Comment faire pour résoudre les problèmes DLP fréquemment rencontrés

Comment faire pour résoudre les problèmes DLP fréquemment rencontrés

27123
Created On 04/27/23 21:10 PM - Last Modified 06/06/23 20:55 PM


Objective


L’objectif de ce document est de fournir des informations utiles (telles que le dépannage de base, la collecte d’informations pour l’ouverture de demandes de support) sur les problèmes DLP les plus fréquemment rencontrés.  

DLP Troubeshooting
Étant donné que des symptômes similaires peuvent être causés par différents problèmes, ce document présente d’abord les symptômes fréquemment rencontrés.Suivre les liens répertorie les causes probables du problème et les informations de dépannage correspondantes.  

Environment


  • Dlp
  • Panorama
  • Prisma Access/SaaS

Procedure


Symptômes

  1. L’appariement attendu des modèles n’a pas généré d’incident(s)
  2. L’incident ne contient pas le nombre correct de correspondances
  3. Impossible de se connecter au portail Enterprise DLP
  4. Impossible d’afficher les profils de données DLP dans Panorama
  5. Impossible de localiser les fonctions DLP sous la sécurité des données dans Prisma Access/SaaS
  6. Problème de téléchargement de l’ensemble de données EDM

L’appariement attendu des modèles n’a pas généré d’incident(s)

Cause(s) potentielle(s) :

  1. Le modèle de données doit être mis à jour/modifié
  2. Le fichier de données n’a jamais été transféré correctement vers le cloud DLP
  3. Problème de configuration potentiel avec les profils de données imbriqués

L’incident ne contient pas le nombre correct de correspondances

Cause(s) potentielle(s) :

  1. L’ensemble de données EDM peut ne pas répondre aux exigences
  2. Les matchs sont sous un niveau de confiance différent de celui attendu

 Impossible de se connecter au portail Enterprise DLP

Cause(s) potentielle(s) :

  1. La plateforme cloud rencontre des difficultés
  2. Échec de l’intégration de DLP
  3. Le compte utilisé pour se connecter au portail n’est pas autorisé

 Impossible de localiser les fonctions DLP sous la sécurité des données dans Prisma Access/SaaS

Cause(s) potentielle(s) :

  1. Échec de l’intégration de DLP
  2. Le droit DLP peut ne pas être associé correctement à la gestion du produit

    Impossible d’afficher les profils de données DLP dans Panorama

    Cause(s) potentielle(s) :

    1. Échec de l’intégration de DLP
    2. Le droit DLP peut ne pas être associé correctement à la gestion du produit

     Problème de téléchargement de l’ensemble de données EDM

    Cause(s) potentielle(s) :

    1. Problème d’autorisation de téléchargement EDM
    2. Le droit DLP peut ne pas être associé correctement à la gestion du produit

    Le modèle de données doit être mis à jour/modifié

    Comment faire pour dépanner:

    • S’il s’agit d’un modèle de données prédéfini, collectez les informations nécessaires et ouvrez un dossier de support.
    • S’il s’agit d’un modèle de données personnalisé :
      1. Inclure toutes les variantes de formats de données (par exemple (xxx) xxx-xxxx, xxxxxxxxxx pour les numéros de téléphone) et les mots-clés de proximité (numéro de téléphone, numéro de téléphone, # de téléphone, etc.).Gardez à l’esprit que sans mots-clés de proximité, les nombres à 10 chiffres peuvent être identifiés avec beaucoup de choses.
      2. Utilisez https://regex101.com pour tester votre regex
      3. Effectuez un test de contrôle sur le modèle de données en question, utilisez un fichier d’exemple de données avec https://dlptest.com pour déclencher un incident.Cela permettra de tester le modèle de données dans son ensemble (y compris les effets des mots-clés de proximité, le score des regex pondérés)
      4. Si vous rencontrez toujours des problèmes, collectez les informations nécessaires et ouvrez un dossier d’assistance.
     

    Le fichier de données n’a jamais été transféré correctement vers le cloud DLP

    Comment faire pour dépanner:

    • Ce problème nécessite une analyse du journal du pare-feu, Générer des fichiers de support technique sur le(s) pare-feu(s), collecter les informations nécessaires et ouvrir un dossier de support.

    Problème de configuration potentiel avec les profils de données imbriqués

    Comment faire pour dépanner:

    • S’il existe des paramètres conflictuels (entre les profils de données parent et enfant), les paramètres du profil parent seront toujours remplacés.  
      • Basé sur un fichier (oui/non)
      • Non basé sur un fichier (oui/non)
      • Action (alerte/blocage)
      • Type de fichier
      • Direction
      • Gravité du journal
     

    L’ensemble de données EDM peut ne pas répondre aux exigences

    Comment faire pour dépanner:

    • Jusqu’à 120 millions de cellules sont prises en charge avec un maximum de 30 colonnes.Par exemple, vous disposez d’un ensemble de données EDM contenant 30 colonnes et 4 millions de lignes et d’un deuxième jeu de données EDM contenant 6 colonnes et 20 millions de lignes. Les deux ensembles de données EDM sont pris en charge car ils ont chacun 120 millions de cellules dans chaque ensemble de données.
    • Jusqu’à 500 millions de cellules sont prises en charge pour un seul utilisateur dans tous les jeux de données EDM téléchargés sur le service cloud DLP.
    • Pour que l’ensemble de données EDM fonctionne :
      • Une colonne unique de préférence telle que SSN, Email, Téléphone, CCN, MRN, Numéro de compte bancaire UID, etc., Ou une colonne qui peut contenir des valeurs en double, mais chaque nombre de doublons ne peut pas dépasser 12.
      • La colonne doit être une entrée à valeur unique telle que SSN, Email, Téléphone, CCN, MRN, Numéro de compte bancaire UID, etc. La colonne ne peut pas être à valeurs multiples, telles que Adresse, Description
      • La définition de l’entrée à valeur unique est liée au type de données que nous mentionnons dans le fichier de configuration (avec l’utilisation de l’espace).

     

    Les matchs sont sous un niveau de confiance différent de celui attendu

    Comment faire pour dépanner:

    • Vérifier la valeur de confiance du profil de filtrage des données
    • Différents modèles de données prédéfinis peuvent avoir des conditions différentes pour distinguer le niveau de confiance, reportez-vous aux détails correspondants
    • Généralement:
      • Un niveau de confiance faible signifie que le pare-feu géré n’utilisera pas de mots-clés de proximité.
      • Un niveau de confiance élevé signifie que le pare-feu géré recherche les mots-clés de proximité des 200 premiers caractères des expressions régulières du modèle avant de considérer le modèle de données dans un fichier comme une correspondance.
    • Gardez à l’esprit qu’un nombre à 10 chiffres peut être associé à plusieurs modèles, et les mots-clés de proximité sont très cruciaux pour des correspondances précises.Bien que vous ne puissiez pas modifier un modèle prédéfini, vous pouvez cloner un modèle prédéfini et modifier (ajouter/supprimer/modifier) les mots-clés de proximité.
     

    La plateforme cloud rencontre des difficultés

    Comment faire pour dépanner:

     

    Échec de l’intégration de DLP

    Comment faire pour dépanner:

    • Accédez aux services communs > gestion des locataires > produits sous licence sur https://apps.paloaltonetworks.com, recherchez DLP Enterprise et assurez-vous que le statut indique « terminé »
    • Collecter les informations nécessaires et ouvrir un dossier de support
     

    Le compte utilisé pour se connecter au portail n’est pas autorisé

    Comment faire pour dépanner:

    • En supposant que DLP a été intégré (et que d’autres utilisateurs, par exemple l’administrateur, peuvent se connecter), accédez aux services communs > identifiez et accédez à la gestion des accès sur https://apps.paloaltonetworks.com et vérifiez que l’utilisateur dispose des autorisations appropriées
     

    Le droit DLP peut ne pas être associé correctement à la gestion du produit

    Comment faire pour dépanner:

    • S’il existait un droit DLP antérieur (par exemple, une licence d’évaluation), la nouvelle licence DLP de production peut potentiellement être associée à l’ID de locataire incorrect et entraîner ce problème
    • Collecter les informations nécessaires et ouvrir un dossier de support
     

    Problème d’autorisation de téléchargement EDM

    Comment faire pour dépanner:

    • L’interface de ligne de commande sécurisée EDM dispose de deux méthodes d’authentification
      • Si vous utilisez Enterprise DLP à l’aide de la plate-forme SASE, vous devez ajouter un compte de service qui inclut un ID client et une clé secrète client. Ceux-ci sont utilisés pour authentifier et connecter l’application EDM CLI au service cloud DLP.
      • Autre, vous pouvez créer un jeton d’accès sur Enterprise DLP sur le hub
    • Lorsque vous utilisez l’ID utilisateur/secret, en plus de définir le client_id et le client_secret corrects, veillez à définir have_access_token_refresh_token=no.  Tous ces paramètres se trouvent dans upload_config.properties file
    • Le jeton d’accès est généré sur l’application DLP d’entreprise sur le hub (paramètres DLP d’entreprise -> jeton d’API >).Notez que vous devez conserver une copie des valeurs de jeton lorsque vous le créez.Une fois que vous avez dépassé l’écran de création, il n’y a aucun moyen de récupérer les valeurs de jeton.

     

      Additional Information


      Ce qu’il faut collecter pour le cas de support :

      • ID de locataire DLP (Comment trouver mon ID de locataire DLP )
      • ID CSP (voir ci-dessous)
      • Association de produits DLP (quel produit utilise DLP ?)
      • Nom du profil de données qui inclut le modèle de données en question
      • Nom du modèle de données en question
      • Fichier qui doit déclencher la correspondance du modèle de données (le fichier réel)
      • Heure de l’incident
      • Numéro de série de NGFW
       

      Comment trouver mon ID CSP
      Other users also viewed:
      Actions
      • Print
      • Copy Link

        https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1Z5CAI&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

      Choose Language