Кейсы по DLP модулю

Блокировка действий с файлами по атрибутам

1. Активируем DLP модуль в конфигурации компьютеров.

Обращаю внимание, блокировка будет работать только на тех ПК где в конфигурации включен модуль.

../_images/dlp_cases_1.png

2. Создадим правило блокировки.

Для примера создадим правило, которое запрещает просмотр pdf файлов из любого приложения кроме AcrobatReader

Примечание

При составлении правила нужно помнить, что это правило блокировки, т.е. условия подразумевают запрет действий, когда правило истинно.

../_images/dlp_cases_2.png

3. Выбираем условия следующим образом:

../_images/dlp_cases_3.png

Содержимое файла равно типу pdf

4. В последнем боксе выбираем логическое условие «And» для добавления второго условия.

Вторым условием будет что программа имеющая доступ к файлу отличается от AcrobatReader

../_images/dlp_cases_4.png

5. Сохраняем конфигурацию и проверяем на ПК сотрудника.

При попытке вложить файл pdf в письмо – запрет действия.

../_images/dlp_cases_5.png

При попытке открыть файл в другой программе, например в браузере – запрет.

../_images/dlp_cases_6.png

При попытке сменить расширение файла – запрет действия.

../_images/dlp_cases_7.png

6. Таким образом мы можем запретить отправку файла используя почтовую программу или web-браузер. Для запрета записи на USB носитель нужно использовать модуль блокировки USB носителей.

Чтение файла и работа в разрешённом приложении доступны.

Отслеживание «движения» файла в периметре организации

1. Активируем DLP модуль в конфигурации компьютеров.

Обращаю внимание, отслеживание по метке будет работать только на тех ПК где в конфигурации включен модуль.

../_images/dlp_cases_8.png

2. Используя утилиту создаём метку в файле

../_images/dlp_cases_9.png

3. Теперь данный файл можно распространить внутри информационного контролируемого периметра и производить аналитику в web-консоли.

В измерении «Файл» выбираем параметр «Метка» и нужно значение – в линзе событий будут все события связанные с файлами с выбранной меткой.

../_images/dlp_cases_10.png

4. Вид в линзе событий можно привести в более компактному, если дополнительно выбрать выбрать значение «Операции с файлами» в «Типы событий»

../_images/dlp_cases_11.png

5. Далее уже можно проводить аналитическую и оперативную работу используя другие возможности web-консоли.

Доступ к данным только определённым сотрудникам

1. Активируем DLP модуль в конфигурации компьютеров.

Обращаю внимание, отслеживание по метке будет работать только на тех ПК где в конфигурации включен модуль.

../_images/dlp_cases_12.png

2. Используя утилиту создаём метку в файле

../_images/dlp_cases_13.png

3. Создадим правило блокировки.

Примечание

При составлении правила нужно помнить, что это правило блокировки, т.е. условия подразумевают запрет действий когда правило истинно.

../_images/dlp_cases_14.png

4. Укажем какую метку мы использовали и выбираем условия следующим образом:

../_images/dlp_cases_15.png

5. В последнем боксе выбираем логическое условие «And» для добавления второго условия.

Вторым условием будет что имя пользователя отлично от «Ксения»

../_images/dlp_cases_16.png

6. Сохраняем конфигурацию и проверяем на ПК сотрудников.

У Ксении есть доступ к файлам, У Валерия – нет.

Запрет отправки файлов на флешку через RDP

1. Активируем DLP модуль в конфигурации компьютеров.

Обращаю внимание, блокировка будет работать только на тех ПК, где в конфигурации включен модуль.

../_images/dlp_cases_17.png
  1. Создадим правило блокировки.

Создадим правило, которое запрещает запись файлов на диски, проброшенные через RDP клиент. В данном примере разрешены только операции чтения, но вы можете перенастроить правило под свои конкретные задачи:

Примечание

При составлении правила нужно помнить, что это правило блокировки, т.е. условия подразумевают запрет действий, когда правило истинно.

  1. В текстовое поле внизу вставляем готовый код отдельной строкой:

file_path matches "(\\\\tsclient\\)" and not file_operation in {"Read"}

В итоге у нас должно получиться следующее правило:

../_images/dlp_cases_18.png

Первое условие указывает модулю на путь к сетевому диску, который нужно контролировать, а второе условие ограничивает разрешенные файловые операции только чтением.

  1. Сохраняем конфигурацию и проверяем на ПК сотрудника.

При попытке открыть файл с подключенного диска, или скопировать файл для работы внутри терминальной сессии – все работает.

../_images/dlp_cases_19.png ../_images/dlp_cases_20.png

А при попытке отправить рабочие файлы обратно на подключенный диск – получаем запрет.

../_images/dlp_cases_21.png
  1. Таким образом мы можем запретить отправку файлов на любой подключенный через RDP клиент носитель.

Чтение файлов и работа внутри терминальной сессии доступны.