبة للمشكلات الخاصة ب EDM، تحقق من أن حقل "آخر تحرير" حالي في لوحة المعلومات وتحقق من إخراج أداة الفهرسة.

إستخدام الأوامر:

قم بتشغيل أداة الفهرسة باستخدام خيار -D لإنشاء ملف مرشح Bloom (.blm). يتم إستخدام هذا الأمر للتحقق من فهرس EDM واستكشاف أخطاء السجلات وإصلاحها. ترشد علامة D الأداة لإخراج ملف مرشح التزاوج التشخيصي، والذي يجب مشاركته مع الدعم مع نموذج ملف أو بيانات أداة مطور الويب/HAR.