賽門鐵克 | 全新的正體中文 WordPress 網誌 Wellife Blog 的網誌

SEP Troubleshooting

How to enable Sylink debugging for the Symantec Endpoint Protection 11.x and 12.1 client in the Windows Registry

http://www.symantec.com/business/support/index?page=content&id=TECH104758

Symantec Endpoint Protection Client installation failed: error “"Pending system changes that require a reboot have been detected" "

http://www.symantec.com/business/support/index?page=content&id=TECH208775

Symantec Endpoint Protection 12.1: Best Practices for Disaster Recovery with the Symantec Endpoint Protection Manager

http://www.symantec.com/business/support/index?page=content&id=TECH160736

Smart Responses 自動回應與智慧型回應功能

l 【為事件建立一個 remediation (矯正) 的 Smart Response Tag】

l 建立一個 Smart Response 來 remediation (矯正) High Severity事件為 escalate status

l Create a Smart Response to escalate incidents deemed as High Severity.

l 確認有這個 Attribute

l 開啟某一 High Severity事件，可以發現目前 Status 為 New

l 按下 remediation (矯正) 中的 [ Escalate for High Severity ] smart response

l 可以發現重新整理後 Status 變成 Escalated 了

Customized Reports自訂報表

l 建立一個報表，內容不包含【被 EDM ( 改成 customer data (DCM) )偵測到的事件】

l 並且讓此報表 summary by Business Unit & Policy

l 儲存此報表成為一報表連結

1.Create a report which excludes anything detected by EDM

2.Break this information down by:

a.Business Unit and then Policy

3.Save the report and make it available to *all* users who have access to the system

Import Excel data and test mail include customers information(EDM)

說明：

精確資料比對 (EDM) 會偵測您要保護且以結構化或表格式格式儲存的內容。例如，您可以使用 EDM 偵測資料庫中的機密客戶資訊。或者，您也可以使用 EDM 偵測試算表中的敏感財務資訊。

若要實作 EDM，請識別要保護的結構化資料。可使用 Enforce Server 管理主控台對資料來源建立索引。在建立索引的過程中，系統會存取、擷取並標準化文字內容，然後使用不可還原的雜湊加以保護，藉以對資料進行指紋鑑定。為進行精確而持續之偵測，您可以排程定期建立索引，使資料始終保持最新。您可以架構「內容與以下位置的精確資料相符」政策偵測規則，以符合已設定資料的個別片段。為提升準確性，您可以架構規則以符合特定記錄之資料欄位的組合。一旦為資料來源建立索引並部署政策後，偵測引擎即可偵測結構化或非結構化格式的資料。

從 Partner Training – Configuration Scenarios.docx 複製以下資料至【Excel】

另存 Excel 為【Unicode 文字檔】

然後將【Unicode文字檔】另存為【UTF-8文字檔】

Convert the following table into an EDM:

English Name	Chinese Name	Country	Account Number	Credit Card Number
Gareth Charles Bridges	喬敦興	Hong Kong	A1234567	4547-1234-4321-9876
Bruce Lee	李小龍	Hong Kong	A9886543	4200-9876-1111-9843
David Beckham		England	B1234986	5185-0987-2222-3451
Zhang Zi Yi	章子怡	China	B2345678	3289-2344-8654-1578
Stephen Chow	周星馳	Hong Kong	C1234567	4548-1234-9721-6291

Dwg word document signature (IDM)

說明：

已建立索引的文件比對 (IDM) 會比對來自敏感專屬文件的非結構化資料。支援的文件類型範例包含 Microsoft Word、PowerPoint、PDF、設計計劃、原始程式碼、CAD/CAM 圖像、財務報告、機密併購文件等。

IDM 可對擷取資料的離散區段進行註冊和指紋加密。它透過移除標點符號和格式來正規化文字。標準化程序可確保內容的呈現方式不會影響或中斷偵測。

IDM 使用統計取樣方法來儲存指紋鑑定文件的雜湊區段。並非所有文字都會儲存在文件設定檔中。此方法可提高 IDM 精確率，同時讓您能夠新增偵測伺服器來輕鬆調整政策。您也可以將內容列入白名單並將其排除在比對之外。

架構 IDM 政策時，您可訂定內容必須有某個百分比符合文件設定檔，才會觸發資安事端。如果在指紋中偵測到所有雜湊區段，則可使用 IDM 來偵測文字文件的精確內容比對。這樣就可以偵測衍生文件，如各次修訂版和各次版本。您也可以使用 IDM比對部分文件內容和文字段，例如複製到其他文件或郵件中的內容片段。

除全部和部分文件比對之外，您還可以使用 IDM 來偵測二進位內容。除了針對部分文件比對所建立的雜湊之外，再建立二進位內容的 MD5 雜湊，即可實作這項偵測。

您可以使用這種形式的 IDM 來偵測系統無法破解和擷取文字內容的檔案類型，如媒體檔案或專屬檔案格式。

l 建立一個 IDM policy，並測試寄送附件時，DLP 偵測狀況

l 刪除 doc 文件的一部分內容，然後將內容貼到 mail body，測試 DLP 偵測狀況如何？

l 這是要做 Index 的資料夾

l 也可以將資料夾壓縮成 zip 檔

l 或是將資料夾分享出來

l 【Policies】→【Protected Content】→【Indexed Documents】→【Add Document Profile】

l Document Source 有四種選項

l 上傳 zip 檔

l 選擇已上傳至 Enforce Server 的 Archive [C:VontuProtectdocumentprofiles] (.zip)

l 選擇 Enforce Server 上的資料夾

l 選擇網路上的分享資料夾

l 只 Index 資料夾中的 *.dwg *.doc *.txt

l 可以選擇 one time 的 index

l 或是排程 index

Indexed Documents 已建立

l 選擇 IDM Rule Type，並且是參照先前建立的 indexed Documents (IDM test dwg&doc)

l 只要是 mail body or mail attachment相似度大於 60% 就記錄此事件

l 三個附件都 100% 符合

l 刪除 doc 文件的一部分內容，然後將內容貼到 mail body，測試 DLP 偵測狀況如何？

l 84%

Described Content Matching (DCM)

說明：

Symantec Data Loss Prevention 提供了統稱為說明內容比對 (DCM) 的許多偵測方法。這種樣式的偵測會以關鍵字、資料類型、檔案中繼資料、通訊協定簽章、端點目的地和身分特徵等常見特性來比對資料。

您可以使用 DCM 偵測可說明的任何結構化和非結構化資料。DCM 可提供極高的準確性且易於實作，因為您不需要設定資料來源。無法收集要保護的所有資料但可以說明資料時，DCM 最為實用。通常您可以結合 DCM 和其他偵測方法，以達成精確的結果。

可用的 DCM 偵測方法

資料識別碼	使用精確特徵和資料驗證程式來比對內容。
關鍵字	使用關鍵字、關鍵詞和關鍵字字典來比對內容。
規則運算式	使用規則運算式來比對字元、特徵和字串。
檔案內容	比對檔案類型、名稱和大小。
使用者、寄件者、收件者	根據特徵來比對身分。
網路通訊協定	根據通訊協定簽章來比對網路和行動流量。
端點事件	比對端點目的地、裝置和通訊協定。

建立一個 Network Monitor Policy

l Detect Taiwan ID event

l Detect Credit Card Number (4503 開頭) event

Create a policy which detects the following patterns:

1. HK ID

2. Credit cards issued by HSBC

a. VISA First 4 digits are: 4201

b. MasterCard First 4 digits are: 5185

3. Towngas Account Number

a. nnnn-nnnn-nn

Detect Taiwan ID event

Detect Credit Card Number (4503 開頭) event

以【Web 封存檔方式備份】以保留歷史事件

DLP 管理主控台事件刪除

DLP 管理主控台事件刪除
處理方式：
請參考下圖步驟
請勿點選【顯示全部】，否則會因資料過多開啟緩慢
直接選擇【全選】，之後刪除的動作會立即完成 ( 僅是 SQL Update 語法的執行，所以很快 )

如何重設 DLP 主控台 Administrator 帳戶的密碼

步驟

開啟命令提示字元
輸入以下指令
cd c:\Vontu\Protect\bin
AdminPasswordReset.exe -dbpass Passw0rd -newpass PPassw0rd
( Administrator 帳戶密碼即重設為 PPassw0rd )

DLP 11.0 upgrade to 11.6

11.5 function

l Tablet Prevent Detection Server

→ Support iOS 4、iOS 5

→ HTTP、HTTPS、FTP、Exchange Active Sync

→ Integration with DLP Enforce

Plicy → VPN

管理→ MDM

l Oracle → 11.2.0.2

l Meta data detection → office (link、OLE 嵌入)、PDF (作者、主旨、建立日期、修改日期)

l Additional proxy support → Websense V-Series Appliance V10000、MS TMG

升級

l 9.0 → 10.0 → 11.0 → 11.5

Enforce Server (不必先升級資料庫，請備份資料庫、Detection Server)

→ Download Symantec_DLP_11.5_MP1_Upgrader_Win-In.zip

→於 Enforce Server確認 Enforce Server、Detection Server 運作是否正常

→ 於 Enforce Server 使用【升級精靈】升級 (升級精靈預設通訊號→8300)

l 在 Enforce Server 主機電腦上，使用文字編輯器開啟以下檔案：

\SymantecDLP\Protect\tomcat\webapps\ProtectManager\WEB-INF\struts-config.xml

C:\Vontu\Protect\tomcat\webapps\ProtectManager\WEB-INF\struts-config.xml

\SymantecDLP\Protect\tomcat\webapps\ProtectManager\WEB-INF\struts-config-admin.xml

\SymantecDLP\Protect\tomcat\webapps\ProtectManager\WEB-INF\struts-config-async.xml

l 在每個檔案中，找出以下這行：

l 在每個檔案中，將 maxFileSize 屬性的值變更為 1000m。例如：

l 儲存該檔案並結束文字編輯器。

l 在 Enforce Server 主機上重新啟動 Vontu Manager 服務。

→ 【升級精靈】可同時升級 Detection Server

( 重新啟動 Vontu Monitor Controller 服務，Detection Server 新版號才會顯示 )

→ 套用 Endpoint Prevent Server 代理程式組態，先將群組目錄建立索引與索引排程

→ 套用 Endpoint Prevent Server 代理程式組態

→ 升級 Endpoint Agent (11.0→11.1→11.5)

→ 升級掃描程式

→ 升級後的工作

→ 升級 WinPacp

→ 升級資料庫

→ 升級後需重上新版 Language Pack

l 注意事項

Ø Enforce Server 硬碟剩餘空間 → 50~100 G

Ø Detection Server 硬碟剩餘空間 → 300 MB

Ø 升級前請停止所有 Network Discover 掃描

Ø Enforce Server (11.5)

→ Endpoint Detection Server 11.0 (不可在此時將Endpoint Detection Server reboot)

→ 如果不小心 reboot 了，要先升級 Endpoint Agent，再升級 Endpoint Detection Server

升級實做

→【Download Symantec_DLP_11.5_MP1_Upgrader_Win-In.zip】

E:\DLP 升級\Symantec_DLP_11.5_MP1_Upgrader_Win-IN\DLP\Symantec_DLP_11_Win\11.5_Win\Upgrade_11.x_to_11.5

【11.5.0_Upgrader_Windows.jar】

→ 於 Enforce Server確認 Enforce Server、Detection Server 運作是否正常

→ 於 Enforce Server 使用【升級精靈】升級 (升級精靈預設通訊號→8300)

(升級精靈預設通訊埠 → 8300，https://Enforce_server:8300)

※ 若需更改通訊埠 → 修改 C:\Vontu\Protect\config\Manager.properties

Add

Update.wizard.port=port

There was an error uploading the file

Enforce UI 上載11.5.0_Upgrader_Windows.jar，改以手動上載

Below are the steps for Manually uploading the JAR file to the Enforce Server and upgrading to 11.1.2 from 11.0:

a) Copy the upgrade JAR file 11.5.0_Upgrader_Windows.jar to the \vontu\Protect\updates directory*.

b) Create a new directory that is named EnforceUpgrade11.5 inside the \vontu\Protect\updates directory.

c) Extract the contents of the upgrade JAR file 11.5.0_Upgrader_Windows.jar into the EnforceUpgrade11.5 directory* (you can use Winzip or WinRAR to extract the contents of the JAR file).

d) Run start_upgrade_wizard.bat, which is located in the \vontu\Protect\updates\EnforceUpgrade11.5 directory.

e) Wait a few minutes for the Upgrade Wizard server to start. This will open a command window with Tomcat as Title (make sure that you don’t close this window).

16:35~

f) Open a Web browser and go to: https://Enforce_server:8300

(Enforce_server is the name or IP address of the computer having Enforce server)

Continue using the standard upgrade procedures. See “Performing an upgrade with the Upgrade Wizard” in the upgrade guide.

[ERROR] com.vontu.updater.vontu8.FilePermissionChecker:

File “C:\Vontu\Protect\lib\native\wrapper.dll" is inaccessible.: java.io.FileNotFoundException: C:\Vontu\Protect\lib\native\ wrapper.dll (The process cannot access the file because it is being used by another process)