作者: Allen Chung

DLP 整合 Data Insight

l 安裝 Data Insight l 安裝DLP (Network Discover) l 在 Enforce建立 Discover Target (csan 的 path 要與 Data Insight 上的 path 一致，否則 Data Insight attribute 會 lookup 不出來) l 設定 Enforce server 與 Data Insight Management Server 的連線 (DLP 若未匯入 Data Insight license file，請先匯入 Data Insight license file，並重啟 Incident Persister 服務) l 測試 Enforce server 與 Data Insight Management Server 的連線 l 架構風險分數、時間範圍以報告有風險的資料夾 l 在Data Insight Management Server 新增 Directory Service l 在Data Insight Management Server上傳 Agent l 在Data Insight Management Server Add filter l Data Insight Management Server 參數設定 l 在 DLP Enforce server 建立自訂的 Network Discover Report 以取得 saved report ID l 在Data Insight Management Server 設定DLP l Data Insight 查詢外掛程式 (plugings.properties、datainsightlookup.properties) l 在 DLP Enforce自訂屬性 l datainsightlookup.properties→架構 Data Insight 外掛程式來填入 [資料擁有者] [資料擁有者 E-mail] l 測試 l Business Unit、Business Unit Owner allen_chung@elite2003.intra,KS010S,allen chung denny_liu@elite2003.intra,KS010S,allen chung alex_chien@elite2003.intra,KS010S,allen chung jach_lin@elite2003.intra,KS010S,allen chung jach_lin@elite2003.intra,KS010S,allen chung gordon_lee@elite2003.intra,KS010S,allen chung cd C:\Program Files\Symantec\DataInsight\bin adcli.exe –mode importbu csvfile C:\DataInsight\data\users \bucsv.csv

l 設定 Enforce server 與 Data Insight Management Server 的連線

(DLP 若未匯入 Data Insight license file，請先匯入 Data Insight license file，並重啟 Incident Persister 服務)

l 測試 Enforce server 與 Data Insight Management Server 的連線

註：請還是將電腦名稱改為 data-insight (不要用 data_insight)，不然之後安裝 Data Insight Agent 會有問題 【A connection could not be established to the specified server.】 【I can’t make a connection to the Data Insight Management server】 https://kb-vontu.altiris.com/display/1n/kb/article.asp?aid=52328&n=2&s= Data_Insight (Host Nmae 不接受 _，只好打 IP) IP 又與 CN 不 match，因此出現 【A connection could not be established to the specified server.】 【How do I turn off host name validation for the connection to Data Insight?】 https://kb-vontu.altiris.com/display/1n/kb/article.asp?aid=52329&link= 在 Enforce server 上停用 Host Nmae 驗證 Yes, the host name verification can be turned off in the Data Loss Prevention Enforce server. In the file Vontu\Protect\config\DataInsightConnection.properties fine the line, matrixcommunication.auth.doCertificateValidation = true and change true to false. matrixcommunication.auth.doCertificateValidation = false matrixcommunication.auth.donameValidation = false Save the file and restart the Enforce Manager.

l 架構風險分數、時間範圍以報告有風險的資料夾

l 在Data Insight Management Server 新增 Directory Service

l 上傳 Agent

l Add Windows File Server Filer

輸入電腦名稱 (電腦名稱使用 Data-Insight)

將電腦名稱改為 data-insight (不要用 data_insight)，不然安裝 Data Insight Agent 會有此問題

?

Error registering node with Management Server (Exit code:1)

Error registering Worker node Host name may not be null (Exit code:3)

l Data Insight Management Server 參數設定

l 在 DLP Enforce server 建立自訂的 Network Discover Report 以取得 saved report ID

l 在Data Insight Management Server 設定DLP

l Data Insight 查詢外掛程式

Plugins.properties

重啟

Vontu manager

Vontu Incident Persister

l 自訂屬性

DataInsightLookup.properties

l 架構 Data Insight 外掛程式來填入 [資料擁有者] [資料擁有者 E-mail]

?

Plugins.properties

l 測試

測試 Enforce server 與 Data Insight Management Server 的連線

Plugins.properties 若變更

重啟

Vontu manager

Vontu Incident Persister

RAR 加密檔案偵測政策

1#

啟用自訂檔案類型偵測：

依預設，不會啟用自訂檔案類型政策規則。若要實作「自訂檔案類型特徵」條件﹐您必須先啟用它。

啟用「自訂檔案類型特徵」規則

A. 使用文字編輯器開啟檔案 C:\Vontu\Protect\config\Manager.properties

B. 將以下選項設定為 true﹕com.vontu.manager.policy.showcustomscriptrule=true

C 停止並重新啟動 Vontu Manager 服務。

2#

(1) 新增Policy

(2) 在Policy中新增Rule

(3) 選擇 Custom File Type Signature 後 Next

(4) 填寫自訂檔案類型與偵測技術資訊 (請參考下方【註】說明來建立標頭偵測規則 )

【註】使用 【fileanalyzer_windows_4_0_1.exe】偵測自定義檔案格式

● 找到 Symantec_DLP_12.5_Platform_Win-IN_b\DLP\12.5\File_Type_Analyzer 目錄

● 在此目錄下執行【fileanalyzer_windows_4_0_1.exe】以安裝 DLP File_Type_Analyzer

● 執行 【C:\Program Files (x86)\File Analyzer】目錄下 【analyzer_gui.exe】

● 在畫面中按下 【Add Directory】來新增分析目錄，該目錄請放置欲偵測檔案與其他常見的檔案 (例如：word，當成對照組)

●  【File Name Filter】請輸入【[\w\s]+.[\w]+】

●  按下【Analyze Dataset】進行兩個不同型態的檔案的標頭差異分析

●  再按下【Analyze Table Data】進行表格的差異分析

 

●  可以發現 .DSN 與 .doc【一直到第 48 格 】才有所差異

http://www.symantec.com/connect/forums/sdlp-and-custom-file-type-detection-file-type-analyzer

●  所以我們可以在【Solution 】中輸入以下的標頭偵測規則

$Int1 = getHexStringValue(‘

$Int1=getHexStringValue(‘D0CF11E0A1B11AE1000000000000000000000000000000003E000300FEFF09000600000000000000000000000100000001‘);
$Int2=getBinaryValueAt($data,0x0,49);
assertTrue($Int1==$Int2);

●  按下【Test Solution】發現確實只有 .DSN 檔案格式被偵測到

以下為 .rar 測試規則

File Type Matches Signature 值

$Rartag=ascii(‘Rar!’);

$Rarbytes=getBinaryValueAt($data, 0x0, 4);

assertTrue($Rartag == $Rarbytes);

$frecord=getHexStringValue(‘526172211A0700’);

$recordbytes=getBinaryValueAt($data, 0x0, 7);

assertTrue($frecord == $recordbytes);

$Rarencrypt1=getHexStringValue(‘CE99’);

$Rarencrypt1byte=getBinaryValueAt($data, 0x7, 2);

assertTrue($Rarencrypt1 == $Rarencrypt1byte);

(5) 確認偵測事件

SEE 整合 DLP

1. DLP 相關設定

2. SEE 相關設定

3. 用戶端需進行以下安裝

l DLP Endpoint Agent

l SEE (Framework Client、RES)

l 透過 flrinst.exe utility啟用 FlexResponse Plug-in

l 在 SEE User Client 設定好 Default Passw0rd

【透過 flrinst.exe utility啟用 FlexResponse Plug-in】

cd C:\Program Files\Manufacturer\Endpoint Agent

flrinst -op=install -package=”C:\Program Files\Manufacturer\Endpoint Agent\rsplugin_flexresponse.zip” -p=VontuStop

【在 SEE User Client 設定好 Default Password】

4. 驗證

SWG5 整合 DLP 相關設定

【HTTPS】

Gmail

Hotmail HTTP

Hotmail – HTTP

SMG 整合 DLP 相關設定

智慧主機指向 SMG [192.168.181.96]

設定允許轉送

SMG接受來自 Exchange smart host 轉過來的信

在 SMG 上設定寄出信件先送至 DLP 檢查

設定 DLP 使用 reflect mode來與 SMG 互動，並取消試用模式

DLP 檢查完信件後，將信還給 SMG 的 25 port (DLP 預設值為 10026)

RequestProcessor.MTAResubmitPort=10026 – 25

RequestProcessor.ServerSocketPort=10025

建立 DLP 事件隔離資料夾

設定 DLP 的 Response Rule

將違反 DLP policy 的信件標頭加上 X-cfilter-Quarantine: yes 的值

SMG 將信件標頭含有 X-cfilter-Quarantine: yes值的信，隔離到 [DLP Incidents Quarantine] 隔離資料夾

以下是 DLP Incident

以下是 SMG [DLP Incidents Quarantine] 隔離資料夾

以下是 SMG 郵件稽核日誌

【DLP Endpoint Agent Pull】

Additionally please provide logs from the Endpoint Agent via the Enforce UI:

Go to System -> Agent Overview

至【系統】→【代理程式】→【概覽】

Select the agent you want and from the Actions pull down, select Pull Logs.

選擇那台要 copy .pst 檔到用戶端電腦 → 點選【動作】→ 【提取日誌】

Select both Services logs or Operational logs and click OK

Next, the logs need to be pulled from the Endpoint Server to the Enforce Server

Go to System -> Servers -> Logs

Select the Endpoint Server from the drop down and check the Agent logs box.

至【系統】→【伺服器】→【日誌】→【組態】→【下拉選擇您的偵測伺服器】

至【系統】→【伺服器】→【日誌】→【收集】→【勾選 操作日誌、偵錯和追蹤日誌、組態檔、代理程式日誌】

並按下【收集日誌】

Then click on the Collect Logs button.

This will retrieve the logs from the Endpoint Agent.

Download the logs and send them to us by replying to this mail with the attachment.

一段時間後，按下右上角的重新整理圖示，帶畫面下方出現【下載】連結時，下載【SymantecDLPLogs.zip】

請將 SymantecDLPLogs.zip 以附件的方式提供給我們

---

How to enable Sylink debugging for the Symantec Endpoint Protection 11.x and 12.1 client in the Windows Registry

http://www.symantec.com/business/support/index?page=content&id=TECH104758

---

Symantec Endpoint Protection Client installation failed: error “”Pending system changes that require a reboot have been detected” ”

http://www.symantec.com/business/support/index?page=content&id=TECH208775

---

Symantec Endpoint Protection 12.1: Best Practices for Disaster Recovery with the Symantec Endpoint Protection Manager

http://www.symantec.com/business/support/index?page=content&id=TECH160736

---

Smart Responses 自動回應與智慧型回應功能

l 【為事件建立一個 remediation (矯正) 的 Smart Response Tag】

l 建立一個 Smart Response 來 remediation (矯正) High Severity事件為 escalate status

l Create a Smart Response to escalate incidents deemed as High Severity.

l 確認有這個 Attribute

l 開啟某一 High Severity事件，可以發現目前 Status 為 New

l 按下 remediation (矯正) 中的 [ Escalate for High Severity ] smart response

l 可以發現重新整理後 Status 變成 Escalated 了

Customized Reports自訂報表

l 建立一個報表，內容不包含【被 EDM ( 改成 customer data (DCM) )偵測到的事件】

l 並且讓此報表 summary by Business Unit & Policy

l 儲存此報表成為一報表連結

1.Create a report which excludes anything detected by EDM 2.Break this information down by: a.Business Unit and then Policy 3.Save the report and make it available to *all* users who have access to the system

E.

Import Excel data and test mail include customers information(EDM)

說明：

精確資料比對 (EDM) 會偵測您要保護且以結構化或表格式格式儲存的內容。例如，您可以使用 EDM 偵測資料庫中的機密客戶資訊。或者，您也可以使用 EDM 偵測試算表中的敏感財務資訊。

若要實作 EDM，請識別要保護的結構化資料。可使用 Enforce Server 管理主控台對資料來源建立索引。在建立索引的過程中，系統會存取、擷取並標準化文字內容，然後使用不可還原的雜湊加以保護，藉以對資料進行指紋鑑定。為進行精確而持續之偵測，您可以排程定期建立索引，使資料始終保持最新。您可以架構「內容與以下位置的精確資料相符」政策偵測規則，以符合已設定資料的個別片段。為提升準確性，您可以架構規則以符合特定記錄之資料欄位的組合。一旦為資料來源建立索引並部署政策後，偵測引擎即可偵測結構化或非結構化格式的資料。

從 Partner Training – Configuration Scenarios.docx 複製以下資料至 【Excel】

另存 Excel 為 【Unicode 文字檔】

然後將 【Unicode文字檔】 另存為 【UTF-8文字檔】

Convert the following table into an EDM:

English Name	Chinese Name	Country	Account Number	Credit Card Number
Gareth Charles Bridges	喬敦興	Hong Kong	A1234567	4547-1234-4321-9876
Bruce Lee	李小龍	Hong Kong	A9886543	4200-9876-1111-9843
David Beckham		England	B1234986	5185-0987-2222-3451
Zhang Zi Yi	章子怡	China	B2345678	3289-2344-8654-1578
Stephen Chow	周星馳	Hong Kong	C1234567	4548-1234-9721-6291