数据筛选最佳做法
57928
Created On 09/25/18 18:59 PM - Last Modified 08/15/24 19:10 PM
Environment
Resolution
数据筛选存在两个签名:
- 信用卡: 设备将查找16位数字, 并将通过哈希算法运行。 它必须与哈希算法匹配, 然后才能将其检测为信用卡号。 这种方法的假阳性较少。
- 社会保险号: 无论格式如何, 都被检测为任意9位数字。 这很容易产生假阳性。
重要的是要确定哪些类型的文件, 以寻找信用卡和社会安全号码。
附在本文档上的是两个文档文件,可用于测试 policy 。 一个有伪造的社会保险号码和其他假信用卡号码。
设置配置文件以检测两个关键字并触发警报。 第二个条件--如果设备看到任何文件, 其中有10九位数字或10张信用卡号码, 或者两者的组合都是10。
- 设置自定义数据模式。
- 设置数据模式配置文件。
- 在安全配置文件中设置数据模式。
自定义数据模式按以下方式设置:
- 将自定义数据模式的权重设置为10。
- 将社会保险和信用卡设置为 1 (见下面的截图)。
- 将数据筛选配置文件设置为在10上触发 (请参见下面的截图)。
- 将此配置文件添加到安全规则中。 此规则将在上述条件下查找数据模式和警报。这应该可以防止某些错误检测。
监视数据筛选器日志
日志项旁边的绿色箭头是对触发数据筛选的单个数据包的数据包捕获。
为了保护 packetcaptures 中包含的数据, 可以启用 Dta 保护, 以保护所有 packetcaptures 的密码。 密码可以从设备设置>设置>内容 ID ->管理数据保护
注意: 本文 KB 档附有两个测试文件,可用于确认 policy 该文件是否正常工作。