ユーザー定義の各 DLP センサでは、DLP によるコンテンツのスキャン方法を制御する設定と、コンテンツをスキャンできない場合に実行すべきアクションを変更することができます。
DLP リソース使用率
Data Loss Prevention は、各接続で特定のパターンに一致するトラフィックをすべて調べます。
DLP ルールによっては、きわめて多量のリソースを消費するものもあります。多数のセンサやルールを有効にすると、Firebox デバイスの性能に著しい影響が生じる可能性があります。DLP センサごとにメモリ容量を追加要求し、各センサで構成される DLP ルールの数も、デバイスが使用するメモリ量に影響を与えます。地域に適したルールと、業界に関連するユースケースのみ選択するようにしてください。これにより、誤検出の可能性を最小限に抑えることができます。
Firebox T10、T15、XTM 25/26 などの小型デバイスでは、センサの使用を 1 つまたは 2 つに控え、各センサの DLP ルールが 6 つを超えなようにすることをお勧めします。大型デバイスではより多数のセンサを構成できます。
また、スキャン制限によってリソースの使用量を制御することも可能です。詳細については、DLP スキャンの制限について を参照してください。
推奨されている DLP 構成
アウトバウンド トラフィックを扱う次のようなプロキシ アクションで DLP を有効にします:
- SMTP プロキシは、電子メール メッセージと添付ファイルをスキャンします。
- FTP プロキシは、ユーザーがアップロードしたファイル コンテンツをスキャンできます。
- HTTP プロキシは、ユーザーによるリモート サイトへの投稿をスキャンします。(HTTPS プロキシはコンテンツの検査を要求します。DLP が有効な HTTP プロキシを選択して検査対象コンテンツをスキャンする必要があります。)
DLP 構成をテストする
Data Loss Prevention が正常に機能していることを確認するには、構成したセンサがトリガされるようなデータを送信してみます。
顧客や患者の機密記録の伝送を防止する必要がある場合は、使用フォーマットに従って疑似記録を作成し、電子メールとして送信するか、HTTP サイトに送信を試みることでテストできます。
DLP ルールの多くには、コンテンツが DLP 違反と見なされるために達する必要がある限界値 (しきい値) が設定されています。これにより誤検出が防止されます。各ルールのしきい値の詳細については、WatchGuard Security Portal の DLP ルール を参照してください。
または、PCI 監査センサとこのテスト データ セットを同時使用したり、適合する用語「グローバル」を含む国民識別番号 を有効にしたルールのセンサを作成することができます。
- 社会保険番号 1234
- 社会保険番号 2345
- 社会保険番号 3456
- 社会保険番号 4567
- 社会保険番号 5678
DLP のトラブルシューティング
DLP の問題のトラブルシューティングを行うには、Data Loss Prevention センサを構成したプロキシ ポリシーに関連するログを調べる必要があります。
DLP スキャンを実行できない
場合によっては、構成またはソフトウェア エラーにより Data Loss Prevention スキャンが失敗することがあります。Firebox デバイスが有効な DNS サーバーを使って構成されていることを確認し、デバイスの Data Loss Prevention 設定を確認してください。
Allow 1-Trusted 0-External tcp 10.0.1.3 100.100.100.3 62398 80 msg="ProxyAllow: HTTP は DLP スキャンを実行できません" proxy_act="HTTP-Client.1" dlp_sensor="sample_dlp_test" error="DLP スキャンを実行できません" (HTTP-proxy-00)
既定では、このエラーの発生時に DLP はコンテンツの通過を許可します。
DLP オブジェクトをスキャンできない
このログ メッセージは、Data Loss Prevention がファイルをスキャンできないことを示し、その理由を示します。このエラーは、ファイルが暗号化されている場合に発生します。
Allow 1-Trusted 0-External tcp 10.0.1.2 100.100.100.11 40608 80 msg="ProxyAllow: HTTP DLP オブジェクトのスキャン不能" proxy_act="HTTP-Client.2" dlp_sensor="PCI Audit Sensor.1" error="スキャン不能オブジェクト (ファイルが暗号化されています)" host="100.100.100.11" path="/password-protected.zip" (HTTP-proxy-00)
DLP オブジェクトが大きすぎる
このログ メッセージは、構成されている最大 DLP スキャン制限よりファイルが大きいために、Data Loss Prevention がファイルをスキャンしなかったことを示します。既定の制限値は 1024 キロバイトです。
Allow 2-optional 0-External tcp 192.168.53.92 172.16.10.14 8902 80 msg="ProxyAllow: HTTP DLP オブジェクトが大きすぎます" proxy_act="HTTP-Client.1" dlp_sensor="DLPSensor.1" error="DLP スキャンの制限値を超過しました" (HTTP-proxy-00)