一致したルールのペイロードをログに記録する

データ損失防止（DLP）機能を使用すると、特定のDLPポリシーをトリガーしたデータをログに記録できます。このデータは、HTTPリクエストのペイロードとして知られる部分に保存されます。ペイロードのログ記録は、DLPルールの動作を診断する際に特に便利です。ルールをトリガーした値には機密データが含まれている可能性があるため、それらは顧客が提供した公開鍵で暗号化され、後であなたがのみ確認できるようになります。保存されたデータには、一致した部分の修正されたバージョンと、一致の両側に20バイトの追加コンテキストが含まれます。

1. キーペアを生成する

これらの手順に従って、コマンドラインで公開/秘密鍵のペアを生成します。

2. 公開鍵をCloudflareにアップロードする

1. Zero Trust ↗に移動し、Settings > Networkに進みます。

2. DLP Payload Encryption public keyフィールドに、あなたの公開鍵を貼り付けます。

3. Saveを選択します。

ノート

ログを表示するには、一致した秘密鍵が必要です。秘密鍵を失った場合は、新しい公開鍵を生成してアップロードする必要があります。新しいリクエストのペイロードは、新しい公開鍵で暗号化されます。

3. DLPポリシーのペイロードログ記録を有効にする

DLPP Profileセレクターを使用する任意のAllowまたはBlock HTTPポリシーに対して、ペイロードログ記録を有効にできます。

1. Gateway > Firewall Policies > HTTPに移動します。

2. 既存のAllowまたはBlock DLPポリシーを編集するか、新しいポリシーを作成します。

3. ポリシービルダーで、Configure policy settingsまでスクロールし、Log the payload of matched rulesを有効にします。

4. Saveを選択します。

データ損失防止機能は、今後このポリシーに一致するHTTPリクエストのペイロードの一部を保存します。

4. ペイロードログを表示する

1. Logs > Gateway > HTTPに移動します。

2. レビューしたいDLPログに移動し、行を展開します。

3. Decrypt Payload Logを選択します。

4. あなたの秘密鍵を入力し、Decryptを選択します。

一致したDLPプロファイルのIDが表示され、その後に復号化されたペイロードが続きます。DLPは現在、最初の一致のみをログに記録することに注意してください。

ノート

Cloudflareは、鍵や復号化されたペイロードを保存しません。

データプライバシー

• すべてのCloudflareログは、静止状態で暗号化されています。ペイロードコンテンツを暗号化することで、DLPルールをトリガーした一致した値に対して二重の暗号化層が追加されます。

• Cloudflareは、暗号化されたペイロードを復号化できません。この操作にはあなたの秘密鍵が必要です。Cloudflareのスタッフは、秘密鍵を要求することはありません。

• DLPは、ログ内のすべての事前定義された英数字を修正します。たとえば、123-45-6789はXXX-XX-XXXXになります。

  • あなたはExact Data Match (EDM)を使用して機密データを定義できます。EDM一致ログは、あなたが定義した文字列を修正します。