1. 請設定【代理程式組態】
2. 雙按【Default Configuration】
3. 勾選【複製至共用】
4. 請新增【回應規則】
5. 按下【新增回應規則】
6. 選擇【自動回應】
7.
(1) 輸入【規則名稱】
(2) 新增條件 :按下【新增條件】鈕 → 選擇【通訊協定或端點監控】→【是任一】→【端點複製到網路共用】
(3) 新增動作 :選擇動作類型為【 (端點) Prevent 攔截 】→按下【新增動作】鈕
(4) 視需要修改【端點通知內容】
(5) 記得按下【儲存】鈕
8. 建立好的【新增回應規則】
9. 找到既有的個資政策
10. 雙按該既有的個資政策
11. 點按【回應】頁籤 → 在下拉選單選擇【先前建立的回應規則 (阻擋個資複製網芳並示警) 】→ 按下【新增回應規則】鈕
12. 記得按下【儲存】鈕
13. 在用戶端拖曳個資檔案至分享資料夾
14. 您可以發現該動作遭封鎖並示警
15. 資安事件中也能找到相對應的紀錄
RAR 加密檔案偵測政策
1#
啟用自訂檔案類型偵測:
依預設,不會啟用自訂檔案類型政策規則。若要實作「自訂檔案類型特徵」條件﹐您必須先啟用它。
啟用「自訂檔案類型特徵」規則
A. 使用文字編輯器開啟檔案 C:\Vontu\Protect\config\Manager.properties
B. 將以下選項設定為 true﹕com.vontu.manager.policy.showcustomscriptrule=true
C 停止並重新啟動 Vontu Manager 服務。
2#
(1) 新增Policy
(2) 在Policy中新增Rule
(3) 選擇 Custom File Type Signature 後 Next
(4) 填寫自訂檔案類型與偵測技術資訊 (請參考下方【註】說明來建立標頭偵測規則 )
【註】使用 【fileanalyzer_windows_4_0_1.exe】偵測自定義檔案格式
● 找到 Symantec_DLP_12.5_Platform_Win-IN_b\DLP\12.5\File_Type_Analyzer 目錄
● 在此目錄下執行【fileanalyzer_windows_4_0_1.exe】以安裝 DLP File_Type_Analyzer
● 執行 【C:\Program Files (x86)\File Analyzer】目錄下 【analyzer_gui.exe】
● 在畫面中按下 【Add Directory】來新增分析目錄,該目錄請放置欲偵測檔案與其他常見的檔案 (例如:word,當成對照組)
● 【File Name Filter】請輸入【[\w\s]+.[\w]+】
● 按下【Analyze Dataset】進行兩個不同型態的檔案的標頭差異分析
● 再按下【Analyze Table Data】進行表格的差異分析
● 可以發現 .DSN 與 .doc【一直到第 48 格 】才有所差異
http://www.symantec.com/connect/forums/sdlp-and-custom-file-type-detection-file-type-analyzer
● 所以我們可以在【Solution 】中輸入以下的標頭偵測規則
$Int1 = getHexStringValue(‘
$Int1=getHexStringValue(‘D0CF11E0A1B11AE1000000000000000000000000000000003E000300FEFF09000600000000000000000000000100000001‘);
$Int2=getBinaryValueAt($data,0x0,49);
assertTrue($Int1==$Int2);
● 按下【Test Solution】發現確實只有 .DSN 檔案格式被偵測到
以下為 .rar 測試規則
File Type Matches Signature 值
$Rartag=ascii(‘Rar!’);
$Rarbytes=getBinaryValueAt($data, 0x0, 4);
assertTrue($Rartag == $Rarbytes);
$frecord=getHexStringValue(‘526172211A0700’);
$recordbytes=getBinaryValueAt($data, 0x0, 7);
assertTrue($frecord == $recordbytes);
$Rarencrypt1=getHexStringValue(‘CE99’);
$Rarencrypt1byte=getBinaryValueAt($data, 0x7, 2);
assertTrue($Rarencrypt1 == $Rarencrypt1byte);
(5) 確認偵測事件
Smart Responses 自動回應與智慧型回應功能
l 【為事件建立一個 remediation (矯正) 的 Smart Response Tag】
l 建立一個 Smart Response 來 remediation (矯正) High Severity事件為 escalate status
l Create a Smart Response to escalate incidents deemed as High Severity.
l 確認有這個 Attribute
l 開啟某一 High Severity事件,可以發現目前 Status 為 New
l 按下 remediation (矯正) 中的 [ Escalate for High Severity ] smart response
l 可以發現重新整理後 Status 變成 Escalated 了
l 建立一個報表,內容不包含【被 EDM ( 改成 customer data (DCM) )偵測到的事件】
l 並且讓此報表 summary by Business Unit & Policy
l 儲存此報表成為一報表連結
|
1.Create a report which excludes anything detected by EDM 2.Break this information down by: a.Business Unit and then Policy 3.Save the report and make it available to *all* users who have access to the system |
Import Excel data and test mail include customers information(EDM)
說明:
精確資料比對 (EDM) 會偵測您要保護且以結構化或表格式格式儲存的內容。例如,您可以使用 EDM 偵測資料庫中的機密客戶資訊。或者,您也可以使用 EDM 偵測試算表中的敏感財務資訊。
若要實作 EDM,請識別要保護的結構化資料。可使用 Enforce Server 管理主控台對資料來源建立索引。在建立索引的過程中,系統會存取、擷取並標準化文字內容,然後使用不可還原的雜湊加以保護,藉以對資料進行指紋鑑定。為進行精確而持續之偵測,您可以排程定期建立索引,使資料始終保持最新。您可以架構「內容與以下位置的精確資料相符」政策偵測規則,以符合已設定資料的個別片段。為提升準確性,您可以架構規則以符合特定記錄之資料欄位的組合。一旦為資料來源建立索引並部署政策後,偵測引擎即可偵測結構化或非結構化格式的資料。
從 Partner Training – Configuration Scenarios.docx 複製以下資料至 【Excel】
另存 Excel 為 【Unicode 文字檔】
然後將 【Unicode文字檔】 另存為 【UTF-8文字檔】
Convert the following table into an EDM:
|
English Name |
Chinese Name |
Country |
Account Number |
Credit Card Number |
|
Gareth Charles Bridges |
喬敦興 |
Hong Kong |
A1234567 |
4547-1234-4321-9876 |
|
Bruce Lee |
李小龍 |
Hong Kong |
A9886543 |
4200-9876-1111-9843 |
|
David Beckham |
England |
B1234986 |
5185-0987-2222-3451 |
|
|
Zhang Zi Yi |
章子怡 |
China |
B2345678 |
3289-2344-8654-1578 |
|
Stephen Chow |
周星馳 |
Hong Kong |
C1234567 |
4548-1234-9721-6291 |
Dwg word document signature (IDM)
說明:
已建立索引的文件比對 (IDM) 會比對來自敏感專屬文件的非結構化資料。支援的文件類型範例包含 Microsoft Word、PowerPoint、PDF、設計計劃、原始程式碼、CAD/CAM 圖像、財務報告、機密併購文件等。
IDM 可對擷取資料的離散區段進行註冊和指紋加密。它透過移除標點符號和格式來正規化文字。標準化程序可確保內容的呈現方式不會影響或中斷偵測。
IDM 使用統計取樣方法來儲存指紋鑑定文件的雜湊區段。並非所有文字都會儲存在文件設定檔中。此方法可提高 IDM 精確率,同時讓您能夠新增偵測伺服器來輕鬆調整政策。您也可以將內容列入白名單並將其排除在比對之外。
架構 IDM 政策時,您可訂定內容必須有某個百分比符合文件設定檔,才會觸發資安事端。如果在指紋中偵測到所有雜湊區段,則可使用 IDM 來偵測文字文件的精確內容比對。這樣就可以偵測衍生文件,如各次修訂版和各次版本。您也可以使用 IDM比對部分文件內容和文字段,例如複製到其他文件或郵件中的內容片段。
除全部和部分文件比對之外,您還可以使用 IDM 來偵測二進位內容。除了針對部分文件比對所建立的雜湊之外,再建立二進位內容的 MD5 雜湊,即可實作這項偵測。
您可以使用這種形式的 IDM 來偵測系統無法破解和擷取文字內容的檔案類型,如媒體檔案或專屬檔案格式。
l 建立一個 IDM policy,並測試寄送附件時,DLP 偵測狀況
l 刪除 doc 文件的一部分內容,然後將內容貼到 mail body,測試 DLP 偵測狀況如何?
l 這是要做 Index 的資料夾
l 也可以將資料夾壓縮成 zip 檔
l 或是將資料夾分享出來
l 【Policies】→【Protected Content】→【Indexed Documents】→【Add Document Profile】
l Document Source 有四種選項
l 上傳 zip 檔
l 選擇已上傳至 Enforce Server 的 Archive [C:VontuProtectdocumentprofiles] (.zip)
l 選擇 Enforce Server 上的資料夾
l 選擇網路上的分享資料夾
l 只 Index 資料夾中的 *.dwg *.doc *.txt
l 可以選擇 one time 的 index
l 或是排程 index
Indexed Documents 已建立
l 選擇 IDM Rule Type,並且是參照先前建立的 indexed Documents (IDM test dwg&doc)
l 只要是 mail body or mail attachment相似度大於 60% 就記錄此事件
l 三個附件都 100% 符合
l 刪除 doc 文件的一部分內容,然後將內容貼到 mail body,測試 DLP 偵測狀況如何?
l 84%
Described Content Matching (DCM)
說明:
Symantec Data Loss Prevention 提供了統稱為說明內容比對 (DCM) 的許多偵測方法。這種樣式的偵測會以關鍵字、資料類型、檔案中繼資料、通訊協定簽章、端點目的地和身分特徵等常見特性來比對資料。
您可以使用 DCM 偵測可說明的任何結構化和非結構化資料。DCM 可提供極高的準確性且易於實作,因為您不需要設定資料來源。無法收集要保護的所有資料但可以說明資料時,DCM 最為實用。通常您可以結合 DCM 和其他偵測方法,以達成精確的結果。
可用的 DCM 偵測方法
|
資料識別碼 |
使用精確特徵和資料驗證程式來比對內容。 |
|
關鍵字 |
使用關鍵字、關鍵詞和關鍵字字典來比對內容。 |
|
規則運算式 |
使用規則運算式來比對字元、特徵和字串。 |
|
檔案內容 |
比對檔案類型、名稱和大小。 |
|
使用者、寄件者、收件者 |
根據特徵來比對身分。 |
|
網路通訊協定 |
根據通訊協定簽章來比對網路和行動流量。 |
|
端點事件 |
比對端點目的地、裝置和通訊協定。 |
建立一個 Network Monitor Policy
l Detect Taiwan ID event
l Detect Credit Card Number (4503 開頭) event
|
Create a policy which detects the following patterns: 1. HK ID 2. Credit cards issued by HSBC a. VISA First 4 digits are: 4201 b. MasterCard First 4 digits are: 5185 3. Towngas Account Number a. nnnn-nnnn-nn |
Detect Taiwan ID event
Detect Credit Card Number (4503 開頭) event
