Resolver Problemas de Data Loss Prevention
En cada DLP Sensor definido por el usuario, puede cambiar la configuración que controlan la manera en que el DLP escanea el contenido, y qué acción tomar si el contenido no se puede escanear.
Uso de Recursos de DLP
Data Loss Prevention inspecciona todo el tráfico para cada conexión que coincide con patrones específicos.
Algunas reglas de DLP hacen un uso intensivo de recursos. Si habilita demasiados sensores y reglas, el desempeño de su dispositivo Firebox podría verse notablemente afectado. Cada DLP sensor requiere espacio adicional en la memoria, y el número de las reglas de DLP que se configuran en cada sensor también afecta la cantidad de memoria usada por el dispositivo. Seleccione solo aquellas reglas que sean adecuadas para su región y el uso que sea relevante para su industria. Esto también ayudará a minimizar cualquier falso positivo potencial.
En dispositivos más pequeños, como Firebox T10, T15 y XTM 25 o 26, WatchGuard le recomienda utilizar no más de uno o dos sensores y cada sensor no debe contener más de 6 reglas de DLP. Para dispositivos más grandes puede configurar un número mayor de sensores.
También puede controlar el uso del recurso con los Límites de Escaneo. Para más información, consulte Acerca de los Límites de Escaneo de DLP.
Configuración Sugerida de DLP
Habilite el DLP en aquellas acciones de proxy que manejen tráfico saliente:
- Proxy SMTP para escanear el contenido de mensajes y adjuntos de correo electrónico.
- Proxy FTP para escanear el contenido en los archivos cargados por los usuarios.
- Proxy HTTP para escanea publicaciones de los usuarios a los sitios remotos. (El Proxy HTTPS requiere la inspección de contenido, y debe seleccionar un Proxy HTTP con DLP habilitado para escanear el contenido examinado.).
Probar la Configuración de DLP
Para confirmar que Data Loss Prevention está funcionando correctamente, puede intentar enviar los datos que activarán un sensor configurado.
Si necesita prevenir la transmisión de los registros confidenciales del cliente o del paciente, puede hacer una prueba creando registros simulados con el formato que utiliza e intentando enviar éstos por correo electrónico o a un sitio HTTP.
Muchas reglas de DLP tienen un umbral mínimo que debe alcanzarse antes de que el contenido se convierta en una violación de DLP. Esto previene falsos positivos. Para obtener más detalles sobre el umbral para cada regla, revise las Reglas de DLP en el Portal de Seguridad de WatchGuard.
De forma alternativa, puede usar este conjunto de datos de prueba con el PCI Audit Sensor o crear un sensor con la regla Números de identificación nacionales con términos calificativos [Globales] habilitada.
- Número de seguro social 1234
- Número de seguro social 2345
- Número de seguro social 3456
- Número de seguro social 4567
- Número de seguro social 5678
Resolución de Problemas de DLP
Para resolver problemas de DLP, debe examinar los registros relacionados con la política de proxy en la que ha configurado un sensor de Data Loss Prevention.
No se puede realizar el escaneo de DLP
En algunos casos, un error de configuración o software hará que todos los escaneos de Data Loss Prevention fallen. Asegúrese de que su dispositivo de Firebox esté configurado con un servidor DNS válido y revise la configuración de Data Loss Prevention en su dispositivo.
Permitir 1-Trusted 0-External tcp 10.0.1.3 100.100.100.3 62398 80 msg="ProxyAllow: HTTP Cannot perform DLP Scan" proxy_act="HTTP-Client.1" dlp_sensor="sample_dlp_test" error="Cannot Perform DLP scanning" (HTTP-proxy-00)
De forma predeterminada, DLP permitirá que el contenido pase cuando ocurre este error.
Objeto DLP No Escaneable
Este mensaje de registro indica que Data Loss Prevention no puede escanear un archivo y especifica el motivo. Este error ocurre si el archivo está cifrado.
Permitir 1-Trusted 0-External tcp 10.0.1.2 100.100.100.11 40608 80 msg="ProxyAllow: HTTP DLP Object Unscannable" proxy_act="HTTP-Client.2" dlp_sensor="PCI Audit Sensor.1" error="unscannable object (File was encrypted)" host="100.100.100.11" path="/password-protected.zip" (HTTP-proxy-00)
Objeto de DLP Demasiado Grande
Este mensaje de registro indica que Data Loss Prevention no escaneó un archivo porque excedió el límite máximo de escaneo de DLP configurado. El límite predeterminado es 1024 kilobytes.
Permitir 2-optional 0-External tcp 192.168.53.92 172.16.10.14 8902 80 msg="ProxyAllow: HTTP DLP Object Too Large" proxy_act="HTTP-Client.1" dlp_sensor="DLPSensor.1" error="DLP scan limit exceeded" (HTTP-proxy-00)