Cómo solucionar problemas de DLP más frecuentes

Cómo solucionar problemas de DLP más frecuentes

27123
Created On 04/27/23 21:10 PM - Last Modified 06/06/23 20:55 PM


Objective


El propósito de este documento es proporcionar información útil (como solución de problemas básicos, recopilación de información para abrir casos de soporte) sobre los problemas de DLP más frecuentes.  

DLP Troubeshooting
Debido a que síntomas similares pueden ser causados por diferentes problemas, este documento primero presenta los síntomas más comunes.Siguiendo los enlaces se enumerarán las causas probables del problema y la información de solución de problemas correspondiente.  

Environment


  • Dlp
  • Panorama
  • Acceso Prisma/SaaS

Procedure


Síntomas

  1. La coincidencia de patrones esperada no generó incidente(s)
  2. El incidente no contiene el número correcto de coincidencias
  3. No se puede iniciar sesión en el portal de Enterprise DLP
  4. No se pueden ver los perfiles de datos DLP en Panorama
  5. No se pueden localizar las funciones DLP en seguridad de datos en Prisma Access/SaaS
  6. Problema con la carga del conjunto de datos EDM

La coincidencia de patrones esperada no generó incidente(s)

Causa(s) potencial(es):

  1. El patrón de datos necesita actualización/modificación
  2. El archivo de datos nunca se reenvió correctamente a la nube DLP
  3. Posible problema de configuración con perfiles de datos anidados

El incidente no contiene el número correcto de coincidencias

Causa(s) potencial(es):

  1. Es posible que el conjunto de datos de EDM no cumpla los requisitos
  2. Los partidos están bajo un nivel de confianza diferente al esperado

 No se puede iniciar sesión en el portal de Enterprise DLP

Causa(s) potencial(es):

  1. La plataforma en la nube está experimentando dificultades
  2. Error al incorporar DLP
  3. La cuenta utilizada para iniciar sesión en el portal no tiene derecho

 No se pueden localizar las funciones DLP en seguridad de datos en Prisma Access/SaaS

Causa(s) potencial(es):

  1. Error al incorporar DLP
  2. Es posible que la autorización de DLP no esté asociada correctamente con la administración del producto

    No se pueden ver los perfiles de datos DLP en Panorama

    Causa(s) potencial(es):

    1. Error al incorporar DLP
    2. Es posible que la autorización de DLP no esté asociada correctamente con la administración del producto

     Problema con la carga del conjunto de datos EDM

    Causa(s) potencial(es):

    1. Problema de permiso de carga de EDM
    2. Es posible que la autorización de DLP no esté asociada correctamente con la administración del producto

    El patrón de datos necesita actualización/modificación

    Cómo solucionar problemas:

    • Si se trata de un patrón de datos predefinido, recopile la información necesaria y abra un caso de soporte.
    • Si se trata de un patrón de datos personalizado:
      1. Incluya todas las variaciones de formatos de datos (por ejemplo, (xxx) xxx-xxxx, xxxxxxxxxx para números de teléfono) y palabras clave de proximidad (número de teléfono, número de teléfono, teléfono #, etc.).Tenga en cuenta que sin palabras clave de proximidad, los números de 10 dígitos se pueden identificar con muchas cosas.
      2. Utilice https://regex101.com para probar su regex
      3. Realice una prueba de control sobre el patrón de datos en cuestión, use un archivo de muestra de datos con https://dlptest.com para desencadenar un incidente.Esto probará el patrón de datos en su conjunto (incluidos los efectos de las palabras clave de proximidad, la puntuación del regex ponderado)
      4. Si aún tiene problemas, recopile la información necesaria y abra un caso de soporte.
     

    El archivo de datos nunca se reenvió correctamente a la nube DLP

    Cómo solucionar problemas:

    • Este problema requiere análisis de registro de firewall, generar archivos de soporte técnico en firewall(s), recopilar la información necesaria y abrir un caso de soporte.

    Posible problema de configuración con perfiles de datos anidados

    Cómo solucionar problemas:

    • Si hay alguna configuración conflictiva (entre los perfiles de datos primarios y secundarios), la configuración del perfil primario siempre se invalidará.  
      • Basado en archivos (sí/no)
      • No basado en archivos (sí/no)
      • Acción (alerta/bloqueo)
      • Tipo de archivo
      • Dirección
      • Gravedad del registro
     

    Es posible que el conjunto de datos de EDM no cumpla los requisitos

    Cómo solucionar problemas:

    • Se admiten hasta 120 millones de celdas con un máximo de 30 columnas.Por ejemplo, tiene un conjunto de datos EDM que contiene 30 columnas y 4 millones de filas y un segundo conjunto de datos EDM que contiene 6 columnas y 20 millones de filas. Ambos conjuntos de datos EDM son compatibles porque cada uno tiene 120 millones de celdas en cada conjunto de datos.
    • Se admiten hasta 500 millones de celdas para un solo usuario en todos los conjuntos de datos de EDM cargados en el servicio en la nube DLP.
    • Para que el conjunto de datos EDM funcione:
      • Una columna única, preferiblemente como SSN, correo electrónico, teléfono, CCN, MRN, UID Número de cuenta bancaria, etc., O una columna que puede contener valores duplicados pero cada recuento de duplicados no puede superar 12.
      • La columna debe ser una entrada de un solo valor, como SSN, correo electrónico, teléfono, CCN, MRN, UID Número de cuenta bancaria, etc. La columna no puede ser multivalor, como Dirección, Descripción
      • La definición de entrada de un solo valor está vinculada al tipo de datos que mencionamos en el archivo de configuración (junto con el uso del espacio).

     

    Los partidos están bajo un nivel de confianza diferente al esperado

    Cómo solucionar problemas:

    • Comprobar el valor de confianza para el perfil de filtrado de datos
    • Diferentes patrones de datos predefinidos pueden tener diferentes condiciones para distinguir el nivel de confianza, consulte los detalles correspondientes
    • Generalmente:
      • Un nivel de confianza de Bajo significa que el firewall administrado no utilizará palabras clave de proximidad.
      • Un nivel de confianza de Alto significa que el firewall administrado busca las palabras clave de proximidad de los primeros 200 caracteres de las expresiones regulares en el patrón antes de considerar que el patrón de datos de un archivo es una coincidencia.
    • Tenga en cuenta que los números de 10 dígitos pueden ser emparejados por múltiples patrones, y las palabras clave de proximidad son muy cruciales para las coincidencias precisas.Aunque no puede modificar un patrón predefinido, puede clonar un patrón predefinido y modificar (agregar/eliminar/modificar) las palabras clave de proximidad.
     

    La plataforma en la nube está experimentando dificultades

    Cómo solucionar problemas:

     

    Error al incorporar DLP

    Cómo solucionar problemas:

    • Vaya a servicios comunes -administración de inquilinos > > productos con licencia en https://apps.paloaltonetworks.com, busque DLP enterprise y asegúrese de que el estado dice "completado"
    • Recopilar la información necesaria y abrir un caso de soporte
     

    La cuenta utilizada para iniciar sesión en el portal no tiene derecho

    Cómo solucionar problemas:

    • Suponiendo que DLP se haya incorporado (y otros usuarios, por ejemplo, el administrador puede iniciar sesión), vaya a servicios comunes -> identificar y acceder / administración de acceso en https://apps.paloaltonetworks.com y verifique que el usuario tenga los permisos adecuados
     

    Es posible que la autorización de DLP no esté asociada correctamente con la administración del producto

    Cómo solucionar problemas:

    • Si había un derecho DLP anterior (por ejemplo, una licencia de prueba), la nueva licencia DLP de producción puede asociarse potencialmente con el ID de inquilino incorrecto y provocar este problema.
    • Recopilar la información necesaria y abrir un caso de soporte
     

    Problema de permiso de carga de EDM

    Cómo solucionar problemas:

    • EDM secure cli tiene dos métodos de autenticación
      • Si está aprovechando Enterprise DLP mediante la plataforma SASE, debe agregar una cuenta de servicio que incluya un ID de cliente y un secreto de cliente. Se utilizan para autenticar y conectar la aplicación EDM CLI al servicio en la nube DLP.
      • Otherise, puede crear un token de acceso en Enterprise DLP en el hub
    • Cuando utilice id de usuario/secret, además de establecer el client_id y el client_secret correctos, asegúrese de establecer have_access_token_refresh_token=no.  Todas estas configuraciones están dentro del archivo upload_config.properties
    • El token de acceso se genera en la aplicación DLP empresarial en el hub (DLP empresarial -configuración de > -> token de API).Tenga en cuenta que debe conservar una copia de los valores del token cuando lo cree.Una vez que pase la pantalla de creación, no hay forma de recuperar los valores del token.

     

      Additional Information


      Qué recopilar para el caso de soporte:

      • ID de inquilino de DLP (Cómo encontrar mi ID de inquilino de DLP )
      • ID de CSP (ver más abajo)
      • Asociación de productos DLP (¿qué producto usa DLP?)
      • Nombre del perfil de datos que incluye el patrón de datos en cuestión
      • Nombre del patrón de datos en cuestión
      • Archivo que debería activar la coincidencia de patrón de datos (el archivo real)
      • Hora del incidente
      • Número de serie de NGFW
       

      Cómo encontrar mi ID de CSP
      Other users also viewed:
      Actions
      • Print
      • Copy Link

        https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1Z5CAI&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

      Choose Language