Beheben häufig auftretender DLP-Probleme

Beheben häufig auftretender DLP-Probleme

27123
Created On 04/27/23 21:10 PM - Last Modified 06/06/23 20:55 PM


Objective


Der Zweck dieses Dokuments besteht darin, nützliche Informationen (z. B. grundlegende Fehlerbehebung, Informationssammlung zum Öffnen von Supportfällen) zu den am häufigsten auftretenden DLP-Problemen bereitzustellen.  

DLP-Troubeshooting
Da ähnliche Symptome durch unterschiedliche Probleme verursacht werden können, werden in diesem Dokument zunächst die häufig auftretenden Symptome vorgestellt.Wenn Sie den Links folgen, werden die wahrscheinlichen Ursachen des Problems und die entsprechenden Informationen zur Fehlerbehebung aufgelistet.  

Environment


  • Dlp
  • Panorama
  • Prisma Access/SaaS

Procedure


Symptome

  1. Der erwartete Musterabgleich hat keine Vorfälle generiert
  2. Der Vorfall enthält nicht die richtige Anzahl von Übereinstimmungen
  3. Anmeldung beim Enterprise DLP-Portal nicht möglich
  4. DLP-Datenprofile können in Panorama nicht angezeigt werden
  5. DLP-Funktionen können in Prisma Access/SaaS nicht unter Datensicherheit gefunden werden
  6. Problem beim Hochladen des EDM-Datensatzes

Der erwartete Musterabgleich hat keine Vorfälle generiert

Mögliche Ursache(n):

  1. Datenmuster muss aktualisiert/geändert werden
  2. Die Datendatei wurde nie korrekt an die DLP-Cloud weitergeleitet
  3. Potenzielles Konfigurationsproblem mit verschachtelten Datenprofilen

Der Vorfall enthält nicht die richtige Anzahl von Übereinstimmungen

Mögliche Ursache(n):

  1. EDM-Datensatz erfüllt möglicherweise nicht die Anforderungen
  2. Übereinstimmungen unterliegen einem anderen Konfidenzniveau als erwartet

 Anmeldung beim Enterprise DLP-Portal nicht möglich

Mögliche Ursache(n):

  1. Cloud-Plattform hat Schwierigkeiten
  2. Onboarding von DLP fehlgeschlagen
  3. Das Konto, das für die Anmeldung beim Portal verwendet wird, ist nicht berechtigt

 DLP-Funktionen können in Prisma Access/SaaS nicht unter Datensicherheit gefunden werden

Mögliche Ursache(n):

  1. Onboarding von DLP fehlgeschlagen
  2. Die DLP-Berechtigung ist möglicherweise nicht ordnungsgemäß mit der Verwaltung des Produkts verknüpft

    DLP-Datenprofile können in Panorama nicht angezeigt werden

    Mögliche Ursache(n):

    1. Onboarding von DLP fehlgeschlagen
    2. Die DLP-Berechtigung ist möglicherweise nicht ordnungsgemäß mit der Verwaltung des Produkts verknüpft

     Problem beim Hochladen des EDM-Datensatzes

    Mögliche Ursache(n):

    1. Problem mit der EDM-Upload-Berechtigung
    2. Die DLP-Berechtigung ist möglicherweise nicht ordnungsgemäß mit der Verwaltung des Produkts verknüpft

    Datenmuster muss aktualisiert/geändert werden

    Wie man sich stört:

    • Wenn es sich um ein vordefiniertes Datenmuster handelt, sammeln Sie die erforderlichen Informationen und eröffnen Sie einen Supportfall.
    • Wenn es sich um ein benutzerdefiniertes Datenmuster handelt:
      1. Beziehen Sie alle Variationen von Datenformaten (z. B. (xxx) xxx-xxxx, xxxxxxxxxx für Telefonnummern) und Proximity-Schlüsselwörter (Telefonnummer, Tel.-Nr., Telefon # usw.) ein.Denken Sie daran, dass ohne Proximity-Keywords 10-stellige Zahlen mit vielen Dingen identifiziert werden können.
      2. Verwenden Sie https://regex101.com , um Ihren regulären Ausdruck zu testen
      3. Führen Sie einen Kontrolltest für das betreffende Datenmuster durch, und verwenden Sie eine Datenbeispieldatei mit https://dlptest.com , um einen Vorfall auszulösen.Dadurch wird das Datenmuster als Ganzes getestet (einschließlich der Auswirkungen von Proximity-Schlüsselwörtern, der Bewertung der gewichteten Regex)
      4. Wenn Sie weiterhin Probleme haben, sammeln Sie die erforderlichen Informationen und eröffnen Sie einen Supportfall.
     

    Die Datendatei wurde nie korrekt an die DLP-Cloud weitergeleitet

    Wie man sich stört:

    • Dieses Problem erfordert eine Analyse des Firewall-Protokolls, das Generieren von Dateien für den technischen Support auf Firewall(s), das Sammeln der erforderlichen Informationen und das Öffnen eines Support-Falls.

    Potenzielles Konfigurationsproblem mit verschachtelten Datenprofilen

    Wie man sich stört:

    • Wenn es widersprüchliche Einstellungen gibt (zwischen übergeordneten und untergeordneten Datenprofilen), werden die Einstellungen des übergeordneten Profils immer überschrieben.  
      • Dateibasiert (ja/nein)
      • Nicht dateibasiert (ja/nein)
      • Aktion (Warnung/Sperre)
      • Dateityp
      • Richtung
      • Schweregrad des Protokolls
     

    EDM-Datensatz erfüllt möglicherweise nicht die Anforderungen

    Wie man sich stört:

    • Es werden bis zu 120 Millionen Zellen mit maximal 30 Spalten unterstützt.Angenommen, Sie haben ein EDM-Dataset mit 30 Spalten und 4 Millionen Zeilen und ein zweites EDM-Dataset mit 6 Spalten und 20 Millionen Zeilen. Beide EDM-Datensätze werden unterstützt, da sie jeweils 120 Millionen Zellen in jedem Datensatz enthalten.
    • Bis zu 500 Millionen Zellen werden für einen einzelnen Benutzer in allen EDM-Datensätzen unterstützt, die in den DLP-Clouddienst hochgeladen wurden.
    • Damit der EDM-Datensatz funktioniert:
      • Eine eindeutige Spalte, vorzugsweise wie SSN, E-Mail, Telefon, CCN, MRN, UID-Bankkontonummer usw., Oder eine Spalte, die doppelte Werte enthalten kann, aber jede Anzahl von Duplikaten darf 12 nicht überschreiten.
      • Bei der Spalte muss es sich um einen einwertigen Eintrag handeln, z. B. SSN, E-Mail, Telefon, CCN, MRN, UID-Bankkontonummer usw. Die Spalte kann nicht mehrwertig sein, z. B. Adresse, Beschreibung
      • Die Definition des einwertigen Eintrags ist an den Datentyp gebunden, den wir in der Konfigurationsdatei erwähnen (zusammen mit der Verwendung von Speicherplatz).

     

    Übereinstimmungen unterliegen einem anderen Konfidenzniveau als erwartet

    Wie man sich stört:

    • Überprüfen des Konfidenzwerts für das Datenfilterprofil
    • Unterschiedliche vordefinierte Datenmuster können unterschiedliche Bedingungen zur Unterscheidung des Konfidenzniveaus haben, siehe entsprechende Details
    • Allgemein:
      • Ein Konfidenzniveau von Niedrig bedeutet, dass die verwaltete Firewall keine Proximity-Schlüsselwörter verwendet.
      • Ein Konfidenzniveau von Hoch bedeutet, dass die verwaltete Firewall nach den Näherungsschlüsselwörtern der ersten 200 Zeichen der regulären Ausdrücke im Muster sucht, bevor sie das Datenmuster in einer Datei als Übereinstimmung betrachtet.
    • Denken Sie daran, dass eine 10-stellige Zahl durch mehrere Muster abgeglichen werden kann, und Proximity-Keywords sind sehr wichtig für genaue Übereinstimmungen.Sie können zwar kein vordefiniertes Muster ändern, aber Sie können ein vordefiniertes Muster klonen und die Proximity-Schlüsselwörter ändern (hinzufügen/entfernen/ändern).
     

    Cloud-Plattform hat Schwierigkeiten

    Wie man sich stört:

     

    Onboarding von DLP fehlgeschlagen

    Wie man sich stört:

    • Gehen Sie zu allgemeine Dienste -> Mandantenverwaltung -> lizenzierte Produkte auf https://apps.paloaltonetworks.com, suchen Sie nach DLP Enterprise und stellen Sie sicher, dass der Status "abgeschlossen" lautet.
    • Sammeln Sie die erforderlichen Informationen und eröffnen Sie einen Support-Fall
     

    Das Konto, das für die Anmeldung beim Portal verwendet wird, ist nicht berechtigt

    Wie man sich stört:

    • Angenommen, DLP wurde integriert (und andere Benutzer, z. B. ein Administrator, können sich anmelden), gehen Sie zu allgemeinen Diensten -> identifizieren &; Zugriffs-/Zugriffsverwaltung auf https://apps.paloaltonetworks.com und überprüfen Sie, ob der Benutzer über die richtigen Berechtigungen verfügt
     

    Die DLP-Berechtigung ist möglicherweise nicht ordnungsgemäß mit der Verwaltung des Produkts verknüpft

    Wie man sich stört:

    • Wenn zuvor eine DLP-Berechtigung (z. B. Testlizenz) vorhanden war, kann die neue Produktions-DLP-Lizenz möglicherweise mit der falschen Mandanten-ID verknüpft werden und zu diesem Problem führen
    • Sammeln Sie die erforderlichen Informationen und eröffnen Sie einen Support-Fall
     

    Problem mit der EDM-Upload-Berechtigung

    Wie man sich stört:

    • Die sichere EDM-CLI verfügt über zwei Authentifizierungsmethoden
      • Wenn Sie Enterprise DLP mit der SASE-Plattform nutzen, müssen Sie ein Dienstkonto hinzufügen, das eine Client-ID und einen geheimen Clientschlüssel enthält. Diese werden verwendet, um die EDM-CLI-Anwendung zu authentifizieren und mit dem DLP-Clouddienst zu verbinden.
      • Andernfalls können Sie ein Zugriffstoken für Enterprise DLP auf dem Hub erstellen
    • Wenn Sie die Benutzer-ID/Secret verwenden, stellen Sie sicher, dass Sie zusätzlich zum Festlegen der richtigen client_id und client_secret have_access_token_refresh_token=no festlegen.  Alle diese Einstellungen befinden sich in upload_config.properties-Datei
    • Das Zugriffstoken wird in der Enterprise-DLP-App auf dem Hub generiert (Enterprise-DLP -> Einstellungen -> API-Token).Beachten Sie, dass Sie eine Kopie der Tokenwerte aufbewahren müssen, wenn Sie sie erstellen.Sobald Sie den Erstellungsbildschirm hinter sich gelassen haben, gibt es keine Möglichkeit mehr, die Token-Werte abzurufen.

     

      Additional Information


      Was für den Supportfall gesammelt werden soll:

      • DLP-Mandanten-ID (So finden Sie meine DLP-Mandanten-ID )
      • CSP-ID (siehe unten)
      • DLP-Produktzuordnung (welches Produkt verwendet DLP?)
      • Name des Datenprofils, das das betreffende Datenmuster enthält
      • Fraglicher Name des Datenmusters
      • Datei, die eine Datenmusterübereinstimmung auslösen soll (die eigentliche Datei)
      • Zeitpunkt des Vorfalls
      • Seriennummer der NGFW
       

      So finden Sie meine CSP-ID
      Other users also viewed:
      Actions
      • Print
      • Copy Link

        https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1Z5CAI&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

      Choose Language