Метки и блокировка доступа

Модуль Метки и блокировка доступа проверяет наличие цифровых меток у файлов и на основе этого позволяет блокировать доступ к файлам по заданным параметрам.

Внимание

Включение данного модуля может привести к замедлению работы с файлами на рабочих станциях.

Не включайте этот модуль, если нет стоит задачи блокировок файлов на основе их содержимого.

Для файлов, указанных в разделе Файлы - Правила: Файловый мониторинг - Пути и маски и Правила: Файловый мониторинг - Пути и маски - Чтение, не будут отображаться уведомления о блокировке.

Настройка конфигурации модуля

Модуль Метки и блокировка доступа прозволяет создавать правила доступа к определённым файлам. Создание и настройка таких правил происходят в основном веб-интерфейсе Staffcop.

../../_images/dlp.png

Чтобы создать правило:

  1. В строке Поле выберите атрибут правила - признак, по которому правило будет работать.

Доступные артибуты:

  • Имя компьютера

  • Имя пользователя

  • Домен пользователя

  • Имя приложения

  • Имя файла

  • Путь файла

  • Расширение файла

  • Тип контента

  • Признак наличия метки

  • Значение метки

  • Контент

  • Тип файловой операции

  • Диск-Источник

  • Диск-Приёмник

  1. В строке Оператор выберите логический оператор.

Доступные логические операторы:

Оператор

Cокращение

Назначение

Использование

not

!

Логическое НЕ

not ATTR

equals

==

Сравнение

ATTR == one

matches

Регулярное выражение

ATTR matches «(one|two)»

in

Нахождение в списке

ATTR in {«one» «two»}

или

or

Логическое ИЛИ

ATTR or ATTR2

и

and

Логическое И

ATTR and ATTR2

  1. В поле Значение укажите значение выбранного атрибута (имя файла, имя компьютера…). Все значения регистронезависимы.

Особенности атрибутов:

  • для атрибута Тип контента расширение файла определяется на основе его содержимого и может отличаться от указанного в пути;

  • по атрибуту Контент можно блокировать только файлы MS Office и .txt;

  • при создании правил с атрибутом Контент используйте логический оператор match.

Примечание

Обратите внимание, что Linux-агенты не поддерживают операторы Содержится и Не содержится.

Особенности работы модуля

Неверная настройка правил блокировки может нарушить работу некоторых приложений.

Например, блокировка zip-архивов можно нарушить работу MS Excel, поскольку кэш Excel хранится в формате zip-архива. Чтобы этого избежать, правила блокировки zip-архивов должны быть следующими:

  • mime == «application/zip» and not exe_name matches «(7zfm.exe|excel.exe)»

  • mime == «application/zip» and exe_name != «7zfm.exe» or exe_name != «excel.exe»

Больше примеров работы модуля блокировки приведено в отдельной статье.

Цифровые метки

Помимо правил блокировки, модуль поддерживает работу с цифровыми метками файлов. Такие метки позволяют отслеживать файлы даже при изменении их имени или содержимого.

Модуль Метки и блокировка доступа поддерживает работу с файлами в формате:

  • Microsoft Office Word Document (.docx)

  • Microsoft Office Excel Workbook (.xlsx)

  • Microsoft Office PowerPoint Presentation (.pptx)

  • Open Office Text Documen (.odt)

  • Open Office Spreadsheet (.ods)

  • Open Office Presentation (.odp)

Поставить цифровую метку можно при помощи специальных утилит для Windows и Linux. Скачать утилиты можно в окне модуля.

../../_images/dlp_tagger.png

Утилита для Windows

Чтобы поставить цифровую метку на файл:

  1. Скачайте и установите утилиту Staffcop Tagger.

  2. После завершения установки, запустите программу.

  3. Выберите необходимые файлы и нажмите значок «Пометить файлы».

  4. В открывшемся окне создания метки, введите текст метки.

../../_images/dlp_tagger_1.png

  1. Готово! Цифровая метка поставлена.

Теперь можно настраивать отслеживание перемещений этих файлов внутри периметра безопасности.

Утилита для Linux

Чтобы поставить цифровую метку на файл:

  1. Скачайте утилиту staffcop-tagger.

  2. Сделайте файл скрипта исполняемым:

chmod +x /path/to/staffcop-tagger

Здесь /path/to/ - полный путь до скачанного скрипта.

  1. Установите метку на выбранный файл:

./staffcop-tagger tag -v mark_name path/to/file_name

Здесь mark_name - текст метки; path/to/file_name - путь к файлу, который необходимо пометить (в том числе - сетевой путь).

  1. Готово! Цифровая метка поставлена. Теперь можно настраивать отслеживание перемещений этих файлов внутри периметра безопасности.

Список команд и флагов утилиты staffcop-tagger:

Команда / флаг

Описание

-H

Вызов списка доступных команд.

-V

Полное название и версия утилиты.

help

Вызывает список доступных команд с описанием.

info

Возвращает информацию об указанном файле.

rule

Отладочная команда для проверки созданных вручную DLP-правил.

simularity

Сравнивает содержимое двух файлов.

tag

Ставит указанную метку на указанный файл.