Data Loss Prevention
R75.40VS Руководство администратора
10 июля 2012г
© 2012 Check Point Software Technologies Ltd. Все права защищены. Данный продукт и соответствующие документы защищены авторским правом, и распространяются по лицензированию, ограничивающему их использование, копирование, распространение и декомпиляцию. Никакая часть настоящего продукта или соответствующей документации не может воспроизводиться ни в какой форме, никакими средствами без предварительного письменного разрешения со стороны Check Point. Несмотря на все меры предосторожности, принятые при подготовке данной книги, Check Point не берет на себя ответственность за ошибки или упущения. Данное издание и описанные в нем функциональные возможности могут быть изменены без предупреждения. ИНФОРМАЦИЯ ОБ ОГРАНИЧЕНИИ ПРАВ: На использование, копирование и предоставление информации правительством действуют ограничения, установленные в подпункте (c)(1)(ii) пункта о Правах в Положении о технических данных и программном обеспечении в DFARS 252.227-7013 и FAR 52.227-19. ТОВАРНЫЕ ЗНАКИ: Список товарных знаков представлен на странице об авторском праве (http://www.checkpoint.com/copyright.html). Список соответствующих авторских прав и лицензий третьих сторон представлен в уведомлениях об авторском праве третьих сторон (http://www.checkpoint.com/3rd_party_copyright.html).
Важная информация
Последняя версия программного обеспечения Мы рекомендуем установить самую последнюю версию программного обеспечения, чтобы пользоваться новейшими функциональными улучшениями, исправлениями стабильности, доработками безопасности и защитой от новых угроз.
Последняя версия документации Последняя версия данного документа находится по адресу: http://supportcontent.checkpoint.com/documentation_download?ID=16242 Для получения дополнительной технической информации посетите Центр технической поддержки Check Point (http://supportcenter.checkpoint.com). Больше об этой версии можно узнать на домашней странице R75.40VS (http://supportcontent.checkpoint.com/solutions?id=sk76540).
История изменений
Дата Описание 10 июля 2012 г. Первая версия данного документа.
Отзывы Check Point непрерывно работает над улучшением своей документации. Пожалуйста, помогите нам, отправив ваши комментарии на (mailto:[email protected]?subject=Feedback on Data Loss Prevention R75.40VS Administration Guide).
Содержание
Важная информация ...... 3 Введение в Data Loss Prevention ...... 8 Необходимость в Предотвращении утечки данных ...... 8 DLP и защита от несанкционированного доступа ...... 8 Решение Check Point для DLP ...... 9 Терминология Data Loss Prevention ...... 10 Как это работает ...... 10 Развертывание интегрированного DLP шлюза безопасности ...... 11 Развертывание выделенного шлюза DLP ...... 11 Альтернативное развертывание шлюзов ...... 12 Что происходит при соответствии правилу (Rule Match) ...... 13 Роль DLP администратора ...... 13 Права DLP администратора ...... 14 Установка и конфигурация ...... 15 Поддерживаемые DLP платформы ...... 15 Установка шлюза DLP ...... 15 Пробная лицензия программного блейда DLP ...... 15 Панель инструментов SmartDashboard ...... 16 Конфигурация шлюза DLP и кластера безопасности ...... 16 Интегрированные развертывания ...... 17 Выделенные развертывания ...... 17 Мастер кластера безопасности DLP-1 ...... 18 Предварительные условия ...... 18 Конфигурация локально управляемого кластера безопасности DLP-1 ...... 18 Мастер Data Loss Prevention ...... 19 Опции мастера блейда DLP ...... 19 Завершение мастера ...... 19 Конфигурация выделенного шлюза DLP в режиме моста ...... 19 Необходимая маршрутизация в режиме моста ...... 20 Конфигурирование IP адреса моста ...... 20 Требуемые интерфейсы VLAN магистрали ...... 20 Конфигурация Активного каталога и LDAP для DLP ...... 20 Повторный запуск мастера Data Loss Prevention ...... 21 Конфигурация шлюза DLP для веб-прокси ...... 21 Конфигурация для веб-прокси ...... 21 Конфигурация для внутреннего веб-прокси ...... 22 Конфигурация прокси настроек после обновления управления ...... 23 Требуемая конфигурация почтового транслятора ...... 23 Конфигурация почтового транслятора ...... 23 Конфигурация выделенного шлюза DLP и транслятора на DMZ ...... 24 Рекомендуемое развертывание - DLP шлюз с почтовым транслятором ...... 25 Временные решения для нерекомендуемого развертывания почтового транслятора 25 TLS-зашифрованные SMTP соединения ...... 27 Конфигурация обработки журнала происшествий ...... 27 Клиент UserCheck ...... 29 Обзор Клиента UserCheck ...... 29 Требования UserCheck ...... 29 Активация Клиента UserCheck...... 30 Связь между Клиентом и Шлюзом ...... 30 Получение файла MSI ...... 36 Распределение и соединение Клиентов ...... 37 Помощь пользователям ...... 38
Конфигурация Exchange Security Agent ...... 38 Конфигурация SmartDashboard ...... 39 Конфигурация сервера Exchange ...... 40 HTTPS Проверка ...... 42 Как это работает ...... 43 Конфигурация исходящей HTTPS проверки ...... 43 Конфигурация входящей HTTPS проверки ...... 46 Политика HTTPS проверки ...... 47 Панель шлюзов ...... 50 Добавление доверенных центров сертификации для исходящей HTTPS проверки ...... 51 HTTPS Валидация ...... 52 HTTP/HTTPS Прокси...... 54 Порталы Шлюза безопасности ...... 55 HTTPS проверка в SmartView Tracker ...... 56 HTTPS проверка в SmartEvent ...... 57 Готовое решение ...... 59 Развертывание по умолчанию ...... 59 Data Loss Prevention в SmartDashboard ...... 59 Определение Моей Организации ...... 60 Добавление Email адресов и доменов в Мою Организацию ...... 60 Определение внутренних пользователей ...... 61 Определение групп внутренних пользователей ...... 61 Исключение пользователей из Моей Организации ...... 62 Определение внутренних сетей ...... 62 Исключение сетей из Моей Организации ...... 62 Определение внутренних VPN ...... 63 Исключение VPN из Моей Организации ...... 63 Политики Data Loss Prevention ...... 64 Общие сведения о Правилах DLP ...... 64 Действия Правила...... 65 Управление правилами в Detect ...... 66 Установка отслеживания Правила ...... 66 Установка ограничения времени ...... 68 Поддерживаемые типы архивов ...... 69 Выборочное развертывание – Шлюзы ...... 70 Выборочное развертывание – Протоколы ...... 70 Аудит и анализ ...... 70 Использование SmartView Tracker ...... 71 Использование SmartEvent ...... 73 Уведомления Владельцу данных и пользователям ...... 74 Владельцы данных ...... 74 Подготовка внутриорганизационных руководящих указаний...... 75 Общение с Владельцами данных ...... 75 Общение с Пользователями ...... 76 Уведомление Владельцев данных ...... 76 Уведомление Пользователей ...... 77 Настройка уведомлений ...... 77 Настройка уведомлений Владельцам данных ...... 78 Настройка уведомлений для самообработки ...... 78 Установка правил на Ask User ...... 78 DLP Портал ...... 79 Что видят и делают пользователи ...... 79 Необработанные происшествия UserCheck ...... 79 UserCheck Уведомления...... 80 Управление Правилами в Ask User ...... 80 Режим изучения ...... 80 Data Loss Prevention по сценарию ...... 82 Аналитическое развертывание ...... 82
Создание новых Правил ...... 82 Внутренние Правила политики DLP ...... 83 Дополнительные опции для Правил ...... 84 Исключения из Правил ...... 85 Точная Настройка ...... 87 Индивидуальное развертывание ...... 87 Установка Правил на Prevent ...... 88 Определение типов данных ...... 88 Защита данных по ключевому слову...... 88 Защита документов по шаблону ...... 89 Защита файлов ...... 90 Защита данных по структуре ...... 91 Определение составных типов данных ...... 91 Расширенные типы данных ...... 92 Добавление типов данных в Правила ...... 95 Внимание на данные ...... 95 Категория данных Compliance ...... 95 Редактирование типов данных ...... 96 Определение групп типов данных ...... 99 Определение улучшенного сопоставления для типов данных ключевого слова ...... 99 Определение Post Match CPcode для типа данных ...... 100 Рекомендация – тестирование типов данных ...... 100 Экспорт типов данных ...... 101 Импорт типов данных ...... 101 Определение Email адресов ...... 101 Установка водяного знака ...... 102 Предпросмотр водяных знаков ...... 105 Просмотр водяных знаков в документах MSOffice ...... 106 Разрешение конфликтов водяных знаков ...... 106 Включение и выключение водяного знака ...... 108 Использование инструмента просмотра водяного знака DLP ...... 109 Точная настройка источника и пункта назначения...... 109 Создание различных Правил для различных отделов ...... 110 Изоляция DMZ ...... 111 Определение строжайшей безопасности ...... 111 Определение протоколов DLP Правил ...... 112 Точная настройка для протокола ...... 112 Настройка дополнительных HTTP портов...... 113 Расширенная конфигурация и устранение сбоев в работе...... 114 Настройка доступа пользователей к интегрированному DLP шлюзу ...... 114 Внутренняя политика Firewall для выделенного DLP шлюза ...... 115 Расширенные настройки обработки истечения срока ...... 116 Расширенные настройки SMTP квот ...... 116 Расширенные настройки FTP и HTTP квот...... 117 Расширенные настройки уведомления пользователей ...... 117 Устранение сбоев: происшествия не истекают ...... 118 Устранение сбоев: почтовый сервер заполнен ...... 118 Очистка шлюза от истекших данных ...... 119 Очистка шлюза от всех перехваченных данных ...... 119 Настройка уведомлений, связанных с DLP пользователями ...... 121 Локализация уведомлений, связанных с DLP пользователями ...... 122 Поддержка LDAP серверов с UTF-8 записями ...... 122 Редактирование значений экстремальных условий ...... 123 Редактирование значений Exchange Security Agent ...... 124 Настройка HTTP проверки на всех портах ...... 125 Определение новых типов данных ...... 126 Сертификаты сервера ...... 141 Получение и установка сертификата доверенного сервера...... 142
Просмотр сертификата ...... 143 Расширенные опции для типов данных ...... 144 Чувствительность к регистру ...... 144 Порядок сопоставления имен ...... 144 Близость сопоставляемых слов...... 145 Множественные совпадения ...... 145 Сопоставление только целого слова ...... 146 Регулярные выражения...... 147 Метасимволы ...... 147 Квадратные скобки ...... 148 Круглые скобки...... 148 Дефис ...... 148 Точка ...... 148 Вертикальная черта ...... 148 Обратная косая черта ...... 148 Символы перехода ...... 148 Кодирование непечатаемых знаков ...... 149 Указание типов символов ...... 149 Квантификаторы ...... 149 Фигурные скобки ...... 150 Знаки вопроса...... 150 Астериск ...... 150 Плюс ...... 150 Поддерживаемые наборы символов ...... 151 Алиасы наборов символов ...... 151 Алфавитный указатель...... 155
Глава 1
Введение в Data Loss Prevention В этой главе
Необходимость в Предотвращении утечки данных 8 DLP и защита от несанкционированного доступа 8 Решение Check Point для DLP 9 Роль DLP администратора 13
Необходимость в Предотвращении утечки данных Сегодня данные доступны и могут передаваться легче, чем когда-либо раньше, и большая часть таких данных имеет разные уровни конфиденциальности. Некоторые данные являются конфиденциальными просто потому, что являются данными, предназначенными для использования внутри организации, и не предназначены для широкой общественности. Некоторые данные являются конфиденциальными из-за корпоративных требований, государственных законов и международных положений. Часто ценность данных зависит от их оставшейся конфиденциальности в отношении интеллектуальной собственности и конкуренции. Утечка ваших данных может поставить вас в неудобное положение или, что еще хуже, стоить вам конкурентного положения в отрасли или потери прибыли. Если ваша организация не соблюдает законов об охране прав личности или других законов, это может не только поставить в неудобное положение, но лишить вашу организацию целостности. Вы хотите защитить конфиденциальность своей организации, но при огромном выборе инструментов, облегчающих передачу информации, также легко допустить непоправимую ошибку. Что еще более осложняет дело, вместе с серьезностью утечки данных, в нашем распоряжении есть инструменты, которые по своей природе предусматривают вероятность нарушения конфиденциальности: облачные сервера, Google docs и просто непреднамеренное нарушение процедур компании - например, когда работник берет работу на дом. На самом деле, большинство случаев утечки данных происходят из-за непреднамеренного нарушения. Лучшим решением предотвратить утечку данных является реализация автоматизированных корпоративных процедур, которые ловят защищенные данные до того, как они покинут организацию. Таким решением является Предотвращение утечки данных (Data Loss Prevention - DLP). Система предотвращения утечки данных определяет, контролирует и защищает передачу данных путем глубокой проверки их содержания и путем анализа параметров передачи (таких как источник, пункт назначения, объект данных и протокол) в рамках централизованного управления. Вкратце, DLP определяет и предотвращает несанкционированную передачу конфиденциальной информации.
Примечание - Предотвращение утечки данных также известно как Предотвращение потери данных, Определение и предотвращение утечки информации, Предотвращение утечки информации, Контроль и фильтрация содержимого данных и Предотвращение внедрения.
DLP и защита от несанкционированного доступа DLP захватывает первоначальные данные, вызвавшие принудительное срабатывание правила, включая объект передачи и прилагаемые файлы. Мы рекомендуем вам сообщить вашим пользователям о том, как работает система DLP. Сообщите пользователям, что передача, которая нарушает руководства по безопасности данных вашей организации, будет остановлена, и ее данные могут быть прочтены персоналом службы безопасности. Рекомендации по раскрытию информации: 1. Раскройте политику конфиденциальности ДО развертывания DLP. 2. Переделайте самые важные правила DLP в руководства и скажите Вашим пользователям, что не разрешено и что приведет к перехвату данных.
Data Loss Prevention Руководство администратора R75.40VS | 8 Введение в Data Loss Prevention 3. Объясните, что DLP сканирует только передачи, начинающиеся с компьютеров внутри организации (включая любые источники, использующие ресурсы организации, такие как соединения Удаленного доступа (Remote Access) или VPN). 4. Объясните, как работать с нарушениями Ask User. Уведомления о DLP происшествии могут быть отправлены по электронной почте (для SMTP трафика) или появиться в виде всплывающего окошка в панели задач из клиента UserCheck (для SMTP, HTTP, FTP и т.д.). Если происшествие в уведомлении находится в режиме "Ask User", пользователь может нажать на ссылку Send (Отправить) или Discard (Сбросить) во всплывающем окошке клиента UserCheck: для обработки происшествия в режиме реального времени. Важно - Ваши пользователи должны знать цель клиента UserCheck: обработка DLP опций непосредственно из всплывающего окошка. Если пользователь выходит из клиента, альтернативная веб-страница, которая предоставляет опции Ask User, может не работать. 5. Объясните, что перехваченные передачи данных будут занесены в журнал и сохранены, и о некоторых из них может быть доложено руководителям (Владельцы данных). 6. Объясните, что перехваченные электронные сообщения, приложения, веб-посты и т.д. могут просматриваться персоналом службы безопасности. 7. Объясните, что просмотр передачи исходных данных предназначен только для безопасности данных организации - вы не собираете персональную информацию. Поэтому у ваших пользователей нет возможности, и они не могут потребовать, чтобы их данные не сканировались. 8. Убедитесь, что вы соблюдаете свои руководства: не храните и не используйте исходные передачи данных с любой другой целью кроме просмотра DLP происшествий и соблюдения правил. Решение Check Point для DLP Программный блейд Check Point Data Loss Prevention дает вам возможность быстрого применения интегрированных реалистичных функций определения, основываясь на эвристических правилах специалистов. Однако оптимальное DLP занимает время. Чтобы определить данные, которые не предназначены для передачи, вы должны учитывать множество переменных, каждая из которых меняется в контексте определенной передачи данных: Какого рода эти данные? Кто является их владельцем? Кто отправляет их? Кто является их получателем? Когда они отправляются? Какова стоимость прекращения выполнения задач из-за того, что процедура строже, чем необходимо? Свойства Предотвращения утечки данных Check Point решает сложную задачу Предотвращения утечки данных с помощью уникальных свойств. • UserCheck™ - Обеспечивает быстрый ответ на обработку происшествия с автоматизированным уведомлением пользователя и уникальным режимом Ask User (Спросить пользователя). Каждый человек в вашей организации учится наилучшим необходимым методам, предотвращая в будущем непреднамеренные нарушения - являющиеся основной причиной DLP происшествий - и быстрой обработке происшествий. Пользователь обрабатывает такие происшествия либо посредством DLP Self Incident Handling Portal (Портал самостоятельной обработки DLP происшествий) или через клиента UserCheck. Без UserCheck администратору службы безопасности или даже команде службы безопасности пришлось бы проверять каждое электронное сообщение и передачу данных в реальном времени и одобрять или отклонять их. По этой причине другие продукты предлагают только определение подозрительных происшествий. С UserCheck процесс принятия решений передается пользователям. Им предоставляются причины, по которым данные были перехвачены, и они должны предоставить причины, по которым нужно пропустить эти данные (если после уведомления они не передумали отправлять данные). Решения пользователя (отправить или сбросить) и причины отправки регистрируются в журнале. Вместе с исходным сообщением и решениями и причинами пользователя вы можете разработать эффективную политику предотвращения на основе фактического использования. • MultiSpect™ - Обеспечивает непревзойденную точность определения и предотвращения происшествий путем многопараметрической корреляции с Типами составных данных и настраиваемыми типами данных с CPcode.
• Интегрированная безопасность (Out of the Box Security) - Богатый спектр заранее определенных типов данных распознает конфиденциальные формы, шаблоны и данные, которые должны быть защищены. Типы данных занесены в эффективную интегрированную политику. • Аудит Владельца данных (Data Owner) - Владелец данных является лицом, отвечающим за контроль информации и файлов в его/ее сфере деятельности в корпорации. Владельцы данных получают своевременную и соответствующую информацию путем автоматизированных уведомлений и отчетов, которые точные показывают перемещение их данных. Check Point DLP дает Владельцам данных информацию, которая им необходима для рассмотрения вопросов, непосредственно связанных со сферой их ответственности. Без контроля Владельцев данных администратор службы безопасности часто бы оказывался в неудобном положении между руководителями и работниками. Data Loss Prevention Руководство администратора R75.40VS | 9 Введение в Data Loss Prevention CPcode™ - DLP поддерживает полностью настраиваемую идентификацию данных через использование CPcode. Вы определяете, как данные будут попадать под DLP. При этом вариантов выбора большое множество. Примечание - Смотрите R75.40VS CPcode Справочное руководство по DLP (http://supportcontent.checkpoint.com/solutions?id=sk76540). Выгоды Предотвращения утечки данных Check Point DLP экономит время и значительно улучшает ROI. Ее инновационные технологии обеспечивают автоматизацию, которая устраняет необходимость в долгом и дорогостоящем анализе, а также в команде для обработки происшествий. Теперь вы можете перейти от политики простого определения к точной и эффективной политике предотвращения, не привлекая внешних консультантов и не нанимая команду по безопасности. Весь функционал легко управляется посредством SmartDashboard, а интерфейс похож с другими Программными блейдами. Вам не нужно быть экспертом по DLP с момента его развертывания. Check Point Data Loss Prevention дает Вам рекомендации по настройке и улучшению вашей политики DLP - например, с помощью значка "Improve Accuracy" (Повысить точность). Программный блейд DLP имеет большое количество встроенных типов данных, которые можно быстро применить в качестве политики по умолчанию. Вы можете точно настроить вашу интегрированную политику, чтобы легко превращать руководства по конфиденциальности и целостности в автоматизированные правила. А позже вы можете создать собственные типы данных. Такой цикл обновления процедур, переход от политики определения к политике предупреждения, созвучен с мощными инструментами контроля - Check Point SmartEvent.
Терминология Предотвращения утечки данных В Руководстве по администрированию Шлюз DLP (DLP gateway) означает шлюз безопасности Check Point с активированным Программным блейдом Data Loss Prevention. Шлюз DLP может использоваться как: • Интегрированный шлюз безопасности: Программный блейд Data Loss Prevention активирован на шлюзе безопасности, что делает его шлюзом DLP. Программный блейд Firewall и, выборочно, другие Программные блейды безопасности сети также активированы на шлюзе. • Выделенный шлюз безопасности: Программный блейд Data Loss Prevention активирован на шлюзе, что делает его шлюзом DLP. Других активированных Программных блейдов безопасности сети нет.
Как это работает
1. Программный блейд Data Loss Prevention активирован на шлюзе безопасности (1) (или Кластере безопасности ClusterXL). Что делает его DLP шлюзом (или Кластером безопасности DLP). С другой стороны, выделенный DLP шлюз может находиться за защищающим шлюзом безопасности. 2. Используйте SmartDashboard и Сервер управления безопасностью (3) для установки Политики DLP на шлюзе DLP. 3. Шлюз DLP (1) использует встроенные типы данных и правила для обеспечения интегрированного Предотвращения утечки данных. Он может использовать Активный каталог или LDAP сервер (6) для определения внутренней организации.
Data Loss Prevention Руководство администратора R75.40VS | 10 Введение в Data Loss Prevention Он ловит весь трафик, содержащий данные и отправляемый через поддерживаемые протоколы. Таким образом, когда пользователи отправляют данные, которые идут на HTTP прокси (4) или почтовый сервер (5), например, шлюз DLP перехватывает данные до того, как они покинут организацию. Он сканирует трафик, включая приложения электронной почты, на предмет наличия данных, которые должны быть защищены, но отправляются за пределы организации. Такие данные распознаются по протоколу, источнику, пункту назначения и общему типу данных. Он также сканирует внутренний трафик между клиентами Microsoft Exchange внутри организации. Для этого необходимо установить Exchange Security Agent на сервере Microsoft Exchange. Агент направляет внутренние электронные сообщения на шлюз DLP, который затем сканирует их. Если организация использует Exchange сервера только для управления электронными сообщениями (внутренними и внешними), вы можете использовать данную настройку также для сканирования электронных сообщений, которая отправляются за пределы организации. Если данные не подходят под правила DLP процедуры, трафик пропускают. 4. SmartView Tracker и SmartEvent (7) обеспечивают эффективную регистрацию в журнале, отслеживание и анализ событий, а также предоставляют отчеты по перехваченным DLP шлюзом происшествиям.
Развертывание интегрированного DLP шлюза безопасности В развертывании Интегрированного DLP шлюза безопасности Программный блейд Data Loss Prevention активирован на шлюзе безопасности (или Кластере безопасности ClusterXL). Поэтому это DLP шлюз (или Кластер безопасности DLP). Программный блейд Firewall и, опционально, другие Программные блейды безопасности сети, также активированы на шлюзе. Если шлюз DLP находится по периметру, SMTP сервер направляет на DLP только передачи, предназначенные для выхода за пределы организации. Внутренние и внешние передачи могут проверяться DLP, если они направлены DLP агентом Exchange Security Agent на сервере Exchange Server. Для внешних передач через Exchange Security Agent сервер Exchange Server должен иметь доступный IP адрес к DLP шлюзу. Такое развертывание поддерживается на шлюзе безопасности открытого сервера SecurePlatform или кластере R75 или выше.
Развертывание выделенного шлюза DLP В развертывании Выделенного DLP шлюза безопасности Программный блейд Data Loss Prevention активирован на шлюзе безопасности (1) (или Кластере безопасности ClusterXL). Что делает его DLP шлюзом (или Кластером безопасности DLP). Нет других активированных Программных блейдов безопасности сети. Например, Программный блейд Firewall не активирован на шлюзе, поэтому шлюз не вызывает срабатывание Политики Безопасности. DLP шлюз может находиться за защищающим шлюзом безопасности (2).
При настройке выделенного DLP шлюза (1), Check Point рекомендует сконфигурировать DLP шлюз в качестве моста. Мост прозрачен к маршрутизации в сети. Развертывание выделенного DLP шлюза поддерживается на: Data Loss Prevention Руководство администратора R75.40VS | 11 Введение в Data Loss Prevention • R75 или выше UTM-1 или Power-1 устройстве • R75 или выше Кластере безопасности ClusterXL - с использованием либо UTM-1 или Power-1 устройства, или на открытом сервере. • На шлюзе безопасности открытого сервера R71 или выше. • DLP-1 устройстве R71 или выше - Такое развертывание поддерживает два режима управления:
• Локальное управление - DLP-1 устройство совмещает шлюз исполнения DLP вместе с некоторыми функциями Сервера управления безопасностью. Локально управляемое DLP-1 устройство отвечает только за управление собственной политикой безопасности DLP. • Центральное управление - Устройство DLP-1 исполняет только Политику безопасности DLP, которая определена и управляется Сервером управления безопасностью на другой машине.
Альтернативное развертывание шлюзов В качестве альтернативы по развертыванию шлюза DLP по сети периметра, вы можете развернуть DLP шлюз между пользовательскими сетями и серверами, чтобы DLP мог проверять трафик до того, как он попадает на сервера. Такое развертывание является необходимой конфигурацией, если вы хотите использовать DLP правило, которое проверяет передачу данных между отделами. Например, вы можете создать DLP правило, которое проверяет электронные письма между внутренними группами: Source (Источник) - специальная сеть, Destination (Пункт назначения) - Outside Source (За
пределами источника) (все, что за его пределами этого Источника). Такое правило будет применяться только в случае использования такого развертывания.
Вы можете поместить DLP шлюз между пользователями и переключателем, для непосредственной защиты подсети.
Data Loss Prevention Руководство администратора R75.40VS | 12 Введение в Data Loss Prevention Что происходит при соответствии правилу (Rule Match) Шлюз DLP перехватывает трафик и сканирует его на предмет соответствия политике Предотвращения утечки данных. Если данные в трафике совпадают с правилом в политике: 1. Регистрируется происшествие.
Данные сохраняются в безопасном репозитории на Сервере регистрации Домена или Сервере управления безопасностью, который хранит DLP журналы. DLP шлюз регистрирует происшествие с помощью SmartView Tracker и SmartEvent. 2. Действие правила выполнено. Если совпавшее правило установлено на Detect (Обнаружить), пользователь не получает уведомления. Создается журнал происшествия DLP и фактические данные сохраняются. Если совпавшее правило установлено на Inform User (Сообщить пользователю), DLP уведомляет пользователя о том, что перехваченный трафик нарушает правила DLP. Трафик пропущен. Если совпавшее правило установлено на Ask User (Спросить пользователя), DLP уведомляет пользователя, что сообщение сохранено и содержит ссылку на DLP Портал, где пользователь должен решить, пропустить ли передачу или прекратить ее. Решение пользователя и причины такого решения регистрируются для вашего анализа. Если совпавшее правило установлено на Prevent (Предотвратить), трафик блокируется. Может быть выслано уведомлению пользователю и Владельцу данных. 3. Опционально, Владельцы данных и другие пользователи, которые должны быть уведомлены, получат уведомление о происшествии. Роль DLP администратора DLP предоставляет различные инструменты аудита: автоматические уведомления владельцев данных при попытке передачи защищенных данных; уведомления пользователя и портал самообработки; отслеживание и регистрация с помощью SmartView Tracker; информация о событии, схемы, графики, фильтруемые списки из SmartEvent; и отчеты из SmartReporter. Прежде чем начать аудит, настройте свою DLP политику и разработайте ее в соответствии со своими нуждами. Сначала это делается через Типы данных. Тип данных (Data Type) - Представление активов данных, которые dы хотите защитить, являются строительными блоками DLP процедуры. Типы данных можно комбинировать для комплексного и гибкого распознавания и предупредительной DLP. Процесс создания и настройки DLP политики: • Разверните интегрированную систему Предотвращения утечки данных с основной политикой. Данная процедура обеспечивает мощные возможности определения со Дня 1.
• Вы можете настроить предопределенные типы данных для улучшения точности политики. Некоторые предоставленные типы данных являются местом для словарей собственной информации. Для вашего удобства такие типы данных отмечены значком. Интегрируйте данные вашей организации с политикой DLP, чтобы она наиболее точно соответствовала вашим требованиям. • Выберите типы данных. Ознакомьтесь с широким диапазоном предоставленных типов данных. Активируйте и деактивируйте правила DLP политики в соответствии с вашими требованиями. • Создайте свои типы данных с помощью легкого в использовании мастера. Внедрите руководства по конфиденциальности вашей организации. Убедитесь, что информация, принадлежащая Владельцам данных, остается под их контролем. Введите защиту данных, используя ваши типы данных в DLP правилах. • Контролируйте происшествия и передавайте информацию владельцам данных. Шлюз DLP перехватывает попытки передачи защищенных данных и регистрирует происшествия в SmartView Tracker. Вы решите, вместе с Владельцами данных, какие происшествия также требуют уведомления Владельцев данных. По мере того, как вы контролируете происшествия, создавайте руководства для тонкой настройки DLP процедуры. • Доработайте процедуру. Когда электронное сообщение или FTP загрузка обрабатываются по причине соответствия правилу политики Предотвращения утечки данных, связь с пользователем прекращается. Иногда это лучшее предупреждающее действие, но в других ситуациях в этом нет необходимости. Отслеживайте действия пользователя, чтобы увидеть, согласен ли пользователь, что данные не должны быть отправлены или что у пользователей есть причины на передачу. • Регулярно пересматривайте процедуру. Сформируйте отчеты Владельца данных и проведите аудит действий пользователя. Просмотрите журналы в SmartView Tracker и убедитесь, что процедура DLP работает гладко и предотвращает передачу защищенных данных. Data Loss Prevention Руководство администратора R75.40VS | 13 Введение в Data Loss Prevention Права DLP администратора Вы можете наделить DLP администратора всеми правами DLP или рядом прав.
При полных правах DLP администратор может:
• Видеть все поля журналов в SmartView Tracker.
• Видеть перехваченные данные (фактическое электронное сообщение, FTP файлы и HTTP посты). • Отправлять или сбрасывать находящиеся на карантине электронные сообщения пользователей из SmartView Tracker. Альтернативой назначению полного класса прав является конфигурация подкласса. Это дает Вам возможность назначать только некоторые права. Например, права видеть только поля в журналах, но не видеть перехваченные данные или отправлять/сбрасывать электронные сообщения, находящиеся на карантине. Для конфигурации полного класса прав: 1. Из меню Manage (Управление) выберите Users and Administrators (Пользователи и Администраторы). 2. Выберите учетную запись администратора или нажмите на New > Administrator (Новый > Администратор), чтобы создать новую учетную запись администратора. Откроется окно Administrator Properties (Свойства администратора), в котором находятся General Properties (Общие свойства). 3. Нажмите New (Новое) рядом с полем Permissions Profile (Профиль разрешений). Откроется окно Permissions Profile Properties (Свойства профиля разрешений). 4. Убедитесь, что выбрали Read/Write All (Чтение/Запись на все). 5. Выберите Read DLP logs including confidential fields and incidents (Читать DLP журналы, включая конфиденциальные поля и происшествия). 6. Нажмите OK .
Чтобы сконфигурировать подкласс прав: 1. Из меню Manage (Управление) выберите Users and Administrators (Пользователи и Администраторы). 2. Выберите учетную запись администратора или нажмите на New > Administrator (Новый > Администратор) , чтобы создать новую учетную запись администратора. Откроется окно Administrator Properties (Свойства администратора), в котором находятся General Properties (Общие свойства). 3. Нажмите New (Новое) рядом с полем Permissions Profile (Профиль разрешений). Откроется окно Permissions Profile Properties (Свойства профиля разрешений). 4. Выберите Customized (Настраиваемое) и нажмите Next (Далее). Откроется окно конфигурации прав Администратора. 5. Выберите Monitoring and Logging (Отслеживание и запись в журнал). 6. Выберите права, которыми вы хотите наделить Администратора. 7. Нажмите OK . 8. Права:
• DLP Logs including confidential fields (DLP журналы, включая конфиденциальные поля) - Право просматривать все поля DLP журналов в SmartView Tracker. Если данный флажок отжат, администратор видит текст ****Конфиденциально ****, а не фактическое содержание полей, определенных как конфиденциальные. • View/Release/Discard DLP Messages (Просмотр/Отправка/Сброс DLP Сообщений) - Право просматривать электронные сообщения и соответствующие происшествия в SmartView Tracker и SmartReporter. С такими правами администраторы могут также отправлять или сбрасывать электронные сообщения, находящиеся на карантине, из SmartView Tracker. Примечание - Если вы выбрали оба флажка, вы даете полные DLP права.
Data Loss Prevention Руководство администратора R75.40VS | 14
Глава 2 Установка и конфигурация
В этой главе
Поддерживаемые DLP платформы 15 Установка шлюза DLP 15 Пробная лицензия программного блейда DLP 15 Панель инструментов SmartDashboard 16 Конфигурация шлюза DLP и кластера безопасности 16 Мастер кластера безопасности DLP-1 18 Мастер Data Loss Prevention 19 Конфигурация выделенного шлюза DLP в режиме моста 19 Конфигурация Активного каталога и LDAP для DLP 20 Конфигурация шлюза DLP для веб-прокси 21 Требуемая конфигурация почтового транслятора 23 Конфигурация обработки журнала происшествий 27 Клиент UserCheck 29 Конфигурация Exchange Security Agent 38 HTTPS Проверка 42
Check Point Data Loss Prevention - это Программный блейд. Он должен иметь подключение к Серверу управления безопасностью и SmartDashboard. Шлюз Check Point или устройство DLP-1 необходимы для DLP. При использовании выделенного DLP шлюза Check Point рекомендуется иметь защищающий Шлюз Безопасности перед шлюзом DLP. Среда должна включать DNS.
Важно - Перед установкой DLP рекомендуется ознакомиться с R75.40VS Информацией по версии.
Поддерживаемые DLP платформы Перед установкой или конфигурацией Вашего шлюза DLP убедитесь, что он совпадает с требованиями платформы для вашего использования в R75.40VS Примечаниях к выпуску.
Установка шлюза DLP Инструкции о том, как устанавливать и выполнять первоначальную конфигурацию шлюза DLP, смотрите в R75.40VS Руководство по установке и обновлению.
Пробная лицензия программного блейда DLP Программный блейд DLP имеет тридцатидневную пробную лицензию. Чтобы активировать пробную лицензию: 1. Выберите Программный блейд DLP в SmartDashboard, в объекте шлюза. 2. Установите политику на шлюз DLP.
Data Loss Prevention Руководство администратора R75.40VS | 15 Установка и конфигурация Во время пробного периода, когда вы устанавливаете политику на шлюз DLP, появится предупреждающее сообщение о том, сколько дней осталось до конца пробной лицензии. После пробного периода вы должны установить полную лицензию Программного блейда DLP. Если вы этого не сделаете, Программный блейд DLP перестанет работать, и политика не может быть установлена на шлюз DLP. Вы должны отменить выбор Программного блейда DLP, и затем вы можете установить политику на шлюз.
Панель инструментов SmartDashboard Вы можете использовать панель инструментов SmartDashboard для выполнения следующих действий:
Иконка Описание Откройте меню SmartDashboard. Когда вы увидите инструкцию о выборе опций меню, сначала нажмите эту кнопку. Например, если вы получили инструкцию выбрать Manage > Users and Administrators (Управление > Пользователи и Администраторы), нажмите данную кнопку, чтобы открыть меню Управления, и затем выберите опцию Пользователи и Администраторы. Сохраните текущую политику и все объекты системы.
Обновите политику из Сервера управления безопасностью.
Измените глобальные свойства
Проверьте согласованность базы правил.
Установите политику на Шлюзах Безопасности или шлюзах VSX.
Откройте SmartConsoles.
Конфигурация шлюза DLP и кластера безопасности Вы можете включить Программный блейд DLP как один из Программных блейдов на шлюзе безопасности. Это известно как интегрированное развертывание DLP. В R75 и выше вы можете также включить Программный блейд DLP на ClusterXL в режиме High Availability (Высокая доступность системы) или в режиме Full High Availability (Полная высокая доступность системы) на устройстве UTM-1 или моделях устройства 2012. В выделенном DLP шлюзе Программный блейд Data Loss Prevention активирован на шлюзе (или Кластере ClusterXL), и никакой другой Программный блейд сетевой безопасности не активирован.
Примечание - Программный блейд DLP (в качестве выделенного шлюза или в интегрированном Шлюзе безопасности) может работать как часть кластера распределения нагрузки ClusterXL, только если политика содержит DLP правила, которые используют только действие Detect (Определение) или действие Prevent (Предупреждение) ("Действия правила" на странице 65). Другие DLP действия для кластера распределения нагрузки ClusterXL не поддерживаются.
В версии R75.20 и выше вы можете также сконфигурировать High Availability кластер ClusterXL выделенных DLP-1 устройств.
Важно - Выделенный DLP шлюз не приводит в исполнение политику Firewall, проверку состояния соединения, антиспуфинг или NAT. Check Point рекомендует развернуть его за защищающим Шлюзом безопасности или сетевым экраном.
В кластере DLP шлюза синхронизация выполняется каждые две минуты. Поэтому в случае аварийного переключения новый активный участник может не знать о происшествиях DLP, которые произошли в течение двух минут с момента аварийного переключения. Чтобы сконфигурировать устройство DLP-1, смотритеDLP-1 Руководство по началу работы.
Data Loss Prevention Руководство администратора R75.40VS | 16 Установка и конфигурация Интегрированные развертывания В интегрированном развертывании вы можете: Активировать блейд DLP на существующем Шлюзе безопасности или кластере безопасности. Сконфигурировать новый шлюз безопасности или кластер и активировать на нем DLP блейд. Чтобы активировать DLP на существующем Шлюзе безопасности или кластере безопасности: 1. Откройте SmartDashboard. 2. Отредактируйте объект Шлюза безопасности или Кластера безопасности. 3. Для Кластера безопасности: На странице ClusterXL выберите режим High Availability New (Высокая доступность Новая) или Load Sharing (Распределение нагрузки). Обратите внимание, что вы можете использовать распределение нагрузки, если правила DLP используют только действие "Detect" (Обнаружить). 4. На странице General Properties (Общие свойства) в области Software Blades (Программные блейды) активируйте Программный блейд Data Loss Prevention (Предотвращение утечки данных). Примечание - На кластере безопасности это активирует DLP блейд на каждом участнике кластера.
Откроется Data Loss Prevention Wizard (Мастер Data Loss Prevention). 5. Завершите Data Loss Prevention Wizard (Мастер Data Loss Prevention) (на странице 19).
Чтобы сконфигурировать новый шлюз DLP или кластер безопасности: 1. Откройте SmartDashboard. 2. Чтобы сконфигурировать шлюз безопасности:
a) Откройте страницу General Properties (Общие свойства) шлюза. b) Только для объекта нового шлюза: Нажмите Communication (Связь) и инициализируйте SIC. 3. Чтобы сконфигурировать шлюз безопасности:
a) Отредактируйте объект Кластера безопасности b) Сконфигурируйте Кластер безопасности c) На странице ClusterXL выберите режим High Availability New (Высокая доступность Новая) или Load Sharing (Распределение нагрузки). Обратите внимание, что вы можете использовать распределение нагрузки, если правила DLP используют только действие "Detect" (Обнаружить). 4. На странице General Properties (Общие свойства) в области Platform (Платформа) выберите Hardware, Version (Аппаратное обеспечение, Версия) и OS (ОС). Убедитесь, что выбранные опции соответствуют требованиям платформы для вашего развертывания в R75.40VS Информация по версии. 5. В области Software Blades (Программные блейды) включите Программный блейд Data Loss Prevention .
Примечание - На кластере безопасности это включает DLP блейд на каждом участнике кластера. Откроется Data Loss Prevention Wizard (Мастер Data Loss Prevention). 6. Завершите Data Loss Prevention Wizard (Мастер Data Loss Prevention) (на странице 19). Выделенные развертывания В среде выделенного развертывания существуют следующие варианты конфигурации: Выделенный шлюз DLP или кластер на существующем Шлюзе безопасности или кластере безопасности. Выделенный шлюз DLP или кластер на локально управляемом DLP-1 устройстве. Выделенный шлюз DLP или кластер на центрально управляемом DLP-1 устройстве. Чтобы сконфигурировать выделенный шлюз DLP на существующем Шлюзе безопасности или кластере безопасности: 1. Сконфигурируйте существующий Шлюз безопасности или кластер в качестве DLP шлюза или кластера безопасности. 2. Уберите флажок, если он стоит, на Программном блейде Firewall. Когда вы уберете отметку Программного блейда Firewall, появится предупреждающее сообщение. You are about to turn off the Firewall blade, with only the DLP blade left on. (Вы собираетесь отключить блейд Firewall, включенной останется только DLP блейд). Therefore, this Security Gateway will not enforce the security policy. (Поэтому данный шлюз безопасности не будет исполнять политику безопасности).
Data Loss Prevention Руководство администратора R75.40VS | 17 Установка и конфигурация It is recommended to place this Security Gateway behind a firewall. (Рекомендуется поместить данный Шлюз безопасности за сетевой экран). Are you sure you want to continue? (Вы уверены, что хотите продолжить?) 3. Нажмите Yes (Да) Чтобы сконфигурировать выделенный шлюз DLP или кластер на локально управляемом DLP-1 устройстве. 1. Откройте SmartDashboard. Для локально управляемого шлюза откроется Мастер Data Loss Prevention. Для локально управляемого кластера откроется Мастер кластера DLP-1. 2. Выполните Мастер Data Loss Prevention Wizard (на странице 19) или Мастер кластера DLP-1 ("Мастер кластера безопасности DLP-1" на странице 18).
Чтобы сконфигурировать выделенный шлюз DLP или кластер на центрально управляемом DLP-1 устройстве: 1. Откройте SmartDashboard на Сервере Управления безопасностью, который управляет устройством DLP-1 2. Создайте новый Шлюз безопасности DLP-1 или объект Кластера безопасности из Network Objects > Check Point > DLP-1 > Gateway или Cluster (Объекты сети > Check Point > DLP-1 > Шлюз или Кластер). 3. Завершите мастер. Мастер кластера безопасности DLP-1 Предварительные условия Прежде чем определить Кластер безопасности DLP-1: Убедитесь, что вы определили все используемые сетевые интерфейсы для каждого из DLP-1 устройств. Интерфейсы должны быть определены внутри одной и той же подсети. Чтобы убедиться, что они определены правильно, используйте устройство WebUI. Убедитесь, что кабель соединен между двумя портами SYNC на устройствах. Не нужно назначать им IP адреса. Если вы назначили IP адреса, убедитесь, что SYNC интерфейсы используют одинаковую подсеть. Убедитесь, что у вас есть ключ активации, который был установлен для устройства, определенного в качестве второстепенного элемента во время первоначальной конфигурации. Данный ключ используется для установки доверительного соединения между главным элементом и второстепенным элементом. Конфигурация локально управляемого кластера безопасности DLP-1 Используйте мастер Кластера безопасности в SmartDashboard, чтобы создать кластер для двух шлюзов DLP- 1. С помощью мастера вы определяете имя объекта кластера, имя и IP адрес второстепенного элемента кластера и конфигурируете топологию для интерфейсов шлюза. Для каждого интерфейса сети, сконфигурированного для элементов кластера, есть страница Топологии кластера. На этой странице вы определяете, участвует ли сетевой интерфейс в кластере. Если интерфейс является частью кластера, вы должны определить виртуальный IP адрес для кластера. Данный IP адрес виден сети и обеспечивает, чтобы события аварийного переключения были прозрачны для всех хостов в сети. Если интерфейс не является частью кластера, интерфейс является не отслеживаемым частным интерфейсом. Чтобы сконфигурировать локально управляемый кластер безопасности DLP-1: 1. Войдите в SmartDashboard с помощью ваших данных доступа Управления безопасностью. Откроется мастер Кластера безопасности. 2. Нажмите Next (Далее). Откроется страница Общих свойств кластера. 3. Введите имя кластера. 4. Нажмите Next (Далее). Откроется страница второстепенного элемента кластера. 5. В Secondary Member Name (Имя второстепенного элемента) и Secondary Member IP Address (IP адрес второстепенного элемента), введите название и IP адрес устройства, которое вы сконфигурировали в качестве второстепенного элемента. 6. В Activation Key (Ключ активации), введите тот же ключ активации, который был установлен для второстепенного элемента в мастере конфигурации, и подтвердите его. Ключ активации используется главным элементом для установления первоначального доверительного соединения с второстепенным элементом. После установления доверительное соединение основывается на сертификатах безопасности. Data Loss Prevention Руководство администратора R75.40VS | 18 Установка и конфигурация 7. Для создания Кластера безопасности только с главным элементом, выберите Define the Secondary Cluster member later (Определить Второстепенный элемент кластера позже). 8. Нажмите Next (Далее). Откроется страница Топологии кластера. 9. Чтобы установить интерфейс в качестве части кластера, выберите Interface part of the cluster (Интерфейсная часть кластера) и введите Virtual IP Address (Виртуальный IP адрес) и Net Mask (Маска сети). Если вы не хотите, чтобы интерфейс был частью кластера, убедитесь, что убрали соответствующий флажок. 10. Нажмите Next (Далее). 11. Повторите шаги 9-10 для каждого определенного интерфейса. 12. На странице завершения мастера определения кластера нажмите Finish (Готово). Откроется Data Loss Prevention Wizard (Мастер Data Loss Prevention). 13. Завершите Data Loss Prevention Wizard (Мастер Data Loss Prevention) (на странице 19). Мастер Data Loss Prevention
Опции мастера блейда DLP Email Domain in My Organization (email домен в моей организации) - Показывает домен организации, чтобы DLP шлюз мог различать между внутренними и внешними адресами электронных почт. Connect to Active Directory (Соединение с Активным каталогом) - Дает доступ DLP шлюзу к серверу Активного каталога и автоматически заполняет пользователей и группы пользователей, которые составляют определение My Organization (Моя организация), и для валидации пользователей. Вы можете сделать это сейчас или позже. Инструкции о том, как это сделать, представлены в Конфигурации LDAP для DLP ("Конфигурация Активного каталога и LDAP для DLP" на странице 20). Activate DLP Portal for Self Incident Handling (Активация DLP портала для самообработки происшествия) - Выберите, чтобы активировать порт. URL по умолчанию – https://
Завершение мастера После завершения мастера выполните данные шаги для DLP шлюза любой платформы. 1. Убедитесь, что Программный блейд Data Loss Prevention включен. 2. Просмотрите топологию шлюза DLP. DLP по умолчанию сканирует трафик от внутренних сетей к внешним сетям, поэтому вы должны правильно определить интерфейсы DLP шлюза как внутренние или внешние. Вы можете сделать это, когда определяете My Organization (Моя организация) во вкладке Data Loss Prevention в SmartDashboard. 3. Выполните Install Policy (Установить политику) только на шлюзе DLP:
a) В меню SmartDashboard нажмите Policy (Политика) и выберите Install (Установить). b) В окне Install Policy (Установить политику) выберите шлюзы DLP. На выделенном шлюзе DLP установлена только DLP Политика; она не является политикой безопасности. Убедитесь, что у вас есть другой Шлюз безопасности в среде для исполнения Политики Безопасности .
Конфигурация выделенного шлюза DLP в режиме моста При настройке выделенного шлюза DLP Check Point рекомендует, чтобы вы сконфигурировали шлюз DLP как мост, чтобы DLP шлюз был прозрачным для сетевой маршрутизации.
Data Loss Prevention Руководство администратора R75.40VS | 19 Установка и конфигурация Вы можете использовать DLP в режиме моста, с требованиями, описанными в данном разделе для маршрутизации, IP адреса и VLAN магистралей. Обратите внимание на текущие ограничения: • В среде с более чем одним интерфейсом моста DLP шлюз не должен видеть один и тот же трафик дважды на различных интерфейсах. Трафик не должен проходить от одного мостового сегмента к другому. • Маршрутизация между мостами (Inter-bridge routing) не поддерживается. Это включает маршрутизацию между VLAN (Inter-VLAN routing).
• Маршрутизация от интерфейса моста к интерфейсу Уровня 3 (Layer 3), и от интерфейса Уровня 3 к мосту не поддерживается. Трафик на интерфейсе моста должен проходить через мост или быть направлен к шлюзу DLP. • Если шлюз DLP в режиме моста находится за кластером, кластер должен быть в режиме НА. • Если интерфейс моста соединен с VLAN магистралью, все VLAN будут сканироваться DLP. Вы не можете исключить специфические VLAN.
• Bond High Availability (HA) (High Availability бонда) или Bond Load Sharing (LS) (Распределение нагрузки бонда) (включая "Link Aggregation" (Агрегирование каналов) не поддерживаются в комбинации с интерфейсами моста.
Необходимая маршрутизация в режиме моста Должны быть маршруты между шлюзом DLP и необходимыми серверами: • Сервер управления безопасностью • DNS сервер • Почтовый сервер, если сервер SMTP транслятора сконфигурирован для работы со шлюзом • Активного каталога или LDAP сервер, если сконфигурирован для работы со шлюзом. Должен быть маршрут по умолчанию. Если это не действующий маршрут, он должен достигать сервер, который отвечает на ARP запросы. Конфигурирование IP адреса моста Интерфейс моста может быть сконфигурирован без IP адреса, если другой интерфейс сконфигурирован на шлюзе, который будет использоваться для достижения UserCheck клиента и DLP портала. Если вы хотите добавить IP адрес к интерфейсу моста после запуска Шлюзов безопасности, запустите команды cpstop и cpstart для применения изменения. Требуемые интерфейсы VLAN магистрали • Один интерфейс моста должен быть сконфигурирован для связывания DLP шлюза с магистралью VLAN. • Если IP адрес сконфигурирован на мосту, IP адрес не должен принадлежать ни к одной из сетей, проходящих через мост. Пользователи должны иметь маршруты, которые проводят трафик через интерфейс моста DLP шлюза. Шлюз обрабатывает данный трафик и отвечает на тот же VLAN оригинального трафика.
• В интерфейсе VLAN магистрали другой интерфейс должен быть сконфигурирован в качестве управляющего интерфейса для необходимой маршрутизации моста.
Конфигурация Активного каталога и LDAP для DLP Вы можете сконфигурировать шлюз DLP для доступа в Активный каталог Microsoft или LDAP сервер для:
• Аутентификации к DLP Порталу с помощью данных доступа Активного каталога
• Аутентификации к UserCheck с помощью данных доступа Активного каталога
• Определения Активного каталога или LDAP групп, используемых в DLP политике • Определения объекта My Organization (Моя организация) Если вы запускаете мастер с компьютера в домене Активного каталога, Мастер Data Loss Prevention спросит ваши данные доступа Активного каталога для автоматического создания учетной записи LDAP устройства. Или вы можете
Data Loss Prevention Руководство администратора R75.40VS | 20 Установка и конфигурация запустить мастер еще раз позже с компьютера в домене Активного каталога для создания учетной записи LDAP. ("Повторный запуск Мастера Data Loss Prevention" на странице 21) Чтобы сконфигурировать DLP для использования Активного каталога LDAP: 1. Создайте объект шлюза DLP в SmartDashboard из компьютера, который является элементом домена Активного каталога. 2. Введите ваши данные доступа Активного каталога на странице Активного каталога. Вам не обязательно вводить права с привилегиями администратора. Рекомендуется создать учетную запись Активного каталога, которая выделена для использования продуктами Check Point для соединения с Активным каталогом. 3. Когда вы завершите мастер, автоматически создается учетная запись LDAP. Если у вас несколько серверов Активного каталога:
a) Просмотрите созданную учетную запись. b) Уберите ненужные сервера. c) Назначьте соответствующие свойства оставшимся серверам. Мастер DLP спросит данные доступа Активного каталога, только если не существует учетной записи LDAP. Если у вас уже есть учетная запись LDAP, мастер данных доступа у вас не спросит. Чтобы создать LDAP учетную запись из Мастера DLP, удалите существующую учетную запись LDAP и запустите мастер еще раз.
Примечание - Если вы конфигурируете учетную запись LDAP вручную, с методом аутентификации по имени пользователя и паролю, вы должны установить Default Authentication Scheme (Схему аутентификации по умолчанию) на Check Point Password (Пароль Check Point).
Если Вам нужно больше учетных записей, вы можете создать учетную запись LDAP вручную. Смотрите R75.40VS Руководство по администрированию управления безопасностью (http://supportcontent.checkpoint.com/solutions?id=sk76540).
Повторный запуск мастера Data Loss Prevention Если вы запускаете мастер из компьютера, который не является частью домена Активного каталога, вы можете запустить Мастер DLP еще раз позже с компьютера в домене Активного каталога, чтобы создать учетную запись LDAP.
Чтобы еще раз запустить Мастер Data Loss Prevention: 1. Откройте SmartDashboard. 2. Отредактируйте объект шлюза DLP. 3. На странице General Properties (Общие свойства) уберите флажок с Программного блейда Data Loss Prevention. 4. Выберите Программный блейд Data Loss Prevention. Запускается Data Loss Prevention Wizard (Мастер Data Loss Prevention).
Конфигурация шлюза DLP для веб-прокси Вы можете использовать сервер Веб-прокси или сервера для HTTP и HTTPS трафика. Если вы хотите, чтобы шлюз DLP сканировал данный трафик, вы должны сконфигурировать DLP шлюз.
Примечание - Вы можете активировать HTTPS проверку на шлюзе, чтобы сканировать HTTPS соединения ("HTTPS Проверка" на странице 42). Конфигурация для веб-прокси Используйте данные процедуры, если есть прокси соединение или соединения между DLP шлюзом и Интернетом, или в DMZ. Если прокси соединение есть в DMZ, рекомендуется использовать DLP шлюз, чтобы сканировать HTTP трафик между пользовательской сетью и прокси в DMZ.
Конфигурация шлюза DLP R75 или выше для Веб-Прокси Если у вас есть один Веб-прокси сервер между DLP шлюзом и Интернетом, используйте Процедуру 1 или Процедуру 2.
Data Loss Prevention Руководство администратора R75.40VS | 21 Установка и конфигурация Если у вас больше одного прокси между DLP шлюзом и Интернетом, используйте Процедуру 2. Если вы конфигурируете как Процедуру 1, так и Процедуру 2, шлюз DLP сбрасывает HTTP и HTTPS трафик, отправленный на любой веб-прокси, который не определен в Процедуре 1.
Процедура 1 1. В SmartDashboard отредактируйте объект шлюза DLP и затем откройте страницу Data Loss Prevention > Protocols (Предотвращение утечки данных > Протоколы). 2. Выберите HTTP. Или для шлюза или на протоколах по умолчанию. 3. Выберите Use proxy (Использовать прокси). 4. В поле Host IP (Хост IP) введите IP адрес Веб-прокси сервера. 5. В поле Port (Порт) введите порт прослушивания Веб-прокси сервера. 6. Нажмите OK . DLP сканирует только трафик для определенного веб-прокси.
Процедура 2 1. В SmartDashboard перейдите в Objects Tree (Дерево объектов) и выберите вкладку Services (Услуги) 2. Отредактируйте TCP услугу: HTTP_and_HTTPS_proxy 3. Нажмите Advanced (Расширенные настройки). 4. Выберите Protocol Type (Тип протокола) и выберите HTTP. 5. Нажмите OK . 6. В объекте шлюза DLP выберите Data Loss Prevention > Protocols (Предотвращение утечки данных > Протоколы) . 7. Выберите HTTP. Или для шлюза или на протоколах по умолчанию. 8. Убедитесь, что Use Proxy (Использовать прокси) не выбрана. 9. Нажмите OK .
Конфигурация шлюза DLP Pre-R75 для веб-прокси Для pre-R75 шлюза DLP, если у вас один веб-прокси между шлюзом DLP и Интернетом, используйте Процедуру 1 . Если у вас больше одного Веб-прокси, установите DLP шлюз между прокси соединениями и Интернетом.
Конфигурация для внутреннего веб-прокси Если шлюз DLP находится между Веб (HTTP) прокси сервером или серверами и Интернетом, используйте данные процедуры.
Конфигурация DLP шлюза для внутреннего Веб-прокси 1. В SmartDashboard отредактируйте объект шлюз DLP и затем откройте страницу Data Loss Prevention > Protocols (Предотвращение утечки данных > Протоколы). 2. Выберите HTTP. Или для шлюза или на протоколах по умолчанию. 3. Нажмите OK . 4. Во вкладке Data Loss Prevention (Предотвращение утечки данных) откройте страницу My Organization (Моя организация). 5. В разделе Networks (Сети) убедитесь, что Веб-прокси и пользовательские сети включены в Мою организацию.
Конфигурация прокси сервера для уведомления UserCheck Если DLP шлюз находится между веб-прокси сервером или серверами и Интернетом, все пакеты через DLP шлюз имеют IP адрес источника прокси сервера. Поэтому DLP шлюз не может знать фактический IP адрес клиента, который открывает первоначальное соединение с прокси сервером. Это означает, что DLP шлюз не может определить пользователя и поэтому не может: Отправлять уведомления клиент Send UserCheck пользователям о происшествиях. Регистрировать IP адрес источника пользователя. Чтобы DLP шлюз мог определить пользователя, вы должны сконфигурировать прокси сервер для отображения IP адреса клиента. Прокси сервер делает это путем добавления заголовка x-forwarded-for к заголовку HTTP. Подробнее смотрите документацию продавца прокси сервера.
Data Loss Prevention Руководство администратора R75.40VS | 22 Установка и конфигурация Конфигурация прокси настроек после обновления управления Для сервера управления безопасностью, который обновляется с версии R70 и ниже, трафик, который проходит через шлюз DLP на веб-прокси сервер содержит IP шлюза в качестве адреса источника, вместо оригинального IP адреса клиента. Для новых R75 установок и для установок, которые обновляются с R71, используется оригинальный IP адрес клиента. Если трафик, который содержит IP шлюза в качестве адреса источника, достигает другого Шлюза безопасности, который любо регистрирует трафик или принудительно осуществляет доступ на основе идентификационных данных, IP адрес источника не представляет собой IP адрес пользователя. Чтобы использовать IP адрес клиента в качестве адреса источника для трафика, покидающего DLP шлюз: 1. На компьютере SmartDashboard запустите: C:\Program Files\CheckPoint\SmartConsole\R75\PROGRAM\GuiDBEdit.exe 2. Войдите с Вашими правами SmartDashboard. 3. В левой панели выберите Table > Network Objects > network_objects (Таблица > Объекты сети > network_objects). 4. В правой панели выберите шлюзы DLP. 5. В нижней панели в колонке Field Name (Имя поля) выберите firewall_settings. 6. Измените атрибут http_unfold_proxy_conns на true. Требуемая конфигурация почтового транслятора DLP права имеют различные настройки Действие Описание Detect (Обнаружить) Событие передачи данных регистрируется в SmartView Tracker. Администраторы с правами могут просмотреть данные, которые были отправлены. Трафик пропущен. Inform User Передача прошла, но происшествие зарегистрировано и пользователь уведомлен. (Информировать пользователя) Ask User (Спросить Передача удерживается, пока пользователь не подтвердит, что она должна быть пользователя) отправлена. Уведомление, обычно со ссылкой восстановления в портале Самообработки происшествия, отправляется пользователю. Пользователь решает, должна ли быть завершена передача или нет. Решение регистрируется и может быть просмотрено в категории "User Actions" (Действия пользователя) в SmartView Tracker. Администраторы, которые имеют полные права или права Просмотр/Отправка/Сброс DLP сообщений, могут решить, отправить или сбросить сообщение. Prevent Передача данных блокирована. (Предотвратить) Watermark (Водяной Отслеживает исходящие документы Microsoft Office (файлы Word, Excel или PowerPoint знак) от Office 2007 или выше) путем добавления видимых водяных знаков или невидимого шифрованного текста.
Когда вы устанавливаете Владельцев данных, которые должны быть уведомлены, почтовый сервер становится необходимым компонентом DLP системы. DLP шлюз отправляет почтовые уведомления пользователям и Владельцам данных, поэтому шлюзу необходимо иметь доступ к почтовому серверу в качестве клиента. Кроме того, почтовый сервер должен быть настроен, чтобы действовать в качестве почтового транслятора. Это позволяет пользователям или администраторам с правами отправлять (Send) электронные сообщения, которые перехвачены DLP и помещены на карантин по правилу Ask User. Вы должны сконфигурировать почтовый сервер для создания анонимных SMTP доверительных соединений из DLP шлюза. Или если ваша среда требует этого, сконфигурируйте ваш сервер почтового транслятора для создания доверительного аутентифицированного SMTP соединения из DLP шлюза. Конфигурация почтового транслятора
Конфигурация почтового транслятора для анонимных SMTP соединений 1. В SmartDashboard: Сконфигурируйте почтовый сервер без аутентификации в Мастере Data Loss Prevention. Или:
Data Loss Prevention Руководство администратора R75.40VS | 23 Установка и конфигурация a) Во вкладке Data Loss Prevention разверните Additional Settings (Дополнительные настройки) и нажмите Mail Relay (Почтовый транслятор). b) Выберите Send emails using this mail relay (Отправить почтовые сообщения с помощью данного почтового транслятора). c) Выберите почтовый транслятор. Если объект почтового транслятора не существует, создайте его. 2. На Вашем сервере почтового транслятора: Сконфигурируйте почтовый транслятор на прием анонимных соединений из шлюза DLP. Подробнее смотрите документацию продавца. Например, на серверах Microsoft Exchange, сконфигурируйте разрешения принимающего соединения по умолчанию (или другие соответствующие соединения, которые обрабатывают SMTP трафик) для анонимных пользователей.
Конфигурация почтового транслятора для аутентифицированных SMTP соединений 1. В SmartDashboard: Сконфигурируйте почтовый сервер с аутентификацией в Мастере Data Loss Prevention. Или: a) Во вкладке Data Loss Prevention разверните Additional Settings (Дополнительные настройки) и нажмите Mail Relay (Почтовый транслятор). b) Выберите Send emails using this mail relay (Отправить почтовые сообщения с помощью данного почтового транслятора). c) Выберите почтовый транслятор. Если объект почтового транслятора не существует, создайте его. d) Выберите Authentication (Аутентификация). e) Введите данные аутентификации. 2. На Вашем сервере почтового транслятора: Сконфигурируйте почтовый транслятор на прием анонимных соединений из шлюза DLP. Подробнее смотрите документацию продавца. Например, на серверах Microsoft Exchange, сконфигурируйте принимающее соединение по умолчанию (или другие соответствующие соединения, которые обрабатывают SMTP трафик) для основной аутентификации.
Конфигурация выделенного шлюза DLP и транслятора на DMZ Для выделенного шлюза DLP нужна специальная конфигурация, если все из следующего верно: • DLP шлюз и почтовый транслятор, который обрабатывает SMTP трафик, покидающий организацию, находятся в DMZ зоне. • Использование данного почтового транслятора происходит одним из следующих образов:
• Существует почтовый сервер внутри внутренней сети, такой как Exchange, который транслирует свой исходящий SMTP трафик через почтовый транслятор. • Клиенты почты пользователей сконфигурированы для работы непосредственно с почтовым транслятором. • DLP политика работает только на SMTP. Если это так, сконфигурируйте DLP шлюп, чтобы он признал почтовый сервер как внутренний для Моей организации, а транслятор в DMZ как внешний. Чтобы сконфигурировать DLP и транслятор в DMZ: 1. Откройте вкладку Data Loss Prevention в SmartDashboard. 2. Откройте My Organization (Моя организация). 3. В зоне Networks (Сети) выберите These networks and hosts only (Только эти сети и хосты) и нажмите Edit (Редактировать). Откроется окно Сети и хосты. 4. Нажмите Add (Добавить). Если Внутренний почтовый сервер уже определен как сетевой объект Check Point, выберите его из списка. Или нажмите New (Новый) и определите его как Host (Хост). 5. Нажмите OK . 6. Повторите шаги, чтобы добавить Внутренние почтовые сервера. 7. Если почтовые клиенты пользователей сконфигурированы для работы с почтовым транслятором, который расположен в DMZ с помощью SMTP, добавьте их сети. Выберите пользовательские сети из списка (или нажмите New (Новый), чтобы определить эти сети) и затем нажмите ОК. 8. Выполните Install Policy (Установить политику) на шлюзе DLP:
Data Loss Prevention Руководство администратора R75.40VS | 24 Установка и конфигурация Рекомендуемое развертывание - DLP шлюз с почтовым транслятором В рекомендуемом развертывании шлюза DLP с почтовым транслятором DLP шлюз сканирует почту один раз, так как она отправлена из внутреннего почтового сервера (такого как Microsoft Exchange) (1) в почтовый транслятор в DMZ (2). Убедитесь, что шлюз DLP не сканирует почту, так как она проходит из почтового транслятора в целевой почтовый сервер в Интернет.
Если вы можете развернуть внутренний почтовый транслятор за DMZ интерфейсом DLP шлюза: 1. Убедитесь, что почта из внутреннего почтового сервера (например, Microsoft Exchange) (1) поступает в шлюз через интерфейс внутреннего шлюза: На странице Topology (Топология) объекта шлюза DLP, определите интерфейс шлюза, который ведет к внутренним почтовым серверам в качестве Internal (Внутреннего). 2. Разверните внутренний почтовый транслятор (2) за DMZ интерфейсом DLP шлюза: На странице Topology (Топология) объекта шлюза DLP определите интерфейс шлюза, который ведет к почтовому транслятору, в качестве Internal (Внутренний), а также в качестве Interface leads to DMZ (Интерфейс ведет к DMZ). 3. В разделе Networks (Сети) страницы My Organization (Моя организация):
a) Выберите Anything behind the internal interfaces of my DLP gateways (Все за внутренними интерфейсами моих DLP шлюзов). b) Не выбирайте Anything behind interfaces which are marked as leading to the DMZ (Все за интерфейсами, которые отмечены как ведущие к DMZ) Если вы не можете развернуть внутренний почтовый транслятор за DMZ интерфейсом DLP шлюза: Если интерфейс шлюза DLP, ведущий к внутреннему почтовому транслятору, является внутренним, и вы не можете развернуть внутренний почтовый транслятор за DMZ интерфейсом DLP шлюза: 1. В разделе Networks (Сети) страницы My Organization (Моя организация) выберите These networks and hosts only (Только данные сети и хосты). 2. Выберите сети, которые включают внутренний почтовый сервер, но не включают сервер транслятора. Временные решения для нерекомендуемого развертывания почтового транслятора Нерекомендуемое развертывание предназначено для того, чтобы шлюз DLP сканировал почту, так как она отправлена из внутреннего почтового транслятора, который находится в Моей организации, к целевому почтовому серверу в Интернете. При таком развертывании DLP шлюз обменивается данными с целевыми почтовыми серверами от имени почтового транслятора. Если целевой почтовый сервер не отвечает, некоторые почтовые трансляторы (такие как Mcafee IronMail, постфикс 2.0 или ранее и qmail) не попытаются прочесть следующую DNS MX запись и, таким образом, не попробуют переотправить почту на другой SMTP почтовый сервер в том же домене.
Data Loss Prevention Руководство администратора R75.40VS | 25 Установка и конфигурация • Внутренний почтовый сервер (1) и внутренний транслятор (2) находятся в Моей организации
• Внутренний почтовый сервер (1)(2) находятся в Моей организации, и нет другого внутреннего почтового транслятора
Почему некоторые почтовые трансляторы не переотправляют почтовые сообщения Если почтовый транслятор не смог отправить почтовое сообщение из-за того, что целевой почтовый сервер не отвечает, почтовый транслятор повторно отправляет email на другой SMTP сервер в том же самом домене. Транслятор выполняет эту задачу путем отправки почты на следующую DNS MX запись. Большинство почтовых трансляторов пробуют следующую MX запись, если цель недосягаема, или если целевой сервер возвращает 4xx SMTP ошибку. Однако другие почтовые трансляторы (такие как Mcafee IronMail, постфикс 2.0 или ранее и qmail) не пробуют следующую MX, если целевой сервер возвращает 4xx ошибку. Поэтому они не будут отправлять почту. При таком развертывании DLP шлюз обменивается данными с почтовыми серверами в Интернет от имени почтового транслятора. Если целевой почтовый сервер не отвечает, шлюз DLP отправляет 4xx ответ на почтовый транслятор от имени почтового сервера. Поэтому если почтовый транслятор не пробует следующий MX, когда целевой сервер возвращает 4хх ошибку, почта не будет отправлена. Временные решения для нерекомендуемых развертываний • Сконфигурируйте ваш внутренний транслятор на повторную отправку, когда он получает 4хх ошибку из целевого почтового сервера. • Если вы не можете сконфигурировать ваш почтовый транслятор таким образом, разверните DLP шлюз между двумя внутренними почтовыми серверами. Например, установите DLP шлюз в DMZ с сервером транслятора ("Конфигурация выделенного шлюза DLP и транслятора на DMZ" на странице 24). • Если вы не можете применить данные временные решения, смотрите sk58960 (http://supportcontent.checkpoint.com/solutions?id=sk58960).
Data Loss Prevention Руководство администратора R75.40VS | 26 Установка и конфигурация TLS-зашифрованные SMTP соединения TLS-зашифрованные SMTP соединения не сканируются Программным блейдом DLP. Если Exchange Server использует TLS для шифрования электронной почты, вы можете использовать Exchange Security Agent ("Конфигурация Exchange Security Agent" на странице 38) для их проверки. Конфигурация обработки журнала происшествий В версии R75 и выше данные DLP происшествий хранятся на удаленном Сервере журнала домена или Сервере управления безопасностью, который хранит журналы шлюза DLP. DLP происшествия хранятся постоянно (то есть, до истечения срока) на шлюзе DLP, только если для DLP шлюза не сконфигурирован Сервер журнала домена или Сервер управления безопасностью. Происшествия хранятся на $FWDIR\log\blob. Так как данные DLP происшествия хранятся на Сервере журнала домена, Check Point рекомендует, чтобы вы настроили настройки управления диском Сервера журнала домена на DLP происшествия. Чтобы сконфигурировать управление диском для DLP происшествий: 1. В SmartDashboard отредактируйте Сервер журнала домена или Сервер управления безопасностью, который управляет DLP журналами. 2. На странице Logs and Masters (Журналы и мастера) выберите Required Free Disk Space (Необходимое свободное дисковое пространство) и введите значение. Такая настройка применяется к DLP происшествиям и журналам, а также ко всем другим журналам. Настройка по умолчанию - 45 Мбайт или 15%. Когда свободное дисковое пространство уменьшается, старые DLP происшествия и журналы, а также другие журналы удаляются для освобождения дискового пространства. 3. Откройте GuiDBedit:
a) На компьютере SmartDashboard запустите: C:\Program Files\CheckPoint\SmartConsole\R75.40VS\PROGRAM\GuiDBEdit.exe b) Войдите с Вашими данными доступа SmartDashboard. 4. В левой панели выберите Table > Network Objects > network_objects (Таблица > Объекты сети > network_objects). 5. В правой панели выберите Сервер журнала домена или Сервер управления безопасностью, который управляет DLP журналами. 6. В нижней панели в колонке Field Name (Имя поля) найдите log_policy. 7. Сконфигурируйте данные поля:
Имя поля Описание Значени е по умолчан ию dlp blob delete above value p Максимальный % дискового пространства, которое 20% ercentage могут занимать происшествия. dlp_blob_delete_on_above Удалять или не удалять происшествия, если false происшествия занимают больше дискового пространства, чем dlp_blob_delete_above_value_percentage • true —Удалить происшествия. Однако журналы, которые связаны с происшествиями, не удаляются. • false — Не удалять происшествие. Происшествия удаляется, только если свободного дискового пространства меньше, чем "Required Free Disk Space" (Необходимое свободное дисковое пространство), которое сконфигурировано в SmartDashboard, на странице "Logs and Masters" (Журналы и мастера) Сервера журнала домена или Сервера управления безопасностью, который управляет DLP журналами.
Data Loss Prevention Руководство администратора R75.40VS | 27 Установка и конфигурация Имя поля Описание Значени е по умолчан ию dlp_blob_delete_on_run_script Запускать или нет скрипт перед удалением False происшествий. Например, чтобы скопировать журнал на другой компьютер перед тем, как он будет удален. • true — Запустить скрипт, который определен в SmartDashboard, в Сервере журнала домена или Сервере управления безопасностью, который управляет DLP журналами, на странице Logs and Masters > Advanced (Журналы и мастера > Расширенные настройки). • false — Не запускать скрипт.
Data Loss Prevention Руководство администратора R75.40VS | 28 Клиент UserCheck Глава 3
Клиент UserCheck
В этой главе
Обзор Клиента UserCheck 29 Требования UserCheck 29 Активация Клиента UserCheck 30 Связь между Клиентом и Шлюзом 30 Получение файла MSI 36 Распределение и соединение Клиентов 37 Помощь пользователям 38
Обзор Клиента UserCheck Клиент UserCheck устанавливается на компьютерах конечных точек для обмена данными со шлюзом и для отображения UserCheck оповещений о взаимодействиях пользователям. Он работает со следующими Программными блейдами: DLP - Уведомления о DLP происшествиях могут быть отправлены электронным сообщением (для SMTP трафика) или могут быть отображены во всплывающем окошке из клиента UserCheck в панели задач (для SMTP, HTTP и FTP). Application and URL Filtering and URL Filtering (Приложение и фильтрация URL и фильтрация URL) - Клиент UserCheck добавляет опцию для отправления уведомлений для приложений, которые не находятся в веб-браузере, таких как Skype, iTunes или надстройки браузера (такие как радио панели инструментов). Клиент UserCheck может также работать вместе с порталом UserCheck, чтобы отображать уведомления на самом компьютере, когда: • Уведомление не может быть отображено в браузере, или • Механизм UserCheck определяет, что уведомление не будет отображено правильно в браузере и Fallback Action (Резервное действие) для объекта UserCheck имеет статус Allow (Разрешено).
Пользователи выбирают опцию в сообщении уведомления для ответа в реальном времени. Для DLP, администраторы с полными правами или разрешением Просмотр/Отправка/Сброс DLP сообщений могут также отправлять или сбрасывать происшествия из SmartView Tracker.
Схема установки и конфигурации клиентов UserCheck: 1. Сконфигурируйте, как клиенты обмениваются данными со шлюзом и создают доверительное соединение с ним. 2. Активируйте UserCheck и клиент UserCheck на шлюзе. 3. Загрузите MSI файл клиента UserCheck. 4. Установите клиент UserCheck на компьютерах конечных точек. 5. Убедитесь, что клиенты UserCheck могут соединяться со шлюзом и получать уведомления.
Требования UserCheck Смотрите Требования клиента UserCheck в R75.40VS Информации по версии fhttp://supportcontent.checkpoint.com/solutions?id=sk76540J.
Data Loss Prevention Руководство администратора R75.40VS | 29 Клиент UserCheck
Активация Клиента UserCheck Активируйте UserCheck и клиент UserCheck на шлюзе в окне Properties (Свойства) объекта шлюза в SmartDashboard. Это необходимо для того, чтобы клиенты могли обмениваться данными со шлюзом.
Чтобы активировать UserCheck и клиент UserCheck на шлюзе: 1. В SmartDashboard откройте окно General Properties (Общие свойства) объекта шлюза. 2. Если Data Loss Prevention активирован на шлюзе, выберите Data Loss Prevention из дерева. В зоне UserCheck:
a) Выберите Enable Check Point UserCheck (Активировать Check Point UserCheck). При этом активируются уведомления UserCheck из клиента. b) Опционально: Выберите Place Check Point UserCheck download links on email notifications (Вставить ссылку на загрузку Check Point UserCheck в email уведомление). Когда опция выбрана, DLP email сообщение также содержит ссылку на загрузку клиента UserCheck прямо из email. 3. Если Application или URL Filtering активированы на шлюзе, выберите UserCheck из дерева:
a) Выберите Enable UserCheck for Application Control and URL Filtering (Активировать UserCheck для Управления приложениями и URL фильтрации. При этом активируются уведомления UserCheck из шлюза. b) В зоне Клиента UserCheck выберите Activate UserCheck Client support (Активировать поддержку клиента UserCheck). При этом активируются уведомления UserCheck из клиента. 4. Нажмите OK . 5. Установите политику на шлюзе.
Связь между Клиентом и Шлюзом В среде с клиентами UserCheck шлюз действует как сервер для клиентов. Каждый клиент должен уметь обнаруживать сервер и создавать доверительное соединение с ним. Для создания доверительного соединения клиент проверяет, что сервер является правильным. Он сравнивает метку сервера, рассчитанную во время SSL подтверждения установления связи с ожидаемой меткой. Если у сервера нет ожидаемой метки, клиент просит пользователя подтвердить вручную, что сервер является правильным. Здесь представлен обзор методов, которые вы можете использовать, чтобы клиенты обнаруживали и устанавливали доверительное соединение с сервером. Более подробно читайте далее в данном разделе. • Конфигурация сервера на основе имени файла - Если другой метод не сконфигурирован (по умолчанию, интегрированная ситуация), всем клиентам UserCheck, загруженным с портала, присваиваются новые имена, чтобы дать им IP адрес машины портала в имени файла. Во время установки клиент использует данный IP адрес для соединения со шлюзом. Обратите внимание, что пользователь должен нажать на Trust (Доверять) для создания доверительного соединения с сервером вручную. • Конфигурация на основе Активного каталога - Если клиентские компьютеры являются элементами домена Активного каталога, вы можете развернуть адреса сервера и данные доверительного соединения с помощью выделенного инструмента. • Обнаружение сервера на основе записи DNS SRV - Сконфигурировать адреса сервера в DNS сервере. Обратите внимание, что пользователь должен нажать на Trust (Доверять) для создания доверительного соединения с сервером вручную.
• Удаленный реестр - Все конфигурации клиента, включая адреса сервера и данные доверительного соединения, остаются в реестре. Вы можете развернуть значения перед установкой клиента (с помощью GPO или любой другой системы, которая позволяет вам контролировать реестр удаленно). Это позволит вам использовать конфигурацию, когда клиент устанавливается впервые.
Data Loss Prevention Руководство администратора R75.40VS | 30 Клиент UserCheck
Сравнение опций
Требует Требуется Multi-site Клиент Работает Уровень Рекомендуется для... Активный ручное (несколько остается ли после каталог доверительно сайтов) подписан изменения е соединение ным? шлюза? пользователя (одноразово)?
Основан Нет Да Нет Да Нет Очень Развертывание на одном на простой шлюзе имени файла Основан Да Нет Да Да Да Простой Развертывания с на АК Активным каталогом, которые вы можете изменять Основ Нет Да Частично Да Да Простой • Развертывания без ан на (на DNS Активного каталога DNS сервер) • С Активным каталогом вы не можете изменять, и DNS не может быть изменен. Удаленн Нет Нет Да Да Да Умеренн Где удаленный реестр ый ый используется для реестр других целей
Обнаружение сервера на основе имени файла Данная опция является самой легкой для развертывания и работает без настроек. Требуется, чтобы пользователи вручную нажали Trust (Доверять) для создания доверительного соединения с сервером, к которому они впервые подключаются. Вы можете использовать данную опцию, если ваше развертывание имеет только один шлюз с соответствующими Программными блейдами.
Как это работает? Когда пользователь загружает клиента UserCheck из уведомления UserCheck, адрес шлюза вводится в имя файла. Во время последовательности установки клиент проверяет, существует ли какой-либо другой сконфигурированный метод обнаружения (основанный на Активном каталоге, основанный на DNS, или локальный реестр). Если ни один метод не сконфигурирован и шлюз является достижимым, он используется в качестве сервера. В окне настроек UserCheck вы можете увидеть, что сервер, с которым вы соединяетесь, такой же, как шлюз в имени файла клиента UserCheck.
Data Loss Prevention Руководство администратора R75.40VS | 31 Клиент UserCheck
Пользователи должны вручную убедиться, что данные доверительного соединения являются действующими, потому что имя файла можно легко изменить.
Изменение имени MSI Вы можете вручную поменять имя MSI файла до его установки на компьютере, чтобы он соединялся с другим шлюзом. Для изменения имени файла MSI: 1. Убедитесь, что шлюз имеет DNS название. 2. Измените имя MSI с помощью данного синтаксиса: UserCheck_~GWname.msi Где GWname - DNS имя шлюза. Опционально: Используйте UserCheck_~GWname-port.msi Где port - это номер порта уведомлений. Например, UserCheck_~mygw-l8300.msi.
Примечания - Префикс не обязательно должен быть "UserCheck". Важной частью синтаксиса является подчеркнутая тильда (_~), которая означает, что следующая строка - это DNS шлюза. Если вы хотите добавить номер порта для уведомлений клиента из шлюза, дефис (-) означает, что следующая строка - это номер порта. Конфигурация на основе Активного каталога Если ваши клиентские компьютеры являются элементами домена Активного каталога и у вас есть доступ администратора к данному домену, вы можете использовать инструмент Распределенной Конфигурации для конфигурации правил взаимодействия и доверительных соединений. Инструмент Распределенной Конфигурации имеет три окна: • Welcome (Приветствие) - Описывает инструмент и позволяет вам вводить различные данные доступа, которые используются для доступа в Активный каталог. • Server configuration (Конфигурация сервера) - Конфигурирует, с каким шлюзом соединяется клиент, на основе его расположения. • Trusted gateways (Доверенные шлюзы) - Просмотр и изменение списка меток, которые шлюзы считают безопасными. Чтобы включить конфигурацию на основе Активного каталога для клиентов: 1. Загрузите и установите MSI клиент UserCheck на компьютер. Из строки команды на таком компьютере запустите инструмент конфигурации клиента со свойством Активного каталога. Например, на компьютере Windows 7: "C:\Users\
Примечание - Вся конфигурация записана под группой файлов, названных Check Point в ветке Program Data (Данные программы) в базе данных Активного каталога, которая добавлена при первом запуске инструмента. Добавление данной группы файлов не влияет на другие приложения или свойства, основанные на Активном каталоге.
Правила конфигурации файла Если вы используете инструмент Распределенной Конфигурации и вы конфигурируете клиент, чтобы Automatically discover (Обнаруживать автоматически) сервер, клиент вызывает списки правил. Каждый раз, когда он должен связываться с сервером, он пытается сравнить себя с правилом, сверху вниз. Когда инструмент соответствует правилу, он использует серверы, показанные в правиле, в соответствии с указанной приоритетностью.
Конфигурация в данном примере означает: 1. Если пользователь из U92.168.0.1 - 192.168.0.255',то попробуйте соединиться с US-GW1. Если не доступен, попробуйте BAK-GS2 (он используется, только если US-GWI не доступен, так как его приоритетность выше). 2. Если пользователь соединен из сайта Активного каталога 'UK-SITE' , соединитесь либо с UK-GWI или UK-GW2 (вы можете выбрать любой из них, так как они имеют одинаковую приоритетность). Если они оба не доступны, соединитесь с BAK-GS2. 3. Если правила 1 и 2 не применяются, соединитесь с BAK-GS2 (правило по умолчанию всегда совпадает, когда встречается).
Используйте кнопки Add (Добавить), Edit (Редактировать) и Remove (Удалить), чтобы изменить правила взаимодействия с сервером.
Доверенные шлюзы Окно Trusted Gateways (Доверенные шлюзы) показывает список доверенных серверов - когда пользователи соединяются с ними, никакие сообщения не появляются. Вы можете добавить, отредактировать или удалить сервер. Если у вас есть подключение к серверу, вы можете получить имя и метку. Введите его IP адрес и нажмите Fetch Fingerprint (Выбрать маркер) в окне Server Trust Configuration (Конфигурация доверительного соединения сервера). Если у вас нет подключения к серверу, введите то же имя и метку, которые появляются, когда вы соединяетесь с таким сервером.
Data Loss Prevention Руководство администратора R75.40VS | 33 Клиент UserCheck
Конфигурация на основе DNS Если вы сконфигурируете клиент на Automatic Discovery (Автоматическое обнаружение) (по умолчанию), он ищет сервер через DNS SRV запрос адреса шлюза (DNS суффикс добавляется автоматически). Вы можете сконфигурировать адрес в вашем DNS сервере. Чтобы сконфигурировать конфигурацию на основе DNS на DNS сервере: 1. Перейдите к Start > All Programs > Administrative Tools > DNS (Пуск > Все программы > Администрирование > DNS). 2. Перейдите к Forward lookup zones (Зоны прямого поиска) и выберите применимый домен. 3. Перейдите к поддомену_tcp . 4. Нажмите правой кнопкой и выберите Other new record (Другая новая запись). 5. Выберите Service Location, Create Record (Местонахождение услуги, создать запись). 6. В поле Service (Услуга) введите CHECKPOINT_DLP. 7. Установите Port number (Номер порта) на 443. 8. В Host offering this server (Хост, предлагающий данный сервер), введите IP адрес шлюза. 9. Нажмите OK .
Примечание - Чтобы сконфигурировать распределение нагрузки, создайте несколько SRV записей с тем же приоритетом. Чтобы сконфигурировать High Availability, создайте несколько SRV записей с различными приоритетами.
Data Loss Prevention Руководство администратора R75.40VS | 34 Клиент UserCheck
Примечание - Если вы конфигурируете конфигурацию на основе Активного каталога и на основе DNS, результаты комбинируются в соответствии с определенной приоритетностью (от самого нижнего до самого высокого).
Устранение сбоев при конфигурации на основе DSN Для устранения сбоев в конфигурации, основанной на DSN, вы можете посмотреть SRV записи, которые хранятся на DNS сервере.
Чтобы посмотреть SRV записи на DNS сервере: Запустите: C:\> nslookup > set type=srv > checkpoint_dlp._tcp Результат:
C:\> nslookup > set type=srv > checkpoint_dlp._tcp Server: dns.company.com Address: 192.168.0.17 SRV service location: checkpoint dlp. tcp.ad.company.com priority = 0 weight = 0 port = 443 svr hostname = dlpserver.company.com dlpserver.company.com internet address = 192.168.1.212 >
Data Loss Prevention Руководство администратора R75.40VS | 35 Клиент UserCheck Удаленный реестр Если у вас есть способ развертывания записи реестра в ваших клиентских компьютерах, например, обновление Активного каталога или GPO, вы можете развернуть адреса шлюзов и доверительные параметры перед установкой клиентов. Клиенты могут использовать развернутые настройки непосредственно после установки.
Чтобы сконфигурировать опцию удаленного реестра: 1. Установите клиента на одном из Ваших компьютеров. Агент устанавливается в каталоге пользователя и сохраняет свою конфигурацию в HKEY_CURRENT_USER. 2. Соединитесь вручную со всеми серверами, которые сконфигурированы, проверьте их метки и нажмите Trust (Доверять) в диалоговом окне проверки метки. 3. Сконфигурируйте клиента для ручного соединения с требуемыми серверами (используйте окно Settings (Настройки)). 4. Экспортируйте данные ключи реестра (изHKEY_CURRENT_USER):
a) SOFTWARE\CheckPoint\UserCheck\TrustedGateways (the entire tree) b) SOFTWARE\CheckPoint\UserCheck\
(i) DefaultGateway
(ii) DefaultGatewayEnabled
5. Импортируйте экспортированные ключи в компьютеры конечных точек перед установкой клиента UserCheck.
Получение файла MSI Используйте файл Check_Point_UserCheck.MSI для установки клиента на машинах пользователей. Каждый клиент UserCheck должен быть сконфигурирован для соединения со шлюзом и для использования порта, необходимого для оповещений. Портами по умолчанию являются 443 и 80. Загрузите MSI файл из шлюза через окно Properties (Свойства) объекта шлюза в SmartDashboard. MSI файл доступен после того, как политика впервые установлена на шлюзе. Чтобы получить MSI файл: 1. В SmartDashboard откройте окно General Properties (Общие свойства) объекта шлюза. 2. Если Data Loss Prevention активирована на шлюзе, выберите Data Loss Prevention .
• В зоне UserCheck нажмите Download Client (Скачать клиент). 3. Если Application и URL Filtering активированы на шлюзе, выберите UserCheck. • В области UserCheck Client (Клиент UserCheck) нажмите Download Client (Скачать клиент). Если DLP и Application и URL Filtering активированы на шлюзе, вы можете получить MSI файл со страницы Data Loss Prevention или страницы UserCheck .
Предварительная упаковка с CPMSI_TOOL Вы можете настроить процесс установки и конфигурацию продукта Инструментом CPMSI для Клиента UserCheck. Скачайте CPMSI инструмент из Центра технической поддержки Check Point. (http://supportcenter.checkpoint.com) CPMSI_TOOL.exe - это командный процессор. Чтобы использовать его, поместите его в ту же папку, что и пакет установки, и введите: cpmsi_tool
конфигурации. INI файл разделен на 3 части:
• Раздел Properties (Свойства) контролирует процесс установки.
• Раздел Features (Компоненты) контролирует установленные компоненты. • Раздел AddFiles контролирует развернутую конфигурацию.
Чтобы сконфигурировать параметры клиента UserCheck с CPMSI_TOOL средством: 1. Откройте ..\UserCheckClient\params.ini в текстовом редакторе. 2. Замените значение RegDefaultGateway на название DNS (рекомендуется) или IP адрес шлюза UserCheck. 3. Сделайте все другие изменения 4. Сохраните и закройте params.ini. Data Loss Prevention Руководство администратора R75.40VS | 36 Клиент UserCheck 5. Запустите CPMSI_TOOL с данным синтаксисом: cpmsi tool.exe Check Point dlp client.msi readini params.ini Если у вас есть несколько шлюзов UserCheck, вы можете сохранить различные конфигурации в качестве различных INI файлов, и обращаться к каждому INI файлу в различных режимах выполнения. Например: cpmsi_tool.exe Check_Pointdlp_client_n.msi readini params_n.ini
Распределение и соединение Клиентов После конфигурации клиентов для соединения со шлюзом, установите клиенты на машинах пользователей. Вы можете использовать метод массового развертывания и установки MSI или EXE, который вы выберете. Например, вы можете отправить пользователям email со ссылкой на установку клиента. Когда пользователь нажимает на ссылку, MSI автоматически устанавливает клиента на компьютер. Как вариант, пользователи могут скачать пакет установки из обычного DLP UserCheck оповещения. Установка проходит в фоновом режиме и обычно не требует перегрузки. Когда клиент установлен впервые, иконка трея указывает, что он не соединен. Когда клиент соединяется со шлюзом, иконка трея указывает, что клиент является активным. В первый раз, когда клиент соединяется со шлюзом, он просит подтверждения от пользователя и подтверждение метки.
This is the first time you are connecting to this server. - вы впервые соединяетесь с сервером. To be absolutely sure that no one is impersonating your identity server, compare the Fingerprint to the fingerprint provided by your System Administrator.- Чтобы убедиться, что никто выдает себя за Ваш сервер идентификации, сравните Метку с меткой, предоставленной Вашим Системным администратором.
Подтверждаете ли Вы, что Метка является действительной?
Состояние сертификата: выдан неизвестным сертифицирующим органом
Сервер: 190.0.2.0
Метка COAL RUE HARD IOWA GANG RUNG NUMB THIS
Trust (Доверять) Don't Trust (Не доверять)
Рекомендуется предупредить об этом пользователей. Рекомендуется использовать сертификат сервера, которому доверяет сертифицирующий орган, на компьютерах пользователя. В этом случае пользователи не видят сообщения: Issued by unknown certificate authority (Выдан неизвестным сертифицирующим органом) Если UserCheck для DLP активирован на шлюзе, пользователям нужно ввести свое имя пользователя и пароль после установки клиента. Пример сообщения пользователям об установке клиента UserCheck (для DLP: Уважаемые Пользователи, Наша компания использует автоматический процесс Предотвращения утечки данных, чтобы защитить от случайной утечки нашей конфиденциальной информации. Вскоре Вас попросят подтвердить соединение между небольшим клиентом, который мы установим на Ваш компьютер и компьютером, который будет отправлять Вам уведомления. Данный клиент будет показывать Вам во всплывающем окошке уведомления, если вы попробуете отправить сообщение, которое содержит защищенные данные. Он может все равно разрешить Вам отправить данные, если вы уверены, что это не нарушает Ваших руководств по защите данных. Когда клиент установлен, вы увидите окно, которое спросит, доверяете ли вы DLP серверу. Убедитесь, что сервер - это НАЗВАНИЕ СЕРВЕРА и затем нажмите Trust. В следующем окне введите Ваше имя пользователя и пароль, а затем нажмите ОК.
Примечание - Если клиент UserCheck не соединен со шлюзом, процедура такая, как если бы клиент никогда не был установлен. Email уведомления отправляются для SMTP происшествий, а Портал используется для HTTP происшествий.
Data Loss Prevention Руководство администратора R75.40VS | 37 Клиент UserCheck UserCheck с аутентификацией пароля Check Point Для DLP, по умолчанию, клиент UserCheck всегда аутентифицируется с данными доступа пользователя, который в настоящее время находится в домене Активного каталога. Аутентификация с другим пользователем домена не поддерживается. Вы можете сконфигурировать, чтобы клиент UserCheck мог аутентифицироваться с учетной записью пользователя, которая была вручную определена администратором в SmartDashboard. Вы можете видеть и редактировать этих пользователей во вкладке Data Loss Prevention, страница Additional Settings > Users (Дополнительные настройки > Пользователи).
Чтобы сконфигурировать, чтобы клиент UserCheck мог аутентифицироваться с учетной записью пользователя, которая была вручную определена администратором в SmartDashboard:
Конфигурация SmartDashboard 1. Откройте SmartDashboard. 2. Для каждого пользователя отредактируйте объект пользователя. Вы можете сделать это во вкладке Data Loss Prevention в Additional Settings > страница Users (Дополнительные настройки > страница Пользователи). 3. На странице General Properties (Общие свойства) пользователя убедитесь, что адрес электронной почты указан.
Конфигурация Клиента UserCheck Попросите ваших пользователей сконфигурировать своего клиента UserCheck: 1. На компьютере клиента UserCheck нажмите правой кнопкой на иконку UserCheck в области уведомлений (рядом с системными часами). 2. Выберите Settings (Настройки). 3. Нажмите Advanced (Расширенные настройки). 4. Выберите Allow authentication with alternate user account (Разрешить аутентификацию с альтернативной учетной записью пользователя).
Помощь пользователям Если пользователям требуется помощь в устранении сбоев, связанных с клиентом UserCheck, вы можете попросить их отправить вам журналы регистрации событий. Чтобы сконфигурировать клиента для генерации журналов регистрации событий: 1. Нажмите правой кнопкой на иконку трея UserCheck и выберите Settings (Настройки). Откроется окно Settings (Настройки). 2. Нажмите Log to (Регистрировать в) и найдите путь, где сохранены журналы. 3. Нажмите OK.
Чтобы отправить журналы UserCheck из клиента: 1. Нажмите правой кнопкой на иконку трея UserCheck и выберите Status (Статус). Откроется окно Status (Статус). 2. Нажмите Advanced (Расширенные настройки) и затем нажмите ссылку Collect information for technical support (Собрать информацию для технической поддержки). Откроется клиент электронной почты по умолчанию с приложенным архивом собранных журналов. Конфигурация Exchange Security Agent Внутренние сообщения электронной почты между клиентами Microsoft Exchange использует собственный протокол для Exchange сообщения. Данный протокол не поддерживается шлюзом DLP. Чтобы сканировать внутренние сообщения электронной почты между клиентами Microsoft Exchange, вы должны установить Exchange Security Agent на Exchange Server. Агент отправляет электронные сообщения на шлюз DLP для проверки с помощью SMTP протокола, зашифрованного TLS. Для этого требуется связь между сервером Exchange и шлюзом DLP. Exchange Security Agent должен быть установлен на каждом сервере Exchange, который пропускает трафик на шлюз DLP. Каждый агент управляется из центра через SmartDashboard и может отправлять электронные сообщения только на один DLP шлюз. Если ваша организация использует сервера Exchange для всех своих электронных сообщений, вы можете также использовать данную настройку для сканирования всех электронных сообщений. Чтобы использовать Exchange Security Agent, необходимо сконфигурировать настройки в SmartDashboard и на сервере Exchange.
Data Loss Prevention Руководство администратора R75.40VS | 38 Клиент UserCheck Для более подробной информацию об использовании Exchange Security Agent для проверки внутренних электронных сообщений, смотрите некоторые сценарии ("Внутренние правила политики DLP" на странице 83). Конфигурация SmartDashboard Конфигурация SmartDashboard включает:
• Определение объекта Exchange Security Agent в SmartDashboard.
• Использование мастера для:
• Настройки одноразового пароля, который будет использоваться для инициации доверенного соединения между DLP шлюзом и Exchange Security Agent • Определения пользователей/групп, которым отправляются электронные сообщения.
• Подготовку и установку политики безопасности.
Чтобы определить Exchange Security Agent: 1. В SmartDashboard откройте вкладку Data Loss Prevention. 2. Нажмите Gateways (Шлюзы). 3. Нажмите New > Exchange Agent (Новый > Exchange Agent). Откроется мастер Check Point Exchange Agent . 4. Нажмите Next (Далее). В мастере есть четыре страницы: General (Общие положения) Trusted Communication (Доверительное соединение) Inspection Scope (Объем проверки) Configuration Summary (Сводные данные о конфигурации)
Exchange Security Agent – General Используйте страницу General (Общие положения) для ввода информации об Exchange Security Agent.
• Name (Имя) - Введите имя для Exchange Security Agent. • Inspected Exchange Server (Проверенный Exchange Server) - Выберите объект хоста, который представляет Exchange server, на котором установлен Exchange Security Agent. Если нужно, нажмите New (Новый), чтобы создать его.
• Exchange contact person (optional) (Контактное лицо Exchange (опционально)) - Вы можете выбрать объект пользователя, который представляет администратора Exchange server.
• Enforcing DLP gateway (Исполняющий DLP Шлюз) - Выберите объект DLP шлюза, которому Exchange Security Agent будет отправлять электронные сообщения на проверку. Если вы используете имя для представления DLP шлюза в Exchange Security Agent на сервере Exchange, убедитесь, что используете то же имя, что и объект. Нажмите Next (Далее).
Exchange Security Agent – Trusted Communication Используйте страницу Trusted Communication (Доверительное соединение) для ввода одноразового пароля, используемого для инициализации SIC (Secure Internal Communication - Безопасное внутреннее соединение) между Exchange Security Agent и исполняющим DLP шлюзом. Данный шаг создают сертификат безопасности, который затем используется Exchange Security Agent. • One-time password (Одноразовый пароль) - Введите одноразовый пароль и подтвердите его. Убедитесь, что такой же одноразовый пароль введен в окно Trusted Communication (Доверительное соединение) программного компонента Exchange Security Agent на сервере Exchange server. Нажмите Next (Далее). Exchange Security Agent – Inspection Scope Используйте окно Inspection Scope (Объем проверки), чтобы определить, какие электронные сообщения отправляются на проверку. Вы можете выбрать всех пользователей или только определенных пользователей или группы пользователей. Рекомендуется начать с определенных пользователей или групп пользователей, прежде чем проверять все электронные сообщения.
Data Loss Prevention Руководство администратора R75.40VS | 39 Клиент UserCheck • Inspect emails sent only by these users or user groups (Проверять электронные сообщения, отправленные только данными пользователями или группами пользователей) - Определите Активный каталог, внутренних или LDAP пользователей, электронные сообщения которых будут проверяться. Примечание - Вы можете определить пользователей или группы, для которых электронные сообщения не будут отправляться на проверку, в списке Exceptions (Исключения). Вы можете также установить процент электронных сообщений для всей организации, которые будут проверяться. Это позволит вам постепенно увеличивать объем проверок электронных сообщений вашей организации. Для определения этих опций отредактируйте Exchange Security Agent в SmartDashboard и откройте странице Inspection Scope (Объем проверки).
• Inspect all emails (Проверять все электронные сообщения) - Все электронные сообщения будут отправлены из Exchange Security Agent на исполняющий DLP шлюз на проверку. Нажмите Next (Далее).
Exchange Security Agent – Configuration Summary Откроется окно Exchange Agent Wizard is Completed (Мастер Exchange Agent завершил работу).
Следующие шаги включают: Установку политики на шлюз DLP. Установку и конфигурацию Exchange Security Agent на сервере Exchange. Вы можете скачать MSI для установки агента из данного окна.
Конфигурация сервера Exchange После того как Exchange Security Agent был установлен на сервере Exchange, вы должны: Инициализировать доверительное соединение между Check Point Exchange Security Agent и Шлюзом безопасности. Начать или остановить Exchange Security Agent, который запущен как расширение транспортной услуги Microsoft Exchange. Посмотреть статистику Exchange Security Agent. Отслеживать статус сообщения с помощью журнала отслеживания сообщений. Конфигурировать, когда обходить проверку сообщений.
Инициализация доверительного соединения Существует два возможных состояния взаимодействия:
• Uninitialized (Неинизиализированное) - когда доверительное соединение не было установлено. • Trust established (Доверительное соединение не установлено) - когда Exchange Security Agent получил сертификат безопасности и может безопасно получать данные от Шлюза безопасности.
Чтобы инициализировать доверительное соединение: 1. На сервере Exchange откройте Exchange Security Agent: Start > Check Point > Check Point Exchange Agent > Configure Check Point Exchange Agent (Пуск > Check Point > Check Point Exchange Agent > Сконфигурировать Check Point Exchange Agent) 2. В панели Navigation (Навигация) нажмите Check Point Exchange Agent. 3. Нажмите Communication (Связь). Откроется окно Доверительного соединения. 4. Введите информацию в данные поля:
• Gateway name or IP (Имя или IP шлюза) – То же самое имя или IP, которые даны шлюзу безопасности DLP в SmartDashboard. • Exchange agent object name (Имя объекта Exchange agent) - То же самое имя, которое установлено для объекта Exchange agent в SmartDashboard. • One time password (Одноразовый пароль) - Используется только для установления первоначального доверительного соединения. Установленное один раз доверительное соединение основано на сертификатах безопасности. Данный пароль должен быть тем же, что и одноразовый пароль, определенный для Exchange Security Agent в SmartDashboard.
Data Loss Prevention Руководство администратора R75.40VS | 40 Клиент UserCheck 5. Нажмите Initialize (Инициализировать), чтобы начать процедуру доверительного соединения.
Запуск Exchange Security Agent Exchange Security Agent работает как расширение транспортной услуги Microsoft Exchange. Когда вы запускаете или останавливаете агент. Каждый раз, когда вы запускаете или останавливаете агент, вы запускаете услугу Microsoft Exchange. После того как вы нажали Start (Пуск), сообщения отправляются в Шлюз безопасности для DLP проверки. Отправленные сообщения основаны на пользователях или группах, определенных для проверки ("Exchange Security Agent – Inspection Scope" на странице 39). Чтобы начать работу Exchange Security Agent: В окне Check Point Exchange Agent нажмите Start (Пуск).
Statistics Страница Statistics (Статистика) в Exchange Security Agent показывает статистику производительности и количество электронных сообщений, которые он обрабатывает и отправляет на Шлюз безопасности. График, который вы видите в окне - это Windows Performance Monitor (Монитор производительности Windows). Он показывает некоторые счетчики Windows плюс счетчики CPExchangeAgent. Как вариант, вы можете использовать Windows Performance Monitor и добавить счетчики CPExchangeAgent. Статистика показывает: • Latency per any message (Время ожидания на сообщение) - Среднее время ожидания в секундах всех электронных сообщений, которые проходят через Exchange Security Agent. • Latency per scanned message (Время ожидания на сканированное сообщение) - Среднее время ожидания в секундах всех электронных сообщений, которые проходят через Exchange Security Agent и затем направляются на Шлюз безопасности для проверки.
• Message queue length (Длина очереди сообщения) - Количество электронных сообщений, обрабатываемых в настоящее время Exchange Security Agent. • Total messages (Всего сообщений) - Общее количество электронных сообщений, обрабатываемых Exchange Security Agent. • Scanned messages (Сканированные сообщения) - Общее количество электронных сообщений, проверенных DLP политикой (включает сброшенные и разрешенные сообщения). • Dropped messages (Сброшенные сообщения) - Электронные сообщения, которые были сброшены после проверки политикой DLP.
Message Tracking В окне Message Tracking (Отслеживание сообщения) вы можете видеть журналы для каждого сообщения, которое проходит через Exchange Security Agent. Вы можете выполнить поиск (search) по всем полям в журнале и обновить (refresh) журнал. Вы можете увидеть эти значения в колонке Event Id (ID события): • Receive (Получить) - Сообщение было получено Exchange Security Agent. Колонка Reason (Причина) для данной строки всегда пустая. • Release (Отправить) - Сообщение было проверено DLP и отправлено в пункт назначения.
• Drop (Сбросить) - Сообщение было сброшено DLP и не было отправлено в пункт назначения. • Bypass (Обойти) - Exchange Security Agent не отправил сообщение DLP на проверку. Сообщение отправлено в пункт назначения. Данная таблица описывает возможные причины для каждого ID события. ID события Причина Receive Empty (Отсутствует) - означает, что сообщение обрабатывается Exchange Security (Получить) Agent. Release Tap mode (Режим Tap) - когда все правила в Базе Правил detect (обнаружить) или inform (Отправить) (информировать), Exchange Security Agent автоматически отправляет сообщение в пункт назначения. Агент не получает ответ от Шлюза безопасности
Data Loss Prevention Руководство администратора R75.40VS | 41 Клиент UserCheck ID события Причина Scanned by Gateway (Просканировано шлюзом) Timeout (Таймаут) Drop (Сбросить) Dropped by Gateway (Сброшено шлюзом) - после проверки Шлюзом безопасности сообщение соответствует правилу ask (спросить) или prevent (предотвратить) Bypass (Обойти) DKP scanning is disabled (DLP сканирование деактивировано) - когда DLP проверка не активирована на Шлюзе безопасности Fail open active - если одна из настроек обхода в окне Advanced (Расширенные настройки) выполнена. Message is too big (Сообщение слишком длинное) Incoming message scanning is disabled (Сканирование входящего сообщения отключено) Internal message scanning is disabled (Сканирование внутреннего сообщения отключено) Incoming message scanning from other domains is disabled (Сканирование входящего сообщения из других доменов отключено) Sender is included in the Inspection Scope exceptions (Отправитель включен в исключения Объема проверки) Sender is not included in the Inspection Scope settings (Отправитель не включен в настройки Объема проверки)
Advanced В окне Advanced (Расширенные настройки) вы можете сконфигурировать параметры журнала и когда не отправлять сообщения на Шлюз безопасности для DLP проверки. Доступные опции: • Enable debug logs (Включить журналы отладки) - Включает журналы, которые содержат информацию об отладках о каждом полученном email (это в основном для технической поддержки Check Point). • Bypass inspection of a single email after timeout of X seconds (Обход проверки одного email после истечения Х секунд) - Определяет срок истечения отправки email на Шлюз безопасности для проверки. Значение по умолчанию 60. Действительный диапазон значение от 1 до 120. • Bypass email inspection for X seconds if: (Обход проверки email в течение Х секунд, если:) - Определяет интервал времени для того, чтобы не проверять email. Значение по умолчанию 120. Действительный диапазон значения от 30 до 3600. В следующих ситуациях не выполняется проверка email: • Additional latency exceeds X seconds (Дополнительное время ожидания превышает Х секунд) - Когда добавленное среднее время ожидания прохождения трафика через Exchange Security Agent больше определенного интервала времени. Значение по умолчанию 10. Действительный диапазон значения от 1 до 60. • Emails queue length exceeds X emails (Длина очереди email-ов превышает X email-ов) - Когда количество email-ов в очереди Exchange больше определенного количества email-ов. Значение по умолчанию 50. Действительный диапазон значение от 1 до 300. • Exchange server CPU usage exceeds X % (Использование ЦП сервера Exchange превышает Х%) - Когда ЦП сервера Exchange использует больше определенного процента. Значение по умолчанию 90. Действительный диапазон значения от 20 до 100. • Gateway doesn't respond to the last X emails (Шлюз не отвечает на последние Х email-ов) - Когда Шлюз безопасности не отвечает на последнее определенное количество попыток. Значение по умолчанию 25. Действительный диапазон значения от 1 до 100.
HTTPS проверка Вы можете включить проверку HTTPS трафика на Шлюзах безопасности для проверки трафика, который зашифрован протоколом Secure Sockets Layer (SSL). SSL защищает взаимодействие между клиентами интернет браузера и веб-серверами. Он обеспечивает конфиденциальность и целостность данных путем шифрования трафика, на основе стандартных шифров шифрования.
Data Loss Prevention Руководство администратора R75.40VS | 42 Клиент UserCheck Однако SSL имеет потенциальный пробел безопасности. Он может скрывать незаконные действия пользователя и мошеннический трафик от проверки содержимого Шлюзов безопасности. Таким примером угрозы является, когда работник использует HTTPS (на основе SSL) для соединения из корпоративной сети с Интернет веб-серверами. Шлюзы безопасности без HTTPS проверки не знают о содержимом, проходящем через SSL зашифрованный канал. Это делает компанию уязвимой к атакам безопасности и утечке конфиденциальных данных. SSL протокол широко применяется в общественных ресурсах, которые включают: банки, веб-почту, форумы пользователей и корпоративные веб-ресурсы. Существует два типа HTTPS проверки: • Inbound HTTPS inspection (Входящая HTTPS проверка) - Для защиты внутренних серверов от незаконных запросов от Интернет или внешней сети. • Outbound HTTPS inspection (Исходящая HTTPS проверка) - Для защиты организации от незаконного трафика, отправляемого внутренним клиентом в пункт назначения за пределами организации. Шлюз безопасности действует как посредник между компьютером клиента и безопасным веб-сайтом. Шлюз безопасности ведет себя как клиент с сервером и как сервер с клиентом, использующим сертификат. Все данные хранятся в условиях конфиденциальности в журналах HTTPS проверки. Он контролируется правами администратора. Только администраторы с правами проверки HTTPS могут видеть все поля в журнале. Без таких прав некоторые данные скрыты.
Как это работает При исходящей HTTPS проверке, когда клиент в организации инициирует HTTPS соединение с защищенным сайтом, Шлюз безопасности: 1. перехватывает запрос. 2. Устанавливает безопасное соединение с нужным веб-сайтом и проверяет сертификат сервера сайта. 3. Создает новый SSL сертификат для взаимодействия между Шлюзом безопасности и клиентом, отправляет клиенту новый сертификат и продолжает SSL взаимодействие с ним. 4. С помощью двух SSL соединений:
a) Он расшифровывает зашифрованные данные от клиента. b) Проверяет содержимое текста на предмет всех блейдов, установленных в политике. c) Зашифровывает данные снова для сохранения конфиденциальности клиента, пока данные проходят на конечный ресурс веб-сервера. При входящей HTTPS проверке, когда клиент за пределами организации инициирует HTTPS соединение с сервером, являющимся шлюзом организации, Шлюз безопасности: 1. перехватывает запрос. 2. Использует первоначальный сертификат сервера и частный ключ для инициации SSL соединения с клиентом. 3. Создает и устанавливает новое SSL соединение с веб-сервером. 4. С помощью двух SSL соединений:
a) Он расшифровывает зашифрованные данные от клиента. b) Проверяет содержимое текста на предмет всех блейдов, установленных в политике. c) Зашифровывает данные снова для сохранения конфиденциальности клиента, пока данные проходят на конечный сервер за пределами шлюза.
Конфигурация исходящей HTTPS проверки Чтобы активировать проверку исходящего HTTPS трафика, вы должны выполнить следующие шаги:
• Настроить Шлюз безопасности для HTTPS проверки. • Сформировать сертификат центра сертификации на Сервере управления безопасностью или импортировать сертификат центра сертификации, который уже используется в вашей организации. • Если вы создали сертификат центра сертификации, вы должны развернуть его в Trusted Root Certification Authorities Certificate Store (Хранилище сертификатов доверенных корневых центров сертификации) на компьютерах клиента. Таким образом, компьютеры клиента доверяют всем сертификатам, подписанным данным сертификатом. Data Loss Prevention Руководство администратора R75.40VS | 43 Клиент UserCheck • Сформируйте политику проверки HTTPS, определив соответствующие правила в Базе Правил проверки HTTPS. • Сконфигурируйте условия для сброса трафика сервером веб-сайта. При необходимости вы можете обновить список доверенных центров сертификации в Шлюзе безопасности. Включение HTTPS проверки Вы должны включить HTTPS проверку на каждом шлюзе. Из Security Gateway > HTTPS Inspection > Step 3 (Шлюз безопасности > HTTPS проверка > Шаг 3) > Выберите Enable HTTPS Inspection (Включить HTTPS проверку). Когда вы впервые активируете HTTPS проверку на одном и шлюзов, вы должны создать исходящий сертификат центра сертификации для HTTPS проверки или импортировать сертификат центра сертификации, который уже используется в вашей организации. Данный исходящий сертификат используется всеми шлюзами, управляемыми на Сервере управления безопасностью. Создание исходящего сертификата центра сертификации Исходящий сертификат центра сертификации сохранен с расширением файла Р12 и использует пароль для шифрования частного ключа файла. Шлюзы используют данный пароль для подписания сертификатов для сайтов, к которым нужен доступ. Вы должны сохранить пароль, так как он также используется другими Серверами управления безопасностью, которые импортируют сертификат центра сертификации для расшифровки файла. После того, как вы создали исходящий сертификат центра сертификации, вы должны экспортировать его так, чтобы его можно было распределить клиентам. Если вы не развернете сформированный сертификат центра сертификации на клиентах, пользователи получат SSL сообщение об ошибке в своих браузерах при соединении с HTTPS сайтами. Вы можете сконфигурировать опцию устранения сбоев, которая регистрирует такие соединения ("Устранение сбоев" на странице 54). После того, как вы создали исходящий сертификат центра сертификации, создается объект сертификата, названный Outbound certificate (Исходящий сертификат). Используйте его в правилах, которые проверяют исходящий HTTPS трафик, в Базе Правил HTTPS проверки.
Чтобы создать исходящий сертификат центра сертификации: 1. В SmartDashboard нажмите правой кнопкой на объект шлюза и выберите Edit (Редактировать). Откроется окно Gateway Properties (Свойства шлюза). 2. В дереве навигации выберите HTTPS Inspection (HTTPS проверка). 3. На странице HTTPS проверки нажмите Create (Создать). 4. Введите необходимую информацию:
• Issued by (DN) (Выдан (Имя домена)) - Введите имя домена вашей организации. • Private key password (Конфиденциальный пароль ключа) - Введите пароль, который используется для шифрования частного ключа сертификата центра сертификации. • Retype private key password (Подтвердите частный пароль ключа) - Повторно введите пароль. • Valid from (Действителен с) - Выберите диапазон дат, в течение которого сертификат центра сертификации действителен. 5. Нажмите OK. 6. Экспортируйте и разверните сертификат центра сертификации ("Экспорт и развертывание сформированного центра сертификации" на странице 45).
Импорт исходящего сертификата центра сертификации Вы можете импортировать сертификат центра сертификации, который уже развернут в вашей организации, или импортировать сертификат центра сертификации, созданный на одном Сервере управления безопасностью, чтобы использовать на другом Сервере управления безопасностью.
Важно - Если вы импортируете СЕ сертификат, созданный на другом Сервере управления безопасностью, убедитесь, что первоначальный сертификат был экспортирован ("Экспортирование сертификата из Сервера управления безопасностью" на странице 45) из Сервера управления безопасностью, на котором он был создан.
Для каждого Сервера управления безопасностью, на котором Шлюзы безопасности могут выполнять HTTPS проверку, вы должны: • Импортировать сертификат центра сертификации. • Ввести пароль, который Сервер управления безопасностью использует для расшифровки файла сертификата центра сертификации и подписания сертификатов для пользователей. Данный пароль используется только тогда, когда вы импортируете сертификат на новый Сервер управления безопасностью.
Data Loss Prevention Руководство администратора R75.40VS | 44 Клиент UserCheck Важно - После того, как вы импортировали сертификат из другого Сервера управления безопасностью, убедитесь, что вы экспортировали сертификат и развернули его ("Экспорт и развертывание сформированного центра сертификации" на странице 45) на машинах клиента, если они еще не развернуты. Чтобы импортировать сертификат центра сертификации: 1. В SmartDashboard нажмите правой кнопкой на объект шлюза и выберите Edit > HTTPS Inspection > Import (Редактировать > HTTPS проверка > Импортировать) Или Из HTTPS Inspection > панель Gateways (HTTPS проверка > панель Шлюзы) поддерживаемого блейда нажмите стрелку next (далее), чтобы создать сертификат, и выберите Import certificate from file (Импортировать сертификат из файла). Откроется окно Import Outbound Certificate (Импорт исходящего сертификата). 2. Найдите файл сертификата. 3. Введите private key password (частный пароль ключа). 4. Нажмите OK. Экспорт сертификата из Сервера управления безопасностью. Если вы используете более одного Сервера управления безопасностью в вашей организации, вы должны сначала экспортировать сертификат центра сертификации с помощью CLI команды export_https_cert из Сервера управления безопасностью, на котором он был создан, прежде чем импортировать его на другие Сервера управления безопасностью. Использование: export https cert [-local] | [-s server] [-f certificate file name under FWDIR/tmp][-help]
Чтобы экспортировать сертификат центра сертификации:
• На Сервере управления безопасностью запустите: /$FWDIR/bin/export_https_cert -local -f [certificate file name under FWDIR/tm p] Например: /$FWDIR/bin/export https cert -local -f mycompany.p12 Экспорт и развертывание сформированного центра сертификации Чтобы пользователи не получали предупреждения о сформированных сертификатах центра сертификации, которые использует HTTPS проверка, установите сформированный сертификат центра сертификации, используемый HTTPS проверкой, в качестве доверенного центра сертификации. Вы можете распределить центры сертификации с различными механизмами распределения, такими как Windows GPO. Он добавляет сформированный центр сертификации в репозиторий доверительных корневых сертификатов на машинах клиента. Когда пользователи выполняют стандартное обновление, сформированный центр сертификации будет в списке центров сертификации, и они не будут получать предупреждения сертификата браузера. Чтобы распределить сертификат с помощью GPO: 1. В окне HTTPS Inspection (HTTPS проверка) Шлюза безопасности нажмите Export certificate (Экспортировать сертификат) Или В HTTPS Inspection > Gateways (HTTPS проверка > Шлюзы) в поддерживаемом блейде нажмите Export (Экспортировать). 2. Сохраните файл сертификата центра сертификации. 3. Используйте Консоль управления политикой группы ("Развертывание сертификатов, используя политику группы" на странице 45), чтобы добавить сертификат в Trusted Root Certification Authorities certificate store (Хранилище сертификатов доверенных корневых центров сертификации). 4. Запустите политику на клиентских машинах в организации. Примечание - Убедитесь, что сертификат центра сертификации запущен на клиентских машинах поздразделения организации. 5. Проверьте распределение, зайдя на HTTPS сайт с одного из клиентов и убедившись, что сертификат центра сертификации показывает имя, которое вы ввели для сертификата центра сертификации, который вы создали в поле Issued by (Выдан ...) .
Развертывание сертификатов, используя Политику группы Вы можете использовать данную процедуру для развертывания сертификата на нескольких клиентских машинах, используя Услуги домена Активного каталога и объекта Политики Группы (Group Policy Object - GPO). GPO может содержать множество вариантов конфигурации и применяется ко всем компьютерам, которые попадают в область действия GPO. Data Loss Prevention Руководство администратора R75.40VS | 45 Клиент UserCheck Для завершения данной процедуры необходимо быть членом локальной группы администраторов или его эквивалентом. Чтобы развернуть сертификат с помощью Политики Группы: 1. Откройте Консоль управления политикой группы. 2. Найдите существующий GPO или создайте новый GPO, который содержит настройки сертификата. Убедитесь, что GPO ассоциирован с доменом, сайтом или подразделением организации, на пользователей которых будет влиять данная политика. 3. Правой кнопкой мыши нажмите на GPO и выберите Edit (Редактировать). Откроется Редактор управления политикой группы и появится текущее содержание объекта политики. 4. Откройте Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Trusted Publishers (Конфигурация компьютера > Настройки Windows > Настройки безопасности > Политики общего ключа > Доверительные издатели). 5. Нажмите Action > Import (Действие > Импорт). 6. Выполните инструкции в Certificate Import Wizard (Мастер импорта сертификата), чтобы найти и импортировать сертификат, который вы экспортировали из SmartDashboard. 7. В панели навигации нажмите Trusted Root Certification Authorities (Доверенные корневые центры сертификации) и повторите шаги 5-6, чтобы установить копию сертификата в это хранилище.
Конфигурация входящей HTTPS проверки Чтобы активировать проверку входящего HTTPS трафика, вы должны выполнить следующие шаги: • Настройте Шлюз безопасности для HTTPS проверки (если она еще не сконфигурирована). Из Security Gateway > HTTPS Inspection > Step 3 (Шлюз безопасности > HTTPS проверка > Шаг 3) > Выберите Enable HTTPS Inspection (Включить HTTPS проверку). • Импортируйте сертификаты сервера для серверов, которые находятся за пределами шлюзов организации ("Сертификаты сервера" на странице 46). • Сформируйте политику HTTPS проверки, определив соответствующие правила в Базе правил HTTPS проверки ("Политика HTTPS проверки" на странице 47). • Убедитесь, что сконфигурировали соответствующий сертификат сервера в Базе правил HTTPS проверки ("Сертификат" на странице 50).
Сертификаты сервера Когда клиент за пределами организации инициирует HTTPS соединение с внутренним сервером, Шлюз безопасности перехватывает соединение. Шлюз безопасности проверяет входящий трафик и создает новое HTTPS соединение из шлюза к внутреннему серверу. Для проведения безболезненной HTTPS проверки Шлюз безопасности должен использовать оригинальный сертификат сервера и частный ключ. Для входящей HTTPS проверки выполните следующие шаги:
• Добавьте сертификаты сервера к Шлюзу безопасности - Это создает объект сертификата сервера ("Добавление Сертификата сервера" на странице 46). • Добавьте объект сертификата сервера в колонку Certificate (Сертификат) в Политике HTTPS проверки, чтобы внедрить его в правила ("Сертификат" на странице 50). Окно Server Certificates (Сертификаты сервера) в SmartDashboard включает следующие опции: • Add (Добавить) - Импорт нового сертификата сервера. Введите имя для сертификата сервера, опциональный комментарий и импортируйте Р12 файл сертификата. • Delete (Удалить) - Удалить ранее добавленный сертификат сервера. Данная опция не удаляет опцию сертификата сервера, она только убирает ее из списка Сертификатов Сервера. • Search (Поиск) - Введите ключевое слово для поиска сертификата сервера в
списке. Добавление сертификата сервера Когда вы импортируете сертификат сервера, введите тот же пароль, который был введен для защиты частного ключа сертификата на сервере. Шлюз безопасности использует данный сертификат и частный ключ для SSL соединений с внутренними серверами. После того, как вы импортировали сертификат сервера (с расширением файла Р12) в Шлюз безопасности, убедитесь, что вы добавили объект в Политику HTTPS проверки. Выполните эту процедуру для всех серверов, которые получают требуемое соединение от клиентов за пределами организации.
Data Loss Prevention Руководство администратора R75.40VS | 46 Клиент UserCheck Чтобы добавить сертификат сервера: 1. В SmartDashboard откройте HTTPS Inspection > Server Certificates (HTTPS проверка > Сертификаты сервера). 2. Нажмите Add (Добавить). Откроется окно Импорта сертификата. 3. Введите Certificate name (Название сертификата) и Description (Описание) (опционально). 4. Найдите файл сертификата. 5. Введите private key password (частный пароль ключа). 6. Нажмите OK. Откроется окно Successful Import (Импорт прошел успешно), если вы впервые импортируете сервер сертификата. Он показывает, где добавить объект в Базу правил HTTPS проверки. Нажмите Don't show this again (Больше не показывать это окно), если вы не хотите видеть окно каждый раз, когда импортируете сертификат сервера, и Close (Закрыть).
Политика HTTPS проверки Политика HTTPS проверки определяет, какой трафик проверяется. Главным компонентом политики является База Правил. Правила используют категории, определенные в Базе данных Приложения, объекты сети и объекты пользователей (если определены). База правил HTTPS позволяет вам проверять трафик на других сетевых блейдах. Блейды, на которых может работать HTTPS, основаны на контрактах и лицензиях на блейды в вашей организации и могут включать: • Application Control (Управление Приложениями) • URL Filtering (Фильтрация URL) • IPS • DLP • Anti-Virus (Антивирус) • Anti-Bot (Антибот) Если вы активируете Identity Awareness (Распознавание идентификационной информации) на ваших шлюзах, вы можете также использовать объекты Access Role (Роль доступа) в качестве источника в правиле. Это позволит вам легко создавать правила для отдельных лиц или различных групп пользователей.
Чтобы войти в Базу Правил HTTPS проверки:
• В SmartDashboard откройте страницу Policy (Политика) из вкладки определенного блейда: • Для Application и URL Filtering, Anti-bot, Anti-virus и IPS - Выберите Advanced > HTTPS Inspection > Policy (Расширенные настройки > Проверка HTTPS > Политика). • Для DLP - Выберите Additional Settings > HTTPS Inspection > Policy (Дополнительные настройки > Проверка HTTPS > Политика).
Предопределенное правило Когда вы включаете HTTPS проверку, предопределенное правило добавляется в Базу Правил HTTPS. Данное правило определяет, что весь HTTPS и HTTPS прокси трафик из любого источника в интернет проверяется на всех блейдах, включенных в колонке Blade (Блейд). По умолчанию журналов нет.
Части Правила Колонки правила определяют трафик, который им соответствует и проверяется ли этот трафик или нет. Когда трафик обойден или если нет соответствующего правила, проверка трафика продолжается другими блейдами в шлюзе.
Номер (No.) Последовательность правил важна, потому что применяется первое совпавшее правило. Например, если предопределенное правило проверяет весь HTTPS трафик любой категории, а следующее правило обходит трафик из определенной категории, применяется первое правило, которое проверяет трафик.
Data Loss Prevention Руководство администратора R75.40VS | 47 Клиент UserCheck
Name Дайте правилу описательное название. Название может включать пробелы. Дважды нажмите на колонку Name (Название) правила, чтобы добавить или изменить название.
Source Источник - место, откуда берет начало трафик. По умолчанию Any (Любой).
Важно - Правило, которое блокирует трафик параметрами Source (Источник) и Destination (Пункт назначения), определенными как Any (Любой), также блокирует трафик в Портал авторизации и из него (Captive Portal).
Наведите мышку на колонку, и появится знак плюс. Нажмите на знак плюс, чтобы открыть список объектов сети и выбрать один или несколько источников. Источником может быть объект Access Role (Роль доступа), который вы можете определить при включенном Identity Awareness (Распознавание идентификационной информации).
Destination Выберите назначение для трафика. По умолчанию Internet, который включает весь трафик с назначением DMZ или внешний трафик. Если вы удалите значение пункта назначения, правило изменится на Any (Любой), который применяется к трафику, исходящему для всех назначений.
Важно - Правило, которое блокирует трафик параметрами Source (Источник) и Destination (Пункт назначения), определенными как Any (Любой), также блокирует трафик в Портал авторизации и из него (Captive Portal).
Чтобы выбрать другие направления, наведите мышку на колонку, и появится знак плюс. Нажмите на знак плюс, чтобы открыть список объектов сети и выбрать один или несколько пунктов назначения. Services По умолчанию проверяется HTTPS трафик на порт 443 и HTTP и HTTPS прокси на порт 8080. Вы можете включить больше услуг и портов в проверку, добавив их в список услуг. Чтобы выбрать HTTPS/HTTP услуги, наведите мышку на колонку, и появится знак плюс. Нажмите на знак плюс, чтобы открыть список услуг и выберите услугу. Другие услуги, такие как SSH, не поддерживаются. Site Category Колонка Site Category (Категория сайта) содержит категории для всех сайтов и приложений, которые ищут пользователи и которые вы можете включить. Одно правило может включать несколько категорий различных типов.
Важно - Для использования колонки Site Category (Категория сайта) необходим действующий контракт и лицензия на блейд URL Filtering на соответствующих Шлюзах безопасности.
Важно - Для правильного выполнения категоризации одинарное соединение к сайту должно быть проверено, несмотря на политику HTTPS проверки. Таким образом, IP адрес сайта связывается с соответствующим названием домена.
Вы можете также включить клиентские приложения, сайты и хосты. Вы можете выбрать настраиваемый объект приложения или сайта с помощью кнопки Custom или создать новый хост или сайт с помощью кнопки New (Новый), которые находятся в нижней части страницы.
Примечание - вы можете использовать только те пользовательские объекты, которые имеют имя домена или хоста как часть URL. URL, содержащие пути, не поддерживаются. Например, вы можете использовать объект, определенный как ww.gmail.com, но не www.gmail.com/myaccount. Чтобы добавить категории сайта к правилу: Наведите мышку на колонку, и появится знак плюс. Нажмите знак плюс, чтобы просмотреть Категории. Для каждой категории показано описание и связанные с ней приложения или сайты.
Data Loss Prevention Руководство администратора R75.40VS | 48 Клиент UserCheck • Чтобы профильтровать список Available (Доступно) по категориям или настроенным сайтам, нажмите определенную кнопку в строке инструментов. Список Available откроется в левой колонке и затем вы можете добавлять пункты в правило. • Чтобы добавить объект категории к правилу, нажмите галочку в списке Available. • Чтобы просмотреть информацию о категории без добавления его к правилу, нажмите название пункта в списке Available. • Чтобы добавить правило, вы можете выбрать только категорию из списка Available. • Если категория уже находится в правиле, она не будет отображена в списке Категории. • Если вы знаете название категории, вы можете найти ее. Результаты будут показаны в списке Available. • Вы можете добавить новый сайт хоста с помощью кнопки New (Новый).
Добавление нового сайта хоста Вы можете создать новый объект хост сайта, который можно использовать в Базе Правил HTTPS, если нет соответствующей категории. Поддерживаются только URL, часть имени которого является названием домена или хоста. Чтобы создать новый сайт хоста: 1. Нажмите значок плюс в колонке Site Category (Категория сайта). 2. В окошке Категорий выберите New (Новый). Откроется окно Hosts/Sites (Хосты/Сайты) . 3. Введите имя сайта хоста. 4. Выберите цвет значка сайта хоста (опционально). 5. Введите комментарий к сайту хоста (на опционально). 6. В Hosts List (Список хостов) введите действующий URL и нажмите Add (Добавить). 7. Если вы использовали регулярное выражение в URL, нажмите Hosts are defined as regular expressions (Хосты определены как регулярное выражение). 8. Нажмите OK.
Новый сайт хоста добавлен к списку Selected (Выбранное) и может быть добавлен к Базе правил.
Action Действие - это то, что сделано в отношении трафика. Нажмите на колонку, чтобы просмотреть варианты и выберите один, чтобы добавить к правилу. • Inspect (Проверить) - Трафик проверяется на блейдах, установленных в колонке Blades (Блейды) . • Bypass (Обойти) - Трафик источника и трафик пункта назначения в правилах, которые включают действие обхода, не расшифровываются и не проверяются. Вы можете обойти проверку HTTPS для всех объектов Check Point. Рекомендуется для обновления Anti-Bot, Anti-Virus, URL Filtering, и IPS. Другие HTTPS защиты, которые уже работают на трафике, будут продолжать работать, даже когда HTTPS трафик не расшифрован для проверки. Track Выберите, будет ли трафик занесен в SmartView Tracker или вызовет срабатывание других уведомлений. Нажмите на колонку и откроются варианты. Варианты включают: • None (Нет) - Не записывает событие • Log (Журнал регистрации) - Записывает информацию о событии в SmartView Tracker. Данная опция полезна для получения общей информации по трафику вашей сети. Для каждого сеанса есть один или более журналов в зависимости от опции подавления. • Alert (Оповещение) - Регистрирует событие и выполняет команду, такую как отображение всплывающего окна, отправка информации электронной почтой или предупреждение SNMP-ловушки или запуск скрипта, определенного пользователем, как определено в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений) • Mail (Почта) - Отправляет email администратору или запускает скрипт почтового предупреждения, как определено в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений) • SNMP Trap (SNMP-ловушка) - Отправляет SNMP предупреждение на SNMP GUI или запускает скрипт, как определено в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений) • User Defined Alert (Оповещение, определенное пользователем) - Отправляет одно из трех возможных настроенных оповещений. Эти оповещения определены с помощью скриптов, установленных в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений) Blade Выберите блейды, которые будут проверять трафик. Нажмите на колонку и откроются варианты. Варианты включают: • Application Control (Управление Приложениями) • Data Loss Prevention (Предотвращение утечки данных)
Data Loss Prevention Руководство администратора R75.40VS | 49 Клиент UserCheck • IPS • URL Filtering (Фильтрация URL) • Anti-Virus (Антивирус) • Anti-Bot (Антибот)
Важно - Варианты блейдов, которые вы видите, зависят от контрактов и лицензий блейдов в вашей организации. Install on Выберите, на какие шлюзы будет установлено правило. По умолчанию All (Все), что означает все шлюзы, на которых включена HTTPS проверка. Наведите мышку на колонку, и появится знак плюс. Нажмите на знак плюс, чтобы открыть список доступных шлюзов и выберите.
Certificate Выберите сертификат, который применим к правилу. Шлюз безопасности использует выбранный сертификат для взаимодействия между Шлюзом безопасности и клиентом. • For outbound HTTPS inspection (Для исходящей HTTPS проверки) - выберите объект Outbound certificate (Исходящий сертификат) (по умолчанию), который отражает сертификат центра сертификации, который вы создали/импортировали и развернули на ваших клиент-машинах в вашей организации. • For inbound HTTPS inspection (Для входящей HTTP проверки) - выберите сертификат сервера, применимый к правилу. Наведите мышку на колонку, и появится знак плюс. Нажмите на знак плюс, чтобы открыть список доступных сертификатов сервера и выберите один. Когда есть совпадения с правилом, Шлюз Безопасности использует выбранный сертификат сервера для взаимодействия с клиентом-источником. Вы можете создать сертификаты сервера в HTTPS Inspection > Server Certificates > Add (HTTPS проверка > Сертификаты сервера > Добавить).
Обход HTTPS проверки услугами обновления программного обеспечения Check Point постоянно обновляет список разрешенных доменных имен услуг, содержание которых всегда разрешено получать. Такая опция гарантирует, что обновления Check Point или других программных обеспечений третьих сторон не будут блокированы. Например, обновления от Microsoft, Java, и Adobe. Чтобы обойти HTTPS проверку для обновления программного обеспечения: 1. В HTTPS Inspection (Проверка HTTPS) > панель Policy (Политика), выберите Bypass HTTPS Inspection of traffic to well know software update services (list is dynamically updated) (Обойти HTTPS проверку на хорошо известные службы обновления программного обеспечения (список постоянно обновляется)). Данная опция выбирается по умолчанию. 2. Нажмитеlist (список), чтобы увидеть список разрешенных доменных имен.
Панель шлюзов Панель Gateways (Шлюзы) перечисляет шлюзы с включенной HTTPS проверкой. Выберите шлюз и нажмите Edit (Редактировать), чтобы редактировать свойства шлюза. Вы также можете находить, добавлять и удалять шлюзы отсюда. Для каждого шлюза вы можете видеть название шлюза, IP адрес и примечания. В разделе CA Certificate (Сертификат центра сертификации) вы можете обновить (renew) диапазон дат срока действия сертификата и экспортировать (export) его для распределения на клиентские машины организации. Если Сервер управления безопасностью, управляющий выбранным шлюзом, не имеет сформированного сертификата центра сертификации, установленного на нем, вы можете добавить его с помощью Import certificate from file (Импортировать сертификат из файла). Существует два варианта: • Вы можете импортировать сертификат центра сертификации, который уже используется в вашей организации. • Вы можете импортировать сертификат центра сертификации из другого Сервера управления безопасностью. До того, как вы сможете импортировать его, вы должны сначала экспортировать его ("Экспорт сертификата из Сервера управления безопасностью" на странице 45) из Сервера управления безопасностью, на котором он был создан.
Data Loss Prevention Руководство администратора R75.40VS | 50 Клиент UserCheck Добавление доверенных центров сертификации для исходящей HTTPS проверки Когда клиент инициирует HTTPS соединение с сервером веб-сайта, Шлюз безопасности перехватывает соединение. Шлюз безопасности проверяет трафик и создает новое HTTPS соединение из шлюза на сервер назначения. Когда Шлюз безопасности устанавливает безопасное соединение (SSL туннель) с веб-сайтом назначения, он должен подтвердить сертификат сервера сайта. HTTPS проверка проходит с заранее сконфигурированным списком доверенных центров сертификации. Данный список обновляется Check Point по мере необходимости и автоматически загружается в Шлюз безопасности. Система по умолчанию уведомляет вас, когда файл обновления доверенного центра сертификации готов к установке. Уведомление в SmartDashboard появляется в виде всплывающего окна или в окне Trusted CAs (Доверенные центры сертификации) в разделе Automatic Updates (Автоматическое обновление). После того, как вы установили обновление, убедитесь, что установили политику. Вы можете выбрать отключить опцию автоматического обновления и вручную обновлять список Доверенных центров сертификации. Если Шлюз безопасности получает недоверительный сертификат сервера от сайта, по умолчанию пользователь подписывает самоподписанный сертификат и не формирует сертификат. Страница уведомляет пользователя, что возникла проблема с сертификатом безопасности веб-сайта, но разрешает пользователю продолжать работать с веб-сайтом. Вы можете изменить настройки по умолчанию, чтобы блокировать недоверительные сертификаты сервера ("Валидация сервера" на странице 52). Список доверенных центров сертификации основан на Программе "Microsoft Root Certificate" (http://technet.microsoft.com/en-us/library/cc751157.aspx). Автоматическое обновление списка доверенных центров сертификации Обновления для списка доверенных центров сертификации будут регулярно публиковаться на веб-сайте Check Point. Они автоматически загружаются Сервером управления безопасностью по умолчанию. Когда вы получаете уведомление, что есть доступное обновление, установите его и выполните процедуру. Первое уведомление появляется во всплывающем овале, а затем в строке уведомления под HTTPS Inspection > Trusted CAs (HTTPS проверка > Доверенные центры сертификации). При необходимости вы можете отключить автоматические обновления.
Чтобы обновить список доверенных центров сертификации: 1. В SmartDashboard выберите HTTPS Inspection > Server Certificates (HTTPS проверка > Сертификаты сервера). 2. В разделе Automatic Updates (Автоматические обновления) нажмите Install Now (Установить сейчас). Вы увидите сертификаты, которые будут добавлены или удалены из списка и диапазон дат срока действия сертификатов. 3. Нажмите Proceed (Продолжить), чтобы подтвердить обновление. Сертификаты будут добавлены или удалены соответственно из списка. 4. Установите политику.
Чтобы отключить автоматические обновления: 1. В SmartDashboard выберите HTTPS Inspection > Server Certificates (HTTPS проверка > Сертификаты сервера). 2. В разделе Automatic Updates (Автоматические обновления) уберите галочку с Notify when a Trusted CA update file is available for installation (Уведомлять, когда файл обновления доверенного центра сертификации доступен для установки). Ручное обновление доверенного центра сертификации Чтобы добавить доверенный центр сертификации вручную к Шлюзу безопасности, вы должны экспортировать необходимый сертификат из недоверительного веб-сайта и затем импортировать его в SmartDashboard. Чтобы экспортировать сертификат центра сертификации для добавления в список Доверенных центров сертификации: 1. Временно отключите HTTPS проверку на Шлюзе безопасности. 2. Установите политику безопасности. 3. Найдите сайт, чтобы получить сертификат, выданный центром сертификации. 4. Перейдите к Пути сертификации сертификата. 5. Выберите корневой сертификат (самый верхний сертификат в списке). 6. В Internet Explorer и Chrome:
a) Нажмите View Certificate (Просмотреть сертификат). b) Из вкладки Details (Подробная информация) нажмите Copy to File (Копировать в файл).
Data Loss Prevention Руководство администратора R75.40VS | 51 Клиент UserCheck c) Выполните шаги в мастере установки. 7. В Firefox, экспортируйте сертификат. Чтобы импортировать сертификат центра сертификации в список Доверенных центров сертификации: 1. В SmartDashboard откройте HTTPS Inspection > Trusted CAs (HTTPS проверка > Доверенные центры сертификации). 2. Нажмите Actions > Import certificate (Действия > Импортировать сертификат), перейдите в место нахождения сохраненного сертификата и нажмите Open (Открыть). Сертификат добавлен в список доверенных центров сертификации. 3. Установите политику безопасности на шлюзы с включенной HTTPS проверкой. Сохранение сертификата центра сертификации Вы можете сохранить выбранный сертификат в списке доверенных центров сертификации в локальной файловой системе.
Чтобы экспортировать сертификат центра сертификации: 1. В SmartDashboard откройте HTTPS Inspection > Trusted CAs (HTTPS проверка > Доверенные центры сертификации). 2. Нажмите Actions > Export to file (Действия > Экспортировать в файл). 3. Перейдите к месту расположения, введите имя файла и нажмите Save (Сохранить). Создается CER файл. HTTPS валидация Валидация сервера Когда Шлюз безопасности получает недоверительный сертификат от сервера веб-сайта, настройки в данном разделе определяют, когда прервать соединение. • Untrusted server certificate (Недоверительный сертификат сервера)
• Если выбрать, трафик от сайта с недоверительным сертификатом сервера немедленно прерывается. Пользователь получает страницу ошибки, на которой указано browser cannot display the webpage (браузер не может отобразить веб-страницу. • Если эту опцию не выбирать, на клиент-машине показывается самоподписанный сертификат, когда трафик идет от недоверительного сервера. Пользователь получает уведомление, что возникла проблема с сертификатом безопасности веб-сайта, но разрешает пользователю продолжать работать с веб-сайтом (по умолчанию). • Revoked server certificate (validate CRL) (Отозванный сертификат сервера (валидировать CRL)) • Если выбрать, Шлюз безопасности проверяет, чтобы каждый сертификат сервера сайта не входил в Список отозванных сертификатов (по умолчанию). Если CRL достичь невозможно, сертификат считается доверительным (это конфигурацию по умолчанию). В журнал HTTPS Проверки вносится запись о том, что CRL не был достигнут. Данную настройку можно изменить с помощью GuiDBedit. Выберите Other > SSL Inspection > general_confs_obj (Другое > SSL Проверка > general_confs_obj) и измените атрибут drop_if_crl_cannot_be_reached с false на true. Чтобы подтвердить CRL, Шлюз безопасности должен иметь выход в Интернет. Например, если в организационной среде используется прокси-сервер, вы должны сконфигурировать прокси для Шлюза безопасности. Чтобы сконфигурировать прокси: a) Во вкладке Firewall дважды нажмите на Шлюз безопасности, который требует прокси конфигурацию. b) Выберите Topology > Proxy (Топология > Прокси). c) Выберите Use custom proxy settings for this network object (Использовать собственные прокси настройки для данного сетевого объекта) и Use proxy server (Использовать прокси сервер) и введите IP адрес прокси. d) Опционально, вы можете использовать настройки прокси по умолчанию. e) Нажмите OK. Важно - Убедитесь, что в Базе правил есть правило, которое разрешает выход HTTP из Шлюза Безопасности. • Если убрать эту опцию, Шлюз Безопасности не проверяет сертификаты сервера сайта на отзыв.
Data Loss Prevention Руководство администратора R75.40VS | 52 Клиент UserCheck
• Expired server certificate (Сертификат сервера с истекшим сроком действия)
• Если выбрать, Шлюз безопасности прерывает соединение, если срок действия сертификата сервера истек. • Если убрать эту опцию, Шлюз безопасности создает сертификат с датой истечения срока действия. Пользователь может продолжать обращаться к веб-сайту (по умолчанию). • Track validation errors (Отслеживание ошибок валидации) Выберите, будет ли трафик валидации сервера заноситься в SmartView Tracker или вызывать срабатывание других уведомлений. Варианты включают: • None (Нет) - Не записывает событие • Log (Журнал регистраций) - Записывает информацию о событии в SmartView Tracker. • Alert (Оповещение) - Регистрирует событие и выполняет команду, такую как отображение всплывающего окна, отправка информации электронной почтой или предупреждение SNMP-ловушки или запуск скрипта, определенного пользователем, как определено в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения> Команды оповещений) • Mail (Почта) - Отправляет email администратору или запускает скрипт почтового предупреждения, как определено в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений) • SNMP Trap (SNMP-ловушка) - Отправляет SNMP предупреждение на SNMP GUI или запускает скрипт, как определено в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений) • User Defined Alert (Оповещение, определенное пользователем) - Отправляет одно из трех возможных настроенных оповещений. Эти оповещения определены с помощью скриптов, установленных в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений) • Automatically retrieve intermediate CA certificates (Автоматическое извлечение промежуточных сертификатов центра сертификации) • Если выбрать, промежуточные сертификаты центра сертификации, выданные доверенными корневыми сертификатами центра сертификации, которые не являются частью цепи сертификата, автоматически извлекаются с помощью информации на сертификате (по умолчанию). • Если убрать эту опцию, сертификат веб-сервера, подписанный промежуточным сертификатом центра сертификации, который не отправлен как часть цепи сертификата, будет считаться недоверительным.
Внесение сертификата в черный список Вы можете создать список блокированных сертификатов. Трафик от серверов, использующих блокированные сертификаты, будет прерван. Если сертификат в черном списке также находится в списке Доверенных центров сертификации, настройки черного списка превалируют над списком Доверенных центров сертификации. • Add (Добавить) - Позволяет добавить сертификат. Введите серийный номер сертификата (в шестнадцатеричном формате НН:НН) и примечание, которое описывает сертификат. • Edit (Редактировать) - Позволяет вам изменять сертификат в черном списке. • Remove (Удалить) – Позволяет вам удалять сертификат в черном списке. • Search (Поиск) - Позволяет вам искать сертификат в черном списке. • Track dropped traffic (Отслеживание прерванного трафика) Выберите, будет ли прерванный трафик занесен в SmartView Tracker или вызовет срабатывание других уведомлений. Варианты включают: • None (Нет) - Не записывает событие • Log (Журнал регистраций) - Записывает информацию о событии в SmartView Tracker. • Alert (Оповещение) - Регистрирует событие и выполняет команду, такую как отображение всплывающего окна, отправка информации электронной почтой или предупреждение SNMP-ловушки или запуск скрипта, определенного пользователем, как определено в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений) • Mail (Почта) - Отправляет email администратору, или запускает скрипт почтового предупреждения, как определено в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений) • SNMP Trap (SNMP-ловушка) - Отправляет SNMP предупреждение на SNMP GUI или запускает скрипт, как определено в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений) • User Defined Alert (Оповещение, определенное пользователем) - Отправляет одно из трех возможных настроенных оповещений. Эти оповещения определены с помощью скриптов, установленных в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные свойства > Журнал событий и оповещения > Команды оповещений)
Data Loss Prevention Руководство администратора R75.40VS | 53 Клиент UserCheck Устранение сбоев Безопасные соединения между клиентом и сервером без создания журналов трафиком в SmartView Tracker отмечены как Client has not installed CA certificate (Клиент не установил сертификат центра сертификации). Это происходит, когда приложение или клиент-браузер не может валидировать сертификат сервера. Возможными причинами являются: • Сформированный центр сертификации не развернут на клиентах (“Экспорт и развертывание сформированного центра сертификации” на странице 45).
• DN в сертификате не совпадает с фактическим URL (например, когда вы переходите к https://www.gmail.com, DN в сертификате указывает mail.google.com).
• Приложения (Такие как FireFox и антивирусы), которые используют список внутренних доверенных центров сертификации (кроме Windows). Добавление сертификата центра сертификации в репозиторий Windows не решает проблему. Варианты в панели HTTPS валидации: • Log connections of clients that have not installed the CA certificate (Регистрировать соединения клиентов, которые не установили сертификат центра сертификации)
• Если выбрать, вносятся записи в журнал для безопасных соединений между клиентом и сервером без трафика в SmartView Tracker (по умолчанию). Записи в журнал вносятся, только когда сертификат сервера является доверительным для Шлюза безопасности. Если сертификат сервера является недоверительным, создается самоподписанный сертификат, и всегда появляется отметка Client has not installed CA certificate (Клиент не установил сертификат центра сертификации). • Если опция не выбрана, записи для безопасных соединений без трафика в журнал не вносятся, что может быть вызвано отсутствием установленного сертификата центра сертификации на клиентах или по одной из вышеуказанных причин.
HTTP/HTTPS Прокси Вы можете сконфигурировать, чтобы шлюз был HTTP/HTTPS прокси. Если он является прокси, шлюз становится посредником между двумя хостами, которые сообщаются друг с другом. Он не позволяет осуществлять прямое соединение между двумя хостами. Каждое успешное соединение создает два различных соединения: Одно соединение между клиентом в организации и прокси. Одно соединение между прокси и фактическим пунктом назначения.
Режимы прокси Поддерживается два режима прокси: • Transparent (Прозрачный) - Весь HTTP трафик на сконфигурированных портах и интерфейсах, который проходит через шлюз, перехватывается и проксируется. На клиентах не требуется конфигурации.
• Non Transparent (Не прозрачный) - Весь HTTP/HTTPS трафик на сконфигурированных портах и интерфейсах, направленный на шлюз, проксируется. На клиентах-машинах нужна конфигурация прокси адреса.
Контроль доступа Вы можете сконфигурировать одну из следующих опций для направления HTTP запросов: • All Internal Interfaces (Все внутренние интерфейсы) - HTTP/HTTPS трафик от всех внутренних интерфейсов направляется прокси. • Specific Interfaces (Конкретные интерфейсы) - HTTP/HTTPS трафик от интерфейсов, определенных в списке, направляется прокси.
Порты По умолчанию, трафик направляется только на порт 8080. Вы можете при необходимости добавлять или редактировать порты.
Расширенные настройки По умолчанию HTTP заголовок содержит заголовок Via (Через), связанный с прокси. Вы можете удалить этот заголовок с помощью опции Advanced (Расширенные настройки). Вы также можете использовать опцию Advanced (Расширенные настройки), чтобы сконфигурировать заголовок X- Forward-For, который содержит IP адрес клиент-машины. Он не добавлен по умолчанию, потому что он открывает внутренний IP клиента. Data Loss Prevention Руководство администратора R75.40VS | 54 Клиент UserCheck Регистрация в журнале Шлюз безопасности открывает два соединения, но только блейд Firewall может регистрировать оба соединения. Другие блейды показывают только соединение между клиентом и шлюзом. Поле Destination (Пункт назначения) журнала показывает только шлюз, а не фактический сервер пункта назначения. Поле Resource (Ресурс) показывает фактический пункт назначения. Чтобы сконфигурировать шлюз безопасности в качестве HTTP/HTTPS прокси: 1. В окне General Properties (Общие свойства) объекта Шлюза безопасности выберите HTTP/HTTPS Proxy из дерева. 2. Выберите Use this gateway as a HTTP/HTTPS Proxy (Использовать данный шлюз в качестве HTTP/HTTPS прокси). 3. Выберите режим прокси - Transparent (Прозрачный) или Non Transparent (Не прозрачный).
Примечание - Если вы выбрали режим Non Transparent (Не прозрачный), убедитесь, что клиенты сконфигурированы для работы с прокси.
4. Выберите, чтобы направлять HTTP запросы из одной из следующих опций:
• All internal interfaces (Все внутренние интерфейсы) • Specific interfaces (Конкретные интерфейсы) - Нажмите знак плюс, чтобы добавить конкретные интерфейсы, или знак минус, чтобы удалить интерфейс. 5. Чтобы ввести больше портов, на которые направить трафик, выберите Add (Добавить). 6. Чтобы включить IP адрес фактического источника в HTTP заголовок, выберите Advanced > X-Forward-For header (original client source IP address) (Расширенные настройки > Заголовок X-Forward-For (оригинальный IP адрес источника клиента).
Примечание - Заголовок X-Forward-For должен быть сконфигурирован, если трафик будет направлен на шлюзы Identity Awareness (Распознавания идентификационной информации), которые требуют эту информацию для идентификации пользователя.
7. Нажмите OK.
Порталы Шлюза безопасности Шлюз безопасности запускает ряд порталов на веб-основе через HTTPS: • Портал мобильного веб доступа • SecurePlatform WebUI • Gaia WebUI • Identity Awareness (портал авторизации) • DLP портал • Портал SSL Network Extender • UserCheck портал Данные порталы (и HTTPS поддержка) поддерживают самые последние версии TLS протокола. Кроме SSLv3 и TLS 1.0 (RFC 2246) Шлюз Безопасности поддерживает: • TLS 1.1 (RFC 4346) • TLS 1.2 (RFC 5246) Поддержка для TLS 1.1 и TLS 1.2 включается по умолчанию, но может быть отключена в SmartDashboard (для порталов на веб-основе) или GuiDBedit (для HTTPS проверки).
Чтобы сконфигурировать поддержку TLS протокола для порталов: 1. В SmartDashboard откройте Global Properties > SmartDashboard Customization (Глобальные свойства > Настройка SmartDashboard). 2. В разделе Advanced Configuration (Расширенная конфигурация) нажмите Configure (Сконфигурировать). Откроется окно Advanced Configuration (Расширенная конфигурация). 3. На странице Portal Properties (Свойства портала) установите минимальную и максимальную версии SSL и TLS протоколов.
Чтобы сконфигурировать поддержку TLS протокола для HTTPS проверки: 1. В GuiDBedit, во вкладке Tables (Таблицы) выберите Other (Другое) > ssl_inspection. 2. В колонке Objects (Объекты) выберите general_confs_obj. 3. В колонке Fields (Поля) измените поля для:
Data Loss Prevention Руководство администратора R75.40VS | 55 Клиент UserCheck • ssl_max_ver • ssl_min_ver
HTTPS проверка в SmartView Tracker Журналы из HTTPS проверки показаны в SmartView Tracker. Существует два типа предопределенных запросов для журналов HTTPS проверки в SmartView Tracker: • Запросы HTTPS Проверки • Запросы блейда - HTTPS проверка может применяться к следующим блейдам: • Application Control (Управление Приложениями) • URL Filtering (Фильтрация URL) • IPS • DLP • Anti-Virus (Антивирус) • Anti-Bot (Антибот)
Чтобы открыть SmartView Tracker, выполните одно из следующего:
• Из панели инструментов SmartDashboard выберите Window > SmartView Tracker (Окно > SmartView Tracker).
• Нажмите Control +Shift +T.
Запросы HTTPS Проверки Существуют предопределенные запросы в Predefined > Network Security Blades > HTTPS Inspection (Предопределенное > Блейды безопасности сети > HTTPS проверка). • All (Все) - Показывает весь HTTPS трафик, который совпадает с политикой HTTPS Проверки и был сконфигурирован для регистрации в журнале. • HTTPS Validations (HTTPS Валидация) - Показывает трафик с проблемами соединения. • Значения действия включают rejected (отклоненные) или detected (обнаруженные). Действия определены настройками SSL валидации (“HTTPS валидация” на странице 52) для HTTPS Проверки. • Значения HTTPS валидации включают:
■ Untrusted Server Certificate (Недоверительный сертификат сервера) ■ Server Certificate Expired (Сертификат сервера с истекшим сроком действия) ■ Revoked Certificate or Invalid CRL (Отозванный сертификат или недействительный CRL) ■ SSL Protocol Error (Ошибка SSL протокола) - Для общих проблем SSL протокола Запросы блейдов При применении HTTPS проверки к определенному блейду: • Существует HTTPS Inspection predefined query (Предопределенный запрос HTTPS проверки) для каждого из блейдов, который может работать с HTTPS проверкой. Запрос показывает весь трафик определенного блейда, который проходит через HTTPS проверку. • Журнал в запросах блейда включает HTTP Inspection field (Поле HTTP проверки). Значением поля может быть inspect (проверить) или bypass (обойти). Если трафик не проходит через HTTPS, поле не показывается в журнале.
Разрешения для HTTPS журналов Администратор должен иметь права HTTPS проверки, чтобы просматривать классифицируемые данные в трафике проверяемого HTTPS. Чтобы задать права администратора в новом профиле: 1. В дереве Users and Administrators (Пользователи и Администраторы) выберите администратора > Edit (Редактировать). 2. В Administrator Properties (Свойства администратора) > страница General Properties (Общие свойства) в поле Permissions Profile (Профиль разрешений) нажмите New (Новый). 3. В окне Permissions Profile Properties (Свойства профиля разрешений):
• Введите Name (Имя) для профиля. • Выберите Customized (Настраиваемое) и нажмите Next (Далее).
Data Loss Prevention Руководство администратора R75.40VS | 56 Клиент UserCheck Откроется окно Permissions Profile Custom Properties (Настраиваемые свойства профиля разрешений). 4. Во вкладке Monitoring and Logging (Отслеживание и запись в журнал) выберите HTTPS Inspection logs (Журналы HTTPS проверки) для разрешения видеть классифицированную информацию в журналах HTTPS проверки. 5. Нажмите OK во всех открытых окнах.
Чтобы редактировать существующий профиль разрешений: 1. В панели инструментов SmartDashboard выберите Window > Permissions Profiles (Окно > Профили разрешений). 2. Выберите профиль и нажмите Edit (Редактировать). 3. Выполните инструкции шага 3 выше.
HTTPS проверка в SmartEvent События из HTTPS Проверки показаны в SmartEvent. Существует два типа предопределенных запроса для событий HTTPS проверки в SmartEvent: • Запросы HTTPS проверки для валидации HTTPS • Запросы блейда - HTTPS проверка может применяться к следующим блейдам:
• Application Control (Управление Приложениями) • URL Filtering (Фильтрация URL) • IPS • DLP • Anti-Virus (Антивирус) Чтобы открыть SmartEvent, сделайте одно из следующего:
• Из панели инструментов SmartDashboard выберите Window > SmartEvent (Окно > SmartEvent).
• Нажмите Control +Shift +T.
Анализ события в SmartEvent SmartEvent предоставляет дополнительные аналитические инструменты с фильтрацией, графиками, отчетами, статистикой и многим другим для всех событий, которые проходят через включенные Шлюзы безопасности. SmartEvent показывает все события HTTPS проверки. Вы можете фильтровать информацию об HTTPS проверке для быстрого отслеживания трафика HTTPS проверки.
• Графики трафика HTTPS проверки в реальном времени и за прошлые периоды.
• Графические шкалы времени событий для быстрого извлечения данных.
• Легко настраиваемые представления для быстрого просмотра указанных запросов. • Рабочий процесс обработки происшествий. SmartEvent отображает информацию для всех программных блейдов в среде.
Просмотр информации в SmartEvent Существует два типа предопределенных запроса для событий HTTPS проверки в SmartEvent:
• Запросы HTTPS Проверки
• Запросы блейдов
Запросы HTTPS Проверки
• Перейдите в Events > Predefined > HTTPS Inspection > HTTPS Validation (События > Предопределенные > HTTPS проверка > HTTPS Валидация) для отображения произошедших событий SSL валидации.
• Вкладки Details (Подробная информация) и Summary (Сводная информация) в записи события показывают, был ли трафик обнаружен или отклонен согласно настроек SSL Валидации.
Data Loss Prevention Руководство администратора R75.40VS | 57 Клиент UserCheck Запросы блейдов
• Существует HTTPS Inspection predefined query (Предопределенный запрос HTTPS проверки) для каждого из блейдов, который может работать с HTTPS проверкой. Запрос показывает весь трафик определенного блейда, который проходит через HTTPS проверку. • Вкладка Summary (Сводная информация) в записи события в запросах блейда включает поле HTTPS Inspection (HTTPS проверка). Значением поля может быть inspect (проверить) или bypass (обойти). Если трафик не прошел через HTTPS проверку, поле в записи события не отображается.
Data Loss Prevention Руководство администратора R75.40VS | 58
Глава 4
Готовое решение
В этой главе
Развертывание по умолчанию 59 Data Loss Prevention в SmartDashboard 59 Определение Моей Организации 60 Политики Data Loss Prevention 64 Аудит и анализ 70
Развертывание по умолчанию На первом этапе развертывания DLP используется политика Data Loss Prevention, предоставленная по умолчанию.
• Автоматическая проверка данных основана на встроенной Check Point экспертной эвристике и соответствии различным требованиям. • Пользователи в вашей организации передают данные в рамках своих ежедневных задач. DLP отлавливает происшествия, соответствующие правилам политики. Правила на этом этапе устанавливаются на Detect (Обнаружить), позволяя вам отслеживать использование и понимать специфические потребности вашей организации, не мешая вашим пользователям.
• Вы проводите аудит данных, используя уровни строгости на основе предыдущего опыта и отслеживание SmartView Tracker, чтобы определить ключевые моменты утечки данных.
Data Loss Prevention в SmartDashboard Когда вы открываете SmartDashboard во вкладке Data Loss Prevention, вам доступны следующие виды:
Страница Функция Overview (Сводные Быстрый доступ к срочным задачам, часто используемым свойствам и статистике данные) сводных данных. Policy (Политика) Управление базой правил политики Data Loss Prevention. Gateways (Шлюзы) Активация программного блейда Data Loss Prevention на шлюзах безопасности Check Point. Вы можете определить DLP шлюзы и агентов Exchange Agent. Агент Exchange Agent позволяет вам сканировать внутренние сообщения электронной почты между клиентами Microsoft Exchange после того, как вы установите агент Exchange Security Agent на сервере Exchange Server. Таблица отображает статус, время работоспособного состояния, проверяемые элементы, версию, коэффициент использования ЦП и комментарии для шлюзов и агентов Exchange Agent. Вы можете посмотреть графическое представление этой информации в SmartView Monitor. Data Types (Типы Определение представлений защищаемых активов данных. данных) My Organization (моя Определение внутренней среды: сетей, пользователей, email адресов и VPN организация) сообществ. Дополнительные настройки: Users (Пользователи) Определение пользователей, групп пользователей и АК/LDAP групп как объектов сети для использования в DLP и других программных блейдах.
Data Loss Prevention Руководство администратора R75.40VS | 59 Готовое решение
Страница Функция Network and Resources Управление сетями, хостами, серверами, элементами учетных записей LDAP (Сеть и ресурсы) и другими объектами сети для использования в DLP. Управление администраторами DLP и SmartDashboard. Protocols (Протоколы) Активация протоколов, проверяемых на отдельных DLP шлюзах. Mail Relay (Почтовый Настройка почтового сервера на отсылку DLP email уведомлений. транслятор) Email Addresses or Управление списками email адресов и доменами для использования в правилах и Domains (Email типах данных DLP. адреса или домены ) Advanced • Incident Tracking (Отслеживание происшествий) – Определение, регистрировать ли все (Расширенные email сообщения (для расчета соотношения происшествий) или только DLP происшествия. настройки) • Learn User Actions (Запоминать действия пользователей) – Определение, будет ли DLP запоминать ответы Ask User для всех сообщений ветки или спрашивать каждый раз, когда сообщение нарушает DLP правило. • Extreme Conditions (Экстремальные условия) – Позволяет вам определить, обходить ли DLP SMTP, FTP и HTTP проверку и предпочитать соединение в этих экстремальных условиях: • Уровни нагрузки ЦП выше, чем верхний порог нагрузки ЦП • Другие экстремальные условия, включая: ■ Внутренние ошибки ■ Размеры сообщений протокола больше, чем значение по умолчанию ■ Вложения файлов больше, чем значение по умолчанию ■ Уровень глубины архива больше, чем значение по умолчанию Если необходимо, вы можете изменить значения по умолчанию ("Редактирование значений экстремальных условий" на странице 123).
Определение Моей Организации Страница My Organization (Моя Организация) отображает, что DLP считает перемещением данных во внутренней сети (где не имеет место утечка данных), и что внешнее (где необходимо отслеживать передачу данных). По умолчанию, Моя Организация включает все хосты и сети, находящиеся за внутренними интерфейсами DLP шлюза. Моя Организация также включает конкретных пользователей, группы пользователей и всех пользователей в LDAP группах, определенных на Сервере управления безопасностью.
Примечание - SmartDashboard должен находиться в домене Активного каталога, чтобы воспользоваться свойствами списка пользователей LDAP.
Определения Моей Организации:
Добавление Email адресов и доменов в Мою Организацию 60 Определение внутренних пользователей 61 Определение групп внутренних пользователей 61 Исключение пользователей из Моей Организации 62 Определение внутренних сетей 62 Исключение сетей из Моей Организации 62 Определение внутренних VPN 63 Исключение VPN из Моей Организации 63
Добавление Email адресов и доменов в Мою Организацию Вы определяете внутренние домены DLP и конкретные email адреса, которые включаются в Мою Организацию. Вы можете добавить домены, чтобы включить ваши удаленные офисы и филиалы в определение того, что представляет Моя Организация.
Data Loss Prevention Руководство администратора R75.40VS | 60
Важно – Если ваша организация использует облачные сервера, вам не следует их добавлять. Технология, регулирующая облачные сервера, делает их по своей сети небезопасными, забирая у вас контроль над вашими данными и отдавая его третьей стороне. Рекомендуется определить все конфиденциальные данные, посылаемые на облачный сервер и с него, нежели чем доверять провайдеру услуг задачу, чтобы другие клиенты не имели доступа к вашим данным.
Добавьте email адреса, чтобы включить те, которые безопасны для обмена общими данными. Вам не следует добавлять личные email адреса ваших сотрудников или руководителей. Забирание конфиденциальных данных на дом является плохой практикой, которую вам следует возбранять и, в конце концов, прекратить. Примечания о доменах: • При добавлении доменов не используйте символ @. Правильный пример домена: example.com • Если вы добавляете домен, он также захватит и все поддомены. Например, если домен example.com, email адреса, например, [email protected] , также считаются частью Моей Организации. • SMTP трафик считается внутренним, если домен email’а определен в Моей Организации, и если IP адрес отправителя – это интерфейс/сеть, определенная в Моей Организации. Важно – Не удаляйте определение домена по умолчанию. У вас должен быть домен в определении Моей Организации или определенный LDAP сервер. Если у вас нет определенного домена (по домену Email адреса или элементу учетной записи LDAP) для Моей Организации, DLP не будет сканировать email сообщения.
Чтобы добавить домены и email адреса в Мою Организацию: 1. В SmartDashboard откройте вкладку Data Loss Prevention. 2. Нажмите My Organization (Моя Организация). 3. В области Email Addresses (Email адреса) введите домен или конкретный email адрес. 4. Нажмите Add (Добавить).
Определение внутренних пользователей Большинство организаций используют внешний LDAP сервер (например, Активный каталог) для управления пользователями и группами пользователей. Вы можете определить учетную запись внутреннего пользователя, чтобы использовать в качестве источника или
пункта назначения в Базе Правил, когда: Ваша организация не использует LDAP сервер. Вы хотите определить пользователя, который не определен на LDAP сервере. Вы можете добавить учетные записи для отдельных пользователей во вкладке Data Loss Prevention в SmartDashboard.
Чтобы определить учетные записи пользователей как внутренних пользователей: 1. Разверните Additional Settings > Users (Дополнительные настройки > Пользователи). 2. Нажмите New > User (Новый > Пользователь). Откроется окно User Properties (Свойства пользователя). 3. Определите учетную запись пользователя. Наиболее важное поле - email адрес. Он позволяет DLP распознавать пользователя для email сканирования. Пользователь добавляется в другие программные блейды, управляемые SmartDashboard.
Определение групп внутренних пользователей DLP может потребовать другие группы пользователей, отличающиеся от имеющихся на LDAP сервере. Например, вам может потребоваться группа для новых сотрудников, чьи правила установлены на Ask User (Спросить пользователя), а не на Prevent (Предотвратить), чтобы дать им время ознакомиться с руководящими указаниями организации. Вам может также понадобиться группа для временных сотрудников или увольняемых сотрудников, чтобы назначить им более строгие правила. Чтобы определить группы пользователей: 1. Разверните Additional Settings> Users (Дополнительные настройки > Пользователи). 2. Нажмите New > User Group (Новый > Пользователь). Откроется окно User Properties (Свойства пользователя).
Готовое решение 3. Присвойте группе имя. 4. Выберите пользователей, группы пользователей или внешние профили пользователей, которые вам нужны в этой группе, и нажмите Add (Добавить). 5. Нажмите OK.
Исключение пользователей из Моей Организации Если выбрана опция для области Users (Пользователи) по умолчанию (Users, user groups and LDAP groups defined in the Security Management Server (Пользователи, группы пользователей и LDAP группы, определенные на Сервере управления безопасностью)), вы можете определить исключения из этого определения Моей Организации. Например, вы можете исключить CEO. Это позволяет CEO посылать любые данные без сканирования.
Чтобы исключить пользователей из Моей Организации: 1. Откройте Data Loss Prevention > My Organization (Data Loss Prevention > Моя Организация). 2. В области Users (Пользователи) нажмите Exclusions (Исключения). Откроется окно User groups and Users (Группы пользователей и пользователи). 3. Выберите перечисленные элементы, которые вы хотите исключить из Моей Организации. 4. Нажмите Add (Добавить). 5. Нажмите OK . Определение внутренних сетей По умолчанию, My Organization (Моя Организация) включает сети, группы сетей и хосты, которые определены как находящиеся за внутренним интерфейсом DLP шлюза. Если вы решите определить Мою Организацию, присвоив имена конкретным сетям или хостам, любые внутренние сети или хосты, которых вы не назвали, не будут считаться DLP внутренними.
Внимание – Сети и хосты должны быть уже определены в Дереве объектов в SmartDashboard.
Чтобы определить конкретные сети и хосты: 1. В SmartDashboard откройте вкладку Data Loss Prevention. 2. Нажмите My Organization (Моя Организация). 3. В области Networks (Сети) выберите These networks and hosts only (Только эти сети и хосты). 4. Нажмите Edit (Редактировать). 5. В окне Networks and Hosts (Сети и хосты) выберите элементы из списка определенных сетей и хостов и нажмите Add (Добавить). 6. Добавьте столько элементов, сколько требуется, чтобы определить Мою Организацию. 7. Нажмите OK . Исключение сетей из Моей Организации На крупных сайтах часто эффективнее определять исключения их внутренних интерфейсов, чем определять внутреннюю среду элемент за элементом. Если опцией по умолчанию в Моей Организации является выбранное (Anything behind the internal interfaces of my gateways (Все за внутренними интерфейсами моих шлюзов)), вы можете определить исключения из внутренних Networks (Сетей). Любая сеть, группа сетей или хост, который вы определите как исключение, будет признаваться Data Loss Prevention как Outside My Org (Вне моей организации). Чтобы сканировать данные, посылаемые из этих сетей, вы должны изменить Source (Источник) правил по умолчанию с My Org (Моя Организация) на объект сети.
Чтобы исключить сети из Моей Организации: 1. Откройте Data Loss Prevention > My Organization (Data Loss Prevention > Моя Организация). 2. В области Networks (Сети) нажмите Exclusions (Исключения). Откроется окно Networks and Hosts (Сети и хосты). 3. Выберите перечисленные элементы, которые вы хотите исключить из Моей Организации. 4. Нажмите Add (Добавить). 5. Нажмите OK .
Data Loss Prevention Руководство администратора R75.40VS | 62 Готовое решение Определение внутренних VPN Если ваше Check Point развертывание включает Virtual Private Networks (Виртуальные частные сети), разрешите включение VPN трафика в определение Моей Организации. DLP шлюзу известно о VPN сообществах, к которых он участвует. Выделенному DLP шлюзу, например, известно о VPN сообществах, в которых участвует его защищающий шлюз безопасности. Если даже в вашем SmartDashboardнастроены другие VPN, в Мою Организацию DLP включаются только те, которые имеют отношение к DLP шлюзу. Сообщества удаленного доступа в VPN Моей Организации поддерживаются только в Office Mode (Режим Office). Чтобы настроить режим Office для поддержки сообществ удаленного доступа:
• Если IP адреса режима Office назначены из IP пула, ничего больше не требуется.
• Если адреса назначены из RADIUS, DHCP, или ipassigment.conf:
1. Откройте свойства шлюза > IPSec VPN. 2. Откройте Office Mode (Режим Office). 3. Выберите Perform Anti spoofing on Office Mode addresses (Выполнить антиспуфинг на адресах режима Office). 4. Введите диапазон IP адресов.
Чтобы включить VPN трафик в Мою Организацию: 1. В SmartDashboard откройте вкладку Data Loss Prevention. 2. Нажмите My Organization (Моя Организация). 3. В области VPN убедитесь, что в поле All VPN traffic (Весь VPN трафик) стоит флажок.
Исключение VPN из Моей Организации VPN обеспечивают зашифрованный туннель между сайтами. Если у вас несколько VPN в вашем развертывании, вам может понадобиться исключить некоторые из них из определения Моей Организации. Например, если у вас есть VPN с третьей стороной, например, бизнес-партнером, вы можете настроить VPN сообщество, которое соединяет организации. Весь трафик между двумя организациями будет считаться внутренним VPN шлюзом каждого офиса. Однако, если вы хотите, чтобы DLP предотвращал передачу конфиденциальных данных бизнес-партнеру, вы можете исключить VPN из Моей Организации и таким образом контролировать тип передаваемых данных. Перед тем как вы примете это решение, вам следует узнать, какие VPN, определенные в вашем SmartDashboard соответствуют DLP шлюзу. DLP может видеть только VPN, в которых участвует его защищающий VPN шлюз. Все определенные шлюзы перечислены в окне VPN сообществ, в котором вы определяете исключения; но вручную можно исключить только релевантные VPN. Остальные всегда исключены и включены быть не могут.
Организация за DLP шлюзом защищена VPN шлюзом (1). Этот шлюз участвует в VPN сообществе (2). Следовательно, DLP видит удаленные хосты в VPN (3) как часть Моей Организации.
Data Loss Prevention Руководство администратора R75.40VS | 63 Готовое решение Защищающий VPN шлюз не участвует в VPN сообществе между другими сайтами (3 и 5), и не знает о VPN между ними (4). Следовательно, DLP считает хосты на сайте 5 внешними к Моей Организации.
Чтобы обнаружить VPN, известные DLP: 1. Найдите защищающий VPN шлюз DLP шлюза. Для интегрированного DLP развертывания это сам DLP шлюз. Защищающий VPN шлюз включает IP адрес DLP шлюза в его домене шифрования. 2. Дважды нажмите на VPN шлюз в дереве объектов сети, чтобы открыть свойства шлюза. 3. Откройте страницу IPSec VPN. DLP шлюзу известно о VPN сообществах, перечисленных на странице IPSec VPN защищающего VPN шлюза. Чтобы исключить VPN из Моей Организации: 1. Откройте вкладку Data Loss Prevention > My Organization (Моя Организация). 2. В области VPN нажмите Exclusions (Исключения). Откроется окно VPN Communities (VPN сообщества). 3. Выберите VPN, которые вы хотите исключить из Моей Организации и нажмите Add (Добавить). Игнорируйте VPN, которые не имеют отношения к защищающему VPN шлюзу; они исключены по умолчанию. Политики Data Loss Prevention DLP политика определяет, какие данные защищены от передачи, включая: тело email, получатели email, email вложения (даже если сжаты в формат zip), FTP загрузку, веб пост, веб-почту и т.д. Политика определяет действие, которое предпринимает DLP, если передача перехвачена. Вы можете управлять правилами политики в Data Loss Prevention > страница Policy (Политика). Общие сведения о Правилах DLP Правило Data Loss Prevention состоит из: • A data type to protect (Тип защищаемых данных) – некоторые типы данных составные, другие простые и состоят из одного слова. База правил может быть настолько длинной, насколько это вам необходимо. • A transmission source (Источник передачи) - по умолчанию, вся ваша внутренняя организация (политика проверяет все передачи данных от любого пользователя в вашей организации, содержащие определенный тип данных) или выбранный пользователь, группа, сегмент или сеть. Рекомендуется создать группы пользователей для доступа к данным. Например: пользователи с доступом к строго конфиденциальным данным, недавно нанятые сотрудники, увольняемые сотрудники, руководители, несущие ответственность за конкретные типы данных.
• A destination (Пункт назначения) - по умолчанию, все, что находится за пределами внутренней организации. Вы можете сделать пунктом назначения любой объект сети, определенный в SmartDashboard для защиты передачи данных между группами пользователей внутри вашей организации. Вы можете сделать пунктом назначения конкретный домен, например, Gmail или Hotmail для личных email. • A protocol (Протокол) - по умолчанию Any (Любой), но вы можете сделать, чтобы правило применялось только к HTTP постам или только к FTP загрузкам. Для просмотра колонки протокола нажмите правой кнопкой мыши на строку заголовка политики и выберите Protocol (Протокол).
• An action to take (Предпринимаемое действие) – ответ DLP в случае, если передача данных соответствует другим параметрам правила: обнаружить и зарегистрировать в журнале, сообщить отправителю или владельцу данных, отложить до решения пользователя или предотвратить передачу. • A tracking option (Опция отслеживания) – когда передачи данных соответствуют правилам Data Loss Prevention, они регистрируются в журнале как происшествия в SmartView Tracker по умолчанию. Вы можете добавить email уведомления и другие методы отслеживания. • A severity level (Уровень строгости) – установите строгость правил в вашей политике, чтобы помочь в фильтрации и сообщении при аудите происшествий Data Loss Prevention через SmartEvent. Правила High (Высокий) и Critical (Критичный) подлежат аудиту в первую очередь, и, если вы решите сохранить этот уровень строгости, они должны быть перемещены из Detect (Обнаружить) в Ask (Спросить), как только ваши пользователи поймут, что от них ожидается. • A time range (Временной диапазон) – период времени, во время которого исполняется DLP правило.
Data Loss Prevention Руководство администратора R75.40VS | 64 Готовое решение База правил DLP шлюза должна показаться вам знакомой, если вы имеете опыт работы с базой правил Check Point Firewall, но есть и отличия. DLP правила основаны на типах данных, созданных через легкий в использовании мастер. Протоколы (услуги), используемые для передачи данных, и люди, передающие данные, являются вторичными определяющими факторами. DLP правила обычно сканируют исходящую связь из внутренней организации. Правила Firewall обычно сканируют связь извне, входящую во внутреннюю сеть. Метод, которым DLP правила сопоставляют данные, отличается.
Порядок сопоставления с Правилами DLP Порядок DLP правил не имеет значения. В данной базе правил каждая передача проверяется на соответствие каждому правилу. Поскольку порядок правила не имеет значения, вы можете изменить отображение DLP политики, как вам удобно. Для отображения правил в другом порядке нажмите заголовок колонки. Правила отсортируются по выбранной колонке. Для отображения правил в группах выберите опцию из меню Grouping (Группировка) в Data Loss Prevention > Policy (Data Loss Prevention > Политика). Для отображения или скрытия колонок нажмите правой кнопкой мыши of заголовок колонки политики и выберите элемент. Для изменения расположения колонок перетащите колонку в новое место.
Сопоставление с Правилами DLP, имеющими исключения Если данные соответствуют правилу, и правило имеет исключения, проверяются исключения из правила. Если данные соответствуют любому исключению, DLP разрешает передачу. Например, рассмотрим правило, которые перехватывает email сообщения, содержащие более пятнадцати имен сотрудников в теле сообщения. Если пользователь в HR отделе посылает список из двадцати сотрудников на внешний адрес (например, их подрядчик), email сообщение будет разрешено без регистрации происшествия или какого-либо предпринятого действия Data Loss Prevention – потому что это правило имеет исключение, позволяющее пользователям в группе HR посылать списки имен сотрудников вне вашей организации. Если данные соответствуют нескольким правилам, одному с исключением, а другим без исключения, используются правила без исключения.
Сопоставление с Правилами DLP при нескольких соответствиях Если данные соответствуют нескольким правилам, применяется наиболее ограничивающее правило. Например, если пользователь посылает email сообщение с вложенным незашифрованным PDF, email сообщение может соответствовать двум правилам. Одно правило – Detect (Обнаружить): обнаружить email сообщения с внешним пунктом назначения, содержащие PDF файлы. Второе правило - Ask User (Спросить пользователя): отложить email сообщения с незашифрованными PDF файлами, пока пользователь не укажет, что его можно отсылать. Администратор с полными правами или разрешением Просмотра/Отправки/Сброса DLP сообщений может также послать/сбросить эту почту из SmartView Tracker. Это правило также информирует менеджера по Маркетингу и техническим средствам связи, что PDF был отправлен из компании на внешний пункт назначения. В этом случае: a) Email сообщение помещается в карантин. b) Пользователь получает уведомление и должен решить, что делать. c) Владелец данных получает уведомление. d) Нарушения правила (одно для Detect (Обнаружить) и одно для Ask User (Спросить пользователя)) вносятся в журнал регистрации событий. e) Администратор может послать/сбросить это email сообщение из SmartView Tracker. Пользователю посылается уведомление.
Действия Правила Для каждого DLP правила, которое вы создаете для типа данных, вы также определяете, какое действие необходимо предпринять, если передача соответствует правилу.
Data Loss Prevention Руководство администратора R75.40VS | 65 Готовое решение Действие Описание Detect Передача пропускается. Событие регистрируется в SmartView Tracker и доступно для (Обнаружить) вашего рассмотрения и анализа в SmartReporter и SmartEvent. Данные и само email сообщение или свойства передачи, если это не email сообщение, сохраняются в хранилище для будущих справок. Вы можете уведомить Владельцев данных о событии. Это действует для всех следующих действий. Inform User Передача прошла, но происшествие зарегистрировано, и пользователь уведомлен. (Информироват ь пользователя) Ask User Передача удерживается, пока пользователь не подтвердит, что она должна быть (Спросить отправлена. Уведомление, обычно со ссылкой восстановления в портале Самообработки Пользователя) происшествия, отправляется пользователю. Пользователь решает, должна ли быть завершена передача или нет. Решение регистрируется в SmartView Tracker в категории User Actions (Действия пользователей). Администратор с полными правами или разрешением Просмотра/Отправки/Сброса DLP сообщений может также решить, будет ли передача завершена или нет, из SmartView Tracker. Это может быть полезно в случае, если пользователь недоступен, чтобы подтвердить, что она должна быть отправлена. Prevent Передача данных блокирована. (Предотвратить) Note: Check Point не рекомендует использовать действие Prevent (Предотвратить) в качестве первого действия. Действие может оказать вредное воздействие. Для повышения точности соответствий правилам устанавливайте правила на Prevent (Предотвратить), только когда вы проверили их менее строгими действиями в течение разумного периода времени. Watermark Отслеживает исходящие документы Microsoft Office (файлы Word, Excel или PowerPoint от (Водяной знак) Office 2007 или выше) путем добавления видимых водяных знаков или невидимого шифрованного текста. • По умолчанию все правила создаются без действия водяного знака. • Водяные знаки можно создать и редактировать без необходимости их применения. • После создания объекта водяного знака его можно использовать во многих правилах. Примечание - Если данные соответствуют нескольким правилам, применяется правило наиболее ограничивающего действия. Порядок от наиболее ограничивающего к наименее ограничивающему: Prevent (Предотвратить), Ask User (Спросить пользователя), Inform User (Информировать пользователя), Detect (Обнаружить).
Управление правилами в Detect Действие Detect (Обнаружить) установлено для правил по умолчанию, потому что это наименее прерывающее из всех опций действия. Когда Data Loss Prevention обнаруживает передачу, содержащую защищенные данные, происшествие регистрируется в SmartView Tracker и предпринимаются другие действия регистрации (если таковые имеются). Вам может понадобиться сначала оставить все ваши правила в Detect (Обнаружить). Затем вы можете просмотреть журналы и решить, какие правила необходимы, согласно действиям вашей организации. Это может сэкономить вам и вашим пользователям много времени и объяснить им, что им следует знать, и что делать гораздо более предметно.
Установка отслеживания Правила Главный аспект, рассматриваемый при создании правил Data Loss Prevention, состоит в том, как проводить аудит происшествий.
Опция Значение Email Посылает email указанному получателю Log (Журнал Записывает происшествие в SmartView Tracker или SmartEvent. (Все другие опции регистрации) отслеживания также регистрируют происшествие.) Alert (Оповещение) Открывает всплывающее окно в SmartView Monitor.
Data Loss Prevention Руководство администратора R75.40VS | 66 Готовое решение
Опция Значение SNMP Trap (SNMP- Отсылает SNMP оповещение в SNMP GUI. При этом используется процесс fwd, ловушка) чтобы запустить скрипт internal snmp trap , который посылает ID, тип ловушки, порт-источник, сообщество и имя хоста. User Defined (alert) Посылает один из возможных настроенных оповещений. Оповещения (Определенное определяются скриптами, указанными в Policy > Global Properties > Log and пользователем Alert > Alert Commands (Политика > Глобальные свойства > Журнал (оповещение)) событий и оповещения > Команды оповещений). Процесс оповещения на сервере журналов запускает скрипты. Store Incident (Хранение Определяет, как должны храниться и удаляться данные (если применимо). происшествия) Опции: • Yes (Да) • Only as text (Только как текст) • Don't store (depending on other conditions) (Не хранить (в зависимости от других условий)) • Delete (Удалить)
Store Incident Опции отслеживания Store Incident (Хранение происшествия) определяют, как данные, соответствующие DLP правилу, хранятся (или не хранятся). Доступны следующие опции:
Опция хранения Значение Yes (Да) • Данные email хранятся как файл .eml • FTP данные хранятся в формате.zip • HTTP • Текст, введенный на веб-странице, сохраняется как HTML и просматривается в браузере по умолчанию, когда данные открываются через ссылку в SmartView Tracker или SmartEvent. • Загруженный файл хранится в формате.zip Примечание: Для FTP и HTTP хранятся только элементы сообщения, которые нарушают DLP правила. Only as Text • Текстовые данные, извлеченные из email (заголовок и тело) и вложение хранятся как (Только как текст) HTML, но только те разделы, которые вызвали нарушение. • FTP данные хранятся в формате.zip • HTTP • Текст, введенный на веб-странице, сохраняется как HTML и просматривается в браузере по умолчанию, когда данные открываются через ссылку в SmartView Tracker или SmartEvent. • Загруженный файл хранится в формате.zip Примечание: Для FTP и HTTP только элементы сообщения, нарушающие DLP правила, показываются на HTML странице, представленной SmartView Tracker или SmartEvent. Don't Store (Не При соответствии правилу происшествие регистрируется, и данные удаляются, чтобы их хранить) нельзя было посмотреть через SmartView Tracker или SmartEvent. Примечание: Удаление данных можно предотвратить другими опциями хранения. Если сканированное сообщение соответствует нескольким опциям хранения происшествия, преимущество имеет опция с наибольшим приоритетом with: Опция хранения Приорите происшествия т Delete (Удалить) 1 Yes (Да) 2
Data Loss Prevention Руководство администратора R75.40VS | 67 Готовое решение Only as Text (Только как 3 текст) Don't Store (Не хранить) 4
Delete (Удалить) Регистрирует происшествие и немедленно удаляет данные. Выберите этот пример для конфиденциальных данных, например, номеров кредитных карт. Примечание: Если email, содержащий конфиденциальные данные, также имеет вложение, на которое необходимо поставить водяной знак, email не удаляется. Email сохраняется, не его нельзя просмотреть с помощью SmartView Tracker или SmartEvent.
Разрешение конфликтов хранения происшествий Если сканированное сообщение соответствует нескольким различным DLP правилам, и каждое правило имеет отличающуюся опцию хранения, преимущество имеет опция с наивысшим приоритетом. Например, если email соответствует следующим правилам:
Правило Опция хранения Приорите происшествия т Rule_1 Only as text 3 Rule_2 Да 2 Rule_3 Don't store 4
Опция хранения происшествия, относящаяся к Rule_2, имеет наивысший приоритет. Данные будут храниться, даже несмотря на то, что email соответствует правилу (Rule_3), настроенному на удаление данных. Изменение приоритета Опцию хранения Only as Text (Только как текст) можно настроить, чтобы она имела более высокий приоритет, чем Yes (Да). Чтобы изменить приоритет: 1. На шлюзе откройте: $DLPDiR/config/dlp.conf
2. Каждый протокол сообщения имеет свой раздел. Например:
) ftp ( :enabled (1) :maximum_words_to_log (14) :maximum_chars_to_words_in_log (490) :cleanup_session_files (1) :save_incident_quota_percentage (85) :allow_append_cmd (0) :view_incident_dispute_option (yes) ) 2. Найдите: view incident dispute option Значение по умолчанию Yes . 3. Для всех протоколов (SMTP, FTP, HTTP) измените Yes на Text. 4. Сохраните и закройте dlp.conf.
Установка ограничения времени Колонка Time (Время) в таблице DLP правила содержит объект времени или группу объектов времени. Объект времени – это тот же объект времени, который используется в Базе правил Firewall. • Объект времени определяет:
• Период времени, во время которого исполняется DLP правило (в часах) или • Период времени, определенный датами активации и истечения. • Объекты времени применяются к каждому правилу.
Data Loss Prevention Руководство администратора R75.40VS | 68
Примечания
- DLP правило, содержащее объект времени, не будет исполняться, когда объект времени истечет. • Объекты времени не поддерживаются для устройств UTM-1 Edge и QoS. Установка DLP политики, которая содержит объект времени в правиле, закончится неудачно. • Объект, который не имеет даты активации или истечения, всегда активен.
Чтобы создать объект времени: 1. Откройте вкладку Data Loss Prevention > страницу Policy (Политика). 2. Нажмите правой кнопкой мыши на колонку Time (Время) в правиле. 3. Из всплывающего меню выберите Time (Время). Откроется окно со списком существующих объектов времени. Вы можете выбрать существующий объект или создать новый.
Примечание – Существующий объект времени можно использовать повторно.
4. Нажмите New > Time (Новый > Время). 5. Откроется окно Time Properties (Свойства времени). 6. На странице General (Общее) введите имя объекта. 7. На странице Time (Время):
a) В разделе Time Period (Период времени) настройте, когда объект времени активируется и истекает. b) В разделе Restrict to specific hour ranges (Ограничить конкретным диапазоном часов) укажите до 3 диапазонов, когда объект времени исполняет DLP правило. Во время этих периодов исполняется соответствующее DLP правило. Время, указанное здесь, относится к местному времени на Шлюзе безопасности. c) Specify days (Укажите дни). Дни, когда объект времени исполняет DLP правило. Объект времени может исполнять DLP правило каждый день, в конкретные дни недели, конкретный месяц или все месяцы. 8. Нажмите OK . Если у вас более одного объекта времени, вы можете объединить их в группу. Когда выполняется условие одного из объектов времени в группе, исполняется DLP правило. Чтобы создать объект группы времени: 1. Откройте вкладку Data Loss Prevention > страницу Policy (Политика). 2. Нажмите правой кнопкой мыши на колонку Time (Время) в правиле. 3. Из всплывающего меню выберите Group (Группа). Откроется окно Time Group (Группа времени). 4. Введите имя группы. 5. Add (Добавьте) или Remove (Удалите) объекты времени из группы. 6. Нажмите OK .
Поддерживаемые типы архивов Блейд DLP поддерживает извлечение и сканирование следующих типов сжатых архивов: • zip • zip-exe • gzip • rar • tar • jar • 7z
Готовое решение Выборочное развертывание – Шлюзы Для любого правила в политике вы можете выбрать, чтобы оно было развернуто на конкретных исполняющих шлюзах.
Чтобы развернуть правило на конкретных исполняющих DLP шлюзах: 1. В SmartDashboard откройте Data Loss Prevention > Policy (Data Loss Prevention > Политика). 2. В интересующем правиле нажмите на плюс в колонке Install On (Установить на). В меню появятся определенные DLP шлюзы. 3. Выберите шлюзы, на которых вы хотите развернуть это правило. 4. Выполните Install Policy (Установить политику) на шлюзе DLP:
Выборочное развертывание – Протоколы Check Point Data Loss Prevention поддерживает различные протоколы передачи данных. Рекомендуется активировать протоколы, необходимые для вашего развертывания. Начните с единственным SMTP. Понаблюдайте за журналами по обнаруженным email сообщениям и действиями пользователей по их обработке. Затем добавьте к политике FTP. Для email сообщений и больших загрузок, пользователи не ожидают немедленного ответа. Они могут обрабатывать происшествия в Портале Portal или клиенте UserCheck для email сообщений и загрузок без нарушения их работы, особенно если ваши пользователи знают, чего ожидать и как обрабатывать происшествия. HTTP, который включает посты на веб-сайтах, комментарии на медиа сайтах, блоги и веб-почту – это другой вопрос. Пользователи ожидают, что когда они нажимают Enter, их слова отсылаются и получаются немедленно. Если сотрудник использует HTTP для критично важной работы, необходимость решения, можно ли отсылать предложение или нет, каждый раз, будет крайне мешать. Следовательно, рекомендуется активировать HTTP только после того, как вы провели анализ использования и происшествий. Вы можете также активировать проверку для email сообщений Exchange Agent (“Конфигурация Exchange Security Agent” на странице 38) и HTTPS протокола.
Чтобы выбрать развертывание протокола для всех шлюзов: 1. В SmartDashboard откройте Data Loss Prevention. 2. Разверните Additional Settings (Дополнительные настройки) и нажмите Protocols (Протоколы). 3. Уберите флажок из поля любых протоколов, которые вы не хотите проверять. Важно - Если вы уберете флажок из всех полей протоколов, Data Loss Prevention действовать не будет.
Чтобы выбрать развертывание протокола для каждого шлюза: 1. В SmartDashboard откройте вкладку Firewall. 2. В списке Network Objects (Объекты сети) дважды нажмите на шлюз. Откроется окно свойств шлюза. 3. В General Properties > Software Blades > Network Security (Общие свойства> Программные блейды> Безопасность сети) убедитесь, чтобы было выбрано Data Loss Prevention. 4. Откройте страницу Data Loss Prevention. 5. В области Protocols (Протоколы) выберите одно из следующего:
• Apply the DLP policy on the default protocols (Применить DLP политику на протоколах по умолчанию) – как выбрано во вкладке Data Loss Prevention, согласно предыдущей процедуре. • Apply the DLP policy to these protocols only (Применить DLP политику только на этих протоколах) – выберите протоколы, которые должен проверять этот шлюз для политики Data Loss Prevention. Аудит и анализ В процессе Предотвращения утечки данных необходим анализ происшествий. Перед тем как вы начнете, убедитесь, что строгость правил политики настроена точно. При аудите правил с помощью SmartView Tracker и SmartEvent, используйте флажок Follow Up (Наблюдение). Если вы найдете происшествие или ряд происшествий, которые вы хотите точно настроить, или по которым вы сомневаетесь насчет наилучшего действия, вы можете установить тип данных или правило на Follow Up (Наблюдение).
Data Loss Prevention Руководство администратора R75.40VS | 70 Готовое решение Страница Overview (Сводные данные) Data Loss Prevention в SmartDashboard предлагает быструю ссылку на типы данных и правила, которые отмечены для Follow Up (Наблюдение).
Использование SmartView Tracker DLP шлюз издает журналы для различных событий.
Чтобы открыть SmartView Tracker: 1. В SmartDashboard выберите Window > SmartView Tracker (Окно > SmartView Tracker). 2. Во вкладке Network & Endpoint (Сеть и конечная точка) разверните Predefined > Data Loss Prevention Blade (Предопределенное > Блейд Data Loss Prevention). Журналы Data Loss Prevention категорируются для фильтрации. Чтобы посмотреть дополнительную информацию: 1. Дважды нажмите на элемент в окне журнала. Откроется окно Record Details (Подробные данные о записи). 2. Нажмите DLP Log (DLP журнал). Откроется окно DLP Record Details (Подробные данные о DLP записи), отображая дополнительную информацию о происшествии в легко читаемом формате, со ссылками на вкладку Data Loss Prevention в SmartDashboard или на конкретную информацию по типу данных. Из журнала конкретного происшествия вы можете открыть фактические данные, которые привели к происшествию. Вам не нужно пересматривать большую часть происшествия вручную, для вас хранится изначальная передача (например, email сообщение или его вложение) на случай вопросов от отправителя и владельцев данных. Поскольку личные email сообщения и веб-посты могут быть перехвачены и храниться для просмотра, вы должны дать пользователям понять, что это может произойти. Невыполнение этого условия может привести к проблемам вашей организации с местными законами о неприкосновенности личной жизни.
Примечание – Чтобы посмотреть DLP происшествия в SmartView Tracker или приложении SmartEvent SmartConsole на компьютере с Windows 7, требуется Microsoft Office 2010. DLP происшествия могут не отображаться, если происшествия (которые в формате файла EML) ассоциируются с любым другим приложением.
DLP Действия
Действия SmartView Tracker для DLP происшествий включают:
DLP Действие Описание Ask User (Спросить DLP происшествия перехвачены и помещены в карантин, пользователя попросили пользователя) решить, что делать. Do not Send (Не Пользователь решил сбросить передачу, которая была перехвачена DLP. отправлять) Администратор с полными разрешениями или с разрешением Просмотра/Отправки/Сброса DLP сообщений, может также сбросить эти передачи. Пользователю отсылается email уведомление. Send (Отправить) Пользователь решил продолжить передачу после того, как DLP уведомило, что она может содержать конфиденциальные данные. Администратор с полными разрешениями или с разрешением Просмотра/Отправки/Сброса DLP сообщений, может также решить продолжить передачу. Пользователю отсылается email уведомление. Quarantine Expired Передача данных, перехваченная DLP, не может быть отправлена, потому что (Карантин истек) пользователь не принял решения вовремя. Истекшие происшествия можно просматривать, пока они не будут удалены (обычный процесс очистки). Prevent (Предотвратить) DLP передача заблокирована. Allow (Разрешить) DLP передача разрешена; обычно ввиду исключения из правила. Inform User DLP передача была обнаружена и разрешена, а пользователь уведомлен. (Информировать пользователя) Deleted Due To Quota DLP происшествия удаляются со шлюза для освобождения места. (Удален по причине квоты)
Data Loss Prevention Руководство администратора R75.40VS | 71 Готовое решение Общие колонки DLP Для DLP происшествий могут отображаться некоторые или все из следующих колонок, и они доступны для всех администраторов.
DLP колонки Описание Incident UID (ГШВ Уникальный ID происшествия. происшествия) DLP Action Reason Причина действия. Возможные значения: Rule Base (База правил), Internal Error (Причина DLP действия) (Внутренняя ошибка), Prior User Decision (Предварительное решение пользователя) Related Incident (Связанное ID внутреннего происшествия, связанного с текущим журналом. происшествие) DLP Transport (DLP Протокол трафика происшествия: HTTP, FTP, Email. транспорт)
Использование UID происшествия в качестве ключа между несколькими журналами:
Каждое DLP происшествие имеет уникальный ID, включенный в журнал и отсылаемый пользователю в составе email уведомления. Действиям пользователя (Send (Отправить), Do not Send (Не отправлять)) назначаются тот же UID происшествия, который был назначен исходному журналу DLP происшествия. Если пользователь/администратор посылает email сообщение с DLP нарушением, а затем решает удалить его, генерируются два журнала. Первый журнал – это журнал DLP происшествия с действием Ask User (Спросить пользователя), и ему назначается UID происшествия. После действия пользователя генерируется второй журнал с тем же UID, с действием Do not Send (Не отправлять). Каждый совпавший тип данных генерирует свой собственный журнал. Шлюз обеспечивает, чтобы все журналы типов данных одного происшествия показывали один и тот же уникальный UID происшествия и действие правила (Prevent (Предотвратить), Ask (Спросить), Inform (Информировать) или Detect (Обнаружить)). Это также происходит, если типы данных были сопоставлены по разным правилам. То же действие, показываемое для происшествия, является самым ограничивающим. Например, в случае если передача соответствует двум типам данных. Каждый тип данных используется в отдельном правиле. Действие одного правила – Prevent (Предотвратить). Действие другого правила – Detect (Обнаружить). Два журнала, которые сгенерировались, покажут Prevent (Предотвратить) в качестве действия. Реализованным действием будет Prevent (Предотвратить). Журнал правила Detect (Обнаружить) отобразит Rule Base (Action set by different rule) (База правил (Действие, установленное другим правилом)) в колонке DLP Action Reason (Причина DLP действия).
Колонки DLP ограниченного доступа
Следующие колонки доступны только администраторам с разрешениями. Фильтры ограниченного Описание использования DLP Rule Name (Имя DLP Имя DLP правила, с которым совпало происшествие. правила) DLP Rule UID (UID DLP Внутренний ID правила DLP правила, с которым совпало происшествие. правила) Data Type UID (UID типа Внутренний ID типа данных, с которым совпало правило. данных) Data Type Name (Имя типа Имя совпавшего типа данных. данных) User Action Comment Комментарий, данный пользователем при выпуске происшествия из Портала. (Комментарий по действию пользователя) DLP Recipients (DLP Для SMTP трафика – список получателей перехваченного email сообщения. получатели) Scanned Data Fragment Сами перехваченные данные: email сообщение и вложение SMTP, файла FTP (Фрагмент сканированных или HTTP трафик. данных) Message to User (Сообщение Сообщение, отправляемое, согласно настройке администратора, для пользователю) правила, с которым совпало происшествие. DLP Categories (DLP Категория типа данных, с которым совпало происшествие. категории) DLP Words List (Список DLP Включал ли тип данных, с которым совпало происшествие, список слов слов) (ключевые слова, словарь и т.д.) – список слов совпадения.
Data Loss Prevention Руководство администратора R75.40VS | 72 Готовое решение Фильтры ограниченного Описание использования Mail Subject (Тема письма) Для SMTP трафика, тема перехваченного email сообщения.
Использование SmartEvent SmartEvent предлагает улучшенные инструменты анализа с фильтрацией, графиками, отчетами, статистикой и многим другим, для всех событий, проходящих через активированные Шлюзы безопасности. SmartEvent сочетает все журналы DLP одного и того же происшествия (все совпавшие правила и типы данных, а также действие пользователя, если применимо) в едином событии. Вы можете отфильтровать конкретную информацию Data Loss Prevention для эффективного отслеживания и надлежащего составления отчетов по DLP происшествиям. • Графики и отчеты Data Loss Prevention происшествий реального времени и за прошлые периоды
• Графические временные шкалы происшествия для быстрого получения информации • Легко настраиваемые представления для быстрого реагирования на конкретные запросы
• Рабочий процесс управления происшествиями • Отчеты владельцам данных по расписанию Чтобы открыть SmartEvent:
1. В SmartDashboard выберите Window > SmartEvent (Окно > SmartEvent). 2. Когда SmartEvent откроется откройте Events (События). 3. Выберите Predefined > DLP (Предопределенное > DLP) или любую из категорий данных анализа в DLP.
Data Loss Prevention Руководство администратора R75.40VS | 73
Глава 5
Уведомления Владельцу данных и
пользователю
В этой главе Владельцы данных 74 Подготовка внутриорганизационных руководящих указаний 75 Общение с Владельцами данных 75 Общение с Пользователями 76 Уведомление Владельцев данных 76 Уведомление Пользователей 77 Настройка уведомлений 77 Установка Правил на Ask User 78 DLP Портал 79 UserCheck уведомления 80 Управление правилами в Ask User 80 Режим обучения 80
Владельцы данных Лица, ответственные за данные, например, менеджеры или руководители группы, имеют конкретную ответственность, лежащую за пределами ответственности обычных пользователей. Каждый Владелец данных должен обсудить с вами типы защищаемых данных и типы данных, которые можно отсылать вне компании. Например, согласно эвристике, может показаться логичным, что за пределы вашей организации исходный код посылаться не должен; но Владелец данных объясняет, что ее команде нужно послать фрагменты кода внешней технической поддержке для устранения проблем. Добавьте эту информацию в список типов данных, которые контролирует этот Владелец данных, и создайте Исключение из правила для этого типа данных, отправляемых этой командой на домен технической поддержки. Когда регистрируются DLP происшествия, DLP шлюз может посылать автоматические уведомления Владельцам данных. Например, настройте уведомления для Владельцев данных по правилам, которые имеют критичную важность. Автоматические уведомления обеспечивают, чтобы Владелец данных знал о соответствующих происшествиях и мог быстро реагировать на вопросы, входящие в зону их ответственности. Чтобы определить владельцев данных: 1. В SmartDashboard откройте вкладку Data Loss Prevention > Data Types (Типы данных). 2. Дважды нажмите на тип данных в списке. Откроется окно свойств типа данных. 3. Нажмите Data Owners (Владельцы данных). 4. Нажмите Add (Добавить). Откроется окно Add Data Owners (Добавить владельцев данных). 5. Выберите пользователя или группу, ответственную за эти данные, и нажмите Add (Добавить). Если владельца данных нет в списке, нажмите New (Новый). В окне Email Addresses (Email адреса) введите имя и email адрес владельца данных (или назовите список email адресов). 6. Добавьте столько владельцев данных, сколько требуется. 7. Нажмите OK .
Data Loss Prevention Руководство администратора R75.40VS | 74 Уведомления владельцу данных и пользователям Подготовка внутриорганизационных руководящих указаний Дайте пользователям ознакомиться с логическими руководящими указаниями по передаче и защите данных. Например, внутриорганизационные руководящие указания должны обеспечивать, чтобы ваша организация соответствовала законодательным нормам (например, законы о неприкосновенности частной жизни), и защищает интеллектуальную собственность. В частности, вы должны защищать вашу организацию от юридических вопросов в компаниях и местах, где email сообщения сотрудников защищены от возможности вскрытия другими лицами. В большинстве случаев, если вы скажете вашим пользователям, что любое email сообщение, нарушающее DLP правило, будет перехвачено и может быть просмотрено, вы выполните требования законодательства. Вы можете включить ссылку на внутриорганизационные руководящие указания в DLP уведомления пользователям и Владельцам данных. Когда у вас будет готова страница руководящих указаний, измените DLP шлюз, чтобы он вел прямо на руководящие указания. Чтобы изменить DLP шлюз, чтобы он вел на ваши внутриорганизационные руководящие указания: 1. На шлюзе откройте: $DLPDIR/config/dlp.conf 2. Найдите параметр co rporate info link и измените значение, чтобы оно представляло собой URL ваших внутриорганизационных руководящих указаний (формат = http://www.example.com). 3. Сохраните файл и закройте его. 4. Выполните Install Policy (Установить политику) на шлюзе DLP.
Общение с Владельцами данных Перед установкой первой политики пошлите email сообщение Владельцам данных: • Объясните ответственность Владельца данных за защиту данных. • Предоставьте пример автоматического уведомления и обсудите руководящие указания по реакции на происшествия. • Попросите Владельцев данных предоставить типы данных, которые они хотят защитить, и исключения. • Заранее решите, какие исключения вы не хотите разрешать. Например, вы можете создать руководящее указание DLP, согласно которому никто не может посылать защищенные данные на домашние email адреса. Наличие общеорганизационных руководящих указаний должно предотвратить конфликты, если Владелец данных делает запрос, не являющийся надлежащей деловой практикой; вы можете обратить внимание Владельца данных на руководящие указания, вместо того чтобы отклонить запрос лично. Вы несете ответственность за баланс между уведомлением Владельца данных каждый раз, когда происходит происшествие – что может утомлять человека и снизить эффективность системы – и уведомлять Владельца данных в недостаточной мере. Система уведомлений должна помочь Владельцам данных сохранять контроль над их данными и помочь разрешить вопросы возможной утечки.
Действие Рекомендация для уведомления Владельца данных правила Detect В целом, вам не следует уведомлять Владельцев данных по Правилам Detect (Обнаружить) (Обнаружить). Inform User Иногда Владельцы данных хотят знать, какие данные отсылаются, но не готовы отложить (Информировать или предотвратить передачу. Уведомление об этих происшествиях зависит от пользователя) потребностей Владельцев данных. Ask User Пользователь обрабатывает эти происшествия в Портале самообработки происшествий. (Спросить Нужно ли уведомить Владельца данных – зависит от строгости правила и предпочтений Пользователя) конкретных Владельцев данных. Prevent Любое правило, которое достаточно строго, чтобы оправдать немедленную блокировку (Предотвратить) передачи, часто является достаточным, чтобы оправдать уведомление Владельца данных.
Data Loss Prevention Руководство администратора R75.40VS | 75 Уведомления владельцу данных и пользователям Общение с Пользователями Рекомендуется, чтобы перед тем как вы установите первую политику, вы сообщили всем пользователям в организации, как работает DLP политика. Пошлите email сообщение со следующей информацией: Объявите дату, когда политика начала или начнет работать. Сообщите им, что действие политики распространяется на email сообщения, загрузки и веб посты. Сообщите им, что такие передачи данных будут перехватываться и прочитываться другими лицами, если они будут нарушать DLP правила. Сообщите им, что ожидается, что каждый пользователь будет реагировать на уведомления, обрабатывать происшествия и узнавать из происшествия о корпоративной политике. Возможно, включите скриншот Портала самообработки происшествий и дайте инструкции об опциях, которые есть у пользователей. Сообщите им, что администраторы с разрешениями могут посылать или сбрасывать передачи, помещенные в карантин. Они будут уведомлены по email, когда это произойдет. Дайте ссылку на корпоративную политику. Сообщите им, что неследование конкретным правилам приведет к отсылке руководителям уведомления, содержащего имя пользователя и тип данных, подвергшихся утечке. Дайте время истечения периода (по умолчанию 7 дней) обработки происшествий. После установки политики вы можете установить автоматическое уведомление (в рамках каждого правила) пользователей о происшествиях. При этом исполняются руководящие указания, и пользователям объясняется, что происходит и почему, когда вопрос касается этих данных. Когда пользователь выполняет действие, соответствующее правилу, DLP обрабатывает сообщение и регистрирует его автоматически. Уведомление о DLP нарушениях, отсылаемое пользователям, представляет собой email сообщение или всплывающее окно из клиента в трее. В нем описывается неразрешенное действие и может содержаться ссылка на внутриорганизационные руководящие указания и на портал самообработки происшествий. Другие действия зависят от строгости и действия совпавшего правила.
Действие Рекомендуемый вид сообщения правила Detect В целом, вам не следует уведомлять Владельцев данных по Правилам Detect (Обнаружить) (Обнаружить). Inform User Передачи проходят по Inform (Информировать), но уведомления на этом этапе помогают (Информироват пользователям подготовиться к более строгим правилам в будущем. ь пользователя) Ask User Общение для этого типа правила обязательно. Пользователь должен решить, как (Спросить обработать передачу. Уведомления о происшествиях Ask User (Спросить пользователя) Пользователя) должны включать ссылку на Портал, чтобы позволить пользователю выполнить соответствующую опцию обработки. Ссылка на внутриорганизационные руководящие указания также должна быть включена. Prevent Email сообщение такого типа правила не предлагает опций обработки, но предоставляет (Предотвратить необходимую информацию. ) Пользователь должен знать, что передача не удалась. Кроме того, событие должно научить пользователя, и он должен изменить свою логику действий, приведшую к происшествию.
Уведомление Владельцев данных DLP может посылать автоматические уведомления Владельцам данных, если имеет место происшествие, в котором задействован тип данных, за который ответственны Владельцы данных.
Чтобы настроить уведомление Владельцам данных: 1. В Data Loss Prevention > Data Types (Data Loss Prevention > Типы данных) определите владельцев данных типа данных. 2. Откройте Data Loss Prevention > Policy (Data Loss Prevention > Политика). 3. Нажмите правой кнопкой мыши на колонку Track (Отслеживать) в правиле и выберите Email. Откроется окно Email. 4. Выберите поле с флажком. Data Owners выбрано по умолчанию.
Data Loss Prevention Руководство администратора R75.40VS | 76 Уведомления владельцу данных и пользователям Если вы хотите, чтобы уведомление было послано и другим, нажмите кнопку плюса и выберите пользователей или группы в окне Add Recipients (Добавить получателей). 5. Внесите текст, который будет показываться в email сообщении. Текст по умолчанию: The Data Loss Prevention blade has found traffic which matches a rule 6. Нажмите OK .
Уведомление Пользователей Пока пользователи знакомятся с Руководящими указаниями Организации, исполняемыми DLP шлюзом, воспользуйтесь инструментами самообучения. Огромное большинство утечек данных происходит непреднамеренно, поэтому автоматические объяснения или напоминания, когда нарушается правило, должны существенно уменьшить количество утечек данных за сравнительно недолгое время. Вы можете установить правила Data Loss Prevention политики на Inform User (Информировать пользователя) – пользователь получит автоматическое объяснение, почему эти данные защищены от утечек – но сейчас трафик пропускается, обеспечивая минимальное вмешательство. Вы можете также установить правила, чтобы пользователя спрашивали, что необходимо сделать с перехваченными данными – отправить их или удалить.
Чтобы настроить уведомление пользователя: 1. Откройте Data Loss Prevention > Policy (Data Loss Prevention > Политика). 2. В колонке Action (Действие) изменяемого правила нажмите правой кнопкой мыши и выберите Inform User (Информировать пользователя) или Ask User (Спросить пользователя). Настройка уведомлений Настройте уведомления, отсылаемые пользователям, чтобы они соответствовали культуре и потребностям вашей организации. Сохраняйте безличный и неосуждающий формат. Сконцентрируйтесь на вопросе и на помощи пользователю в изменении их будущей логики действий при обработке конкретного происшествия. Пользователь может видеть любое из следующего:
• Отправителем является ваш корпоративный адрес доставки почты.
• Данные во вложении (если это email сообщение).
• Тема/заголовок, который сообщает пользователю, что это происшествие следует обработать быстро. • Если данные были в zip файле, в email сообщении перечисляются zip файлы и объясняется, почему их не следует передавать.
• Объяснение того, что происходит. Например: The message is being held until further action. Рекомендуется, чтобы вы объяснили, что данные могут быть прочтены другими людьми, в целях защиты данных организации или соблюдения правовых норм. • Ссылки на портал самообработки происшествий, чтобы продолжить, сбросить или просмотреть нарушающую передачу. • Ссылка на общеорганизационные руководящие указания о защите информации.
• Основное тело email сообщения объясняет правило. Например: The attached message, sent by you, is addressed to an external email address. Our Data Loss Prevention system determined that it may contain confidential information. Вы можете изменить этот текст, введя сообщение, которое вам нужно. Вы можете включить следующие переменные для предоставления конкретной информации: Синтаксис переменной Описание %_part_name_% Расположение данных, попавших под нарушение: Email's Body (Тело письма) или имя вложения %_rule_name_% Имя правила, которому соответствует передача %_data_objects_% Имя типов данных, представляющих совпавшие данные в передаче
Data Loss Prevention Руководство администратора R75.40VS | 77 Уведомления владельцу данных и пользователям Следующие переменные применяются к email сообщениям, которые соответствуют правилам Unintentional Recipient (Случайный получатель) или External BCC (Внешний ВСС).
Синтаксис переменной Описание %_internal_recipients_num_% Количество предполагаемых получателей в My Organization (Моей Организации) %_external_recipient_% Список внешних адресов ([email protected]) в пункте назначения Пример: You sent an email that is in violation of %_rule_name_% because it contains %_data_objects_% and is to be sent to an address outside of the organization: % external recipient % Настройка уведомлений Владельцам данных Чтобы изменить текст уведомления Владельцам данных: 1. Откройте Data Loss Prevention > Policy (Data Loss Prevention > Политика). 2. Нажмите правой кнопкой мыши на колонку Track (Отслеживать) в правиле и выберите Email. Откроется окно Email. 3. Измените текст, вставив ваше собственное сообщение для правила. Настройка уведомлений для самообработки Чтобы изменить текст уведомления, чтобы пользователи обработали происшествие: 1. Откройте Data Loss Prevention > Policy (Data Loss Prevention > Политика). 2. Нажмите правой кнопкой мыши на колонку Action (Действие) в правиле и выберите Edit Properties (Редактировать свойства). Эта опция доступна для всех действий, кроме Detect (Обнаружить), потому что пользователям не следует знать о правилах, соответствующих этому действию. Измените действие на Inform User (Информировать пользователя), если вы хотите уведомить пользователя и все равно пропустить данные. 3. В открывшемся окне измените текст, вставив ваше собственное сообщение для правила the. Вы можете использовать текст или переменные. Установка Правил на Ask User Действие правила Ask User (Спросить пользователя) предлагает пользователю UserCheck, проверки безопасности непреднамеренно распространяемых данных. Это действие предлагает пользователям автоматизированное обучение. Когда пользователь пытается передать защищенные данные, DLP перехватывает данные и уведомляет пользователя. Уведомление (по email или в виде всплывающего окна клиента UserCheck на машинах пользователей) объясняет политику о передаче этих данных и предлагает ссылки для обработки происшествия.
Важно – Почтовый сервер должен мочь действовать как почтовый транслятор. Это позволит пользователям отправить (Send) email сообщения, которые перехватил DLP по правилам Ask User (Спросить пользователя). Почтовый сервер должен быть сконфигурирован так, чтобы доверять DLP шлюзу (“Конфигурация почтового транслятора” на странице 23).
Чтобы установить правило спрашивать пользователя: 1. Откройте Data Loss Prevention > Policy (Data Loss Prevention > Политика). 2. Нажмите правой кнопкой мыши на колонку Action (Действие) в правиле и выберите Ask User (Спросить пользователя). Правила Ask User (Спросить пользователя) зависят от получения пользователями уведомления и наличия опций либо Send (Отправить), либо Discard (Сбросить) сообщение. Перед выполнением Install Policy (Установить политику) с новыми правилами Ask User (Спросить пользователя), убедитесь, что DLP шлюз установлен на опции Ask User (Спросить пользователя). Чтобы установить шлюз на правила Ask User (Спросить пользователя): 1. Откройте Data Loss Prevention > Gateways (Data Loss Prevention > Шлюзы). 2. Выберите DLP шлюз и нажмите Edit (Редактировать). Откроется окно свойств шлюза. 3. В списке страниц левой панели нажмите Data Loss Prevention. 4. В области DLP Portal (DLP Портал) выберите Activate DLP Portal for Self Incident Handling (Активировать DLP Портал для самообработки происшествий).
Data Loss Prevention Руководство администратора R75.40VS | 78 Уведомления владельцу данных и пользователям 5. В списке страниц левой панели нажмите Data Loss Prevention > Mail Relay (Data Loss Prevention > Почтовый транслятор). 6. Выберите почтовый сервер, который будет использовать DLP шлюз для отправки email уведомлений. 7. Нажмите OK . DLP Портал Целью Check Point Data Loss Prevention является управляемая пользователями обработка происшествий, которые соответствуют созданным вами правилам. Если пользователь пытается отправить данные, которые не должны передаваться вне вашей организации, пользователю отсылается уведомление. Это email сообщение или оповещение включает ссылку на Портал самообработки происшествий. Там пользователь может объяснить, почему email сообщение должно быть послано; или осознав важность неотправки email сообщения, решить его сбросить. Этот уникальный метод самообучения Data Loss Prevention уменьшает распространённую утечку по причине непреднамеренных нарушений правил. Это решение также уменьшает эксплуатационные расходы. Ваши пользователи (и ваш анализ их использования) становятся экспертами, управляющими вашими настройками Data Loss Prevention, и это лучше, чем гораздо более времяемкие и ресурсоемкие решения по найму экспертов со стороны. DLP портал – это веб портал, располагающийся на DLP Шлюзе безопасности. Администратор SmartDashboard настраивает URL DLP портала в Мастере Data Loss Prevention. По умолчанию, URL https://
Как Пользователя входят в Портал самообработки происшествий Пользователи могут зайти в портал одним из следующих способов: Нажав на ссылку в email уведомлении DLP Нажав на ссылку в уведомлении клиента UserCheck Прямо перейдя по URL DLP портала. URL по умолчанию: https://
Data Loss Prevention Руководство администратора R75.40VS | 79 Уведомления владельцу данных и пользователям UserCheck уведомления Если вы настроите и установите клиент UserCheck на машинах пользователей, всплывающие уведомления будут показываться в области уведомлений. Эти всплывающие уведомления отображают ту же информацию, что и email уведомления. Если происшествие в режиме Ask User (Спросить пользователя), всплывающие уведомления содержат ссылки Send (Отправить), Discard (Сбросить) и Cancel (Отменить). Пользователи могут обработать происшествия прямо из UserCheck, без перехода в DLP Портал. Если пользователи нажмут Cancel (Отменить), они могут обработать происшествие позже из email сообщения или через Портал самообработки происшествий. Управление Правилами в Ask User Вы можете проводить аудит происшествия и решений, принятых пользователем в портале. Имея эту информацию, вы можете быстро понять, какие правила следует конкретизировать, где требуются исключения, и нужно ли правило перевести в Prevent (Предотвратить). Ваши пользователи становятся экспертами в защите информации, просто используя Портал. Для пересмотра этих действий: 1. В SmartDashboard выберите Window > SmartView Tracker (Окно > SmartView Tracker). 2. Во вкладке Network & Endpoint (Сеть и конечная точка) разверните Predefined > Data Loss Prevention Blade (Предопределенное > Блейд Data Loss Prevention). 3. Нажмите User Actions (Действия пользователей). Режим обучения DLP может распознавать ветки email сообщений или HTTP посты и адаптировать политику, нежели чем просить пользователей обрабатывать каждое email сообщение или HTTP пост.
Emails Например, возникло соответствие правилу Ask User (Спросить пользователя). Пользователь получает уведомление, что email сообщение было перехвачено DLP. Пользователь решает отправить email сообщение и дает описание, почему. DLP кэширует тему и список получателей email сообщения. Пока пользователь отправляет email сообщения в той же ветке, DLP будет разрешать email сообщения. Пользователь дает одно объяснение, почему ветка должна быть разрешена, если в каждом сообщении имеется содержимое предыдущих сообщений. Объяснение дается один раз для каждой ветки email сообщений, для каждого правила. Объяснение применимо в течение недели. После истечения недели пользователь снова получает уведомление. Если пользователь отправляет новое нарушение в той же ветке, DLP отправляет новое уведомление пользователю. По умолчанию, режим обучения для Email не активен. Если DLP сканирует трафик Exchange, то режим обучения также применяется к email сообщениям Exchange.
HTTP посты Режим обучения для HTTP постов работает так же, как режим обучения для email сообщений. Пользователь дает одно объяснение, почему пост на сайт должен быть разрешен, если в посте имеется содержимое предыдущих постов. Объяснение дается один раз для каждого HTTP поста на сайт, для каждого правила. Объяснение применимо в течение часа. Спустя час пользователь снова получает уведомление. Если пользователь постит новое нарушение на тот же сайт, DLP уведомляет пользователя и спрашивает снова. По умолчанию, режим обучения для HTTP не активен. Если активирована HTTPS проверка, то режим обучения также применяется к HTTPS постам. Чтобы настроить режим обучения для веток email сообщений и HTTP постов: 1. Откройте Data Loss Prevention > Additional Settings > Advanced > Learn User Actions (Data Loss Prevention > Дополнительные настройки > Расширенные настройки > Запоминать действия пользователя). 2. Выберите соответствующие опции: • Email – Когда вы выбираете это поле, пользователь принимает одно решение для целой ветки, и это решение применяется ко всем сообщениям одной ветки. Когда вы убираете флажок из этого поля, пользователю сообщается обо всех сообщениях, которые соответствуют DLP правилу, даже если сообщение имеет текст, переносящийся из более давнего сообщения. Это поле по умолчанию не выбрано. Когда DLP сканирует email сообщения Exchange, режим обучения также применяется к трафику Exchange.
Data Loss Prevention Руководство администратора R75.40VS | 80 Уведомления владельцу данных и пользователям • Web - Когда вы выбираете это поле, пользователь принимает одно решение для поста на сайте, и это решение применяется ко всем постам, имеющим содержимое предыдущих постов за прошедший час. Когда вы убираете флажок из этого поля, пользователю сообщается обо всех постах, которые соответствуют DLP правилу, даже если пост имеет текст, переносящийся из более давнего поста. Это поле по умолчанию не выбрано. Когда активирована HTTPS проверка, режим обучения также применяется к HTTPS постам.
Data Loss Prevention Руководство администратора R75.40VS | 81
Глава 6
Data Loss Prevention по сценарию
В этой главе
Аналитическое развертывание 82 Создание новых Правил 82 Аналитическое развертывание После проведения аудита происшествий, идентифицированных правилами на основе эвристики вы начнете понимать потребности вашей организации. Вы можете добавить больше типов данных в DLP политике для соответствия известным сценариям. Вы можете установить больше правил DLP политики на Ask User (Спросить пользователя), чтобы собирать данные обработки происшествий от пользователей и лучше анализировать их потребности. • Автоматическая проверка данных на основе эвристики Check Point. Вы можете комбинировать предоставленные типы данных, чтобы сделать вашу политику строже или создать Исключения, чтобы разрешить конкретные условия. • Правила на этом этапе будут установлены на Ask User (Спросить пользователя), позволяя вашим пользователям запоминать, что приемлемо, а что нет, улучшать точность и предоставлять объяснения их решениям самообработки. • В SmartView Tracker вы можете посмотреть действия самообработки и объяснения пользователей. Создание новых Правил Создайте правила, составляющие DLP политику. На этом этапе, перед созданием ваших собственных типов данных, вы можете использовать любые из многочисленных встроенных типов данных.
Чтобы создать DLP правила: 1. В SmartDashboard откройте вкладку Data Loss Prevention > Policy (Политика). 2. Нажмите New Rule (Новое правило). В таблице базы правил откроется новая строка. Порядок правил в DLP политике не имеет значения. Каждый DLP шлюз проверяет все установленные правила. 3. В колонке Data (Данные) нажмите на плюс, чтобы открыть селектор типа данных. Выберите тип данных, который вы хотите сопоставлять с проверяемым содержимым. Если вы добавите несколько типов данных в одно правило, они будут сопоставляться по OR (ИЛИ) – если есть соответствие как минимум одному из типов данных, есть соответствие правилу. 4. В колонке Source (Источник) оставьте My Organization (Моя Организация) или нажмите на плюс, чтобы выбрать конкретный элемент из Users (Пользователи), Emails или Networks (Сети). Примечание - Если My Organization (Моя Организация) является Source (Источник), вы можете нажать правой кнопкой мыши и выбрать Edit (Редактировать). Откроется окно My Organization (Моя Организация), в котором вы можете изменить определение вашей внутренней организации. Однако это определение изменяется для всех DLP, а не только для этого правила. 5. В колонке Destination (Пункт назначения) выберите одно из следующего:
• Оставьте Outside My Org (Вне Моей Организации) – чтобы проверять передачи данных, направляющихся в пункт назначения, который не определен в Моей Организации. • Нажмите на плюс, чтобы выбрать конкретный элемент из Users (Пользователи), Emails или Networks (Сети). • Если Source (Источник) не My Organization (Моя Организация), вы можете выбрать Outside Source (Внешний источник). Outside Source (Внешний источник) – Используется как Пункт назначения DLP правила, это значение означает любой пункт назначения, который является внешним к Источнику. Например, если Источник правила - Network_A, а Внешний источник – пункт назначения, то правило проверяет передачи данных от Network_A на любой адрес вне Network_A.
Data Loss Prevention Руководство администратора R75.40VS | 82 Data Loss Prevention о сценарию Для сравнения, если пункт назначения был бы Вне Моей Организации, то правило проверяло бы только передачи данных от Network_A на любой адрес вне организации. Используйте Внешний источник, чтобы создавать правила для передач между отделами. 6. В колонке Action (Действие) выполните одно из следующего:
• Оставьте Detect (Обнаружить) – Чтобы совпавшее происшествие зарегистрировалось без вмешательства в передачу данных • Нажмите правой кнопкой мыши и выберите Inform User (Информировать пользователя) – Чтобы пропустить передачу данных, но отослать уведомление пользователю. • Нажмите правой кнопкой мыши и выберите Ask User (Спросить пользователя) – Чтобы подождать решения пользователя о том, пропустить или сбросить передачу. • Нажмите правой кнопкой мыши и выберите Prevent (Предотвратить) – Чтобы остановить передачу данных. 7. В колонке Track (Отслеживать) оставьте Log (Журнал регистрации) (чтобы зарегистрировать происшествие и оставить его в SmartView Tracker для аудита), или нажмите правой кнопкой мыши и выберите другую опцию отслеживания. Вы можете добавить уведомление Владельцам данных: выберите Email и настройте уведомление, которое Владельцы данных увидят при соответствии этому правилу. 8. В колонке Install On (Установить на) оставьте DLP Blades (DLP блейды), чтобы это правило применялось ко всем DLP шлюзам, или нажмите на иконку плюса и выберите конкретный DLP шлюз. 9. В колонке Category (Категория) нажмите правой кнопкой мыши и выберите определенную категорию. 10. В колонке Comment (Комментарии) нажмите правой кнопкой мыши и выберите Edit (Редактировать), чтобы ввести комментарий к правилу. Внутренние Правила политики DLP Ниже примеры того, как создать различные типы правил, которые определяют, когда проверять трафик в средах, которые вы настраиваете, с помощью Exchange Security Agent (“Конфигурация Exchange Security Agent” на странице 38). Сценарий 1: Я хочу, чтобы DLP проверял финансовые отчеты, отсылаемые пользователями финансового отдела всем внутренним пользователям (кроме пользователей финансового отдела) и внешним пользователям. Как мне это сделать? • Создайте правило: Данные = Financial Reports (Финансовые отчеты) Источник = Finance Dept (Финансовый отдел) Пункт назначения = Outside Source (Внешний источник) – сопоставление правилу происходит для всех внутренних пользователей, кроме пользователей финансового отдела, и всех внешних пользователей Действие = Ask User (Спросить пользователя) Данные Источник Пункт назначения Исключения Действие Financial Reports Finance_Dept Outside Source None (Нет) Ask user (Финансовые (Финансовый отдел) (Внешний (Спросить отчеты) источник) Пользователя) В то время как это правило охватывает пример сценария, организации может потребоваться более полный охват, и у нее могут быть более строгие определения того, какой трафик разрешен и кем. Следующий сценарий включает более широкое определение источника. Сценарий 2: Как сделать, чтобы финансовые отчеты не посылались пользователями за пределы финансового отдела? 1. Создайте другое правило. Это правило применяется ко всему трафику, посылаемому всеми пользователями организации (включая пользователей финансового отдела) в любые пункты назначения. Данные = Financial Reports (Финансовые отчеты) Источник = My Organization (Моя Организация) Пункт назначения = Any (Любой) – сопоставление правилу происходит для любого пункта назначения, внутреннего и внешнего Действие = Prevent (Предотвратить) Данные Источник Пункт назначения Исключения Действие Financial Reports Finance_Dept Outside Source None (Нет) Ask user (Финансовые (Финансовый отдел) (Внешний (Спросить отчеты) источник) Пользователя) Financial Reports My Organization (Моя Any (Любой) 1 Prevent (Финансовые Организация) (Предотвратит отчеты) ь) 2. Чтобы убедиться, что отсутствуют двойные соответствия в отношении отчетов, посылаемых пользователями финансового отдела, добавьте исключение к правилу ("Создание исключений" на странице 86).
Data Loss Prevention Руководство администратора R75.40VS | 83 Data Loss Prevention по сценарию Без исключения, если пользователь финансового отдела посылает финансовый отчет кому-либо, эта передача будет соответствовать второму правилу (источник = Моя Организация) и первому правилу. Когда данные соответствуют более чем одному правилу, применяется наиболее ограничивающее действие, и создаются несколько журналов. Поэтому без исключения финансовый отчет, посланный пользователем финансового отдела, будет заблокирован на основе действия Prevent (Предотвратить) во втором правиле, и будет несколько журналов для аудита происшествия. Правило исключения:
Данные Источник Пункт назначения Протокол Financial Reports (Финансовые Finance_Dept (Финансовый отдел) Any (Любой) Any (Любой) отчеты) Чтобы подытожить результаты этих двух правил: • Действие Ask User (Спросить пользователя) применится для финансовых отчетов, посланных пользователями финансового отдела всем внутренним пользователям, кроме пользователей финансового отдела. • Действие Ask User (Спросить пользователя) применится для финансовых отчетов, посланных пользователями финансового отдела всем внешним пользователям. • Действие Prevent (Предотвратить) применится для финансовых отчетов, посланных любым пользователем, не входящим в финансовый отдел, любому внешнему или внутреннему пользователю. Сценарий 3: Финансовые отчеты могут посылаться внутри финансового отдела. Любой пользователь, который посылает финансовый отчет извне финансового отдела, получит уведомление и должен принять решение о том, что делать. Как мне это сделать? 1. Создайте правило. • Данные = Financial Reports (Финансовые отчеты) • Источник = My Organization (Моя Организация) • Пункт назначения = Any (Любой) - сопоставление правилу происходит для любого пункта назначения, внутреннего и внешнего • Действие = Ask User (Спросить пользователя)
Данные Источник Пункт назначения Исключения Действие Financial Reports My Organization (Моя Any (Любой) 1 Ask user (Спросить (Финансовые отчеты) Организация) Пользователя)
2. Добавьте исключение не включать отчеты, посланные из финансового отдела в финансовый отдел.
Данные Источник Пункт назначения Протокол Financial Reports (Финансовые Finance_Dept (Финансовый Finance_Dept Any (Любой) отчеты) отдел) (Финансовый отдел)
Дополнительные опции для Правил После установки основ правила вы можете выполнить дальнейшие настройки. Имена Правил и протоколы Имя DLP правил не видимо по умолчанию, но вам может потребоваться посмотреть или изменить имя. Например, если вы изучаете журналы правила, вы можете сопоставить имя в журнале с именем в политике. Чтобы посмотреть имена правил в политике, нажмите правой кнопкой мыши на заголовки базы правил и выберите Name (Имя). По умолчанию, все правила в DLP политике сканируют данные через протоколы, как определено в свойствах шлюза. Вы можете установить, чтобы правило сканировало только конкретные протоколы. Чтобы посмотреть протоколы правил, нажмите правой кнопкой мыши на заголовки базы правил и выберите Protocol (Протокол).
Установка строгости Правила Вы можете установить степень строгости правила. Это позволяет вам фильтровать результаты в SmartEvent and делать более точные отчеты в SmartReporter. Вы можете также сортировать и группировать Базу правил по строгости. Чтобы установить строгость правила: в колонке Severity (Строгость) оставьте Medium (Средняя) или нажмите правой кнопкой мыши и выберите уровень строгости.
Data Loss Prevention Руководство администратора R75.40VS | 84 Data Loss Prevention по сценарию Выделение Правил флажком Вы можете отметить правило флажком для различных напоминаний. Установите для правила флажок Improve Accuracy (Улучшить точность), если оно не перехватило данные так, как ожидалось. Установите для правила флажок Follow Up (Наблюдение), чтобы установить напоминание, что вы хотите работать по этому правилу или типам данных, используемых им. Вы можете перейти к отмеченным флажком правилам из Overview (Сводные данные). В Policy (Политика) вы можете группировать правила по флажкам. Например, вы создаете новое правило, используя встроенный тип данных Employee Names (Имена сотрудников). Вы знаете, что это заполняемый тип данных – вы собираетесь предоставить список имен сотрудников в вашей организации. Вы отмечаете флажком это правило для Improve Accuracy (Улучшить точность) и продолжаете работать с базой правил. Позже вы можете легко найти правило Имен сотрудников, группируя правила по флажкам или ссылке Overview (Сводные данные). Затем вы можете отредактировать тип данных, начав с Policy (Политика). Если вы импортируете типы данных из Check Point или от вашего продавца, рекомендуется отметить флажком правила, использующие эти типы данных, как Follow Up (Наблюдение), и проверить результаты этих правил в SmartView Tracker и SmartEvent как можно скорее. Благодаря этому вы получите любую требуемую помощь в понимании типов данных и способа их оптимального использования. • Чтобы установить флажок на правило: в колонке Flag (Флажок) нажмите правой кнопкой мыши и выберите значение. Журналы и события, генерируемые из правил, которые отмечены флажком как Follow Up (Наблюдение), также отмечаются как Follow Up (Наблюдение). После того как вы посмотрите журналы и события, вы можете удалить флажок Follow Up (Наблюдение).
Чтобы посмотреть журналы, сгенерированные правилами Follow Up: 1. Откройте SmartView Tracker. 2. Во вкладке Network & Endpoint (Сеть и конечная точка) откройте Predefined > DLP Blade > Follow Up (Предопределенное > Блейд DLP > Наблюдение).
Чтобы посмотреть события, сгенерированные правилами Follow Up: 1. Откройте SmartEvent. 2. Во вкладке Events (События) откройте Predefined > DLP > DLP Follow Up Events (Предопределенное > DLP > Наблюдение событий DLP). Предопределение Правил Вы можете определить правила, которые, как вам кажется, вам могут понадобиться, и деактивировать их, пока вы не захотите, чтобы они действительно сопоставляли трафик.
Чтобы деактивировать правила: 1. Откройте Data Loss Prevention > Policy (Data Loss Prevention > Политика). 2. Нажмите правой кнопкой мыши на деактивируемое правило и выберите Disable Rule (Деактивировать правило). 3. Если при этом изменится политика установки, переустановите политику DLP шлюзах.
Чтобы активировать правила: 1. Откройте Data Loss Prevention > Policy (Data Loss Prevention > Политика). 2. Нажмите правой кнопкой мыши на деактивированное правило. Оно отмечено красным red X в базе правил. 3. Нажмите Disable Rule (Деактивировать правило), чтобы убрать флажок из поля. Исключения из Правил Иногда вам может понадобиться создать исключения из правила в DLP политике. Например, клиника народного здравоохранения, которая должна соблюдать Закон о подотчетности и преемственности медицинского страхования (Health Insurance Portability and Accountability Act - HIPAA), не должна разрешить, чтобы данные о пациентах покидали закрытую сеть клиники. Однако клиника работает с определенным социальным работником в офисе в городе, у которого в интересах пациентов должны быть на руках данные. Как администратор безопасности клиники вы создаете исключение из правила, позволяя отправку этого типа данных на конкретный email адрес. Вы можете сделать даже лучше: в исключение включите второстепенный тип данных – Словарь имен пациентов, которые подписали документ, согласно которому социальный работник может посмотреть смотреть их данные. Таким образом, одним правилом вы можете сделать так, чтобы только те записи, которые разрешено смотреть социальному работнику, посылались в офис социального работника. DLP не дает никому отсылать данные на неавторизованный email адрес. Благодаря этому ни одному сотруднику клиники не приходится обращаться с личными запросами, чтобы записи были отосланы в неавторизованный пункт назначения – это сделать просто невозможно.
Data Loss Prevention Руководство администратора R75.40VS | 85 Data Loss Prevention по сценарию Создание исключений
Чтобы создать исключение из DLP правила: 1. Откройте Data Loss Prevention > Policy (Data Loss Prevention > Политика). 2. Нажмите правой кнопкой мыши на колонку Exceptions (Исключения) в правиле и выберите Edit (Редактировать). Откроется окно Exceptions for Rule (Исключения из правила). 3. Нажмите New Exception (Новое исключение). В таблице отобразятся исходные параметры правила. 4. Внесите изменения в параметры, чтобы определить исключение. 5. Установите политику на шлюз DLP. Создание исключений с группами типов данных Вы можете определить комбинацию типов данных для исключения: “allow this data if it comes with the second type of data” («разрешить эти данные, если с ними имеется второй тип данных»). Это может быть как исходный тип данных, так и другой тип данных – например, данные пациента + имя пациента, который подписался. Чтобы указать составные типы данных для Исключений: 1. В колонке Data (Данные) в исключении нажмите кнопку плюса. 2. В выпадающем списке выберите типы данных, которые будут добавлены в Исключение. 3. Выберите типы данных, которые будут добавлены в Исключение. 4. Нажмите Add (Добавить). Создание исключений для пользователей Вы можете определить, чтобы Исключение применялось к данным от конкретного пользователя, группы или сети: “allow this type of data if it comes from this person” («разрешить этот тип данных, если отправлен данным лицом»). Чтобы указать Исключения на основе отправителя: 1. В колонке Source (Источник) нажмите на кнопку плюса или нажмите правой кнопкой мыши и выберите Add (Добавить). Список отправителей включает всех определенных пользователей, группы пользователей, сети, шлюзы и узлы. Если вы выбираете какой-либо вариант, вариант My Organization (Моя Организация), выбранный по умолчанию, убирается. 2. Выберите объекты, которые определяют источник, данные из которого нужно разрешить. Примечание - Если My Organization (Моя Организация) является Source (Источник), вы можете нажать правой кнопкой мыши и выбрать Edit (Редактировать). Откроется окно My Organization (Моя Организация), в котором вы можете изменить определение вашей внутренней организации. Однако это определение изменяется для всего DLP, а не только для этого правила. Создание исключений для пунктов назначения Вы можете определить, чтобы Исключение применялось к данным, которые отправляются конкретному пользователю, группе или сети: “allow this type of data if it is being sent to this person” («разрешить этот тип данных, если он отправляется этому лицу»). Чтобы указать Исключения на основе пункта назначения: 1. В колонке Destination (Пункт назначения) нажмите на кнопку плюса. Список отправителей включает всех определенных пользователей, группы пользователей, сети, шлюзы и узлы. Если вы выбираете какой-либо вариант, вариант Outside My Org (Вне Моей Организации) (все, что не входит в My Organization (Моя Организация)), выбранный по умолчанию, убирается. 2. Выберите объекты, которые определяют пункт назначения, данные в который нужно разрешить. Создание исключений для протоколов Вы можете определить, чтобы Исключение применялось к данным, которые передаются по конкретному протоколу: “allow this data if it is being sent over this protocol” («разрешить этот тип данных, если он отправляется через этот протокол»). Чтобы указать Исключения на основе протокола 1. В колонке Protocol (Протокол) нажмите на кнопку плюса. Список протоколов включает протоколы, поддерживаемые DLP. Если вы выбираете какой-либо вариант, вариант Any (Любой), выбранный по умолчанию, убирается. 2. Выберите протоколы, данные через которые нужно разрешить.
Data Loss Prevention Руководство администратора R75.40VS | 86
Глава 7 Точная настройка
В этой главе
Индивидуальное развертывание 87 Установка Правил на Prevent 88 Определение типов данных 88 Добавление типов данных в Правила 95 Определение Email адресов 101 Установка водяного знака 102 Точная настройка источника и пункта назначения 109 Определение протоколов DLP Правил 112
Индивидуальное развертывание Check Point DLP предлагает набор свойств MultiSpect. Эти свойства обеспечивают гибкость, которая вам необходима для отслеживания и обеспечения точности вашего DLP развертывания. Например, если вы столкнетесь с происшествиями, которые вызвали действия, но которые должны были пройти без задержки, вы можете изменить типы данных и (или) правила, чтобы такого больше не произошло. Таким образом, вы выполните точную настройку DLP за сравнительно короткое время и получите надежную реализацию системы. Вы можете также включить решения пользователей (User Decisions) в процесс настройки типов данных и правил. То, насколько полезна эта информация, зависит от того, как хорошо вы общаетесь с пользователями. Убедитесь, что они знают, что их вклад может повлиять на DLP – если они хотят отослать какой-либо тип данных без задержки и могут объяснить, почему, вы можете использовать их решения, занесенные в журнал, для изменения правил. MultiSpect включает: Compound Data Type (Составной тип данных) – Этот тип данных позволяет вам объединить несколько типов данных в проверки AND (И) и NOT (НЕ). Правило, использующее этот составной тип данных будет сопоставлять передачи данных, у которых есть все типы AND (И), но они не включают типы NOT (НЕ). Data Type Groups (Группы типов данных) - Вы можете сгруппировать несколько типов данных любой категории. Типы данных, при использовании в правиле, сопоставляют передачи данных при проверке OR (ИЛИ). CPcode Data Type (Тип данных CPcode) – Синтаксис CPcode обеспечивает непревзойденную гибкость. Вы создаете тип данных и его свойства со всеми возможностями открытого языка программирования. Изменяйте код по мере необходимости для улучшения точности и чтобы разрешать сообщения, которые, согласно решениям пользователей, следует пропустить. Flags (Флажки) для Типов данных и Правил – Управляя типами данных и читая данные журналов и анализов использования DLP, используйте флажки для типов данных и правил для лучшего обеспечения точности. Типы данных и правила с флажком добавляются на страницу Overview (Сводные данные) для эффективного управления. Placeholder Data Types (Заполняющие типы данных) – Несколько предложенных Типов данных описывают словари и ключевые слова, которые вам следует настроить своими собственными списками. Например, пустой заполнитель Employee Names (Имена сотрудников) должен быть заменен вашим собственным списком сотрудников. Этот Тип данных используется в составных типах данных и правилах. Заполнители отмечаются флажком Improve Accuracy (Улучшить точность) по умолчанию. На этом этапе вы можете решить установить некоторые правила на Prevent (Предотвратить). Когда DLP перехватывает происшествие Prevent (Предотвратить), передача данных прекращается полностью; пользователь не имеет возможности продолжить отправку. (Рекомендуется, чтобы такие правила включали уведомления владельцу данных и пользователю.)
Data Loss Prevention Руководство администратора R75.40VS | 87 Точная настройка Установка Правил на Prevent Для полноты Data Loss Prevention вам может показаться, что передачи защищенных данных за пределы организации должна предотвращаться полностью. Однако если вы установите все свои правила на Prevent (Предотвратить) с самого начала, это повлечет за собой столько вмешательств в работу критичного уровня важности в вашей организации, что защита окажется хуже, чем просто бессмысленной. Наилучшей практикой является установка правил на Prevent (Предотвратить) только после того, как пользователи ознакомились с внутриорганизационными руководящими указаниями, и аудит ваших журналов показал, что автоматическое предотвращение действий, инициируемых пользователями, необходимо – и при этом только для конкретных типов данных, пользователей или других параметров. Примечание – Это причина, по которой вы можете захотеть создать группу пользователей для новых сотрудников, чтобы они могли обучаться с этапа UserCheck, до того как их передачи данных будут автоматически предотвращаться. Другая группа пользователей, которая вам может показаться полезной, это группа для увольняющихся сотрудников.
Рекомендуется, чтобы для правил, установленных на Prevent (Предотвратить), у которых также установлена строгость High (Высокая) или Critical (Критичная), вы также установили Email в параметре Track (Отслеживать). Благодаря этому владельцы данных будут уведомляться по email сразу, как только такое происшествие будет предотвращено.
Чтобы установить правило на Prevent: 1. Откройте Data Loss Prevention > Policy (Data Loss Prevention > Политика). 2. В колонке Action (Действие) изменяемого правила нажмите правой кнопкой мыши и выберите Prevent (Предотвратить).
Определение типов данных Оптимальный метод определения новых представлений типа данных – это использовать Мастер Типов данных (Data Type Wizard). Сначала просмотрите предопределенные типы данных: вам может не потребоваться добавлять дополнительные. Если активы данных, которые вы хотите защитить от утечки, не представлены на странице Типов данных, откройте Мастер Типов данных. Чтобы добавить новый тип данных: 1. В SmartDashboard откройте вкладку Data Loss Prevention. 2. Откройте Data Types (Типы данных) и нажмите New (Новый); или в Policy (Политика) > колонка Data (Данные) нажмите дважды и в окне Add Data Types (Добавить типы данных) нажмите New (Новый). Откроется Data Type Wizard (Мастер типов данных). 3. Введите имя для нового типа данных. 4. Выберите опцию, определяющую тип трафика, который будет проверяться на соответствие правилу, содержащему этот тип данных. 5. Заполните свойства, как это требуется, на следующем шаге (каждый шаг соответствует опции, выбранной на предыдущем шаге). 6. Нажмите Finish (Готово).
Защита данных по ключевому слову Вы можете создать список ключевых слов, которые будут сопоставляться с передачей данных. Передачи данных, содержащие этот список слов в своих данных, будут соответствовать правилу. Вы определяете, будет ли это соответствие на основе ALL (ВСЕ) или ANY (ЛЮБОЙ). Чтобы создать представление типа данных для конкретных ключевых слов: 1. В Data Type Wizard (Мастер типов данных) выберите Keywords (Ключевые слова). 2. Нажмите Next (Далее). На следующем шаге откроется окно Specify Keywords (Укажите ключевые слова). 3. Введите защищаемое ключевое слово. 4. Нажмите Add (Добавить). 5. Введите столько ключевых слов или фраз в этот тип данных, сколько вам нужно. 6. Определите, должны ли данные соответствовать, если совпадают все ключевые слова в списке, требуется ли только одно соответствие, или должно соответствовать конкретное количество слов.
Data Loss Prevention Руководство администратора R75.40VS | 88 Точная настройка Например, если вы хотите, чтобы никто не мог послать email сообщение, содержащее имя конгрессмена в комитете, имена конгрессменов будут ключевыми словами, и вы установите Threshold (Порог) на At least 1 (Как минимум 1). (Примите во внимание, что чем выше порог, тем точнее будут результаты.) Если вы хотите разрешить email сообщения с упоминанием конгрессменов, но решите, что все их имена в одном email сообщении – это подозрительно, то установите Threshold (Порог) на All words must appear (Все слова должны присутствовать). 7. Нажмите Next (Далее). 8. Нажмите Finish (Готово); или если вы хотите добавить дополнительные параметры к типу данных, выберите поле и нажмите Finish (Готово).
Защита документов по шаблону Конфиденциальные и связанные с секретностью документы часто имеют в основе шаблоны. Шаблон определяет заголовки, нижние колонтитулы, печати и форматирование связанных документов. Вот почему, например, все судебные поручения выглядят одинаково. Вы можете создать тип данных, защищающий документы, основанные на конкретном шаблоне. Затем вы добавляете тип данных к правилу и соединения, содержащие такой документ, будут совпадать с политикой.
Важно – Когда шаблон, включающий в себя изображения, прикрепляется к DLP Template Data Type (Тип данных шаблона DLP), формат изображения важен. Формат файла, используемый в шаблоне, должен соответствовать формату файла в документе пользователя. Если форматы файлов отличаются, правило не вызовет DLP ответ.
Например, если шаблон содержит JPG изображение, а документ пользователя содержит изображение в формате GIF, DLP не отреагирует.
Data Loss Prevention Руководство администратора R75.40VS | 89 Точная настройка Чтобы создать представление типа данных документов на основе шаблона: 1. В Data Type Wizard (Мастер типов данных) выберите Documents based on corporate template (Документы, основанные на корпоративном шаблоне). 2. Нажмите Next (Далее). 3. Найдите файл шаблона в вашей системе. Файл не обязательно должен быть известен как шаблон в приложении: шаблон для типа данных может быть *.doc файл и не обязательно должен быть *.dot файлом. Выберите любой файл, являющийся основным примером документов, которые могут отправляться. 4. Переместите ползунок Similarity (Схожесть), чтобы определить, насколько точно документ должен соответствовать данному шаблону, чтобы считаться защищаемым. Рекомендуется сначала установить этот ползунок довольно низко; чем он выше, тем меньше захватит правило. После завершения мастера отправьте тестовое сообщение с таким документом и проверьте журналы SmartView Tracker, чтобы посмотреть, был ли документ перехвачен. Медленно увеличьте уровень Similarity (Схожесть), пока правило не будет захватывать документы, которые вы хотите. Это будет отличаться для каждого шаблона. 5. Нажмите Next (Далее). 6. Нажмите Finish (Готово). Чтобы настроить дополнительные свойства для типа данных, выберите Configure additional Data Type properties clicking Finish (Настроить дополнительные свойства типов данных, нажав на Готово).
Свойство Описание Match empty • Выберите эту опцию, если вы хотите, чтобы DLP сопоставлял тип templates данных с пустым шаблоном. Пустой шаблон – это шаблон, идентичный (Сопоставлят загруженному корпоративному шаблону. ь пустые • Если эта опция не выбрана, пустой шаблон определяется, но тип шаблоны) данных не сопоставляется. Шаблон не считается конфиденциальным, пока он не будет содержать вставленные конфиденциальные данные. Примечание: правило для этого документа обходится, но документ все еще может сопоставляться по другому DLP правилу в политике. Consider template's • Учитывает графические изображения шаблона в процессе images (Учитывать сопоставления. Включение изображений шаблона увеличивает уровень изображения схожести, рассчитываемый между шаблоном и проверяемым шаблона) документом. Чем выше уровень, тем более точное соответствие. • Выберите эту опцию, если графические изображения, используемые в шаблонном документе, могут делать документ конфиденциальным.
Альтернатива проверке ползунком: Если вы хотите захватывать документы, соответствующие на разных уровнях с разными действиями, вы можете попробовать следующую процедуру: 1. Создайте тип данных для шаблона, установив ползунок на 10%. 2. В окне Policy (Политика) создайте правило Detect (Обнаружить), отслеживающее соответствующие документы, но не останавливающее их. 3. Создайте другой тип данных, как первый, но установите ползунок на 50%. 4. Создайте правило Ask User (Спросить пользователя), отслеживающее соответствующие документы и удерживающее передачу данных, пока пользователь не решит, следует ли ее отправить или данные слишком конфиденциальны и должны быть удалены. 5. Создайте третий тип данных, с ползунком, установленным на 90%. 6. Создайте правило Prevent (Предотвратить), отслеживающее соответствующие документы и блокирующее передачу данных. Защита файлов Создайте тип данных, защищающий файлы на основании типа файла, имени файла и размере файла. Передачи данных, содержащие файл, соответствующий параметрам, соответствуют правилу. Чтобы создать представление типа данных файлов: 1. В Data Type Wizard (Мастер типов данных) выберите Files (Файлы). 2. Нажмите Next (Далее). 3. Выберите соответствующие параметры:
Data Loss Prevention Руководство администратора R75.40VS | 90
Точная настройка Примечание – Файл должен соответствовать всем параметрам, которые вы здесь определяете, чтобы он соответствовал правилу. Следовательно, чем больше параметров вы здесь установите, тем более точными будут результаты.
• The file type is any of these types (Тип файла является одним из следующих типов) - Нажмите кнопку добавления, чтобы выбрать из окна Add File Types (Добавить типы файлов). • The file name contains (Имя фала содержит) – Введите строку или регулярное выражение, которое будет сопоставляться с именами файлов. • The file size is larger than (Размер файла больше, чем) – Введите пороговый размер в KB.
4. Нажмите Next (Далее). 5. Нажмите Finish (Готово), или если вы хотите добавить дополнительные параметры в тип данных, выберите поле и затем нажмите Finish (Готово).
Защита данных по структуре Вы можете создать регулярное выражение, которое будет сопоставляться с содержимым в передачах данных. Передачи данных, содержащие строки, которые соответствуют структуре в своих данных, соответствуют правилу.
Примечание – Используйте синтаксис регулярных выражений, поддерживаемый Check Point.
Чтобы создать представление типа данных структуры: 1. В Data Type Wizard (Мастер типов данных) выберите Pattern (regular expressions) (Структура (регулярные выражения)). 2. Нажмите Next (Далее). 3. Введите структуру, сопоставляемую с содержимым. 4. Нажмите Add (Добавить). 5. Введите столько регулярных выражений, сколько вам потребуется в этом типе данных. 6. Определите, будут ли данные соответствовать типу данных, если структура совпадает хотя бы один раз, или их следует разрешать, пока не будет достигнуто определенное количество совпадений. Например, если вы хотите, чтобы никто не могу послать email сообщение, содержащее полный прайс-лист пяти продуктов, вы должны установить структуру на “л[0-9]+(\.[0-9]{2})?$”, а Number of occurrences (Количество совпадений) установить на 5. 7. Нажмите Next (Далее). 8. Нажмите Finish (Готово); или если вы хотите добавить дополнительные параметры в тип данных, выберите поле и нажмите Finish (Готово).
Определение составных типов данных Вы можете создать представление составного типа данных. Составной тип данных включает несколько типов данных, которые сопоставляются либо по AND (И) (сопоставляется какое-то количество типов данных), либо по NOT (НЕ) (необходимые типы данных отсутствуют), либо по обоим. Например, вы можете искать файлы или email сообщения, содержащие данные пациентов. Вы можете создать тип данных, который сочетает документы, которые соответствуют шаблону данных пациентов с типом данных словаря, содержащим группу имен пациентов, которые не подписали бланк разрешения на публикацию. Теперь у вас есть единый тип данных, который сопоставляет email сообщения или FTP, содержащие данные пациентов, которые не подписали бланк разрешения на публикацию. Чтобы создать представление составного типа данных: 1. В Data Type Wizard (Мастер типов данных) выберите Compound (Составной). 2. Нажмите Next (Далее). 3. В первом разделе нажмите Add (Добавить) и выберите типы данных, сопоставляемых по AND (И). 4. Во втором разделе нажмите Add (Добавить) и выберите типы данных, сопоставляемых по NOT (НЕ). Если отправляется передача данных, соответствующая всем типам данных первого раздела и ни одному из типов данных второго раздела, данные передачи соответствуют составному типу данных. 5. Нажмите Next (Далее). 6. Нажмите Finish (Готово); или если вы хотите добавить дополнительные параметры в тип данных, выберите поле и нажмите Finish (Готово).
Точная настройка Расширенные типы данных Мастер типов данных имеет четыре расширенных типа данных: Weight Keywords (Усиленные ключевые слова) Words from a dictionary (Слова из словаря) Custom CP code match (Соответствие настраиваемому CPcode) Message attributes (Атрибуты сообщений)
Защита данных по усиленному ключевому слову Если вы начнете с создания типа данных для ключевого слова или структуры и понимаете, что это не ALL (ВСЕ) или ANY (ЛЮБОЙ), а что одно слово – это признак защищаемых данных само по себе, а другое слово является подозрительным знаком, только если оно появляется много раз, вы можете определить это комплексное представление данных как Усиленное ключевое слово (Weighted Keyword), нежели чем как просто ключевое слово или структура. Передачи данных, содержащие этот список слов, в сумме значимости, которую определяете вы, в своих данных, обрабатываются согласно действию правил, использующих этот тип данных. Чтобы создать представление типа данных усиленных ключевых слов: 1. В Data Type Wizard (мастер типов данных) выберите Advanced (Расширенные настройки) и из выпадающего списка выберите Weighted Keywords (Усиленные ключевые слова). 2. Нажмите Next (Далее). 3. Нажмите на стрелку кнопки Add (Добавить) и выберите либо Word or Phrase (Слово или фраза), либо Regular Expression (Регулярное выражение). (Если вы нажмете на кнопку Add (Добавить) вместо ее подменю, элемент будет ключевым словом, а не структурой.) Откроется окно Edit Word (Редактировать слово) для обоих типов элемента. 4. Введите слово, фразу или регулярное выражение. 5. В области Weight (Вес) установите, будет ли каждое появление соответствующего содержимого данных считаться как 1 (по умолчанию) или больше, и будет ли установлен потолок веса.
• Each appearance of this word contributes the following weight (Каждое появление этого слова влияет на следующий вес) – установите на 1 для самого низкого веса, 2 для двойного веса (одна копи этой строки будет считаться за две) и так далее. • The weight of this word is limited to (Вес этого слова ограничен) – установите на 0, чтобы снять ограничение, или установите на число выше, чем вес в предыдущем значении, чтобы установить максимальный счет (потолок) для этого слова. 6. Нажмите OK . 7. На шаге Specify Weighted Keywords (Укажите усиленные ключевые слова) установите Threshold (Порог). Если содержимое данных соответствует любому из слов в этом типе данных, и общий вес превышает это значение, данные соответствуют правилу Data Loss Prevention. 8. Нажмите Next (Далее). 9. Нажмите Finish (Готово); или если вы хотите добавить дополнительные параметры в тип данных, выберите поле и нажмите Finish (Готово).
Предоставление ключевых слов словарем Если вы заранее запланировали ключевые слова, которые будут отмечать данные флажком как защищенные, вам нет необходимости вводить их по одному в представление данных ключевых слов. Вместо этого вы можете загрузить список как словарь. Вы определяете, сколько элементов в списке должно совпасть, чтобы данные соответствовали правилу.
Примечание – Файлы словаря должны быть составлены так, чтобы в одной строке было одно слово или фраза. Если файл содержит слова не на английском языке, рекомендуется, чтобы это был документ Word (*.doc). Словари в виде простых текстовых файлов должны быть в формате UTF-8.
Чтобы создать представление типа данных словаря: 1. В Data Type Wizard (Мастер типов данных) выберите Advanced (Расширенные настройки) и из выпадающего списка выберите words from a Dictionary (слова из словаря). 2. Нажмите Next (Далее). 3. Найдите файл, содержащий список слов. 4. В области Threshold (Порог) установите количество слов в этом списке, которые должны быть в содержимом, чтобы данные соответствовали правилу.
Data Loss Prevention Руководство администратора R75.40VS | 92 Точная настройка Рекомендуется сначала установить его на самый высокий разумный уровень, а затем понизить его после аудита журналов SmartView Tracker. Например, если словарь представляет собой список имен сотрудников, вам не следует устанавливать порог на 1, так как при этом будет перехватываться каждое email сообщение, имеющее подпись. Вы можете установить тип данных словаря имен сотрудников на порог в половину количества пользователей, а правило на Detect (Обнаружить). Если спустя примерно неделю правилом не будет захвачено никаких данных, понизьте порог и снова проверьте. Когда правило начнет обнаруживать, что эта информация отсылается, установите его на Ask User (Спросить пользователя), чтобы пользователи объясняли, почему они отсылают эту информацию перед тем, как они ее отошлют. Имея эту информацию на руках, вы можете создать удобное в использовании, разумное и точное исполнение корпоративной политики. 5. Нажмите Next (Далее). 6. Нажмите Finish (Готово); или если вы хотите добавить дополнительные параметры в тип данных, выберите поле и нажмите Finish (Готово).
Защита данных по CPcode CPcode – это язык написания сценариев, похожий на C или Perl, специально для систем предотвращения проникновений (Intrusion Prevention Systems). Если вы знакомы с этим языком, вы можете создать ваши собственные составные правила. Используйте типы данных CPcode, чтобы создавать динамические определения защищаемых данных, или чтобы создавать представления типа данных с настраиваемыми параметрами. Например, вы можете создать CPcode, который проверяет на дату перед релизом, позволяя вам создавать правила, прекращающие выпуски прайс-листов до этой даты, но пропускающие их после этой даты. Другие распространенные варианты использования CPcode включают отношения между параметрами правила, например, получателями (сопоставление правилу email сообщения, если оно отсылается на слишком много доменов) и протоколами (сопоставление правилу HTTP, если он выглядит как веб почта).
Примечание – См. R75.40VS Справочное руководство по DLP CPcode (http://supportcontent.checkpoint.com/solutions?id=sk76540). Если вы напишете функцию CPcode самостоятельно, вам следует ее испытать перед запуском в среду производства.
Чтобы создать представление типа данных CPcode: 1. В Data Type Wizard (Мастер типов данных) выберите Advanced (Расширенные настройки) и из выпадающего списка выберите a Custom CPcode (Настраиваемый CPcode). 2. Нажмите Next (Далее). 3. Найдите файл скрипта CPcode. 4. Нажмите Next (Далее). 5. Нажмите Finish (Готово); или если вы хотите добавить дополнительные параметры в тип данных, выберите поле и нажмите Finish (Готово).
Пример функции CPcode: func rule 1 {
foreach $recipient inside global:DESTS { foreach $comp inside CPMPETITORS_DOMAIN { if( casesuffix( $recipient , $comp ) ) { set_message_to_user(cat(The mail is sent to , $recipient , which is a competitor's mail address.)); set_track(TRACK_LOG); return quarantine(); } }
Определение типа данных атрибута сообщения В DLP сообщение может быть послано с помощью SMTP, HTTP или FTP протоколов.
Атрибуты сообщения относятся к 3 свойствам сообщения: • Общий размер сообщения в Кб
Data Loss Prevention Руководство администратора R75.40VS | 93 Точная настройка Количество вложений Общее количество слов в сообщении Чтобы создать тип данных атрибута сообщения:
1. Запустите Data Type Wizard (Мастер типов данных) 2. Выберите Advanced (Расширенные настройки) и из выпадающего списка выберите Message Attributes (Атрибуты сообщения). Откроется окно Specify Message Attributes (Укажите атрибуты сообщения). 3. Настройте следующие атрибуты сообщения: a) Size (Размер) Атрибут размера может иметь: Минимальное Максимальное Значение значение значение Да Да Сообщения, которые попадают под указанный диапазон, соответствуют атрибуту сообщения. Да Нет Сообщение, размер которого больше, чем минимальное значение, указанное здесь, соответствует атрибуту. Нет Да Сообщение, размер которого меньше, чем максимальное значение, указанное здесь, соответствует атрибуту. b) Attachments (Вложения) Определите количество вложений, которое может иметь сообщение.
Минимальное Максимальное Значение значение значение Да Да Сообщение, количество вложений которого попадает под указанный диапазон, соответствует атрибуту сообщения. Да Нет Сообщение с более чем минимальным количеством вложений, указанным здесь, соответствует атрибуту. Нет Да Сообщение с менее чем максимальным количеством вложений, указанным здесь, соответствует атрибуту.
c) Number of words (Количество слов) Сканирование на значительное количество текста. Если email сообщение имеет во вложении большой бинарный файл, например, графику, и email сообщение содержит слова “your picture” (ваше изображение), то email сообщение может соответствовать атрибуту Size (Размер), но может не содержать текста, который стоит сканировать. Email сообщение должно соответствовать DLP правилу, только если email сообщение содержит достаточно текста, который предположительно может привести к потере данных.
Минимальное Максимальное Значение значение значение Да Да Сообщения, количество слов которых попадает под указанный диапазон, соответствуют атрибуту сообщения. Да Нет Сообщение, количество слов которого больше, чем минимальное значение, указанное здесь, соответствует атрибуту. Нет Да Сообщение, количество слов которого ниже, чем максимальное значение, указанное здесь, соответствует атрибуту.
4. Нажмите на Next (Далее). 5. Нажмите на Finish (Готово). Если вы хотите добавить дополнительные параметры к типу данных, выберите Configure additional Data Type properties after clicking finish (Настройте дополнительные свойства типа данных после того как нажмете на Готово) и нажмите на Finish (Готово).
Data Loss Prevention Руководство администратора R75.40VS | 94 Точная настройка
Примечание – Чтобы сообщение соответствовало атрибуту типа данных, оно должно соответствовать критериям размера и количества вложений и количества слов. Если сообщение не отвечает одному из критериев, оно не будет соответствовать атрибуту.
Добавление типов данных в Правила Типы данных являются строительными блоками базы правил Data Loss Prevention и основой DLP политики, которую вы устанавливаете на DLP шлюзах – основе функциональности DLP. Каждый тип данных определяет актив данных, которые вы хотите защитить. Владельцы данных должны знать о типах данных, находящихся в их ответственности, и быть в состоянии сказать вам, какие типы данных должны иметь возможность быть переданными за пределы организации, а какие данные должны быть защищены. Например, руководитель команды программистов должен знать, какие строки кода не разрешается передавать за пределы организации, и требовать, чтобы они были защищены. Главный врач больницы должен иметь пример судебного поручения, позволяющего передавать данные пациентов в авторизованные домены.
Внимание на данные
• Фокусируйте внимание на типах данных, а не на полных правилах. Активируйте и настраивайте типы данных для распознавания соответствующих правилу данных. • Начните с очевидного – с данных, которые, как вы знаете из своего опыта, должны храниться внутри организации – строки кода, контактная информация сотрудников, пароли, прайс-листы и так далее. • Затем создайте более составные типы данных согласно процедурам конфиденциальности и целостности организации, согласовав с Владельцами данных. • Когда у вас будет тип данных, добавьте его в правило и установите базу правил политики на DLP шлюзы.
Категория данных Compliance В окне Data Loss Prevention Data Types (Типы данных Data Loss Prevention) типы данных отсортированы согласно категории. Важной категорией является категория соответствия. В окне Data Types (Типы данных) вы можете создать типы данных, которые исполняют политику соответствия согласно регулятивным нормам. Категория соответствия содержит встроенные типы данных, которые представляют принятые стандарты и нормативные требования. Например, согласно стандартам соответствия Индустрии платежных карт (Payment Card Industry - PCI), номера кредитных карт клиентов не должны отсылаться на внешние источники открытым текстом. Окно Data Loss Prevention Overview (Сводные данные Data Loss Prevention) > DLP Featured Data types (Избранные типы данных DLP) – в панели инструментов перечислены типы данных для:
• Compliance (Соответствие) При нажатии на кнопку Compliance (Соответствие) отображаются типы данных в этой категории и сколько из них активировано. • Business information (Деловая информация) • Personally identifiable information (Информация, идентифицирующая личность) • Best Practice (Передовой опыт) • Intellectual Property (Интеллектуальная собственность) • Human Resources (Кадровые ресурсы) • Financial (Финансы)
В области Featured Data Types (Избранные типы данных) панели инструментов доступны две опции:
Действие Использование View rule Нажмите на View rule (Просмотреть правило), чтобы посмотреть, как используется (Просмотреть тип данных соответствия в DLP политике. правило) Add to policy Нажмите на Add to policy (Добавить к политике), чтобы добавить тип данных (Добавить к соответствия к DLP политике. политике)
Data Loss Prevention Руководство администратора R75.40VS | 95
Точная настройка
При нажатии на Compliance (Соответствие) в панели инструментов в окне Data Types (Типы данных) отфильтровываются типы данных, которые не принадлежат категории Compliance (Соответствие). Check Point регулярно добавляет встроенные типы данных, но если ни один из типов данных не отвечает вашим потребностям,
вы можете создать новый тип данных и добавить его в категорию соответствия. Встроенные типы данных существуют для: • EU Data Protection Directive (Директивы ЕС о защите данных) • FERPA - Confidential Educational Records (Закон о правах семьи на образование и неприкосновенность частной жизни – конфиденциальные данные об обучении) • GLBA - Personal Financial Information (Закон Грэма-Лича-Блили – личная финансовая информация) • HIPAA - Protected Health Information (Закон по обеспечению доступности и подотчетности в медицинском страховании – защищенная информация о здоровье) • ITAR - International Traffic in Arms Regulations (Международные правила торговли оружием) • PCI DSS - Cardholder Data (Стандарт защиты информации в индустрии платежных карт – данные владельца карты) • PCI - Credit Card Numbers (Индустрия платежных карт – номера кредитных карт) • PCI - Sensitive Authentication Data (Индустрия платежных карт – конфиденциальные данные аутентификации) • U.S. State Laws - Personally Identifiable Information (Законы штата США – данные, идентифицирующие личность) • UK Data Protection Act (Закон о защите данных) Чтобы добавить новый тип данных в категорию соответствия: 1. В окне Data Loss Prevention Data Types (Типы данных Data Loss Prevention) нажмите New (Новый). Откроется Data Type Wizard (Мастер типов данных). 2. Выберите критерии, например, ключевые слова или корпоративный шаблон. 3. На последней странице мастера выберите Configure additional Data Type properties after clicking Finish (Настройте дополнительные свойства типа данных после того как нажмете на Готово). 4. Нажмите Finish (Готово). 5. Откроется окно свойств типа данных на странице General Properties (Общие свойства). 6. Установите категорию на Compliance (Соответствие).
l Примечание - Вы не можете изменить категорию встроенного типа данных, можно только добавить новые типы данных к одной из уже существующих категорий.
Редактирование типов данных После того как вы определите типы данных с помощью Мастера типов данных, вы можете точнее настроить их, если необходимо. Каждый тип данных в окне General Properties (Общие свойства) показывает только свои применимые поля. Вы видите только те опции, которые применяются к выбранному в текущее время типу данных.
Раздел Описание General Properties (Общие свойства) • Name (Имя) – Имя представления типа данных. • Comment (Комментарий) – Опциональные комментарии и примечания. • Categories (Категории) – Опциональные назначенные тэги категории для группировки типов данных. • Flag (Флажок) – Опциональный флажок для помощи в управлении большого списка типов данных. • Follow Up (Наблюдение) – Используйте этот флажок в качестве напоминания проверить отслеживание журналов SmartView Tracker и анализ в SmartEvent, чтобы посмотреть, захватывают ли ваши изменения ожидаемые происшествия, и в противном случае продолжить обслуживание и настройку. • Improve Accuracy (Улучшить точность) – После активации встроенного типа данных используйте этот флажок в качестве напоминания заменить заполняющие типы данных реальными файлами словаря или списками, или сделать встроенные типы данных более подходящими вашей организации. После замены файла реальными данными, не забудьте поменять этот флажок на Follow Up (Наблюдение), чтобы отслеживать связанные с ним происшествия, или на No Flag (Нет флажка). • Description (Описание) – Для встроенных типов данных, описание объясняет цель этого типа представления данных. Для индивидуально созданных типов данных, вы можете использовать это поле для предоставления более подробной информации.
Data Loss Prevention Руководство администратора R75.40VS | 96
Точная настройка
Раздел Описание Custom CPcode • Add (Добавить) – Нажмите, чтобы добавить CPcode скрипты. Тип файла по (Настраиваемый умолчанию cpc. См. R75.40VS Справочное руководство по DLP CPcode CPcode) (http://supportcontent.checkpoint.com/solutions?id=sk76540). • View (Посмотреть) - Нажмите, чтобы посмотреть CPcode скрипт в текстовом редакторе. • Remove (Удалить) - Нажмите, чтобы удалить CPcode скрипты. Compound • Each one of these data types must be matched (Каждый из этих типов данных (Составной) должен совпасть) – Все элементы в этом списке должны совпасть с данными, чтобы было соответствие составному типу данных. • None of these data types must be matched (Ни один из этих типов данных не должен совпасть) - Если данные соответствуют любому элементу в списке, соответствия составному типу данных нет. • Add (Добавить) элементы в список. • Edit (Редактировать) выбранный элемент. (Изменения, внесенные здесь, влияют на все составные типы данных и правила, которые используют редактируемый тип данных). • Remove (Удалить) элементы из списка. Dictionary (Словарь) • Replace (Заменить) - Нажмите, чтобы перейти к другому файлу. • View (Посмотреть) - Нажмите, чтобы посмотреть файл. Обратите внимание, что любые изменения, которые вносятся здесь, не влияют на файл, который используется типом данных. • Save a Copy (Сохранить копию) - Нажмите, чтобы сохранить файл под другим именем. • This data will be matched only if it contains at least (Эти данные будут соответствовать, только если они содержат как минимум) – Установите порог в виде целого числа между 1 и количеством записей в словаре. Трафик, содержащий как минимум столько имен из словаря, будет соответствовать. Примечание - Если элементы в словаре не на английском языке, используйте документ Word в качестве файла словаря. Любой текстовый файл должен быть в формате UTF-8. Documents Based • Replace (Заменить) - Нажмите, чтобы перейти к другому файлу. on a Corporate • View (Посмотреть) - Нажмите, чтобы посмотреть файл. Обратите внимание, что любые Template изменения, которые вносятся здесь, не влияют на файл, который используется типом (Документы на данных. основе • Save a Copy (Сохранить копию) - Нажмите, чтобы сохранить файл под другим корпоративного именем. шаблона) • Match empty templates (Сопоставлять пустые шаблоны) – Выберите эту опцию, если вы хотите, чтобы DLP сопоставлял тип данных в пустом шаблоне. Пустой шаблон – это шаблон, идентичный загруженному корпоративному шаблону. Если опция не выбрана, пустой шаблон обнаруживается, но тип данных не соответствует. Шаблон не считается конфиденциальным, пока он не будет содержать конфиденциальные данные. Примите во внимание, что правило обходится для этого документа, но документ может все еще соответствовать по другому DLP правилу в политике. • Consider templates images (Учитывать изображения шаблона) - Учитывает графические изображения шаблона в процессе сопоставления. Включение изображений шаблона увеличивает уровень схожести, рассчитываемый между шаблоном и проверяемым документом. Чем выше уровень, тем более точное соответствие. Выберите эту опцию, если графические изображения, используемые в шаблонном документе, могут делать документ конфиденциальным. • Similarity (Схожесть) - Переместите ползунок, чтобы определить, насколько точно документ должен соответствовать данному шаблону, чтобы считаться соответствующим типу данных. Сопоставляется содержимое заголовка и нижнего колонтитула, а также текст шаблона. File (Файл) File (Файл) – Выберите условия, которые необходимо проверить для файлов в передачах данных (включая заархивированные email вложения, а также другие передачи). Передаваемый файл должен соответствовать всем выбранным условиям, чтобы тип данных файла соответствовал. • The file type is any of these types (Тип файла один из следующих) – Нажмите на Add (Добавить) и выберите тип файла. • The file name contains (Имя файла содержит) – Введите строку или регулярное выражение, которое будет сопоставляться с именами файлов. • The file size is larger than (Размер файла больше, чем) – Введите пороговый размер в Кб.
Data Loss Prevention Руководство администратора R75.40VS | 97
Точная настройка
Раздел Описание Group Members • Add (Добавить) – Добавьте типы данных в группу. Если соответствует любой из (Участники группы) участников, данные признаются соответствующими типы данных группы. В открывшемся списке вы можете нажать на New (Новый), чтобы создать новый тип данных. • Edit (Редактировать) – Откройте окно свойств выбранного типа данных. Когда вы нажмете OK или Cancel (Отменить), окно Data Type Group (Группа типов данных) останется открытым. • Remove (Удалить) – Уберите выбранный тип данных из группы. Тип данных не удаляется. Keywords or • Specify keywords or phrases to search for (Укажите искомые ключевые Phrases слова или фразы) – Введите слова для сопоставления с содержимым данных. (Ключевые • Add (Добавить) - Нажмите, чтобы добавить ключевые слова в тип данных. слова или • Search List (Список поиска) – Ключевые слова в типе данных. • Edit (Редактировать) – Измените выбранное слово или фразу в списке. фразы) • Remove (Удалить) – Убрать выбранное слово или фразу из списка. • All keywords and phrases must appear (Должны появиться все ключевые слова и фразы) – Выберите, чтобы данные соответствовали, только если все элементы в Списке поиска найдены. • At least number words must appear (Должно появиться как минимум количество слов) – Введите целое число для указания количества элементов в Списке поиска для соответствия типу данных ключевых слов. Pattern (Структура) • Type a pattern (regular expression) (Введите структуру (регулярное выражение)) – Введите регулярное выражение для сопоставления с содержимым данных. • Add (Добавить) - Нажмите, чтобы добавить регулярное выражение к типу данных. • Pattern List (Список структур) – Регулярные выражения в типе данных. • Edit (Редактировать) – Измените выбранные регулярные выражения в списке. • Remove (Удалить) – Уберите выбранные регулярные выражения из списка. • Number of occurrences (Количество появлений) – Введите целое число, чтобы указать, сколько должно быть совпадений между какими-либо структурами и данными, чтобы данные были признаны соответствующими типу данных. Similarity (Схожесть) • Similarity (Схожесть) - Переместите ползунок, чтобы определить, насколько точно документ должен соответствовать данному шаблону, чтобы считаться соответствующим типу данных. Сопоставляется содержимое заголовка и нижнего колонтитула, а также текст шаблона. Threshold (dictionary) • This data will be matched only if it contains at least (Эти данные будут (Порог (словарь)) соответствовать, только если они содержат как минимум) – Введите целое число, чтобы указать, сколько требуется совпадений в данных, чтобы данные были признаны соответствующими типу данных. Threshold • Number of occurrences (Количество появлений) – Введите целое число, чтобы (occurrences) (Порог указать, сколько должно быть совпадений в данных, чтобы данные были признаны (появления)) соответствующими типу данных. Threshold (keywords) Эти данные будут соответствовать, только если они содержат: (Порог (ключевые • All keywords and phrases (Все ключевые слова и фразы) – Выберите, чтобы слова)) данные соответствовали, только если найдены все элементы из Списка поиска. • At least number keywords or phrases (Как минимум количество ключевых слов или фраз) - Введите целое число для указания количества элементов в Списке поиска для соответствия типу данных ключевых слов. Threshold (recipients) Эти данные будут соответствовать, только если email содержит: (Порог (получатели)) • At least number internal recipients (Как минимум количество внутренних получателей) – Введите минимальное количество email адресов, которые определены внутри Моей организации, которые, наряду с внешними адресами, вызовут подозрение, что email сообщение содержит конфиденциальную информацию. • and no more than number external recipients (и не более количество внешних получателей) - Если email сообщение посылается длинному списку получателей, даже если оно содержит много внутренних получателей, оно должно считаться как email сообщение, предназначенное для лиц вне организации. В этом поле
Data Loss Prevention Руководство администратора R75.40VS | 98
Точная настройка
Раздел Описание введите максимальное количество email адресов, являющихся внешними для Моей Организации, чтобы если будет добавлено больше внешних получателей, email сообщение соответствовало правилу. Threshold (External BCC) (Порог Эти данные будут соответствовать, только если email содержит как минимум: (Внешние BCC)) • Internal recipients (Внутренние получатели) – Введите минимальное количество email адресов, которые определены внутри Моей Организации, которые, наряду с внешними адресами, вызовут подозрение, что email сообщение содержит конфиденциальную информацию. • External recipients (Внешние получатели) - Введите минимальное количество email адресов, которые являются внешними для Моей Организации, которые вызовут подозрение в отношении этого email сообщения. Weighted Keywords or • Keyword Text (Текст ключевого слова) – Список текущих ключевых слов или Phrases (Усиленные регулярных выражений в списке усиленных ключевых слов. Чтобы добавить больше, ключевые слова или нажмите New (Новый). Чтобы изменить выбранное ключевое слово или регулярное выражение, нажмите Edit (Редактировать). Откроется окно Edit Word (Редактировать фразы) слово).
• Weight (Вес) – Число, представляющее важность этого элемента в опознавании передачи данных, которую необходимо сопоставить. Чем выше число, тем больший вес/важность имеет элемент. • Max. Weight (Максимальный вес) – Число, представляющее потолок для этого элемента. Если содержимое передачи данных соответствует элементу (по ключевому слову или по регулярному выражению) по общему весу, к общему весу передачи данных значения больше не добавляются. (Ноль означает, что нет максимального веса.) • RegEx? (Регулярное выражение?) – Является ли элемент регулярным выражением. • Threshold (Порог) – Когда веса всех элементов в списке складываются вместе, если они проходят этот порог, передача данных соответствует.
Чтобы отредактировать тип данных: 1. В SmartDashboard откройте вкладку Data Loss Prevention. 2. Откройте Data Types (Типы данных), выберите тип данных и нажмите Edit (Редактировать). 3. В окне General Properties (Общие свойства) отредактируйте / заполните поля, применимые к типу данных. 4. Нажмите Finish (Готово). Определение групп типов данных Вы можете создать представление типа данных, которое является группой существующих типов данных. Например, вы можете создать группу типов данных, которые защищают вашу организацию от утечки личной контактной информации, для соответствия законам о неприкосновенности частной жизни. Группа типов данных будет включать различные встроенные типы данных для личных имен различных стран, фамилий, личных email адресов и так далее. Используя группы типов данных, вы можете создавать и управлять правилами более эффективно. Группы типов данных сопоставляются по OR (ИЛИ). Если данные соответствуют любому из типов данных в группе, считается, что есть соответствие группе типов данных. Чтобы создать группу типов данных: 1. В Data Types (Типы данных) нажмите на стрелку в New (Новый) и выберите Data Type Group (Группа типов данных). Откроется окно Group Data Type (Тип данных группы). 2. Введите имя группы. 3. Нажмите Add (Добавить) и выберите типы данных, которые будут в этой группе типов данных. Если применимо, добавьте Владельцев данных к группе. 4. Нажмите OK . Определение улучшенного сопоставления для типов данных ключевого слова Вы можете добавить файлы CPcode скрипта для улучшения критериев сопоставления и точности после того, как будут сопоставлены ключевое слово, структура, усиленное ключевое слово или слова из словаря. Если файл CPcode скрипта имеет соответствующий файл значений (для постоянных величин) или csv файл, добавьте его здесь.
Data Loss Prevention Руководство администратора R75.40VS | 99
Точная настройка
Примечание - Вы можете добавить более одного CPcode скрипта. Все скрипты должны соответствовать ключевым словам или фразам, чтобы считалось, что они соответствуют типу данных.
Чтобы добавить CPcode скрипт расширенного сопоставления типу данных: 1. В Data Types (Типы данных) выберите тип данных и нажмите Edit (Редактировать).
Откроется окно Data Type (Тип данных). 2. Нажмите на узел Advanced Matching (Расширенное сопоставление). 3. В Run these CPcode for each matched keyword to apply additional match criteria (Запустить CPcode для каждого сопоставляемого ключевого слова, чтобы применить дополнительные критерии соответствия) добавьте CPcode скрипты для запуска при каждом соответствии типа данных. • Add (Добавить) – Нажмите, чтобы добавить CPcode скрипты. Тип файла по умолчанию cpc. См. R75.40VS Справочное руководство по DLP CPcode (http://supportcontent.checkpoint.com/solutions?id=sk76540). • View (Посмотреть) – Нажмите, чтобы посмотреть CPcode скрипт в текстовом редакторе. 4. Remove (Удалить) – Нажмите, чтобы убрать CPcode скрипты. Нажмите OK .
Определение Post Match CPcode для типа данных Для всех представлений типа данных вы можете добавить CPcode скрипты, которые запускаются после того как совпадёт тип данных. Когда вы используете CPcode скрипты в качестве критериев соответствия, вы имеете гораздо более продвинутый уровень улучшения точности по сопоставляемым типам данных. Когда вы устанавливаете более одного CPcode скрипта, типы данных с указанными CPcode скриптами сопоставляются по AND (И). Если данные соответствуют всем CPcode скриптам, тип данных соответствует. Если файл CPcode скрипта имеет соответствующий файл значений (для постоянных величин) или csv файл, добавьте его здесь. Например, вы можете добавить CPcode скрипт, который сопоставляет типы данных, которые имеют место в рабочие часы (09:00 -17:00) в рабочие дни. Чтобы добавить post match CPcode скрипт типа данных: 1. В Data Types (Типы данных) выберите тип данных и нажмите Edit (Редактировать). Откроется окно Data Type (Тип данных). 2. Нажмите на узел Advanced Matching (Расширенное сопоставление). 3. В Run these CPcode scripts after this Data Type is matched to apply additional match criteria (Запустить эти CPcode скрипты после соответствия этого типа данных, чтобы применить дополнительные критерии соответствия) добавьте CPcode скрипты для запуска при каждом соответствии типа данных. • Add (Добавить) - Нажмите чтобы добавить CPcode скрипты. Тип файла по умолчанию cpc. См. R75.40VS Справочное руководство по DLP CPcode (http://supportcontent.checkpoint.com/solutions?id=sk76540). • View (Посмотреть) - Нажмите, чтобы посмотреть CPcode скрипт в текстовом редакторе. 4. Remove (Удалить) - Нажмите, чтобы убрать CPcode скрипты. Нажмите OK .
Рекомендация – тестирование типов данных Перед установкой политики, содержащей новые типы данных, вы можете испытать их в лабораторных условиях. Рекомендации для процедуры испытания: 1. Создайте тип данных. 2. Создайте пользователя с именем Tester, с вашим email адресом. 3. Создайте правило: • Данные = этот тип данных • Действие = Detect (Обнаружить) • Источник = Tester • Пункт назначения = Outside (Снаружи) 4. Пошлите email сообщение (или другую передачу данных согласно протоколам правила), которое должно соответствовать правилу. 5. Откройте SmartView Tracker или SmartEvent и проверьте, чтобы происшествие отследилось со значением Event Type (Тип события) в виде имени типа данных. • Если передача данных не была перехвачена, измените параметры типа данных. Например, если тип данных – Document by Template (Документ по шаблону), переместите ползунок на более низкий уровень сопоставления. Data Loss Prevention Руководство администратора R75.40VS | 100
Точная настройка
• Если передача данных была перехвачена, измените параметры типа данных на более строгие, для обеспечения большей точности. Например, для типа данных Document by Template (Документ по шаблону) переместите ползунок на более высокий уровень сопоставления. 6. После точной настройки параметров типа данных перешлите передачу данных, которая должна быть перехвачена, и проверьте, что так и произошло. Важно - Если вы измените действие правила на Ask User (Спросить пользователя), чтобы проверить уведомления, вы должны изменить тему email сообщения, если вы посылаете его второй раз. Если активен режим Обучения (Learning mode), DLP распознает ветки email сообщений. Если пользователь отвечает на уведомление Ask User (Спросить пользователя) действием Send (Отправить), DLP больше не будет спрашивать о каком-либо email сообщении в этой ветке. 7. Отправьте другую передачу данных, максимально похожим образом, но она должна пройти; проверьте, чтобы она прошла. Например, для типа данных Document by Template (Документ по шаблону) попробуйте послать документ, который похож на шаблон, но не содержит конфиденциальной информации. Если допустимая передача данных не прошла, настройте параметры типа данных, чтобы увеличить точность. Экспорт типов данных Вы можете экспортировать в файл типы данных, которые вы создали или которые встроены. Это позволяет вам обмениваться типами данных между DLP шлюзами, когда каждый управляется отдельным Сервером управления безопасностью. Вам может потребоваться экспортировать типы данных в качестве меры восстановления: восстановить тип данных, который вы или другой DLP администратор удалил. Чтобы экспортировать тип данных: 1. Откройте Data Loss Prevention > Data Types (Data Loss Prevention > Типы данных). 2. Выберите тип данных для экспорта. 3. Нажмите Actions > Export (Действия > Экспорт). 4. Сохраните его как файл в расширением dlp_dt. Импорт типов данных Вы можете скопировать типы данных на другой Сервер управления безопасностью или восстановить тип данных, который был удален, но предварительно экспортирован. Вы можете также получить новые типы данных от вашего реселлера или от Check Point и использовать следующую процедуру для добавления новых типов данных в вашу локальную систему. Чтобы импортировать типы данных: 1. Откройте Data Loss Prevention > Data Types (Data Loss Prevention > Типы данных). 2. Нажмите Actions > Import (Действия > Импорт). 3. Выберите dlp_dt файл, в котором содержится тип данных, который вам нужен. Определение Email адресов В DLP управлении вам может потребоваться определить email адреса или домены, находящиеся вне вашего управления безопасностью сети. Например: • Адреса, на которые необходимо отправить данные, или на которые нельзя отправлять данные. • Домены, являющиеся внешними, но должны считаться внутренними для DLP. • Домены, являющиеся внутренними, но должны проверяться на несанкционированную передачу данных (не каждое лицо в вашей организации должен иметь доступ к данным кого-либо). Вы можете создать объекты Email Address (Email адрес). Каждый объект содержит список адресов или доменов, или и того и другого, при этом список может содержать один или более элементов. После того как вы создадите объект Email Address (Email адрес), вы можете добавить его в: • Правила как Source (Источник) или Destination (Пункт назначения). • Исключения из правил.
Data Loss Prevention Руководство администратора R75.40VS | 101
Точная настройка
Например, главный врач больницы делает исключение из правила, предотвращающего отсылку данных пациентов за пределы организации. Исключение разрешает отсылку данных пациентов на email адрес социального работника.
Примечание – Все адреса в объекте составляют блок. Вы не можете использовать лишь некоторые email адреса объекта, а оставшиеся не использовать. Примечания о доменах: • При добавлении доменов не используйте символ @. Пример действительного имени домена: example .com • Если вы добавляете домен, он захватит также все поддомены. Например, если домен example.com, email адреса, например, [email protected] , также считаются частью My Organization (Моя Организация).
Чтобы определить email адреса и домены для использования в правилах: 1. Разверните Additional Settings> Email Addresses (Дополнительные настройки > Email адреса). 2. Нажмите New (Новый). Откроется окно Email Addresses (Email адреса). 3. Enter имя для этой группы email адресов (даже если она включает только один адрес) или домен. 4. Введите адрес или домен. 5. Добавьте столько email адресов и доменов для этого списка, сколько требуется. Установка водяного знака Установка водяного знака позволяет вам отслеживать исходящие документы Microsoft Office. Видимый водяной знак или скрытый зашифрованный текст добавляются в файлы Word, Excel или PowerPoint, созданные в Office 2007 (или выше). Видимые водяные знаки работают как средство удержания, давая понять, что документ содержит конфиденциальные данные. Невидимые водяные знаки делают возможным аналитическое отслеживание: пользователи и компьютеры, обрабатывавшие документ, можно отследить до источника. Установка водяных знаков работает путем введения настраиваемых XML файлов, которые содержат данные водяных знаков. Водяные знаки можно установить только на документы в следующих форматах Office Open XML: • docx • pptx • xlsx Важно – На более старые форматы, поддерживаемые в Office 2007 и выше для обратной совместимости (например, doc, ppt и xls) нельзя установить водяной знак. Изменение расширения файла с doc на docx не позволит нанести водяной знак на документ.
Чтобы установить водяной знак на документы: В SmartDashboard, во вкладке DLP: 1. В окне Policy (Политика) выберите Data type (Тип данных). 2. В колонке Action (Действие) выберите ограничивающее Action (Действие), например, Ask (Спросить), Inform User (Информировать пользователя) или Detect (Обнаружить), плюс существующий профиль водяного знака. DLP имеет 3 встроенных профиля: • Classified (Классифицировано). Помещает слово Classified (Классифицировано) в центре страницы. • Invisible only (Только невидимый). Содержит только скрытый текст. • Restricted (Ограничено). Помещает слово Restricted (Для ограниченного доступа) внизу страницы, а также эти вставленные поля: sender (отправитель), recipient (получатель) и send date (дата отправки). 3. Если существующих профилей водяных знаков нет, нажмите New (Новый) и создайте его.
Примечание - Вы можете также изменить встроенный профиль. Чтобы создать новый профиль водяного знака: Новые водяные знаки можно создать из колонки Action (Действие) в DLP правиле или из Additional Settings > Watermarks (Дополнительные настройки > Водяной знак).
Data Loss Prevention Руководство администратора R75.40VS | 102
Точная настройка
1. На странице Watermarks (Водяные знаки) нажмите New (Новый). Откроется окно Watermark Profiles (Профили водяных знаков). 2. На странице General (Общее) введите имя для профиля водяных знаков. 3. Нажмите Advanced (Расширенные настройки). Откроется страница Advanced Settings (Расширенные настройки). 4. Уберите флажок с опции Use the same configuration for all supported file types (Использовать одинаковую конфигурацию для всех типов файлов), чтобы создать различные водяные знаки для файлов Word, Excel или PowerPoint.
Примечание -
• Водяной знак в Excel не может превышать 255 символов. Ограничение в 255 символов включает видимый текст водяного знака и данные форматирования. Если вы превысите ограничение в 255 символов, свойство водяного знака попытается показать максимально возможное количество текста. • Ограничение в 255 символов действительно для каждого отдельного документа. 5. Установите, будут ли добавляться водяные знаки на:
• All pages (Все страницы) • First page only (Только первую страницу) • Even pages only (Только четные страницы) • Odd pages only (Только нечетные страницы) Фактическое расположение водяных знаков зависит от: • Того, содержит ли документ Разграничители раздела на странице. • Версии MS Word, используемой для создания документа
. Опция водяного Разграни В Word 2007 В Word 2010 знака читель раздела All pages (Все Да Водяной знак на всех страницах Водяной знак на всех страницах страницы) Нет Водяной знак на всех страницах Водяной знак на всех страницах First page only Да Водяной знак на всех страницах Водяной знак только на первой (Только первая странице страница) Нет Водяной знак на всех страницах Водяной знак только на первой странице Even pages only Да Водяной знак на всех страницах Водяной знак на всех страницах (Только четные страницы) Нет Водяной знак только на четных Водяной знак только страницах на четных страницах Odd pages only Да Водяной знак на всех страницах Водяной знак на всех страницах (Только нечетные страницы) Нет Водяной знак только на нечетных Водяной знак только на страницах нечетных страницах 6. Нажмите OK .
На странице General (Общее) 1. Введите имя для профиля водяного знака. 2. Нажмите на рисунок Водяного знака.
Data Loss Prevention Руководство администратора R75.40VS | 103
Точная настройка
Откроется окно Select text location on page (Выберите расположение текста на странице). Есть семь возможных расположений для текста видимого водяного знака.
3. Используя панель инструментов редактирования текста: a) Создайте подходящий текст для каждого водяного знака b) Отформатируйте его, используя инструменты для шрифта, размера шрифта, цвета. Чтобы поместить тень за текстом Водяного знака в Word и PowerPoint: (i) На шлюзе запустите: cpstop. (ii) На шлюзе откройте для редактирования: $DLPDIR/config/dlp.conf. (iii) Найдите атрибут: watermark_add_shadow_text(0). (iv) Измените значение атрибута с 0 на 1. (v) Установите проценты для прозрачности и размера водяного знака для файлов docx и pptx. (vi) Сохраните и закройте. (vii) Запустите: cpstart. Примечание: Перед тем как изменения в dlp.conf вступят в силу, вы должны запустить cpstop и cpstart. c) Используйте Insert Field (Вставить поле), чтобы вставить одно или более следующих предопределенных полей:
• Action Taken (Предпринятое действие) • File name (Имя файла) • File Size (in bytes) (Размер файла (в байтах)) • Mail Subject (Тема письма) • Recipient (email address) (Получатель (email адрес)) • Recipient (full name) (Получатель (полное имя)) • Reference ID number (Номер ID справки) (UID Происшествия в SmartView Tracker, который содержит IP адрес компьютера, который послал файл) • Rule Name (Имя правила) • Rule Severity (Строгость правила) • Send Date (Дата отправки) • Sender (email address) (Отправитель (email адрес)) • Sender (full name) (Отправитель (полное имя)) • Sender (user name) (Отправитель (имя пользователя)) d) Опционально установите водяной знак: • По диагонали в сорок пять градусов
Data Loss Prevention Руководство администратора R75.40VS | 104
Точная настройка
Примечание – Поворот Водяного знака доступен только для: • PowerPoint презентаций в MS Office 2007 и 2010 • Документах Word в MS Office 2010 ■ С прозрачностью семьдесят процентов (по умолчанию).
Примечание -
• Прозрачность поддерживается для файлов PowerPoint и Word в MS Office 2007 и 2010.
• Чтобы изменить значение прозрачности по умолчанию:
• На шлюзе запустите: cpstop. • Отредактируйте $DLPDIR/config/dlp.conf на шлюзе. • Измените свойство watermark_text_opacity_percentage с 30 (70% • прозрачность) на новое значение. • Запустите: cpstart.
На странице Hidden Text (Скрытый текст): 1. Выберите Add the following hidden text to the document (Добавить следующий скрытый текст в документ). 2. Нажмите Add (Добавить) и выберите, какие поля следует вставить в виде зашифрованного скрытого текста в документ. 3. В целях аналитического отслеживания, скрытый текст можно просмотреть с помощью инструмента просмотра водяного знака DLP (“Использование инструмента просмотра водяного знака DLP” на странице 109). 4. Нажмите OK . Если Microsoft Office 2007 (или выше) установлен на том же компьютере, что и SmartDashboard, предпросмотр водяного знака отображается в файле-образце на панели предпросмотра.
Примечание – Панель предпросмотра недоступна, если вы создаете или редактируете водяной знак из базы правил DLP политики. Чтобы посмотреть предпросмотр, создайте водяной знак из Additional settings > Advanced > Watermarks > New (Дополнительные настройки > Расширенные настройки > Водяные знаки > Новый).
5. В разделе Additional Settings > Advanced > Watermarks (Дополнительные настройки > Расширенные настройки > Водяные знаки):
a) Убедитесь, что выбрано Apply watermarks on Data Loss Prevention rules (Применять водяной знак на правилах Data Loss Prevention). b) Установите, как существующие водяные знаки обрабатываются на документах, которые периодически проходят через DLP шлюзы. Существующие водяные знаки можно сохранить или заменить.
Примечание – Скрытый зашифрованный текст не удаляется, только добавляется каждым DLP шлюзом. Скрытый текст может в дальнейшем использоваться для аналитического отслеживания.
6. Установите политику.
Важно - Если тип данных, на предмет которого проводится сканирование DLP шлюзом, встречается в теле email сообщения, а не в документе, на документ водяной знак установлен не будет. Например, если вы сканируете на номера кредитных карт. Если номер кредитной карты встречается в теле email сообщения с вложенным документом, на документ водяной знак установлен не будет. Тип данных должен встретиться в документе. Предпросмотр водяных знаков В SmartDashboard > вкладка Data Loss Prevention > Additional Settings > Watermarks (SmartDashboard > вкладка Data Loss Prevention > Дополнительные настройки > Водяные знаки) водяные знаки можно предпросмотреть в панели справа в документах-образцах.
Примечание -
• Предпросмотр работает путем скачивания образцов файлов Office с Сервера управления безопасностью и применения водяного знака к ним. Образцы файлов предпросмотра называются: • example.docx • example.pptx • example.xlsx Data Loss Prevention Руководство администратора R75.40VS | 105
Точная настройка
• Чтобы открыть документ или предпросмотреть его, вы должны установить Microsoft Office 2007 (или выше) на компьютер, на котором установлен SmartDashboard. Водяные знаки можно также предпросмотреть на User-Added Files (Файлы, добавленные пользователем).
Чтобы посмотреть водяные знаки на файлах, добавленных пользователем: 1. Откройте выпадающий список в панели предпросмотра. Откроется окно Select File (Выберите файл). 2. Нажмите Add (Добавить) и перейдите к вашему файлу Word, Excel или PowerPoint. Окно Select File (Выберите файл) теперь разделено на User Added Files (Файлы, добавленные пользователем) и Sample Files (Файлы-образцы). 3. Выберите файл, добавленный вашим пользователем, чтобы предпросмотреть его с водяным знаком.
Примечание - Когда вы предпросматриваете добавленный пользователем файл, файл загружается на Сервер управления безопасностью. Файл будет оставаться на сервере, пока вы не удалите его, выделив файл в окне Select File (Выберите файл) и нажав на красный X в верхнем правом углу. Просмотр водяных знаков в документах MS Office Для документов Office, на которые был установлен водяной знак DLP шлюзом, просматривайте водяные знаки следующим образом:
Документ Office Перейдите в: Word View > Print Layout or Full Screen Reading (Вид > Схема печати или Чтение на весь экран) Excel View > Page layout > Print Layout (Вид > Схема страницы > Схема печати) PowerPoint PowerPoint имеет несколько встроенных уровней. Водяной знак DLP располагается выше уровня макета слайда, но ниже уровня содержимого слайда. Это значит, что водяной знак всегда показывается под содержимым слайда.
Разрешение конфликтов водяных знаков При сканировании DLP шлюзом, email сообщение с вложенным документом может соответствовать одному или более DLP правил. Если правила имеют различные и конфликтующие профили водяных знаков, то конфликт должен быть разрешен для видимых водяных знаков и разрешен для скрытого текста.
Разрешение конфликтов скрытого текста Если другие профили водяного знака указывают невидимый текст, текст берется из профиля, прикрепленного к DLP правилу, имеющему наивысшую первоочередность. Первоочередность правил берется из приоритетов ACTION (ДЕЙСТВИЕ) и SEVERITY (СТРОГОСТЬ) в Базе правил DLP.
Действие Приоритет Ask User (Спросить 1 Пользователя) Inform User 2 (Информировать пользователя) Detect (Обнаружить) 3 Скрытый текст берется из профиля водяного знака, принадлежащего правилу, которое имеет наивысший приоритет ACTION (ДЕЙСТВИЕ). Если два правила имеют настройку Ask User (Спросить пользователя), одинаковый приоритет, то учитывается SEVERITY (СТРОГОСТЬ):
Строгость Приоритет Critical (Критичная) 1 High (Высокая) 2 Medium (Средняя) 3 Low (Низкая) 4
Data Loss Prevention Руководство администратора R75.40VS | 106
Точная настройка
Например, если email с вложенным документом соответствует двум правилам: Данные Действие Строгост Профиль водяного знака ь Rule 1 (Правило 1) Ask User Low W1 (Спросить (Низкая) Пользователя) Rule 2 (Правило 2) Detect Critical W2 (Обнаружить) (Критичн ая)
Настройка ACTION (ДЕЙСТВИЕ) для Rule 1 (Правило 1) имеет больший приоритет, нежели чем настройка ACTION (ДЕЙСТВИЕ), определенное для Rule 2 (Правила 2). Rule 1 (Правило 1) первоочередное. Скрытый текст, настроенный для профиля W1, применяется, даже если у Rule 2 (Правило 2) будет большая SEVERITY (Строгость). Если правило меняется на:
Данные Действие Строгость Профиль водяного знака Rule 1 (Правило 1) Inform User Low (Низкая) W1 (Информировать пользователя) Rule 2 (Правило 2) Inform User Medium W2 (Информировать (Средняя) пользователя) Правила имеют тот же приоритет ACTION (ДЕЙСТВИЕ), поэтому учитывается SEVERITY (СТРОГОСТЬ). В данном случае Medium (Средняя) имеет более высокий приоритет, чем Low (Низкая). В документ добавляется скрытый текст из профиля W2. Rule 2 (Правило 2) имеет первоочередный характер. Если правила имеют одинаковый приоритет для ACTION (ДЕЙСТВИЕ) и SEVERITY (СТРОГОСТЬ), например:
Данные Действие Строгость Профиль водяного знака Rule 1 (Правило 1) Inform User Low (Низкая) W1 (Информировать пользователя) Rule 2 (Правило 2) Inform User Low (Низкая) W2 (Информировать пользователя)
Первоочерёдность правила определяется согласно внутреннему расчету, основанному на имени правила в колонке данных.
Разрешение конфликтов видимых водяных знаков Исходящий документ может соответствовать одному или более правил в DLP политике. Если в каждом правиле указаны различные профили водяного знака, то возникнет конфликт. Например, если различными профилями указываются различные тексты в центре, конфликт должен быть разрешен путем объединения различных профилей водяного знака согласно первоочередности правила. Первоочередность правила определяется на основе приоритетов ACTION (ДЕЙСТВИЕ) и SEVERITY (СЕРЬЕЗНОСТЬ). После того как будет определена первоочередность, составляется объединенный профиль водяного знака согласно следующим критериям: • Все видимые водяные знаки из правила с наибольшей первоочередностью добавляются в документ. • Видимые водяные знаки из правила с второй по величине первоочередностью добавляются в документ, только если они не конфликтуют с водяными знаками из первого правила. • Видимые водяные знаки из правила с третьей по величине первоочередностью добавляются в документ, только если они не конфликтуют с водяными знаками, добавленными предыдущими двумя правилами. Процедура повторяется, пока все водяные знаки не будут добавлены в объединенный профиль. Например, если у вас есть три DLP правила, каждое с настроенным Профилем водяного знака, и email сообщение соответствует всем трем этим правилам:
Правило данных Первоочереднос Имя профиля водяного знака Графически DLP ть Rule_A 1 W1 1 Rule_B 2 W2 2 Rule_C 3 W3 3 • Rule_1 имеет большую первоочередность, чем Rule_2 и Rule_3 • Rule_2 имеет большую первоочередность, чем Rule_3
Data Loss Prevention Руководство администратора R75.40VS | 107
Точная настройка
Объединенный профиль (4) составлен из элементов, взятых из всех профилей.
• Все водяные знаки из W1 добавляются в объединенный профиль (4) • Только центральный водяной знак из W2 добавляется в объединенный профиль. (Водяной знак в верхнем правом углу не перепишет водяной знак, помещенный туда профилем W1, который имеет более высокую первоочередность.) • Только водяной знак из W3 в нижнем правом углу добавляется в объединенный профиль. (Водяной знак для места в центре вверху уже занят профилем W1, который имеет более высокую первоочередность.)
Присваивание имени объединенному профилю Если объединенный профиль берет элементы из существующих профилей (скрытый текст или видимые водяные знаки), то имя этих профилей интегрируются в имя объединенного профиля. В примере выше имя объединенного профиля будет W1;W2;W3, с точкой с запятой, разделяющей отдельные имена профилей. Это имя, которое показывается в колонке DLP Watermark Profile (Профиль водяного знака DLP) в SmartView Tracker.
Включение и выключение водяного знака Установку водяных знаков можно отключить разными способами:
• В GuiDBedit: • Найдите свойство enable_watermarking_feature и установите его значение на FALSE.
Data Loss Prevention Руководство администратора R75.40VS | 108
Точная настройка
• В разделе DLP > Additional Settings > Advanced > Watermarks (DLP > Дополнительные настройки > Расширенные настройки > Водяные знаки) уберите флажок с Apply watermarks on DLP rules (Применять водяные знаки в DLP правилах) В базе правил DLP внизу таблицы политики отображается предупреждение Watermarks are not applied on the DLP policy (Водяные знаки не применяются в DLP политике). При нажатии на Apply (Применять) открывается окно Advanced Settings (Расширенные настройки), где вы можете еще раз добавить водяные знаки в DLP правила. Использование инструмента просмотра водяного знака DLP Для аналитического отслеживания скрытый текст можно расшифровать и прочесть, используя инструмент просмотра водяных знаков DLP. Чтобы посмотреть скрытый текст на документе с водяным знаком: 1. Скопируйте документ или папку документов на DLP шлюз. 2. На шлюзе запустите: dlp_watermark_viewer Введите имя одного файла или путь к каталогу, содержащему несколько файлов. 3. Вывод отобразит скрытые поля, включенные в профиль.
^ I Примечание – Инструмент показывает только скрытый текст, но не содержимое документа. Ключи, используемые для расшифровки скрытого текста, хранятся на Сервере управления безопасностью и скачиваются на Шлюз безопасности. DLP шлюзы, управляемые одним и тем же Сервером управления безопасностью, пользуются одними ключами и общим (случайным) ID. Случайный ID идентифицирует Сервер управления безопасностью, который установил DLP политику на шлюз. Инструмент просмотра показывает только текст, добавленный шлюзами, управляемыми одним и тем же Сервером управления безопасностью. Например, для документа, который прошел через три DLP шлюза, каждый из которых управляется разными Серверами управления безопасностью, вы должны скопировать файл на каждый шлюз и запустить инструмент на каждом. Инструмент покажет только скрытый текст, добавленный этим шлюзом, но не текст, добавленный шлюзами, которые управляются другими Серверами управления безопасностью.
Важно - Если вы переустановите Шлюз безопасности, ключи и случайный ID скачиваются с сервера снова. Новый шлюз может использоваться для дешифровки скрытого текста, добавленного старым шлюзом. Но если вы переустановите Сервер управления безопасностью, случайный ID будет потерян. Случайный ID, добавленный в документ шлюзом, не будет соответствовать ID нового Сервера управления безопасностью. DLP просмотрщик не отобразит скрытый текст документа. Точная настройка источника и пункта назначения В базе правил вы можете изменить Source (My Organization) (Источник (Моя Организация)) по умолчанию и Destination (Outside My Org (Пункт назначения (Вне Моей Организации))) на любой объект сети, пользователя или группу, определенную в SmartDashboard, и вы можете выполнить точную настройку пользовательские определения специально для DLP.
Примечание - SMTP сопоставляет только пользователей, группы и email адреса. HTTP и FTP сопоставляют только объекты сети. Если требуется, вы можете добавить сеть и группу пользователей в правило. С версии R75.20 и выше вы можете также использовать следующие объекты как Пункт назначения правила: • My Organization (Моя Организация) – Когда система настроена для работы с Exchange Security Agent, используйте этот объект для определения всей внутренней организации, включая email сообщения от пользователей в Объекте Источника. • Any (Любой) - Когда система настроена для работы с Exchange Security Agent, используйте этот объект для определения любого пункта назначения. Сюда включаются:
• Все пользователи во внутренней организации. • Любой пункт назначения вне организации. • Domain (Домен) – Определяет домен, используемый в HTTP и FTP постах. Например, чтобы проверить посты в Facebook, содержащие конфиденциальный исходный код компании, создайте правило, включающее: • Источник = My Organization (Моя Организация) • Пункт назначения = .facebook.com (объект домена) • Тип данных = Source Code (built-in Data Type) (Исходный код (встроенный тип данных))
Data Loss Prevention Руководство администратора R75.40VS | 109
Точная настройка
Примечание – Эти объекты не имеют принудительного характера в правилах, установленных на шлюзе версий до R75.20. В этих случаях установка политики может быть неудачной и вызвать ошибки и предупреждения. Во избежание этих ошибок убедитесь, что в колонке Install On (Установить на) указываете версии шлюза R75.20 и выше.
Чтобы создать объект домена: 1. Откройте вкладку Firewall > дерево Network Objects > New > Domain (Сетевой экран > дерево Объекты сети > Новый > Домен). 2. Введите URL домена и нажмите OK.
Создание различных Правил для различных отделов Вы можете установить в качестве Источника правила любого определенного пользователя, группу, хост, сеть или VPN. Вы можете затем установить в качестве Пункта назначения Внешний. Правило будет проверять передачи данных из источника в любой пункт назначения вне источника. Так создадутся DLP правила, специфичные для одной группы пользователей.
Примите во внимание разницу между Outside Source (Внешний источник) (внешний по отношению к источнику, являющемуся подсетью Моей Организации) и Outside of My Org (Вне Моей Организации) (внешний о отношению в Моей Организации). Чтобы активировать использование Внешнего источника, DLP шлюз должен работать перед серверами, обрабатывающими протоколы передачи данных. Например, чтобы использовать Внешний при SMTP передачах данных, DLP шлюз должен проверить email сообщения до того, как это сделает Почтовый сервер.
Как вариант, Пунктом назначения правила может быть другой пользователь, группа, хост и т.д. так создадутся DLP правила, проверяющие и контролирующие передачи данных между двумя группами пользователей. Примеры: 1. DLP правило для предотвращения случаев утечки из финансового отдела информации о зарплате сотрудникам. • Источник = Finance (Финансовый отдел) (определите группу, включающую пользователей, группы или сеть, которая определяет финансовый отдел) • Пункт назначения = Outside Source (Внешний источник) (любой пункт назначения вне финансового отдела, внутренний ли внешний к Моей Организации) • Тип данных = Salary Reports (Отчеты о зарплате) (определите Группу типов данных, которая сопоставляет динамические таблицы ИЛИ регулярные выражения для зарплат в долларах - ([0-9]*),[0-9][0-9][0-9].[0-9][0-9] и имена сотрудников) Данные Источник Пункт назначения Действие Salary Reports Finance (Финансовый Outside Source Prevent (Отчеты о отдел) (Внешний источник) (Предотвратить) зарплате) 2. DLP правило для предотвращения случаев отсылки постоянными сотрудниками списков клиентов временным сотрудникам. • Источник = My Organization (Моя Организация) • Пункт назначения = Temps (Временные сотрудники) (определите группу учетных записей пользователей временных сотрудников) • Тип данных = Customer Names (Имена клиентов) (встроенный тип данных, настраиваемый с вашим словарем имен клиентов) Данные Источник Пункт назначения Действие Customer Names My Organization (Моя Temps (Временные Prevent (Имена клиентов) Организация) сотрудники) (Предотвратить) 3. Различные DLP правила для различных отделов. Правовой отдел посылает конфиденциальные юридические документы в вашу юридическую фирму. Им нужна возможность отсылки в эту фирму, но ни в коем случае не распространять кому-либо еще, внутри организации или вне ее. HR нужно посылать законные контракты всем сотрудникам, но ни в коем случае не кому-либо еще вне организации. Все остальные отделы не должны иметь причин посылать юридические документы на основе вашего корпоративного шаблона кому-либо, за исключением отсылки контрактов обратно HR.
Data Loss Prevention Руководство администратора R75.40VS | 110
Точная настройка
Первым правилом будет: • Источник = Legal (Правовой отдел) (группа, которую вы определяете, включающая ваш Правовой отдел) • Пункт назначения = Outside Source (Внешний источник) (для предотвращения случаев утечки документов в другие отделы и за пределы организации) • Данные = встроенные Legal Documents (Юридические документы) • Исключение = разрешить отсылку данных на email адрес вашего юриста • Действие = Ask User (Спросить пользователя)
Вторым правилом будет: • Источник = HR • Пункт назначения = Outside My Org (Вне Моей Организации) • Данные = встроенные Legal Documents (Юридические документы) • Действие = Ask User (Спросить пользователя)
Третьим правилом будет: • Источник = выборка всех групп за исключением Правового отдела и HR • Пункт назначения = Outside Source (Внешний источник) (для предотвращения случаев обмена пользователями конфиденциальными контрактами) • Данные = встроенные Legal Documents (Юридические документы) • Исключение = разрешить отсылку данных HR • Действие = Ask User (Спросить пользователя)
I Примечание – В этом правиле вам нужно исключить две группы, если вы хотите, чтобы предыдущие правила применялись. Если вы выбрали Мою Организацию в качестве источника третьего правила, оно применится к пользователям в правовом отделе и HR и, таким образом, нейтрализует остальные правила.
Изоляция DMZ Чтобы обеспечить проверку передач данных в DMZ системой Data Loss Prevention, определите DMZ как находящуюся вне Моей Организации. Например, согласно Стандарту защиты информации в индустрии платежных карт, требованию 1.4.1, нужно включить DMZ в среду, чтобы запретить прямой Интернет трафик direct в точки доступа к защищенным внутренним данным и из них. Чтобы обеспечить Data Loss Prevention проверку трафика от Моей Организации в DMZ: 1. Убедитесь, что конфигурация DLP шлюза включает определение хостов и сетей DMZ. 2. В SmartDashboard откройте вкладку Data Loss Prevention. 3. Нажмите My Organization (Моя Организация). 4. В области Networks (Сети) убедитесь, что: • Выбрано Anything behind the internal interfaces of my DLP gateways (Все, что за внутренними интерфейсами моих DLP шлюзов). • Не выбрано Anything behind interfaces which are marked as leading to the DMZ (Все, что за интерфейсами, которые отмечены как ведущее к DMZ) 5. Нажмите OK .
Определение строжайшей безопасности Вы можете определить максимально возможную строгость среды. Использование следующих настроек обеспечивает, чтобы передачи данных всегда проверялись на Data Loss Prevention, даже если передача данных из и в пределах вашей безопасной среды. Например: • Если ваша организация включает много временных пользователей и небольшое количество постоянных пользователей и машин • Если системный администратор долго удаляет псевдонимы уволенных • Если ваш домен меняется
Data Loss Prevention Руководство администратора R75.40VS | 111
Точная настройка
Важно – Вы должны обеспечить, чтобы законные передачи данных не блокировались и чтобы многочисленные email уведомления не утомляли Владельцев данных. Если вы используете настройки, описанные здесь, установите действия правил на Detect (Обнаружить), пока вы не будете уверены, что вы включили все законные пункты назначения в это строгое определение внутренней Моей Организации.
Чтобы определить строгие условия Моей Организации: 1. В SmartDashboard откройте вкладку Data Loss Prevention. 2. Нажмите My Organization (Моя Организация). 3. В области Email Addresses (Email адреса) удалите любые определенные элементы. 4. В области VPN выберите All VPN traffic (Весь VPN трафик) и нажмите Exclusions (Исключения). 5. В открывшемся окне VPN Communities (VPN сообщества) добавьте сообщества, чье сообщение не должно проверяться DLP. 6. В области Networks (Сеть) выберите These networks and hosts only (Только эти сети и хосты) и нажмите Edit (Редактировать). 7. В окне Networks and Hosts (Сети и хосты) выберите определенные объекты сети Check Point, которые вы хотите включить в My Organization (Моя Организация). 8. В областях Users (Пользователи) выберите These users, user groups and LDAP groups only (Только эти пользователи, группы пользователей и LDAP группы) и нажмите Edit (Редактировать). 9. В окне User Groups and Users (Группы пользователей и пользователи) выберите определенных пользователей, группы пользователей и LDAP группы, которые вы хотите включить в My Organization (Моя Организация). Передачи данных между внутренними объектами и пользователями будет пропускаться без проверки, если Source (Источник) правила является My Organization (Моя Организация). Все остальное будет проходить через Data Loss Prevention. Определение протоколов DLP Правил Каждое правило в политике Data Loss Prevention имеет определение для протоколов передачи данных. Настройка по умолчанию для Protocols (Протоколы) – Any (Любой): DLP сканирует передачи данных по всем активированным протоколам. Вы можете контролировать, какие протоколы будут поддерживаться DLP в целом, или каждым шлюзом, или для каждого правила.
Чтобы определить поддерживаемые протоколы для DLP: 1. Откройте Additional Settings> Protocols (Дополнительные настройки > Протоколы). 2. Выберите протоколы, которые DLP должен поддерживать, в целом. Например, если производительность начинает испытывать проблемы, вы можете убрать флажок с поля HTTP, не делая никаких других изменений в политике. HTTP посты и веб почта проходят без проверки Data Loss Prevention. Чтобы определить поддерживаемые протоколы для отдельных DLP шлюзов: 1. Откройте Additional Settings> Protocols (Дополнительные настройки > Протоколы). 2. В области Protocol Settings on DLP Blades (Настройки протокола на блейдах DLP) выберите DLP шлюз. 3. Нажмите Edit (Редактировать). Откроется окно свойств шлюза. 4. Откройте страницу Data Loss Prevention свойств шлюза. 5. Выберите Apply the DLP policy to these protocols only (Применять DLP политику только к этим протоколам) и выберите протоколы, которые должен поддерживать DLP шлюз. Чтобы определить поддерживаемые протоколы для правила: 1. В виде Policy (Политика) нажмите кнопку плюса колонки Protocol (Протокол). Если эта колонка невидима, нажмите правой кнопкой мыши на заголовок колонки. В появившемся списке возможных колонок выберите Protocols (Протоколы). 2. Выберите протоколы для этого правила. Трафик, соответствующий другим параметрам правила, но который посылается через другой протокол, не проверяется. Точная настройка для протокола Когда вы выбираете конкретный источник или пункт назначения для DLP правила, вы можете оптимизировать правило для выбранного протокола.
Data Loss Prevention Руководство администратора R75.40VS | 112
Точная настройка
По умолчанию, правила используют все поддерживаемые протоколы или протоколы по умолчанию, выбранные для шлюза (в окне шлюза Check Point). Если вы укажете, что правило должно использовать только протоколы отправки почты, например, SMTP, источником и пунктом назначения могут быть пользователи (включая группы пользователей и единицы учетных записей LDAP) или email адреса (включая конкретные email или домены). Если вы укажете, что правило должно использовать только HTTP или FTP или боа, правило будет игнорировать любой источник или пункт назначения, который не признается IP адресом. Если правило использует все поддерживаемые протоколы, HTTP и FTP будут признавать только источник и пункты назначения, которые могут быть определены IP адресом. SMTP будет признавать и исполнять правило для источников и пунктов назначения на основе пользователей и email.
Настройка дополнительных HTTP портов Чтобы сканировать передачи данных по HTTP, осуществляемые на любом порту, отличном от стандартных HTTP портов (80, 8080), вы должны определить нестандартные порты, включаемые в HTTP протокол. Чтобы добавить порты в HTTP: 1. В SmartDashboard выберите Manage > Services (Управление > Услуги). Откроется окно Services (Услуги). 2. Нажмите New > TCP (Новый > TCP). Откроется окно TCP Service Properties (Свойства TCP услуги). 3. Введите имя для веб-услуги. 4. Введите порт или диапазон портов. 5. Нажмите Advanced (Расширенные настройки). Откроется окно Advanced TCP Service Properties (Расширенные свойства TCP услуги). 6. Оставьте Source Port (Порт источника) пустым. 7. В списке Protocol Type (Тип протокола) выберите HTTP. 8. Нажмите OK .
Data Loss Prevention Руководство администратора R75.40VS | 113
Приложение A
Расширенная конфигурация и устранение сбоев в работе
В следующих разделах объясняется, как обслуживать DLP шлюз и захваченные
файлы. В этом Приложении
Настройка доступа пользователей к интегрированному DLP шлюзу 114 Внутренняя политика Firewall для выделенного DLP шлюза 115 Расширенные настройки обработки истечения срока 116 Расширенные настройки SMTP квот 116 Расширенные настройки FTP и HTTP квот 117 Расширенные настройки уведомления пользователей 117 Устранение сбоев: происшествия не истекают 118 Устранение сбоев: почтовый сервер заполнен 118 Очистка шлюза от истекших данных 119 Очистка шлюза от всех перехваченных данных 119 Настройка уведомлений, связанных с DLP пользователями 121 Поддержка LDAP серверов с UTF-8 записями 122 Редактирование значений экстремальных условий 123 Редактирование значений Exchange Security Agent 124 Настройка HTTP проверки на всех портах 125 Определение новых типов файлов 126 Сертификаты сервера 141
Настройка доступа пользователей к интегрированному DLP шлюзу Чтобы использовать DLP Портал и UserCheck, пользователям должно быть разрешено иметь доступ к DLP шлюзу. По умолчанию, пользователи имеют доступ к DLP шлюзу только через его внутренние интерфейсы, но не через его внешние интерфейсы. Вы можете настроить доступ пользователей к DLP шлюзу в SmartDashboard в разделе Accessibility (Доступность) на странице Data Loss Prevention объекта DLP шлюза. Имеются следующие опции: • Through all interfaces (Через все интерфейсы) – Позволяет пользователям иметь доступ к DLP шлюзу через все интерфейсы, включая внешние интерфейсы. Примечание – Не рекомендуется использовать “Through all interfaces”, когда DLP шлюз развернут по периметру.
• Through internal interfaces (Через внутренние интерфейсы) – Позволяет пользователям иметь доступ к DLP шлюзу через интерфейсы, определенные как Internal (Внутренние) на странице Topology (Топология) объекта DLP шлюза. Если интерфейс настроен на странице Topology (Топология) как Not Defined (Не определенный) или как Interface leads to DMZ (Интерфейс ведет к DMZ), он не считается как внутренний интерфейс в отношении опций Доступности DLP. Это опция по умолчанию. Эта опция рекомендуется для предотвращения несанкционированного доступа к DLP шлюзу с внешних интерфейсов шлюза. Чтобы эта опция имела смысл, убедитесь, что топология внутренних и внешних интерфейсов DLP шлюза определена правильно. • Including VPN encrypted interfaces (Включая зашифрованные VPN интерфейсы) - Выберите эту опцию, чтобы позволить пользователям иметь доступ к DLP шлюзу через соединения, осуществляемые с зашифрованных VPN интерфейсов. Data Loss Prevention Руководство администратора R75.40VS | 114 Расширенная конфигурация и устранение сбоев в работе • According to the Firewall policy (Согласно Firewall политике) – Разрешает доступ согласно правилам Базы правил Firewall, определенным администратором SmartDashboard. Используйте эту опцию, если вы хотите определить, какие порты открыть для DLP. Применимые порты:
Свойство Услуга TCP порт DLP Portal (DLP TCP HTTP 80 портал) TCP HTTPS 443 UserCheck TCP 18300 TCP HTTPS 443 Reply-to-email TCP HTTPS 25
Например, чтобы разрешить доступ от удаленных сайтов и (или) удаленных пользователей на DLP шлюз, добавьте правила, которые разрешают доступ к услуге UserCheck (порт18300) и HTTPS (порт 443) от этих VPN сообществ к DLP шлюзу. Вы можете также определить IP адрес источника, с которого разрешается SMTP сообщение. Это обычно почтовый сервер, который получает email сообщения от пользователей.
Внутренняя политика Firewall для выделенного DLP шлюза Выделенный DLP шлюз исполняет предопределенную, фиксированную Internal firewall policy (Внутреннюю политику Firewall). Эта политика предоставляет пользователям доступ к DLP шлюзу для UserCheck услуг: DLP Портал, UserCheck и SMTP. Политика состоит из подразумеваемых правил. Внутренняя политика Firewall на выделенном DLP шлюзе не относится к политике Data Loss Prevention (DLP), которая определена администратором на странице Policy (Политика) во вкладке Data Loss Prevention в SmartDashboard. Она также не относится к политике Firewall, которая явным образом определяется администратором во вкладке Firewall в SmartDashboard. Если вы выполняете Install Policy (Установить политику): • Интегрированный DLP Шлюз безопасности исполняет Firewall Policy (Политику Firewall) и Политику Data Loss Prevention (DLP). • Выделенный DLP шлюз исполняет Internal Firewall Policy (Внутреннюю политику Firewall) и Политику Data Loss Prevention (DLP). Важно - Выделенный DLP шлюз не приводит в исполнение политику Firewall, проверку состояния соединения, антиспуфинг или NAT. Check Point рекомендует развернуть его за защищающим Шлюзом безопасности или сетевым экраном.
Внутренняя политика Firewall позволяет пользователям иметь доступ к следующим услугам и портам (и никаким другим) на DLP шлюзе:
Свойство Услуга TCP порт DLP Portal (DLP TCP HTTP 80 Портал) TCP HTTPS 443 UserCheck TCP 18300 TCP HTTPS 443 WebUI TCP 4434 Reply-to-email SMTP 25 Secure Shell (Протокол SSH 22 SSH) ICMP ICMP запросы
Data Loss Prevention Руководство администратора R75.40VS | 115 Расширенная конфигурация и устранение сбоев в работе Расширенные настройки обработки истечения срока Вы можете изменить время истечения для необработанных UserCheck происшествий. Это можно сделать в конфигурационных файлах DLP. Вы должны убедиться, что время истечения происшествия больше, чем время истечения для запоминания действий пользователя, чтобы вы не обнулили свойство, которое запоминает действия пользователя. Чтобы изменить время истечения: 1. На DLP шлюзе откройте файл $FWDIR/dlp/config/dlp.conf. 2. Найдите срок истечения для параметра карантина: :backend ( : expiration ( :quarantine (604800) Значение по умолчанию - 604800. Это количество секунд, которое происшествие DLP Ask User (Спросить пользователя) будет удерживаться в DLP шлюзе, пока пользователь решает, следует ли его отправить или сбросить. 3. Найдите срок истечения для запоминания действий пользователя (называется thread_caching) в том же разделе backend. :backend ( .( . . ) :thread caching ( :cache expiration in days (7) Значение backend: expiration:quarantine в переводе с секунд на дни должно быть больше или равно значению backend:thread_caching:cache_expiration_in_days. 4. Измените значение карантина в зависимости от необходимости. По умолчанию, данные происшествия удерживаются в шлюзе в течение 21 дней после того, как происшествие фактически истекло. Это дополнительное время позволяет вам восстановить данные для пользователей, которые были, например, в отпуске. Вы можете изменить интервал удаления. 5. Измените значение (в днях) для backend:expiration:db в зависимости от необходимости. :backend ( :expiration ( :db (21) 6. Сохраните dlp.conf и установите политику на DLP шлюз. Расширенные настройки SMTP квот Проверка DLP квоты обеспечивает, чтобы пользователи не перегружали файловую систему необработанными UserCheck происшествиями. Если у пользователя есть так много захваченных email сообщений или email сообщения с большими вложениями, что превышается квота на пользователя, DLP обрабатывает этот вопрос. Порог email квоты имеет два значения – минимальное и максимальное. Если пользователь превышает максимальную email квоту, DLP удаляет более старые email сообщения, пока размер папки файловой системы пользователя не станет ниже порога минимальной квоты.
Чтобы изменить квоту: 1. На DLP шлюзе откройте файл $FWDIR/conf/mail_security_config. 2. Найдите параметры квоты: #is quota for mail repository active value can be 0 or 1 user_quota_active=1 #quota size per user in Mega Byte currently set to 100 mb per user quota size per user=100 #quota size per user upper and lower limit in percentage values can range between 0 to 100 and upper can't be smaller than lower user quota upper limit=90 user quota lower limit=50
• Чтобы деактивировать проверки квот и удаления, установите user_quota_active на 0.
Data Loss Prevention Руководство администратора R75.40VS | 116 Расширенная конфигурация и устранение сбоев в работе Оставшиеся опции имеют значение, только если user_quota_active=1. • Чтобы изменить размер папки, выделенный на каждого пользователя для DLP происшествий и данных, измените значение quota_size_per_user (Мб). • Чтобы установить порог (процент размера квоты), при превышении которого более старые email сообщения будут удаляться, измените значение user quota upper limit. По умолчанию, если превышается 90% от размера квоты, DLP начинает удалять более старые email сообщения. • Чтобы установить нижний лимит (процент размера квоты), измените значение user_quota_lower_limit. По умолчанию, очистка квоты останавливается, когда удалено достаточно email сообщений, чтобы вернуть размер папки пользователя к 50% от размера квоты или ниже. 3. Сохраните mail_security_config и установите политику на DLP шлюзе.
Расширенные настройки FTP и HTTP квот Эта проверка квоты обеспечивает, чтобы пользователи не перегружали файловую систему необработанными UserCheck происшествиями, используя FTP или HTTP передачи данных. Если у пользователя есть так много захваченных HTTP постов или попыток крупных FTP загрузок, что превышается квота на пользователя, DLP обрабатывает этот вопрос.
Чтобы изменить квоту: 1. На DLP шлюзе откройте файл $FWDIR/dlp/conf/dlp.conf. 2. Найдите раздел HTTP или FTP и этот параметр: save_incident_quota_percentage Значение по умолчанию - 85. Это 85% от файловой системы для этого типа передачи данных. Диапазон значений от 0 до 100. Если значение нулевое, квота отсутствует. 3. Измените это значение, чтобы изменить порог, инициирующий очистку. Когда использование диска больше, чем это значение, происшествия не сохраняются. Если вы уменьшите это значение, рекомендуется уменьшить возраст FTP и HTTP происшествий до удаления, чтобы обеспечить наличие достаточного места на диске для сохранения происшествий: Файл $FWDIR/conf/mail_security_config > Параметр dlp_delete_redundant_files_age_group1_files 4. Сохраните dlp.conf и установите политику на DLP шлюзе.
Расширенные настройки уведомления пользователей Вы можете активировать или деактивировать email уведомления, которые отправляются пользователям, когда их захваченные DLP происшествия или данные о происшествиях удаляются из шлюза. Уведомления особенно важны, если происшествия и данные удаляются по причине превышения квоты (может случиться, если email хранилище пользователя превысит разрешенный пользователем лимит), потому что: DLP может удалять UserCheck происшествия и данные, для которых ожидалось, что у пользователя будет больше времени для обработки. DLP удаляет данные; возможности отменить действие нет. С другой стороны, если пользователь получает уведомление, что происшествие истекло, потому что оно не было обработано вовремя, вы все еще можете извлечь данные о происшествии (если требуется). DLP удаляет все данные истекших происшествий спустя несколько дней с момента истечения даты. Вы можете решить, которые DLP автоматические действия запускают уведомления в GuiDBedit. GuiDBedit, также известный как Check Point Database Tool (Инструмент Базы Данных Check Point), позволяет вам изменять конфигурационные файлы Check Point в GUI. Чтобы активировать или деактивировать уведомления пользователя о DLP удалении: 1. Откройте GuiDBEdit:
a) На компьютере SmartDashboard запустите: C:\Program Files\CheckPoint\SmartConsole\R75.40VS\PROGRAM\GuiDBEdit.exe b) Войдите с Вашими правами SmartDashboard. 2. Откройте Table > Other > dlp_data_tbl (Таблица> Другое > dlp_data_tbl) 3. Откройте dlp_general_settings_object Этот параметр определяет типы email сообщений, которые должны отправляться по превышению квот и истечению происшествий.
Data Loss Prevention Руководство администратора R75.40VS | 117 Расширенная конфигурация и устранение сбоев в работе 4. Установите желаемое значение поля active (активный) для email уведомлений. 5. Сохраните изменения и установите политику.
Устранение сбоев: происшествия не истекают Если UserCheck происшествия не истекают или изменение значения параметра карантина не приводится в действие, проверьте, чтобы истечение был активировано.
Чтобы активировать истечение UserCheck происшествий: 1. На DLP шлюзе откройте файл $FWDIR/conf/mail_security_config. 2. Найдите параметр expiration active: [mail_repository] #is expiration for mail repository active value can be 0 or 1 expiration_active=1
Значение по умолчанию - 1. Если значение expiration_active - 0, то происшествия истекать не будут. 3. Сохраните mail_security_config и установите политику на DLP шлюз.
Устранение сбоев: почтовый сервер заполнен Каталог /var/spool/mail может заполниться. Это может произойти, если вы деактивируете настройку удаления данных происшествия после истечения или при превышении квоты. Это может также произойти в ходе обычного использования, в зависимости от вашей среды. Квота для DLP данных, хранимых на почтовом сервере, устанавливается в конфигурационных файлах. DLP в рабочем порядке проверяет коэффициент использования в каталоге почтового сервера /var/spool/mail на параметр DLP global_quota_percentage. Если коэффициент использования на почтовом сервере превышает глобальную квоту: email сообщения больше не сохраняются; все email сообщения о UserCheck происшествиях пропускаются; и выпускаются записи журналов SmartView Tracker.
Чтобы изменить процент использования квоты: 1. На DLP шлюзе откройте файл $FWDIR/conf/mail_security_config. 2. Найдите параметр глобальной квоты: # ... no more emails are written and a log comes out every 5 minutes global quota percentage=8 0
Значение по умолчанию 80 (использованный % почтового сервера). 3. Измените значение на желаемый процент использования. 4. Сохраните mail_security_config и установите политику на DLP шлюзе.
Чтобы изменить логику DLP, если превышается глобальная квота: 1. На DLP шлюзе откройте файл $FWDIR/dlp/config/dlp.conf. 2. Найдите параметры SMTP: :smtp ( :enabled (1) :max_scan_size (150000000) :max_recursion_level (4) :max_attachments (100) :block_on_engine_error (0)
• Если вы хотите, чтобы email сообщения UserCheck отправлялись и заносились в журнал (такая же логика, как и при Detect (Обнаружить)), оставьте block_on_engine_error (0) • Если вы хотите, чтобы email сообщения UserCheck сбрасывались и заносились в журнал (такая же логика, как и при Prevent (Предотвратить)), измените значение на 1: block on engine error (1) 3. Сохраните dlp.conf и установите политику на DLP шлюзе. Data Loss Prevention Руководство администратора R75.40VS | 118 Расширенная конфигурация и устранение сбоев в работе
Важно – В целях безопасности и производительности рекомендуется, чтобы квота почтового сервера была активирована. Однако если вам необходимо деактивировать ее, установите параметр global_quota_active в $FWDIR/conf/mail_security_config на 0.
Очистка шлюза от истекших данных Полные данные о UserCheck происшествиях хранятся в карантине на DLP шлюзе. Таким образом, если email сообщение захватывается, и оно содержит большое вложение, оно занимает требуемое место на шлюзе, пока происшествие не будет обработано или не истечет. DLP шлюз автоматически очищается от данных истекших происшествий. Данные происшествия, хранящиеся в течение backend:expiration:db количества дней, удаляются.
Чтобы изменить, как часто и когда шлюз проверяет данные для удаления: 1. На DLP шлюзе откройте файл $FWDIR/conf/mail_security_config. 2. Найдите параметр интервала истечения: #A check for expired email items is executed every 'expiration_interval' minutes expiration_interval=1440 #the first time of execution for the expiration feature set to begin at 3:30 in the morning when there is no traffic on the system expiration_execution_time=3:45 3. Измените значение expiration_interval (минуты), чтобы шлюз искал истекшие данные при другом интервале. Значение по умолчанию - 1440 минут, то есть один день. 4. Измените значение expiration_execution_time (по 24-часовому исчислению), чтобы изменить время дня, когда очищается шлюз. По умолчанию это 3:45, чтобы обслуживание шлюза не повлияло на производительность в течение обычных рабочих часов. 5. Сохраните mail_security_config и установите политику на DLP шлюзе.
Очистка шлюза от всех перехваченных данных DLP автоматически и периодически очищает свой шлюз от временных файлов, чтобы коэффициент использования диска чрезмерно не вырастал с течением времени. Однако некоторые ненужные файлы могут остаться на диске. Например, если шлюз дает сбой, могут сохраниться большие журналы с записями о сбое. Процесс очистки DLP можно настроить с помощью конфигурационных файлов:
• $FWDIR/conf/mail_security_config
• $DLPDIR/config/dlp cleanup files list.conf Важно – Не рекомендуется деактивировать процесс очистки. Однако если вы должны это сделать, установите значение dlp_delete_redundant_files_active на 0.
Параметры mail_security_config Описание dlp_delete_redundant_files_interval Как часто (в минутах) происходит очистка. По умолчанию = 1440 (24 часа) dlp_delete_redundant_files_execution_time Точное время (по 24-часовому исчислению), когда запускается очистка. По умолчанию = 4:45 (во время низкой нагрузки шлюза) dl p_d elete_redundant_files_age_g roup1_fil es Минимальный возраст файлов данных UserCheck, который должен сохраняться на диске до наступления истечения времени для обработки. По умолчанию = 0 (используйте значение expiration_time_in_days) Примечание: Это значение не изменяет истечение
Data Loss Prevention Руководство администратора R75.40VS | 119 Расширенная конфигурация и устранение сбоев в работе происшествия; изменение происходит, когда данные истекших происшествий удаляются. dl p_d elete_redundant_files_age_g ro up2_fi l Минимальный возраст файлов в /proc es По умолчанию = 15 минут dl p_d elete_redundant_files_age_g ro up3_fi l Минимальный возраст файлов в $FWDIR/tmp/dlp es По умолчанию = 15 минут Файл dlp_cleanup_files_list.conf – это список команд сканирования со следующим синтаксисом: scan [ CHECK DB | - ] path mask scale age Описание
CHECK_DB Тестирует файлы, чтобы убедиться, что они в базе данных DLP, чтобы предотвратить or случайное удаление данных UserCheck происшествия: scan CHECK DB Чтобы очистить все, даже захваченные пользовательские данные, измените флажок на тире ( - ): scan - path Путь к удаляемым файлам. Может включать ярлыки, например, $DLPDIR или $FWDIR, но не может содержать пробелов. mask Регулярные выражения для сопоставления файлов: * = все файлы Используемые маски по умолчанию включают: *.eml, *.resuit, *.meta scale Единица измерения для параметра возраста: minutes back или days back age Минимальное время, которое должно пройти с создания файла, по прошествии которого файл можно удалить
Примечание – В содержимом файла описываются дополнительные опции, например, как использовать макросы для возраста файла. Рекомендуется прочитать комментарии файла перед выполнением каких-либо изменений.
Значения возраста по умолчанию команд сканирования в файле – это макросы, которые берут значения из mail_security_config. Вы можете использовать числовые значения вместо макросов.
Макрос Описание возраста $2 Возраст группы 1 (в днях): файлы данных UserCheck, значение берется из dlp delete redundant files age group1 files $3 Возраст группы 2 (в минутах): файлы /proc, значение берется из dlp delete redundant files age group2 files $4 Возраст группы 3 (в минутах): файлы /tmp/dlp, значение берется из dlp delete redundant files age group3 files
Data Loss Prevention Руководство администратора R75.40VS | 120 Расширенная конфигурация и устранение сбоев в работе Настройка уведомлений, связанных с DLP пользователями В следующих процедурах объясняется, как настраивать по своему усмотрению внутренние файлы, чтобы изменить текст уведомлений, связанных с пользователями. Вы можете также перевести файлы на другой язык, отличный от американского английского.
Чтобы настроить email уведомления DLP: 1. На шлюзе в $DLPDIR/backend/conf/, отредактируйте следующие файлы:
Файл Цель dictionary_en_us.conf Основной словарь about_to_expire_notification_tmplt_en_us.html Email уведомления data_owners_mail_notification_tmplt_en_us.html detect_mail_notification_tmplt_en_us.html expired_owners_mail_tmplt_en_us.html expired_sender_mail_tmplt_en_us.html failure_mail_notification_en_us.html prevent_mail_notification_tmplt_en_us.html quarantine_mail_notification_tmplt_en_us.html quota_deleted_notification_tmplt_en_us.html released_mail_notification_tmplt_en_us.html
2. Чтобы применить изменения, выполните Install Policy (Установить политику) на DLP шлюзе.
Чтобы настроить UserCheck DLP уведомления (Доступны с R71.10 DLP): Вы можете настроить UserCheck уведомления, отредактировав файлы. Например, чтобы отредактировать
уведомление на скриншоте, вам нужно отредактировать quarantine_smtp_uc_notification_tmplt_en_us.html
На шлюзе в $DLPDIR/backend/conf, отредактируйте следующие файлы UserCheck уведомлений:
Файл Цель inform_ftp_uc_notification_tmplt_en_us.html ftp protocol when the action is inform inform_http_uc_notification_tmplt_en_us.html http protocol when the action is inform inform_smtp_uc_notification_tmplt_en_us.html smtp protocol when the action is inform prevent_ftp_uc_notification_tmplt_en_us.html ftp protocol when the action is prevent
Data Loss Prevention Руководство администратора R75.40VS | 121 Расширенная конфигурация и устранение сбоев в работе
Файл Цель prevent_http_uc_n otification_tmplt_en_us.htm l http protocol when the action is prevent prevent_smtp_uc_notification_tmplt_en_us.html smtp protocol when the action is prevent quarantine_ftp_uc_notification_tmplt_en_us.html ftp protocol when the action is ask quarantine_http_uc_notification_tmplt_en_us.html http protocol when the action is ask quarantine_smtp_uc_notification_tmplt_en_us.html smtp protocol when the action is ask Чтобы применить изменения, выполните Install Policy (Установить политику) на DLP шлюзе.
Чтобы настроить DLP Портал: Примечание – Никогда не изменяйте ключ, так как он может использоваться больше чем в одном месте, и вызов отсутствующего ключа может привести к ошибке при исполнении. Следует менять только текстовое содержимое. Используйте следующие правила:
• Keep only HTML (Сохранить только HTML)
• Must not contain double quotes, dollar sign or backslash symbols (Не должен содержать двойные
кавычки, знак доллара или символы обратной косой черты).
• May contain HTML entities (Может содержать HTML элементы). Например: " (двойные кавычки), $ (знак доллара), \ (обратная косая черта) 1. На шлюзе настройте файл $DLPDIR/portal/apache/phpincs/conf/L10N/portal_en_US.php. 2. Чтобы применить изменения, запустите cpstop and cpstart on the gateway.
Чтобы настроить текст уведомления в SmartDashboard: 1. Откройте SmartDashboard > Data Loss Prevention. 2. Из категорий слева выберите Policy (Политика). 3. В правиле, в котором есть уведомления как часть Действия нажмите правой кнопкой мыши на Action (Действие) и выберите Edit Notification (Редактировать уведомление). 4. Измените текст уведомления. 5. Чтобы применить изменения, выполните Install Policy (Установить политику) на DLP шлюзе. Важно – Изменения в файлах будут потеряны при обновлении до следующей версии. Рекомендуется сохранить копию файлов всех изменений, чтобы перезаписать обновленные файлы.
Локализация уведомлений, связанных с DLP пользователями Вы можете локализовать текст всех уведомлений, связанных с пользователями, переведя на язык, отличный от американского английского. Вы можете изменить текст уведомлений в email, UserCheck и внутренних файлах портала, а также в SmartDashboard на тот же язык.
Примечание - DLP может обнаруживать типы данных во всех языках.
Поддержка LDAP серверов с UTF-8 записями По умолчанию, DLP поддерживает LDAP пользователей только с ASCII кодировкой на английском языке.
Для поддержки LDAP серверов с UTF-8 записями пользователей: 1. Откройте GuiDBedit. 2. Слева выберите Managed Objects > Servers (Управляемые объекты > Сервера). 3. Для каждой единицы учетной записи LDAP с именем
Data Loss Prevention Руководство администратора R75.40VS | 122 Расширенная конфигурация и устранение сбоев в работе Редактирование значений экстремальных условий Вы можете настроить две опции для экстремальных условий в SmartDashboard, которые определяют, когда предпочитать возможность соединения: • When the Gateway is under heavy CPU load (Когда Шлюз под высокой нагрузкой ЦП) - Выберите эту опцию, чтобы сохранить подключение, когда нагрузка на ЦП больше, чем разрешенный верхний порог. Эта опция по умолчанию не выбрана.
• Когда вы выбираете это поле, и присутствуют условия высокой нагрузки - FTP и HTTP трафик обходится и не проверяется. По умолчанию, непрерывно проверяется только SMTP трафик. Полная DLP проверка восстанавливается, когда нагрузка на ЦП возвращается к значению ниже нижнего порога. • Когда вы снимаете выделение с этого поля, и присутствуют условия высокой нагрузки - FTP, HTTP и SMTP трафик проверяется непрерывно. • Under all other extreme conditions (Во всех экстремальных условиях) - Выберите эту опцию, чтобы сохранять соединение при экстремальных условиях (внутренние ошибки или слишком большие размеры сообщений). Данная опция выбрана по умолчанию. • Когда вы выбираете это поле, и имеется внутренняя ошибка или сообщение превышает максимальный размер – весь трафик разрешается. • Когда вы снимаете выделение с этого поля, и имеется внутренняя ошибка или сообщение превышает максимальный размер – весь трафик блокируется. Эти опции настраиваются в SmartDashboard в вкладке Data Loss Prevention > Additional Settings > Advanced > раздел Extreme Conditions (Data Loss Prevention > Дополнительные настройки > Расширенные настройки > раздел Экстремальные условия). Значения по умолчанию для extreme conditions (экстремальных условий) существуют в приложении GuiDBEdit. С помощью GuiDBEdit вы можете отредактировать значения по умолчанию для параметров, относящихся к extreme conditions (экстремальным условиям) (см. поля ниже).
Чтобы отредактировать значения полей Экстремальных условий: 1. Откройте GuiDBedit:
a) На компьютере SmartDashboard запустите: C:\Program Files\CheckPoint\SmartConsole\R75.40VS\PROGRAM\GuiDBEdit.exe b) Войдите с вашими правами доступа SmartDashboard. 2. В левой панели выберите Table > Other > dlp_data_tbl (Таблица > Другое > dlp_data_tbl). 3. В правой панели выберите dlp_general_settings_object. 4. В нижней панели, в колонке Field Name (имя поля) найдите engine_settings. 5. Вы можете настроить следующие поля, если выбрано поле When the Gateway is under heavy CPU load (Когда Шлюз находится под высокой нагрузкой ЦП):
Имя поля Описание Значение по умолчанию cpu high watermark Порог для остановки проверки при высокой 90% нагрузке. Когда нагрузка на ЦП больше, чем определенный порог, DLP обходит протоколы, установленные на True. cpu low watermark Порог для возобновления проверки после 70% достижения cpu high watermark. Когда нагрузка на ЦП меньше, чем определенный порог, DLP проверяет протоколы, установленные на True. prefer connectivity on heavy По умолчанию, DLP обходит FTP трафик при true load proto cols > ftp высокой нагрузке. Если вы измените настройку inspection на false, FTP будет проверяться при высокой нагрузке.
Data Loss Prevention Руководство администратора R75.40VS | 123 Расширенная конфигурация и устранение сбоев в работе Имя поля Описание Значение по умолчанию prefer connectivity on heavy По умолчанию, DLP обходит HTTP трафик при true load proto cols > http высокой нагрузке. Если вы измените эту inspection настройку на false, HTTP будет проверяться при высокой нагрузке. prefer connectivity on heavy По умолчанию, DLP проверяет SMTP трафик False load proto cols > smtp при высокой нагрузке. Если вы измените эту inspection настройку на true, SMTP будет обходиться при высокой нагрузке. 6. Вы можете настроить следующие поля, если поле Under all other extreme conditions (При всех других экстремальных условиях) выбрано: Имя поля Описание Значение по умолчанию ftp max files Максимальное количество 100 http max files файлов (вложений) в smtp max files FTP/HTTP/SMTP сообщении. ftp max message size in mega Максимальный размер в Мб для 150 http max message size in mega FTP/HTTP/SMTP сообщения. smtp max message size in mega max recursion level Сколько уровней рекурсии в 6 глубину может быть сделано для заархивированных сообщений.
7. Установите политику в SmartDashboard.
Примечание – Можно предпочесть либо возможность соединения, либо безопасность при аварийном переключении кластера. Вы можете установить это в Gateway Cluster Properties > IPS > Upon Cluster Failover (Свойства кластера шлюзов > IPS > При аварийном переключении кластера).
Редактирование значений Exchange Security Agent Вы можете отредактировать значения по умолчанию для параметров, относящихся к Exchange Security Agent (“Конфигурация Exchange Security Agent” на странице 38) в приложении GuiDBEdit. Чтобы отредактировать значения Exchange Security Agent: 1. Откройте GuiDBedit:
a) На компьютере SmartDashboard запустите: C:\Program Files\CheckPoint\SmartConsole\R75.40VS\PROGRAM\GuiDBEdit.exe b) Войдите с Вашими правами SmartDashboard. 2. В левой панели выберите Table > Other > dlp_data_tbl (Таблица > Другое > dlp_data_tbl). 3. В правой панели выберите Exchange Agent object (Объект Exchange Agent ), представляющий объект SmartDashboard Exchange Security Agent. 4. В нижней панели, в колонке Field Name (Имя поля), вы можете настроить следующие поля:
Data Loss Prevention Руководство администратора R75.40VS | 124 Расширенная конфигурация и устранение сбоев в работе Имя поля Описание Значение по умолчанию is tap mode Exchange Security Agent посылает сообщения на False Шлюз безопасности, но не ожидает ответа от Шлюза безопасности. Для всех правил с действием detect (обнаружить) или inform (информировать), Exchange Security Agent автоматически настроен на работу в режиме tap. Для всех других правил, настройка по умолчанию – не работать в режиме tap. Если вы хотите, чтобы системы всегда работала в режиме tap, измените значение с false на true. scan mails received from sen Сканировать ли SMTP сообщения с домена, False der out of my organization который не входит в Exchange организации. По умолчанию это значение false. Это означает, что будут сканироваться сообщения только с Exchange вашей организации. Чтобы сканировать сообщения отправителей, находящихся вне домена, измените значение на true. scan mails send to recipient Сканировать ли внутренний трафик. True from my organization scan mails send to recipient Сканировать ли сообщения, True out my organization отправленные вне организации. dont scan smtp Сканирует сообщения, полученные Exchange False сервером в SMTP. Это означает, что сообщения в SMTP, прибывающие с того же домена, будут сканироваться.
5. В правой панели выберите dlp_general_settings_objects, чтобы настроить это поле:
Имя поля Описание Значение по умолчанию exchange send status to gw Временной интервал, при котором Exchange 10 frequency Security Agent посылает обновления статуса на Шлюз безопасности. user dlp logs customization Посылать ли журналы регистрации событий по False settings > send log for each сообщениям, которые не посылаются на шлюз skipped email with allow st из-за настроек Inspection Scope (Объема atus проверки).
6. В левой панели выберите Network Objects > Network Objects >
Имя поля Описание Значение по умолчанию encrypt exchange traffic Exchange Security Agent посылает трафик на True Шлюз безопасности, зашифрованный TLS.
Настройка HTTP проверки на всех портах Вы можете настроить проверку HTTP передач на всех портах (стандартные HTTP порты 80, 8080 и другие нестандартные порты, которые вы могли настроить).
Data Loss Prevention Руководство администратора R75.40VS | 125 Расширенная конфигурация и устранение сбоев в работе Чтобы активировать HTTP проверку на всех портах: 1. Откройте SmartDashboard. 2. В объекте DLP шлюза откройте Data Loss Prevention > Protocols > default protocols (Data Loss Prevention > Протоколы > протоколы по умолчанию). 3. Выберите Enable HTTP inspection on nonstandard ports (Активировать HTTP проверку на нестандартных портах). 4. Нажмите OK .
Примечание – Установка HTTP проверки на всех портах влияет на производительность.
Определение новых типов файлов Вы можете определить Тип данных на основе типа файла с типом данных “File Attributes” («Атрибуты файлов»). Этот тип данных предлагает несколько семейств типов файлов. Чтобы добавить новый тип файла в опции File Data Type (Тип данных файла): 1. Откройте GUIDBEdit:
a) На компьютере SmartDashboard запустите: C:\Program Files\CheckPoint\SmartConsole\R75.40VS\PROGRAM\GuiDBEdit.exe b) Войдите с Вашими правами SmartDashboard. 2. В Other > dlp_data_tbl (Другое > dlp_data_tbl) выберите новый объект типа file_type. 3. Назовите объект file_type_. Полный список ID представлен в таблице ниже. 4. Введите имя для типа файла в поле visual_string. 5. Введите описание для типа файла в поле description (опционально). 6. Сохраните новый созданный объект и закройте GUIDBEdit . 7. Установите политику.
ID Тип файла ID Тип файла 1 Word для DOS 4.x 2 Word для DOS 5.x 3 Wordstar 5.0 4 Wordstar 4.0 5 Wordstar 2000 6 WordPerfect 5.0 7 MultiMate 3.6 8 MultiMate Advantage 2 9 IBM DCA/RFT 10 IBM DisplayWrite 2 или 3 11 SmartWare II 12 Samna 13 PFS: Write A 14 PFS: Write B 15 Professional Write 1 16 Professional Write 2 17 IBM Writing Assistant 18 First Choice WP 19 WordMarc 20 Navy DIF 21 Volkswriter 22 DEC DX 3.0 и ниже 23 Sprint 24 WordPerfect 4.2 25 Total Word 26 Wang IWP 27 Wordstar 5.5 28 Wang WPS 29 Rich Text Format (RTF) 30 Mac Word 3.0
Data Loss Prevention Руководство администратора R75.40VS | 126 Расширенная конфигурация и устранение сбоев в работе ID Тип файла ID Тип файла 31 Mac Word 4.0 32 Mass 11 33 MacWrite II 34 XyWrite / Nota Bene 35 IBM DCA/FFT 36 Mac WordPerfect 1 .x 37 IBM DisplayWrite 4 38 Mass 11 39 WordPerfect 5.1/5.2 40 MultiMate 4.0 41 Q&A Write 42 MultiMate Note 43 PC File 5.0 Doc 44 Lotus Manuscript 1.0 45 Lotus Manuscript 2.0 46 Enable WP 3.0 47 Windows Write 48 Microsoft Works 1.0 49 Microsoft Works 2.0 50 Wordstar 6.0 51 OfficeWriter 52 Mac Word 4.x Complex 53 IBM DisplayWrite 5 54 Word для Windows 1.x 55 Word для Windows 1.x 56 Ami complex 57 Ami Pro 58 First Choice 3 WP 59 Mac WordPerfect 2.0 60 Mac Works 2.0 WP 61 Professional Write Plus 62 Legacy 63 Signature 64 Wordstar для Windows 65 Word для Windows 2.0 66 JustWrite 1.0 67 Wordstar 7.0 68 Windows Works WP 69 JustWrite 2.0 70 Ami [Clip] 71 Legacy [Clip] 72 Pro Write Plus [Clip] 73 Mac Word 5.x 74 Enable WP 4.x 75 WordPerfect 6.0 76 Word для DOS 6.x 77 DEC DX 3.1 78 WordPerfect Encrypted 79 Q&A Write 3 80 Mac WordPerfect 3.0 81 CEO Word 82 Word 6.0 или 7.0 83 WordPerfect 5.1 Far East 84 Ichitaro 3.x 85 Ichitaro 4.x/5.x/6.x 86 Word для Windows 1.2 J 87 Word для Windows 5.0 J 88 Matsu 4
Data Loss Prevention Руководство администратора R75.40VS | 127 Расширенная конфигурация и устранение сбоев в работе ID Тип файла ID Тип файла 89 Matsu 5 90 P1 Japan 91 Rich Text Format Japan 92 CEO Write 93 Windows Works 3.0 WP 94 Microsoft WordPad 95 WP/Novell Unknown Format 96 Word для Windows 2.0 Object 97 WordPerfect 6.1 - 12.0 / X3 98 Fulcrum Document Format 99 Europa Fulcrum 5 100 Europa Fulcrum 6 101 Internet HTML 102 Word 7.0 103 Arehangeul 104 Hana 105 Windows Works 4.0 WP 106 PerfectWorks для Windows 107 WordPerfect 7.0/8.0/10.0 108 WordPro 96 109 HTML - Central European 110 HTML - Japanese (ShiftJIS) 111 HTML - Japanese (EUC) 112 HTML - Chinese (Big5) 113 HTML - Chinese (EUC) 114 HTML - Chinese (GB) 115 HTML - Korean (Hangul) 116 HTML - Cyrillic (ANSI 1251) 117 HTML - Cyrillic (KOI8-R) 118 Text - Cyrillic (ANSI 1251) 119 Cyrillic (KOI8-R) 120 WWRITE - Japan SJIS 121 WWRITE - Chinese GB 122 WWRITE – Hangul 123 WWRITE - Chinese BIG5 124 Digital WPS Plus 125 Mac Word 6 126 Microsoft Word 97/98 127 Rainbow 128 Interleaf 6 129 MIFF 3.0 130 MIFF 4.0 131 MIFF 5.0 132 Text Mail 133 Mac Word 97 134 Interleaf Japan 135 MIFF 3.0 Japan 136 MIFF 4.0 Japan 137 MIFF 5.0 Japan 138 MIFF 5.5 139 WordPerfect 8.0/10.0 140 Ichitaro 8.x/9.x/10.x/11 .x/12.x/13.x/2004 141 vCard 142 HTML - Cascading Style Sheets 143 MS Outlook 144 Pocket Word 145 WordPro 97/Millennium 146 Microsoft Word 2000
Data Loss Prevention Руководство администратора R75.40VS | 128 Расширенная конфигурация и устранение сбоев в работе
ID Тип файла ID Тип файла 147 Word 2000 HTML 148 Excel 2000 HTML 149 PowerPoint 2000 HTML 150 Extensible Markup Language (XML) 151 Wireless Markup Language 152 WMLB (WML) 153 HTML - Japanese (JIS) 154 WML - Chinese (Big5) 155 WML - Chinese (EUC) 156 WML - Chinese (GB) 157 WML - Cyrillic (ANSI 1251) 158 WML - Cyrillic (KOI8-R) 159 WML - Japanese (JIS) 160 WML - Japanese (ShiftJIS) 161 WML - Japanese (EUC) 162 WML - Korean (Hangul) 163 WML - Central European 164 WML - CSS 165 StarOffice 5.2 Writer 166 MIFF 6.0 167 MIFF 6.0 Japan 168 MIFF 169 Java Script 170 ASCII Text 171 Handheld Device Markup 172 Compact HTML (CHTML) Language (HDML) 173 XHTML Basic 174 AvantGo HTML 175 Web Clipping Application 176 SearchML (WCA) HTML 177 Pocket Word - Pocket PC 178 Wireless HTML 179 Hangul 97 Word 180 Hangul 2002 - 2007 Word Processor Processor 181 Internet HTML - Unicode 182 XML With Doctype HTML 184 EBCDIC encoded Text 185 Microsoft Word 2002 186 Microsoft Word 2003/2004 187 Internet Message 188 StarOffice 6 & 7 Writer 189 Microsoft Outlook PST/OST 97/2000/XP 190 XHTML 191 Microsoft Works 2000 192 Internet Mail Message 193 Internet News Message 194 Outlook Express News 195 Outlook Express Mail Message Message 196 vCalendar 197 Transport-Neutral Encapsulation Format(TNEF) 198 MHTML(Web Archive) 199 Search HTML 200 Search Text 201 PST Fields File
Data Loss Prevention Руководство администратора R75.40VS | 129 Расширенная конфигурация и устранение сбоев в работе
ID Тип файла ID Тип файла 202 Microsoft Outlook 203 Microsoft Outlook PAB PST/OST 2003/2007 204 SearchML 20 205 SearchML 30 206 Yahoo!Messenger Archive 207 Microsoft Word XML 2003 208 MS Office 12 Word format 209 StarOffice 8/Open Office 2.x Writer 210 SearchML 31 211 Outlook Form Template 212 Microsoft Word 2007 213 Password Protected Microsoft Word 2007 214 Microsoft Word 2007 215 SearchML 32 Template 216 DRM protected Unknown 217 DRM protected Microsoft Word 218 DRM protected Microsoft 219 File sealed by Oracle IRM Word 2007 220 Extensible Metadata 221 SearchML 33 Platform 222 PHTML 223 Open Office Writer 6 224 Open Office Writer 8 225 IBM Lotus Symphony Document 226 SearchML 34 227 MS Office 12 (2007) Word - Macro Enabled XML format 228 MS Office 12 (2007) Word 229 Microsoft Word Picture Template - Macro Enabled XML format 230 Smart DataBase 231 DBase III 232 DBase IV или V 233 Framework III 234 Microsoft Works DB 235 DataEase 4.x 236 Paradox 2 или 3 237 Paradox 3.5 238 Q&A Database 239 Reflex 240 R:Base System V 241 R:Base 5000 242 R:Base File 1 243 R:Base File 3 244 First Choice DB 245 Mac Works 2.0 DB 246 Windows Works DB 247 Paradox 248 Microsoft Access 249 CEO Decision Base 250 Windows Works 3.0 DB 251 Windows Works 4.0 DB 252 Microsoft Access 7 253 Microsoft Project 98
Data Loss Prevention Руководство администратора R75.40VS | 130 Расширенная конфигурация и устранение сбоев в работе
ID Тип файла ID Тип файла 254 Microsoft Project 255 Microsoft Project 2002 2000/2002/2003 256 MS Project 2007 257 Lotus Notes database 258 Symphony 259 Lotus 1-2-3 1.0 260 Lotus 1-2-3 2.0 261 Lotus 1-2-3 3.x 262 Smart Spreadsheet 263 Microsoft Excel 2.x 264 Enable Spreadsheet 265 Microsoft Works SS 266 VP-Planner 267 Mosaic Twin 268 SuperCalc 5 269 Quattro Pro 270 Quattro 271 PFS: Plan 272 First Choice SS 273 Microsoft Excel 3.0 274 Generic WKS 275 Mac Works 2.0 SS 276 Windows Works SS 277 Microsoft Excel 4.0 278 Quattro Pro для Windows 279 Lotus 1-2-3 4.x / 5.x 280 Quattro Pro Windows Japan 281 CEO Spreadsheet 282 Microsoft Excel 5.0/7.0 283 Multiplan 4.0 284 Windows Works 3.0 SS 285 Quattro Pro 4.0 286 Quattro Pro 5.0 287 Quattro Pro Win 6.0 288 Lotus 123 Release 2 для 289 Lotus 123 для OS/2 Chart OS/2 290 Windows Works 4.0 SS 291 Quattro Pro Win 7.0/8.0 292 Quattro Pro Win 7.0/8.0 293 Lotus 1-2-3 97 Edition Graph 294 Microsoft Mac Excel 4.0 295 Microsoft Mac Excel 5.0 296 Microsoft Excel 97/98/2004 297 MS Excel 3.0 Workbook 298 MS Excel 4.0 Workbook 299 MS Excel Mac 4.0 Workbook 300 MS Excel Mac 4.0 Workbook 301 Lotus 1-2-3 98/Millennium Edition 302 Quattro Pro 8.0 303 Quattro Pro Win 9.0 / X3 304 Microsoft Excel 2000 305 Quattro Pro Win 10.0 306 Microsoft Excel 2002 307 StarOffice 5.2 Calc
Data Loss Prevention Руководство администратора R75.40VS | 131 Расширенная конфигурация и устранение сбоев в работе
ID Тип файла ID Тип файла 308 Quattro Pro Win 11.0 309 Microsoft Excel 2003 310 StarOffice 6 & 7 Calc 311 Quattro Pro Win 12.0 312 StarOffice 8/Open Office 2.x 313 Microsoft Excel 2007 Calc 314 Password Protected 315 Microsoft Excel 2007 Binary Microsoft Excel 2007 316 DRM protected Microsoft 317 DRM protected Microsoft Excel 2007 Excel 2007 318 MS Works SS6 319 Open Office Calc 6 320 Open Office Calc 8 321 IBM Lotus Symphony Spreadsheet 322 Excel Template 2007 323 Excel Macro Enabled 324 Excel Template Macro 325 Windows Bitmap Enabled 2007 326 Tagged Image File Format 327 Paintbrush 328 Compuserve GIF 329 EPS (TIFF Header) 330 CCITT Group 3 Fax 331 Mac PICT2 332 WordPerfect Graphic 333 Windows Metafile 334 Lotus PIC 335 Mac PICT 336 Ami Draw 337 Targa 338 GEM Image 339 OS/2 Bitmap 340 Windows Icon 341 Windows Cursor 342 Micrografx product 343 MacPaint 344 Corel Draw 2.0 345 Corel Draw 3.0 346 HP Graphics Language 347 Harvard 3.0 Chart 348 Harvard 2.0 Chart 349 Harvard 3.0 Presentation 350 Freelance 351 WordPerfect Graphic 2 352 CGM Graphic Metafile 353 Excel 2.x Chart 354 Excel 3.0 Chart 355 Excel 4.0 Chart 356 Candy 4 357 Hanako 1 .x 358 Hanako 2.x 359 JPEG File Interchange 360 Excel 5.0/7.0 Chart 361 Corel Draw 4.0 362 PowerPoint 4.0 363 Multipage PCX
Data Loss Prevention Руководство администратора R75.40VS | 132 Расширенная конфигурация и устранение сбоев в работе ID Тип файла ID Тип файла 364 PowerPoint 3.0 365 Corel Draw 5.0 366 OS/2 Metafile 367 PowerPoint 7.0 368 AutoCAD DXF (ASCII) 369 AutoCAD DXF (Binary) 370 AutoCAD DXB 371 Freelance 96/97/Millennium Edition 372 Mac PowerPoint 3.0 373 Mac PowerPoint 4.0 374 WordPerfect 375 OS/2 Warp Bitmap Presentations 376 AutoCAD Drawing 12 377 AutoCAD Drawing 13 378 Adobe Illustrator 379 Corel Presentations 7.0 - 12.0 / X3 380 WordPerfect Graphic 381 Adobe Acrobat (PDF) 7.0/8.0/9.0 382 Framemaker 383 RAS - Sun Raster 384 AutoShade Rendering 385 Kodak Photo CD 386 PowerPoint 4.0 (extracted 387 Mac PowerPoint 4.0 (extracted from docfile) from docfile) 388 Enhanced Windows 389 GEM Metafile 390 Mac PowerPoint 3.0 391 Mac PowerPoint 4.0 392 Harvard Graphics for 393 IGES Drawing File Format Windows 394 IBM Picture Interchange 395 X-Windows Bitmap Format 396 X-Windows Pixmap 397 CALS Raster File Format 398 Portable Network 399 X-Windows Dump Graphics Format 400 CorelDraw ClipArt 401 HP Gallery 402 Graphics Data Format 403 Micrografx Designer 404 Post Script 405 Microsoft PowerPoint 97-2004 406 Corel Draw 6.0 407 Corel Draw 7.0 408 PDF MacBinary Header 409 AutoCAD Drawing - Unknown Version 410 Visio 4.x 411 AutoCAD Drawing 14 412 PBM (Portable Bitmap) 413 PGM (Portable Graymap) 414 PPM (Portable Pixmap) 415 Adobe Photoshop
Data Loss Prevention Руководство администратора R75.40VS | 133 Расширенная конфигурация и устранение сбоев в работе
ID Тип файла ID Тип файла 416 Microsoft PowerPoint Dual 417 Paint Shop Pro 95/97 418 Kodak FlashPix 419 Visio 5.x 420 Corel Draw 8.0 421 Visio 6.x 422 Corel Draw 9.0 423 Progressive JPEG 424 Microsoft PowerPoint 425 Bentley Microstation DGN 2000/2002 426 Windows 98/2000 Bitmap 427 Wireless Bitmap 428 MIFF Graphic 429 Microsoft PowerPoint 2 430 WordPerfect Graphic 10.0 431 Visio 3.x 432 Micrografx Designer 433 PDF Image 434 StarOffice 5.2 Impress 435 Adobe Illustrator 9 436 AutoCAD 2000/2002 Drawing 437 AutoCAD 2.5 Drawing 438 AutoCAD 2.6 Drawing 439 AutoCAD 9 Drawing 440 AutoCAD 10 Drawing 441 QuarkXPress 3.0 For Macintosh 442 QuarkXPress 3.1 For 443 QuarkXPress 3.2 For Macintosh Macintosh 444 QuarkXPress 3.3 For 445 QuarkXPress 4.0 For Macintosh Macintosh 446 QuarkXPress 3.3 For 447 QuarkXPress 4.0 For Windows Windows 448 QuarkXPress 5.0 For 449 Export Image Windows 450 StarOffice 6 & 7 Draw 451 StarOffice 6 & 7 Impress 452 JBIG2 Bitmap 453 Corel Draw 10.0 454 Corel Draw 11.0 455 Microsoft Visio 2003 456 StarOffice 8 Draw 457 StarOffice 8/Open Office 2.x Impress 458 AutoCAD 2004/2005/2006 459 Microsoft PowerPoint 2007 Drawing 460 Microsoft XML Paper 461 Password Protected Microsoft Powerpoint 2007 Specification 462 AutoCAD 2007 Drawing 463 OS/2 v.2 Bitmap 464 StarView Metafile 465 eFax Document
Data Loss Prevention Руководство администратора R75.40VS | 134 Расширенная конфигурация и устранение сбоев в работе
ID Тип файла ID Тип файла 475 DRM protected Microsoft 476 DRM protected Microsoft Powerpoint 2007 Powerpoint 477 AutoDesk DWF 478 Corel Draw 12.0 479 JPEG 2000 480 Adobe Indesign 481 JPEG 2000 jpf Extension 482 JPEG 2000 mj2 Extension 483 WordPerfect Informs 1.0 484 Lotus Screen SnapShot 485 Lotus Screen Snapshot 486 Interchange Format 487 Microsoft Escher Graphics 488 Windows Sound 489 Windows Video 490 MIDI File 491 Macromedia Director 492 Macromedia Flash 493 Macromedia Flash 494 Quicktime Movie 495 MPEG Layer3 ID3 Ver 1.x 496 MPEG Layer3 ID3 Ver 2.x 497 ID3 Ver 1.x 498 ID3 Ver 2.x 499 MPEG-1 audio - Layer 3 500 MPEG-1 audio - Layer 1 501 MPEG-1 audio - Layer 2 502 MPEG-2 audio - Layer 1 503 MPEG-2 audio - Layer 2 504 MPEG-2 audio - Layer 3 505 Advanced Systems Format 506 Windows Media Video (ASF subtype) 507 Windows Media Audio (ASF 508 Microsoft Digital Video Recording (ASF subtype) subtype) 509 Real Media (both Real 510 MPEG-1 video Audio and Real Video) 511 MPEG-2 video 512 ISO Base Media File Format 513 MPEG-4 file 514 MPEG-7 file 515 EXE / DLL File 516 .COM File 517 .ZIP File 518 Self UnZIPping .EXE 519 .ARC File 520 MS Office Binder 521 UNIX Compress 522 UNIX Tar 523 Envoy 524 QuickFinder 525 Windows Clipboard File 526 Envoy 7 527 StuffIt 528 LZH Compress 529 Self-Extracting LZH 530 UNIX GZip
Data Loss Prevention Руководство администратора R75.40VS | 135 Расширенная конфигурация и устранение сбоев в работе ID Тип файла ID Тип файла 531 Java Class File 532 mbox(RFC-822 mailbox) 533 Lotus Notes Database 534 Generic Password Protected Microsoft Office 2007 R6.x Document 535 Microsoft Cabinet File 536 .RAR File 537 Self extracting RAR File 538 Microsoft InfoPath 549 Flexiondoc 1 (original) 550 Flexiondoc 2 schema schema 551 Flexiondoc 3 schema 552 Flexiondoc 4 schema 553 Flexiondoc 5 schema 554 Flexiondoc 5.1 schema 555 OASIS OpenDocument 556 Flexiondoc 5.2 schema v1.0 557 Domino XML schema 558 Adobe Indesign Interchange 559 XML Visio 560 Mail archive DXL 561 Mail message DXL 562 Generic DXL 564 AutoCAD DWG 2008 565 Publisher 2003 566 Publisher 2007 567 Open Office Impress 6 568 Open Office Impress 8 569 IBM Lotus Symphony Presentations 570 Open Office Draw 6 571 Open Office Draw 8 572 PowerPoint 2007 573 PowerPoint 2007 Macro Enabled Template 574 PowerPoint 2007 Template 575 PowerPoint 2007 Slideshow file Macro Enabled 576 PowerPoint 2007 Template 577 Oracle Multimedia internal raster format Macro Enabled 578 TK thesaurus 579 TK abbrev 580 TK dictionary 581 TK quote 582 TK written word 583 TK culturelit 584 TK grammar 585 TK thessyn 586 Text - (ASCII) 587 Text - (Hex) 588 Text - (ANSI) 589 Text - (Unicode) 590 Text - (ASCII) 591 Text - (ANSI 8) 592 Text - Unknown format 593 Text - MAC - 7bit 594 Text - MAC - 8bit 595 Text - Japanese (ShiftJIS)
Data Loss Prevention Руководство администратора R75.40VS | 136 Расширенная конфигурация и устранение сбоев в работе ID Тип файла ID Тип файла 596 Text - Chinese (GB) 597 Text - Korean (Hangul) 598 Text - Chinese (Big 5) 599 Code page 852 - MS DOS Slavic 600 Text - Japanese (EUC) 601 Text - Hebrew (7-bit) 602 Text - Hebrew (IBM PC8) 603 Text - Hebrew (VAX E0) 604 Text - Hebrew (Windows 605 Text - Arabic 710 ANSI 1255) 606 Text - Arabic 720 607 Text - Arabic (Windows ANSI 1256) 609 Text - Japanese (JIS) 610 Text - Central European 611 UTF-8 encoded Text 612 Text - U.S. English/Portuguese (EBCDIC 37) 613 Text - Austrian/German 614 Text - Danish/Norwegian (EBCDIC 277) (EBCDIC 273) 615 Text - Finnish/Swedish 616 Text - Italian (EBCDIC 280) (EBCDIC 278) 617 Text - Spanish (EBCDIC 284) 618 Text - U.K. English (EBCDIC 285) 619 Text - French (EBCDIC 297) 620 Text - Belgian/International (EBCDIC 500) 621 Text - Eastern European 622 Text - Icelandic (EBCDIC 871) (EBCDIC 870) 623 Text - Turkish (EBCDIC 1026) 624 HTML - U.S. English/Portuguese (EBCDIC 37) 625 HTML - Austrian/German 626 HTML - Danish/Norwegian (EBCDIC 277) (EBCDIC 273) 627 HTML - Finnish/Swedish 628 HTML - Italian (EBCDIC 280) (EBCDIC 278) 629 HTML - Spanish (EBCDIC 630 HTML - U.K. English (EBCDIC 285) 284) 631 HTML - French (EBCDIC 632 HTML - Belgian/International (EBCDIC 500) 297) 633 HTML - Eastern European 634 HTML - Icelandic (EBCDIC 871) (EBCDIC 870) 635 HTML - Turkish (EBCDIC 636 UUE Encoded Text 1026) 637 UUE Encoded Continued 638 XXE Encoded Text Part 639 XXE Encoded Continued Part 640 YEnc Encoded Text
Data Loss Prevention Руководство администратора R75.40VS | 137 Расширенная конфигурация и устранение сбоев в работе
ID Тип файла ID Тип файла 641 YEnc Encoded Continued 642 BinHex Encoded Text Part 643 BinHex Encoded 644 Text - Arabic (ASMO-708) Continued Part 645 Text - Arabic (DOS OEM 720 646 Text - Arabic (ISO 8859-6) TRANSPARENT ASMO) 647 Text - Arabic (Mac) 648 Text - Baltic (ISO 8859-4) 649 Text - Baltic (Windows ANSI 650 Text - Central European (DOS OEM 852 Latin II) 1257) 651 Text - Central European (ISO 652 Text - Central European (Mac) 8859-2) 653 Text - Central European 654 Text - Chinese Simplified (Windows ANSI 936 (Windows ANSI 1250) [GB2312]) 655 Text - Chinese Traditional 656 Text - Cyrillic (DOS OEM 855) (Windows ANSI 950 [BIG5]) 657 Text - Cyrillic (ISO 8859-5) 658 Text - Cyrillic (KOI8-R) 659 Text - Cyrillic (Mac) 660 Text - Cyrillic (Windows ANSI 1251) 661 Text - Greek (ISO 8859-7) 662 Text - Greek (Mac) 663 Text - Greek (Windows ANSI 664 Text - Hebrew (DOS OEM 862) 1253) 665 Text - Hebrew (ISO 88598) 666 Text - Japanese (Mac) 667 Text - Korean (Windows ANSI 668 Text - Korean (Windows ANSI 949) 1361 [Johab]) 669 Text - Russian (DOS OEM 670 Text - Thai (Windows ANSI 874) 866) 671 Text - Turkish (DOS OEM 672 Text - Turkish (ISO 8859-9) 857) 673 Text - Turkish (Mac) 674 Text - Turkish (Windows ANSI 1254) 675 Text - Vietnamese (Windows 676 Text - Western European (ISO 8859-1) ANSI 1258) 677 Text - Western European 678 Text - Western European (Windows ANSI 1252) (Mac) 679 HTML - Arabic (ASMO- 680 HTML - Arabic (DOS OEM 720 TRANSPARENT 708) ASMO) 681 HTML - Arabic (ISO 88596) 682 HTML - Arabic (Mac)
Data Loss Prevention Руководство администратора R75.40VS | 138 Расширенная конфигурация и устранение сбоев в работе
ID Тип файла ID Тип файла 683 HTML - Arabic (Windows 684 HTML - Baltic (ISO 8859-4) ANSI 1256) 685 HTML - Baltic (Windows 686 HTML - Central European (DOS OEM 852 Latin II) ANSI 1257) 687 HTML - Central European 688 HTML - Central European (Mac) (ISO 8859-2) 689 HTML - Central European 690 HTML - Chinese Simplified (EUC) (Windows ANSI 1250) 691 HTML - Chinese Simplified 692 HTML - Chinese Traditional (Windows ANSI 950 (Windows ANSI 936 [BIG5]) [GB2312]) 693 HTML - Cyrillic (DOS OEM 694 HTML - Cyrillic (ISO 8859-5) 855) 695 HTML - Cyrillic (KOI8-R) 696 HTML - Cyrillic (Mac) 697 HTML - Cyrillic (Windows 698 HTML - Greek (ISO 8859-7) ANSI 1251) 699 HTML - Greek (Mac) 700 HTML - Greek (Windows ANSI 1253) 701 HTML - Hebrew (DOS 702 HTML - Hebrew (ISO 8859-8) OEM 862) 703 HTML - Hebrew (Windows 704 HTML - Japanese (Mac) ANSI 1255) 705 HTML - Japanese (Windows 706 HTML - Korean (Windows ANSI 1361 JJohab]) Shift-JIS ANSI 932) 707 HTML - Korean (Windows 708 HTML - Russian (DOS OEM 866) ANSI 949) 709 HTML - Thai (Windows 710 HTML - Turkish (DOS OEM 857) ANSI 874) 711 HTML - Turkish (ISO 712 HTML - Turkish (Mac) 8859-9) 713 HTML - Turkish (Windows 714 HTML - Vietnamese (Windows ANSI 1258) ANSI 1254) 715 HTML - Western European 716 HTML - Western European (Mac) (ISO 8859-1) 717 HTML - Western 718 Plugin European (Windows ANSI 1252) 719 Text - Japanese (ShiftJIS) 720 Windows Metafile [5000] 721 WordPerfect Graphic [B] 722 Ami (internal bitmap) 723 Word (internal bitmap) 724 Mac PICT2 Binary
Data Loss Prevention Руководство администратора R75.40VS | 139 Расширенная конфигурация и устранение сбоев в работе ID Тип файла ID Тип файла 725 Windows Metafile [5005] 726 Windows Metafile [5006] 727 PerfectWorks Picture 728 WPG2 (internal bitmap) 729 Windows DIB 730 WPG1 (internal bitmap) 731 Embedded Bitmap 732 Embedded Bitmap 733 IAF (internal bitmap) 734 IAF (internal bitmap) 735 PICT (internal bitmap) 736 Export OCR data as Text, no formatting 737 Export OCR data as RTF, 738 Export OCR data as HTML yes formatting 739 EDRM export 753 Open Office 3.x Writer (ODF 1.2) 754 StarOffice 9 Writer (ODF 1.2) 755 Oracle Open Office 3.x Writer (ODF 1.2) 756 Samsung Jungum File 757 Kingsoft Office Writer File 758 Microsoft Word 2010 759 Microsoft Word 2010 Template Microsoft Word 2010 Macro 760 Enabled Document 761 Microsoft Word 2010 Macro Enabled Template 764 Microsoft Project 2010 765 Microsoft Excel XML 2003 Open Office 3.x Calc (ODF 766 1.2) 769 Microsoft Excel 2007 Excel Add-in Macro File Lotus Data Interchange 770 Format 771 StarOffice 9 Calc (ODF 1.2) Oracle Open Office 3.x Calc 772 (ODF 1.2) 773 Kingsoft Office Spreadsheet File 774 Corel Presentations X4 775 Microsoft Excel 2010 Macro Enabled Workbook Microsoft Excel 2010 776 Template 777 Microsoft Excel 2010 Macro Enabled Template Microsoft Excel 2010 Excel 778 Add-in Macro File 779 Microsoft Excel 2010 Binary Resource Interchange File 782 Format 783 Microsoft OneNote 2007 Windows Media Player 784 Playlist 786 Flexiondoc v5.4 (XML) Open Office 3.x Impress (ODF 790 1.2) 791 Open Office 3.x Draw (ODF 1.2) 792 Corel Presentations X4 793 Microsoft Access Report Snapshot 2000 - 2003 StarOffice 9 Impress (ODF 794 1.2) 795 StarOffice 9 Draw (ODF 1.2)
Data Loss Prevention Руководство администратора R75.40VS | 140 Расширенная конфигурация и устранение сбоев в работе
ID Тип файла ID Тип файла Oracle Open Office 3.x 796 Impress (ODF 1.2) 797 Oracle Open Office 3.x Draw (ODF 1.2) Microsoft PowerPoint 798 2010 799 Microsoft PowerPoint 2010 Template Microsoft PowerPoint 2010 Macro Enabled 800 Template 801 Microsoft PowerPoint 2010 Slideshow Microsoft PowerPoint 2010 Macro Enabled Microsoft PowerPoint 2010 Macro Enabled 802 Presentation 803 Slideshow 804 Macromedia Flash 9 805 Macromedia Flash 10 806 Microsoft Windows 807 7z Archive File Explorer Command File 808 Trillian Text Log File 809 Trillian XML Log File 810 Microsoft Live Messenger 811 AOL Messenger Log File Log File 812 Windows Help File 813 Windows Compiled Help File 814 Windows shortcut 815 TrueType Font File 816 TrueType Font Collection File 817 TrueType (MAC) Font File 818 MS Outlook Mail File 819 Outlook Mail Form Template 820 MS Outlook Appointment 821 Outlook Appointment Form Template File 822 MS Outlook Journal File 823 Outlook Journal Form Template 824 MS Outlook Contact File 825 Outlook Contact Form Template 826 MS Outlook Note File 827 Outlook Note Form Template 828 MS Outlook Task File 829 Outlook Task Form Template
Сертификаты сервера Для безопасной передачи данных SSL, шлюзы должны установить доверительное соединение с компьютерами конечных точек, представив Server Certificate (Сертификат сервера). В этом разделе рассматриваются процедуры, необходимые для генерации и установки сертификатов сервера. Шлюзы Check Point по умолчанию используют сертификат, созданный Внутренним центром сертификации (Internal Certificate Authority) на Сервере управления безопасностью как свой сертификат сервера. Браузеры не доверяют этому сертификату. Когда компьютер конечной точки пытается подключиться к шлюзу с сертификатом по умолчанию, в браузере появляются сообщения, предупреждающие о сертификате. Чтобы этих предупреждений не было, администратор должен установить сертификат сервера, подписанный доверенным центром сертификации.
Data Loss Prevention Руководство администратора R75.40VS | 141 Расширенная конфигурация и устранение сбоев в работе Все порталы на одном и том же IP адресе Шлюза безопасности используют один сертификат. Получение и установка сертификата доверенного сервера Чтобы быть принятым на компьютере конечной точки без предупреждения, у шлюзов должен быть сертификат сервера, подписанный известным центром сертификации (например, Entrust, VeriSign или Thawte). Этот сертификат может быть выдан напрямую шлюзу, или это может быть цепочечный сертификат с путем сертификации на центр доверенного корневого сертификата (Certification Authority - CA).
Генерация запроса подписи сертификата Сначала сгенерируйте Запрос на подпись сертификата (Certificate Signing Request - CSR). CSR нужен для сертификата сервера, потому что шлюз действует для клиентов как сервер.
Примечание – В ходе этой процедуры создаются файлы частных ключей. Если файлы частных ключей с такими именами уже существуют на машине, они перезаписываются без предупреждения.
1. С командной строки шлюза зайдите в режим Expert. 2. Запустите: cpopenssl req -new -out
Эта команда генерирует частный ключ. Вы увидите следующий вывод: Generating a 2048 bit RSA private key .+++ ...+++ writing new private key to 'serverLkey' Enter PEM pass phrase:
3. Введите пароль и подтвердите. Вы увидите следующее сообщение: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank. For some fields there will be a default value. Если вы enter '.', the field will be left blank. Введите данные. • Поле Common Name (Общее имя) обязательно. В этом полле указывается Полностью квалифицированное доменное имя (Fully Qualified Domain Name - FQDN). Это сайт, на который заходит пользователь. Например: portal.example.com. • Все другие поля необязательны. 4. Пошлите файл CSR доверенному центру сертификации. Запросите Подписанный сертификат (Signed Certificate) в формате PEM. Сохраняйте файл частного ключа.key.
Генерация файла P12 После того как вы получите Подписанный сертификат для шлюза от центра сертификации, сгенерируйте файл P12 с Подписанным сертификатом и частным ключом. 1. Получите Подписанный сертификат для шлюза от центра сертификации. Если подписанный сертификат в формате P12 или P7B, преобразуйте эти файлы в файл формата PEM (зашифрованный Base64) с расширением CRT. 2. Убедитесь, что в CRT файле есть полная цепочка сертификатов до центра доверенного корневого сертификата. Как правило, вы получаете цепочку сертификатов от подписывающего центра сертификации. Иногда он разбит на несколько файлов. Если подписанный сертификат и доверенная цепочка в разных файлах, используйте текстовый редактор, чтобы соединить их в один файл. Убедитесь, что сертификат сервера находится вверху CRT файла. 3. С командной строки шлюза зайдите в режим Expert. 4. Используйте файл *.crt, чтобы установить сертификат с файлом *.key, который вы сгенерировали. a) Запустите:
Data Loss Prevention Руководство администратора R75.40VS | 142 Расширенная конфигурация и устранение сбоев в работе
cpopenssl pkcs12 -export -out
Например: cpopenssl pkcs12 -export -out server1.p12 -in server1.crt -inkey server1.key b) Введите пароль сертификата, когда вас попросят.
Установка подписанного сертификата Установите сторонний подписанный сертификат для создания доверенного соединения между программным блейдом Mobile Access (Мобильный доступ) и клиентами. Все порталы с одним и тем же IP адресом используют один сертификат. Определите IP адрес портала на странице Portal Settings (Настройки портала) для блейда/свойства. 1. Импортируйте новый сертификат на шлюз в SmartDashboard со страницы с Настройками портала для блейда/свойства. Например:
• Gateway Properties > Mobile Access > Portal Settings (Настройки шлюза > Mobile Access > Настройки портала) • Gateway Properties > Platform Portal (Настройки шлюза > Портал платформы) • Gateway Properties > Data Loss Prevention (Настройки шлюза > Data Loss Prevention) • Gateway Properties > Identity Awareness > Browser-Based Authentication > Settings > Access Settings (Настройки шлюза > Identity Awareness > Аутентификация на основе браузера > Настройки > Настройки доступа) В разделе Certificate (Сертификат) нажмите Import (Импортировать) или Replace (Заменить). 2. Установите политику на шлюзе.
Примечание - Repository of Certificates (Репозиторий сертификатов) на странице IPsec VPN в объекте шлюза SmartDashboard предназначен только для самоподписанных сертификатов. Это не влияет на сертификат, установленный вручную с помощью данной процедуры.
Просмотр сертификата Чтобы посмотреть новый сертификат из веб-браузера: Шлюз использует сертификат, когда вы подключаетесь через браузер к порталу. Чтобы посмотреть сертификат, когда вы подключаетесь к порталу, нажмите на иконку замка рядом с адресной строкой в большинстве браузеров. Сертификат, который видят пользователи, зависит от действительного IP адреса, который они используют, чтобы попасть на портал, а не только от IP адреса, настроенного для портала в SmartDashboard.
Чтобы посмотреть новый сертификат в SmartDashboard: В Gateway Properties (Свойства шлюза) > страница Data Loss Prevention нажмите на кнопку View (Посмотреть) в разделе Certificate (Сертификат).
Data Loss Prevention Руководство администратора R75.40VS | 143
Приложение B
Расширенные опции для типов данных
У следующих типов данных имеются несколько расширенных опций, которые вы можете отредактировать только через GuiDBEdit: Dictionary (Словарь) Keywords (Ключевые слова) Weighted Keywords (Усиленные ключевые слова) Patterns (Структуры) Чтобы открыть опции для этих типов данных: 1. Запустите: c:\Program Files\CheckPoint\SmartConsole\R75.40VS\PROGRAM\GuiDBedit.exe 2. Подключитесь к Серверу управления безопасностью. 3. Перейдите в Table > Other > dlp_data_tbl (Таблица > Другое > dlp_data_tbl) и выберите тип данных, который вы хотите изменить.
В этом приложении
Чувствительность к регистру 144 Порядок сопоставления имен 144 Близость сопоставляемых слов 145 Множественные совпадения 145 Сопоставление только целого слова 146
Чувствительность к регистру Применяется к следующим типам данных:
• Dictionary (Словарь)
• Keywords (Ключевые слова)
• Weighted Keywords (Усиленные ключевые слова) • Patterns (Структуры) По умолчанию, DLP находит текстовые строки в верхнем регистре или нижнем регистре. Вы можете выбрать, чтобы находился только текст, соответствующий регистру слов с списках типов данных. Чтобы найти текстовые строки, только когда соответствует регистр символов:
• Установите case sensitivity на true. Значение по умолчанию false.
Примечание – ОпцияCase Sensitivity (Чувствительность к регистру) применяется к словам ASCII. Слова, не являющиеся ASCII, всегда чувствительны к регистру.
Порядок сопоставления имен Применяется к типам данных:
• Dictionary (Словарь)
Data Loss Prevention Руководство администратора R75.40VS | 144 Расширенные опции для типов данных По умолчанию, DLP находит слова словаря точно в таком же виде, в каком они занесены в файл словаря. DLP не найдет слова словаря, если они расположены в другом порядке. Вы можете настроить, чтобы DLP находил слова словаря, даже если они расположены в другом порядке. Это важно, когда DLP ищет имена людей, которые расположены в другом порядке. Например, если ваш файл словаря включает имя John Smith, DLP найдет только John Smith. По умолчанию, DLP не найдет Smith John в отсылаемых сообщениях.
Чтобы находить записи словаря в любом порядке:
• Установите ordered match на false. Значение по умолчанию true.
Близость сопоставляемых слов Применяется к типам данных:
• Dictionary (Словарь) DLP может использовать близость слов словаря друг к другу как критерий в DLP правилах. При этой опции, если DLP найдет слова, расположенные далеко друг от друга, DLP не вызовет действие. Например, если ваш файл словаря содержит конфиденциальная и информация, и проверка близости активирована, DLP определит сообщения, в которых эти слова находятся в пределах 3 слов друг от друга. В этом примере: Текст будет соответствовать правилу словаря: Данное email сообщение содержит конфиденциальная корпоративная информация.
Текст не будет соответствовать правилу словаря: Данная информация о наших продуктах не является конфиденциальной.
Чтобы DLP проверял близость слов словаря:
• Установите enable_proximity_check на true. Значение по умолчанию false.
Чтобы изменить значение того, насколько близко должны быть друг от друга слова словаря:
• Установите proximity на количество слов, которые могут находиться между словами словаря. Значение по умолчанию 3. Множественные совпадения Применяется к типам данных:
• Dictionary (Словарь) • Keywords (Ключевые слова) • Patterns (Структуры) DLP сканирует сообщения на наличие слов, включенных в ваши списки. DLP может регистрировать совпадение для каждого встретившегося слова в тексте или регистрировать совпадение только один раз, вне зависимости от того, сколько раз слово использовалось в тексте. По умолчанию, Структуры регистрируются как совпадение каждый раз, когда структура используется в тексте, но слова словаря и ключевые слова регистрируются как совпадение только один раз, вне зависимости от того, сколько раз они использовались в тексте. Чтобы регистрировать только одно совпадение вне зависимости от того, сколько раз слово использовалось:
• Установите count_occurences на false. По умолчанию это значение true для Структур.
Чтобы регистрировать совпадение каждый раз, когда слово используется в тексте:
• Установите count_occurences для типа данных на true. По умолчанию это значение false для словаря и ключевых слов.
Data Loss Prevention Руководство администратора R75.40VS | 145 Расширенные опции для типов данных Сопоставление только целого слова Применяется к типам данных:
• Weighted Keywords (Усиленные ключевые слова) — только когда ключевое слово является
регулярным выражением
• Patterns (Структуры) DLP может сопоставлять текст как частичные или целые слова. Для усиленных ключевых слов и структур вы можете выбрать, чтобы сопоставлялись только целые слова. Типы данных словарь или ключевые слова в любом случае сопоставляются, только когда они встречаются как целое слово. Например, если ваш тип данных структура содержит (Б/б)езопасно, и активирована опция только целых слов, DLP будет сопоставлять только структуры, у которых нет символов перед или после структуры. В данном примере: Тип данных соответствует тексту: безопасно Тип данных не соответствует тексту: безопасный Чтобы сопоставлять только целые слова:
• Установите whole_word_only на true. По умолчанию значение false.
Примечание – В языках, в которых слова не связываются пробелами или знаками пунктуации, например, японский или китайский, никогда не будут сопоставляться только целые слова.
Data Loss Prevention Руководство администратора R75.40VS | 146
Приложение C
Регулярные выражения
Регулярное выражения – это специальные символы, которые соответствуют или занимают части поля. В этих разделах охватываются специальные символы, поддерживаемые Check Point, и правила регулирующие их использование.
В этом Приложении
Метасимволы 147 Квадратные скобки 148 Круглые скобки 148 Дефис 148 Точка 148 Вертикальная черта 148 Обратная косая черта 148 Квантификаторы 149
Метасимволы Некоторые метасимволы распознаются в любом месте в структуре, кроме как в квадратных скобках; другие метасимволы распознаются только в квадратных скобках. Набор регулярных выражений Check Point улучшен для R70 и выше. В следующей таблице показано, поддерживается ли более ранними версиями использование данного метасимвола.
Метасимвол Значение Ранее? См. \ (обратная косая черта) Знак перехода и другие Частично Обратная косая черта значения [ ] (квадратные скобки) Определение Да Квадратные скобки класса символа ( ) (круглые скобки) Подструктура Да Круглые скобки { } (фигурные скобки) Минимальный/максимал Нет Фигурные скобки ьный квантификатор . (точка) Соответствует любому Да Точка символу ? (знак вопроса) Квантификатор ноль Да Знак вопроса или один * (астериск) Квантификатор ноль Да Астериск или более + (плюс) Квантификатор один Да Плюс или более | (вертикальная черта) Начать альтернативную Да Вертикальная черта ветвь л (привязка Структура привязки Да Привязка циркумфлекса циркумфлекса) для начала буфера $ (привязка знака Структура привязки Да Привязка знака доллара доллара) для окончания буфера
Data Loss Prevention Руководство администратора R75.40VS | 147 Регулярные выражения Квадратные скобки Квадратные скобки ([ ]) обозначают класс символов: сопоставление одного символа в строке.
Внутри класса символов специальное значение имеют только следующие метасимволы:
• Обратная косая черта ( \ ) – общий знак перехода.
• Дефис ( - ) – ассортимент символов.
Круглые скобки Круглые скобки ( ) обозначают подструктуру. Для сопоставления либо с открывающейся скобкой, либо с закрывающейся скобкой, используйте обратную косую черту, чтобы перейти от символа.
Дефис Дефис '-' обозначает ассортимент символов внутри класса символов. При использовании в качестве простого символа в классе символов от него необходимо перейти с помощью обратной косой черты. Например: [a-z] соответствует алфавиту в нижнем регистре.
Точка Вне класса символов точка (.) соответствует любому одному символу в строке.
Например: .* соответствует нулю или большему количеству присутствий любого символа.
Внутри класса символов она соответствует точке (.).
Вертикальная черта Вертикальная черта (|) используется для разделения альтернативных структур. Если правая сторона свободна, этот символ обозначает нуль-строку: a| соответствует a или пустой строке. Например: a|b соответствует a или b
Обратная косая черта Значение символа обратной косой черты (\) зависит от контекста. Не все следующие объяснения поддерживаются в более ранних версиях; более подробную информацию см. в «Ранние версии». В R70 и выше с помощью обратной косой черты осуществляется переход от метасимволов внутри и вне класса символов.
Символы перехода Если после обратной косой черты идет не буквенно-цифровой символ, она нейтрализует любое специальное значение, которое может быть у символа. Например, \* соответствует астериску, а не любому символу. Также вы можете перейти от закрывающейся скобки с помощью обратной косой черты [\]]. Если защита от структуры ставится для более ранних версий шлюза, а также для более новых, не указывайте одну косую черту внутри квадратных скобок. Вместо этого укажите две обратные косые черты, если вы хотите поставить литеральную косую черту внутри квадратных скобок. Вы не можете использовать \ , чтобы перейти от буквы, не являющейся метасимволом. Например, так как g не является метасимволом, вы не можете использовать \g.
Data Loss Prevention Руководство администратора R75.40VS | 148 Регулярные выражения Кодирование непечатаемых знаков Чтобы использовать непечатаемые символы (например, табуляцию, возврат или так далее) в структурах, используйте обратную косую черту перед набором символов, отведенным для непечатаемых символов.
Символ Значение \a Аварийный сигнал (alarm); символ BEL (hex 07) \cx control-x, где x – любой символ \e Переход (escape) (hex 1B) \f Прогон страницы (hex 0C) \n Новая строка (hex 0A) \r Возврат каретки (hex 0D) \t Табуляция (hex 09) \ddd Символ с восьмеричным кодом ddd \xhh Символ с шестнадцатеричным кодом hh
Указание типов символов Чтобы указать определенные типы символов (цифры, пробелы, слова) в структурах, используйте обратную косую черту перед набором символов, отведенным для типов символов.
Символ Значение \d Любая десятичная цифра \D Любой символ, не являющийся десятичной цифрой \s Любой пробельный символ \S Любой символ, не являющийся пробельным \w Любой словообразующий символ (нижнее подчеркивание или буквенноцифровой символ) \W Любой символ, не являющийся словообразующим (не нижнее подчеркивание или буквенноцифровой символ
Квантификаторы Различные метасимволы указывают, сколько экземпляров символа, набора символов или классов символов должно соответствовать. Квантификатор не должен следовать за другим квантификатором, открывающейся скобкой или быть первым символом выражения. Эти квантификаторы могут следовать за любым из следующих элементов:
• Символ литеральных данных
• Переход, например, \d , соответствующий одному символу
• Класс символов • Подструктура в круглых скобках
Data Loss Prevention Руководство администратора R75.40VS | 149 Регулярные выражения Фигурные скобки Фигурные скобки ({ }) используются как общие квантификаторы повторения. Они указывают минимальное и максимальное количество разрешенных соответствий.
Например: a{2,4} соответствует aa, aaa или aaaa
Если вторая цифра пропущена, но присутствует запятая, верхней границы нет; если вторая цифра и запятая пропущены, квантификатор указывает точное количество требуемых соответствий. Например:
• [aeiou]{3,} соответствует как минимум 3 последовательным гласным, но может соответствовать намного
большему количеству
• \d{8} соответствует ровно 8 цифрам Примечание - Закрывающаяся фигурная скобка '}', которой не предшествует открывающаяся фигурная скобка '{', означает простой символ. Однако принято применять обратную косую черту, '\}', при использовании закрывающейся фигурной скобки как простого символа.
Знаки вопроса Вне класса символов знак вопроса (?) соответствует нулю или одному символу в строке. Это то же самое, что и использовать {0,1}.
Например: c([ab]?)r соответствует car, cbr и cr
Внутри класса символов он соответствует знаку вопроса: [?] соответствует ? (знак вопроса).
Астериск Вне класса символов астериск (*) соответствует любому количеству символов в строке. Это то же самое, что и использовать {0,}. Например: c([ab]*)r соответствует car, cbr, cr, cabr и caaabbbr
Внутри класса символов он соответствует астериску: [*] соответствует * (астериск).
Плюс Вне класса символов плюс (+) соответствует одному или более символов в строке. Это то же самое, что и использовать {1,}. Например: c([ab]+)r соответствует строкам символов, например, car, cbr, cabr, caaabbbr; но не cr
Внутри класса символов он соответствует плюсу: [+] соответствует + (плюс).
Data Loss Prevention Руководство администратора R75.40VS | 150
Приложение D
Поддерживаемые наборы символов
DLP шлюз сканирует тексты в кодировке UTF-8 Unicode. Следовательно, он преобразует сканируемые сообщения и файлы из исходной кодировки в UTF-8. Перед тем как он сможет изменить кодировку сообщений или файла, DLP шлюз должен идентифицировать кодировку. DLP шлюз это делает с помощью метаданных или MIME заголовков. Если нет ни того ни другого, используется кодировка шлюза по умолчанию. DLP шлюз определяет кодировку сканируемого сообщения или файла следующим образом: 1. Если файл содержит метаданные, DLP шлюз считывает кодировку оттуда. Например: файлы Microsoft Word содержат кодировку в файле. 2. Некоторые файлы не имеют метаданных, но имеют MIME заголовки. Текстовые файлы или тело email сообщения, например. У таких файлов DLP шлюз считывает кодировку из MIME заголовков: Content-Type: text/plain; charset=iso-2022-jp 3. Некоторые файлы не имеют ни метаданных, ни MIME заголовков. Для таких файлов DLP шлюз предполагает, что кодировка исходного сообщения или файла является кодировкой шлюза по умолчанию. Запись журнала вносится в $DLPDIR/log/dlpe_problem_files.log: Charset for file
Чтобы изменить кодировку по умолчанию DLP шлюза: 1. На DLP шлюзе отредактируйте файл $DLPDIR/config/dlp.conf 2. В разделе engine найдите поле default_charset_for_text_files. Например: :default_charset_for_text_files (windows-1252) Используйте один из поддерживаемых алиасов в качестве значения для этого поля. Каждый набор символов имеет один или более опциональных алиасов. Например, чтобы сделать кодировкой набора символов по умолчанию Russian KOI8-R, измените значение поля следующим образом: :default charset for text files (KOI8-R)
Если DLP шлюз не может использовать кодировку для сообщения или файла, показывается сообщение об ошибке в $DLPDIR/log/dlpe_problem_files.log: File
Алиасы наборов символов Ниже представлены наборы символов, которые могут использоваться как набор символов ввода по умолчанию DLP шлюза:
Имя набора символов Алиас UTF-8Encoded Unicode UTF-8 UTF-7 Encoded Unicode UTF-7
Data Loss Prevention Руководство администратора R75.40VS | 151 Поддерживаемые наборы символов Имя набора символов Алиас ASCII (7-bit) ASCII Japanese (JIS) JIS_X0201 Japanese (EUC) EUC-JP Korean Standard KSC_5601 Simplified Chinese GB2312 EBCDIC Code Page 37 (United States) IBM037 EBCDIC Code Page 273 (Germany) IBM273 EBCDIC Code Page 274 (Belgium) IBM274 EBCDIC Code Page 277 (Denmark, Norway) IBM277 EBCDIC Code Page 278 (Finland, Sweden) IBM278 EBCDIC Code Page 280 (Italy) IBM280 EBCDIC Code Page 284 (Latin America, Spain) IBM284 EBCDIC Code Page 285 (Ireland, UK) IBM285 EBCDIC Code Page 297 (France) IBM297 EBCDIC Code Page 500 (International) IBM500 EBCDIC Code Page 1026 (Turkey) IBM1026 DOS Code Page 850 (Multilingual Latin I) IBM850 DOS Code Page 852 (Latin II) IBM852 DOS Code Page 855 (Cyrillic) IBM855 DOS Code Page 857 (Turkish) IBM857 DOS Code Page 860 (Portuguese) IBM860 DOS Code Page 861 (Icelandic) IBM861 DOS Code Page 863 (French) IBM863 DOS Code Page 865 (Danish, Norwegian) IBM865 DOS Code Page 869 (Greek) IBM869 Windows Code Page 932 (Japanese Shift-JIS) Shift_JIS Windows Code Page 874 (Thai) ibm874 Windows Code Page 949 (Korean) KS_C_5601-1987 Windows Code Page 950 (Traditional Chinese Big 5) csBig5
Data Loss Prevention Руководство администратора R75.40VS | 152 Поддерживаемые наборы символов Имя набора символов Алиас Windows Code Page 1250 (Central Europe) windows-1250 Windows Code Page 1251 (Cyrillic) windows-1251 Windows Code Page 1252 (Latin I) windows-1252 Windows Code Page 1253 (Greek) windows-1253 Windows Code Page 1254 (Turkish) windows-1254 Windows Code Page 1255 (Hebrew) windows-1255 Windows Code Page 1256 (Arabic) windows-1256 Windows Code Page 1257 (Baltic) windows-1257 ISO-8859-1 (Latin 1) ISO-8859-1 ISO-8859-2 (Latin 2) ISO-8859-2 ISO-8859-3 (Latin 3) ISO-8859-3 ISO-8859-4 (Baltic) ISO-8859-4 ISO-8859-5 (Cyrillic) ISO-8859-5 ISO-8859-6 (Arabic) ISO-8859-6 ISO-8859-7 (Greek) ISO-8859-7 ISO-8859-8 (Hebrew) ISO-8859-8 ISO-8859-9 (Turkish) ISO-8859-9 Mac OS Roman csMacintosh Russian KOI8-R KOI8-R
Data Loss Prevention Руководство администратора R75.40VS | 153
Data Loss Prevention Руководство администратора R75.40VS | 154
Конфигурация обработки журнала происшествий • 27 Настройка дополнительных HTTP портов • 113 Алфавитный Конфигурация исходящей HTTPS проверки • 43 Конфигурация прокси настроек после обновления управления • 23 указатель Конфигурация Exchange Security Agent • 38 A Конфигурация почтового транслятора • 23 Настройка доступа пользователей к интегрированному Action • 49 DLP шлюзу • 114 Конфигурация на основе Активного каталога • 32 Создание исходящего сертификата центра Добавление нового сайта хоста • 49 сертификации • 44 Добавление сертификата сервера • 46 Создание различных Правил для различных отделов • Добавление типов данных в Правила • 95 110 Добавление Email адресов и доменов в Мою Создание исключений • 86 Организацию • 60 Создание исключений для пунктов назначения • 86 Добавление доверенных центров сертификации для Создание исключений для протоколов • 86 исходящей HTTPS проверки • 51 Создание исключений для пользователей • 86 Advanced • 42 Создание исключений с группами типов данных • 86 Расширенная конфигурация и устранение сбоев в работе Создание новых Правил • 82 • Фигурные скобки • 150 114 Индивидуальное развертывание • 87 Расширенные типы данных • 92 Настройка уведомлений, связанных с DLP Расширенные настройки обработки истечения срока • 116 пользователями • 121 Расширенные настройки FTP и HTTP квот • 117 Настройка уведомлений • 77 Расширенные опции для типов данных • 144 Настройка уведомлений для самообработки • 78 Расширенные настройки SMTP квот • 116 Настройка уведомлений Владельцам данных • 78 Расширенные настройки уведомления пользователей • 117 D Альтернативное развертывание шлюзов • 12 Data Loss Prevention по сценарию • 82 Аналитическое развертывание • 82 Data Loss Prevention в SmartDashboard • 59 Астериск • 150 Политики Data Loss Prevention • 64 Аудит и анализ • 70 Терминология Data Loss Prevention • 10 Автоматическое обновление списка доверенных центров Мастер Data Loss Prevention • 19 сертификации • 51 Уведомления Владельцу данных и пользователю • 74 B Владельцы данных • 74 Выделенные развертывания • 17 Обратная косая черта • 148 Развертывание выделенного шлюза DLP • 11 Blade • 50 Развертывание по умолчанию • 59 Запросы блейдов • 56 Определение улучшенного сопоставления для типов Обход HTTPS проверки услугами обновления данных ключевого слова • 99 программного обеспечения • 50 Определение составных типов данных • 91 Определение групп типов данных • 99 C Определение типов данных • 88 Чувствительность к регистру • 144 Определение Email адресов • 101 Certificate • 50 Определение внутренних сетей • 62 Внесение сертификата в черный список • 53 Определение групп внутренних пользователей • 61 Алиасы наборов символов • 151 Определение внутренних пользователей • 61 Связь между Клиентом и Шлюзом • 30 Определение внутренних VPN • 63 Общение с Владельцами данных • 75 Определение Моей Организации • 60 Общение с Пользователями • 76 Определение новых типов файлов • 126 Завершение мастера • 19 Определение Post Match CPcode для типа данных • Конфигурация выделенного шлюза DLP и транслятора на 100 DMZ • 24 Определение протоколов DLP Правил • 112 Конфигурация выделенного шлюза DLP в режиме моста • Определение строжайшей безопасности • 111 19 Определение типа данных атрибута сообщения • 93 Конфигурация шлюза DLP для веб-прокси • 21 Развертывание сертификатов, используя Политику Конфигурация шлюза DLP и кластера безопасности • 16 группы • 45 Конфигурация локально управляемого кластера Destination • 48 безопасности DLP-1• 18 Распределение и соединение Клиентов • 37 Конфигурация Активного каталога и LDAP для DLP • 20 DLP Действия • 71 Конфигурирование IP адреса моста • 20 Права DLP администратора • 14 Конфигурация для веб-прокси • 21 DLP и защита от несанкционированного доступа • 8 Конфигурация для внутреннего веб-прокси • 22 Опции мастера блейда DLP • 19 Настройка HTTP проверки на всех портах • 125 Общие колонки DLP • 72 Конфигурация входящей HTTPS проверки • 46 DLP Портал • 79
Data Loss Prevention Руководство администратора R75.40VS | 155
Колонки DLP ограниченного доступа • 72 I Порядок сопоставления с Правилами DLP • 65 Важная информация • 3 Сопоставление с Правилами DLP, имеющими Импорт исходящего сертификата центра исключения • 65 сертификации • 44 Сопоставление с Правилами DLP при нескольких Импорт типов данных • 101 соответствиях • 65 Инициализация доверительного соединения • 40 Install On • 50 Пробная лицензия программного блейда DLP • 15 Установка и конфигурация • 15 Поддерживаемые DLP платформы • 15 Установка шлюза DLP • 15 Мастер кластера безопасности DLP-1• 18 Установка подписанного сертификата • 143 Конфигурация на основе DNS • 34 Интегрированные развертывания • 17 Точка • 148 Развертывание интегрированного DLP шлюза безопасности • 11 E Внутренние Правила политики DLP • 83 Редактирование типов данных • 96 Внутренняя политика Firewall для выделенного Редактирование значений Exchange Security Agent • DLP шлюза • 115 124 Введение в Data Loss Prevention • 8 Редактирование значений экстремальных условий • Изоляция DMZ • 111 123 Включение HTTPS проверки • 44 L Режим обучения • 80 Активация Клиента UserCheck • 30 Локализация уведомлений, связанных с DLP Кодирование непечатаемых знаков • 149 пользователями • 122 Символы перехода • 148 Анализ события в SmartEvent • 57 M Exchange Security Agent - Configuration Требуемая конфигурация почтового транслятора Summary • 40 • 23 Exchange Security Agent - General • 39 Управление Правилами в Ask User • 80 Exchange Security Agent - Inspection Scope • 39 Управление правилами в Detect • 66 Exchange Security Agent - Trusted Ручное обновление доверенного центра сертификации • 51 Communication • 39 Множественные совпадения • 145 Конфигурация сервера Exchange • 40 Сопоставление только целого слова • 146 Исключение сетей из Моей Организации • 62 Message Tracking • 41 Исключение пользователей из Моей Организации • 62 Метасимволы • 147 Исключение VPN из Моей Организации • 63 Дополнительные опции для Правил • 84 Экспорт сертификата из Сервера управления безопасностью • 45 N Экспорт и развертывание сформированного центра Name • 48 сертификации • 45 Уведомление Владельцев данных • 76 Экспорт типов данных • 101 Уведомление Пользователей • 77 Номер (No.) • 47 F Обнаружение сервера на основе имени файла • 31 O Точная настройка • 87 Получение и установка сертификата Точная настройка для протокола • 112 доверенного сервера • 142 Точная настройка источника и пункта назначения • 109 Сравнение опций • 31 Выделение Правил флажком • 85 Порядок сопоставления имен • 144 Готовое решение • 59 Внимание на данные • 95 Общие сведения о Правилах DLP • 64 G P Очистка шлюза от всех перехваченных данных • 119 Круглые скобки • 148 Очистка шлюза от истекших данных • 119 Части Правила • 47 Панель шлюзов • 50 Разрешения для HTTPS журналов • 56 Генерация запроса подписи сертификата • 142 Плюс • 150 Генерация файла P12 • 142 Предопределенное правило • 47 Получение файла MSI • 36 Предопределение Правил • 85 Предварительная упаковка с CPMSI_TOOL • 36 H Подготовка внутриорганизационных руководящих Помощь пользователям • 38 указаний • 75 Как это работает • 43 Предварительные условия • 18 Как это работает • 10 Предпросмотр водяных знаков • 105 HTTP/HTTPS Прокси • 54 Защита данных по CPcode • 93 HTTPS проверка • 42 Защита данных по ключевому слову • 88 Защита данных по структуре • 91 HTTPS проверка в SmartEvent • 57 Защита данных по усиленному ключевому слову HTTPS проверка в SmartView Tracker • 56 • 92 Запросы HTTPS Проверки • 56 Защита документов по шаблону • 89 HTTPS валидация • 52 Дефис • 148
Data Loss Prevention Руководство администратора R75.40VS | 156
Защита файлов • 90 Включение и выключение водяного знака • 108 Предоставление ключевых слов словарем • 92 Близость сопоставляемых слов • 145 U Необработанные происшествия UserCheck • 79 Q Клиент UserCheck • 29 Квантификаторы • 149 Обзор Клиента UserCheck • 29 Знаки вопроса • 150 UserCheck уведомления • 80 R Требования UserCheck • 29 Рекомендация – тестирование типов данных • UserCheck с аутентификацией пароля Check 100 Point • 38 Рекомендуемое развертывание - DLP шлюз с Использование SmartEvent • 73 почтовым транслятором • 25 Использование SmartView Tracker • 71 Регулярные выражения • 147 Использование инструмента просмотра Удаленный реестр • 36 водяного знака DLP • 109 Изменение имени MSI • 32 Необходимая маршрутизация в режиме моста • V 20 Требуемые интерфейсы VLAN магистрали • 20 Вертикальная черта • 148 Повторный запуск мастера Data Loss Prevention • Просмотр информации в SmartEvent • 57 21 Разрешение конфликтов водяных знаков • 106 Просмотр сертификата • 143 Роль DLP администратора • 13 Действия Правила • 65 Просмотр водяных знаков в документах MS Исключения из Правил • 85 Office • 106 Имена Правил и протоколы • 84 W S Установка водяного знака • 102 Сохранение сертификата центра сертификации • Что происходит при соответствии правилу (Rule 52 Match) • 13 Порталы Шлюза безопасности • 55 Что видят и делают пользователи • 79 Выборочное развертывание – шлюзы • 70 Временные решения для нерекомендуемого Выборочное развертывание – Протоколы • 70 Сертификаты сервера • 46, 141 развертывания почтового транслятора • 25 Правила конфигурации сервера • 33 Валидация сервера • 52 Services • 48 Установка ограничения времени • 68 Установка строгости Правила • 84 Установка отслеживания Правила • 66 Установка Правил на Ask User • 78 Установка Правил на Prevent • 88 Site Category • 48 Конфигурация SmartDashboard • 39 Панель инструментов SmartDashboard • 16
Source • 48 Указание типов символов • 149 Квадратные скобки • 148 Запуск Exchange Security Agent • 41 Statistics • 41
Поддерживаемые типы архивов • 69 Поддерживаемые наборы символов • 151 Поддержка LDAP серверов с UTF-8 записями • 122 T Решение Check Point для DLP • 9 Категория данных Compliance • 95 Политика HTTPS проверки • 47 Необходимость в Предотвращении утечки данных • 8 TLS-зашифрованные SMTP соединения • 27 Track • 49 Устранение сбоев • 54 Происшествия не истекают • 118 Почтовый сервер заполнен • 118 Устранение сбоев при конфигурации на основе
DNS • 35 Доверенные шлюзы • 33
Data Loss Prevention Руководство администратора R75.40VS | 157