DLP 规则和策略的制定和管理(日志、风险和事件的日常审计和跟踪)是一项繁重的工作量,不正确或不准确的配置会导致高误报率,并影响内部用户体验和公司的业务运营。
本文结合实践经验,分享一些关于如何降低规则误报率的指南和技巧,希望能为相关安全从业者提供一些思考和帮助。
在制定文档识别规则时,字数不是越高越好,但字数的准确性越准确越好。由于许多单词是通用的,因此包含太多关键字的单个识别规则可能会错误地识别其他类型的文档。
例如,如果要标识特定的财务报告,如果规则仅包含通用术语,例如“财务”、“报告”、“数据”等,则这些术语会经常出现在财务报告中,但它们也会出现在其他类型的文档中,例如市场分析报告或内部会议纪要。 这样的规则可能会导致系统误判,从而导致误报。
相反,如果规则包含更准确的词语组合,例如“财政年度”、“损益表”、“资产负债表”等,则这些术语不仅在财务报告中经常出现,而且很少出现在其他类型的文件中。 这样一条规则将更准确地确定财务报告,并减少错报的可能性。
尽可能多地使用"击中至少 m 个项目"这样的条件,虽然"至少击中 n 次"这样的条件适合作为辅助条件。
例如,要确定文档是否为规划文档,请点击“目标、研发项目、建设、关键节点、里程碑、计划和资源”中的至少 5 项(即这 7 个单词中有 5 个出现在一个文档中)。规则的准确性会更高至少击中 5 次(可能会出现您击中“构造”5 次的情况)。
在识别规则中,可以添加公司名称的缩写或公司的特定名词,以排除非公司的文档。
例如,您可以通过添加公司特定名称(如“Serval”、“Serval Technology”、“Qinghu DDR”等)或具有特色的高管姓名,进一步锁定公司内部文件并缩小识别范围。 同时,它还可以帮助增加命中数,提高识别准确率。
您可以添加文件后缀作为判断条件。
例如,报表和列表文件通常是 excel 文件。
你可以适当地扩展和扩展关键词,如果你自己想不出更多常用词,也可以尝试询问ChatGPT。
规则启动后,查看风险详情日志,分析每个误报的原因,然后优化策略规则。
highlight
青湖 DDR 提供更智能、更高效的方式
内置丰富成熟的安全规则和策略,一键开启即可。
凭借Serval技术团队在安防行业的丰富实践经验,青湖DDR遵循上述原则,内置了各种成熟的安全规则和策略,使安全策略的配置和使用变得简单易行。
主动和被动数据不断被发现,文件识别规则逐步完善。
通过主动资产发现功能,青湖DDR可以扫描全盘上的企业数据文件,然后通过聚类功能聚合相似文件,提取相似文件的关键字,制定文件内容识别规则。
此外,青湖东德还支持对所有办公文件进行审计,通过每天对传输的文件名进行审核,进一步补充和细化分类集和文件名识别规则。
深化AI技术应用:效率翻倍。
青湖DDR利用AI技术智能精准识别数据文件,大幅提升安全运营效率。
规则和策略的配置是一个需要不断思考和优化的过程,这需要安全团队不断了解业务流程和数据分类和层次结构,并考虑各种潜在的数据泄露场景。 同时,由于数据类型和业务场景的多样性,安全团队需要动态调整和持续优化,以应对不断变化的环境。
欢迎留言分享自己的见解、插槽、操作经验等。 薮猫科技期待与您携手共进,让数据更安全!