八月 | 2014 | 賽門鐵克

SMG 整合 DLP 相關設定

智慧主機指向 SMG [192.168.181.96]

設定允許轉送

SMG接受來自 Exchange smart host 轉過來的信

在 SMG 上設定寄出信件先送至 DLP 檢查

設定 DLP 使用 reflect mode來與 SMG 互動，並取消試用模式

DLP 檢查完信件後，將信還給 SMG 的 25 port (DLP 預設值為 10026)

RequestProcessor.MTAResubmitPort=10026 – 25

RequestProcessor.ServerSocketPort=10025

建立 DLP 事件隔離資料夾

設定 DLP 的 Response Rule

將違反 DLP policy 的信件標頭加上 X-cfilter-Quarantine: yes 的值

SMG 將信件標頭含有 X-cfilter-Quarantine: yes值的信，隔離到 [DLP Incidents Quarantine] 隔離資料夾

以下是 DLP Incident

以下是 SMG [DLP Incidents Quarantine] 隔離資料夾

以下是 SMG 郵件稽核日誌

【DLP Endpoint Agent Pull】

Additionally please provide logs from the Endpoint Agent via the Enforce UI:

Go to System -> Agent Overview

至【系統】→【代理程式】→【概覽】

Select the agent you want and from the Actions pull down, select Pull Logs.

選擇那台要 copy .pst 檔到用戶端電腦 → 點選【動作】→ 【提取日誌】

Select both Services logs or Operational logs and click OK

Next, the logs need to be pulled from the Endpoint Server to the Enforce Server

Go to System -> Servers -> Logs

Select the Endpoint Server from the drop down and check the Agent logs box.

至【系統】→【伺服器】→【日誌】→【組態】→【下拉選擇您的偵測伺服器】

至【系統】→【伺服器】→【日誌】→【收集】→【勾選操作日誌、偵錯和追蹤日誌、組態檔、代理程式日誌】

並按下【收集日誌】

Then click on the Collect Logs button.

This will retrieve the logs from the Endpoint Agent.

Download the logs and send them to us by replying to this mail with the attachment.

一段時間後，按下右上角的重新整理圖示，帶畫面下方出現【下載】連結時，下載【SymantecDLPLogs.zip】

請將 SymantecDLPLogs.zip 以附件的方式提供給我們

SEP Troubleshooting

How to enable Sylink debugging for the Symantec Endpoint Protection 11.x and 12.1 client in the Windows Registry

http://www.symantec.com/business/support/index?page=content&id=TECH104758

Symantec Endpoint Protection Client installation failed: error “"Pending system changes that require a reboot have been detected" "

http://www.symantec.com/business/support/index?page=content&id=TECH208775

Symantec Endpoint Protection 12.1: Best Practices for Disaster Recovery with the Symantec Endpoint Protection Manager

http://www.symantec.com/business/support/index?page=content&id=TECH160736

Smart Responses 自動回應與智慧型回應功能

l 【為事件建立一個 remediation (矯正) 的 Smart Response Tag】

l 建立一個 Smart Response 來 remediation (矯正) High Severity事件為 escalate status

l Create a Smart Response to escalate incidents deemed as High Severity.

l 確認有這個 Attribute

l 開啟某一 High Severity事件，可以發現目前 Status 為 New

l 按下 remediation (矯正) 中的 [ Escalate for High Severity ] smart response

l 可以發現重新整理後 Status 變成 Escalated 了

Customized Reports自訂報表

l 建立一個報表，內容不包含【被 EDM ( 改成 customer data (DCM) )偵測到的事件】

l 並且讓此報表 summary by Business Unit & Policy

l 儲存此報表成為一報表連結

1.Create a report which excludes anything detected by EDM

2.Break this information down by:

a.Business Unit and then Policy

3.Save the report and make it available to *all* users who have access to the system

Import Excel data and test mail include customers information(EDM)

說明：

精確資料比對 (EDM) 會偵測您要保護且以結構化或表格式格式儲存的內容。例如，您可以使用 EDM 偵測資料庫中的機密客戶資訊。或者，您也可以使用 EDM 偵測試算表中的敏感財務資訊。

若要實作 EDM，請識別要保護的結構化資料。可使用 Enforce Server 管理主控台對資料來源建立索引。在建立索引的過程中，系統會存取、擷取並標準化文字內容，然後使用不可還原的雜湊加以保護，藉以對資料進行指紋鑑定。為進行精確而持續之偵測，您可以排程定期建立索引，使資料始終保持最新。您可以架構「內容與以下位置的精確資料相符」政策偵測規則，以符合已設定資料的個別片段。為提升準確性，您可以架構規則以符合特定記錄之資料欄位的組合。一旦為資料來源建立索引並部署政策後，偵測引擎即可偵測結構化或非結構化格式的資料。

從 Partner Training – Configuration Scenarios.docx 複製以下資料至【Excel】

另存 Excel 為【Unicode 文字檔】

然後將【Unicode文字檔】另存為【UTF-8文字檔】

Convert the following table into an EDM:

English Name	Chinese Name	Country	Account Number	Credit Card Number
Gareth Charles Bridges	喬敦興	Hong Kong	A1234567	4547-1234-4321-9876
Bruce Lee	李小龍	Hong Kong	A9886543	4200-9876-1111-9843
David Beckham		England	B1234986	5185-0987-2222-3451
Zhang Zi Yi	章子怡	China	B2345678	3289-2344-8654-1578
Stephen Chow	周星馳	Hong Kong	C1234567	4548-1234-9721-6291

Dwg word document signature (IDM)

說明：

已建立索引的文件比對 (IDM) 會比對來自敏感專屬文件的非結構化資料。支援的文件類型範例包含 Microsoft Word、PowerPoint、PDF、設計計劃、原始程式碼、CAD/CAM 圖像、財務報告、機密併購文件等。

IDM 可對擷取資料的離散區段進行註冊和指紋加密。它透過移除標點符號和格式來正規化文字。標準化程序可確保內容的呈現方式不會影響或中斷偵測。

IDM 使用統計取樣方法來儲存指紋鑑定文件的雜湊區段。並非所有文字都會儲存在文件設定檔中。此方法可提高 IDM 精確率，同時讓您能夠新增偵測伺服器來輕鬆調整政策。您也可以將內容列入白名單並將其排除在比對之外。

架構 IDM 政策時，您可訂定內容必須有某個百分比符合文件設定檔，才會觸發資安事端。如果在指紋中偵測到所有雜湊區段，則可使用 IDM 來偵測文字文件的精確內容比對。這樣就可以偵測衍生文件，如各次修訂版和各次版本。您也可以使用 IDM比對部分文件內容和文字段，例如複製到其他文件或郵件中的內容片段。

除全部和部分文件比對之外，您還可以使用 IDM 來偵測二進位內容。除了針對部分文件比對所建立的雜湊之外，再建立二進位內容的 MD5 雜湊，即可實作這項偵測。

您可以使用這種形式的 IDM 來偵測系統無法破解和擷取文字內容的檔案類型，如媒體檔案或專屬檔案格式。

l 建立一個 IDM policy，並測試寄送附件時，DLP 偵測狀況

l 刪除 doc 文件的一部分內容，然後將內容貼到 mail body，測試 DLP 偵測狀況如何？

l 這是要做 Index 的資料夾

l 也可以將資料夾壓縮成 zip 檔

l 或是將資料夾分享出來

l 【Policies】→【Protected Content】→【Indexed Documents】→【Add Document Profile】

l Document Source 有四種選項

l 上傳 zip 檔

l 選擇已上傳至 Enforce Server 的 Archive [C:VontuProtectdocumentprofiles] (.zip)

l 選擇 Enforce Server 上的資料夾

l 選擇網路上的分享資料夾

l 只 Index 資料夾中的 *.dwg *.doc *.txt

l 可以選擇 one time 的 index

l 或是排程 index

Indexed Documents 已建立

l 選擇 IDM Rule Type，並且是參照先前建立的 indexed Documents (IDM test dwg&doc)

l 只要是 mail body or mail attachment相似度大於 60% 就記錄此事件

l 三個附件都 100% 符合

l 刪除 doc 文件的一部分內容，然後將內容貼到 mail body，測試 DLP 偵測狀況如何？

l 84%

Described Content Matching (DCM)

說明：

Symantec Data Loss Prevention 提供了統稱為說明內容比對 (DCM) 的許多偵測方法。這種樣式的偵測會以關鍵字、資料類型、檔案中繼資料、通訊協定簽章、端點目的地和身分特徵等常見特性來比對資料。

您可以使用 DCM 偵測可說明的任何結構化和非結構化資料。DCM 可提供極高的準確性且易於實作，因為您不需要設定資料來源。無法收集要保護的所有資料但可以說明資料時，DCM 最為實用。通常您可以結合 DCM 和其他偵測方法，以達成精確的結果。

可用的 DCM 偵測方法

資料識別碼	使用精確特徵和資料驗證程式來比對內容。
關鍵字	使用關鍵字、關鍵詞和關鍵字字典來比對內容。
規則運算式	使用規則運算式來比對字元、特徵和字串。
檔案內容	比對檔案類型、名稱和大小。
使用者、寄件者、收件者	根據特徵來比對身分。
網路通訊協定	根據通訊協定簽章來比對網路和行動流量。
端點事件	比對端點目的地、裝置和通訊協定。