如何解决常见的 DLP 问题

如何解决常见的 DLP 问题

27109
Created On 04/27/23 21:10 PM - Last Modified 06/06/23 20:55 PM


Objective


本文档的目的是提供有关最常遇到的 DLP 问题的有用信息(例如基本故障排除、打开支持案例的信息收集)。  

DLP 故障排除
由于不同的问题可能导致类似的症状,因此本文首先介绍常见的症状。以下链接将列出问题的可能原因和相应的故障排除信息。  

Environment


  • 数码相框
  • 全景
  • 棱镜访问/SaaS

Procedure


症状

  1. 预期的模式匹配未生成事件
  2. 事件不包含正确数量的匹配项
  3. 无法登录企业 DLP 门户
  4. 无法在全景中查看 DLP 数据配置文件
  5. 无法在 Prisma Access/SaaS 中的数据安全下定位 DLP 功能
  6. 上传EDM数据集的问题

预期的模式匹配没有产生事件

潜在原因:

  1. 数据模式需要更新/修改
  2. 数据文件从未正确转发到 DLP 云
  3. 嵌套数据配置文件的潜在配置问题

事件不包含正确数量的匹配项

潜在原因:

  1. EDM 数据集可能不符合要求
  2. 匹配的置信度与预期不同

无法登录企业 DLP 门户

潜在原因:

  1. 云平台遇到困难
  2. DLP 载入失败
  3. 用于登录门户的帐户未被授权

无法在 Prisma Access/SaaS 中的数据安全下定位 DLP 功能

潜在原因:

  1. DLP 载入失败
  2. DLP 权利可能无法与管理产品正确关联

    无法在全景中查看 DLP 数据配置文件

    潜在原因:

    1. DLP 载入失败
    2. DLP 权利可能无法与管理产品正确关联

    上传EDM数据集的问题

    潜在原因:

    1. EDM上传权限问题
    2. DLP 权利可能无法与管理产品正确关联

    数据模式需要更新/修改

    如何排除故障:

    • 如果这是预定义的数据模式,请收集必要的信息并打开支持案例。
    • 如果这是自定义数据模式:
      1. 包括数据格式的所有变体(例如 (xxx) xxx-xxxx、xxxxxxxxxx 表示电话号码)和邻近关键字(电话号码、电话号码、电话号码等)。请记住,如果没有邻近关键字,10 位数字可以识别很多东西。
      2. 使用https://regex101.com测试你的正则表达式
      3. 对有问题的数据模式执行控制测试,使用数据样本文件https://dlptest.com触发事件。这将测试整个数据模式(包括邻近关键字的影响、加权正则表达式的分数)
      4. 如果仍有问题,请收集必要的信息并创建支持案例。
     

    数据文件从未正确转发到 DLP 云

    如何排除故障:

    • 这个问题需要防火墙日志分析,在防火墙上生成技术支持文件,收集必要的信息并打开支持案例。

    嵌套数据配置文件的潜在配置问题

    如何排除故障:

    • 如果存在任何冲突设置(在父数据配置文件和子数据配置文件之间),父配置文件设置将始终覆盖。  
      • 基于文件(是/否)
      • 非基于文件(是/否)
      • 行动(警报/阻止)
      • 文件类型
      • 方向
      • 日志严重性
     

    EDM 数据集可能不符合要求

    如何排除故障:

    • 最多支持 1.2 亿个单元格,最多 30 列。例如,您有一个包含 30 列和 400 万行的 EDM 数据集以及包含 6 列和 2000 万行的第二个 EDM 数据集。 两个 EDM 数据集都受支持,因为它们在每个数据集中都有 1.2 亿个单元格。
    • 在上传到 DLP 云服务的所有 EDM 数据集中,单个用户最多支持 5 亿个单元格。
    • 为了使 EDM 数据集起作用:
      • 唯一列最好是 SSN、电子邮件、电话、CCN、MRN、UID 银行帐号等, 或者可能包含重复值但每个重复计数不能超过 12 的 Column。
      • 该列必须是单值条目,例如 SSN、电子邮件、电话、CCN、MRN、UID 银行帐号等。 该列不能是多值的,例如地址、描述
      • 单值条目的定义绑定到我们在配置文件中提到的数据类型(以及空间的使用)。

     

    匹配的置信度与预期不同

    如何排除故障:

    • 检查数据过滤配置文件的置信度值
    • 不同的预定义数据模式可能有不同的区分置信度的条件,参见相应的细节
    • 一般来说:
      • 低置信度意味着托管防火墙不会使用邻近关键字。
      • 高置信度意味着托管防火墙在将文件中的数据模式视为匹配之前,先查找模式中正则表达式的前 200 个字符的邻近关键字。
    • 请记住,一个 10 位数字可以通过多种模式进行匹配,而邻近关键字对于准确匹配非常重要。虽然您无法修改预定义模式,但您可以克隆预定义模式并修改(添加/删除/修改)邻近关键字。
     

    云平台遇到困难

    如何排除故障:

     

    DLP 载入失败

    如何排除故障:

    • 转到公共服务 -> 租户管理 -> 许可产品https://apps.paloaltonetworks.com ,寻找 DLP 企业并确保状态显示为“已完成”
    • 收集必要的信息并打开支持案例
     

    用于登录门户的帐户未被授权

    如何排除故障:

    • 假设 DLP 已经上线(其他用户如管理员可以登录),转到公共服务 -> 识别和访问/访问管理https://apps.paloaltonetworks.com ,并验证用户是否具有适当的权限
     

    DLP 权利可能无法与管理产品正确关联

    如何排除故障:

    • 如果有以前的 DLP 授权(例如试用许可证),新的生产 DLP 许可证可能会与不正确的租户 ID 关联并导致此问题
    • 收集必要的信息并打开支持案例
     

    EDM上传权限问题

    如何排除故障:

    • EDM secure cli 有两种认证方式
      • 如果您使用 SASE 平台利用企业 DLP,则必须添加一个包含 Client ID 和 Client Secret 的服务帐户。 这些用于验证 EDM CLI 应用程序并将其连接到 DLP 云服务。
      • 否则,您可以在中心的企业 DLP 上创建访问令牌
    • 使用用户 id/secret 时,除了设置正确的 client_id 和 client_secret 外,一定要设置 have_access_token_refresh_token=no。所有这些设置都在 upload_config.properties 文件中
    • 访问令牌在中心的企业 DLP 应用程序上生成(企业 DLP -> 设置 -> api 令牌)。请注意,您必须在创建时保留令牌值的副本。一旦您通过创建屏幕,就无法检索令牌值。

     

      Additional Information


      为支持案例收集的内容:

      • DLP 租户 ID (如何查找我的 DLP 租户 ID )
      • CSP ID(见下文)
      • DLP 产品关联(什么产品正在使用 DLP?)
      • 包含相关数据模式的数据配置文件名称
      • 有问题的数据模式名称
      • 应触发数据模式匹配的文件(实际文件)
      • 事发时间
      • NGFW序列号
       

      如何找到我的 CSP ID
      Other users also viewed:
      Actions
      • Print
      • Copy Link

        https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1Z5CAI&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

      Choose Language