Решено Solar Dozor - создание политик.

Velly

Почетный гость
Добрый день!
Я уже, наверное, тут всех замучила со своими вопросами. Больше не к кому обратиться. Спасибо, что помогаете)
Solar Dozor 7.3
Застряла с созданием политик.
Пытаюсь создать политику. Простую, чтобы понять их схему работы.
Например:
Условие: *Имя файла содержит "Тест"

Создаю новое правило и добавляю туда условие. Применяю политику.
Новую политику пробовала создавать и в разделе "Политики". Пробовала просто добавлять условие в Головную политику.
Пробовала создавать новое правило с условием в головной политике.
Но письмо с вложенным файлом "Тест" не попадает в раздел "События и инциденты".

В мануале читала, что алгоритм применения правил следующий:
Порядок применения правил:
  • Применяются наборы правил контроля групп и информационных объектов;
  • Применяется набор правил, который пользователь назначил головным (главным).
Подскажите, пожалуйста, может еще какие-то настройки нужно делать?

Заранее большое спасибо.
 
Политика применяется к агенту ?
Добрый день.
Спасибо большое за ответ.
Конкретно эта политика не применяется к агенту.

Как я понимаю, в Solar есть канал коммуникации "Внутренняя почта". За него должен отвечать модуль Dozor Mail Server Connector. И правила с условиями обработки почтовых сообщений должны применяться автоматически (извините, если что-то путаю).

А агент использует модуль Dozor Endpoint Agent и обрабатывает события типа: Endpoint/application, Endpoint/device... Ко всем агентам применяется политика "Агент". И в политике как-раз указаны условия с Endpoint/application, Endpoint/device.. Для каждого пользователя отображается статистика, по подключениям USB, запуску приложения. Я их вижу.
Но могу ли я к политикам агента добавить условия для канала коммуникации "Внутренняя почта". (Тип сообщения: Email, Тип сообщения: Exchange ..). Насколько я понимаю, это совсем другой канал коммуникации и Агент с модулем Dozor Endpoint Agent не будет обрабатывать почтовый трафик.
Или я что-то путаю?
Спасибо.
 
Тут много зависит от архитектуры внедрения непосредственно в вашей организации, какие компоненты DLP используются, используется ли зеркалирование траффика через SPAN порт, проходит ли почтовый или веб траффик через DLP и тд, цифровые отпечатки и прочее 😐..

Таки еще раз - какая задача? Вы хотите что то в почтовом траффике искать ? Если да то судя из описания ниже вам надо настраивать Dozor Mail Server Connector

Dozor Mail Server Connector​

Модуль контроля коммуникаций через корпоративные почтовые системы.

Основные функции модуля:
1 Мониторинг сообщений почтовых серверов: Microsoft Exchange Server, CommuniGate Pro и других популярных SMTP серверных платформ
2 Мониторинг и блокирование отправки почтового сообщения, нарушающего политики безопасности, безусловно или до получения подтверждения отправки от администратора безопасности или пользователя (карантин)
3 Возможность реконструкции почтовых сообщений - функционал изменения (реконструкции) сообщений SMTP – возможно удаление нарушающих политику частей, в т.ч. части содержимого архивов, добавление стандартных подписей
via

Если речь про сетевой траффик то

Dozor Traffic Agent​

Модуль перехвата и распознавания сетевого трафика – сниффер (зеркалирование со SPAN–порта) обеспечивает разбор, анализ и восстановление протоколов прикладного уровня и извлечение из них контента сообщений с последующей отправкой их в Solar Dozor Core для анализа и хранения.
via
ну и другие каналы утечек = другие агенты..
 
Но письмо с вложенным файлом "Тест" не попадает в раздел "События и инциденты".
Значит почтовый траффик не проходит через DLP или возможно включен режим Monitoring а не Prevent (в разных DLP по разному называется Transparent или еще как-нибудь, смысл режима -только наблюдать, "пылесосить" траффик и ничего не блокировать).
 
Тут много зависит от архитектуры внедрения непосредственно в вашей организации, какие компоненты DLP используются, используется ли зеркалирование траффика через SPAN порт, проходит ли почтовый или веб траффик через DLP и тд, цифровые отпечатки и прочее 😐..

Таки еще раз - какая задача? Вы хотите что то в почтовом траффике искать ? Если да то судя из описания ниже вам надо настраивать Dozor Mail Server Connector


Если речь про сетевой траффик то

ну и другие каналы утечек = другие агенты..
Огромное спасибо за помощь!
 
Значит почтовый траффик не проходит через DLP или возможно включен режим Monitoring а не Prevent (в разных DLP по разному называется Transparent или еще как-нибудь, смысл режима -только наблюдать, "пылесосить" траффик и ничего не блокировать).
Зачем тогда DLP - если ничего не блокировать?
 
Значит почтовый траффик не проходит через DLP или возможно включен режим Monitoring а не Prevent (в разных DLP по разному называется Transparent или еще как-нибудь, смысл режима -только наблюдать, "пылесосить" траффик и ничего не блокировать).
Спасибо за комментарий! Сейчас поищу в каком режиме.
 
Зачем тогда DLP - если ничего не блокировать?
От себя могу добавить, что инциденты и сообщения она выявляет. А для блокирования HTTP/HTTPS применяется Proxy. А дальше буду разбираться( Совсем я новый человек в этой DLP((((
 
От себя могу добавить, что инциденты и сообщения она выявляет. А для блокирования HTTP/HTTPS применяется Proxy. А дальше буду разбираться( Совсем я новый человек в этой DLP((((

Dozor Web Proxy​


Модуль контроля веб трафика, предназначен для защиты корпоративных локальных вычислительных сетей от рисков, связанных с использованием веб ресурсов.

Я конечно не знаю как она лицензируется, может просто нет этих компонентов, или они не развернуты. Я работал с McAfee Network DLP и Safetica DLP, Infowatch , видел Стахановец и Falcongeze, больше по ним.. А тут - хз нужно смотреть, будут мысли пишите, давайте скриншоты. Чем сможем поможем😎
 
Назад
Верх Низ