Решено Solar Dozor - создание политик.

[Velly]

Добрый день!
Я уже, наверное, тут всех замучила со своими вопросами. Больше не к кому обратиться. Спасибо, что помогаете)
Solar Dozor 7.3
Застряла с созданием политик.
Пытаюсь создать политику. Простую, чтобы понять их схему работы.
Например:
Условие: *Имя файла содержит "Тест"

Создаю новое правило и добавляю туда условие. Применяю политику.
Новую политику пробовала создавать и в разделе "Политики". Пробовала просто добавлять условие в Головную политику.
Пробовала создавать новое правило с условием в головной политике.
Но письмо с вложенным файлом "Тест" не попадает в раздел "События и инциденты".

В мануале читала, что алгоритм применения правил следующий:
Порядок применения правил:

• Применяются наборы правил контроля групп и информационных объектов;
• Применяется набор правил, который пользователь назначил головным (главным).

Подскажите, пожалуйста, может еще какие-то настройки нужно делать?

Заранее большое спасибо.

 

[NanoSuit]

Но письмо с вложенным файлом "Тест" не попадает в раздел "События и инциденты".

Политика применяется к агенту ?

 

[Velly]

Политика применяется к агенту ?

Добрый день.
Спасибо большое за ответ.
Конкретно эта политика не применяется к агенту.

Как я понимаю, в Solar есть канал коммуникации "Внутренняя почта". За него должен отвечать модуль Dozor Mail Server Connector. И правила с условиями обработки почтовых сообщений должны применяться автоматически (извините, если что-то путаю).

А агент использует модуль Dozor Endpoint Agent и обрабатывает события типа: Endpoint/application, Endpoint/device... Ко всем агентам применяется политика "Агент". И в политике как-раз указаны условия с Endpoint/application, Endpoint/device.. Для каждого пользователя отображается статистика, по подключениям USB, запуску приложения. Я их вижу.
Но могу ли я к политикам агента добавить условия для канала коммуникации "Внутренняя почта". (Тип сообщения: Email, Тип сообщения: Exchange ..). Насколько я понимаю, это совсем другой канал коммуникации и Агент с модулем Dozor Endpoint Agent не будет обрабатывать почтовый трафик.
Или я что-то путаю?
Спасибо.

 

[Толстый Лори]

Тут много зависит от архитектуры внедрения непосредственно в вашей организации, какие компоненты DLP используются, используется ли зеркалирование траффика через SPAN порт, проходит ли почтовый или веб траффик через DLP и тд, цифровые отпечатки и прочее ..

Таки еще раз - какая задача? Вы хотите что то в почтовом траффике искать ? Если да то судя из описания ниже вам надо настраивать Dozor Mail Server Connector

Dozor Mail Server Connector​

Модуль контроля коммуникаций через корпоративные почтовые системы.

Основные функции модуля:
1 Мониторинг сообщений почтовых серверов: Microsoft Exchange Server, CommuniGate Pro и других популярных SMTP серверных платформ
2 Мониторинг и блокирование отправки почтового сообщения, нарушающего политики безопасности, безусловно или до получения подтверждения отправки от администратора безопасности или пользователя (карантин)
3 Возможность реконструкции почтовых сообщений - функционал изменения (реконструкции) сообщений SMTP – возможно удаление нарушающих политику частей, в т.ч. части содержимого архивов, добавление стандартных подписей
via

Если речь про сетевой траффик то

Dozor Traffic Agent​

Модуль перехвата и распознавания сетевого трафика – сниффер (зеркалирование со SPAN–порта) обеспечивает разбор, анализ и восстановление протоколов прикладного уровня и извлечение из них контента сообщений с последующей отправкой их в Solar Dozor Core для анализа и хранения.
via

ну и другие каналы утечек = другие агенты..

 

[NanoSuit]

Вот неплохая запись вебинара по Solar Dozor 7

Тут много зависит от архитектуры внедрения непосредственно в вашей организации,

Да поддерживаю! Ибо их может быть несколько

 

[BlowFish]

Но письмо с вложенным файлом "Тест" не попадает в раздел "События и инциденты".

Значит почтовый траффик не проходит через DLP или возможно включен режим Monitoring а не Prevent (в разных DLP по разному называется Transparent или еще как-нибудь, смысл режима -только наблюдать, "пылесосить" траффик и ничего не блокировать).

 

[Velly]

Тут много зависит от архитектуры внедрения непосредственно в вашей организации, какие компоненты DLP используются, используется ли зеркалирование траффика через SPAN порт, проходит ли почтовый или веб траффик через DLP и тд, цифровые отпечатки и прочее ..

Таки еще раз - какая задача? Вы хотите что то в почтовом траффике искать ? Если да то судя из описания ниже вам надо настраивать Dozor Mail Server Connector


Если речь про сетевой траффик то

ну и другие каналы утечек = другие агенты..

Огромное спасибо за помощь!

 

[NanoSuit]

Значит почтовый траффик не проходит через DLP или возможно включен режим Monitoring а не Prevent (в разных DLP по разному называется Transparent или еще как-нибудь, смысл режима -только наблюдать, "пылесосить" траффик и ничего не блокировать).

Зачем тогда DLP - если ничего не блокировать?

 

[Velly]

Значит почтовый траффик не проходит через DLP или возможно включен режим Monitoring а не Prevent (в разных DLP по разному называется Transparent или еще как-нибудь, смысл режима -только наблюдать, "пылесосить" траффик и ничего не блокировать).

Спасибо за комментарий! Сейчас поищу в каком режиме.

 

[BlowFish]

Зачем тогда DLP - если ничего не блокировать?

Ну обычно так и делают - берут на "пилот" ставят в SPAN порт, потом собирают данные какое то время, потом показывают отчеты, потом летят головы и ж..пы с кресел.

 

[Velly]

Зачем тогда DLP - если ничего не блокировать?

От себя могу добавить, что инциденты и сообщения она выявляет. А для блокирования HTTP/HTTPS применяется Proxy. А дальше буду разбираться( Совсем я новый человек в этой DLP((((

 

[Velly]

Вот неплохая запись вебинара по Solar Dozor 7

Да поддерживаю! Ибо их может быть несколько

Спасибо большое за помощь! Сейчас просвещусь. И за ссылку на доки спасибо.

 

[BlowFish]

От себя могу добавить, что инциденты и сообщения она выявляет. А для блокирования HTTP/HTTPS применяется Proxy. А дальше буду разбираться( Совсем я новый человек в этой DLP((((

Dozor Web Proxy​

Модуль контроля веб трафика, предназначен для защиты корпоративных локальных вычислительных сетей от рисков, связанных с использованием веб ресурсов.

Я конечно не знаю как она лицензируется, может просто нет этих компонентов, или они не развернуты. Я работал с McAfee Network DLP и Safetica DLP, Infowatch , видел Стахановец и Falcongeze, больше по ним.. А тут - хз нужно смотреть, будут мысли пишите, давайте скриншоты. Чем сможем поможем

 

[Lera]

Условие: *Имя файла содержит "Тест"

Если эта DLP поддерживает цифровые отпечатки то можно идентифицировать инцидент по этому критерию

 

[Goblin]

А для блокирования HTTP/HTTPS применяется Proxy

Сертификат не просрочен, который для расшифровки https используются?

 

[NanoSuit]

Сертификат не просрочен, который для расшифровки https используются?

это видимо не тот случай.. Имеется в виду Dozor Web Proxy

 

[Velly]

Сертификат не просрочен, который для расшифровки https используются?

Извините, немного не так выразилась. В качестве Proxy используется другой soft, не Dozor.