Dépanner Data Loss Prevention
Dans chaque capteur DLP défini par l'utilisateur, vous pouvez modifier les paramètres qui déterminent la façon dont DLP analyse le contenu et la conduite à tenir en cas d'échec d'analyse du contenu.
Utilisation des Ressources DLP
Data Loss Prevention inspecte tout le trafic pour chaque connexion qui correspond aux modèles spécifiques.
Certaines règles DLP sont très gourmandes en ressources. L'activation de plusieurs capteurs et règles peut nuire visiblement à la performance de votre périphérique Firebox. Chaque capteur DLP nécessite plus d'espace mémoire, et le nombre de règles DLP configurées sur chaque capteur influence également l'espace mémoire utilisé par l'appareil. Sélectionnez uniquement les règles appropriées pour votre région et l'utilisation applicable à votre secteur d'activité. Ceci aidera également à réduire les éventuels faux positifs.
Sur de plus petits périphériques tels que Firebox T10 et T15 ou XTM 25 ou 26, WatchGuard vous recommande de ne pas utiliser plus d'un ou deux capteurs, et chacun ne doit pas contenir plus de 6 règles DLP. Pour les grands périphériques, vous pouvez configurer un grand nombre de capteurs.
Vous pouvez également contrôler l'utilisation des ressources à l'aide des Limites d'Analyse. Pour plus d'informations, consultez À propos des Limites d'Analyse de DLP.
Configuration DLP suggérée
Activez la DLP dans les actions de proxy suivantes qui gèrent le trafic sortant :
- Le Proxy SMTP sert à analyser les e-mails et pièces jointes.
- Le Proxy FTP peut analyser le contenu des fichiers envoyés par les utilisateurs.
- Le Proxy HTTP sert à analyser les publications réalisées par les utilisateurs sur des sites distants. (Le Proxy HTTPS nécessite l'inspection du contenu, et vous devez sélectionner un Proxy HTTP pour lequel la DLP est activée pour analyser le contenu inspecté.)
Tester la Configuration DLP
Pour vérifier que Data Loss Prevention fonctionne correctement, vous pouvez tenter d'envoyer des données qui déclencheront un capteur configuré.
Si vous devez empêcher la transmission d'enregistrements confidentiels de clients ou de patients, vous pouvez procéder au test en créant des enregistrements factices sous le format que vous utilisez et en tentant d'envoyer ces données par e-mail ou sur un site HTTP.
Plusieurs règles DLP ont un seuil minimum qui doit être dépassé pour que le contenu soit considéré comme une violation DLP. Ceci permet d'éviter les faux positifs. Pour plus de détails sur le seuil de chaque règle, consultez les Règles DLP sur le Portail de Sécurité WatchGuard.
Vous pouvez aussi utiliser cet ensemble de données de test avec le capteur d'audit PCI ou créer un capteur avec la règle Numéros d'identification nationaux avec termes qualificatifs [Global] activée.
- Numéro de sécurité sociale 1234
- Numéro de sécurité sociale 2345
- Numéro de sécurité sociale 3456
- Numéro de sécurité sociale 4567
- Numéro de sécurité sociale 5678
Dépanner la DLP
Pour dépanner les problèmes de DLP, vous devez examiner les journaux liés à la stratégie de proxy pour laquelle vous avez configuré un capteur Data Loss Prevention.
Impossible d'effectuer l'analyse DLP
Dans certains cas, une erreur de configuration ou erreur logicielle provoquera l'échec des analyses Data Loss Prevention. Assurez-vous que votre périphérique Firebox est configuré avec un serveur DNS valide et vérifiez les paramètres Data Loss Prevention sur votre périphérique.
Allow 1-Trusted 0-External tcp 10.0.1.3 100.100.100.3 62398 80 msg="ProxyAllow: HTTP Cannot perform DLP Scan" proxy_act="HTTP-Client.1" dlp_sensor="sample_dlp_test" error="Cannot Perform DLP scanning" (HTTP-proxy-00)
Par défaut, la DLP autorisera le passage de ce contenu lorsque cette erreur se produit.
Objet DLP Non Analysable
Ce message de journal indique que Data Loss Prevention n'est pas capable d'analyser un fichier et en indique la raison. Cette erreur se produit si le fichier est chiffré.
Allow 1-Trusted 0-External tcp 10.0.1.2 100.100.100.11 40608 80 msg="ProxyAllow: HTTP DLP Object Unscannable" proxy_act="HTTP-Client.2" dlp_sensor="PCI Audit Sensor.1" error="unscannable object (File was encrypted)" host="100.100.100.11" path="/password-protected.zip" (HTTP-proxy-00)
Objet DLP trop grand
Ce message de journal indique que Data Loss Prevention n'a pas analysé un fichier parce qu'il dépasse la limite d'analyse DLP maximale configurée. La limite par défaut est de 1 024 kilo-octets.
Allow 2-optional 0-External tcp 192.168.53.92 172.16.10.14 8902 80 msg="ProxyAllow: HTTP DLP Object Too Large" proxy_act="HTTP-Client.1" dlp_sensor="DLPSensor.1" error="DLP scan limit exceeded" (HTTP-proxy-00)