Кейсы по DLP модулю

Содержание статьи:

Блокировка действий с файлами по атрибутам

1. Активируем DLP модуль в конфигурации компьютеров.

Обращаю внимание, блокировка будет работать только на тех ПК где в конфигурации включен модуль.

../_images/dlp_cases_1.png

2. Создадим правило блокировки.

Для примера создадим правило, которое запрещает просмотр pdf файлов из любого приложения кроме AcrobatReader

Примечание

При составлении правила нужно помнить, что это правило блокировки, т.е. условия подразумевают запрет действий, когда правило истинно.

../_images/dlp_cases_2.png

3. Выбираем условия следующим образом:

../_images/dlp_cases_3.png

Содержимое файла равно типу pdf

4. В последнем боксе выбираем логическое условие «And» для добавления второго условия.

Вторым условием будет что программа имеющая доступ к файлу отличается от AcrobatReader

../_images/dlp_cases_4.png

5. Сохраняем конфигурацию и проверяем на ПК сотрудника.

При попытке вложить файл pdf в письмо – запрет действия.

../_images/dlp_cases_5.png

При попытке открыть файл в другой программе, например в браузере – запрет.

../_images/dlp_cases_6.png

При попытке сменить расширение файла – запрет действия.

../_images/dlp_cases_7.png

6. Таким образом мы можем запретить отправку файла используя почтовую программу или web-браузер. Для запрета записи на USB носитель нужно использовать модуль блокировки USB носителей.

Чтение файла и работа в разрешённом приложении доступны.

Отслеживание «движения» файла в периметре организации

1. Активируем DLP модуль в конфигурации компьютеров.

Обращаю внимание, отслеживание по метке будет работать только на тех ПК где в конфигурации включен модуль.

../_images/dlp_cases_8.png

2. Используя утилиту, создаём метку в файле

../_images/dlp_cases_9.png

3. Теперь данный файл можно распространить внутри информационного контролируемого периметра и производить аналитику в web-консоли.

В измерении «Файл» выбираем параметр «Метка» и нужно значение – в линзе событий будут все события связанные с файлами с выбранной меткой.

../_images/dlp_cases_10.png

4. Вид в линзе событий можно привести к компактному, если дополнительно выбрать значение «Операции с файлами» в «Типы событий»

../_images/dlp_cases_11.png

5. Далее уже можно проводить аналитическую и оперативную работу используя другие возможности web-консоли.

Доступ к данным только определённым сотрудникам

1. Активируем DLP модуль в конфигурации компьютеров.

Обращаю внимание, отслеживание по метке будет работать только на тех ПК где в конфигурации включен модуль.

../_images/dlp_cases_12.png

2. Используя утилиту создаём метку в файле

../_images/dlp_cases_13.png

3. Создадим правило блокировки.

Примечание

При составлении правила нужно помнить, что это правило блокировки, т.е. условия подразумевают запрет действий когда правило истинно.

../_images/dlp_cases_14.png

4. Укажем какую метку мы использовали и выбираем условия следующим образом:

../_images/dlp_cases_15.png

5. В последнем боксе выбираем логическое условие «And» для добавления второго условия.

Вторым условием будет что имя пользователя отлично от «Ксения»

../_images/dlp_cases_16.png

6. Сохраняем конфигурацию и проверяем на ПК сотрудников.

У Ксении есть доступ к файлам, У Валерия – нет.

Запрет отправки файлов на флешку через RDP

  1. Активируйте DLP модуль в конфигурации компьютеров.

Обратите внимание, что блокировка будет работать только на тех ПК, где в конфигурации включен модуль.

../_images/dlp_cases_17.png
  1. Создайте правило блокировки, которое будет запрещать запись файлов на диски, проброшенные через RDP клиент.

    ../_images/dlp_cases_19.png

Первое условие здесь указывает путь к сетевому диску, который нужно контролировать, а второе - ограничивает разрешенные файловые операции только чтением.

Примечание

При составлении правила помните, что это правило блокировки, т.е. условия подразумевают запрет действий, когда правило истинно.

Готовый код такого правила будет иметь вид:

file_path matches "(\\\\tsclient\\)" and not file_operation in {"Read"}
  1. Сохраните конфигурацию и проверьте работу модуля на ПК сотрудника.

При попытке открыть файл с подключенного диска, или скопировать файл для работы внутри терминальной сессии все работает.

../_images/dlp_cases_18.png ../_images/dlp_cases_20.png

Отправка рабочих файлов обратно на подключенный диск запрещена.

../_images/dlp_cases_21.png
  1. Таким образом можно запретить отправку файлов на любой подключенный через RDP клиент носитель.

Чтение файлов и работа внутри терминальной сессии доступны.

Блокировать работу с файлом, если в нём содержится искомый текст

DLP-модуль позволяет заблокировать работу с файлом, содержащим определённый текст. Это может помочь с предотвращением утечек информации за периметр безопасности.

Заблокировать работу с файлом можно при помощи правил работы DLP-модуля. Чтобы эффективно блокировать работу с файлами, содержащими определённый текст, есть два варианта настройки правил:

  • правило, отслеживающее файлы с определённым расширением;

  • правило, отслеживающее файлы с определённым типом контента.

Первый вариант проще в настройке, второй - более надёжный.

Блокировка по расширению файла

  1. В веб-интерфейсе сервера Staffcop перейдите в раздел Панель управления - Конфигурации компьютеров - Метки и блокировка доступа.

  2. Создайте новое правило:

    • Контент - совпадает - Запрещённый текст

    • И

    • Расширение файла - совпадает - Укажите расширения файлов, которые необходимо контролировать

    ../_images/dlp_cases_rule.png
  3. Сохраните конфигурацию и примените её.

Блокировка по типу контента

  1. В веб-интерфейсе сервера Staffcop перейдите в раздел Панель управления - Конфигурации компьютеров - Метки и блокировка доступа.

  2. Создайте новое правило:

    • Контент - совпадает - Запрещённый текст

    • И

    • Тип контента - совпадает - Укажите необходимый тип контента

    ../_images/dlp_cases_rule_2.png
  3. Сохраните конфигурацию и примените её.

Чтобы заблокировать файлы офисных форматов, добавьте в строку Тип контента следующие значения:

  • text/plain;

  • application/vnd.openxmlformats-officedocument.wordprocessingml.document;

  • application/vnd.openxmlformats-officedocument.spreadsheetml.sheet;

  • application/vnd.oasis.opendocument.text;

  • application/vnd.openxmlformats-officedocument.presentationml.presentation;

  • application/zip;

  • text/x-csrc;

  • application/vnd.oasis.opendocument.presentation.