※この記事は以下の記事の日本語訳です。
Data Filtering Best Practices
https://live.paloaltonetworks.com/t5/Configuration-Articles/Data-Filtering-Best-Practices/ta-p/58093
初期設定では、データ フィルタリングにはシグネチャが2つあります:
- クレジットカード:デバイスは16桁(訳注1)の番号を探し、ハッシュ アルゴリズムの検証を進めます。クレジットカードの番号として検出する前に、ハッシュ アルゴリズムに合致しなければなりません。この手法により、偽陽性(False Positive)を減らしています。
- 社会保障番号(訳注2):形式に関わらず、あらゆる9桁の番号が社会保障番号として検出されます。こちらは偽陽性となる傾向があります。
どのようなドキュメントのタイプに対して、クレジットカードと社会保障番号を検知するかを定義することが重要です。この記事に添付している2つのPDFを使用して、ポリシーでの定義を検証することができます。1つはダミーの社会保障番号で、もう1つはダミーのクレジットカード番号です。
2種類のキーワードを見つけ、アラートを生成するプロファイルを設定します。さらなる条件として、10個の9桁の番号または10個のクレジットカードの番号、あるいは9桁の番号とクレジットカード番号が合計で10個の組み合わせを持つファイルを確認することとします。
- カスタムのデータ パターンを設定します。
- 作成したデータ パターンをプロファイルを設定します。
- 作成したデータパターンをセキュリティ プロファイルに設定します。
カスタムのデータ パターンは以下の方法で設定します:
- カスタムのデータ パターンの重みを、10で設定します。
- 社会保障 (CC#) とクレジットカード (SSN#) には、1を設定します (以下のスクリーンショットをご覧ください)。
- データ フィルタリング プロファイルを、アラートしきい値を10に設定します (以下のスクリーンショットをご覧ください)。
- このプロファイルをセキュリティ ルールに追加します。このルールは該当のデータ パターンを見つけると、上記で設定した条件でアラートを挙げます。この設定をすることで、いくつかの誤検出を防ぐことができます。
データ フィルタリング ログのモニタ
ログの各エントリーに表示される緑色の矢印をクリックすることで、データ フィルタリングをトリガーしたパケットのキャプチャを見ることができます。
パケットキャプチャには保護すべき内容を含むため、データ保護を有効にしパケットキャプチャの閲覧にパスワードを保護をかけることができます。パスワードは[Device] > [セットアップ] > [コンテンツ ID] > [コンテンツ ID 機能] > [データ保護の管理]で設定します。
注:このKB記事には2つのテストファイルを添付しており、ポリシーが動作しているかを確認に使用できます。
訳注1:一部のクレジットカード発行元によっては、13桁など16桁以外のクレジットカード番号への対応もあります。
訳注2:アメリカ合衆国において社会保障法に基づき市民・永住者・外国人就労者に対して発行される9桁の番号。
著者:wtam
