データ フィルタリングのベスト プラクティス

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Data Filtering Best Practices

https://live.paloaltonetworks.com/t5/Configuration-Articles/Data-Filtering-Best-Practices/ta-p/58093

 

 

初期設定では、データ フィルタリングにはシグネチャが2つあります:

  1. クレジットカード:デバイスは16桁(訳注1)の番号を探し、ハッシュ アルゴリズムの検証を進めます。クレジットカードの番号として検出する前に、ハッシュ アルゴリズムに合致しなければなりません。この手法により、偽陽性(False Positive)を減らしています。
  2. 社会保障番号(訳注2):形式に関わらず、あらゆる9桁の番号が社会保障番号として検出されます。こちらは偽陽性となる傾向があります。

どのようなドキュメントのタイプに対して、クレジットカードと社会保障番号を検知するかを定義することが重要です。この記事に添付している2つのPDFを使用して、ポリシーでの定義を検証することができます。1つはダミーの社会保障番号で、もう1つはダミーのクレジットカード番号です。

 

2種類のキーワードを見つけ、アラートを生成するプロファイルを設定します。さらなる条件として、10個の9桁の番号または10個のクレジットカードの番号、あるいは9桁の番号とクレジットカード番号が合計で10個の組み合わせを持つファイルを確認することとします。

  1. カスタムのデータ パターンを設定します。
  2. 作成したデータ パターンをプロファイルを設定します。
  3. 作成したデータパターンをセキュリティ プロファイルに設定します。

 

カスタムのデータ パターンは以下の方法で設定します:

  • カスタムのデータ パターンの重みを、10で設定します。
  • 社会保障 (CC#) とクレジットカード (SSN#) には、1を設定します (以下のスクリーンショットをご覧ください)。
    Untitled.jpg
  • データ フィルタリング プロファイルを、アラートしきい値を10に設定します (以下のスクリーンショットをご覧ください)。

2016-07-01_14-33-44.pngData Filtering Profile

  • このプロファイルをセキュリティ ルールに追加します。このルールは該当のデータ パターンを見つけると、上記で設定した条件でアラートを挙げます。この設定をすることで、いくつかの誤検出を防ぐことができます。

 

データ フィルタリング ログのモニタ

Data Filtering Monitor Logs.jpg

ログの各エントリーに表示される緑色の矢印をクリックすることで、データ フィルタリングをトリガーしたパケットのキャプチャを見ることができます。

パケットキャプチャには保護すべき内容を含むため、データ保護を有効にしパケットキャプチャの閲覧にパスワードを保護をかけることができます。パスワードは[Device] > [セットアップ] > [コンテンツ ID] > [コンテンツ ID 機能] > [データ保護の管理]で設定します

Manage Data Protection.jpg

 

注:このKB記事には2つのテストファイルを添付しており、ポリシーが動作しているかを確認に使用できます。

訳注1:一部のクレジットカード発行元によっては、13桁など16桁以外のクレジットカード番号への対応もあります。 

訳注2:アメリカ合衆国において社会保障法に基づき市民・永住者・外国人就労者に対して発行される9桁の番号。

 

著者:wtam