McAfee Data Loss Prevention Endpoint

Save this PDF as:
 WORD  PNG  TXT  JPG

Размер: px
Начинать показ со страницы:

Download "McAfee Data Loss Prevention Endpoint"

Транскрипт

1 Product Guide Revision A McAfee Data Loss Prevention Endpoint Для использования в сочетании с McAfee epolicy Orchestrator

2 COPYRIGHT 2016 Intel Corporation TRADEMARK ATTRIBUTIONS Intel and the Intel logo are registered trademarks of the Intel Corporation in the US and/or other countries. McAfee and the McAfee logo, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan are registered trademarks or trademarks of McAfee, Inc. or its subsidiaries in the US and other countries. Other marks and brands may be claimed as the property of others. LICENSE INFORMATION License Agreement NOTICE TO ALL USERS: CAREFULLY READ THE APPROPRIATE LEGAL AGREEMENT CORRESPONDING TO THE LICENSE YOU PURCHASED, WHICH SETS FORTH THE GENERAL TERMS AND CONDITIONS FOR THE USE OF THE LICENSED SOFTWARE. IF YOU DO NOT KNOW WHICH TYPE OF LICENSE YOU HAVE ACQUIRED, PLEASE CONSULT THE SALES AND OTHER RELATED LICENSE GRANT OR PURCHASE ORDER DOCUMENTS THAT ACCOMPANY YOUR SOFTWARE PACKAGING OR THAT YOU HAVE RECEIVED SEPARATELY AS PART OF THE PURCHASE (AS A BOOKLET, A FILE ON THE PRODUCT CD, OR A FILE AVAILABLE ON THE WEBSITE FROM WHICH YOU DOWNLOADED THE SOFTWARE PACKAGE). IF YOU DO NOT AGREE TO ALL OF THE TERMS SET FORTH IN THE AGREEMENT, DO NOT INSTALL THE SOFTWARE. IF APPLICABLE, YOU MAY RETURN THE PRODUCT TO MCAFEE OR THE PLACE OF PURCHASE FOR A FULL REFUND. 2 McAfee Data Loss Prevention Endpoint Product Guide

3 Contents Предисловие 9 О данном руководстве Пользователи Принятые условные обозначения Поиск документации по продукту Начальные сведения о программе McAfee DLP Endpoint 11 McAfee DLP Endpoint и Device Control управление содержимым конечной точки и съемными носителями Классификация Отслеживание Защита Монитор Модули продукта и их взаимодействие Принципы работы клиентского программного обеспечения McAfee DLP Endpoint на платформе Microsoft Windows McAfee DLP Endpoint на платформе OS X Развертывание и установка 2 Параметры и сценарии развертывания 25 Планирование развертывания Варианты развертывания McAfee DLP Endpoint и Device Control Развертывание McAfee DLP Endpoint в среде Citrix System requirements Установка программного обеспечения McAfee DLP Endpoint или Device Control 29 Установка и лицензирование расширения McAfee DLP Применение обратной совместимости Преобразование политики и перенос данных Установка клиентского программного обеспечения McAfee DLP Endpoint и Device Control Развертывание клиентского программного обеспечения и политик 35 Развертывание клиента McAfee DLP Endpoint с помощью McAfee epo Проверка установки Развертывание политик с помощью McAfee epo Назначение политики или конфигурации клиента Обновление политики Настройка и использование 5 Настройка компонентов системы 41 Каталог политик Настройка McAfee DLP в каталоге политик McAfee Data Loss Prevention Endpoint Product Guide 3

4 Contents Импорт и экспорт конфигурации McAfee DLP Endpoint Конфигурация клиента Поддержка параметров конфигурации клиента Защита файлов с помощью управления правами Работа с функцией управления правами в McAfee DLP Поддерживаемые серверы управления правами Задание сервера управления правами Документирование событий с подтверждениями Использование и хранение подтверждений Создание папок подтверждений Контроль назначений с помощью пользователей и наборов разрешений Создание определений конечных пользователей Назначение наборов разрешений McAfee DLP Создание набора разрешений в McAfee DLP Настройка классификации вручную Защита съемных носителей 57 Защита устройств Управление устройствами с помощью классов устройств Определение класса устройств Получение идентификатора GUID Создание класса устройств Организация устройств и определений устройств Работа с определениями устройств Свойства устройств Правила управления устройствами Создание правила для съемных запоминающих устройств Создание правила для устройства plug-and-play Создание правила устройств, регулирующего доступ к файлам на съемных носителях 71 Создание правила устройства для стационарного жесткого диска Создание правила устройства Citrix Создание правила устройства TrueCrypt Правила доступа к файлам на съемных носителях Классификация конфиденциального содержимого 77 Компоненты модуля Классификация Использование классификаций Классификация по конечному расположению файлов Классификация расположению файлов Извлечение текста Категоризация приложений в McAfee DLP Endpoint Определения и критерии классификации Словарные определения Определения расширенного шаблона Классификация содержимого по свойствам документов или сведениям о файлах Шаблоны приложений Классификация вручную Встраиваемые теги Зарегистрированные документы Текст в белом списке Создание и настройка классификаций Создание классификации Создание критериев классификации Отправка зарегистрированных документов Отправка файлов для внесения текста в белый список Настройка компонентов классификации для McAfee DLP Endpoint McAfee Data Loss Prevention Endpoint Product Guide

5 Contents Создание критериев идентификации содержимого по его отпечаткам Пример использования: идентификация содержимого по его отпечаткам на основе приложения Назначение разрешений на классификацию вручную Пример применения: классификация вручную Создание определений классификаций Создание общего определения классификации Создание или импорт определения словаря Создание расширенного шаблона Создание диапазона сетевых портов Создание диапазона сетевых адресов Создание определения адреса электронной почты Создание определения сетевого принтера Создание определения списка URL адресов Пример использования: интеграция сторонних тегов с клиентом Titus Пример использования: интеграция средства классификации электронной почты Boldon James Classifier с критериями классификации Работа с политиками 107 Создание и назначение политик Применение нескольких политик Применение определений Изменение политики DLP Проверка политики Защита конфиденциальных данных 113 Наборы правил Правила Правила защиты данных Правила Защита доступа к файлам для приложения Правила защиты облачных служб Правила защиты электронной почты Правила защиты сетевых подключений Правила защиты общих сетевых ресурсов Правила защиты принтера Правила защиты съемных носителей Правила защиты от снимков экрана Правила защиты публикаций в Интернете Правила управления устройствами Правила обнаружения Белые списки Настройка сообщений для конечного пользователя Возможные реакции для правил различных типов Создание и настройка правил и их наборов Создание набора правил Создание правила Назначение наборов правил политикам Включение, отключение и удаление правил Импорт и экспорт правил и классификаций Настройка столбцов для правил или наборов правил Создание определения обоснования Создание определения уведомления Примеры использования правил Пример применения: правило для съемных запоминающих устройств с процессом из белого списка Пример применения: настройка съемного устройства как доступного только для чтения McAfee Data Loss Prevention Endpoint Product Guide 5

6 Contents Пример использования: блокировка и зарядка iphone с помощью правила устройств plugand-play Пример использования: предотвращение записи конфиденциальной информации на диск Пример использования: блокирование исходящих сообщений с конфиденциальным содержимым в домены, отличные от указанного Пример использования: предоставление определенной группе пользователей возможности отправлять кредитные сведения Пример использования: классифицирование вложений как ТРЕБУЮЩИХ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ в зависимости от их места назначения Проверка данных с помощью обнаружения McAfee DLP Endpoint 145 Защита файлов с помощью правил обнаружения Принципы выполнения проверки с обнаружением Поиск содержимого с помощью программы-обходчика в модуле обнаружения на конечной точке Создание и определение правила обнаружения Создание определения планировщика Настройка проверки Пример применения: восстановление файлов или сообщений электронной почты в карантине Monitoring and reporting 11 Инциденты и рабочие события 155 Отслеживание событий и отчетность Диспетчер инцидентов DLP Принцип работы диспетчера инцидентов Работа с инцидентами Просмотр инцидентов Сортировка и фильтрация инцидентов Настройка представлений столбцов Настройка фильтров инцидентов Просмотр сведений об инцидентах Управление инцидентами Обновление одного инцидента Обновление нескольких инцидентов Управление метками Работа с проблемами Управление проблемами Создание проблем Просмотр сведений о проблеме Назначение инцидентов проблеме Перемещение или удаление инцидентов из проблемы Обновление проблем Добавление и удаление меток проблемы Удаление проблем Сбор данных и управление ими 173 Изменение задач сервера Создание задачи События очистки Создание задачи Автоматическое почтовое уведомление Создание задачи Назначить рецензента Отслеживание результатов выполнения задач Создание отчетов Типы отчетов Способы отображения отчетов McAfee Data Loss Prevention Endpoint Product Guide

7 Contents Предварительно определенные панели мониторинга Создание задачи сервера сведения данных Maintenance and troubleshooting 13 McAfee DLP Endpoint Diagnostics 183 Diagnostic Tool Checking the agent status Run the Diagnostic Tool Tuning policies Index 187 McAfee Data Loss Prevention Endpoint Product Guide 7

8 Contents 8 McAfee Data Loss Prevention Endpoint Product Guide

9 Предисловие Данное руководство предоставляет необходимую информацию по работе с вашим продуктом McAfee. Содержание О данном руководстве Поиск документации по продукту О данном руководстве Здесь описывается целевая аудитория данного руководства, условные обозначения и пиктограммы, используемые в данном руководстве, а также его организация. Пользователи Документация компании McAfee составлена с учетом нужд и интересов пользователей. Данная документация прежде всего рассчитана на следующие категории пользователей: Администраторы специалисты, занимающиеся установкой и мониторингом функционирования программ для защиты данных компании. Сотрудники, обеспечивающие безопасность специалисты, в обязанность которых входит выявление чувствительных данных и определение политики, направленной на защиту интеллектуальной собственности компании. Принятые условные обозначения В настоящем руководстве используются следующие условные обозначения и значки. Курсив Жирный шрифт Шрифт фиксированной ширины Узкий жирный шрифт Гипертекст синего цвета Название книги, главы или темы; новый термин; выделение Выделенный текст Команды и другой текст, набираемый пользователем; образец кода; отображаемое сообщение Слова, входящие в интерфейс продукта, в том числе параметры, меню, кнопки и диалоговые окна Ссылка на тему или внешний веб-сайт Примечание. Дополнительная информация, подчеркивающая значение вопроса, напоминающая читателю о чем-либо или описывающая альтернативный метод Совет. Информация о передовых практиках McAfee Data Loss Prevention Endpoint Product Guide 9

10 Предисловие Поиск документации по продукту Внимание! Ценный совет по защите компьютера, безопасной установке программного обеспечения, защите сети, бизнеса или данных Предупреждение! Важный совет по предотвращению телесных повреждений при работе с оборудованием Поиск документации по продукту На портале ServicePortal доступна информация о выпущенных продуктах, в том числе документация по каждому продукту, технические статьи и многое другое. Процедура 1 Перейдите на портал ServicePortal на сайте и щелкните вкладку Knowledge Center (Центр знаний). 2 На панели Knowledge Base (База знаний) в разделе Content Source (Источник содержания) щелкните Product Documentation (Документация по продуктам). 3 Введите название и версию продукта и нажмите Search (Поиск), чтобы просмотреть список документов. 10 McAfee Data Loss Prevention Endpoint Product Guide

11 1 1 Начальные сведения о программе McAfee DLP Endpoint Утечка данных это выход конфиденциальной или личной информации за пределы компании в результате ее несанкционированной передачи по таким каналам, как приложения, физические устройства или сетевые протоколы. В программном обеспечении, предназначенном для предотвращения утечки данных, принудительно применяются предварительно определенные политики информационной безопасности. Защищаемые данные обычно подразделяются на категории по трем векторам: используемые данные, перемещаемые данные и хранимые данные. Таблица 1-1 Описание векторов данных Вектор данных Описание Связанные программы Используемые данные Перемещаемые данные Хранимые данные Термин "используемые данные" относится к работе пользователей на конечных устройствах. Примерами могут служить копирование данных и файлов на съемный носитель, печать файлов на локальном принтере и создание снимков экрана. Термин "перемещаемые данные" относится к сетевому трафику в реальном времени. Трафик анализируется, разделяется на категории и сохраняется в базе данных McAfee Data Loss Prevention (McAfee DLP) (McAfee DLP). Термин "хранимые данные" относится к данным, хранящимся в базах данных, общих файловых ресурсах и репозиториях. В McAfee DLP поддерживается проверка и отслеживание хранимых данных, а также выполнение действий по их исправлению. McAfee Data Loss Prevention Endpoint (McAfee DLP Endpoint) McAfee Data Loss Prevention Monitor (McAfee DLP Monitor) McAfee Data Loss Prevention Prevent (McAfee DLP Prevent) McAfee Data Loss Prevention Discover (McAfee DLP Discover) Обнаружение в McAfee DLP Endpoint Содержание McAfee DLP Endpoint и Device Control управление содержимым конечной точки и съемными носителями Модули продукта и их взаимодействие Принципы работы клиентского программного обеспечения McAfee Data Loss Prevention Endpoint Product Guide 11

12 1 Начальные сведения о программе McAfee DLP Endpoint McAfee DLP Endpoint и Device Control управление содержимым конечной точки и съемными носителями McAfee DLP Endpoint и Device Control управление содержимым конечной точки и съемными носителями McAfee DLP Endpoint проверяет действия пользователей в корпоративных сетях при работе с конфиденциальными данными на их компьютерах. McAfee Device Control предотвращает несанкционированное использование съемных устройств мультимедиа. McAfee DLP Endpoint включает в себя все функции Device Control и, кроме того, предотвращает утечку данных через широкий набор потенциальных каналов утечки. Ключевые функции McAfee Device Control: Контролирует данные, копируемые на съемные устройства, или сами устройства. Может заблокировать устройства полностью, сделать их доступными только для чтения или заблокировать запуск приложений со съемных дисков. Обеспечивает защиту носителей USB, смартфонов, устройств Bluetooth и других съемных носителей. McAfee DLP Endpoint защищает от утечки данных в следующих случаях: Облачные приложения Приложения, работающие с буфером обмена Электронная почта Публикации в интернете Принтеры Общие сетевые ресурсы Снимки экрана Ядро классификации McAfee DLP (также используется в McAfee DLP Discover) использует определения и критерии классификации, определяющие защищаемое содержимое и места, где должна применяться защита. Сборщик с обнаружением McAfee DLP Endpoint проверят локальную конечную точку, ищет данные в локальной файловой системе и файлах хранилища электронной почты, а затем применяет политики, защищающие конфиденциальное содержимое. Принцип работы McAfee DLP Endpoint защищает корпоративную конфиденциальную информацию: Применяет политики, состоящие из определений, классификаций, наборов правил и конфигураций клиентов на конечных компьютерах. Отслеживает политики и при необходимости блокирует действия с конфиденциальным содержимым. 12 McAfee Data Loss Prevention Endpoint Product Guide

13 Начальные сведения о программе McAfee DLP Endpoint McAfee DLP Endpoint и Device Control управление содержимым конечной точки и съемными носителями 1 Шифрует конфиденциальное содержимое перед тем, как разрешить выполнение действия. Создает отчеты для анализа и контроля работы системы, а также может сохранять конфиденциальное содержимое как подтверждение. Рисунок 1-1 Процесс обеспечения защиты в McAfee DLP Классификация Для организации защиты конфиденциального содержимого сначала необходимо определить и классифицировать конфиденциальную информацию, которую следует защитить. Для этого используются классификации и критерии классификации. Критерии классификации определяют условия классификации данных. Ниже перечислены некоторые методы определения критериев. Расширенные шаблоны регулярные выражения в сочетании с алгоритмами проверки для сопоставления с шаблонами, такими как номера кредитных карт. Словари перечни определенных слов или терминов, таких как медицинские термины для определения возможного нарушения закона США об ответственности и переносе данных о страховании здоровья граждан (HIPAA). Действительные типы файлов свойства документов, сведения о файле или информация о приложении, в котором был создан файл. Исходное или целевое расположение URL-адреса, общие сетевые ресурсы либо приложение или пользователь, создавшие/получившие содержимое. McAfee DLP Endpoint поддерживает сторонние программы для классификации. Для классификации электронной почты можно использовать Boldon James Classifier. Также для классификации электронной почты и других файлов можно использовать клиенты Titus Titus Message Classification, Titus Classification for Desktop и Titus Classification Suite. Для реализации такой поддержки на конечных компьютерах должен быть установлен Titus SDK. McAfee Data Loss Prevention Endpoint Product Guide 13

14 1 Начальные сведения о программе McAfee DLP Endpoint McAfee DLP Endpoint и Device Control управление содержимым конечной точки и съемными носителями Отслеживание McAfee DLP Endpoint позволяет отслеживать содержимое на основе его источника с использованием двух методов зарегистрированных документов и критериев назначения тегов. С помощью этих методов можно, например, указать, что все файлы, загруженные с сайта SharePoint для проектирования, должны отслеживаться и классифицироваться как интеллектуальная собственность. Зарегистрированные документы Метод зарегистрированных документов основан на предварительной проверке всех файлов в указанных репозиториях (таких как сайт технического проектирования SharePoint) и создании сигнатур для фрагментов каждого файла в этих репозиториях. Эти сигнатуры затем передаются на все управляемые конечные точки. После этого на клиенте McAfee DLP Endpoint возможно отслеживание любых абзацев, скопированных из таких документов, и их классификация в соответствии с сигнатурой зарегистрированного документа. Для использования функции зарегистрированных документов требуется значительный объем памяти, что может негативно сказаться на производительности, поскольку каждый проверяемый клиентом McAfee DLP Endpoint документ сравнивается со всеми сигнатурами зарегистрированных документов для определения его источника. Рекомендация: чтобы свести к минимуму количество сигнатур и снизить влияние этого метода на производительность, используйте зарегистрированные документы для отслеживания только наиболее важных конфиденциальных документов. Идентификация содержимого по его отпечаткам Технология идентификации содержимого по его отпечаткам представляет собой уникальный метод отслеживания содержимого, присущий только McAfee DLP Endpoint. Администратор создает набор критериев для идентификации, которые определяют расположение файла и классификацию для файлов из этого расположения. Клиент McAfee DLP Endpoint отслеживает любой файл, открываемый из расположений, которые заданы в критериях, и создает сигнатуры отпечатков таких файлов в режиме реального времени, когда к файлам осуществляется доступ. Затем эти сигнатуры используются для отслеживания файлов или их фрагментов. Критерии идентификации содержимого по его отпечаткам можно задать как по расположению (UNC-путь или URL-адрес), так и по приложению, которое использовалось для доступа к файлу. Поддержка постоянной информации об отпечатках Сигнатуры отпечатков содержимого хранятся в дополнительных атрибутах файла (EA) или альтернативных потоках данных (ADS). Когда к таким файлам осуществляется доступ, программное обеспечение McAfee DLP Endpoint отслеживает преобразования данных и сохраняет классификацию конфиденциального содержимого на постоянной основе, независимо от того, как оно используется. Например, если пользователь открывает документ Word, для которого создан отпечаток, копирует из него несколько абзацев и вставляет их в текстовый файл, а затем добавляет это текстовый файл в качестве вложения в сообщение электронной почты, у такого исходящего письма будут те же сигнатуры, что и у исходного документа. В файловых системах, которые не поддерживают EA или ADS, программное обеспечение McAfee DLP Endpoint сохраняет сведения сигнатуры как метафайл на диске. Метафайлы хранятся в скрытой папке ODB$, автоматически создаваемой клиентским программным обеспечением McAfee DLP Endpoint. Сигнатуры и технология идентификации содержимого по его отпечаткам не поддерживаются в McAfee Device Control. 14 McAfee Data Loss Prevention Endpoint Product Guide

15 Начальные сведения о программе McAfee DLP Endpoint McAfee DLP Endpoint и Device Control управление содержимым конечной точки и съемными носителями 1 Защита Создание правил для определения конфиденциальных данных и принятия соответствующих мер. Правила состоят из условий, исключений и действий. Условия содержат различные параметры, такие как классификации, для определения данных или действий пользователя, подлежащих идентификации. Исключения определяют параметры, исключаемые при срабатывании правила. Действия определяют поведение правила в случае его срабатывания, такие как блокирование доступа для пользователя, шифрование файла и создание инцидента. Правила защиты данных Правила защиты данных используются McAfee DLP Endpoint и Device Control для предотвращения несанкционированного распространения классифицированных данных. Когда пользователь пытается скопировать классифицированные данные или вложить их в письмо, McAfee DLP перехватывает такую попытку и применяет правила защиты данных для определения действия, которое следует выполнить. Например, McAfee DLP Endpoint может остановить попытку и вызвать отображение диалогового окна для конечного пользователя. Для продолжения работы пользователю необходимо будет ввести обоснование своего действия. McAfee Device Control использует только правила защиты данных на съемных носителях. Правила управления устройствами Правила Device Control служат для отслеживания и возможного блокирования загрузки физических устройств, таких как съемные носители, устройства Bluetooth и Wi-Fi, а также устройства plug-and-play. Правила Device Control состоят из определений устройств и спецификаций реакции. Их можно назначать определенным группам конечных пользователей, применив фильтр к правилу с помощью определений групп конечных пользователей. Правила обнаружения Правила обнаружения используются McAfee DLP Endpoint и McAfee DLP Discover для проверки файлов и данных. Обнаружение конечной точки это поисковый агент, запускаемый на управляемых компьютерах. Он проверяет локальную файловую систему конечной точки, а также папку входящих сообщений локальной электронной почты (кэшированную) и файлы PST. Правила обнаружения локальной файловой системы и хранилища электронной почты определяют, следует ли содержимое поместить в карантин, отметить тегом или зашифровать. Эти правила также могут определять, следует ли сообщать о классифицированном файле или письме как об инциденте, а также то, следует ли сохранять файл или сообщение электронной почты как подтверждение, включаемое в инцидент. Проверки файловой системы не поддерживаются в серверных операционных системах. McAfee DLP Discover проверяет репозитории и может перемещать или копировать файлы, применять к файлам политики управления правами, а также создавать инциденты. Наборы правил Правила объединяются в наборы правил. В каждом наборе могут содержаться правила разных типов. Политики Политики содержат активные наборы правил и развертываются McAfee epo на клиентском программном обеспечении McAfee DLP Endpoint или на сервере обнаружения. Политики McAfee DLP Endpoint также содержат сведения о назначении политик и определения. McAfee Data Loss Prevention Endpoint Product Guide 15

16 1 Начальные сведения о программе McAfee DLP Endpoint Модули продукта и их взаимодействие Монитор Просмотр инцидентов на предмет возникших нарушений политики. К функциям отслеживания относятся следующие: Управление инцидентами инциденты отправляются в анализатор событий McAfee epo и сохраняются в базе данных. В инцидентах содержатся сведения о нарушении, а также дополнительно может содержаться информация подтверждения. Для просмотра поступающих инцидентов и подтверждений можно воспользоваться консолью Диспетчер инцидентов DLP. Управление проблемами объединение связанных инцидентов в проблемы для дальнейшего просмотра в консоли Управление проблемами DLP. Рабочие события просмотр сведений об ошибках и административных событиях в консоли Операции DLP. Сбор подтверждений для правил, настроенных на сбор подтверждений, сохраняется копия данных или файла, которая связывается с определенным инцидентом. Эти сведения помогают определить степень серьезности события или раскрытия конфиденциальных данных в рамках события. Перед сохранением подтверждение шифруется с помощью алгоритма AES. Выделение причин подтверждения можно сохранить с выделением текста, вызвавшего инцидент. Подтверждение с выделенной причиной хранится в виде отдельного зашифрованного HTML-файла. Отчеты McAfee DLP Endpoint может создавать отчеты, диаграммы и тренды для отображения на панелях мониторинга McAfee epo. Модули продукта и их взаимодействие Программное обеспечение McAfee DLP Endpoint состоит из пяти модулей. Помимо этого, в нем применяются следующие функцииmcafee epo: Каталог политик, Задачи сервера, Параметры сервера и Наборы разрешений. Рабочий процесс в McAfee DLP версии 10.0 реорганизован с целью повышения детализации. Каталог политик В каталоге политик McAfee epo хранятся политики, развертываемые на конечных компьютерах. Политики Data Loss Prevention 10.0 отображаются при выборе этого варианта в раскрывающемся списке Политики. Политики McAfee DLP состоят из следующих компонентов: Политика DLP содержит активные наборы правил проверки обнаружения на конечной точке, настройки и функцию Проверка политики. Правила обнаружения в наборе правил могут применяться к проверкам с обнаружением на конечном компьютере или проверкам для обнаружения сетевых ресурсов, если в McAfee epo установлены как McAfee DLP Endpoint, так и McAfee DLP Discover. Конфигурация клиента Windows содержит информацию для компьютеров конечных пользователей под управлением Windows. Конфигурация клиента Mac OS X содержит информацию для компьютеров конечных пользователей под управлением OS X. Конфигурация сервера содержит настройки для серверов McAfee DLP Discover. 16 McAfee Data Loss Prevention Endpoint Product Guide

17 Начальные сведения о программе McAfee DLP Endpoint Модули продукта и их взаимодействие 1 Таблица 1-2 Конфигурация клиента Параметр Расширенная конфигурация Защита буфера обмена Отслеживание содержимого Подключение к корпоративной сети Отладка и ведение журнала Обнаружение (конечная точка) Защита электронной почты Служба копирования подтверждения Режим работы и модули Защита печати Карантин Защита съемных носителей Защита от снимков экрана Компоненты интерфейса пользователя Защита публикаций в Интернете Примечания Клиент Windows: настройки конечной точки и защиты доступа Клиент OS X: прекращение обхода агента во время обновления Разрешает использование буфера обмена Microsoft Office; используется для добавления процессов в белый список. Настройки средства извлечения текста и процессы в белом списке для правил защиты доступа к файлам приложений. Используется для настройки корпоративной сети и серверов VPN с целью защиты данных. Клиент Windows: настройка ведения журнала и дампов памяти с целью выявления неполадок, а также флажок печати журнала. Клиент OS X: флажок печати журнала. Настройка параметров производительности проверки и строки-префикса для сообщений электронной почты, находящихся в карантине. Настройки правил защиты электронной почты и параметры интеграции с продуктами сторонних производителей. Настройки общего доступа к хранилищу подтверждений, размер файла и срок давности подтверждений. Клиент Windows: задание режима работы для Device Control или McAfee DLP Endpoint; активация надстроек и обработчиков. Клиент OS X: задание режима работы для Device Control или McAfee DLP Endpoint for Mac; поддерживаются модули блокировки устройств и создания отчетов. Используется для добавления процессов в белый список. Настройки папки карантина. Установка режима удаления для съемных носителей. Добавление защиты от приложений, создающих снимки экрана. Задание интерфейса конечного пользователя. Установка поведения при запросах HTTP GET, поддержка различных версий Google Chrome, настройка стратегии времени ожидания и добавление URL-адресов в белый список. Классификации Модуль Классификация хранит критерии классификации содержимого, критерии идентификации содержимого по его отпечаткам и определения, используемые для их настройки. Этот модуль также используется для настройки репозиториев зарегистрированных документов, авторизации пользователей с целью назначения тегов вручную и помещения текста в белый список. Классификации необходимы для настройки правил защиты данных и обнаружения на конечных точках; кроме того, они используются для проверок McAfee DLP Discover с классификацией и исправлением. Диспетчер политики DLP В модуле Диспетчер политики DLP определяются наборы правил, назначаются политики и создаются определения, составляющие политику DLP. McAfee Data Loss Prevention Endpoint Product Guide 17

18 1 Начальные сведения о программе McAfee DLP Endpoint Модули продукта и их взаимодействие Наборы правил DLP определяют защиту данных, управление устройствами и правила обнаружения. Каждое правило в наборе правил может относиться к любому типу или ко всем трем типам. Можно включить в набор правил несколько правил и назначить политике DLP несколько наборов правил. Диспетчер инцидентов и операции В модуле Диспетчер инцидентов DLP отображаются события в области безопасности, связанные с нарушением политик. На странице Сведения для каждой записи отображается подтверждение, заданное в конфигурации клиента, примененные правила и классификации, а также другие сведения. В модуле Операции DLP отображаются административные события, такие как факты развертывания продуктов или обновление политик. Управление проблемами Модуль Управление проблемами DLP позволяет администраторам взаимодействовать с целью разрешения того или иного инцидента. Во многих случая инцидент представляет собой не одно изолированное событие. В диспетчере инцидентов DLP может отображаться несколько инцидентов с общими свойствами или инцидентов, связанных друг с другом. Эти связанные инциденты можно привязать к проблеме. Отслеживать проблему и управлять ею могут просматривать несколько администраторов в зависимости от их роли в организации. Рабочий процесс Используйте уже знакомый рабочий процесс для создания политик и развертывания их на конечных компьютерах. 1 Создайте критерии классификации и назначения тегов, а также определения, необходимые для их задания. (Определения для задания критериев можно создавать по мере необходимости.) 2 Создайте правила защиты данных, управления устройствами и обнаружения, а также описывающие их определения. Составной частью процесса определения правил защиты данных и обнаружения является назначение классификации. 18 McAfee Data Loss Prevention Endpoint Product Guide

19 Начальные сведения о программе McAfee DLP Endpoint Принципы работы клиентского программного обеспечения 1 3 Назначьте наборы правил политикам DLP. Создайте в политиках DLP определения проверок для обнаружения. 4 Назначьте политики и разверните их в дереве систем. Рисунок 1-2 Рабочий процесс Принципы работы клиентского программного обеспечения Клиентское программное обеспечение McAfee DLP Endpoint развертывается в качестве подключаемого модуля McAfee Agent и гарантирует применение политик, заданных в политике McAfee DLP. Аудит действий пользователей с помощью клиентского программного обеспечения McAfee DLP Endpoint включает в себя отслеживание, управление и предотвращение копирования и передачи конфиденциальных данных пользователями без соответствующих полномочий. Затем в программном обеспечении формируются события, записываемые средствами анализатора событий McAfee epo. Анализатор событий События, сформированные в клиентском программном обеспечении McAfee DLP Endpoint, передаются на анализатор событий McAfee epo и записываются в таблицы базы данных McAfee epo. События хранятся в базе данных для дальнейшего анализа и используются другими компонентами системы. McAfee Data Loss Prevention Endpoint Product Guide 19

20 1 Начальные сведения о программе McAfee DLP Endpoint Принципы работы клиентского программного обеспечения Состояние подключения к сети Можно применять различные устройства и правила защиты в зависимости от того, работает ли управляемый компьютер в сети (подключен к корпоративной сети) или в автономном режиме (отключен от сети). Некоторые правила также позволяют различать компьютеры в сети и компьютеры, подключенные к сети через VPN. McAfee DLP Endpoint на платформе Microsoft Windows Для зашиты компьютеров под управлением Windows можно использовать McAfee Device Control или McAfee DLP Endpoint. В клиентском программном обеспечении McAfee DLP Endpoint применяются передовая технология обнаружения, средство распознавания текстовых шаблонов и предварительно заданные словари. Оно также позволяет идентифицировать конфиденциальное содержимое, управлять устройствами и выполнять шифрование для обеспечения дополнительных уровней контроля. Программное обеспечение для управления правами на доступ к данным (IRM) позволяет организовать защиту конфиденциальных файлов с помощью шифрования и управления разрешениями на доступ. McAfee DLP Endpoint поддерживает службу Microsoft Rights Management Service (RMS) и решение Seclore FileSecure, которые обеспечивают дополнительную защиту данных. Обычно это программное обеспечение используется для предотвращения копирования файлов, не защищенных с помощью IRM. Программное обеспечение для классификации отвечает за надлежащую классификацию сообщений электронной почты и других файлов и наличие у них соответствующих меток для защиты. McAfee DLP Endpoint интегрируется с клиентами Titus Message Classification и Boldon James Classifier для Microsoft Outlook с целью создания правил защиты электронной почты на основе применимых классификаций. Также это программное обеспечение интегрируется с другим клиентами Titus для классификации посредством Titus SDK для создания других правил защиты на основе применимых классификаций Titus. Поддержка средств чтения с экрана На конечных компьютерах поддерживается программа Job Access With Sound (JAWS) популярное средство чтения с экрана для людей с нарушениями зрения. Ниже перечислены поддерживаемые функции McAfee DLP Endpoint. Всплывающее окно уведомления конечного пользователя если в диспетчере политики DLP настроено закрытие всплывающего окна вручную, то подписи к элементам диалогового окна средство чтения с экрана может произносить вслух, благодаря чему пользователи с нарушениями зрения могут переходить по ссылками и нажимать кнопки. Диалоговое окно обоснования конечного пользователя поле со списком, к которому можно перейти с помощью клавиши TAB и выбрать в нем обоснование с помощью клавиш со стрелками. Вкладка История уведомлений в консоли конечного пользователя при выборе этой вкладки программа JAWS произносит "Выбрана вкладка История уведомлений". На этой вкладке нет содержимого, с которым можно выполнять какие-либо действия. Вслух воспроизводится вся информация, представленная на панели справа. Вкладка Обнаружение в консоли конечного пользователя при выборе этой вкладки программа JAWS произносит "Выбрана вкладка Обнаружение". На этой вкладке нет содержимого, с которым можно выполнять какие-либо действия. Вслух воспроизводится вся информация, представленная на панели справа. 20 McAfee Data Loss Prevention Endpoint Product Guide

21 Начальные сведения о программе McAfee DLP Endpoint Принципы работы клиентского программного обеспечения 1 Вкладка Задачи в консоли конечного пользователя при выборе этой вкладки программа JAWS произносит "Выбрана вкладка Задачи". Для перехода между действиями используется клавиша TAB, а вслух произносятся соответствующие инструкции. Вкладка О программе в консоли конечного пользователя при выборе этой вкладки программа JAWS произносит "Выбрана вкладка О программе". На этой вкладке нет содержимого, с которым можно выполнять какие-либо действия. Вслух воспроизводится вся информация, представленная на панели справа. Сеансы нескольких пользователей Клиентское программное обеспечение McAfee DLP Endpoint поддерживает функцию быстрого переключения пользователей (для компьютеров под управлением поддерживаемой этой функцией версии Windows, на которых запущено несколько сеансов пользователей). Поддержка виртуального рабочего стола может также привести к возникновению сеансов нескольких пользователей на одном компьютере. Консоль конечной точки Консоль конечной точки служит для предоставления пользователю необходимой информации и упрощения самостоятельного устранения проблем. Для настройки консоли используется вкладка Конфигурация клиента Служба интерфейса пользователя. На компьютерах под управлением Windows консоль можно открыть с помощью значка на панели задач, выбрав Управление функциями Консоль DLP Endpoint. Все настройки консоли представлены на четырех вкладках: История уведомлений служит для отображения событий, включая информацию об объединенных событиях. Обнаружение служит для отображения сведений о проверках с обнаружением. Задачи служит для создания идентификационных кодов и ввода кодов переноса для обхода агента и помещения в карантин. О программе на этой вкладке представлены сведения о состоянии агента, активной политике, конфигурации и группе назначения компьютеров, включая идентификационные номера редакций. McAfee DLP Endpoint на платформе OS X McAfee DLP Endpoint for Mac предотвращает несанкционированное использование съемных устройств и обеспечивает защиту конфиденциального содержимого на конечных компьютерах и общих сетевых ресурсах. McAfee DLP Endpoint for Mac поддерживает правила для съемных носителей и устройств plug-and-play. Также поддерживаются указанные ниже правила защиты данных. Правила защиты общих сетевых ресурсов Правила защиты съемных носителей Правила защиты доступа к файлам приложения Для определения конфиденциального содержимого можно использовать классификации, как и на компьютерах под управлением Windows, однако зарегистрированные документы и назначение тегов не поддерживаются. Классификация вручную учитывается, но отсутствует возможность изменить ее или просмотреть ее в пользовательском интерфейсе. Поддерживается извлечение текста, равно как шифрование подтверждений и определения бизнес-обоснований. McAfee Data Loss Prevention Endpoint Product Guide 21

22 1 Начальные сведения о программе McAfee DLP Endpoint Принципы работы клиентского программного обеспечения Консоль конечной точки Для активации консоли на конечных точках Mac используется менюлет McAfee в строке состояния. Панель мониторинга встроена в другое устанавливаемое программное обеспечение McAfee, такое как McAfee VirusScan for Mac, и служит для наблюдения за состоянием всех установленных программ McAfee. На странице Журнал событий представлены сведения о последних событиях в программном обеспечении McAfee. Щелкните событие для просмотра сведений. Рисунок 1-3 Дисплей конечной точки McAfee DLP Endpoint for Mac Чтобы активировать экран обхода агента, выберите в менюлете пункт Настройки. 22 McAfee Data Loss Prevention Endpoint Product Guide

23 Развертывание и установка Определите вариант развертывания, который наилучшим образом подходит для имеющейся среды, затем установите программное обеспечение и разверните клиенты McAfee DLP Endpoint на корпоративных компьютерах. Глава 2 Глава 3 Глава 4 Параметры и сценарии развертывания Установка программного обеспечения McAfee DLP Endpoint или Device Control Развертывание клиентского программного обеспечения и политик McAfee Data Loss Prevention Endpoint Product Guide 23

24 Развертывание и установка 24 McAfee Data Loss Prevention Endpoint Product Guide

25 2 Параметры 2 и сценарии развертывания Классификация корпоративной информации по различным категориям предотвращения утечки данных является ключевым этапом в развертывании и администрировании программного обеспечения McAfee Data Loss Prevention Endpoint. Содержание Планирование развертывания System requirements Планирование развертывания Идеальная схема зависит от целей и потребностей вашей организации и является уникальной для каждой системы. Выберите один из двух вариантов DLP McAfee Device Control и полная версия McAfee DLP Endpoint. Это станет первым шагом, определяющим соответствие вашим потребностям. Рекомендация: развертывание для демонстрационной группы Поскольку может быть трудно определить заранее, что может потребоваться дальнейшем, выполните первое развертывание для группы в пользователей и проследите за работой в течение месяца. На время этого пробного периода данные не классифицируются и политика создается для отслеживания, а не блокирования транзакций. Данные отслеживания позволяют сотрудникам службы безопасности принимать необходимые решения о том, где и как необходимо осуществлять классификацию корпоративных данных. Созданные при подобном способе установки политики затем тестируются на группе большего размера или, в случае применения в крупной компании, на серии групп, каждая из которых больше предыдущей, перед тем как развертывание будет выполнено для всей корпорации в целом. Установка ПО для создания и отслеживания политик McAfee DLP устанавливается с помощью McAfee epo. В самом простом случае используется один сервер McAfee epo и один сервер Microsoft SQL, но для крупных корпораций могут использоваться несколько серверов или даже целый кластер. Клиентское программное обеспечение McAfee DLP Endpoint может быть развернуто на серверах Microsoft Windows, рабочих станциях и ноутбуках в виде версии Device Control или полной версии McAfee DLP Endpoint. McAfee Data Loss Prevention Endpoint Product Guide 25

26 2 Параметры и сценарии развертывания Планирование развертывания Варианты развертывания McAfee DLP Endpoint и Device Control Для простого внедрения McAfee DLP Endpoint рекомендуется установка на одном сервере McAfee epo. Рекомендации относительно использования отдельного сервера для базы данных McAfee epo при более сложной установке приведены в документе McAfee epolicy Orchestrator Руководство по использованию полосы пропускания и определению требований к техническим характеристикам аппаратного оборудования. Рисунок 2-1 Компоненты и взаимосвязи McAfee DLP Endpoint Рекомендуемая архитектура включает: Сервер McAfee epo выполняет роль ведущего узла для встроенных консолей McAfee DLP Endpoint, диспетчера инцидентов и действий, а также взаимодействует с программным обеспечением McAfee Agent на конечных компьютерах. Анализатор событий McAfee epo: обменивается данными с агентом McAfee Agent и хранит информацию о событиях в базе данных. Анализатор событий DLP: собирает события McAfee DLP Endpoint из анализатора событий McAfee epo и хранит их в таблицах DLP в базе данных SQL. База данных epo: обменивается данными с дистрибьютором политик McAfee epo для распределения политик, а также с анализатором событий DLP для сбора событий и подтверждений. Рабочая станция администратора: обеспечивает доступ к McAfee epo и консоли политики McAfee DLP Endpoint в браузере. 26 McAfee Data Loss Prevention Endpoint Product Guide

27 Параметры и сценарии развертывания System requirements 2 Контролируемая конечная точка: применяет политики безопасности с помощью указанного ниже программного обеспечения. Клиент McAfee DLP Endpoint: подключаемый модуль McAfee Agent, который обеспечивает политики и процессы McAfee DLP Endpoint. McAfee Agent : обеспечивает канал связи между сервером McAfee epo и клиентским программным обеспечением McAfee DLP Endpoint. Развертывание McAfee DLP Endpoint в среде Citrix McAfee DLP Endpoint для Windows можно устанавливать на контроллеры Citrix для XenApp и XenDesktop. Для использования McAfee DLP Endpoint для Windows в средах Citrix требуется следующее: Citrix XenApp 6.5 FP2 или 7.8 Citrix XenDesktop 7.0, 7.5 или 7.8 Разверните McAfee Agent и клиент McAfee DLP Endpoint на контроллерах Citrix, как на любой конечной точке. Разверните политику клиента McAfee DLP Endpoint для Windows на контроллерах Citrix. Для обеспечения работы с Citrix на конечные точки не требуется развертывать клиент McAfee DLP Endpoint. Все, что требуется, это Citrix Receiver При подключении конечной точки Windows к контроллеру Citrix и открытии файлов или сообщений электронной почты принудительно применяются соответствующие правила. Принцип работы Правила защиты в Citrix отличаются от McAfee DLP Endpoint, установленном на корпоративном компьютере, следующим образом: Правила устройств Citrix не поддерживаются при использовании отдельного сервера контроллера с XenApp 7.8. Правила защиты от снимков экрана не поддерживаются. Это вызвано тем, что функция снимка экрана активируется с конечного компьютера, где правило не применяется. Для защиты от снимков экрана на конечный компьютер следует установить клиент McAfee DLP Endpoint. Правила защиты буфера обмена поддерживаются, однако без всплывающих окон уведомления или событий. Причиной является то, что предпринимаемое действие копирования выполняется на контроллере Citrix, где такие правила поддерживаются, тогда как предпринимаемое действие вставки выполняется на конечной точке, в результате чего невозможно активировать всплывающее окно или создать событие. Эти ограничения не применяются, если для подключения к контроллеру Citrix используется протокол удаленного рабочего стола. System requirements Each McAfee DLP product has its own set of requirements. For a list of system requirements for McAfee DLP Endpoint, see the McAfee Data Loss Prevention Endpoint Release Notes. McAfee Data Loss Prevention Endpoint Product Guide 27

28 2 Параметры и сценарии развертывания System requirements 28 McAfee Data Loss Prevention Endpoint Product Guide

29 3 Установка 3 программного обеспечения McAfee DLP Endpoint или Device Control Консоль McAfee DLP Endpoint полностью интегрирована с McAfee epo. Клиенты McAfee DLP Endpoint развертываются на корпоративных компьютерах с помощью McAfee epo. Содержание Установка и лицензирование расширения McAfee DLP Установка клиентского программного обеспечения McAfee DLP Endpoint и Device Control Установка и лицензирование расширения McAfee DLP Это расширение представляет собой интерфейс пользователя для настройки McAfee DLP в McAfee epo. Предварительные операции Загрузите расширение McAfee DLP с сайта загрузок McAfee. Пользователь также может перейти в раздел McAfee epo Меню Программное обеспечение Диспетчер программ для просмотра, загрузки и установки программного обеспечения. В разделе параметров безопасности Internet Explorer проверьте наличие имени сервера McAfee epo в списке доверенных веб-сайтов. Необходимо указать хотя бы один лицензионный ключ (или несколько, если имеется несколько продуктов McAfee DLP). Указанные лицензии определяют доступные пользователю возможности настройки McAfee epo. Можно указать лицензию для McAfee DLP Endpoint или Device Control в поле McAfee DLP Endpoint. Замена одного типа лицензии другим изменяет возможности настройки. Можно указать ключи к следующим продуктам: McAfee DLP Endpoint или Device Control Можно указать лицензию для McAfee DLP Endpoint или Device Control в поле McAfee DLP Endpoint. Замена одного типа лицензии другим изменяет возможности настройки. McAfee DLP Discover McAfee DLP Network версии McAfee Data Loss Prevention Endpoint Product Guide 29

30 3 Установка программного обеспечения McAfee DLP Endpoint или Device Control Установка и лицензирование расширения McAfee DLP Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Программное обеспечение Расширения, затем щелкните Установить расширение. 2 Перейдите к файлу.zip расширения и нажмите кнопку ОК. В диалоговом окне установки отображаются параметры файла, позволяющие проверить правильность выбора расширения. 3 Щелкните ОК. Расширение установлено. 4 Добавляйте лицензии и компоненты для изменения возможностей устанавливаемого продукта. Установка лицензии включает соответствующие компоненты McAfee epo и политики каталога политик McAfee epo. Лицензия на продукт определяет доступные пользователю функции McAfee DLP. a Выберите Меню Data Protection DLP Settings (Параметры DLP). b Для каждой добавляемой лицензии: в поле Лицензионные ключи Ключ укажите лицензию и нажмите Добавить. 5 В поле Хранилище подтверждений по умолчанию укажите путь. Путь к хранилищу подтверждений должен представлять собой сетевой путь вида \\[сервер]\ [общая папка]. Этот этап необходим для сохранения параметров и активации программного обеспечения. 6 (Необязательно) Измените оставшиеся параметры данной страницы. У оставшихся параметров имеются значения по умолчанию. Пользоваться может принять значения по умолчанию и сохранить страницу или внести необходимые изменения. a Установите общий пароль. Рекомендация: для повышения безопасности измените пароль. b Задайте обратную совместимость. Для совместимости со старыми версиями клиентов выберите или Эта настройка ограничивает использование новых функций. Доступно два режима совместимости: строгий и нестрогий. В строгом режиме не могут быть применены политики с ошибками обратной совместимости. В нестрогом режиме владелец политики или пользователь с привилегиями администратора может выбирать, следует ли применять политики с ошибками обратной совместимости. c d e Установите длину ключа с запросом и подтверждением. Возможные варианты 8 и 16 символов. Установите разрешения дерева систем. Разрешение доступа к дереву систем позволяет фильтровать информацию об инцидентах, событиях, запросах и панелях мониторинга. Выберите способ отображения событий в разделе Управление инцидентами. 30 McAfee Data Loss Prevention Endpoint Product Guide

31 Установка программного обеспечения McAfee DLP Endpoint или Device Control Установка и лицензирование расширения McAfee DLP 3 f g Выберите параметры работы с электронной почтой для раздела Управление проблемами. Установите пользовательский часовой пояс для событий. Пользовательский часовой пояс для событий позволяет администраторам упорядочить события в соответствии с его часовым поясом. Значение этого параметра является сдвигом от времени UTC. 7 Щелкните Сохранить. 8 Для резервного копирования конфигурации перейдите на вкладку Backup & Restore (Резервное копирование и восстановление) и выберите Архивировать в файл. Модули McAfee DLP отображаются в разделе Меню Защита данных согласно лицензии. Задания Применение обратной совместимости на стр. 31 Можно создать политики с обратной совместимостью для развертывания на компьютерах, на которых установлены клиенты более ранних версий. Благодаря этому новое расширение можно использовать со старыми клиентами, обеспечив тем самым для крупных предприятий возможность организованно выполнить обновление версии. Преобразование политики и перенос данных на стр. 32 Для обновления до McAfee DLP 10.0 с версий, предшествующих версии , необходимо перенести или преобразовать инциденты, рабочие события или политики. Для преобразования или переноса используются задачи сервера McAfee epo. См. также Применение обратной совместимости на стр. 31 Создание папок подтверждений на стр. 50 Применение обратной совместимости Можно создать политики с обратной совместимостью для развертывания на компьютерах, на которых установлены клиенты более ранних версий. Благодаря этому новое расширение можно использовать со старыми клиентами, обеспечив тем самым для крупных предприятий возможность организованно выполнить обновление версии. Обратная совместимость поддерживается для политик McAfee DLP и более поздних версий. Доступные параметры представлены на странице настроек DLP (Меню Data Protection Параметры DLP). Обратная совместимость не поддерживается для политик McAfee DLP 9.3. Политики из версий, предшествующих версии 9.4.0, следует перенести в схему версии 9.4. Выбор совместимости с версией с использованием нестрогого режима может привести к ошибкам в политике в случае выбора параметров правил, которые не поддерживаются в этой версии. Если используется строгий режим, попытка применить такие политики к базе данныхmcafee epo завершится сбоем. Если используется нестрогий режим и в политике имеются ошибки совместимости, то при попытке применить политику отобразится предупреждение. McAfee Data Loss Prevention Endpoint Product Guide 31

32 3 Установка программного обеспечения McAfee DLP Endpoint или Device Control Установка и лицензирование расширения McAfee DLP При установке флажка политика будет применена с ошибками. Ошибки отображаются в разделе Каталог политик на активной странице Политика DLP Проверка политики. В столбце Сведения на этой странице содержится описание того, что может произойти, если применить правило с ошибкой к клиентам на конечных компьютерах, которые не поддерживают соответствующую функцию. На этой странице можно изменить правило, чтобы исправить ошибку. Пример: описания устройств В определения устройств в McAfee DLP версий и 10.0 можно добавить необязательный параметр Описание устройства, который отсутствовал в более ранних версиях. Использование описания устройства для его определения и включение такого определения в правило Device Control приводит к созданию набора правил, который невозможно принудительно применить на клиентах Если же принять политику, невзирая на предупреждение, на странице Проверка политики отображается ошибка. В поле Сведения поясняется, что это "приведет к обнаружению соответствия и выполнению реакции для устройств, для которых соответствие ошибочно...". Можно нажать кнопку Изменить, чтобы устранить ошибку. См. также Преобразование политики и перенос данных на стр. 32 Преобразование политики и перенос данных Для обновления до McAfee DLP 10.0 с версий, предшествующих версии , необходимо перенести или преобразовать инциденты, рабочие события или политики. Для преобразования или переноса используются задачи сервера McAfee epo. Предварительные операции В представленной ниже задаче описывается порядок обновления с McAfee DLP Endpoint версии 9.3.x. Можно выполнить обновление непосредственно с версии McAfee DLP Endpoint Можно настроить обратную совместимость для поддержки клиентов версии 9.4.0, однако для отображения в консолях Диспетчер инцидентов DLP или Операции DLP версии 10.0 инцидентов и рабочих событий более ранних версий необходимо выполнить задачу сервера Преобразование событий-инцидентов DLP из версии 9.4 версию и выше. Обновите расширение McAfee DLP Endpoint до версии (версия 9.3, пакет исправлений 6) или более поздней перед установкой расширения McAfee DLP версии или более поздней McAfee epo. В рамках задачи преобразования политики преобразуются только те правила, которые включены и применены к базе данных. Чтобы проверить состояние правил, которые необходимо преобразовать, просмотрите политику McAfee DLP Endpoint 9.3, прежде чем преобразовывать ее. 32 McAfee Data Loss Prevention Endpoint Product Guide

33 Установка программного обеспечения McAfee DLP Endpoint или Device Control Установка клиентского программного обеспечения McAfee DLP Endpoint и Device Control 3 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Автоматизация Задачи сервера. 2 Выберите Преобразование политики DLP, а затем выберите Действия Выполнить. Откроется страница Журнал задач сервера, на которой можно просмотреть состояние выполнения задачи. Преобразованная политика будет совместима с политиками версии и более поздних версий. Если задача выполнялась ранее, то она завершится сбоем. Если после внесения изменений в политику McAfee DLP 9.3 необходимо повторно выполнить преобразование, измените задачу сервера, отменив выбор параметра Не выполнять преобразование политики, если имеется набор правил с именем "Набор правил преобразования политики [9.3]" на странице Действия. Предыдущий набор правил будет удален и заменен новым. 3 Вернитесь на страницу Задачи сервера, выберите Перенос инцидентов DLP, затем выберите Действия Изменить. Задача Перенос рабочих событий DLP выполняется аналогичным образом. 4 Выберите Состояние планирования Включено, затем дважды нажмите кнопку Далее. Перенос программируется предварительно, поэтому можно пропустить страницу Действия. 5 Выберите тип планирования и периодичность выполнения задачи. Рекомендация: поскольку задачи переноса достаточно ресурсоемкие, их следует планировать на выходные дни или на периоды пониженной нагрузки. a b Задайте подходящие даты начала и окончания, чтобы определить период времени, и запланируйте задачу на каждый час. Запланируйте повторное выполнение задачи в соответствии с размером базы данных инцидентов, которую требуется перенести. Инциденты переносятся частями по экземпляров. 6 Нажмите Далее, чтобы проверить настройки, затем нажмите Сохранить. Установка клиентского программного обеспечения McAfee DLP Endpoint и Device Control McAfee epo используется для развертывания клиентского программного обеспечения на конечных компьютерах. Изначальная установка клиентского программного обеспечения McAfee DLP Endpoint 10.0 не требует перезагрузки конечного компьютера. Если клиентское программное обеспечение обновляется с более ранней версии, то следует перезагрузить конечный компьютер после установки. McAfee Data Loss Prevention Endpoint Product Guide 33

34 3 Установка программного обеспечения McAfee DLP Endpoint или Device Control Установка клиентского программного обеспечения McAfee DLP Endpoint и Device Control Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Программное обеспечение Главный репозиторий. 2 В главном репозитории нажмите Проверить пакет на входе. 3 Выберите тип пакета Продукт или обновление (.ZIP). Нажмите Обзор. Для клиента Microsoft Windows выберите "...\HDLP_Agent_10_0_0_xxx.zip". Для клиента Mac выберите "...\DlpAgentInstaller.zip". 4 Щелкните Далее. 5 Просмотрите подробную информацию на странице Зарегистрировать пакет, затем нажмите кнопку Сохранить. Пакет добавляется в главный репозиторий. 34 McAfee Data Loss Prevention Endpoint Product Guide

35 4 4 Развертывание клиентского программного обеспечения и политик Принудительное применение политик McAfee DLP на конечных компьютерах осуществляется агентом McAfee Agent. Первым этапом является развертывание клиентского программного обеспечения McAfee DLP Endpoint, подключаемого модуля McAfee Agent, на конечных точках. Рекомендация: для развертывания клиента используйте McAfee epo. Если развертывание с помощью McAfee epo не представляется возможным, то развернуть программное обеспечение можно вручную. Содержание Развертывание клиента McAfee DLP Endpoint с помощью McAfee epo Проверка установки Развертывание политик с помощью McAfee epo Развертывание клиента McAfee DLP Endpoint с помощью McAfee epo Перед применением политик необходимо развернуть клиент McAfee DLP Endpoint на конечных компьютерах с помощью McAfee epo. Предварительные операции Текущая версия McAfee Agent должна быть установлена в McAfee epo и развернута на целевых компьютерах до развертывания McAfee DLP Endpoint. См. Примечания к выпуску McAfee Data Loss Prevention Endpoint для получения информации о поддерживаемых версиях McAfee Agent на конечных компьютерах под управлением Microsoft Windows и Mac OS X. Инструкции по проверке версии и установке см. в документации по McAfee epo. McAfee Data Loss Prevention Endpoint Product Guide 35

36 4 Развертывание клиентского программного обеспечения и политик Развертывание клиента McAfee DLP Endpoint с помощью McAfee epo Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Дерево систем. 2 В разделе Дерево систем выберите уровень развертывания McAfee DLP Endpoint. Если оставить уровень Моя организация, развертывание выполняется на всех рабочих станциях под управлением McAfee epo. При выборе уровня ниже Моя организация на правой панели отобразятся доступные рабочие станции. Можно также развернуть McAfee DLP Endpoint на отдельных рабочих станциях. 3 Откройте мастер Построитель задач клиента: перейдите на вкладку Назначенные задачи клиента. Выберите Действия Создать назначение задач клиента. Откроется мастер Построитель задач клиента. 4 Заполните поля построителя задач: В поле Продукт выберите McAfee Agent. В поле Тип задачи выберите Развертывание продукта. 5 Выберите пункт Создать задачу. 6 В поле Продукты и компоненты выберите Data Loss Prevention 9.4. В поле Действие будет автоматически установлено значение Установить. Щелкните Сохранить. 7 Измените Тип планирования на Немедленно. Щелкните Далее. 8 Просмотрите сводку задачи. Если все правильно, щелкните Сохранить. Задача запланирована на момент следующего обновления политики в McAfee Agent. Если требуется немедленная установка, сформируйте принудительный вызов агента. 9 По завершении развертывания McAfee DLP Endpoint перезагрузите управляемые компьютеры. 36 McAfee Data Loss Prevention Endpoint Product Guide

37 Развертывание клиентского программного обеспечения и политик Проверка установки 4 Проверка установки После установки программного обеспечения McAfee DLP Endpoint необходимо проверить установку в консоли Операции DLP. Процедура 1 В McAfee epo выберите Меню Data Protection Операции DLP. Щелкните событие для просмотра сведений. Рисунок 4-1 Панель сведений об операциях DLP 2 Проверьте установку клиентского программного обеспечения McAfee DLP Endpoint с помощью значка на панели задач McAfee Agent на конечном компьютере, выбрав О программе. С помощью прокрутки найдите сведения о программе McAfee DLP Endpoint. Развертывание политик с помощью McAfee epo Политики McAfee DLP Endpoint включают наборы правил, классификации, определения и конфигурации сервера. McAfee DLP Endpoint работает со следующими политиками: Политика DLP Конфигурация клиента Каждой из этих политик при создании назначается номер редакции 1, а затем номер увеличивается при каждом изменении политики. Номер редакции важен для поддержки процессов устранения проблем: он позволяет убедиться, что изменения политики фактически применены к компьютерам конечных точек. Он также используется при выполнении запроса ключа удаления или обхода клиента. В консоли DLP Endpoint на клиентском компьютере отображаются номера редакции текущей политики. Перед применением политики убедитесь в следующем: Все параметры настроены должным образом. Все правила включены. Каждому правилу назначены группы конечных пользователей (где это требуется). Назначение политики или конфигурации клиента Для дальнейшего использования политик, примененных к McAfee epo, их необходимо назначить и развернуть на управляемых компьютерах. McAfee Data Loss Prevention Endpoint Product Guide 37

38 4 Развертывание клиентского программного обеспечения и политик Развертывание политик с помощью McAfee epo Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Дерево систем. 2 Найдите каталог, содержащий компьютеры, которым будет назначена политика, и выберите их. 3 Выберите Действия Агент Вызов агентов. 4 Выберите Вызов агента и установите для параметра Случайный выбор значение 0 минут. Щелкните ОК. 5 После завершения принудительного вызова агента выполняется возврат к дереву систем. Повторно выберите компьютеры, которым будет назначена политика, и щелкните Действия Агент Установить политику и наследование. 6 На странице Назначение политики выполните указанные ниже действия. a В раскрывающемся списке Продукт выберите Data Loss Prevention [версия]. b c В раскрывающемся списке Категория выберите политику, которую требуется назначить: Политика DLP, Конфигурация клиента Windows или Конфигурация клиента Mac OS X. В раскрывающемся списке Политика выберите политику для назначения. 7 Проверьте настройку параметра Разорвать наследование, а затем нажмите кнопку Сохранить. Обновление политики Системная политика развертывается на сервере McAfee epo, а ее обновление на управляемом компьютере выполняется в соответствии с параметрами McAfee Agent. Однако можно обновить ее в McAfee epo, не дожидаясь запланированного обновления. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Дерево систем, затем выберите один или несколько компьютеров для обновления. 2 Щелкните Дополнительные действия Вызов агентов. 3 Выберите тип принудительного вызова агента и установите для параметра Случайный выбор значение 0 минут. Щелкните ОК. Обновление политик выполняется на сервере McAfee epo по расписанию. Пользователи управляемых компьютеров не обновляют политики вручную, если в явном виде не указано иное. 38 McAfee Data Loss Prevention Endpoint Product Guide

39 Настройка и использование Настройте программное обеспечение для оптимального использования в корпоративной среде на основе управленческих решений относительно типа защищаемого содержимого и лучших методов его защиты. Глава 5 Глава 6 Глава 7 Глава 8 Глава 9 Глава 10 Настройка компонентов системы Защита съемных носителей Классификация конфиденциального содержимого Работа с политиками Защита конфиденциальных данных Проверка данных с помощью обнаружения McAfee DLP Endpoint McAfee Data Loss Prevention Endpoint Product Guide 39

40 Настройка и использование 40 McAfee Data Loss Prevention Endpoint Product Guide

41 5 5 Настройка компонентов системы Компоненты системы можно настроить, чтобы они максимально соответствовали потребностям организации. Путем настройки параметров агента и системы можно оптимизировать работу системы для наиболее эффективной защиты конфиденциальной информации предприятия. Содержание Каталог политик Настройка McAfee DLP в каталоге политик Защита файлов с помощью управления правами Документирование событий с подтверждениями Контроль назначений с помощью пользователей и наборов разрешений Настройка классификации вручную Каталог политик Каталог политик McAfee epo может отображать следующие конфигурации политик McAfee DLP: Политика DLP Policy содержит активные наборы правил, привязанные к политике, запланированные проверки обнаружения на конечных точках, настройки стратегии работы приложения, переопределения классов устройств, привилегированных пользователей и функцию Проверка политики. Конфигурация сервера содержит конфигурацию McAfee DLP Discover. Эта функция позволяет осуществлять настройку службы копирования подтверждений и параметры ведения журнала, настройки управления правами и SharePoint и параметры средства извлечения текста. Конфигурация сервера отображается только в том случае, если зарегистрирована лицензия McAfee DLP Discover. Конфигурации клиента отдельные конфигурации для компьютеров Windows и OS X содержат настройки конфигурации для клиентов McAfee DLP Endpoint. Настройки определяют, как клиенты применяют политики McAfee DLP на конечных компьютерах. McAfee Data Loss Prevention Endpoint Product Guide 41

42 5 Настройка компонентов системы Настройка McAfee DLP в каталоге политик Настройка McAfee DLP в каталоге политик Политики и конфигурации клиента McAfee DLP хранятся в каталоге политик McAfee epo. McAfee DLP создает в каталоге политик McAfee epo следующие политики: Политика DLP Конфигурация сервера Конфигурация клиента Политика DLP состоит из активных наборов правил, конфигурации обнаружения на конечной точке, настроек и проверки политик. В политике Конфигурация сервера включается Служба копирования подтверждения для McAfee Data Loss Prevention Discover и указывается общий сетевой ресурс для хранения подтверждений. Здесь также задаются параметры ведения журнала тип журнала и уровень журналирования. Политики конфигураций клиента содержат настройки, которые определяют, как конечные компьютеры взаимодействуют с политиками. Импорт и экспорт конфигурации McAfee DLP Endpoint Конфигурации политик конечных точек могут быть сохранены в формате HTML с целью резервного копирования или переноса политик на другие серверы McAfee epo. Не используйте эти действия для сохранения конфигурации политик DLP. Хотя функция Экспорт сохранит файл, функция Импорт не сможет его импортировать. Для сохранения политик DLP используйте страницу Backup & Restore (Резервное копирование и восстановление) в разделе Параметры DLP. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Каталог политик Продукт Data Loss Prevention. 2 Выполните одно из нижеприведенных действий: Для экспорта щелкните Экспорт. В окне Экспорт щелкните ссылку на файл правой кнопкой мыши и выберите Сохранить ссылку как для сохранения политики в виде файла XML. При нажатии кнопки Экспорт экспортируются все политики. Для экспорта отдельной политики следует выбрать Экспорт на пересечении столбца Действия и строки, помеченной именем политики. Для импортирования сохраненной политики нажмите Импорт. В окне Импортировать политики перейдите к сохраненной политике, нажмите Открыть, а затем OK. Откроется диалоговое окно импорта, содержащее политики, которые будут импортированы, и указание на наличие конфликтов имен. Можно отменить выбор конфликтующих политик и не импортировать их. Если импортируется политика, для которой существует конфликт имен, она перезапишет существующую политику и присвоит себе ее назначения. Конфигурация клиента Клиентское программное обеспечение McAfee DLP Endpoint для McAfee Agent располагается на корпоративных компьютерах и применяет заданную политику. Данное программное обеспечение 42 McAfee Data Loss Prevention Endpoint Product Guide

43 Настройка компонентов системы Настройка McAfee DLP в каталоге политик 5 также отслеживает действия пользователей с конфиденциальным содержимым. Конфигурация клиента хранится в политике, которая развертывается на управляемых компьютерах. Каталог политик поставляется вместе с политиками McAfee по умолчанию для настройки конечных компьютеров с Windows и OS X и политики DLP. Нажмите Дублировать (в столбце Действия) для создания редактируемой копии в качестве основы для новой политики. Конфигурация клиента хранится в политике, которая развертывается на управляемых компьютерах средствами McAfee epo. При обновлении конфигурации необходимо развернуть политику заново. Служба средства наблюдения клиента Для поддержания нормальной работоспособности программного обеспечения McAfee DLP Endpoint даже в случае вмешательства злоумышленников в McAfee DLP Endpoint работает служба защиты, называемая службой средства наблюдения клиента. Эта служба предназначена для отслеживания программного обеспечения McAfee DLP Endpoint и его перезапуска в случае остановки по каким-либо причинам. По умолчанию служба включена. Если требуется убедиться в том, что она работает, проверьте наличие службы fcagswd.exe в списке процессов диспетчера задач Microsoft Windows. Служба средства наблюдения клиента не поддерживается в McAfee DLP Endpoint for Mac. Параметры конфигурации клиента Параметры конфигурации клиента определяют, как работает программное обеспечение конечной точки. Большинство параметров конфигурации клиента имеют удобные значения по умолчанию, которые могут использоваться при начальной настройке и тестировании без изменения. Рекомендация: регулярно просматривайте параметры конфигурации клиента, чтобы обеспечить соответствие вашим потребностям. В таблице ниже приведены наиболее важные параметры для проверки. Таблица 5-1 Конфигурация конечной точки Параметр Сведения Описание Расширенная конфигурация Отслеживание содержимого Подключение к корпоративной сети Клиент Microsoft Windows: Запуск клиента DLP в безопасном режиме Использовать следующую резервную кодовую страницу ANSI Процессы в белом списке Обнаружение подключения к корпоративной сети Обнаружение подключения к корпоративной сети через VPN Отключено по умолчанию. При включении этого параметра все функции McAfee DLP Endpoint доступны, когда компьютер работает в безопасном режиме. На случай, если клиент McAfee DLP Endpoint приведет к сбою загрузки, существует механизм восстановления. Если язык не задан, в качестве резерва используется язык конечного компьютера по умолчанию. Добавление процессов и расширений в белый список. Пользователь может применять различные действия по предотвращению на конечных компьютерах при работе в корпоративной сети или вне ее. К некоторым правилам можно применить различные действия по предотвращению при подключении по VPN. Для использования параметра VPN или для определения возможности подключения к корпоративной сети в обход McAfee epo установите IP-адрес сервера в соответствующем разделе. McAfee Data Loss Prevention Endpoint Product Guide 43

44 5 Настройка компонентов системы Настройка McAfee DLP в каталоге политик Таблица 5-1 Конфигурация конечной точки (продолжение) Параметр Сведения Описание Защита электронной почты Служба копирования подтверждения Режим работы и модули Кэширование электронной почты API для обработки почты Интеграция со сторонними надстройками для Outlook Стратегия времени ожидания для электронной почты UNC-путь общего хранилища подтверждений Параметры клиента Режим работы Модули защиты данных Хранение сигнатур тегов сообщений электронной почты на диске во избежание повторного анализа сообщений. Управление исходящей электронной почтой выполняется объектной моделью Outlook (Outlook Object Model, OOM) или Messaging Application Programming Interface (MAPI). OOM является API по умолчанию, но для некоторых конфигураций требуется MAPI. Поддерживаются два классификационных приложения: Titus и Boldon James. Задание максимального времени анализа сообщения электронной почты и действия в случае превышения времени ожидания. Замените представленный текст путем к общему сетевому ресурсу для хранения подтверждений. Пользователь может изменить способ отображения выделения причин, выбрав показ всех результатов совпадения с классификацией или лишь некоторых из них. Выбор режима работы Device Control или полноценного режима McAfee DLP Endpoint. При смене лицензии на лицензию с большими или меньшими правами выполните сброс этого параметра. Выполните активацию необходимых модулей. Рекомендация: для повышения производительности не выбирайте модули, которые не используются. Защита публикаций в Интернете (только для клиентов Windows) Оценка веб-защиты Обработка запросов HTTP GET Поддерживаемые версии браузера Chrome Стратегия времени ожидания для публикаций в Интернете URL-адреса в белом списке Выбор полей ввода для оценки веб-запросов при сопоставлении с правилами веб-защиты. Эти настройки позволяют блокировать запросы, отправляемые по AJAX на URL-адреса, отличные от указанного в адресной строке. Необходимо выбрать хотя бы один вариант. По умолчанию запросы GET отключены, поскольку они достаточно ресурсоемкие. Этот параметр следует использовать с осторожностью. Если используется Google Chrome, нажмите Обзор для добавления текущего списка поддерживаемых версий. Этот список представляет собой файл в формате XML, который можно загрузить в службе технической поддержки McAfee. Задает время ожидания при анализе публикации в Интернете, действие, выполняемое в случае превышения времени ожидания, и необязательное сообщение для пользователя. Список URL-адресов, не подпадающих под действия правил защиты публикации в Интернете. 44 McAfee Data Loss Prevention Endpoint Product Guide

45 Настройка компонентов системы Защита файлов с помощью управления правами 5 Поддержка параметров конфигурации клиента Для настройки McAfee DLP Endpoint для Windows и McAfee DLP Endpoint for Mac используются отдельные политики клиентов. Таблица 5-2 Страница Отладка и ведение журнала Параметр Административные события, сообщения о которых поступают с клиентов Ведение журнала Поддержка операционной системы Параметры фильтрации, которые применяются как к McAfee DLP Endpoint для Windows, так и к McAfee DLP Endpoint for Mac: Клиент переходит в режим обхода Клиент выходит из режима обхода Клиент установлен Все остальные параметры применяются только к McAfee DLP Endpoint для Windows. Поддерживается как в McAfee DLP Endpoint для Windows, так и в McAfee DLP Endpoint for Mac. Таблица 5-3 Страница Компоненты интерфейса пользователя Раздел Параметр Поддержка операционной системы Интерфейс пользователя клиента Показывать консоль DLP (все варианты) Включить всплывающее окно уведомления конечного пользователя Показывать диалоговое окно запроса обоснования Только McAfee DLP Endpoint для Windows McAfee DLP Endpoint для Windows и McAfee DLP Endpoint for Mac McAfee DLP Endpoint для Windows и McAfee DLP Endpoint for Mac Запрос и ответ Все варианты McAfee DLP Endpoint для Windows и McAfee DLP Endpoint for Mac Политика блокировки кода переноса Все варианты McAfee DLP Endpoint для Windows и McAfee DLP Endpoint for Mac Изображение баннера клиента Все варианты Только McAfee DLP Endpoint для Windows Защита файлов с помощью управления правами McAfee DLP Endpoint и McAfee DLP Discover могут интегрироваться с серверами управлениями правами для применения защиты к файлам, которые удовлетворяют классификациям правил. Начиная с версии McAfee DLP Endpoint 10.0 необходимо устанавливать клиент службы управления правами Active Directory 2.1 сборки на каждом конечном компьютере, пользующемся службами управления правами. Команда Применить политику управления правами не работает без этой версии клиента RM. Пользователь может применить реакцию политики управления правами к следующим правилам защиты данных и обнаружения: McAfee Data Loss Prevention Endpoint Product Guide 45

46 5 Настройка компонентов системы Защита файлов с помощью управления правами Защита облачных служб Файловая система конечной точки Политики управления правами не могут использоваться совместно с правилами Device Control. McAfee DLP может распознавать защищенные с помощью управления прав файлы, добавляя свойство зашифрованности к критериям классификации содержимого или идентификации содержимого по его отпечаткам. Эти файлы могут включаться в классификации или исключаться из них. Работа с функцией управления правами в McAfee DLP В McAfee DLP предусмотрен рабочий процесс применения политик управления правами к файлам. Рабочий процесс управления правами 1 Создание и применение правила защиты данных или обнаружения с реакцией в виде применения политики управления правами. Реакция требует наличия сервера управления правами и политики управления правами. 2 Файл, вызвавший срабатывание правила, передается из McAfee DLP на сервер управления правами. 3 На сервере управления правами применяются средства защиты, определяемые заданной политикой, например шифрование файла, ограничение прав пользователей на доступ к файлу и его расшифровку, ограничение условий доступа к файлам. 4 После применения средств защиты файл передается с сервера управления правами обратно на исходный объект. 5 Если для файла настроена классификация, McAfee DLP может приступить к отслеживанию файла. Когда в результате применения правила обнаружения для файловой системы в программном обеспечении McAfee DLP обнаруживается файл, требующий защиты, для поиска шаблона и применения защиты используется присвоенный шаблону уникальный идентификатор GUID. Ограничения Программное обеспечение McAfee DLP Endpoint не проверяет файлы и содержимое, защищенные управлением правами. Когда классификация применяется к файлу, который подпадает под управление правами, продолжают действовать только критерии идентификации содержимого по его отпечаткам (местоположение, приложение или веб-приложение). Если пользователь изменяет файл, сигнатуры идентификации содержимого по его отпечаткам утрачиваются при сохранении. Поддерживаемые серверы управления правами McAfee DLP Endpoint поддерживает службы управления правами Microsoft Windows (Microsoft RMS) и управление правами доступа к информации Seclore FileSecure (IRM). McAfee DLP Discover поддерживает Microsoft RMS. Microsoft RMS McAfee DLP поддерживает Microsoft RMS на Windows Server 2003 и Active Directory RMS (AD-RMS) на Windows Server 2008 и Защиту службы управления правами Windows можно использовать для защиты следующих категорий: 46 McAfee Data Loss Prevention Endpoint Product Guide

47 Настройка компонентов системы Защита файлов с помощью управления правами 5 Тип документа Версия Microsoft Word 2010, 2013 и 2016 Microsoft Excel Microsoft PowerPoint SharePoint 2007 Exchange Server Используя Microsoft RMS, McAfee DLP может просматривать содержимое защищаемых файлов, если текущий пользователь обладает правами на просмотр. Дополнительные сведения о службах Microsoft RMS см. по адресу en-us/library/cc aspx. Seclore IRM McAfee DLP Endpoint поддерживает Seclore FileSecure RM, с поддержкой более 140 форматов файлов, включая наиболее распространенные форматы документов: Документы Microsoft Office Документы Open Office PDF Текстовые и основанные на тексте форматы, включая CSV, XML и HTML Форматы изображений, включая JPEG, BMP, GIF и т. д. Форматы технического проектирования, включая DWG, DXF и DWF Клиент McAfee DLP Endpoint работает с клиентом FileSecure для обеспечения автономной и сетевой интеграции. Дополнительные сведения о программе Seclore IRM см. по адресу seclorefilesecure_overview.html. Задание сервера управления правами McAfee DLP Endpoint поддерживает две системы управления правами: службы Microsoft Windows Rights Management (RMS) и Seclore FileSecure. Для работы с этими системами необходимо настроить в McAfee epo сервер, обеспечивающий применение политик управления правами. Предварительные операции Настройте серверы управления правами и создайте пользователей и политики. Получите URL адрес и пароль для всех серверов: шаблонов политик, сертификации и лицензирования. Для Seclore потребуются идентификатор CAB файла Hot Folder и парольная фраза, а при наличии расширенных лицензий также сведения о них. Проверьте наличие разрешений на просмотр, создание и изменение для серверов служб Microsoft RMS и серверов Seclore. В McAfee epo выберите Меню Управление пользователями Наборы разрешений и проверьте свою принадлежность к группе, которой предоставлены необходимые разрешения в разделе Зарегистрированные серверы. McAfee Data Loss Prevention Endpoint Product Guide 47

48 5 Настройка компонентов системы Документирование событий с подтверждениями Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Зарегистрированные серверы. 2 Щелкните Создать сервер. Открывается страница описания Зарегистрированные серверы. 3 В раскрывающемся списке Тип сервера выберите тип сервера для настройки: Сервер Microsoft RMS или Сервер Seclore. 4 Введите имя конфигурации сервера, затем нажмите кнопку Далее. 5 Введите необходимые сведения. Заполнив обязательные поля, нажмите кнопку Тестировать возможности подключения для проверки введенных данных. Параметры служб управления правами включают раздел Параметры принудительного применения DLP. Указывать Локальный путь к шаблону RMS не обязательно, но поля URL адресов для сертификации и лицензирования являются обязательными, если не выбран режим обнаружения с помощью автоматической службы AD. Для Seclore необходима информация о CAB файле HotFolder, но вводить дополнительные сведения о лицензии не обязательно. 6 По завершении настройки нажмите кнопку Сохранить. Документирование событий с подтверждениями Подтверждение это копия файла или сообщения электронной почты, вызвавшего событие системы безопасности и публикуемого в диспетчере инцидентов DLP. Использование и хранение подтверждений Большинство правил имеют возможность сохранения подтверждений. Когда выбран данный параметр, зашифрованная копия содержимого, которое блокируется или отслеживается, сохраняется в предварительно заданной папке подтверждений на конечном компьютере. Когда McAfee DLP передает информацию на сервер, папка уничтожается и подтверждение сохраняется в папке подтверждений сервера. Пользователь может указать максимальный размер и возраст хранения подтверждений на локальном компьютере, когда он находится вне сети. Предварительные условия для хранилища подтверждений Включение хранения подтверждений является стандартным поведением McAfee DLP. Если сохранять подтверждения нет необходимости, можно увеличить производительность, отключив службу работы с подтверждениями. Следующие параметры обязательны к указанию или задаются по умолчанию при настройке программного обеспечения: Папка хранилища подтверждений создание папки хранения подтверждений и указание UNC-пути к папке являются обязательными требованиями при применении политики в McAfee epo. Укажите путь на странице Служба копирования подтверждения в параметре Каталог политик политики конфигурации. Служба копирования подтверждения служба копирования подтверждения для McAfee DLP включена на странице Режим работы и модули политики конфигурации клиента. Служба отчетов с вложенным параметром также должна быть включена для сбора подтверждения. Для McAfee DLP Discover служба включается в политике конфигурации сервера. 48 McAfee Data Loss Prevention Endpoint Product Guide

49 Настройка компонентов системы Документирование событий с подтверждениями 5 Хранилище подтверждений и память Количество файлов подтверждения, сохраняемых для события, влияет на объем хранилища, производительность анализатора событий и скорость отображения на экране (и тем самым на восприятие пользователя) на страницах Диспетчер инцидентов DLP и DLP Operations (Действия DLP). Для обработки различных требований к подтверждению программное обеспечение McAfee DLP выполняет следующие действия: Максимальное количество файлов подтверждения, хранящихся для одного события, задается на странице политики конфигурации клиента Служба копирования подтверждения. Значение по умолчанию: Когда множество файлов подтверждения привязано к одному событию, только первые 100 имен файлов сохраняются в базе данных и отображаются на странице сведений диспетчера инцидентов DLP. Остальные файлы подтверждения (в пределах допустимого количества) хранятся в общем хранилище подтверждений без привязки к определенному событию. Отчеты и запросы, фильтрующие подтверждения на основе имени файла, имеют доступ только к первым 100 именам файлов. В диспетчере инцидентов DLP суммарное число подтверждений отображается в поле Общее количество соответствий. Выделение причин Возможность выделения причин помогает администраторам точно определить, какие конфиденциальные данные привели к возникновению события. При выборе данного параметра сохраняется зашифрованный HTML-файл подтверждения с извлеченным текстом. Файл подтверждения состоит из фрагментов, где фрагмент для классификации содержимого или идентификации содержимого по его отпечаткам обычно содержит конфиденциальный текст плюс 100 символов до и 100 символов после него (для контекста). Файл разграничен согласно классификации содержимого или идентификации содержимого по его отпечаткам, которые привели к возникновению события, и включает в себя количество событий для каждой классификации содержимого или идентификации содержимого по его отпечаткам. Если в 100 ранее выделенных символах имеется несколько совпадений, эти совпадения выделяются, а выделенный текст со следующими 100 символами добавляется к фрагменту. Если совпадение находится в заголовке или нижнем колонтитуле документа, фрагмент содержит выделенный текст без 100 символов до или после. Параметры отображения задаются на странице Служба копирования подтверждения политики конфигурации клиента в поле Файл соответствий классификации: Создать сокращенные результаты (значение по умолчанию) Создать все соответствия Отключено отключение функции выделения причин Сокращенные результаты могут содержать до 20 фрагментов. При сохранении всех совпадений файл выделения причин может содержать неограниченное количество фрагментов, но имеется ограничение на количество выделений для каждой классификации. Для классификаций Расширенный шаблон и Ключевое слово этот предел составляет 100 выделений. Для классификации Словарь предел составляет 250 выделений для каждого вхождения в словарь. Если в файле выделения причин указано несколько классификаций, имена классификаций и количество совпадений отображаются в начале файла перед фрагментами. Правила, разрешающие хранилище подтверждений Эти правила имеют возможность сохранения подтверждений. McAfee Data Loss Prevention Endpoint Product Guide 49

50 5 Настройка компонентов системы Документирование событий с подтверждениями Таблица 5-4 Подтверждения, сохраняемые по правилам Правило Что сохраняется Продукт Правило защиты доступа к файлам для приложения Правило защиты буфера обмена Правило облачной защиты Правило защиты электронной почты Копирование файла Копия буфера обмена Копия файла Копирование сообщения электронной почты McAfee DLP Endpoint McAfee DLP Endpoint Правило защиты общих сетевых ресурсов Копирование файла McAfee DLP Endpoint Правило защиты принтера Правило защиты съемных носителей Правило защиты от снимков экрана Правило защиты публикации в Интернете Правило проверки файловой системы Правило обнаружения хранилища электронной почты Копия файла Копия файла Снимок экрана в формате JPEG Копия публикации в Интернете Копия файла Копия файла.msg Правило защиты Box Копирование файла McAfee DLP Discover Правило защиты файлового сервера (CIFS) Правило защиты SharePoint Копирование файла Копирование файла Создание папок подтверждений Папки подтверждения содержат информацию, используемую всем программным обеспечением McAfee DLP для создания политик и отчетности. В зависимости от типа установки McAfee DLP должны быть созданы некоторые папки и общие сетевые ресурсы, а их свойства и параметры безопасности должны быть настроены должным образом. Пути папок подтверждения располагаются в различных местах для разных продуктов McAfee DLP. При установке дополнительных продуктов McAfee DLP в McAfee epo пути UNC для папок подтверждения синхронизируются. Папки не должны располагаться на одном компьютере с сервером баз данных McAfee DLP, но обычно удобно располагать их именно там. Путь к хранилищу подтверждений должен представлять собой общий сетевой ресурс, поэтому в нем должно быть указано имя сервера. Папка подтверждений: некоторые правила разрешают хранение подтверждений, поэтому необходимо заранее назначить место их хранения. Например, при блокировании файла его копия помещается в папку подтверждений. Копирование и перемещение папок: применяется для исправления файлов в McAfee DLP Discover. Рекомендуется использовать указанные ниже пути к папкам, имена папок и имена общих сетевых ресурсов, но можно создать и другие пути и имена в соответствии со своей средой. c:\dlp_resources\ c:\dlp_resources\evidence c:\dlp_resources\copy c:\dlp_resources\move 50 McAfee Data Loss Prevention Endpoint Product Guide

51 Настройка компонентов системы Контроль назначений с помощью пользователей и наборов разрешений 5 Контроль назначений с помощью пользователей и наборов разрешений В McAfee DLP используются модули McAfee epo Пользователи и Наборы разрешений для назначения функций администрирования компонентами McAfee DLP различным пользователям и группам. Рекомендация: создайте различные наборы разрешений McAfee DLP, пользователей и группы. Создайте различные роли, назначив разные разрешения на администрирование и рецензирование для различных модулей McAfee DLP в McAfee epo. Поддержка разрешений на фильтрацию дерева систем McAfee DLP Endpoint поддерживает разрешения фильтрации дерева систем McAfee epo в модулях Диспетчер инцидентов DLP и Операции DLP. Если включена фильтрация дерева систем, операторы McAfee epo могут только просматривать инциденты с компьютеров в разрешенном разделе дерева систем. По умолчанию администраторам групп не предоставляются никакие разрешения относительно дерева систем McAfee epo. Независимо от того, какие разрешения назначены в наборе разрешений Data Loss Prevention, они не смогут просмотреть инциденты в модуле Диспетчер инцидентов DLP или Операции DLP. По умолчанию фильтрация дерева систем отключена, однако эту функцию можно включить в разделе Параметры DLP. Рекомендация: если вы используете в наборах разрешений администраторов групп в Data Loss Prevention, задайте для администраторов групп разрешение Просмотр вкладки "Дерево систем" (в разделе Системы); разрешения Доступ к дереву систем на соответствующем уровне. Скрытие конфиденциальных данных и наборы разрешений в McAfee epo С целью соответствия законодательным требованиям некоторых стран и защиты конфиденциальной информации при любых обстоятельствах программное обеспечение McAfee DLP Endpoint оснащено функцией редактирования данных. Поля в консолях Диспетчер инцидентов DLP и Операции DLP с конфиденциальной информацией можно настроить на предотвращение несанкционированного просмотра. Ссылки на конфиденциальные подтверждения скрыты. В функции для допуска к просмотру применяются два ключа, поэтому, чтобы воспользоваться ею, необходимо создать два набора разрешений: один для просмотра инцидентов и событий, а второй для просмотра отредактированных полей (разрешение супервизора). Обе роли можно назначить одному и тому же пользователю. См. также Установка и лицензирование расширения McAfee DLP на стр. 29 Создание определений конечных пользователей McAfee DLP работает с серверами Active Directory (AD) или Lightweight Directory Access Protocol (LDAP) для создания определений конечных пользователей. Группы конечных пользователей используются для назначений администратором и выдачи разрешений, а также в правилах защиты и правилах для устройств. Они могут состоять из пользователей, групп пользователей или подразделений, что позволяет администраторам выбирать необходимые модели взаимодействия. Корпорации с организационной структурой на основе подразделений могут продолжить использовать имеющуюся модель, а другие компании могут использовать группы или индивидуальных пользователей, если это необходимо. McAfee Data Loss Prevention Endpoint Product Guide 51

52 5 Настройка компонентов системы Контроль назначений с помощью пользователей и наборов разрешений Объекты LDAP могут идентифицироваться по имени или идентификатору безопасности (SID). SID обеспечивают большую безопасность, а разрешения сохраняются даже в случае переименования учетных записей. С другой стороны, они хранятся в шестнадцатеричном виде и должны декодироваться в читаемый формат. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Data Protection Диспетчер политики DLP. 2 Перейдите на вкладку Определения. 3 Выберите Исходный/целевой объект Группа конечных пользователей а затем Действия Создать. 4 На странице Создать группу пользователей укажите уникальное имя и необязательное описание. 5 Выберите метод идентификации объектов (SID или имя). 6 Нажимайте кнопки Добавить... (Добавить пользователей, Добавить группы, Добавить подразделение). Будет открыто окно выбора, содержащее необходимый тип информации. Если список длинный, отображение может занять несколько секунд. Если в результате не будет отображено никакой информации, выберите значение Контейнер и дочерние элементы в раскрывающемся меню Встроенные. 7 Выберите имена и нажмите OK для добавления их к определению. При необходимости повторите операцию для добавления дополнительных пользователей, групп или подразделений. 8 Нажмите Сохранить. Назначение наборов разрешений McAfee DLP Наборы разрешений McAfee DLP позволяют назначать разрешения на просмотр и сохранение политик, а также на просмотр скрытых полей. Они также используются для настройки управления доступом на основе ролей. Установка северного программного обеспечения McAfee DLP добавляет набор разрешений McAfee epo Data Loss Prevention. Если предыдущая версия McAfee DLP установлена на тот же сервер McAfee epo, этот набор разрешений также добавляется. Набор разрешений покрывает все разделы консоли управления. Имеется три вида разрешений: Использование: пользователь может просматривать имена объектов (определения, классификации и т. п.), но не может просматривать сведения о них. Для политик минимальным разрешением является нет разрешений. Просмотр и использование: пользователь может просматривать сведения об объектах, но не может изменять их. Полный доступ: пользователь может создавать и изменять объекты. Пользователь может устанавливать разрешения для различных разделов консоли управления, давая администраторам и рецензентам различные разрешения в соответствии с требованиями. Разделы сгруппированы иерархически, например выбор раздела Классификации автоматически приводит к выбору раздела Определения, поскольку настройка критериев классификации требует использования определений. 52 McAfee Data Loss Prevention Endpoint Product Guide

53 Настройка компонентов системы Контроль назначений с помощью пользователей и наборов разрешений 5 Каталог политик Диспетчер политики DLP Классификации Определения Диспетчер политики DLP Классификации Определения Классификации Определения Управление инцидентами, Рабочие события и Управление проблемами могут быть выбраны индивидуально. Разрешения для Действий Data Loss Prevention перемещены в набор разрешений Действия службы поддержки. Эти разрешения позволяют администраторам создавать ключи обхода и удаления для клиентов, ключи отмены карантина и главные ключи. Кроме разрешения для раздела, выбранного по умолчанию, можно указать переопределение для каждого объекта. Переопределение может повышать или понижать уровень разрешений. Например, в разрешениях диспетчера политики DLP приводятся все наборы правил, существующие на момент создания набора разрешений. Каждый из них можно переопределить. Когда создается новый набор правил, он получает уровень разрешений по умолчанию. Рисунок 5-1 Наборы разрешений McAfee DLP Создание набора разрешений в McAfee DLP Наборы разрешений служат для задания различных ролей администраторов и рецензентов в McAfee DLP. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В программе McAfee epo последовательно выберите пункты Меню Управление пользователями Наборы разрешений. 2 Чтобы создать набор разрешений, выберите предварительно заданный набор или щелкните Создать. a Введите имя для набора и выберите пользователей. b Щелкните Сохранить. McAfee Data Loss Prevention Endpoint Product Guide 53

54 5 Настройка компонентов системы Контроль назначений с помощью пользователей и наборов разрешений 3 Выберите набор разрешений, а затем нажмите Изменить в разделе Data Loss Prevention. a На левой панели выберите модуль защиты данных. Модули Управление инцидентами, Рабочие события и Управление проблемами можно выбирать по отдельности. При выборе других вариантов автоматически создаются предварительно определенные группы. b c Измените требуемые параметры и переопределите разрешения. В разделе Каталог политик нет параметров для изменения. При назначении параметра Каталог политик набору разрешений вы можете изменить вложенные модули в группе Каталог политик. Щелкните Сохранить. Задания Пример применения: разрешения администратора DLP на стр. 54 При необходимости задачи администрирования можно распределить, например создав администратора политик без права просмотра событий. Пример применения: ограничение разрешений на просмотр скрытых данных в диспетчере инцидентов DLP на стр. 55 Для защиты конфиденциальной информации и соблюдения правовых требований некоторых стран в McAfee DLP Endpoint реализована функция скрытия данных. Пример применения: разрешения администратора DLP При необходимости задачи администрирования можно распределить, например создав администратора политик без права просмотра событий. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Наборы разрешений. 2 Нажмите Создать для создания набора разрешений. a Введите имя для набора и выберите пользователей. Чтобы изменить политику, пользователь должен быть владельцем политики или участником набора разрешений глобального администратора. b Щелкните Сохранить. 3 В наборе разрешений Data Loss Prevention выберите Каталог политик. Диспетчер политики DLP, Классификации и Определения выбираются автоматически. 4 В каждом из трех вложенных модулей удостоверьтесь в том, что пользователь имеет полные разрешения и полный доступ. По умолчанию назначаются полные разрешения. Теперь администратор может создавать и изменять политики, правила, классификации и определения. 54 McAfee Data Loss Prevention Endpoint Product Guide

55 Настройка компонентов системы Контроль назначений с помощью пользователей и наборов разрешений 5 Пример применения: ограничение разрешений на просмотр скрытых данных в диспетчере инцидентов DLP Для защиты конфиденциальной информации и соблюдения правовых требований некоторых стран в McAfee DLP Endpoint реализована функция скрытия данных. При использовании редактирования данных некоторые поля в диспетчере инцидентов DLP и DLP Operations (действиях DLP), содержащие конфиденциальную информацию, шифруются во избежание несанкционированного просмотра, а ссылки на подтверждения скрываются. Поля имя компьютера и имя пользователя предопределены как конфиденциальные. В этом примере рассматривается настройка разрешений в диспетчере инцидентов DLP для рецензента скрытых полей отдельного администратора, который не может просматривать инциденты, но при необходимости может отображать скрытые поля для другого рецензента, просматривающего инцидент. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Управление пользователями Наборы разрешений. 2 Создайте наборы разрешений для обычных рецензентов и рецензента отредактированных данных. a Щелкните Создать (или Действия Создать). b Введите имя для группы, например Рецензент инцидентов DLPE или Рецензент скрытых полей. Можно назначить разным группам рецензентов различные типы инцидентов. Для назначения инцидентов группам необходимо сначала создать группы в разделе Наборы разрешений. c Для назначения пользователей группе можно выбрать доступных пользователей McAfee epo или сопоставить пользователей или группы Active Directory данному набору разрешений. Щелкните Сохранить. На левой панели списка Наборы разрешений появится группа. 3 Выберите набор разрешений стандартного рецензента, а затем нажмите Изменить в разделе Data Loss Prevention. a На левой панели выберите Управление инцидентами. b c d e В разделе Рецензент инцидентов выберите Пользователь может просматривать инциденты, назначенные следующим наборам разрешений, щелкните значок выбора и выберите хотя бы один подходящий набор разрешений. В разделе Редактирование данных инцидентов отмените выбор действующего по умолчанию режима Разрешение супервизора и выберите Скрытие конфиденциальных данных инцидентов. При выборе этого параметра включается функция скрытия данных. Если он не выбран, во всех полях данных отображается обычный текст. В разделе Задачи инцидентов выберите требуемые задачи и отмените выбор других задач. Щелкните Сохранить. McAfee Data Loss Prevention Endpoint Product Guide 55

56 5 Настройка компонентов системы Настройка классификации вручную 4 Выберите набор разрешений для рецензента отредактированных данных, а затем нажмите Изменить в разделе Data Loss Prevention. a На левой панели выберите Управление инцидентами. b В разделе Рецензент инцидентов выберите Пользователь может просматривать все инциденты. В этом примере предполагается, что для всех инцидентов требуется назначить одного рецензента скрытых полей. Можно также назначить несколько рецензентов скрытых полей для разных наборов инцидентов. c d В разделе Редактирование данных инцидентов выберите параметры Разрешение супервизора и Скрытие конфиденциальных данных инцидентов. В разделе Задачи инцидентов отмените выбор всех задач. Рецензенты отредактированных данных обычно не обладают доступом к задачам других рецензентов. Это не является правилом и зависит от конкретных требований. e Щелкните Сохранить. Настройка классификации вручную Классификация вручную имеет несколько параметров, определяющих работу функции и отображаемые сообщения. Классификация вручную позволяет конечным пользователям добавлять классификации к файлам с помощью вызываемого по правой кнопке мыши меню Проводника Windows. Для приложений Microsoft Office и Outlook классификации вручную могут применяться при сохранении файлов и отправке сообщений электронной почты. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Data Protection Классификация. 2 Нажмите Классификация вручную. 3 Из раскрывающегося списка Вид выберите Общие настройки. 4 Выберите параметры или отмените выбор в соответствии с потребностями вашей организации. 5 (Необязательно) Выберите дополнительную информацию для добавления к сообщению электронной почты, щелкнув и выбрав определение уведомления или создав новое. Уведомления поддерживают функцию Языки для всех поддерживаемых языков. См. также Классификация вручную на стр. 88 Настройка сообщений для конечного пользователя на стр. 124 Встраиваемые теги на стр McAfee Data Loss Prevention Endpoint Product Guide

57 6 Защита съемных носителей McAfee Device Control защищает корпоративные данные от рисков, связанных с несанкционированной передачей важного содержимого при использовании запоминающих устройств. Device Control может отслеживать или блокировать устройства, подключенные к корпоративным компьютерам, разрешая пользователю отслеживать и контролировать то, как они распространяют и используют конфиденциальную информацию. Контролироваться могут такие устройства, как смартфоны, съемные запоминающие устройства, устройства Bluetooth, MP3-проигрыватели и устройства plug-and-play. McAfee Device Control представляет собой компонент McAfee DLP Endpoint, продаваемый как отдельный продукт. Хотя в этом разделе используется термин Device Control, все описания и функции также относятся к McAfee DLP Endpoint. Реализация правил Device Control на Microsoft Windows и OS X схожа, но не идентична. В таблице ниже приведены некоторые различия. Таблица 6-1 Терминология Device Control Термин Поддерживаемые операционные системы Определение Класс устройств Windows Набор устройств со сходными характеристиками и методами управления. Возможны следующие состояния класса устройств: Управляемое, Неуправляемое и В белом списке. Определение устройства Windows, OS X Список свойств устройств, используемый для идентификации или группировки устройств. Свойство устройства Windows, OS X Свойство, такое как тип шины, идентификатор поставщика или идентификатор продукта, которые используются для определения устройства. Правило устройств Windows, OS X Действие, выполняемое, когда пользователь пытается использовать устройство, имеющее соответствующее определение в политике. Правило применяется к аппаратному обеспечению либо на уровне драйвера устройства, либо на уровне файловой системы. Правила устройств могут назначаться конкретным конечным пользователям. Управляемое устройство Правило для съемных запоминающих устройств Windows Windows, OS X Состояние класса устройств, указывающее на то, что устройства этого класса управляются Device Control. Используется для блокировки или отслеживания устройства, а также для перевода его в режим "только для чтения". McAfee Data Loss Prevention Endpoint Product Guide 57

58 6 Защита съемных носителей Защита устройств Таблица 6-1 Терминология Device Control (продолжение) Термин Правило защиты съемных носителей Неуправляемое устройство Устройство в белом списке Поддерживаемые операционные системы Windows, OS X Windows Windows Определение Определяет действие, выполняемое, когда пользователь пытается скопировать содержимое, помеченное как конфиденциальное, на управляемое устройство. Состояние класса устройств, указывающее на то, что устройства этого класса не управляются Device Control. Состояние класса устройств, указывающее на то, что устройства этого класса не могут управляться Device Control, так как попытка управления ими может привести к нарушению нормальной работы управляемого компьютера, ухудшению работоспособности системы или снижению эффективности. Содержание Защита устройств Управление устройствами с помощью классов устройств Определение класса устройств Организация устройств и определений устройств Правила управления устройствами Правила доступа к файлам на съемных носителях Защита устройств Накопители USB, небольшие внешние жесткие диски, смартфоны и другие съемные устройства могут использоваться для выноса конфиденциальной информации из корпорации. Диски USB представляют собой простой, дешевый и почти неотслеживаемый метод загрузки большого количества данных. Они зачастую оказываются лучшим оружием для несанкционированной передачи данных. Программное обеспечение Device Control отслеживает и контролирует диски USB и другие внешние устройства, включая смартфоны, устройства Bluetooth, устройства plug-and-play, аудиоплееры и несистемные жесткие диски. Device Control работает на большинстве систем под управлением Microsoft Windows и OS X, включая серверные версии. Для получения дополнительной информации см. страницу системных требований данного руководства. В McAfee Device Control предусмотрено три уровня защиты: Классы устройств наборы устройств с похожими характеристиками и похожим методом управления. Классы устройств применяются только к определением устройств и правилам для устройств plug-and-play и не работают на операционных системах под управлением OS X. Определения устройств: распознавание и группировка устройств по их общим свойствам. Правила устройств: управление работой устройств. 58 McAfee Data Loss Prevention Endpoint Product Guide

59 Защита съемных носителей Управление устройствами с помощью классов устройств 6 Правило устройств состоит из списка определений устройств, включенных в данное правило или исключенных из него, и действий, выполняемых при срабатывании правила в связи с событиями на устройстве. Могут быть также указаны конечные пользователи, включенные в правило или исключенные из него. При необходимости в эти правила можно также включить определения приложений для применения фильтрации по источнику конфиденциальных данных. Правила защиты съемных носителей Помимо правил устройств Device Control включает один тип правила защиты данных. Правила защиты съемных носителей содержат одну или несколько классификаций для задания конфиденциального содержимого, вызывающего срабатывание правила. Они могут дополнительно включать определение приложения или URL-адрес в веб-браузере; также возможно включение или исключение конечных пользователей. URL-адреса веб-браузера не поддерживаются в McAfee DLP Endpoint for Mac. Управление устройствами с помощью классов устройств Класс устройств представляет собой набор устройств с похожими характеристиками и похожим методом управления. Классы устройств используются для назначения имени и идентификации устройств, используемых системой. Каждое определение класса устройств содержит имя и один или несколько глобальных уникальных идентификаторов (GUID). Например, устройство Intel PRO/ 1000 PL Network Connection и Dell Wireless 1490 Dual Band WLAN Mini-Card относятся к классу Сетевой адаптер. Классы устройств не действуют для устройств с операционной системой OS X. Систематизация классов устройств В диспетчере политики DLP приведены заданные заранее (встроенные) классы устройств на вкладке Определения в разделе Управление устройствами. Классы устройств разделены по состоянию: Управляемые устройства это конкретные устройства plug-and-play и съемные запоминающие устройства, которые могут управляться McAfee DLP Endpoint. Неуправляемые устройства в конфигурации по умолчанию не подлежат управлению средствами Device Control. Устройства в белом списке это устройства, к которым не применяются попытки управления средствами Device Control, например аккумуляторы и процессоры. Во избежание нарушений нормальной работы системы или операционной системы редактировать классы устройств невозможно, однако можно создать копию класса устройств, внести в нее изменения и затем добавить к списку в качестве пользовательского класса устройств. Рекомендация: не добавляйте классы устройств в список без предварительного тестирования последствий. В каталоге политик используйте вкладку Политика DLP Классы устройств Настройки для временного переопределения классов устройств и для настройки состояния классов устройств и типов фильтров. Переопределения используются для тестирования пользовательских изменений перед созданием полноценного класса устройств, а также для устранения неполадок при управлении устройствами. McAfee Data Loss Prevention Endpoint Product Guide 59

60 6 Защита съемных носителей Определение класса устройств Device Control использует определения устройств и правила управления устройствами plug-and-play для управления поведением классов управляемых устройств и отдельными устройствами, принадлежащими к классу управляемых устройств. Правила для съемных запоминающих устройств, напротив, не требуют наличия класса управляемых устройств. Причина связана с тем, что эти два типа правил для устройств используют классы устройств различным образом: Правила устройств plug-and-play запускаются при подключении аппаратного устройства к компьютеру. Так как реакция происходит на драйвер устройства, для распознавания устройства оно должно относиться к классу управляемых. Правила для съемных запоминающих устройств запускаются при подключении новой файловой системы. В этой ситуации на клиенте Device Control буквенное обозначение диска связывается с конкретным аппаратным устройством и проверяются свойства устройства. Поскольку операция, вызывающая реакцию, относится к файловой системе (подключение файловой системы), класс устройств может не являться управляемым. См. также Создание класса устройств на стр. 61 Определение класса устройств Если подходящий класс устройств отсутствует в предопределенном списке или не создается автоматически при установке нового аппаратного обеспечения, то можно создать новый класс устройств в консоли диспетчера политик McAfee DLP Endpoint. Получение идентификатора GUID Для характеристик классов устройств требуется указание имени и одного или нескольких глобальных уникальных идентификаторов (GUID). Некоторые аппаратные устройства устанавливают собственный новый класс устройств. Для управления поведением аппаратных устройств plug-and-play, определяющих собственный класс устройств, необходимо сначала добавить новый класс устройств в состояние Управляемое в списке Классы устройств. Класс устройств определяется двумя свойствами: именем и идентификатором GUID. Имя устройства отображается в диспетчере устройств, а GUID отображается только в реестре Windows, и удобный способ его получения отсутствует. При подключении к компьютеру узла аппаратного устройства, не принадлежащего к известному классу устройств, с клиента Device Control на диспетчер инцидентов DLP передается информация о событии Найден новый класс устройств, что позволяет упростить извлечение имени и идентификатора GUID нового устройства. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер инцидентов DLP Список инцидентов. 2 Для изменения критериев фильтрации щелкните Изменить рядом с раскрывающимся списком Фильтр. 3 В списке Доступные свойства (на левой панели) выберите Тип инцидента. 4 Убедитесь в том, что в раскрывающемся списке Сравнение выбрано значение Равно. 60 McAfee Data Loss Prevention Endpoint Product Guide

61 Защита съемных носителей Организация устройств и определений устройств 6 5 В раскрывающемся списке Значение выберите Найден новый класс устройств. 6 Щелкните Обновить фильтр. На странице Список инцидентов отображаются новые классы устройств, найденные на всех конечных компьютерах. 7 Для просмотра имени и GUID определенного устройства дважды щелкните элемент, чтобы отобразить сведения об инциденте. Создание класса устройств Создайте класс устройств, если подходящий класс устройств не существует в списке предопределенных классов или не создается автоматически при установке нового аппаратного обеспечения. Предварительные операции Перед выполнением данной задачи необходимо получить GUID (Globally Unique Identifier глобальный уникальный идентификатор) устройства. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Определения. 2 На левой панели выберите Управление устройствами Класс устройств. 3 Выполните одно из следующих действий: Выберите Действия Создать. Найдите сходный класс устройств во встроенном списке классов устройств, затем щелкните Дублировать в столбце Действия. Щелкните Изменить для дублированного класса устройств. 4 Введите уникальное Имя и, по желанию, Описание. 5 Введите Состояние и необходимый Тип фильтра. 6 Введите GUID, а затем нажмите Добавить. Необходимо указывать GUID в правильном формате. В противном случае его необходимо будет ввести повторно. 7 Щелкните Сохранить. См. также Управление устройствами с помощью классов устройств на стр. 59 Организация устройств и определений устройств на стр. 61 Организация устройств и определений устройств Определение устройства представляет собой список его свойств, таких как тип шины, класс устройств, идентификаторы поставщика и изделия. Определения устройств служат для их распознавания и группировки по общим свойствам. Одни свойства устройств допускаются в определениях устройств любого типа, а другие применимы только к устройствам конкретных типов. McAfee Data Loss Prevention Endpoint Product Guide 61

62 6 Защита съемных носителей Организация устройств и определений устройств Доступные типы определений устройств: Стационарные жесткие диски закреплены в компьютере и не помечены в операционной системе как съемные носители. Стационарные жесткие диски, за исключением загрузочного диска, могут работать под управлением Device Control. Устройства plug-and-play добавляются к управляемому компьютеру без предварительной настройки или установки драйверов и файлов DLL вручную. Устройства plug-and-play это почти все устройства Microsoft Windows. Apple OS X поддерживает только устройства USB. Съемные запоминающие устройства представляют собой внешние устройства, содержащие файловую систему, которые отображаются на управляемом компьютере как диски. Определения съемных запоминающих устройств могут относиться либо к устройствам под управлением Microsoft Windows, либо к устройствам под управлением Apple OS X. Устройства plug-and-play, помещенные в белый список, не взаимодействуют с управляющим компонентом должным образом и могут привести к остановке системы или вызвать другие серьезные проблемы. Поддерживаются только устройства Microsoft Windows. Определения устройств plug-and-play, помещенных в белый список, автоматически добавляются в список исключения для каждого правила управления устройствами plug-and-play. Они никогда не подвергаются управлению, даже если родительское устройство является управляемым. Определение съемных запоминающих устройств являются более гибкими и включают в себя большее количество свойств, относящихся к съемным запоминающим устройствам. Рекомендация: используйте определения и правила съемных запоминающих устройств для управления устройствами, которые могут расцениваться как таковые, например накопители USB. См. также Создание класса устройств на стр. 61 Работа с определениями устройств К определению устройства добавляется несколько параметров с использованием логических операторов ИЛИ (по умолчанию) или И. Параметры некоторых типов всегда добавляются с использованием логического И. Например, выбор следующих параметров: 62 McAfee Data Loss Prevention Endpoint Product Guide

63 Защита съемных носителей Организация устройств и определений устройств 6 Приведет к созданию следующего определения: Тип шины: Firewire (IEEE 1394) ИЛИ USB И класс устройства принадлежит одному из устройств запоминающих устройств ИЛИ переносных устройств Windows Создание описания устройства В описаниях устройств задаются свойства устройств, необходимые для срабатывания правил. Рекомендация: создайте определение устройств plug-and-play в белом списке для устройств, которые не поддерживают управление и могут привести к зависанию системы и вызвать другие серьезные проблемы. По отношению к этим устройствам не будет применено никаких действий, даже если сработает правило. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Определения. 2 На левой панели выберите Управление устройствами Определения устройств. 3 Выберите Действия Создать, затем выберите тип описания. 4 Введите уникальное имя и, по желанию, описание. 5 Выберите вариант Применимо к для устройств Microsoft Windows или OS X. Список Доступные свойства меняется в соответствии со свойствами, подходящими для выбранной операционной системы. 6 Выберите свойства для устройства. Список доступных свойств меняется в зависимости от типа устройства. Для добавления свойства щелкните >. Для удаления свойства щелкните <. Для добавления других значений того же свойства щелкните +. По умолчанию добавляемые значения соединены логическим оператором ИЛИ. При нажатии кнопки и/или оператор изменяется на И. Для удаления свойств щелкните -. 7 Щелкните Сохранить. Создание определение устройства plug-and-play в белом списке Назначение белого списка устройств plug-and-play работа с устройствами, которые плохо взаимодействуют с управлением устройствами. Если такие устройства не помещены в белый список, они могут привести к зависанию системы или вызвать другие серьезные проблемы. McAfee Data Loss Prevention Endpoint Product Guide 63

64 6 Защита съемных носителей Организация устройств и определений устройств Определения устройств plug-and-play, помещенные в белый список, не поддерживаются в McAfee DLP Endpoint for Mac. Устройства plug-and-play, помещенные в белый список, добавляются к правилам для устройств plug-and-play на вкладке Исключения. Они никогда не подвергаются управлению, даже если родительский класс устройств является управляемым. Рекомендация: во избежание проблем совместимости добавляйте устройства, которые плохо взаимодействуют с управлением устройствами, в белый список. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Определения. 2 На левой панели выберите Управление устройствами Определения устройств, затем Действия Создать Определение устройства Plug-and-Play в белом списке. 3 Введите уникальное имя и, по желанию, описание. 4 Выберите свойства устройства. Для добавления свойства щелкните >. Для удаления свойства щелкните <. Для добавления других значений того же свойства щелкните +. По умолчанию добавляемые значения соединены логическим оператором ИЛИ. При нажатии кнопки и/или оператор изменяется на И. Для удаления свойств щелкните -. 5 Щелкните Сохранить. Создание характеристик съемного запоминающего устройства Съемные запоминающие устройства представляют собой внешние устройства, содержащие файловую систему и представляемые на управляемом компьютере в виде дисков. Определения съемных запоминающих устройств являются более гибкими, нежели определения устройств plug-and-play, и включают в себя дополнительные свойства, относящиеся к устройствам. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Определения. 2 На левой панели выберите Управление устройствами Определения устройств, затем Действия Создать Определение съемного запоминающего устройства. 3 Введите уникальное имя и, по желанию, описание. 4 Для параметра Применимо к выберите устройства Microsoft Windows или OS X. Список Доступные свойства изменяется в соответствии со свойствами выбранной операционной системы. 64 McAfee Data Loss Prevention Endpoint Product Guide

65 Защита съемных носителей Организация устройств и определений устройств 6 5 Выберите свойства устройства. Для добавления свойства щелкните >. Для удаления свойства щелкните <. Для добавления других значений того же свойства щелкните +. По умолчанию добавляемые значения соединены логическим оператором ИЛИ. При нажатии кнопки и/или оператор изменяется на И. Для удаления свойств щелкните -. 6 Щелкните Сохранить. Создание пары "серийный номер пользователь" Пользователь может создавать исключения из правил для устройств plug-and-play и съемных запоминающих устройств на основе сопоставления серийного номера устройства с параметрами пользователя. Привязка устройства к пользователю, вошедшему к систему, позволяет повысить уровень безопасности. Предварительные операции Получите серийные номера устройств, добавляемых в определение. Пары "серийный номер пользователь" не поддерживаются в McAfee DLP Endpoint for Mac. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Data Protection Диспетчер политики DLP Определения. 2 На левой панели выберите Управление устройствами Пара "серийный номер конечный пользователь". 3 Выберите Действия Создать. 4 Введите уникальное имя и необязательное описание. 5 Введите требуемые данные в текстовые поля в нижней части страницы и нажмите Добавить. Повторите эти действия для добавления дополнительных пар "серийный номер конечный пользователь". Для значения Тип пользователя Все оставьте поле Конечный пользователь пустым. Если указывается конкретный пользователь, следует использовать формат 6 Нажмите Сохранить. См. также Свойства устройств на стр. 65 Свойства устройств Свойства устройств определяют такие характеристики, как имя устройства, тип шины и тип файловой системы. В таблице приведены определения свойств устройств, типы описаний, в которых применяется каждое свойство, и поддерживаемая операционная система. McAfee Data Loss Prevention Endpoint Product Guide 65

66 6 Защита съемных носителей Организация устройств и определений устройств Таблица 6-2 Типы свойств устройств Имя свойства Описание устройства Поддерживаемые операционные системы Тип шины Все Windows: Bluetooth, Firewire (IEEE1394), IDE/ SATA, PCI, PCMIA, SCSI, USB Mac OS X: Firewire (IEEE1394), IDE/ SATA, SD, Thunderbolt, USB Описание Выбор типа шины из списка доступных. Для правил устройств plug-and-play McAfee DLP Endpoint for Mac поддерживает только тип шины USB. Устройства чтения компакти DVD-дисков Съемный носитель Windows Mac OS X Выберите, чтобы указать устройство чтения компакт- или DVD-дисков. Содержимое, зашифрованное средствами Endpoint Encryption Съемный носитель Windows Устройства, защищенные с помощью Endpoint Encryption. Класс устройств Plug-and-Play Windows Выбор класса устройств в списке доступных управляемых устройств. Совместимые с устройством идентификаторы Идентификатор экземпляра устройства (Microsoft Windows XP) Путь к экземпляру устройства (Windows Vista и более поздние версии ОС Microsoft Windows, включая серверы) Все Windows Список описаний физических устройств. Рекомендуется преимущественно для устройств, не относящихся к типам USB и PCI, поскольку устройства этих типов удобнее определять по артикулу и коду поставщика (PID/VID) (для USB) или по идентификаторам поставщика и устройства (для PCI). Все Windows Формируемая Windows строка, уникально идентифицирующая устройство в системе. Пример: USB \VID_0930&PID_6533\5&26450FC&0&6. Понятное имя устройства Все Windows Mac OS X Имя, закрепленное за устройством, соответствующее его физическому адресу. 66 McAfee Data Loss Prevention Endpoint Product Guide

67 Защита съемных носителей Организация устройств и определений устройств 6 Таблица 6-2 Типы свойств устройств (продолжение) Имя свойства Описание устройства Поддерживаемые операционные системы Описание Тип файловой системы Стационарный жесткий диск Съемный носитель Windows: CDFS, exfat, FAT16, FAT32, NTFS, UDFS Mac OS X: CDFS, exfat, FAT16, FAT32, HFS/HFS+, NTFS, UDFS Тип файловой системы. Для жестких дисков выберите один из следующих вариантов: exfat, FAT16, FAT32 или NTFS. Для съемных носителей выберите один из указанных выше или следующих вариантов: CDFS или UDFS. Mac OS X поддерживает FAT только на дисках, не являющихся загрузочными. Mac OS X поддерживает NTFS только для чтения. Доступ к файловой системе Съемный носитель Windows Mac OS X Доступ к файловой системе: только чтение или чтение и запись. Метка тома файловой системы Стационарный жесткий диск Съемный носитель Windows Mac OS X Определенная пользователем метка тома, которую можно просмотреть в проводнике Windows. Разрешено частичное совпадение. Серийный номер тома файловой системы Идентификатор поставщика/ идентификатор устройства PCI Стационарный жесткий диск Съемный носитель Windows 32-разрядный номер, генерируемый автоматически при создании файловой системы на устройстве. Для его просмотра можно ввести в командной строке команду dir x:, где x: буквенное обозначение диска. Все Windows Идентификатор поставщика PCI и идентификатор устройства PCI встроены в устройство PCI. Эти параметры можно получить из идентификационной строки аппаратного устройства. Пример: PCI \VEN_8086&DEV_2580&SUBSYS_ &REV_04 Устройства TrueCrypt Съемный носитель Windows Выберите, чтобы указать устройство TrueCrypt. Код класса USB Plug-and-Play Windows Используется для идентификации физического USB-устройства по его основной функции. Выберите код класса из списка доступных. McAfee Data Loss Prevention Endpoint Product Guide 67

68 6 Защита съемных носителей Правила управления устройствами Таблица 6-2 Типы свойств устройств (продолжение) Имя свойства Описание устройства Поддерживаемые операционные системы Описание Серийный номер USB-устройства Plug-and-Play Съемный носитель Windows Mac OS X Уникальная алфавитно-цифровая строка, присвоенная производителем устройства USB, обычно для съемного запоминающего устройства. Серийный номер является последней частью идентификатора экземпляра. Пример: USB \VID_3538&PID_0042\ CD8 Допустимыми являются серийные номера, состоящие не менее чем из пяти буквенно-цифровых символов и не содержащие символов амперсанда (&). Если последняя часть идентификатора экземпляра не удовлетворяет этим требованиям, она не является серийным номером. Идентификатор поставщика/ идентификатор продукта USB Plug-and-Play Съемный носитель Windows Mac OS X Идентификатор поставщика и идентификатор продукта USB встроены в устройство USB. Эти параметры можно получить из идентификационной строки аппаратного устройства. Пример: USB\Vid_3538&Pid_0042 Правила управления устройствами В правилах управления устройствами задается действие, выполняемое при работе с конкретными устройствами. Правило управления устройствами Правило для съемных запоминающих устройств Правило для устройств plug-and-play Правило доступа к файлам на съемных запоминающих устройствах Описание Используется для блокирования или отслеживания съемных запоминающих устройств, а также для перевода их в режим "только для чтения". Пользователя можно уведомить о выполненном действии. Используется для блокировки или отслеживания устройств plug-and-play. Пользователя можно уведомить о выполненном действии. Используется для блокировки запуска исполняемых файлов на подключаемых к компьютеру устройствах. Поддерживается в McAfee DLP Endpoint для Windows, McAfee DLP Endpoint for Mac McAfee DLP Endpoint для Windows, McAfee DLP Endpoint for Mac (только устройства USB) McAfee DLP Endpoint для Windows 68 McAfee Data Loss Prevention Endpoint Product Guide

69 Защита съемных носителей Правила управления устройствами 6 Правило управления устройствами Правило стационарного жесткого диска Правило устройств Citrix XenApp Правило устройств TrueCrypt Описание Используется для блокировки или отслеживания стационарных жестких дисков или перевода их в режим "только для чтения". Пользователя можно уведомить о выполненном действии. Правила стационарного жесткого диска не обеспечивают защиту загрузочного или системного раздела. Используется для блокировки устройств Citrix, сопоставленных с сеансами совместного использования компьютера. Используется для защиты устройств TrueCrypt. Может использоваться для блокировки, отслеживания или перевода устройства в режим "только для чтения". Пользователя можно уведомить о выполненном действии. Поддерживается в McAfee DLP Endpoint для Windows McAfee DLP Endpoint для Windows McAfee DLP Endpoint для Windows Создание правила для съемных запоминающих устройств Съемные запоминающие устройства отображаются на управляемом компьютере как диски. Правила для съемных запоминающих устройств используются для блокирования использования съемных устройств или перевода их в режим "только для чтения". Эти правила работают как в McAfee DLP Endpoint для Windows, так и в McAfee DLP Endpoint for Mac. Правила для съемных запоминающих устройств не требуют указания класса управляемых устройств из-за различий в том, как два типа правил устройств используют классы устройств: Правила устройств plug-and-play запускаются при подключении аппаратного устройства к компьютеру. Так как реакция происходит на драйвер устройства, для распознавания устройства оно должно относиться к классу управляемых. Правила для съемных запоминающих устройств срабатывают при подключении новой файловой системы. Когда выполняется подключение файловой системы, программное обеспечение McAfee DLP Endpoint привязывает букву диска к определенному аппаратному устройству и проверяет его свойства. Так как реакция происходит на работу файловой системы, а не на драйвер устройства, устройство может не относиться к классу управляемых. Правила для устройств содержат параметр Enforce on (Принудительно применять на), который применяется к правилу в Windows, OS X или в обеих системах. Определения устройств, используемые в правилах для устройств, содержат параметр Применяется к, для которого можно выбрать значения устройствам Windows или устройствам Mac OS X. При выборе определений устройств операционная система в определении должна совпадать с операционной системой в правиле. Клиенты McAfee DLP Endpoint для обеих операционных систем игнорируют свойства, не относящиеся к этим системам. Однако невозможно, например, сохранить правило, которое принудительно применяется только в Windows, но содержит описания устройств для Mac OS X. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Наборы правил. 2 Выберите Действие Создать набор правил или отредактируйте существующий набор правил. 3 Для редактирования набора правил откройте этот набор, щелкнув его имя. Перейдите на вкладку Управление устройствами. McAfee Data Loss Prevention Endpoint Product Guide 69

70 6 Защита съемных носителей Правила управления устройствами 4 Выберите Действия Создать правило Правило для съемных запоминающих устройств. 5 Укажите уникальное Имя правила. 6 (Необязательно) Измените состояние и выберите серьезность. 7 Снимите флажок McAfee DLP Endpoint для Windows или McAfee DLP Endpoint for Mac OS X, если правило будет относиться только к одной операционной системе. 8 На вкладке Условие выберите одно или несколько определений съемных запоминающих устройств. Необязательно: назначьте правилу группы конечных пользователей и имя процесса. 9 (Необязательно) На вкладке Исключения выберите определение, входящее в белый список, и заполните соответствующие поля. Можно добавить несколько исключений, добавив в белый список более одного определения. Параметры Исключенные процессы и Исключенные пары "серийный номер конечный пользователь" не поддерживаются в McAfee DLP Endpoint for Mac. 10 На вкладке Реакция выберите Предотвратить действие. Дополнительно: добавьте Уведомление пользователей и Сообщить об инциденте. Если не выбрано действие Сообщить об инциденте, то запись об инциденте не будет добавлена в диспетчер инцидентов DLP. 11 (Необязательно) Выберите другое значение параметра Предотвратить действие, если конечный пользователь работает вне корпоративной сети. 12 Щелкните Сохранить. См. также Пример применения: правило для съемных запоминающих устройств с процессом из белого списка на стр. 134 Пример применения: настройка съемного устройства как доступного только для чтения на стр. 135 Создание правила для устройства plug-and-play Используйте правила для устройств plug-and-play для блокирования или отслеживания устройств plug-and-play. Эти правила работают как в McAfee DLP Endpoint для Windows, так и в McAfee DLP Endpoint for Mac. На компьютерах под управлением OS X поддерживаются только устройства USB. Устройство plug-and-play представляет собой устройство, которое может быть добавлено к управляемому компьютеру без настройки или установки DLL-файлов или драйверов вручную. Для правил устройств plug-and-play с целью управления аппаратными устройствами Microsoft Windows классы устройств, указанные в определениях устройств, применяемых правилом, должны иметь состояние Управляемый. Правила для устройств содержат параметр Enforce on (Принудительно применять на), который применяется к правилу в Windows, OS X или в обеих системах. Определения устройств, используемые в правилах для устройств, содержат параметр Применяется к, для которого можно выбрать значения устройствам Windows или устройствам Mac OS X. При выборе определений устройств операционная система в определении должна совпадать с операционной системой в правиле. Клиенты McAfee DLP Endpoint для обеих операционных систем игнорируют свойства, не относящиеся к этим системам. Однако невозможно, например, сохранить правило, которое принудительно применяется только в Windows, но содержит описания устройств для Mac OS X. 70 McAfee Data Loss Prevention Endpoint Product Guide

71 Защита съемных носителей Правила управления устройствами 6 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Наборы правил. 2 Выберите Действие Создать набор правил или отредактируйте существующий набор правил. 3 Чтобы открыть набор правил для редактирования, нажмите на имя набора. Перейдите на вкладку Управление устройствами. 4 Выберите Действия Создать правило Правило устройства Plug-and-Play. 5 Укажите уникальное имя правила. 6 (Необязательно) Измените состояние и выберите серьезность. 7 Снимите флажок McAfee DLP Endpoint для Windows или McAfee DLP Endpoint for Mac OS X, если правило будет относиться только к одной операционной системе. 8 На вкладке Условие выберите определение одного или нескольких устройств plug-and-play. 9 (Необязательно) Назначьте правилу группы конечных пользователей. 10 (Необязательно) На вкладке Исключения выберите определения, входящие в белый список, и заполните соответствующие поля. Можно добавить несколько исключений, добавив в белый список более одного определения. 11 На вкладке Реакция выберите действие по предотвращению Необязательно: добавьте действия Уведомление пользователей и Сообщить об инциденте. Если не выбрано действие Сообщить об инциденте, то запись об инциденте не добавляется в диспетчер инцидентов DLP. 12 (Необязательно) Выберите другое действие по предотвращению, если конечный пользователь работает вне корпоративной сети или подключен к ней по VPN. 13 Щелкните Сохранить. См. также Пример использования: блокировка и зарядка iphone с помощью правила устройств plugand-play на стр. 136 Создание правила устройств, регулирующего доступ к файлам на съемных носителях Правила доступа к файлам на съемных носителях позволяют блокировать запуск исполняемых файлов на подключаемых устройствах. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Наборы правил. 2 Выберите Действие Создать набор правил или отредактируйте существующий набор правил. 3 Для редактирования набора правил откройте этот набор, щелкнув его имя. Перейдите на вкладку Управление устройствами. McAfee Data Loss Prevention Endpoint Product Guide 71

72 6 Защита съемных носителей Правила управления устройствами 4 Выберите Действия Создать правило Правило доступа к файлам на съемных носителях. 5 Укажите уникальное Имя правила. 6 (Необязательно) Измените состояние и выберите серьезность. 7 На вкладке Условие выберите одно или несколько определений съемных запоминающих устройств. (Необязательно) Назначьте правилу группы конечных пользователей. 8 (Необязательно) Измените определения по умолчанию Действительный тип файла или Расширение файла в соответствии с требованиями. 9 (Необязательно) На вкладке Исключения выберите Имена файлов в белом списке и заполните необходимые поля. Исключение Имя файла предназначено для приложений, которые должны запускаться в любом случае. Примером являются приложения шифрования на зашифрованных дисках. 10 На вкладке Реакция выберите Предотвратить действие. (Необязательно) Добавьте действия Уведомление пользователей и Сообщить об инциденте. Если не выбрано действие Сообщить об инциденте, то запись об инциденте не будет добавлена в диспетчер инцидентов DLP. 11 (Необязательно) Выберите другое значение параметра Предотвратить действие, если конечный пользователь работает вне корпоративной сети. 12 Щелкните Сохранить. См. также Правила доступа к файлам на съемных носителях на стр. 75 Создание правила устройства для стационарного жесткого диска Используйте правила устройств для стационарных жестких дисков для контроля за жесткими дисками, подключенными к компьютеру и не помеченными операционной системой как съемные носители. Эти правила работают только в McAfee DLP Endpoint для Windows. Правила для стационарных жестких дисков включают в себя определение диска и действие по блокировке или переводу в режим "только для чтения", определение конечного пользователя, а также необязательное уведомление пользователя. Они не обеспечивают защиту загрузочного или системного раздела. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Наборы правил. 2 Выберите Действие Создать набор правил или отредактируйте существующий набор правил. 3 Для редактирования набора правил откройте этот набор, щелкнув его имя. Перейдите на вкладку Управление устройствами. 4 Выберите Действия Создать правило Правило стационарного жесткого диска. 5 Укажите уникальное Имя правила. 6 (Необязательно) Измените состояние и выберите серьезность. 72 McAfee Data Loss Prevention Endpoint Product Guide

73 Защита съемных носителей Правила управления устройствами 6 7 На вкладке Серьезность выберите одно или несколько определений устройств стационарных жестких дисков. (Необязательно) Назначьте правилу группы конечных пользователей. 8 (Необязательно) На вкладке Исключения выберите определения, входящие в белый список, и заполните соответствующие поля. Можно добавить несколько исключений, добавив в белый список более одного определения. 9 На вкладке Реакция выберите Предотвратить действие. Дополнительно: добавьте Уведомление пользователей и Сообщить об инциденте. Если не выбрано действие Сообщить об инциденте, то запись об инциденте не будет добавлена в диспетчер инцидентов DLP. 10 (Необязательно) Выберите другое значение параметра Предотвратить действие, если конечный пользователь работает вне корпоративной сети. 11 Щелкните Сохранить. Создание правила устройства Citrix Правила устройств Citrix позволяют блокировать устройства Citrix, сопоставленные с сеансами общего рабочего стола. Правила устройств Citrix XenApp поддерживаются только на компьютерах под управлением Windows. Программное обеспечение McAfee DLP Endpoint может блокировать устройства Citrix, сопоставленные с сеансами совместного использования компьютера. Можно заблокировать гибкие диски, компакт-диски, стационарные, съемные и сетевые диски, а также принтеры и перенаправление буфера обмена. Правило можно назначить конкретным конечным пользователям. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Наборы правил. 2 Выберите Действие Создать набор правил или отредактируйте существующий набор правил. 3 Для редактирования набора правил откройте этот набор, щелкнув его имя. Перейдите на вкладку Управление устройствами. 4 Выберите Действия Создать правило Правило устройства Citrix XenApp. 5 Укажите уникальное Имя правила. 6 (Необязательно) Измените состояние и выберите серьезность. 7 На вкладке Условие выберите один или несколько ресурсов. 8 (Необязательно) Назначьте правилу группы конечных пользователей. 9 (Необязательно) На вкладке Исключения заполните все необходимые поля для пользователей, входящих в белый список. 10 Щелкните Сохранить. Выбранные ресурсы блокируются. Для правил Citrix предусмотрено только одно действие Предотвратить действие: Заблокировать. Задавать действие на панели Реакция не требуется. McAfee Data Loss Prevention Endpoint Product Guide 73

74 6 Защита съемных носителей Правила управления устройствами Создание правила устройства TrueCrypt Правила для устройств TrueCrypt используются для блокирования или отслеживания виртуальных устройств шифрования TrueCrypt или перевода их в режим "только для чтения". Эти правила работают только в McAfee DLP Endpoint для Windows. Правила для устройств TrueCrypt являются подмножеством правил для съемных запоминающих устройств. Виртуальные устройства, зашифрованные с помощью TrueCrypt, можно защитить с помощью правил для устройств TrueCrypt или правил защиты съемных носителей. При необходимости блокировки или отслеживания тома TrueCrypt либо перевода его в режим "только для чтения" используется правило устройства. Чтобы защитить данные томов TrueCrypt на основе содержимого, используйте правило защиты. Клиентское программное обеспечение McAfee DLP Endpoint рассматривает все случаи подключения дисков TrueCrypt как подключение съемных носителей, даже если приложение TrueCrypt выполняет запись на локальный диск. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Наборы правил. 2 Выберите Действие Создать набор правил или отредактируйте существующий набор правил. 3 Для редактирования набора правил откройте этот набор, щелкнув его имя. Перейдите на вкладку Управление устройствами. 4 Выберите Действия Создать правило Правило устройства TrueCrypt. 5 Укажите уникальное Имя правила. 6 (Необязательно) Измените состояние и выберите серьезность. 7 (Необязательно) На вкладке Условие назначьте правилу группы конечных пользователей. 8 (Необязательно) На вкладке Исключения заполните все необходимые поля для пользователей, входящих в белый список. 9 На вкладке Реакция выберите Предотвратить действие. (Необязательно) Добавьте действия Уведомление пользователей и Сообщить об инциденте. Если не выбрано действие Сообщить об инциденте, то запись об инциденте не будет добавлена в диспетчер инцидентов DLP. 10 (Необязательно) Выберите другое значение параметра Предотвратить действие, если конечный пользователь работает вне корпоративной сети. 11 Щелкните Сохранить. 74 McAfee Data Loss Prevention Endpoint Product Guide

75 Защита съемных носителей Правила доступа к файлам на съемных носителях 6 Правила доступа к файлам на съемных носителях Правила доступа к съемным запоминающим устройствам используются для блокирования запуска исполняемых файлов на подключаемых устройствах. Они поддерживаются только на компьютерах под управлением Microsoft Windows. Правила доступа к файлам на съемных запоминающих устройствах используются, чтобы блокировать запуск приложений на съемных запоминающих устройствах. В правиле можно указать включенные и исключенные устройства. Поскольку некоторые исполняемые файлы, такие как приложения шифрования на зашифрованных устройствах, должны запускаться, правило включает в себя параметр Имя файла не является ничем из следующего, чтобы исключить указанные файлы из правила блокировки. В правилах доступа к файлам для определения типа блокируемых файлов используются действительный тип файла и расширение. Действительный тип файла определяет файл по зарегистрированному в нем типу данных, обеспечивая точную идентификацию, даже если расширение было изменено. По умолчанию правило блокирует сжатые (.zip,.gz,.jar,.rar и.cab) и исполняемые (.bat,.bin,.cgi,.com,.cmd,.dll,.exe,.class,.sys и.msi) файлы. Можно настроить определения расширений файлов, добавив любой требуемый тип файла. Правила доступа к файлам также блокируют исполняемые файлы от копирования на съемные запоминающие устройства, поскольку драйвер фильтрации файлов не может различить действия открытия и создания исполняемого файла. McAfee Data Loss Prevention Endpoint Product Guide 75

76 6 Защита съемных носителей Правила доступа к файлам на съемных носителях 76 McAfee Data Loss Prevention Endpoint Product Guide

77 7 Классификация 7 конфиденциального содержимого Классификации служат для распознавания и отслеживания конфиденциального содержимого и файлов. Содержание Компоненты модуля Классификация Использование классификаций Определения и критерии классификации Классификация вручную Зарегистрированные документы Текст в белом списке Создание и настройка классификаций Настройка компонентов классификации для McAfee DLP Endpoint Создание определений классификаций Пример использования: интеграция сторонних тегов с клиентом Titus Пример использования: интеграция средства классификации электронной почты Boldon James Classifier с критериями классификации Компоненты модуля Классификация McAfee DLP использует два механизма классификации конфиденциального содержимого: классификация содержимого и идентификация содержимого по его отпечаткам, а также два режима: автоматическая классификация и классификация вручную. Автоматические классификации определяются McAfee DLP и распространяются McAfee epo на политики, развернутые на компьютерах пользователей. Затем они применяются к содержимому в соответствии с критериями, которые их определяют. Классификация вручную применяется уполномоченными пользователями к файлам и сообщениям электронной почты на их конечных компьютерах. Классификация содержимого включает в себя условия, относящиеся к данным и файлам, которые определяют конфиденциальную информацию. Содержимое сопоставляется с критериями классификации, когда срабатывает правило защиты данных, обнаружения на конечной точке или McAfee DLP Discover. Отпечатки содержимого определяются приложением (тем, которое создало файл, или веб-приложением, открывшим файл) или их местоположением. Они могут также включаться в себя условия по отношению к данным или файлам. Они применяются к содержимому по мере его использования, даже если не срабатывает ни одно правило. McAfee Data Loss Prevention Endpoint Product Guide 77

78 7 Классификация конфиденциального содержимого Использование классификаций Модуль Классификация в McAfee DLP сохраняет критерии классификацию содержимого и идентификации содержимого по его отпечаткам, а также определения, использовавшиеся для их настройки. Здесь также настраиваются репозитории зарегистрированных документов, авторизация пользователей для ручной классификации и идентификации по отпечаткам, а также текст в белом списке. Критерии классификации содержимого поддерживаются в McAfee DLP Endpoint для Windows, McAfee DLP Endpoint for Mac и McAfee DLP Discover. Идентификация содержимого по его отпечаткам, зарегистрированные документы и помещение текста в белый список поддерживаются только в McAfee DLP Endpoint для Windows. McAfee DLP Endpoint for Mac и McAfee DLP Discover могут распознавать классификации вручную, но не могут изменять или просматривать их. Модуль предоставляет следующие функции: Классификация вручную настройка групп конечных пользователей, которые могут вручную классифицировать и идентифицировать содержимое по отпечаткам Определения: задание содержимого, свойств и расположения файлов для классификации Классификация создание классификаций и определение критериев классификации и идентификации содержимого по его отпечаткам Регистрация документов: загрузка файлов, содержащих известное конфиденциальное содержимое Текст в белом списке: отправка файлов, содержащих текст для внесения в белый список Использование классификаций Классификации определяют и отслеживают конфиденциальное содержимое, применяя к файлам и содержимому идентифицирующие отпечатки или критерии классификации. McAfee DLP определяет и отслеживает конфиденциальные данные с помощью заданных пользователем классификаций. Все продукты McAfee DLP поддерживают критерии классификаций. McAfee DLP Endpoint для Windows также поддерживает отпечатки содержимого. Отпечатки содержимого помечают конфиденциальную информацию, и эти метки сохраняются, даже если содержимое копируется в другой документ или сохраняется в другом формате. Критерии классификации содержимого Критериями классификации могут служить шаблоны конфиденциального текста, словарные статьи, ключевые слова или их сочетания. Сочетания могут представлять собой простой набор именованных свойств или свойства с заданной взаимосвязью, которая называется близостью. Могут быть также заданы такие условия, как тип файла, свойства документа, шифрование файла или расположение в файле (верхний колонтитул, основной текст или нижний колонтитул). Критерии идентификации содержимого по его отпечаткам Критерии идентификации содержимого по его отпечаткам применяются к файлам или содержимому в зависимости от следующих параметров: На основе приложения приложение, которое создало или изменило файл. На основе местоположения общий сетевой ресурс или определение съемного запоминающего устройства, где хранится файл. На основе веб-адресов веб-адреса, с которых были открыты или загружены файлы. 78 McAfee Data Loss Prevention Endpoint Product Guide

79 Классификация конфиденциального содержимого Использование классификаций 7 Все условия для данных и файлов, доступные критериям классификации, также доступны для критериев идентификации содержимого по его отпечаткам, что позволяет отпечаткам сочетать в себе функциональность обеих видов критериев. Сигнатуры отпечатков содержимого хранятся в дополнительных атрибутах файла (EA) или альтернативных потоках данных (ADS) и применяются к файлу в момент его сохранения. Если пользователь копирует или перемещает содержимое с отпечатками в другой файл, к файлу применяются критерии идентификации содержимого по его отпечаткам. Если содержимое с отпечатками удаляется из файла, сигнатуры отпечатков содержимого также удаляются. McAfee DLP Endpoint применяет критерии идентификации содержимого по его отпечаткам к файлам после применения политики, независимо от того, использовалась ли в правиле защиты классификация. Применение критериев Предусмотрены следующие способы применения критериев к файлу. McAfee DLP Endpoint применяет критерии в следующих случаях: Файл соответствует настроенной классификации. Выполняется перемещение или копирование файла или конфиденциального содержимого в новое местоположение. Определено совпадение файла во время проверки обнаружения. Пользователь с соответствующим разрешением вручную добавляет критерии к файлу. См. также Создание критериев классификации на стр. 92 Создание критериев идентификации содержимого по его отпечаткам на стр. 94 Назначение разрешений на классификацию вручную на стр. 95 Классификация по конечному расположению файлов Помимо классификации содержимого по его исходному расположению, можно классифицировать и контролировать места назначения содержимого. В терминологии предотвращения утечки данных это называется передаваемые данные. Управлять местом назначения позволяют следующие правила защиты файлов: Правила защиты облачных служб Правила защиты принтера Правила защиты электронной почты Правила защиты съемных носителей Правила защиты сетевых подключений (исходящих) Правила защиты публикаций в Интернете Работа с электронной почтой При отправке сообщений электронной почты в McAfee DLP Endpoint обеспечивается защита конфиденциальных данных в заголовках и тексте сообщений, а также во вложениях. Функция обнаружения в хранилище электронной почты позволяет распознавать сообщения с конфиденциальными данными в файлах OST или PST, после чего такие файлы размечаются или помещаются в карантин. Для защиты конфиденциального содержимого сообщений электронной почты в McAfee DLP Endpoint применяется его классификация и назначение к нему тегов, после чего отправка таких сообщений блокируется. В политике защиты электронной почты могут быть заданы разные правила для разных пользователей и адресатов электронной почты, а также для сообщений, защищенных с помощью функции шифрования или управления правами. McAfee Data Loss Prevention Endpoint Product Guide 79

80 7 Классификация конфиденциального содержимого Использование классификаций См. также Правила защиты электронной почты на стр. 116 Задание параметров сети Определения сети служат критериями фильтрации в правилах защиты сети. Параметр Сетевые адреса позволяет отслеживать сетевые соединения между внешним источником и управляемым компьютером. Определение может представлять собой отдельный адрес, диапазон адресов или подсеть. Сетевые адреса, заданные в правилах защиты сетевых подключений, можно включить или исключить. Определения Сетевой порт в правилах защиты сетевых подключений позволяют исключить конкретные службы по их сетевым портам. Часто используемые службы с указанием портов представлены во встроенном списке. В этом списке можно изменять записи и добавлять пользовательские определения. Определения общего сетевого ресурса указывают общие сетевые папки в правилах защиты сетевых подключений. Заданные общие ресурсы можно включить или исключить. Работа с принтерами Правила защиты принтеров позволяют управлять локальными и сетевыми принтерами, а также блокировать или отслеживать печать конфиденциальных материалов. Правила защиты принтеров в McAfee DLP Endpoint 9.4 поддерживают расширенный режим и принтеры V4. Заданные принтеры и конечные пользователи могут быть включены в правила или исключены из них. В правила могут быть включены принтеры изображений и принтеры PDF. Правила защиты принтеров могут содержать описания приложений. В разделе Каталог политик Data Loss Prevention 9.4 Конфигурация клиента Защита от печати можно задать параметры, исключающие процессы в белом списке из правил защиты принтеров. Управление информацией, загружаемой на веб-сайты В правилах защиты публикации в Интернете применяются веб-адреса. Определения веб-адресов позволяют либо заблокировать публикацию отмеченных тегами данных на заданных веб-сайтах или отдельных веб-страницах, либо запретить публикацию отмеченных тегами данных на тех веб-сайтах, которые не указаны в определении. Как правило, в определениях веб-адресов задаются внутренние и внешние веб-сайты, на которых разрешена публикация отмеченных тегами данных. Классификация расположению файлов Конфиденциальное содержимое можно определить по его местоположению (месту хранения) или месту использования (расширение файла или приложение). В McAfee DLP Endpoint применяется несколько способов определения местоположения и классификации конфиденциального содержимого. Термин Хранящиеся данные используется для описания расположений файлов. Классификация содержимого при этом осуществляется по принципу "где находится файл в сети?" или "в какой папке находится файл?". Термин Используемые данные служит для определения содержимого по способу или месту использования. Классификация содержимого при этом осуществляется по принципу "какое приложение использовало файл?" или "какое расширение имеет файл?". Правила обнаружения McAfee DLP Endpoint обеспечивают поиск хранимых данных пользователя. Они могут обеспечивать поиск содержимого в файлах конечного компьютера или хранилища электронной почты (PST, сопоставленный PST-файл, OST). В зависимости от свойств, приложений или местоположений в правиле классификации оно может обеспечивать поиск в указанных 80 McAfee Data Loss Prevention Endpoint Product Guide

81 Классификация конфиденциального содержимого Использование классификаций 7 местоположениях в хранилище и применение шифрования, карантина или политик управления правами. Или же файлы могут помечаться тегами или классифицироваться для управления их использованием. Извлечение текста Средство извлечения текста анализирует содержимое файлов при их открытии или копировании и сравнивает его с текстовыми шаблонами и определениями словарей в правилах классификации. При обнаружении соответствия к содержимому применяются критерии. McAfee DLP поддерживает символы c диакритическими знаками. Когда текст ASCII содержит смесь из символов с диакритическими знаками, например французскими и испанскими, а также регулярных латинских символов, средство извлечения текста может неправильно определить набор символов. Эта проблема возникает во всех программах извлечения текста. Не существует известного метода или техники определения кодовой страницы ANSI в этом случае. Когда средство извлечения текста не может определить кодовую страницу, тестовые шаблоны и сигнатуры отпечатков содержимого не распознаются. Документ не может быть должным образом классифицирован, и правильные действия по блокировке или отслеживанию не могут быть применены. Во избежание этой проблемы McAfee DLP использует резервную кодовую страницу. В качестве резервной страницы используется либо язык компьютера по умолчанию, либо другой язык, заданный администратором. Извлечение текста с помощью McAfee DLP Endpoint Извлечение текста работает на компьютерах Microsoft Windows и Apple OS X. В зависимости от количества ядер процессора одновременно может выполняться несколько процессов извлечения текста. При одноядерном процессоре может выполняться только один процесс. При двухъядерном процессоре может выполняться не более двух процессов. При многоядерном процессоре одновременно может выполняться не более трех процессов. Если в систему вошло несколько пользователей, каждый из них является владельцем отдельного набора процессов. Таким образом, количество процессов извлечения текста зависит от количества ядер и от количества сеансов работы пользователей. Все процессы отображаются в диспетчере задач Windows. Можно задать максимальный объем памяти, используемый средством извлечения текста. Значение по умолчанию 75 МБ. Категоризация приложений в McAfee DLP Endpoint Перед созданием классификаций или наборов правил с помощью приложения необходимо разобраться в том, как McAfee DLP Endpoint категоризует их и как это влияет на производительность системы. Подобная категоризация не поддерживается в McAfee DLP Endpoint for Mac. В программном обеспечении McAfee DLP Endpoint приложения подразделяются на четыре категории, называемые стратегиями. Это обуславливает порядок работы программного обеспечения с разными приложениями. Чтобы достичь баланса между безопасностью и эффективностью работы компьютера, стратегию можно изменить. Существуют следующие стратегии (в порядке уменьшения защищенности): McAfee Data Loss Prevention Endpoint Product Guide 81

82 7 Классификация конфиденциального содержимого Определения и критерии классификации Редактор любое приложение может изменять содержимое файла. Сюда входят "классические" редакторы, такие как Microsoft Word и Microsoft Excel, а также веб-браузеры, программное обеспечение по работе с графическими файлами, бухгалтерское программное обеспечение и т. д. Большинство приложений являются редакторами. Проводник приложение, которое копирует или перемещает файлы, не изменяя их содержимое, например Проводник Windows или некоторые приложения командной строки. Доверенное приложение, которому необходим неограниченный доступ к файлам с целью проверки. Примеры таких приложений: McAfee VirusScan Enterprise, программное обеспечение для резервного копирования, а также программы для поиска на компьютере, такие как Google Desktop. Архиватор приложение, которое может преобразовывать файлы. Примерами являются приложения для сжатия, например WinZip, и приложения для шифрования, такие как McAfee Endpoint Encryption или PGP. Работа со стратегиями DLP При необходимости можно изменить стратегию, чтобы оптимизировать производительность. Например, высокий уровень наблюдения, который применяется к редакторам, не подходит для постоянного индексирования приложения для поиска на компьютере. Производительность существенно снижается, а риск утечки данных из такого приложения невелик. Поэтому для таких приложений необходимо использовать доверенную стратегию. Стратегию по умолчанию можно переопределить на странице Политика DLP Параметры Стратегия приложения. В процессе точной настройки политики можно экспериментировать с созданием и удалением переопределений. Можно также создать для приложения несколько шаблонов и назначить его нескольким стратегиям. Разные шаблоны в разных правилах и классификациях позволяют получить разные результаты в зависимости от контекста. Однако во избежание конфликтов назначать такие шаблоны в пределах одного набора правил следует с осторожностью. Потенциальные конфликты разрешаются в McAfee DLP Endpoint согласно следующей иерархии: архиватор > доверенный > проводник > редактор. Таким образом, редактору назначен самый низкий приоритет. Если приложение задано как редактор в одном шаблоне, но относится к другой категории согласно другому шаблону в том же наборе правил, оно не рассматривается в McAfee DLP Endpoint как редактор. Определения и критерии классификации Определения и критерии классификации содержат одно или несколько условий, характеризующих свойства содержимого или файлов. Таблица 7-1 Доступные условия Свойство Применимо к: Определение Продукты Расширенный шаблон Словарь Определения, критерии Определения, критерии Регулярные выражения или фразы, используемые для сопоставления данных, таких как даты или номера кредитных карт. Набор связанных ключевых слов или фраз, например ненормативная лексика или медицинская терминология. Все продукты 82 McAfee Data Loss Prevention Endpoint Product Guide

83 Классификация конфиденциального содержимого Определения и критерии классификации 7 Таблица 7-1 Доступные условия (продолжение) Свойство Применимо к: Определение Продукты Ключевое слово Критерии Строковое значение. Можно добавлять несколько ключевых слов к классификации содержимого или критериям идентификации содержимого по его отпечаткам. Для нескольких ключевых слов по умолчанию используется логическая функция ИЛИ, но она может быть изменена на И. Близость Критерии Определяет соответствие между двумя свойствами, основываясь на их расположении относительно друг друга. С каждым свойством могут быть связаны расширенные шаблоны, словари или ключевые слова. Параметр Степень совпадения определяется условием "менее x символов", где по умолчанию применяется значение 1. Также с помощью параметра Количество соответствий можно задать минимальное количество соответствий, необходимое для обнаружения совпадения. Свойства документа Определения, критерии Содержит следующие варианты: Любое свойство Автор Категория Комментарии Компания Ключевые слова Автор последнего сохранения Имя диспетчера Безопасность Тема Шаблон Заголовок Любое свойство свойство, заданное пользователем. Шифрование файла Критерии Содержит следующие варианты: Не зашифровано* Самоизвлекающийся зашифрованный архив McAfee McAfee Endpoint Encryption Шифрование Microsoft Rights Management* Шифрование служб управления правами Seclore Неподдерживаемые типы шифрования или защищенный паролем файл* McAfee DLP Endpoint для Windows (все варианты) McAfee DLP Discover (варианты, отмеченные *) McAfee Data Loss Prevention Endpoint Product Guide 83

84 7 Классификация конфиденциального содержимого Определения и критерии классификации Таблица 7-1 Доступные условия (продолжение) Свойство Применимо к: Определение Продукты Расширение файла Сведения о файле Определения, критерии Определения, критерии Группы поддерживаемых типов файлов, такие как MP3 и PDF. Содержит следующие варианты: Дата доступа Дата создания Дата изменения Расширение файла Имя файла Владелец файла Размер файла Все продукты Все продукты Расположение в файле Критерии Раздел файла, содержащий данные. Документы Microsoft Word: ядро классификации может распознавать верхний колонтитул, текст документа и нижний колонтитул. Документы PowerPoint: WordArt считается верхним колонтитулом, все остальное текстом документа. Прочие документы: верхний и нижний колонтитулы не применяются. Если выбраны эти критерии классификации, сопоставление документа не производится. Теги сторонних продуктов Критерии Используется для указания имен и значений полей Titus. McAfee DLP Endpoint для Windows Действительный тип файла Определения, критерии Группы типов файлов. Например, встроенная группа Microsoft Excel содержит файлы Excel XLS, XLSX и XML, а также файлы Lotus WK1 и FM3, файлы CSV и DIF, файлы Apple iwork и другие. Все продукты Шаблон приложения Группа конечных пользователей Определения Определения Приложение или исполняемый файл, осуществляющие доступ к файлу. Служит для задания разрешений на классификацию вручную. McAfee DLP Endpoint для Windows McAfee DLP Endpoint for Mac Общий сетевой ресурс Список URL-адресов Определения Определения Общий сетевой ресурс, на котором хранится файл. URL-адрес, по которому осуществляется доступ к файлу. McAfee DLP Endpoint для Windows См. также Создание определений классификаций на стр McAfee Data Loss Prevention Endpoint Product Guide

85 Классификация конфиденциального содержимого Определения и критерии классификации 7 Словарные определения Словарь это набор ключевых слов или фраз, в котором каждой записи присвоена оценка. В классификациях содержимого и критериях идентификации содержимого по его отпечаткам используются специальные словари для классификации документа, если достигнут определенный порог (суммарная оценка), т. е. если в документе имеется достаточно слов из словаря. Отличие словаря от строк в определении ключевых слов заключается в присвоении оценки. При классификации по ключевым словам наличие в документе заданной фразы всегда является основанием для назначения тегов. Классификация по словарю предоставляет более широкие возможности: задание пороговых значений позволяет определять относительную применимость классификации. Присвоенные оценки могут быть положительными или отрицательными, что позволяет искать слова и фразы в контексте других слов и фраз. Программное обеспечение McAfee DLP содержит несколько встроенных словарей с терминами, широко употребительными в медицине, банковском деле, финансах и других отраслях. Можно также создавать пользовательские словари. Словари можно создавать и изменять как вручную, так и путем копирования и вставки текста из других документов. Ограничения На работу со словарями наложены ограничения. Словари сохраняются в формате Юникод (UTF-8) и могут быть написаны на любом языке. Приведенное ниже пояснение относится к словарям, написанным по-английски. В основном они применимы и к другим языкам, но при работе с некоторыми языками могут возникать непредвиденные трудности. Поиск совпадений в словаре характеризуется следующими особенностями: Регистр учитывается при поиске только в случае, если словарные статьи созданы с учетом регистра. Во встроенных словарях регистр не учитывается, так как они разработаны до реализации этой функции. Дополнительно возможно сравнение части строк или целых фраз. Сравниваются фразы, включая пробелы. Если выбран поиск совпадений по фрагментам строк, следует учитывать, что ввод коротких слов может приводить к ложным положительным результатам. Например, по словарной статье "том" помечаются слова "гематома" и "утомление". Во избежание таких ложных положительных результатов рекомендуется задать поиск совпадений по целым фразам или по возможности употреблять статистически маловероятные фразы. Другой возможной причиной ложных положительных результатов являются сходные статьи. Например, в некоторых перечнях заболеваний в законе "О перемещаемости и подотчетности страхования здоровья" "целиакия" и "глютенчувствительная целиакия" выступают как отдельные записи. Если выбран поиск совпадений по фрагментам строк, при наличии в документе второго термина он учитывается дважды (по одному разу для каждой статьи), что искажает суммарную оценку. См. также Создание или импорт определения словаря на стр. 99 McAfee Data Loss Prevention Endpoint Product Guide 85

86 7 Классификация конфиденциального содержимого Определения и критерии классификации Определения расширенного шаблона В расширенных шаблонах применяются регулярные выражения, обеспечивающие сложный поиск соответствий по шаблону, например по номеру социального страхования или кредитной карты. В определениях применяется синтаксис регулярных выражений Google RE2. Расширенные определения шаблонов предполагают использование оценки (обязательный параметр), как и словарные определения. Они также могут включать в себя необязательное средство проверки алгоритм, проверяющий регулярные выражения. Использование правильного средства проверки может значительно снизить вероятность получения ложных положительных результатов. Определение может включать в себя дополнительный раздел Игнорируемые выражения, чтобы еще больше уменьшить количество ложных положительных результатов. Игнорируемые выражения могут представлять собой регулярные выражения или ключевые слова. Можно импортировать несколько ключевых слов для ускорения создания выражений. Расширенные шаблоны указывают на конфиденциальный текст. Шаблоны конфиденциального текста редактируются в подтверждении с выделением причин. Если указан и шаблон для совпадения, и шаблон для игнорирования, шаблон для игнорирования имеет приоритет. Это позволяет создать общее правило и добавлять в него исключения без необходимости менять само правило. См. также Создание расширенного шаблона на стр. 99 Классификация содержимого по свойствам документов или сведениям о файлах Определения свойств документов используются для классификации содержимого по предварительно определенным значениям метаданных. В определениях сведений о файлах содержимое классифицируется по метаданным файлов. Свойства документов Из любого документа Microsoft Office или PDF можно извлечь свойства документа для применения в определениях классификаций. Оператор сравнения Содержит позволяет применять поиск соответствия по фрагментам. Свойства документов подразделяются на три типа: Предопределенные свойства: стандартные свойства, такие как автор и заголовок. Пользовательские свойства: в некоторых приложениях, например в Microsoft Word, допускается добавление пользовательских свойств к метаданным документа. В качестве пользовательских свойств могут быть также заданы стандартные свойства документа, отсутствующие в предварительно определенном списке свойств, но не могут дублироваться свойства, уже присутствующие в этом списке. Любое свойство: позволяет определить свойство, задав только его значение. Эта функция полезна, если ключевое слово было введено для другого параметра свойства или название свойства неизвестно. Например, если ввести значение Секретный для параметра Любое свойство, будут классифицированы все документы, у которых Секретный является значением хотя бы одного свойства. Сведения о файле Определения сведений о файлах позволяют повысить уровень детализации правил защиты данных и обнаружения, а также классификаций. К сведениям о файле относятся даты создания и изменения, размер файла и его владелец. Свойства, указывающие даты, могут быть заданы как в 86 McAfee Data Loss Prevention Endpoint Product Guide

87 Классификация конфиденциального содержимого Определения и критерии классификации 7 абсолютной форме (до, после, между), так и в относительной (за последние X дней, недель, лет). Тип файла (только расширения) это предварительно определенный список расширений имен файлов, допускающий добавление новых записей. Шаблоны приложений Шаблон приложений служит для управления приложениями с помощью свойств, таких как название продукта или поставщика, имя исполняемого файла или заголовок окна. Шаблон приложения может быть задан для одного приложения или для группы сходных приложений. Для некоторых часто используемых приложений, таких как проводник Windows, веб-браузеры, приложения шифрования и клиенты электронной почты, предусмотрены встроенные (предварительно заданные) шаблоны. Определение шаблона приложения включает в себя поле с флажком для операционной системы. Анализ сопоставленных в памяти файлов доступен только в Windows и автоматически отключается при выборе приложений для операционной системы OS X. Шаблоны приложений для Microsoft Windows могут использовать любые из следующих параметров: Командная строка: разрешает использовать аргументы командной строки, например, java-jar, которые могут контролировать ранее неконтролируемые приложения. Каталог исполняемых файлов: каталог, в котором расположен исполняемый файл. Одним из способов использования этого параметра является контроль приложений U3. Хэш исполняемого файла: отображаемое имя приложения с идентифицирующим хэшем SHA2. Имя исполняемого файла: обычно совпадает с отображаемым именем (без хэша SHA2), но может отличаться, если файл переименован. Имя исходного исполняемого файла: совпадает с именем исполняемого файла, если файл не был переименован. Название продукта: общее название продукта, например Microsoft Office 2012, если оно указано в свойствах исполняемого файла. Имя поставщика: название компании, если оно указано в свойствах исполняемого файла. Заголовок окна: динамическое значение, которое содержит имя активного файла и изменяется соответствующим образом во время выполнения. Все параметры кроме имени приложения в формате SHA2 и папки исполняемого файла позволяют использовать совпадение с подстрокой. Шаблоны приложений в OS X могут использовать любые из следующих параметров: Командная строка Папка исполняемого файла McAfee Data Loss Prevention Endpoint Product Guide 87

88 7 Классификация конфиденциального содержимого Классификация вручную Хэш исполняемого файла Имя исполняемого файла Классификация вручную Конечные пользователи могут вручную применять к файлам или отменять критерии классификации содержимого или идентификации содержимого по его отпечаткам. По умолчанию пользователь не имеет права просматривать, добавлять или удалять классификации. Однако можно назначить определенные классификации конкретным группам пользователей или всем. Затем назначенные пользователи смогут применять классификации к файлам во время работы. Если клиент McAfee DLP Endpoint встречает файл, для которого классификация задана вручную, например вложение в сообщении электронной почты, он может выполнить необходимые действия в соответствии с классификацией. Классификация вручную также позволяет сохранить принятую в организации политику классификации даже в тех особых случаях, когда уникальная или конфиденциальная информация не классифицируется системой автоматически. Пользователи McAfee DLP Endpoint для Windows могут классифицировать файлы вручную. Пользователи McAfee DLP Endpoint for Mac могут распознавать классифицированные вручную файлы, но не могут изменять или просматривать ручные классификации. При настройке разрешений для классификации вручную можно разрешить классификацию содержимого и/или идентификацию содержимого по его отпечаткам. Поддержка классификации вручную McAfee DLP предлагает два вида поддержки классификации вручную: поддержка Microsoft Office и работа с поддерживаемыми типами файлов. Приложения Microsoft Office (Word, Excel и PowerPoint) и Microsoft Outlook поддерживаются на уровне создания файлов. Конечные пользователи могут классифицировать файлы; также можно требовать от пользователей классифицировать файлы Office при их сохранении, а сообщения Outlook при их отправке. 88 McAfee Data Loss Prevention Endpoint Product Guide

89 Классификация конфиденциального содержимого Классификация вручную 7 Другие поддерживаемые типы файлов, а также файлы Microsoft Office могут быть классифицированы из Windows Explorer с использованием контекстного меню. Встраивание тегов Существует разница между автоматической классификацией содержимого и классификацией содержимого вручную. При автоматической классификации содержимое сравнивается для поиска соответствия каждый раз при срабатывании правила, содержащего классификацию. Такие классификации не изменяют файл. Функция классификации содержимого вручную встраивает физический тег в файл. В сообщения электронной почты встраивается заголовок x-header; кроме того, может быть добавлен текст разметки в верхний или нижний колонтитул сообщения, чтобы обозначить его классификацию. Выполняемая вручную идентификация содержимого по его отпечаткам работает так же, как и автоматическая: сигнатуры сохраняются в расширенных атрибутах файла или альтернативных потоках данных. См. также Назначение разрешений на классификацию вручную на стр. 95 Встраиваемые теги Теги, встраиваемые при использовании классификации вручную, позволяют сторонним приложениям взаимодействовать с помеченными документами McAfee DLP. Ниже приведена таблица со списком поддерживаемых типов файлов, имен тегов и используемых технологий. Действительный тип файла Технология Имя встраиваемого тега Doc Свойства документа DLP_CLASSIFICATION DOCS RTF PDF JPEG Внутренние метки: XMP Классификация: DLPManualClassification Классифицировал: DLPManualClassificationClassifier Дата: DLPManualClassificationDate Поддерживаемые типы файлов XMP: AIFF (aif) MPEG4 (mov, mp4, m4v, m4a, f4v) SWF (swf) ASF (wma, wmv) P2 TIFF (tif, tiff, dng) AVCHD (m2ts, mts, m2t) PDF (pdf) UCF (ucf, xfl, pdfxml, mars, idml, idap, icap) FLV (flv) PNG (png) WAVE (wav) InDesign (indd, indt) POST-SCRIPT (ps, eps) XDCAM JPEG (jpg, jpeg) PSD (psd) XDCAMEX McAfee Data Loss Prevention Endpoint Product Guide 89

90 7 Классификация конфиденциального содержимого Зарегистрированные документы MP3 (mp3) MPEG2 (mpg, mpeg, mp2, mod, m2v, mpa, mpv, m2p, m2a, m2t, mpe, vob, ms-pvr, dvr-ms) RIFF (avi) SONY-HDV См. также Классификация вручную на стр. 88 Настройка сообщений для конечного пользователя на стр. 124 Зарегистрированные документы Функция зарегистрированных документов представляет собой расширение идентификации содержимого по его отпечаткам на основе местоположения. Она дает администраторам еще одну возможность определить конфиденциальную информацию, чтобы защитить ее от распространения по несанкционированным каналам. McAfee DLP Discover и McAfee DLP Endpoint for Mac не поддерживают функцию зарегистрированных документов. Зарегистрированные документы изначально определены как конфиденциальные, например электронные таблицы примерных продаж на следующий квартал. Программное обеспечение McAfee DLP категоризует содержимое таких файлов и создает его отпечатки. Созданные сигнатуры не зависят от языка, поэтому процесс работает для всех языков. При создании пакета сигнатуры загружаются в базу данных McAfee epo для распространения на конечные рабочие станции. Клиент McAfee DLP Endpoint на управляемых компьютерах управляет распространением документов, содержащих зарегистрированные фрагменты содержимого. Для работы с функцией зарегистрированных документов следует отправлять файлы на вкладке Регистрация документов модуля Классификация, назначая им классификацию в процессе отправки. Неприменимые классификации игнорируются в клиентском программном обеспечении конечной точки. Например, при анализе сообщения электронной почты на конфиденциальное содержимое игнорируются пакеты документов, классифицированные по свойствам файла. Предусмотрено два представления: Статистика и Классификации. В представлении статистики на левой панели отображаются итоговые значения: количество файлов, размер файлов, количество сигнатур и т. п.; на правой панели представлены статистические данные по каждому файлу. Эти данные позволяют удалить менее важные пакеты по достижении предельного количества сигнатур. В представлении классификации отображаются отправленные файлы по классификациям. В правом верхнем углу показаны сведения о создании последнего пакета и изменениях списка файлов. При создании пакета в программном обеспечении выполняется обработка всех файлов в списке, а отпечаток загружается в базу данных McAfee epo для распространения. При добавлении или удалении документов необходимо создать новый пакет. В программном обеспечении не проверяется наличие отпечатков для отдельных файлов. Список всегда обрабатывается как единое целое. Команда Создать пакет одновременно работает со списком зарегистрированных документов и белым списком документов для создания единого пакета. Максимальное количество сигнатур в пакете может составлять до 1 миллиона для каждого из зарегистрированных документов и документов, помещенных в белый список. См. также Отправка зарегистрированных документов на стр McAfee Data Loss Prevention Endpoint Product Guide

91 Классификация конфиденциального содержимого Текст в белом списке 7 Текст в белом списке При обработке содержимого файла McAfee DLP игнорирует текст, помещенный в белый список. McAfee DLP Discover и McAfee DLP Endpoint for Mac не поддерживают текст, помещенный в белый список. Пользователь может загрузить в McAfee epo файлы, содержащие текст для помещения в белый список. Помещенный в белый список текст приведет к тому, что содержимое не будет классифицировано, даже если его части соответствуют классификации содержимого или критериям идентификации содержимого по его отпечаткам. Используйте помещение текста в белый список для текста, который часто встречается в файлах, например шаблоны, заявление об отказе от ответственности и информация об авторских правах. В белый список могут вноситься файлы, содержащие не менее 400 символов. Если файл содержит как классифицированные, так и помещенные в белый список данные, он не игнорируется системой. Все соответствующие критерии классификации содержимого и идентификации содержимого по его отпечаткам продолжают действовать. См. также Отправка файлов для внесения текста в белый список на стр. 93 Создание и настройка классификаций Создание классификаций и критериев, используемых в правилах и проверках. Задания Создание классификации на стр. 91 В конфигурации правил защиты данных и обнаружения необходимы определения классификаций. Создание критериев классификации на стр. 92 Критериями классификации файлов служат характеристики содержимого файлов и свойства файлов. Отправка зарегистрированных документов на стр. 92 В этом разделе рассматривается выбор и классификация документов для распространения на конечные компьютеры. Отправка файлов для внесения текста в белый список на стр. 93 В этом разделе рассматривается отправка файлов, содержащих стандартный текст, для внесения этого текста в белый список. Создание классификации В конфигурации правил защиты данных и обнаружения необходимы определения классификаций. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Классификация. 2 Щелкните Создать классификацию. 3 Введите имя и, по желанию, описание. McAfee Data Loss Prevention Endpoint Product Guide 91

92 7 Классификация конфиденциального содержимого Создание и настройка классификаций 4 Щелкните ОК. 5 Добавьте группы конечных пользователей к классификации, заданной вручную, или добавьте зарегистрированные документы к классификации, нажав кнопку Изменить для соответствующего компонента. 6 Добавляйте критерии классификации содержимого или критерии идентификации содержимого по его отпечаткам с помощью инструмента Действия. Создание критериев классификации Критериями классификации файлов служат характеристики содержимого файлов и свойства файлов. Критерии классификации содержимого строятся на определениях данных и файлов. Если требуемое определение не существует, его можно создать во время определения критериев. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Классификация. 2 Выберите классификацию для добавления критериев, а затем выберите Действия New Content Classification Criteria (Создать критерии классификации содержимого). 3 Введите имя. 4 Выберите одно или несколько свойств, а также настройте методы сравнения и значения. Для удаления свойства щелкните <. С некоторыми свойствами связана кнопка... для добавления существующего или создания нового свойства. Для добавления других значений того же свойства щелкните +. Для удаления значений щелкните. 5 Щелкните Сохранить. См. также Использование классификаций на стр. 78 Отправка зарегистрированных документов В этом разделе рассматривается выбор и классификация документов для распространения на конечные компьютеры. McAfee DLP Discover не поддерживает зарегистрированные документы. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Классификация. 2 Перейдите на вкладку Регистрация документов. 3 Щелкните Отправить файл. 92 McAfee Data Loss Prevention Endpoint Product Guide

93 Классификация конфиденциального содержимого Настройка компонентов классификации для McAfee DLP Endpoint 7 4 Перейдите к файлу, укажите, следует ли заменять файл с таким же именем, если он существует, и выберите классификацию. При выполнении команды Отправить файл обрабатывается один файл. Для отправки нескольких документов создайте файл с расширением.zip. 5 Щелкните ОК. Файл отправляется и обрабатывается, а на странице отображаются статистические данные. Завершив создание списка файлов, щелкните Создать пакет. Пакет сигнатуры всех зарегистрированных документов и всех документов в белом списке загружается в базу данных McAfee epo для распространения на конечные компьютеры. Можно создать пакет только из зарегистрированных документов или только из документов в белом списке, оставив один список пустым. В случае удаления файлов удалите их из списка и создайте новый пакет для применения изменений. См. также Зарегистрированные документы на стр. 90 Отправка файлов для внесения текста в белый список В этом разделе рассматривается отправка файлов, содержащих стандартный текст, для внесения этого текста в белый список. McAfee DLP Discover не поддерживает текст в белом списке. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Классификация. 2 Перейдите на вкладку Текст в белом списке. 3 Щелкните Отправить файл. 4 Перейдите к файлу и укажите, следует ли заменять файл с таким же именем, если он существует. 5 Щелкните ОК. См. также Текст в белом списке на стр. 91 Настройка компонентов классификации для McAfee DLP Endpoint McAfee DLP Endpoint поддерживает классификацию вручную и применение критериев идентификации содержимого по его отпечаткам. McAfee Data Loss Prevention Endpoint Product Guide 93

94 7 Классификация конфиденциального содержимого Настройка компонентов классификации для McAfee DLP Endpoint Задания Создание критериев идентификации содержимого по его отпечаткам на стр. 94 Применение критериев идентификации содержимого по его отпечаткам к файлам на основе приложения или местоположения файла. Пример использования: идентификация содержимого по его отпечаткам на основе приложения на стр. 95 Содержимое можно классифицировать как конфиденциальное согласно сформировавшему его приложению. Назначение разрешений на классификацию вручную на стр. 95 В этом разделе рассматривается задание пользователей, которым разрешена классификация файлов вручную. Пример применения: классификация вручную на стр. 96 Сотрудникам, в обязанности которых входит регулярное создание файлов, содержащих конфиденциальные данные, могут быть предоставлены разрешения на классификацию вручную. Они могут классифицировать файлы по мере их создания в процессе работы. Создание критериев идентификации содержимого по его отпечаткам Применение критериев идентификации содержимого по его отпечаткам к файлам на основе приложения или местоположения файла. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Классификация. 2 Выберите классификацию, к которой требуется добавить критерии. 3 Выберите Действия New Content Fingerprinting Criteria (Создать критерии идентификации содержимого по его отпечаткам), а затем укажите критерии идентификации содержимого по его отпечаткам. 4 Введите имя и укажите дополнительную информацию в зависимости от типа критериев идентификации по отпечаткам. Приложение. Нажмите кнопку... для выбора одного или нескольких приложений. Расположение. Нажмите кнопку... для выбора одного или нескольких общих сетевых ресурсов. При необходимости укажите тип съемного носителя. Веб-приложение. Нажмите кнопку... для выбора одного или нескольких списков URL адресов. 5 (Необязательно) Выберите одно или несколько свойств и настройте методы сравнения и значения. Для удаления свойства щелкните <. С некоторыми свойствами связана кнопка... для добавления существующего или создания нового свойства. Для добавления других значений того же свойства щелкните +. Для удаления значений щелкните. 6 Щелкните Сохранить. См. также Использование классификаций на стр McAfee Data Loss Prevention Endpoint Product Guide

95 Классификация конфиденциального содержимого Настройка компонентов классификации для McAfee DLP Endpoint 7 Пример использования: идентификация содержимого по его отпечаткам на основе приложения Содержимое можно классифицировать как конфиденциальное согласно сформировавшему его приложению. В некоторых случаях содержимое может считаться конфиденциальным на основе приложения, в котором оно было создано. Примером являются секретные военные карты. Они представляют собой файлы JPEG, обычно создаваемые специфическими геоинформационными приложениями военно-воздушных сил США. Путем выбора приложения в определении критериев идентификации содержимого по его отпечаткам все файлы JPEG, создаваемые приложением, будут помечаться как конфиденциальные. Файлы JPEG, создаваемые другими приложениями, не помечаются. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Классификация. 2 На вкладке Определения выберите Шаблон приложения, затем выберите Действия Создать. 3 Введите имя, например Приложение ГИС, и необязательное описание. Определите приложение ГИС с использованием одного ли нескольких свойств из списка Доступные свойства. Щелкните Сохранить. 4 На вкладке Классификация щелкните Создать классификацию и введите имя, например Приложение ГИС, и необязательное определение. Щелкните ОК. 5 Выберите Действия New Content Fingerprinting Criteria (Создать критерии идентификации содержимого по его отпечаткам) Приложение. Откроется страница критериев идентификации содержимого по его отпечаткам на основе приложения. 6 В поле Имя введите имя тега, например Тег ГИС. 7 В поле Приложения выберите приложение ГИС, созданное на этапе 1. 8 В списке Доступные свойства Условия файла выберите Действительный тип файла. В поле Значение выберите вариант Graphic files [встроенные]. Встроенное определение включает JPEG и другие типы графических файлов. Если выбрано приложение и тип файла, в классификацию включаются только файлы JPEG, сформированные этим приложением. 9 Нажмите кнопку Сохранить, затем выберите Действия Сохранить классификацию. Классификация готова для использования в правилах защиты. Назначение разрешений на классификацию вручную В этом разделе рассматривается задание пользователей, которым разрешена классификация файлов вручную. McAfee Data Loss Prevention Endpoint Product Guide 95

96 7 Классификация конфиденциального содержимого Настройка компонентов классификации для McAfee DLP Endpoint Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Классификация. 2 Перейдите на вкладку Классификация вручную. 3 В раскрывающемся списке Представление выберите пункт Группировать по классификациям или Группировать по группам конечных пользователей. Можно назначить классификации группам конечных пользователей или группы конечных пользователей классификациям в зависимости от того, что более удобно. Список Представление влияет на отображаемые элементы. 4 При группировке по классификациям: a Выберите классификацию в отображаемом списке. b c d В разделе Классификации выберите тип классификации. Если список слишком длинный, введите текст в поле Фильтровать список, чтобы применить фильтр к элементам в списке. Выберите Действия Выбрать группы конечных пользователей. В окне Выбрать из существующих значений выберите группы пользователей или щелкните Создать элемент для создания новой группы. Щелкните ОК. 5 При группировке по группам конечных пользователей: a Выберите группу пользователей в отображаемом списке. b c Выберите Действия Выбрать классификации. В окне Выбрать из существующих значений выберите классификации. Щелкните ОК. Пример применения: классификация вручную Сотрудникам, в обязанности которых входит регулярное создание файлов, содержащих конфиденциальные данные, могут быть предоставлены разрешения на классификацию вручную. Они могут классифицировать файлы по мере их создания в процессе работы. Например, в медицинском учреждении известно, что правила HIPAA предписывают рассматривать информацию во всех медицинских картах как конфиденциальную. Сотрудникам, создающим или редактирующим медицинские карты, предоставляются разрешения на классификацию вручную. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 Создайте одну или несколько групп пользователей для работников, которые могут создавать или редактировать файлы пациентов. a В McAfee epo откройте модуль Классификация (Меню Защита данных Классификация). b c d На вкладке Определения выберите Исходный/целевой объект Группа конечных пользователей. Выберите Действия Создать, замените имя по умолчанию информативным именем, например Группа пользователей PHI, и добавьте пользователей или группы к определению. Щелкните Сохранить. 96 McAfee Data Loss Prevention Endpoint Product Guide

97 Классификация конфиденциального содержимого Настройка компонентов классификации для McAfee DLP Endpoint 7 2 Создайте классификацию PHI (Protected Health Information защищенная информация о состоянии здоровья). a В модуле Классификация на вкладке Классификация выберите [Sample] PHI [встроенные] на левой панели, затем выберите Действия Дублировать классификацию. Отображается редактируемая копия примера классификации. b c d e f g Внесите необходимые изменения в полях Имя, Описание, и Классификация. В поле Классификация вручную щелкните Изменить. В разделе Additional Actions (Дополнительные действия) выберите тип классификации. По умолчанию выбран только параметр Классификация вручную. Выберите Действия Выбрать группы конечных пользователей. В окне Выбрать из существующих значений выберите хотя бы одну созданную ранее группу, затем щелкните ОК. Вернитесь на вкладку Классификация и выберите Действия Сохранить классификацию. Работники, являющиеся участниками назначенных групп, могут классифицировать записи пациентов по мере их создания путем нажатия правой кнопки мыши на файле, выбора пункта Защита данных и необходимых параметров. В меню отображаются только выбранные параметры (этап 2.d). McAfee Data Loss Prevention Endpoint Product Guide 97

98 7 Классификация конфиденциального содержимого Создание определений классификаций Создание определений классификаций Можно использовать заданные определения классификаций или создавать свои собственные. Заданные определения классификаций нельзя изменить или удалить. Задания Создание общего определения классификации на стр. 98 В этом разделе рассматривается создание и настройка определений, применяемых в классификациях и правилах. Создание или импорт определения словаря на стр. 99 Словарь это набор ключевых слов или фраз, в котором каждой записи присвоена оценка. Оценки позволяют повысить уровень детализации в определениях правил. Создание расширенного шаблона на стр. 99 Расширенные шаблоны служат для определения классификаций. Определение расширенного шаблона может представлять собой одно выражение или сочетание выражений с определениями ложного положительного результата. Создание диапазона сетевых портов на стр. 100 Диапазоны сетевых портов служат критериями фильтрации в правилах защиты сетевых подключений. Создание диапазона сетевых адресов на стр. 101 Диапазоны сетевых адресов служат критериями фильтрации в правилах защиты сетевых подключений. Создание определения адреса электронной почты на стр. 101 Определениями адресов электронной почты являются предопределенные домены электронной почты или конкретные адреса электронной почты, на которые можно ссылаться в правилах защиты электронной почты. Создание определения сетевого принтера на стр. 102 Определения сетевых принтеров позволяют создавать детализированные правила защиты принтеров. Заданные принтеры могут быть включены в правила или исключены из них. Создание определения списка URL адресов на стр. 102 Определения списков URL адресов позволяют создавать правила защиты публикаций в Интернете. Они добавляются к правилам в качестве условий Веб-адрес (URL-адрес). См. также Определения и критерии классификации на стр. 82 Создание общего определения классификации В этом разделе рассматривается создание и настройка определений, применяемых в классификациях и правилах. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Классификация. 2 Выберите тип определения, которое требуется настроить, затем выберите Действия Создать. 3 Введите имя и задайте параметры и свойства определения. Набор доступных параметров и свойств зависит от типа определения. 4 Щелкните Сохранить. 98 McAfee Data Loss Prevention Endpoint Product Guide

99 Классификация конфиденциального содержимого Создание определений классификаций 7 Создание или импорт определения словаря Словарь это набор ключевых слов или фраз, в котором каждой записи присвоена оценка. Оценки позволяют повысить уровень детализации в определениях правил. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Классификация. 2 Перейдите на вкладку Определения. 3 На левой панели выберите Словарь. 4 Выберите Действия Создать. 5 Введите имя и, по желанию, описание. 6 Добавьте записи к словарю. Для импорта записей выполните следующие действия: a Щелкните Импортировать записи. b Введите слова или фразы либо вставьте их, предварительно вырезав из другого документа. Окно текста имеет ограничение в строк по 50 символов на строку. c Щелкните ОК. Всем записям по умолчанию присваивается оценка 1. d e При необходимости измените присвоенную по умолчанию оценку 1, нажав кнопку Изменить для данной записи. При необходимости выберите столбцы Начинается с, Заканчивается на и С учетом регистра. Значения Начинается с и Заканчивается на обеспечивают поиск совпадений по фрагментам строк. Для создания записей вручную выполните следующие действия: a Введите фразу и оценку. b c При необходимости выберите столбцы Начинается с, Заканчивается на и С учетом регистра. Щелкните Добавить. 7 Щелкните Сохранить. Создание расширенного шаблона Расширенные шаблоны служат для определения классификаций. Определение расширенного шаблона может представлять собой одно выражение или сочетание выражений с определениями ложного положительного результата. Дополнительные шаблоны задаются с помощью регулярных выражений (regex). Описание регулярных выражений не приводится в данном документе. В Интернете существует большое количество справочных материалов по регулярным выражениям, которые познакомят пользователя с этой концепцией. McAfee Data Loss Prevention Endpoint Product Guide 99

100 7 Классификация конфиденциального содержимого Создание определений классификаций Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Классификация. 2 Перейдите на вкладку Определения, затем на левой панели выберите Расширенный шаблон. На правой панели отображаются доступные шаблоны. Для просмотра только пользовательских расширенных шаблонов снимите флажок Включить встроенные элементы. Редактированию подлежат только пользовательские шаблоны. 3 Выберите Действия Создать. Отображается страница определения нового расширенного шаблона. 4 Введите имя и, по желанию, описание. 5 В разделе Соответствующие выражения выполните следующие действия: a Введите выражение в текстовом поле. При необходимости добавьте описание. b c d В раскрывающемся списке выберите средство проверки. Для сведения к минимуму вероятности ложных положительных результатов компания McAfee рекомендует по возможности пользоваться средством проверки, но это не является обязательным требованием. Если указывать средство проверки не требуется или выражение не подлежит проверке, выберитебез проверки. Введите число в поле Оценка. Это число указывает весовой коэффициент выражения для сравнения с пороговым значением. Это поле обязательно для заполнения. Щелкните Добавить. 6 В разделе Ложное срабатывание выполните следующие действия: a Введите выражение в текстовом поле. При наличии текстовых шаблонов, хранящихся во внешних документах, их можно копировать и вставить в определение с помощью пункта Импортировать записи b c В поле Тип в раскрывающемся списке выберите Регулярное выражение, если строка представляет собой регулярное выражение, или Ключевое слово, если это текстовая строка. Щелкните Добавить. 7 Щелкните Сохранить. Создание диапазона сетевых портов Диапазоны сетевых портов служат критериями фильтрации в правилах защиты сетевых подключений. 100 McAfee Data Loss Prevention Endpoint Product Guide

101 Классификация конфиденциального содержимого Создание определений классификаций 7 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Определения. 2 На левой панели выберите Сетевой порт, затем щелкните Действия Создать. Можно также редактировать встроенные определения. 3 Введите уникальное имя и, по желанию, описание. 4 Введите номера портов, разделенные запятыми, и, по желанию, описание. Щелкните Добавить. 5 После добавления всех необходимых портов нажмите кнопку Сохранить. Создание диапазона сетевых адресов Диапазоны сетевых адресов служат критериями фильтрации в правилах защиты сетевых подключений. Процедура Для каждого обязательного определения выполните шаги 1 4: Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Определения. 2 На левой панели выберите Сетевой адрес (IP-адрес), затем щелкните Действия Создать. 3 Введите уникальное имя определения и, по желанию, описание. 4 В текстовом поле введите адрес, диапазон или подсеть. Щелкните Добавить. На странице отображаются примеры правильного форматирования. 5 После ввода всех обязательных определений нажмите кнопку Сохранить. Создание определения адреса электронной почты Определениями адресов электронной почты являются предопределенные домены электронной почты или конкретные адреса электронной почты, на которые можно ссылаться в правилах защиты электронной почты. Для получения детализированных правил защиты электронной почты необходимо включить некоторые адреса электронной почты и исключить другие адреса. Обязательно создайте определения обоих типов. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Определения. 2 На левой панели выберите Адрес электронной почты, затем Действия Создать. 3 Введите Имя и, по желанию, Описание. 4 Выберите значение в раскрывающемся списке Оператор. McAfee Data Loss Prevention Endpoint Product Guide 101

102 7 Классификация конфиденциального содержимого Создание определений классификаций Доступны следующие операторы: Доменное имя Адрес электронной почты Отображаемое имя Отображаемое имя содержит 5 Введите значение, затем нажмите кнопку Добавить. 6 Завершив добавление адресов электронной почты, нажмите кнопку Сохранить. Создание определения сетевого принтера Определения сетевых принтеров позволяют создавать детализированные правила защиты принтеров. Заданные принтеры могут быть включены в правила или исключены из них. Предварительные операции Получите сетевой путь к принтеру по стандарту UNC. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Определения. 2 На левой панели выберите Сетевой принтер, затем щелкните Действия Создать. 3 Введите уникальное имя и, по желанию, описание. 4 Введите путь по стандарту UNC. Все остальные поля не обязательны для заполнения. 5 Щелкните Сохранить. Создание определения списка URL адресов Определения списков URL адресов позволяют создавать правила защиты публикаций в Интернете. Они добавляются к правилам в качестве условий Веб-адрес (URL-адрес). Процедура Для каждого обязательного URL адреса выполните шаги 1 4. Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP Определения. 2 На левой панели выберите Список URL-адресов, затем Действия Создать. 3 Введите уникальное имя в поле Имя и, по желанию, Определение. 4 Выполните одно из следующих действий: Введите информацию в текстовых полях Протокол, Узел, Порт и Путь, затем нажмите кнопку Добавить. Вставьте URL адрес в текстовом поле Вставьте URL-адрес, затем щелкните Анализ и Добавить. 102 McAfee Data Loss Prevention Endpoint Product Guide

103 Классификация конфиденциального содержимого Пример использования: интеграция сторонних тегов с клиентом Titus 7 Поля URL адреса заполняются автоматически. 5 Добавив к определению все необходимые URL адреса, нажмите кнопку Сохранить. Пример использования: интеграция сторонних тегов с клиентом Titus Критерии классификации содержимого или идентификации содержимого по его отпечаткам могут включать несколько пар "имя/значение тега Titus". Предварительные операции 1 В каталоге политик откройте текущую конфигурацию клиента. Выберите Настройки Режим работы и модули. Убедитесь в том, что флажок Надстройки Outlook Активировать интеграцию со сторонними надстройками установлен. 2 Выберите Настройки Защита электронной почты и в разделе Интеграция со сторонними надстройками для Outlook выберите Titus в раскрывающемся списке Название поставщика. McAfee DLP Endpoint вызывает API Titus для распознавания отмеченных тегами файлов и определения тегов. Классификации, созданные с использованием тегов сторонних продуктов, могут применяться для всех правил защиты и обнаружения, которые используются для проверки файлов. Для реализации данной функции на конечных компьютерах должен быть установлен Titus SDK. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Data Protection Классификация. 2 Щелкните Создать классификацию. 3 Введите уникальное имя и необязательное описание. 4 Нажмите Действия, а затем выберите New Content Classification Criteria (Создать критерии классификации содержимого) или New Content Fingerprinting Criteria (Создать критерии идентификации содержимого по его отпечаткам). 5 Выберите свойство Теги сторонних продуктов. 6 Введите имя поля Titus и значение. Выберите определение значения из раскрывающегося списка. Введенное строковое значение может быть определено следующим образом: равно одному из равно всем из содержит одно из содержит все из 7 Щелкните + и добавьте другую пару имени/значения (не обязательно). 8 Щелкните Сохранить. McAfee Data Loss Prevention Endpoint Product Guide 103

104 7 Классификация конфиденциального содержимого Пример использования: интеграция средства классификации электронной почты Boldon James Classifier с критериями классификации Пример использования: интеграция средства классификации электронной почты Boldon James Classifier с критериями классификации В этом разделе рассматривается создание критериев классификации, поддерживающих Boldon James Classifier. Boldon James Classifier обеспечивает маркировку и классификацию сообщений электронной почты. Программное обеспечение McAfee DLP Endpoint может взаимодействовать с программой Classifier для блокировки сообщений на основе присвоенных классификаций. При настройке программного обеспечения Classifier можно выбрать строку, передаваемую из него в McAfee DLP Endpoint. Эта строка применяется при задании критериев классификации. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 Задайте совместимость с Boldon James в McAfee DLP Endpoint: a В консоли Classifier Administration (Администрирование классификатора) Boldon James Classifier откройте Classifier Application Settings (Параметры приложения Classifier) Outlook Settings (Параметры Outlook). Для параметра McAfee Host DLP scan (Проверка McAfee Host DLP) задайте значение Включено, а для McAfee Host DLP marking (Маркировка McAfee Host DLP) ссылку на формат маркировки, который содержит значение классификации со статическим текстом, однозначно определяющим маркировку DLP. Строка, составленная на основе этого формата маркировки, передается в программу McAfee DLP Endpoint, содержащую критерии классификации. b c В каталоге политик откройте текущую конфигурацию клиента. Выберите Настройки Режим работы и модули. Убедитесь в том, что флажок Надстройки Outlook Активировать интеграцию со сторонними надстройками установлен. Выберите Настройки Защита электронной почты и в разделе Интеграция со сторонними надстройками для Outlook выберите Boldon James в раскрывающемся списке Название поставщика. 2 Создайте классификацию Boldon James. Для каждой необходимой классификации выполните следующие шаги: a В McAfee epo выберите Меню Data Protection Классификация. b c d e Перейдите на вкладку Классификация, затем щелкните Создать классификацию. Введите уникальное имя и необязательное описание. Выберите Действия New Content Classification Criteria (Создать критерии классификации содержимого). Выберите свойство Ключевое слово. В поле Значение введите строку, составленную на основе формата маркировки, который был выбран при настройке Classifier Administration (Администрирование Classifier) для передачи в McAfee DLP Endpoint. [Классификация Boldon James] это строка, выбранная для передачи в McAfee DLP Endpoint при настройке Classifier. 3 В McAfee epo выберите Меню Защита данных Наборы правил DLP. 4 На вкладке Наборы правил выполните одно из следующих действий. Выберите Действия Создать набор правил. Выберите существующий набор правил. 104 McAfee Data Loss Prevention Endpoint Product Guide

105 Классификация конфиденциального содержимого Пример использования: интеграция средства классификации электронной почты Boldon James Classifier с критериями классификации 7 5 Выберите Действия Создать правило Защита электронной почты. Отображается форма определения Защита электронной почты. 6 Введите уникальное имя правила. 7 На вкладке Условие в раскрывающемся списке выберите Текст, затем выберите подходящую классификацию Boldon James. Выберите подходящие значения параметров Конечный пользователь, Конверт электронной почты и Получатели. На клиенте McAfee DLP Endpoint классификация Boldon James рассматривается как часть текста сообщения электронной почты. Правило действует более эффективно, если в определении проверка ограничивается текстом сообщения. 8 На вкладке Реакция выберите подходящие значения параметров Предотвратить действие, Уведомление пользователей, Сообщить об инциденте и Серьезность. Задайте для параметра Состояние значение Включено, затем нажмите кнопку Сохранить. McAfee Data Loss Prevention Endpoint Product Guide 105

106 7 Классификация конфиденциального содержимого Пример использования: интеграция средства классификации электронной почты Boldon James Classifier с критериями классификации 106 McAfee Data Loss Prevention Endpoint Product Guide

107 8 8 Работа с политиками В McAfee DLP Endpoint политики хранятся в каталоге политик McAfee epo. Политики DLP в каталоге политик McAfee epo состоят из наборов правил (правил защиты) и связанных с ними классификаций и определений. Они также могут содержать конфигурации проверок с обнаружением и параметры сервера. Правила и их наборы задаются в диспетчере политики DLP. В набор может входить несколько правил защиты данных, управления устройствами и обнаружения. Правила в наборе соединены логическим оператором ИЛИ: набор правил применяется в том случае, если проверяемое содержимое соответствует хотя бы одному из правил. Внутри правила администратором могут быть заданы параметры И или НЕ, а также сочетания параметров И, ИЛИ и НЕ. Рабочий процесс Ниже указаны этапы управления политиками: 1 Создайте и сохраните наборы правил на странице Диспетчер политики DLP Наборы правил. 2 Для большинства правил требуются классификации. Для определения классификаций используется консоль Классификации. 3 Назначьте набор правил политике DLP на странице Диспетчер политики DLP Назначение политики. 4 Создайте или отредактируйте определения. 5 Примените политики к McAfee epo на странице Каталог политик Политика DLP Активные наборы правил. На странице Активные наборы правил можно создавать политики путем дублирования политики по умолчанию или любой другой существующей политики. Также можно назначать наборы правил, выбрав Действия Активировать набор правил. Содержание Создание и назначение политик Применение нескольких политик Применение определений Изменение политики DLP Проверка политики McAfee Data Loss Prevention Endpoint Product Guide 107

108 8 Работа с политиками Создание и назначение политик Создание и назначение политик McAfee DLP поддерживает использование нескольких политик и нескольких конфигураций клиента, которые применяются к базе данных McAfee epo и назначаются для развертывания на конченых компьютерах. Ниже представлен порядок создания политик, их применения к McAfee epo и назначения для развертывания. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В программе McAfee epo последовательно выберите пункты Меню Политика Каталог политик. 2 В раскрывающемся списке Продукт выберите Data Loss Prevention 10. (Необязательно) Отсортируйте список политик с помощью элемента Категория. 3 Нажмите Дублировать (в столбце Действия) для существующей политики или конфигурации клиента. Измените имя и нажмите кнопку ОК. Действующие политики и конфигурации клиента можно создавать путем дублирования и редактирования политики или конфигурации по умолчанию (или действующей политики или конфигурации). 4 В McAfee epo выберите Меню Data Protection Диспетчер политики DLP. 5 В диспетчере политики выберите Действия Создать набор правил. Щелкните набор правил, чтобы открыть его и добавить в него правила. Можно создать несколько наборов правил в соответствии со своими требованиями. В каждом наборе может содержаться несколько правил. 6 Завершив определение набора правил, перейдите на вкладку Назначение политик. На этой вкладке представлены сведения обо всех назначенных наборах правил. 7 Щелкните Действия и выполните одно из указанных ниже действий. Выберите Назначить наборы правил политике. Выберите Назначить набор правил политикам. Один или несколько наборов будут назначены выбранным политикам. 8 Нажмите Применить выбранные политики. После того как вы проверите политики, выбранные в окне Выбор политики, нажмите кнопку Применить политику. После этого политики будут применены к базе данных McAfee epo. 9 В программе McAfee epo последовательно выберите пункты Меню Система Дерево систем. Для просмотра назначений выберите вкладку Назначенные политики. 10 На вкладке Назначенные задачи клиента выберите Действия Создать назначение задач клиента и следуйте инструкциям по развертыванию политики на конечных точках. См. также Наборы правил на стр. 113 Создание набора правил на стр McAfee Data Loss Prevention Endpoint Product Guide

109 Работа с политиками Применение нескольких политик 8 Применение нескольких политик В этом разделе рассматривается переопределение общих параметров и определений путем применения нескольких политик. Некоторые настройки и определения могут повлиять на поведение системы конечной точки. Например, изменение класса устройства с неуправляемого на управляемый заставляет клиент McAfee DLP Endpoint отслеживать и пытаться контролировать устройства, принадлежащие этому классу. Если какие-либо конечные компьютеры используют устройства, у которых имеются проблемы совместимости с драйвером устройства McAfee DLP Endpoint, их производительность может серьезно пострадать. McAfee DLP решает эту проблему, предлагая несколько политик. Администраторы могут переопределять классы устройств и настройки шаблона приложений для политики, а также задавать различные настройки и определения для различных систем в организации. Можно назначать различные политики с помощью правил назначения политик или групп назначения пользователей. По умолчанию в корне дерева систем назначена My Default DLP Policy (Моя политика DLP по умолчанию). Применение определений Определения служат для настройки правил, критериев классификации и проверок с обнаружением. В McAfee DLP определения хранятся в каталоге определений. Заданные определения доступны во всех компонентах McAfee DLP. Все определения допускают пользовательскую настройку; имеется также некоторое количество предварительно заданных определений. Для просмотра встроенных определений установите соответствующий флажок. Таблица 8-1 Определения, доступные в компоненте McAfee DLP Классификации Наборы правил Данные Расширенный шаблон* Расширение файла* Словарь* Свойства документа Расширение файла* Сведения о файле Действительный тип файла* Управление устройствами Класс устройств Определения устройств Уведомление Обоснование Уведомление пользователей Другое Планировщик Исходный/целевой объект Шаблон приложения Адрес электронной почты Группа конечных пользователей Локальная папка Сетевой адрес (IP-адрес) Сетевой порт McAfee Data Loss Prevention Endpoint Product Guide 109

110 8 Работа с политиками Изменение политики DLP Таблица 8-1 Определения, доступные в компоненте McAfee DLP (продолжение) Классификации Наборы правил Сетевой принтер Общий сетевой ресурс Имя процесса Список URL-адресов Заголовок окна * Указывает на наличие предварительно заданных (встроенных) определений. Изменение политики DLP Конфигурация политики DLP состоит из наборов правил, назначений политик и определений. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Диспетчер политики DLP. Создайте хотя бы один набор правил для назначения политике DLP. См. раздел Создание набора правил в этом руководстве. 2 В McAfee epo выберите Меню Каталог политик Продукт: Data Loss Prevention <версия>. Откройте конфигурацию политик DLP. Выберите метку политики DLP в столбце Категория, а затем щелкните столбец Имя. 3 Перейдите на вкладку Активные наборы правил. Если политике назначены наборы правил, они отображаются на этой странице. 4 Порядок назначения наборов правил политике a Выберите Меню Диспетчер политики DLP Назначение политик. b c Выберите Действия Назначить наборы правил политике. Можно также назначить набор правил нескольким политикам в меню Действия. В окне выбора укажите политику из раскрывающегося списка и с помощью флажков выберите наборы правил для назначения. Щелкните ОК. Выбранные наборы правил применяются к политике. 5 Порядок удаления наборов правил, назначенных политике a Выберите Действия Назначить наборы правил политике. b В окне выбора снимите флажки для тех наборов правил, которые требуется удалить из политики. Щелкните ОК. Выбранные наборы правил удаляются из политики. 6 Перейдите на вкладку Обнаружение конечной точки. 110 McAfee Data Loss Prevention Endpoint Product Guide

111 Работа с политиками Проверка политики 8 7 Выберите Действие Создать проверку конечной точки и выберите требуемый тип проверки: Локальная электронная почта или Локальная файловая система. Отображается страница настройки проверки. На этой странице следует выбрать определение планирования, применимые правила и другие сведения о проверке. Завершив ввод необходимых сведений, нажмите кнопку Сохранить. 8 Перейдите на вкладку Настройки. Ниже перечислены параметры, которые можно настроить на этой странице. Стратегия приложений по умолчанию и стратегия переопределения для выбранных приложений. Переопределение классов устройств и типы фильтров. Добавление привилегированных пользователей и групп пользователей. 9 Завершив внесение необходимых изменений, щелкните Применить политику. Изменения вносятся в базу данных McAfee epo. Проверка политики На странице Проверка политики отображаются ошибки и приводятся ссылки на метод устранения проблем. McAfee DLP проверяет политики перед их применением к базе данных McAfee epo. В случае возникновения ошибок приложение блокируется, а ошибки приводятся на странице Каталог политик Политика DLP Проверка политики с указанием рейтинга серьезности. Ссылка Изменить позволяет редактировать правила для исправления ошибок. McAfee Data Loss Prevention Endpoint Product Guide 111

112 8 Работа с политиками Проверка политики 112 McAfee Data Loss Prevention Endpoint Product Guide

113 9 Защита 9 конфиденциальных данных McAfee DLP обеспечивает защиту конфиденциальных данных путем комбинирования политик McAfee DLP Endpoint и McAfee DLP Discover. McAfee epo развертывает политики McAfee DLP на конечных компьютерах или серверах Discover. Клиентское программное обеспечение McAfee DLP Endpoint, серверное программное обеспечение или устройство применяет политики для защиты конфиденциальных данных. Содержание Наборы правил Правила Правила защиты данных Правила управления устройствами Правила обнаружения Белые списки Настройка сообщений для конечного пользователя Возможные реакции для правил различных типов Создание и настройка правил и их наборов Примеры использования правил Наборы правил Наборы правил определяют политики McAfee DLP. Наборы правил могут содержать комбинацию правил защиты данных, правил управления устройствами и правил обнаружения. Страница Наборы правил отображает список заданных наборов правил и состояние каждого набора. На странице отображается количество инцидентов, зарегистрированных для каждого набора правил, количество заданных правил и количество включенных правил. Для обозначения типов включенных правил используются цветные значки. При наведении указателя на значок появляется всплывающее окно, в котором отображается тип правила и количество включенных правил. Рисунок 9-1 Страница Наборы правил с информацией во всплывающей подсказке В наборе правил 1, определено шесть правил защиты данных, два правила обнаружения и одно правило управления устройствами. Из шести правил защиты данных включены только три. Как указано во всплывающей подсказке, два из этих трех правил относятся к буферу обмена. Третье McAfee Data Loss Prevention Endpoint Product Guide 113

114 9 Защита конфиденциальных данных Правила правило, представленное синим значком с правой стороны столбца, обеспечивает защиту доступа к файлам приложения. Если требуется просмотреть, какие правила определены, но отключены, откройте правило в режиме редактирования. См. также Защита файлов с помощью правил обнаружения на стр. 145 Создание правила на стр. 129 Правила Правила определяют действия, предпринимаемые при попытке передачи или получения конфиденциальной информации. Наборы правил могут содержать три типа правил: защита данных, управление устройствами и обнаружение. Правило разделено на три части: Условие, Исключения и Реакция. Каждая часть задается на отдельной вкладке определения правила. Правила могут включаться или отключаться и связываются с параметром Серьезность, значение которого выбирается из раскрывающегося списка. Условие Условие определяет ситуацию, когда срабатывает правило. Для правил защиты данных и обнаружения условие всегда включает в себя классификацию и может включать и другие условия. Например, правило защиты облачных служб помимо классификации содержит поля, определяющие конечного пользователя и облачную службу. Для правил управления устройствами условие всегда включает в себя конечного пользователя и может включать другие условия, такие как определение устройства. Правила управления устройствами не включают в себя классификации. Исключения Исключения определяют параметры, которые не участвуют в реализации правила. Например, правило защиты облачных служб может определять конкретных пользователей и классификации для загрузки данных в определенные облачные службы, блокируя такую возможность для других пользователей и заданных классификаций, определенных в разделе условий правила. Для исключения имеется отдельный параметр, позволяющий включать и отключать их во время тестирования правил. Создание определения исключения не является обязательным. Определения исключений для правил защиты данных и обнаружения сходны с определениями условий. Доступные параметры для исключения представляют собой подмножество параметров, используемых для определения условия. Для правил управления устройствами исключения задаются путем выбора определений из белого списка. Доступные для выбора определения из белого списка зависят от типа правила для устройства. Реакция Реакция определяет, что происходит, когда срабатывает правило. Имеющиеся действия зависят от типа правила, но по умолчанию для всех правил задано действие Нет действия. При выборе одновременно с параметром Сообщить об инциденте можно отслеживать частоту нарушения правил. Эта процедура крайне полезна для настройки правил, чтобы соблюдался оптимальный уровень обнаружения утечек данных без получения ложных положительных результатов. Реакция также определяет, срабатывает ли правило вне корпоративной сети или (для некоторых правил) при подключении к корпоративной сети по VPN. 114 McAfee Data Loss Prevention Endpoint Product Guide

115 Защита конфиденциальных данных Правила защиты данных 9 Правила защиты данных Правила защиты данных предназначены для отслеживания и контроля содержимого и действий пользователей. McAfee DLP Endpoint для Windows поддерживает все правила защиты данных. McAfee DLP Endpoint for Mac поддерживает правила защиты доступа к файлам для приложения, правила защиты общих сетевых ресурсов и правила защиты съемных носителей. Правила Защита доступа к файлам для приложения Правила защиты доступа к файлам обеспечивают отслеживание файлов на основе приложения или приложений, в которых они созданы. Они поддерживаются на компьютерах с Microsoft Windows и OS X. В McAfee DLP Endpoint for Mac поддерживаются только приложения и браузеры, работающие в OS X. Выберите определение приложения или URL-адреса с целью ограничения правила определенными приложениями. Определения URL-адресов не поддерживаются в McAfee DLP Endpoint for Mac Правила защиты доступа к файлам приложений взаимодействуют с McAfee Data Exchange Layer (DXL) в McAfee Threat Intelligence Exchange (TIE). Можно использовать информацию из TIE для определения правила с учетом репутации TIE. При выборе приложения в раскрывающемся списке можно выбрать репутацию TIE вместо приложения или URL-адреса браузера. Чтобы использовать репутацию TIE в правилах, на конечном компьютере должен быть установлен клиент DXL. Используйте определения классификаций для ограничения правила отдельными критериями идентификации содержимого по его отпечаткам или классификации содержимого. Пользователь также может ограничить действие правила только локальными пользователями или указанными группами пользователей. Действия Доступные действия: Заблокировать, Уведомление пользователей, Сообщить об инциденте и Сохранить исходный файл. При формировании отчета об инциденте не обязательно сохранять подтверждение. Если выбрано уведомление пользователей, на конечном компьютере активируется соответствующее всплывающее окно. Когда компьютер отключается от корпоративной сети, могут выполняться различные действия. Когда в поле Классификация выбран вариант представляет собой любые данные (ВСЕ), действие Заблокировать не допускается. При попытке сохранения правила с такими условиями формируется предупреждение. Конфигурация клиента Можно добавлять в конфигурацию клиента процессы в белом списке и определенные расширения на странице Защита доступа к файлам приложения. См. также Пример использования: предотвращение записи конфиденциальной информации на диск на стр. 137 McAfee Data Loss Prevention Endpoint Product Guide 115

116 9 Защита конфиденциальных данных Правила защиты данных Правила защиты облачных служб Правила защиты облачных служб управляют загрузкой файлов с помощью облачных приложений. Эти правила работают только в McAfee DLP Endpoint для Windows. Приложения облачных служб все чаще используются для резервного копирования и совместного использования файлов. Большинство приложений облачных служб создают специальную папку на диске, которая синхронизируется с сервером в облаке. McAfee DLP Endpoint перехватывает создание файлов в папке, принадлежащей приложению облачной службы, проверяет их, а затем применяет соответствующие политики. Если политика разрешает синхронизацию файла с папкой приложения облачной службы, а файл затем изменяется, он проверяется повторно и политика применяется заново. Если измененный файл нарушает политику, его нельзя будет синхронизировать с облачной службой. McAfee DLP Endpoint Правило защиты облачных служб поддерживает следующие службы: Box OneDrive (персональный) Dropbox OneDrive для бизнеса (groove.exe) Google Диск Syncplicity icloud Для увеличения скорости проверки можно указать вложенные папки верхнего уровня, которые будут включены в правило или исключены из него. Используйте определения классификаций для ограничения правила отдельными критериями идентификации содержимого по его отпечаткам или классификации содержимого. Пользователь также может ограничить правило лишь локальными пользователями или указанными группами пользователей, а также указать вложенную папку верхнего уровня. Действия Доступные действия включают в себя Заблокировать, Запросить обоснование, Применить политику управления правами и Зашифровать. Действие Уведомление пользователей может быть выбрано с сообщением об инциденте и сохранением или без сохранения оригинального файла. Когда компьютер отсоединен от корпоративной сети, могут быть применены различные действия. Конфигурация клиента Для работы правила защиты облачных служб следует выбрать Обработчики защиты облачных служб в каталоге политик на странице Конфигурация клиента Режим работы и модули. Обработчик и все соответствующие приложения будут выбраны по умолчанию. Можно отказаться от выбора индивидуальных приложений для более детального контроля. Правила защиты электронной почты Правила защиты электронной почты отслеживают или блокируют сообщения электронной почты, отправляемые по определенным адресам или определенным пользователям. Эти правила поддерживаются в McAfee DLP Endpoint для Windows. Правила защиты электронной почты позволяют заблокировать отправку сообщений электронной почты указанным получателям. Поле Конверт электронной почты позволяет указать, что сообщение электронной почты защищено разрешениями RMS, шифрованием PGP, цифровой подписью или шифрованием S/MIME. Этот параметр обычно используется для определения исключений. 116 McAfee Data Loss Prevention Endpoint Product Guide

117 Защита конфиденциальных данных Правила защиты данных 9 Используйте определения классификаций для ограничения правила отдельными критериями идентификации содержимого по его отпечаткам или классификации содержимого. Классификация может описывать сообщение электронной почты целиком или относиться только к теме, телу письма или вложениям. Пользователь также может ограничить действие правила только локальными пользователями или указанными группами пользователей. Действия В McAfee DLP Endpoint доступны следующие действия Заблокировать, Запросить обоснование, Уведомление пользователей, Сообщить об инциденте, и Store original (Сохранить исходное сообщение электронной почты). При сообщении об инциденте сохранение подтверждений является необязательным действием. Выбор уведомления пользователя приводит в действие всплывающее окно уведомления на конечном компьютере пользователя. Когда компьютер отсоединен от корпоративной сети, могут быть применены различные действия. Конфигурация клиента При использовании Lotus Notes, задействуйте подключаемый модуль Lotus Notes на странице Режим работы и модули. При использовании Microsoft Outlook включите соответствующие надстройки. Если в системе одновременно установлены Microsoft Exchange и Lotus Notes, правила для сообщений электронной почты не работают, если для обоих не настроен сервер исходящей почты (SMTP). Для использования сторонних надстроек Microsoft Outlook (Boldon James или Titus) выберите надстройку на странице Защита электронной почты. Надстройка McAfee DLP для Outlook переводится в режим обхода, когда установлена и включена сторонняя надстройка. Другие надстройки на странице Защита электронной почты управляют временными задержками, кэшированием, API и уведомлением пользователей. Рекомендация: для повышения производительности отключите неиспользуемые обработчики. Правила защиты сетевых подключений Правила защиты сетевых подключений отслеживают или блокируют входящие и исходящие данные в сети. Эти правила работают только в McAfee DLP Endpoint для Windows. Правила защиты сетевых подключений управляют сетевым трафиком на основе указанных сетевых адресов (обязательно) и портов (не обязательно). Также можно указать входящие и/или исходящие подключения. Можно добавить одно определение сетевого адреса и одно определение порта, но определения могут содержать несколько адресов или портов. Используйте определения классификаций для ограничения правила определенными критериями идентификации содержимого по его отпечаткам. Кроме того, правило можно привязать к местным пользователям или указанным группам пользователей, а также указать приложение, создающее подключение. Правила защиты сетевых подключений не проверяют критерии классификации содержимого. При определении классификаций, используемых вместе с правилами защиты сетевых подключений, используйте критерии идентификации содержимого по его отпечаткам. McAfee Data Loss Prevention Endpoint Product Guide 117

118 9 Защита конфиденциальных данных Правила защиты данных Действия Действия правила защиты сетевых подключений: Заблокировать, Сообщить об инциденте и Уведомить пользователя. Если выбрано уведомление пользователей, на конечном компьютере активируется соответствующее всплывающее окно. Когда компьютер отключается от корпоративной сети или подключается к корпоративной сети с использованием VPN, могут применяться различные действия. Конфигурация клиента Драйвер сетевых подключений активируется (по умолчанию) на странице Режим работы и модули. Правила защиты общих сетевых ресурсов Правила защиты общих сетевых ресурсов контролируют конфиденциальное содержимое, хранящееся на общих сетевых ресурсах. Они поддерживаются на компьютерах с Microsoft Windows и OS X. Правила защиты общих сетевых ресурсов можно применять для всех общих сетевых ресурсов или для определенных общих ресурсов. В правило может включаться одно определение общих ресурсов, которое может содержать несколько общих ресурсов. Включенная классификация (обязательная) определяет защищаемое конфиденциальное содержимое. Используйте определения классификаций для ограничения правила отдельными критериями идентификации содержимого по его отпечаткам или классификации содержимого. Кроме того, правило можно ограничить локальными пользователями, указанными группами пользователей, определенными общими сетевыми ресурсами, а также по приложению, копирующему файл. Действия Действия для правил защиты общих сетевых ресурсов включают в себя Зашифровать, Запросить обоснование, Сообщить об инциденте, Сохранить исходный файл и Уведомить пользователя. Шифрование не поддерживается в McAfee DLP Endpoint for Mac. При сообщении об инциденте сохранение подтверждений является необязательным действием. Выбор уведомления пользователя приводит в действие всплывающее окно уведомления на конечном компьютере пользователя. Когда компьютер отсоединен от корпоративной сети, могут быть применены различные действия. Доступные варианты шифрования: McAfee File and Removable Media Protection (FRP) и программное обеспечение для шифрования StormShield Data Security. Правила защиты принтера Правила защиты принтеров отслеживают или блокируют печать файлов. Эти правила работают только в McAfee DLP Endpoint для Windows. Используйте классификации, чтобы ограничить действие правила. Кроме того, правило можно ограничить, указав пользователей, принтеры или приложения, осуществляющие печать файлов. Определение принтеров может относиться к локальным принтерам, сетевым принтерам, именованным сетевым принтерам или принтерам для печати изображений. Принтеры для печати изображений, для которых имелось отдельное правило в более ранних версиях, теперь включены в правило для обычных принтеров. Действия Действия для правила защиты принтера: Заблокировать, Запросить обоснование, Уведомить пользователя, Сообщить об инциденте и Сохранить исходный файл. При формировании отчета об инциденте не обязательно сохранять подтверждение. Если выбрано уведомление пользователей, на конечном 118 McAfee Data Loss Prevention Endpoint Product Guide

119 Защита конфиденциальных данных Правила защиты данных 9 компьютере активируется соответствующее всплывающее окно. Когда компьютер отключается от корпоративной сети или подключается к корпоративной сети с использованием VPN, могут применяться различные действия. Конфигурация клиента Процессы, помещенные в белый список, приведены на странице Защита принтеров. Правила защиты принтеров игнорируют файлы, печать которых осуществляется процессами из белого списка. Подключаемые модули приложений принтера, выбранные на странице Режим работы и модули, могут повысить производительность принтера при использовании определенных распространенных приложений. Подключаемые модули устанавливаются, только когда правило защиты принтера включено на управляемом компьютере. Правила защиты съемных носителей Правила защиты съемных носителей отслеживают или блокируют запись данных на съемные носители. Они поддерживаются в McAfee DLP Endpoint для Windows и McAfee DLP Endpoint for Mac. В McAfee DLP Endpoint for Mac устройства CD и DVD не поддерживаются. Правила защиты съемных носителей могут контролировать устройства CD и DVD, съемные запоминающие устройства или оба этих типа устройств. Ограничьте правило с помощью критериев идентификации содержимого по его отпечаткам или классификации содержимого в классификациях (обязательное требование). Кроме того, можно также определить правило, указав пользователей, приложения или веб-адреса. Правила защиты съемных носителей для McAfee DLP Endpoint for Mac поддерживают только управление съемными запоминающими устройствами. Они не поддерживают устройства CD/DVD. Используйте классификации, чтобы ограничить действие правила. Кроме того, можно ограничить правило, указа пользователей или приложения, которым доступно копирование файла. Действия Действия для правила защиты съемных носителей: Заблокировать, Запросить обоснование, Зашифровать, Уведомить пользователя, Сообщить об инциденте и Сохранить исходный файл. При формировании отчета об инциденте не обязательно сохранять подтверждение. Если выбрано уведомление пользователей, на конечном компьютере активируется соответствующее всплывающее окно. Когда компьютер отключается от корпоративной сети, могут выполняться различные действия. Шифрование не поддерживается в McAfee DLP Endpoint for Mac. Конфигурация клиента Задайте режим удаления на странице Защита съемных носителей. В обычном режиме файл удаляется. В агрессивном режиме файл невозможно восстановить. Включите дополнительные параметры на странице Режим работы и модули. Возможны следующие варианты: Защита подключений дисков TrueCrypt Обработчик портативных устройств Расширенная защита копирования файлов Обработчик портативных устройств Протокол перезаписи со сменой носителя (MTP) используется для переноса файлов и связанных метаданных с компьютеров на мобильные устройства, такие как смартфоны. Устройства MTP это не традиционные съемные устройства, поскольку файловая система реализуется в устройстве, а McAfee Data Loss Prevention Endpoint Product Guide 119

120 9 Защита конфиденциальных данных Правила защиты данных не в компьютере, к которому оно подключено. Когда клиент настраивается для устройств MTP, правило для защиты съемных носителей позволяет перехватывать передачи MTP и применять политики безопасности. В настоящее время поддерживаются только подключения USB. Обработчик работает со всеми операциями переноса данных, выполняемыми проводником Windows. Он не работает с устройствами ios, которые используют itunes для управления операциями переноса данных. Одна из альтернативных стратегий для устройств ios представляет собой использование правила для съемных запоминающих устройств, чтобы настроить устройства как доступные только для чтения. Защита устройств TrueCrypt с помощью правил защиты съемных носителей Виртуальные устройства, зашифрованные с помощью TrueCrypt, можно защитить с помощью правил устройств TrueCrypt или правил защиты съемных носителей. Защита TrueCrypt не поддерживается в McAfee DLP Endpoint for Mac. При необходимости блокировки или отслеживания тома TrueCrypt используйте правило устройства или сделайте его доступным только для чтения. Чтобы защитить данные томов TrueCrypt на основе содержимого, используйте правило защиты. Сигнатуры утрачиваются при копировании содержимого с отпечатками на тома TrueCrypt, поскольку тома TrueCrypt не поддерживают расширенные атрибуты файлов. Для идентификации содержимого используйте свойства документов, шифрование файлов или определение групп файлов в определении классификации. Расширенная защита копирования файлов Расширенная защита копирования файлов перехватывает операции копирования в проводнике Windows и обеспечивает клиенту McAfee DLP Endpoint возможность проверки файла в исходном местоположении перед копированием на съемное устройство. Она включена по умолчанию и должна отключаться только для устранения неполадок. Это случаи, когда расширенная защита от копирования файлов не применяется. Например, файл, открытый приложением и сохраненный на съемное устройство с помощью функции Сохранить как, будет подвержен действию обычной защиты от копирования. Файл копируется на устройство, а затем проверяется. При обнаружении конфиденциального содержимого файл немедленно удаляется. Правила защиты от снимков экрана Правила защиты от снимков экрана управляют данными, копируемыми с экрана. Эти правила работают только в McAfee DLP Endpoint для Windows. Используйте определения классификаций для ограничения правила определенными критериями идентификации содержимого по его отпечаткам. Кроме того, правило можно ограничить локальными пользователями, указанными группами пользователей или приложениями, отображаемыми на экране. Правила защиты от снимков экрана не проверяют критерии классификации содержимого. При определении классификаций, используемых с правилами защиты от снимков экрана, используйте критерии идентификации содержимого по его отпечаткам. 120 McAfee Data Loss Prevention Endpoint Product Guide

121 Защита конфиденциальных данных Правила защиты данных 9 Действия Действия правила защиты от снимков экрана: Заблокировать, Уведомить пользователя, Сообщить об инциденте и Сохранить исходный файл. При формировании отчета об инциденте не обязательно сохранять подтверждение. Если выбрано уведомление пользователей, на конечном компьютере активируется соответствующее всплывающее окно. Когда компьютер отключается от корпоративной сети, могут выполняться различные действия. Конфигурация клиента Приложения, защищенные правилами защиты от снимков экрана, указываются на странице Защита от снимков экрана. В список предварительно внесены распространенные приложения для работы со снимками экрана. Можно добавлять, изменять или удалять приложения. Служба снимков экрана активируется на странице Режим работы и модули. Обработчик приложений и обработчик клавиши Print Screen можно включить по отдельности. По умолчанию оба обработчика включены При отключении обработчика приложений или службы снимков экрана отключаются все приложения, указанные на странице Защита от снимков экрана. Правила защиты публикаций в Интернете Правила защиты публикации в Интернете отслеживают или блокируют размещение данных на веб-сайтах, включая веб-службы электронной почты. Эти правила поддерживаются в McAfee DLP Endpoint для Windows. Правила защиты публикаций в Интернете определяются посредством добавления веб-адресов в правило. Используйте определения классификаций для ограничения правила отдельными критериями идентификации содержимого по его отпечаткам или классификации содержимого. Пользователь также может ограничить действие правила только локальными пользователями или указанными группами пользователей. Действия Действия для правила защиты публикаций в Интернете: Заблокировать, Запросить обоснование, Уведомить пользователя, Сообщить об инциденте и Сохранить исходный файл. При формировании отчета об инциденте не обязательно сохранять подтверждение. Если выбрано уведомление пользователей, на конечном компьютере активируется соответствующее всплывающее окно. Когда компьютер отключается от корпоративной сети, могут выполняться различные действия. Конфигурация клиента Включите браузеры для веб-защиты на странице Режим работы и модули. Поддерживаются Microsoft Internet Explorer, Microsoft Edge, Mozilla Firefox и Google Chrome. На странице Защита публикации в Интернете представлены настройки других параметров публикации в Интернете. Таблица 9-1 Определения параметров Параметр Оценка веб-защиты Обработка запросов HTTP GET Определение Настройки для выбора входных данных для оценки веб-запросов. Используются в случае, если AJAX может отправлять запросы HTTP/S на URL-адрес, отличный от указанного в адресной строке. Включение или отключение обработки запросов HTTP GET. По умолчанию запросы GET отключены, поскольку они достаточно ресурсоемкие. Этот параметр следует использовать с осторожностью. McAfee Data Loss Prevention Endpoint Product Guide 121

122 9 Защита конфиденциальных данных Правила управления устройствами Таблица 9-1 Определения параметров (продолжение) Параметр Поддерживаемые версии браузера Chrome Стратегия времени ожидания для публикаций в Интернете URL-адреса в белом списке Определение Этот список является обязательным, поскольку браузер Chrome обновляется достаточно часто. Чтобы обновить список, загрузите актуальный список на сайте службы поддержки McAfee и нажмите кнопку Обзор, чтобы установить XML-файл. Служит для указания максимально допустимого времени для анализа публикаций в Интернете, а также действия, которое необходимо выполнить в случае превышения этого значения. Доступные варианты заблокировать или разрешить. Также можно выбрать уведомление пользователей. Список URL-адресов, которые будут исключаться из всех правил защиты публикации в Интернете. Правила управления устройствами Правила управления устройствами определяют действие, которое выполняется, когда используются определенные устройства. Правила управления устройствами отслеживают и блокируют устройства, присоединенные к корпоративным компьютерам. McAfee DLP Endpoint для Windows поддерживает следующие типы правил: Съемный носитель Plug-and-play Стационарный жесткий диск Citrix XenApp TrueCrypt Доступ к файлам на съемном запоминающем устройстве McAfee DLP Endpoint for Mac поддерживает следующие типы правил: Съемный носитель Plug-and-play (только для устройств USB) Правила управления устройствами подробно описаны в разделе Защита съемных носителей. См. также Защита съемных носителей на стр. 4 Правила обнаружения Для проверки файлов и репозиториев McAfee DLP Endpoint и McAfee DLP Discover используют правила обнаружения. Таблица 9-2 Описание вектора данных Продукт McAfee DLP Endpoint Правило обнаружения Локальная электронная почта (OST, PST) Локальная файловая система 122 McAfee Data Loss Prevention Endpoint Product Guide

123 Защита конфиденциальных данных Белые списки 9 Таблица 9-2 Описание вектора данных (продолжение) Продукт McAfee DLP Discover Правило обнаружения Защита Box Защита файлового сервера (CIFS) Защита SharePoint Белые списки Белые списки представляют собой наборы элементов, которые должны игнорироваться системой. В белые списки можно помещать содержимое, устройства, процессы и группы пользователей. Белые списки в правилах защиты данных Пользователь может указать процессы в белом списке для правил защиты буфера обмена и печати в конфигурации клиента Каталог политик Windows на соответствующих страницах. Также можно указать URL-адреса в белом списке на странице Веб-защита. Поскольку эти белые списки действуют на клиентском компьютере, они работают со всеми правилами защиты буфера обмена, печати и публикации в Интернете. Правила защиты буфера обмена и печати игнорируют содержимое, создаваемое процессами из белого списка. Правила защиты публикации в Интернете не применяются принудительно к URL-адресам, находящимся в белом списке. Пользователь также может занести в белый список процессы для извлечения текста на странице Отслеживание по содержимому. В зависимости от определения, средство извлечения текста не анализирует файлы или содержимое с отпечатками, если эта информация была открыта определенным приложением; также не всегда создаются динамические отпечатки для загрузки в Интернет. Определение может явно указывать папки и расширения, позволяя контролировать, что именно попадет в белый список. Если имя папки не указано, процесс не отслеживается правилами доступа к файлам для приложений. Белые списки в правилах для устройств Пользователи могут создавать белые списки устройств plug-and-play в разделе Определения устройств диспетчера политик DLP. Некоторые устройства plug-and-play плохо взаимодействуют с управлением устройствами. Попытка управления подобными устройствами может привести к зависанию системы или вызвать другие серьезные проблемы. Устройства plug-and-play, помещенные в белый список, автоматически исключаются при применении политики. Определения помещенных в белый список устройств plug-and-play не работают в операционных системах OS X. Вкладка Исключения в разделе правил управления устройствами определяется белыми списками, которые относятся к конкретным правилам, с которыми они связаны. Белые списки исключают из правила указанные определения. Пользователи используются во всех правилах для устройств Определения устройств используются во всех правилах, кроме правил для устройств Citrix и TrueCrypt Процессы используются в правилах для устройств plug-and-play и съемных запоминающих устройств McAfee Data Loss Prevention Endpoint Product Guide 123

124 9 Защита конфиденциальных данных Настройка сообщений для конечного пользователя Пары серийных номеров и пользователей используются в правилах для устройств plug-and-play и съемных запоминающих устройств Имена файлов используются в правилах доступа к файлам на съемных запоминающих устройствах, чтобы исключить такие файлы, как файлы антивирусных приложений Настройка сообщений для конечного пользователя Для взаимодействия с конечными пользователями используется два вида сообщений: уведомления и сообщения, требующие обоснования пользователя. Уведомления и сообщения, требующие обоснования пользователя, могут указывать языковые стандарты (языки) и содержать подстановочные знаки, заменяемые реальными значениями. Когда заданы языковые стандарты, сообщения и кнопки выбора (для бизнес-обоснований) появляются на конечном компьютере на языке по умолчанию. Поддерживаются следующие языковые стандарты: Английский (США) Японский Английский (Великобритания) Корейский Французский Русский Немецкий Китайский (упрощенное письмо) Испанский Китайский (традиционное письмо) Языковым стандартом по умолчанию является английский (США), но в определении можно указать в качестве языкового стандарта по умолчанию любой из доступных. Языковой стандарт по умолчанию используется, когда другие заданные языковые стандарты недоступны в качестве языка по умолчанию на конечном компьютере. Уведомление пользователей Уведомления пользователей отображаются во всплывающих окнах и информируют пользователя о нарушении политик. Когда правило формирует несколько событий, во всплывающем сообщении указано: На консоли DLP имеются новые события DLP; несколько сообщений одновременно не отображается. Уведомления пользователей задаются в разделе Диспетчер политики DLP Определения Уведомления. Бизнес-обоснование Функция бизнес-обоснования позволяет обходить политики. Если в правиле в качестве действия по предотвращению указано Запросить обоснование, то для продолжения выполнения заблокированного действия пользователь должен ввести обоснование. Сообщения функции бизнес-обоснования задаются в разделе Диспетчер политики DLP Определения Обоснование. 124 McAfee Data Loss Prevention Endpoint Product Guide

125 Защита конфиденциальных данных Возможные реакции для правил различных типов 9 Заполнители Заполнители служат для вставки в сообщения переменного текста, зависящего от причины формирования сообщения для конечного пользователя. Предусмотрены следующие заполнители: %c для классификаций %r для имени набора правил %v для вектора (защита электронной почты, веб-защита и т. п.) %a для действия %s для строкового значения (имя файла, имя устройства и т. п.) См. также Создание определения обоснования на стр. 131 Создание определения уведомления на стр. 132 Возможные реакции для правил различных типов Реакции, которые могут быть заданы в правиле, зависят от его типа. Правила защиты данных доступны для McAfee DLP Endpoint. Правила управления устройствами доступны для McAfee DLP Endpoint и Device Control. Некоторые правила обнаружения доступны в McAfee DLP Endpoint, другие в McAfee DLP Discover. Таблица 9-3 Доступные реакции Реакция Область применения Результат Нет действия Все Разрешение действия. Заблокировать Защита данных Управление устройствами Блокировка действия. Копировать Обнаружение Файл копируется в указанное местоположение (UNC-путь). Зашифровать Защита данных Обнаружение Не поддерживается McAfee DLP Endpoint for Mac. Шифрование файлов. Варианты шифрования: FRP или программное обеспечение StormShield Data Security. Переместить Обнаружение Файл перемещается в указанное местоположение (UNC-путь). Допускается создание файла-прототипа (не обязательно) с целью уведомить пользователя о том, что его файл перемещен. Только для чтения Управление устройствами Перевод в режим доступа только для чтения. Запросить обоснование Защита данных Открытие всплывающего окна на компьютере конечного пользователя. Пользователь выбирает обоснование (с возможностью ввода) или одно из необязательных действий. McAfee Data Loss Prevention Endpoint Product Guide 125

126 9 Защита конфиденциальных данных Возможные реакции для правил различных типов Таблица 9-3 Доступные реакции (продолжение) Реакция Область применения Результат Применить политику управления правами Защита данных Обнаружение Не поддерживается McAfee DLP Endpoint for Mac. Применение политики управления правами к файлу. Карантин Обнаружение Помещение файлов в карантин. Тег Обнаружение Назначение тегов для файла. Показать файл в консоли DLP Endpoint Уведомление пользователей Обнаружение Защита данных Обнаружение Отображение имени файла и пути в консоли конечной точки. Имя файла представляет собой ссылку для открытия файла, если только он не был помещен в карантин. Ссылка Путь открывает папку, где находится файл. Передача на конечный компьютер сообщения, уведомляющего пользователя о нарушении политики. Если выбрана реакция Уведомление пользователей и при срабатывании правила формируется несколько событий, вместо отображения нескольких сообщений открывается всплывающее окно с сообщением На консоли DLP имеются новые события DLP. Сообщить об инциденте Все Формирование записи об инциденте, связанном с нарушением, в диспетчере инцидентов DLP. Сохранить исходный файл Защита данных Обнаружение Сохранение файла для просмотра в диспетчере инцидентов. Необходимо задать папку подтверждений и включить службу их копирования. Сохранять исходное сообщение электронной почты как подтверждение Защита данных Не поддерживается в McAfee DLP Endpoint for Mac Исходное сообщение сохраняется в общей папке подтверждений. Относится только к правилам защиты электронной почты McAfee DLP Endpoint. Таблица 9-4 Действия для правил защиты данных Тип правила Защита доступа к файлам для приложения Защита буфера обмена Защита облачных служб Реакции Нет действия X X Добавить заголовок Заблокировать Зашифровать Запросить обоснование X X X X X * X X Применить политику управления правами 126 McAfee Data Loss Prevention Endpoint Product Guide

127 Защита конфиденциальных данных Возможные реакции для правил различных типов 9 Таблица 9-4 Действия для правил защиты данных (продолжение) Тип правила Защита электронной почты Защита сетевых подключений Защита общих сетевых ресурсов Защита принтеров Защита съемных носителей Защита от снимков экрана Защита публикации в Интернете Реакции Нет действия Добавить заголовок Заблокировать Зашифровать Запросить обоснование X X X X X X X X X X X X X X X X X X X X X Применить политику управления правами Шифрование не поддерживается в McAfee DLP Endpoint for Mac * Шифрование для правил защиты облачных служб поддерживается только для Box, Dropbox, Google Диск и OneDrive для частных лиц. Попытка выгрузить зашифрованные файлы в другое облачное хранилище приведет к ошибке сохранения файла. Таблица 9-5 Реакции в правилах управления устройствами Правила Устройство Citrix XenApp Реакции Нет действия Заблокировать Только для чтения Стационарный жесткий диск X X X Устройство Plug-and-Play X X Съемный носитель X X X Доступ к файлам на съемном запоминающем устройстве Устройство TrueCrypt X X X X X X McAfee Data Loss Prevention Endpoint Product Guide 127

128 9 Защита конфиденциальных данных Создание и настройка правил и их наборов Таблица 9-6 Реакции на правила обнаружения McAfee DLP Endpoint Реакции Правила Нет действия Зашифровать Применить политику управления правами Карантин Тег Показать файл в консоли McAfee DLP Endpoint Файловая система конечной точки Защита хранилища электронной почты конечной точки X X X X X X X X X X Создание и настройка правил и их наборов В этом разделе рассматривается создание и настройка правил для политик McAfee DLP Endpoint, Device Control и McAfee DLP Discover. Задания Создание набора правил на стр. 128 Наборы правил состоят из правил защиты устройств, защиты данных и проверок с обнаружением. Создание правила на стр. 129 Процесс создания правил одинаков для всех типов правил. Назначение наборов правил политикам на стр. 130 Перед назначением конечным компьютерам наборы правил назначаются политикам, а политики вносятся в базу данных McAfee epo. Включение, отключение и удаление правил на стр. 130 Можно удалить несколько правил одновременно или изменить их состояние. Импорт и экспорт правил и классификаций на стр. 131 Пользователь может экспортировать правила и классификации с сервера McAfee epo и импортировать их на другой сервер McAfee epo. Настройка столбцов для правил или наборов правил на стр. 131 Столбцы, отображаемые для правил или наборов правил, можно перемещать, добавлять и удалять. Создание определения обоснования на стр. 131 Для McAfee DLP Endpoint определения бизнес-обоснований определяют параметры, управляющие выполнением действий по предотвращению в правилах. Создание определения уведомления на стр. 132 При использовании McAfee DLP Endpoint пользовательские уведомления возникают в виде всплывающих окон или добавляются к консоли конечного пользователя, когда действия пользователя противоречат политике. Создание набора правил Наборы правил состоят из правил защиты устройств, защиты данных и проверок с обнаружением. 128 McAfee Data Loss Prevention Endpoint Product Guide

129 Защита конфиденциальных данных Создание и настройка правил и их наборов 9 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP. 2 Перейдите на вкладку Наборы правил. 3 Выберите Действия Создать набор правил. 4 Введите имя и, по желанию, примечание, затем нажмите кнопку ОК. Создание правила Процесс создания правил одинаков для всех типов правил. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Data Protection Диспетчер политики DLP. 2 Перейдите на вкладку Наборы правил. 3 Щелкните имя набора правил и при необходимости выберите подходящую вкладку для данного правила: Защита данных, Управление устройствами или Обнаружение. 4 Выберите Действия Создать правило, затем выберите тип правила. 5 На вкладке Условие введите необходимую информацию. Для некоторых условий, таких как классификации или определения устройств, нажмите... для выбора существующего элемента или создайте новый. Для добавления других критериев щелкните +. Для удаления критериев щелкните. 6 (Необязательно) Для добавления исключений к правилу перейдите на вкладку Исключения. a Выберите Действия Добавить исключение из правила. В правилах для устройств не отображается кнопка Действия. Для добавления исключений к правилам для устройств выберите запись из отображаемого списка. b Заполните поля в соответствии с требованиями. 7 На вкладке Реакция настройте параметры Предотвратить действие, Уведомление пользователей и Сообщить об инциденте. Правила могут быть сопоставлены с различными действиями в зависимости от того, находится ли конечный компьютер в корпоративной сети. Некоторые правила также сопоставлены с другими действиями в случае подключения к корпоративной сети посредством VPN. 8 Нажмите Сохранить для сохранения правила или Закрыть для выхода без сохранения. См. также Наборы правил на стр. 113 McAfee Data Loss Prevention Endpoint Product Guide 129

130 9 Защита конфиденциальных данных Создание и настройка правил и их наборов Назначение наборов правил политикам Перед назначением конечным компьютерам наборы правил назначаются политикам, а политики вносятся в базу данных McAfee epo. Предварительные операции На странице Диспетчер политики DLP Наборы правил создайте один или несколько наборов правил и добавьте в них требуемые правила. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 На странице Диспетчер политики DLP Назначение политик выполните одно из следующих действий: Выберите Действия Назначение наборов правил политикам. В окне назначения выберите набор правил в раскрывающемся списке и выберите политики для назначения. Щелкните ОК. Выберите Действия Назначить наборы правил политике. В окне назначения выберите политику в раскрывающемся списке и выберите наборы правил для назначения. Щелкните ОК. Если отменить выбор ранее выбранных набора правил или политики, набор правил удаляется из политики. 2 Выберите Действия Применить выбранные политики. В окне назначения выберите политики для сохранения в базе данных McAfee epo. Щелкните ОК. В окне выбора отображаются только политики, которые еще не сохранены в базе данных. Если изменить назначение набора правил или правило в назначенном наборе правил, политика отображается и обновленная политика применяется вместо предыдущей политики. Включение, отключение и удаление правил Можно удалить несколько правил одновременно или изменить их состояние. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP. 2 Перейдите на вкладку Наборы правил. 3 Щелкните имя набора правил и при необходимости выберите подходящую вкладку для данного правила: Защита данных, Управление устройствами или Обнаружение. 4 Выберите одно или несколько правил. 5 Обновите или удалите выбранные правила. Для включения правил выберите Действия Изменить состояние Включить. Для отключения правил выберите Действия Изменить состояние Отключить. Для удаления правил выберите Действия Удалить. 130 McAfee Data Loss Prevention Endpoint Product Guide

131 Защита конфиденциальных данных Создание и настройка правил и их наборов 9 Импорт и экспорт правил и классификаций Пользователь может экспортировать правила и классификации с сервера McAfee epo и импортировать их на другой сервер McAfee epo. Процедура 1 В McAfee epo выберите Data Protection Параметры DLP. 2 Нажмите Архивировать в файл и сохраните файл на съемном носителе USB или в общей папке. 3 На другом сервере McAfee epo выберите Data Protection Параметры DLP. 4 Нажмите Восстановить из файла и выберите ранее сохраненный файл. Настройка столбцов для правил или наборов правил Столбцы, отображаемые для правил или наборов правил, можно перемещать, добавлять и удалять. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP. 2 Перейдите на вкладку Наборы правил. 3 Перейдите на страницу Выбрать столбцы для отображения. Наборы правил: выберите Действия Выбрать столбцы. Правила: выберите набор правил, затем Действия Выбрать столбцы. 4 Измените столбцы. Для добавления столбцов щелкните соответствующие элементы на панели Доступные столбцы. Для перемещения или удаления столбцов на панели Выбранные столбцы щелкните стрелки или значки x. Для восстановления конфигурации столбцов по умолчанию щелкните Использовать по умолчанию. 5 Щелкните Сохранить. Создание определения обоснования Для McAfee DLP Endpoint определения бизнес-обоснований определяют параметры, управляющие выполнением действий по предотвращению в правилах. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Data Protection Диспетчер политики DLP. 2 Перейдите на вкладку Определения, затем выберите Уведомление Обоснование. 3 Выберите Действия Создать. 4 Введите уникальное имя и, по желанию, описание. McAfee Data Loss Prevention Endpoint Product Guide 131

132 9 Защита конфиденциальных данных Создание и настройка правил и их наборов 5 Для создания определений уведомления на нескольких языках выберите Действия с языками Создать язык. Выберите каждый из требуемых языков в раскрывающемся списке. Выбранные языки добавляются к списку. 6 Для каждого региона выполните следующее: a На левой панели выберите язык для редактирования. Введите текст в текстовых полях и установите требуемые флажки. Элемент Показывать соответствующие строки представляет собой ссылку на всплывающее окно, где отображается содержимое с выделением причин. Элемент Подробнее представляет собой ссылку на справочный документ или страницу корпоративной сети. При вводе определения языка флажки и действия не доступны. Можно ввести только текст кнопок, общие сведения и заголовок. В разделе Варианты обоснования можно заменить определения по умолчанию версией на требуемом языке с помощью функции Изменить в столбце Действия. b c d Введите общие сведения в поле Обзор обоснования и при необходимости в поле Заголовок диалогового окна. Общие сведения служат общей инструкцией для пользователя, например: Для этого действия необходимо бизнес-обоснование. Максимальная длина текста составляет 500 символов. Введите текст кнопок и выберите действия, связанные с кнопками. Если требуется создать определение для двух кнопок, установите флажок Скрыть кнопку. При нажатии кнопок должны выполняться действия по предотвращению, доступные для правил того типа, который допускает применение данного определения. Например, в правилах защиты общих сетевых ресурсов возможны только следующие действия по предотвращению: Нет действия, Зашифровать и Запросить обоснование. Если выбрать для связывания с кнопкой действие Заблокировать, при попытке применения данного определения в определении правила защиты общих сетевых ресурсов отображается сообщения об ошибке. Введите текст в текстовом поле и щелкните Добавить для добавления к списку Варианты обоснования. Если требуется предоставить конечному пользователю доступ к списку для просмотра, установите флажок Показывать варианты обоснования. Для пользовательской настройки текста можно применять заполнители, указывающие причину вызова всплывающего окна. 7 Завершив настройку всех языков, нажмите кнопку Сохранить. См. также Настройка сообщений для конечного пользователя на стр. 124 Создание определения уведомления При использовании McAfee DLP Endpoint пользовательские уведомления возникают в виде всплывающих окон или добавляются к консоли конечного пользователя, когда действия пользователя противоречат политике. 132 McAfee Data Loss Prevention Endpoint Product Guide

133 Защита конфиденциальных данных Примеры использования правил 9 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Data Protection Диспетчер политики DLP. 2 Перейдите на вкладку Определения, затем выберите Уведомление Уведомление пользователей. 3 Выберите Действия Создать. 4 Введите уникальное имя и, по желанию, описание. 5 Для создания определений уведомления пользователей на нескольких языках выберите Действия с языками Создать язык. Выберите каждый из требуемых языков в раскрывающемся списке. Выбранные языки добавляются к списку. 6 Для каждого региона выполните следующее: a На левой панели выберите язык для редактирования. Любой язык можно задать для применения по умолчанию, установив флажок Язык по умолчанию. b c Введите текст в текстовом поле. Для пользовательской настройки текста можно применять заполнители, указывающие причину вызова всплывающего окна. (Необязательно) Установите флажок Показывать ссылку на подробные сведения и введите URL-адрес, содержащий более подробную информацию. Доступно только с региональными настройками по умолчанию. 7 Завершив настройку всех языков, нажмите кнопку Сохранить. См. также Настройка сообщений для конечного пользователя на стр. 124 Примеры использования правил Ниже приведены примеры использования правил защиты устройств и данных. McAfee Data Loss Prevention Endpoint Product Guide 133

134 9 Защита конфиденциальных данных Примеры использования правил Задания Пример применения: правило для съемных запоминающих устройств с процессом из белого списка на стр. 134 Пользователь может помещать в белый список имена файлов, чтобы исключить их из действия правила блокировки съемных запоминающих устройств. Пример применения: настройка съемного устройства как доступного только для чтения на стр. 135 Правила защиты съемных запоминающих устройств, в отличие от правил защиты устройств plug-and-play, позволяют переводить устройства в режим "только для чтения". Пример использования: блокировка и зарядка iphone с помощью правила устройств plug-and-play на стр. 136 Можно заблокировать использование телефонов Apple iphone в качестве запоминающих устройств во время зарядки от компьютера. Пример использования: предотвращение записи конфиденциальной информации на диск на стр. 137 Правила защиты доступа к файлам приложения могут применяться для блокировки использования устройств записи на CD/DVD-диски для копирования конфиденциальной информации. Пример использования: блокирование исходящих сообщений с конфиденциальным содержимым в домены, отличные от указанного на стр. 138 Исходящие сообщения блокируются, если в них содержится слово Конфиденциально, за исключением случаев, когда получатель находится в списке исключений из правила. Пример использования: предоставление определенной группе пользователей возможности отправлять кредитные сведения на стр. 139 Сотрудникам отдела кадров необходимо разрешить отправлять сообщения, содержащие личную кредитную информацию, полученную из вашей службы Active Directory. Пример использования: классифицирование вложений как ТРЕБУЮЩИХ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ в зависимости от их места назначения на стр. 141 Создайте классификации, которые позволяют отправлять вложения, помеченные как ТРЕБУЮЩИЕ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, сотрудникам в США, Германии и Израиле. Пример применения: правило для съемных запоминающих устройств с процессом из белого списка Пользователь может помещать в белый список имена файлов, чтобы исключить их из действия правила блокировки съемных запоминающих устройств. Правила для съемных запоминающих устройств используются для блокирования для приложений доступа к съемным запоминающим устройствам. Имена файлов, помещенные в белый список, считаются процессами, которые не блокируются. В этом примере мы заблокируем съемные запоминающие устройства Sandisk, но разрешим антивирусному ПО проверять файлы на устройстве с целью удаления зараженных файлов. Эта функция поддерживается только для компьютеров под управлением Windows. 134 McAfee Data Loss Prevention Endpoint Product Guide

135 Защита конфиденциальных данных Примеры использования правил 9 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP. 2 На вкладке Определения найдите встроенное определение класса устройств All Sandisk removable storage devices (Windows) (Все съемные запоминающие устройства Sandisk (Windows)) и нажмите Дублировать. Определение использует идентификатор поставщика Sandisk Рекомендация: для создания пользовательских определений дублируйте встроенные определения. Например, в дублированное определение Sandisk можно добавлять идентификаторы других поставщиков с целью добавления других видов съемных запоминающих устройств. 3 На вкладке Наборы правил выберите или создайте набор правил. 4 На вкладке набора правил Управление устройствами выберите Действия Создать правило Правило для съемных запоминающих устройств. 5 Введите имя правила и выберите Состояние Включено. 6 На вкладке Условия выберите Конечный пользователь или оставьте значение по умолчанию (является любым пользователем). В поле Съемный носитель укажите определение устройства, созданное на этапе 2. 7 На вкладке Исключения выберите Имена файлов в белом списке. 8 В поле Имя файла добавьте встроенное определение McAfee AV. Как и с определением съемного запоминающего устройства, это определение можно дублировать и изменять. 9 На вкладке Реакция выберите Предотвратить действие Заблокировать. Дополнительно можно добавить уведомление пользователей и выбрать вариант Сообщить об инциденте. 10 Нажмите кнопку Сохранить, затем щелкните Закрыть. Пример применения: настройка съемного устройства как доступного только для чтения Правила защиты съемных запоминающих устройств, в отличие от правил защиты устройств plug-and-play, позволяют переводить устройства в режим "только для чтения". Если настроить съемные устройства как доступные только для чтения, можно разрешить пользователям использовать свои персональные устройства, например MP3-плееры, без возможности использования их в качестве запоминающих устройств. McAfee Data Loss Prevention Endpoint Product Guide 135

136 9 Защита конфиденциальных данных Примеры использования правил Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP. 2 На вкладке Определения на странице Определения устройств создайте определение съемного запоминающего устройства. Определения съемных запоминающих устройств должны быть категоризованы как относящиеся к операционным системам Windows и Mac. Начните с создания копии одного из встроенных определений для Windows или Mac и измените его. В поле Тип шины можно указать USB, Bluetooth или любую другую шину, которую предполагается использовать. Идентифицируйте устройства по идентификаторам поставщика или именам. 3 На вкладке Наборы правил выберите или создайте набор правил. 4 На вкладке Управление устройствами выберите Действия Создать правило Правило для съемных запоминающих устройств. 5 Введите имя для правила и выберите Состояние Включено. В разделе Условия в поле Съемный носитель выберите определение устройства, созданное на этапе 2. 6 На вкладке Реакция выберите Предотвратить действие Только для чтения. Дополнительно можно добавить уведомление пользователей и выбрать вариант Сообщить об инциденте. 7 Нажмите кнопку Сохранить, затем щелкните Закрыть. Пример использования: блокировка и зарядка iphone с помощью правила устройств plug-and-play Можно заблокировать использование телефонов Apple iphone в качестве запоминающих устройств во время зарядки от компьютера. В рамках этого примера создается правило, которое блокирует использование iphone как запоминающего устройства. Правило защиты устройств plug-and-play используется, поскольку оно позволяет iphone заряжаться независимо от содержимого правила. Эта функция не работает с другими смартфонами и другими устройствами Apple. Она не мешает заряжать iphone от компьютера. При определении правила устройства plug-and-play для конкретных устройств необходимо создать определение устройства, указав идентификационные коды поставщика и продукта (VID/ PID). Эту информацию можно получить в диспетчере устройств Windows, когда устройство подключено. Поскольку в этом примере нам потребуется только VID, можно использовать встроенное определение устройств All Apple devices (Все устройства Apple), не выполняя поиск необходимой информации. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP. 2 На вкладке Наборы правил выберите набор правил (или создайте его). Выберите вкладку Управление устройствами и создайте правило устройств plug-and-play. Используйте встроенное определение устройств All Apple devices (Все устройства Apple) как включенное (является одним из следующего (ИЛИ)). 136 McAfee Data Loss Prevention Endpoint Product Guide

137 Защита конфиденциальных данных Примеры использования правил 9 3 На вкладке Реакция для действия по предотвращению выберите вариант Заблокировать. 4 Нажмите кнопку Сохранить, затем щелкните Закрыть. Пример использования: предотвращение записи конфиденциальной информации на диск Правила защиты доступа к файлам приложения могут применяться для блокировки использования устройств записи на CD/DVD-диски для копирования конфиденциальной информации. Предварительные операции Создайте классификацию для определения конфиденциального содержимого. Используйте параметры, которые подходят для имеющейся среды: ключевое слово, текстовый шаблон, информация о файле и т. д. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP. 2 На вкладке Наборы правил выберите текущий набор правил или выберите Действия Создать набор правил и определите набор правил. 3 На вкладке Защита данных выберите Действия Создать правило Защита доступа к файлам для приложения. 4 Не обязательно: введите имя в поле Имя правила (обязательно). Выберите параметры для полей Состояние и Серьезность. 5 На вкладке Условие в поле Классификация выберите классификацию, созданную для имеющегося конфиденциального содержимого. 6 В поле Конечный пользователь выберите группы пользователей (не обязательно). При добавлении пользователей или групп в правило оно ограничивается указанными пользователями. 7 В поле Приложения выберите Media Burner Applications [встроенные] в списке доступных определений приложений. Пользователь может создать собственное определение устройства записи на оптические диски посредством изменения встроенного определения. При изменении встроенного определения автоматически создается копия исходного определения. 8 На вкладке Исключения создайте исключения для правила (не обязательно). Определения исключений могут включать любое поле, имеющееся в определении условия. Можно определить несколько исключений для использования в различных ситуациях. Один из примеров определение привилегированных пользователей, которые исключаются из правила. 9 На вкладке Реакция в поле Предотвратить действие выберите вариант Заблокировать. Выберите Уведомление пользователей (не обязательно). Нажмите кнопку Сохранить, затем Закрыть. Другие параметры предназначены для изменения используемых по умолчанию отчетности об инциденте и действия по предотвращению при отключении компьютера от сети. McAfee Data Loss Prevention Endpoint Product Guide 137

138 9 Защита конфиденциальных данных Примеры использования правил 10 На вкладке Назначение политик назначьте набор правил для одной или нескольких политик: a Выберите Действия Назначение наборов правил политикам. b c Выберите подходящий набор правил в раскрывающемся списке. Выберите одну или несколько политик для назначения. 11 Выберите Действия Применить выбранные политики. Выберите политики для сохранения в базе данных McAfee epo и нажмите кнопку ОК. Пример использования: блокирование исходящих сообщений с конфиденциальным содержимым в домены, отличные от указанного Исходящие сообщения блокируются, если в них содержится слово Конфиденциально, за исключением случаев, когда получатель находится в списке исключений из правила. Выполните приведенные ниже общие действия. Создайте определение адреса электронной почты. Создайте набор правил и правило для сообщений, содержащих слово Конфиденциально. Укажите получателей, на которых не распространяется это правило. Укажите реакцию на сообщения, содержащие слово Конфиденциально. Таблица 9-7 Ожидаемое поведение Содержимое сообщения электронной почты Текст: конфиденциально Текст: конфиденциально Текст: Вложение: конфиденциально Получатель Ожидаемый результат Сообщение блокируется, поскольку в нем содержится слово "Конфиденциально". Сообщение не блокируется, поскольку в настройках исключений указано, что такие письма можно отправлять пользователям в домене пример.com Письмо блокируется. Действие блокирования для домена внешний_адрес.com имеет приоритет. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 Создайте определение адреса электронной почты для домена, на который правило не распространяется. a В McAfee epo в разделе Data Protection выберите Диспетчер политики DLP и нажмите Определения. b Выберите определение Адрес электронной почты и создайте дубликат встроенной записи My organization domain. 138 McAfee Data Loss Prevention Endpoint Product Guide

139 Защита конфиденциальных данных Примеры использования правил 9 c d e Выберите созданное вами определение адреса электронной почты и нажмите кнопку Изменить. В разделе Оператор выберите Доменное имя и присвойте значение пример.com. Нажмите Сохранить. 2 Создайте набор правил с правилом Защита электронной почты. a Нажмите Наборы правил, затем выберите Действия Создать набор правил. b c d e f Присвойте набору правил имя Блокирование конфиденциальной информации в электронной почте. Выберите Действия Создать правило Правило защиты электронной почты. Присвойте правилу имя Блокирование конфиденциальной информации и включите его. Принудительно примените правило в DLP Endpoint для Windows. Создайте дубликат встроенной классификации Confidential. Появится копия классификации, доступная для редактирования. g h Выберите созданную вами классификацию и добавьте в нее правило. Задайте для параметра Получатель значение любой получатель (ВСЕ). Оставьте значение по умолчанию для остальных параметров на вкладке Условие. 3 Добавьте исключения из этого правила. a Нажмите Исключения, затем выберите Действия Добавить исключение из правила. b c d Укажите название исключения и включите его. Выберите классификацию Confidential. Задайте для параметра Получатель значение хотя бы один получатель входит во все группы (И), затем выберите созданное вами определение адреса электронной почты. 4 Настройте реакцию на сообщения, содержащие слово Конфиденциально. a Нажмите Реакция. b В DLP Endpoint задайте для параметра Действие значение Заблокировать как для компьютеров в сети организации, так и за ее пределами. 5 Сохраните политику и примените ее. Пример использования: предоставление определенной группе пользователей возможности отправлять кредитные сведения Сотрудникам отдела кадров необходимо разрешить отправлять сообщения, содержащие личную кредитную информацию, полученную из вашей службы Active Directory. Предварительные операции Зарегистрируйте сервер Active Directory в McAfee epo. Дополнительные сведения см. в руководстве по продукту McAfee epolicy Orchestrator. McAfee Data Loss Prevention Endpoint Product Guide 139

140 9 Защита конфиденциальных данных Примеры использования правил Выполните приведенные ниже общие действия. 1 Создайте классификацию личной кредитной информации. 2 Создайте набор правил и правило для новой классификации. 3 Исключите из этого правила сотрудников отдела кадров. 4 Блокируйте сообщения, содержащие личную кредитную информацию. 5 Примените политику. Рекомендация: чтобы ваши правила определяли инциденты, связанные с утечкой данных, с минимальным количеством ложных положительных результатов, при создании правил используйте параметр Нет действия. Отслеживайте работу модуля Диспетчер инцидентов DLP до тех пор, пока не убедитесь в том, что правила должным образом определяют инциденты, затем измените значение параметра Действие на Заблокировать. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В меню McAfee epo выберите Классификация и создайте дубликат классификации PCI. 2 Создайте набор правил и исключения для него. a Откройте Диспетчер политики DLP. b c d e f В разделе Наборы правил создайте правило с именем Блокировка PCI. Откройте созданный вами набор правил, выберите Действие Создать правило Защита электронной почты, а затем введите имя правила. В разделе Enforce on (Принудительно применять на) выберите DLP Endpoint для Windows. В разделе Классификации выберите созданную вами классификацию. Оставьте значения по умолчанию для параметров Конечный пользователь, Конверт электронной почты и Получатель. 3 Укажите группу пользователей для исключения из правила. a Выберите Исключения, затем выберите Действия Добавить исключение из правила и присвойте ему имя Исключение для группы отдела кадров. b c d e f Выберите для параметра Состояние значение Включено. В разделе Классификация выберите содержит любые данные (ВСЕ). В разделе Отправитель выберите входит в одну из групп (ИЛИ). Выберите Создать элемент и создайте группу конечных пользователей с именем Отдел кадров. Нажмите Добавить группы, выберите группу и нажмите кнопку ОК. 4 Выберите действие, которое должно выполняться в случае срабатывания правила. a Выберите созданную вами группу и нажмите кнопку ОК. b c Перейдите на вкладку Реакция. В разделе DLP Endpoint выберите для параметра Действие значение Заблокировать. 140 McAfee Data Loss Prevention Endpoint Product Guide

141 Защита конфиденциальных данных Примеры использования правил 9 d e Выберите Сообщить об инциденте. Сохраните правило и нажмите Закрыть. 5 Примените правило. a В модуле Диспетчер политики DLP выберите Назначение политик. Для параметра Ожидающие изменения отображается значение Да. b c d e Выберите Действия Назначить наборы правил политике. Выберите созданный вами набор правил. Выберите Действия Применить выбранные политики. Нажмите Применить политику. Для параметра Ожидающие изменения отображается значение Нет. Пример использования: классифицирование вложений как ТРЕБУЮЩИХ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ в зависимости от их места назначения Создайте классификации, которые позволяют отправлять вложения, помеченные как ТРЕБУЮЩИЕ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, сотрудникам в США, Германии и Израиле. Выполните приведенные ниже общие действия. Создайте определения адреса электронной почты. Создайте набор правил и правило, которое классифицирует вложения как ТРЕБУЮЩИЕ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ. Укажите исключения из этого правила. Приведенные в таблице ниже примеры классификаций демонстрируют, как классификации работают с различными событиями и получателями. Таблица 9-8 Ожидаемое поведение Классификация Получатель Ожидаемый результат Вложение 1: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и США (.us) Вложение 2: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и Германия (.de) Разрешить домен пример1.com имеет право получать любые вложения, ТРЕБУЮЩИЕ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ Вложение 1: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и США (.us) Вложение 2: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и Германия (.de) Разрешить домен пример2.com имеет право получать любые вложения, ТРЕБУЮЩИЕ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ McAfee Data Loss Prevention Endpoint Product Guide 141

142 9 Защита конфиденциальных данных Примеры использования правил Таблица 9-8 Ожидаемое поведение (продолжение) Классификация Получатель Ожидаемый результат Вложение 1: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и США (.us) Вложение 2: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и Германия (.de) Разрешить домены пример1.com и пример2.com имеют право получать оба вложения Вложение 1: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и США (.us) Вложение 2: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и Германия (.de) Разрешить домен gov.il имеет право получать оба вложения Вложение 1: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и США (.us) Вложение 2: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и Германия (.de) Заблокировать пользователь пример_пользователя4 не имеет права получать вложение 2 Вложение 1: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и США (.us) Вложение 2: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и Германия (.de) Вложение 1: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и США (.us) Вложение 2: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и Германия (.de) Заблокировать пользователь пример_пользователя4 не имеет права получать вложение 2 Заблокировать пользователь пример_пользователя4 не имеет права получать вложение McAfee Data Loss Prevention Endpoint Product Guide

143 Защита конфиденциальных данных Примеры использования правил 9 Таблица 9-8 Ожидаемое поведение (продолжение) Классификация Получатель Ожидаемый результат Вложение 1: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и США (.us) Вложение 2: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и Германия (.de) Разрешить пользователи пример_пользователя1 и пример_пользователя3 имеют право получать оба вложения Вложение 1: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и США (.us) Вложение 2: ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, Израиль (.il) и Германия (.de) Заблокировать пользователь пример_пользователя4 не имеет права получать вложение 2 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 Создайте определение адреса электронной почты для доменов, которые исключены из действия правила. a В McAfee epo в разделе Data Protection выберите Диспетчер политики DLP и нажмите Определения. b c d e f g h Выберите определение Адрес электронной почты и создайте дубликат встроенной записи My organization domain. Выберите созданное вами определение адреса электронной почты и нажмите кнопку Изменить. В разделе Оператор выберите Доменное имя и присвойте значение пример1.com. Создайте записи для пример2.com,.il и.us. Нажмите Сохранить. Повторите эти шаги с целью создания определения для gov.il. Повторите эти шаги с целью создания определения для gov.us. 2 Создайте набор правил, включающий правило защиты электронной почты. a Нажмите Наборы правил, затем выберите Действия Создать набор правил. b Назовите набор правил Разрешать отправку ТРЕБУЮЩИХ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ сообщений электронной почты в Израиль и США. 3 Создайте правило и добавьте критерий классификации ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ. a Выберите Действия Создать правило Правило защиты электронной почты. b c Назовите правило ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ, включите его и принудительно примените в DLP Endpoint для Windows. Добавить критерии классификации с именем ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ. McAfee Data Loss Prevention Endpoint Product Guide 143

144 9 Защита конфиденциальных данных Примеры использования правил d Установите для поля Классификация значение одно из вложений (*). e f g Выберите содержит одно из следующего (ИЛИ) и выберите критерий классификации ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ. Задайте для параметра Получатель значение любой получатель (ВСЕ). Оставьте значение по умолчанию для остальных параметров на вкладке Условие. 4 Добавьте исключения к правилу и включите каждое из них. Исключение 1 1 Установите для поля Классификация значение соответствующее вложение. 2 Выберите содержит одно из следующего (ИЛИ) и выберите критерий классификации ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ. 3 Задайте для параметра Получатель значение соответствующий получатель входит в одну из групп (ИЛИ) и выберите определения пример1.com и пример2.com. Исключение 2 1 Установите для поля Классификация значение соответствующее вложение. 2 Выберите содержит все из следующего (И) и выберите критерии классификации ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ и.il. 3 Задайте для параметра Получатель значение соответствующий получатель входит в одну из групп (ИЛИ) и выберите gov.il. Исключение 3 1 Установите для поля Классификация значение соответствующее вложение. 2 Выберите содержит все из следующего (И) и выберите критерии классификации ТРЕБУЕТ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ и.us. 3 Задайте для параметра Получатель значение соответствующий получатель входит в одну из групп (ИЛИ) и выберите gov.us. 5 В DLP Endpoint установите для параметра Действие значение Заблокировать. 6 Нажмите Сохранить. 7 Примените политику. 144 McAfee Data Loss Prevention Endpoint Product Guide

145 10 Проверка данных с помощью обнаружения McAfee DLP Endpoint Модуль Обнаружение это обходчик, работающий на конечных компьютерах. Он обеспечивает поиск в локальной файловой системе и в файлах хранилища электронной почты, а также применение правил для защиты конфиденциального содержимого. Содержание Защита файлов с помощью правил обнаружения Принципы выполнения проверки с обнаружением Поиск содержимого с помощью программы-обходчика в модуле обнаружения на конечной точке Защита файлов с помощью правил обнаружения Правила обнаружения определяют содержимое, поиск которого выполняется в McAfee DLP при проверке репозиториев, и действие, предпринимаемое при обнаружении такого содержимого. В зависимости от типа правила к файлам, найденным при проверке, может применяться копирование, перемещение, шифрование, карантин, назначение тегов или политика управления правами. Все условия в правилах обнаружения включают в себя классификацию. При использовании правил обнаружения в хранилище сообщений электронной почты с действием по предотвращению Карантин убедитесь, что включена надстройка Outlook (Каталог политик Data Loss Prevention 9.4 Конфигурация клиента Режим работы и модули). Когда надстройка Outlook отключена, невозможно отменить карантин для сообщений электронной почты. Таблица 10-1 Доступные правила обнаружения Тип правила Продукт Источник обнаружения файлов Локальная файловая система Локальная электронная почта (OST, PST) McAfee DLP Endpoint Проверки локальной файловой системы. McAfee DLP Endpoint Проверки хранилища электронной почты. Проверки, инициируемые конечным пользователем При инициировании подобной проверки в настройках проверки локальной файловой системы DLP конечные использовали могут запускать разрешенные проверки и просматривать действия по самостоятельному исправлению. Каждой проверка должно быть назначено расписание, и проверка выполняется согласно расписанию независимо от того, была ли она инициирована пользователем. Однако, если включено взаимодействие с пользователем, конечные пользователи также могут запускать проверки тогда, когда им удобно. Если выбран вариант самостоятельного исправления, конечные пользователи также могут предпринимать действия по исправлению. McAfee Data Loss Prevention Endpoint Product Guide 145

146 10 Проверка данных с помощью обнаружения McAfee DLP Endpoint Принципы выполнения проверки с обнаружением Принципы выполнения проверки с обнаружением Проверки с обнаружением на конечной точке позволяют обнаруживать в файловой системе или в хранилище электронной почты файлы с конфиденциальным содержимым и отмечать их тегами или помещать в карантин. Модуль обнаружения в McAfee DLP Endpoint представляет собой обходчик, работающий на клиентских компьютерах. При обнаружении в файлах предварительно заданного содержимого к этим файлам может применяться отслеживание, карантин, назначение тегов, шифрование или политика управления правами. Функция обнаружения на конечной точке может проверять файлы на компьютере или файлы хранилища электронной почты (PST, PST с сопоставлением и OST). Файлы хранилища электронной почты кэшируются для каждого пользователя. Для работы с функцией обнаружения на конечной точке необходимо включить модули Обнаружение на странице Каталог политик Конфигурация клиента Режим работы и модули. После каждой проверки с обнаружением клиент McAfee DLP Endpoint отправляет событие сводки обнаружения в консоль Диспетчер инцидентов DLP в McAfee epo для регистрации сведений о проверке в журнале. Событие включает в себя файл подтверждения с перечнем непроверенных файлов и указанием соответствующих причин. Присутствует также файл подтверждения с файлами, соответствующими классификации, и выполненным действием. В McAfee DLP Endpoint событие сводки было рабочим событием. Чтобы обновить события сводки в консоли Диспетчер инцидентов DLP, используйте задачу сервера McAfee epo DLP: перенос событий-инцидентов из версии 9.4 в версию Когда можно выполнять поиск Расписание проверок с обнаружением составляется на странице Каталог политик Политика DLP Обнаружение конечной точки. Проверку можно запускать в определенное время каждый день или в определенные дни недели или месяца. Можно указать начальную и конечную даты или запустить проверку в случае принудительного применения конфигурации McAfee DLP Endpoint. Можно приостановить проверку, если использование центрального процессора или ОЗУ компьютера превышают указанное ограничение. Если пользователь изменяет политику обнаружения во время выполнения проверки конечной точки, параметры правил и расписание изменяются немедленно. Изменения, касающиеся включения и отключения параметров, вступают в силу при следующей проверке. Если компьютер перезагружается во время выполнения проверки, она продолжается с места прерывания. Обнаруживаемое содержимое Правила обнаружения определяются с помощью классификации. При обнаружении содержимого возможно применение любых свойств файлов и условий на данные, которые могут быть добавлены к критериям классификации. Действия при обнаружении файлов с конфиденциальным содержимым Файлы электронной почты могут быть помещены в карантин или отмечены тегами. К файлам локальной файловой системы могут быть применены операции шифрования, помещения в карантин и назначения тегов, а также политика управления правами. Для файлов обоих типов можно сохранить подтверждения. 146 McAfee Data Loss Prevention Endpoint Product Guide

147 Проверка данных с помощью обнаружения McAfee DLP Endpoint Поиск содержимого с помощью программы-обходчика в модуле обнаружения на конечной точке 10 Поиск содержимого с помощью программы-обходчика в модуле обнаружения на конечной точке Запуск программы-обходчика в модуле обнаружения выполняется в четыре этапа. 1 Создайте и определите классификации для распознавания конфиденциального содержимого. 2 Создайте и определите правило обнаружения. Классификация входит в определение правила обнаружения. 3 Создайте определение расписания. 4 Настройте параметры проверки. Расписание является одним из параметров в определении проверки. Задания Создание и определение правила обнаружения на стр. 147 Правила обнаружения определяют содержимое, поиск которого выполняется в обходчике, и действия с найденным содержимым. Создание определения планировщика на стр. 148 Периодичность каждой проверки с обнаружением определяется планировщиком. Настройка проверки на стр. 148 При проверках с обнаружением выполняется поиск конфиденциального содержимого в локальной файловой системе или в почтовых ящиках. Пример применения: восстановление файлов или сообщений электронной почты в карантине на стр. 149 При обнаружении конфиденциального содержимого с помощью функции обнаружения в McAfee DLP Endpoint файлы и сообщения электронной почты, содержащие эти данные, перемещаются в папку карантина и заменяются заполнителями, уведомляющими пользователей о том, что их файлы или сообщения электронной почты помещены в карантин. Помещенные в карантин файлы и сообщения электронной почты также шифруются, чтобы предотвратить их несанкционированное использование. Создание и определение правила обнаружения Правила обнаружения определяют содержимое, поиск которого выполняется в обходчике, и действия с найденным содержимым. Изменения, внесенные в правило обнаружения, вступают в силу при развертывании политики. Даже если выполняется проверка, новое правило вступает в силу немедленно. При проверках хранилища электронной почты (PST, PST с сопоставлением и OST) средствами обходчика проверяются элементы сообщений электронной почты (текст и вложения), элементы календаря и задачи. Общие папки и записки не проверяются. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP. 2 На странице Наборы правил выберите Действия Создать набор правил. Введите имя и нажмите кнопку ОК. Можно также добавить правила обнаружения к существующему набору правил. McAfee Data Loss Prevention Endpoint Product Guide 147

148 10 Проверка данных с помощью обнаружения McAfee DLP Endpoint Поиск содержимого с помощью программы-обходчика в модуле обнаружения на конечной точке 3 На вкладке Обнаружение выберите Действия Создать правило обнаружения конечной точки, затем выберите Локальная электронная почта или Локальная файловая система. Отображается соответствующая страница. 4 Введите имя правила и выберите классификацию. 5 Щелкните Реакция. Выберите действие по предотвращению в раскрывающемся списке. 6 (Необязательно) Выберите параметр Сообщить об инциденте, установите для параметра Состояние значение Включено, а для параметра Серьезность выберите значение из раскрывающегося списка. 7 Щелкните Сохранить. Создание определения планировщика Периодичность каждой проверки с обнаружением определяется планировщиком. Предусмотрено пять типов планирования: Немедленно Еженедельно Однократно Ежемесячно Ежедневно Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер политики DLP. 2 Перейдите на вкладку Определения. 3 На левой панели щелкните Планировщик. Если установлены обе программы (McAfee DLP Discover и McAfee DLP Endpoint), отображается список существующих расписаний для обеих программ. 4 Выберите Действия Создать. Отображается страница Создать планировщик. 5 Введите уникальное имя в поле Имя и выберите значение в раскрывающемся списке Тип планирования. При выборе типа планирования содержимое дисплея изменяется: отображаются поля, необходимые для выбранного типа. 6 Заполните обязательные поля и нажмите кнопку Сохранить. Настройка проверки При проверках с обнаружением выполняется поиск конфиденциального содержимого в локальной файловой системе или в почтовых ящиках. Предварительные операции Убедитесь в том, что набор правил, который требуется применить к проверкам, применен к политике DLP. Эта информация отображается на вкладке Политика DLP Наборы правил. 148 McAfee Data Loss Prevention Endpoint Product Guide

149 Проверка данных с помощью обнаружения McAfee DLP Endpoint Поиск содержимого с помощью программы-обходчика в модуле обнаружения на конечной точке 10 Изменения параметров обнаружения вступают в силу при следующей проверке. Они не применяются для уже выполняемых проверок. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Политика Каталог политик. 2 Выберите Продукт Data Loss Prevention 10, а затем выберите активную политику DLP. 3 На вкладке Обнаружение конечной точки выберите Действия Создать проверку конечной точки, затем выберите Локальная электронная почта или Локальная файловая система. 4 Введите имя проверки, затем выберите расписание в раскрывающемся списке. 5 Измените значения по умолчанию для параметров Обработка инцидентов и Обработка ошибок (не обязательно). Для параметра Состояние задайте значение Включено. Обработка ошибок относится к ситуации, когда извлечь текст невозможно. 6 (Необязательно) При проверках локальной файловой системы установите флажок в поле Взаимодействие с пользователем, чтобы разрешить пользователю инициировать разрешенные проверки до задания расписания. Кроме того, можно разрешить пользователям совершать действия по исправлению из консоли клиента McAfee DLP Endpoint. 7 На вкладке Папки выполните одно из следующих действий: В случае проверки файловой системы выберите Действия Выбрать папки. Выберите встроенное определение папки или создайте новое, щелкнув Создать элемент. Задайте для папки значение Включить или Исключить. В случае проверки электронной почты выберите проверяемые типы файлов (OST, PST) и почтовые ящики. 8 (Необязательно) На вкладке Фильтры (только при проверке файловой системы) выберите Действия Выбрать фильтры. Выберите определение информации о файлах или нажмите Создать элемент для создания нового определения. Определите фильтр как Включить или Исключить. Нажмите ОК. Значение по умолчанию Все файлы. Определение фильтра делает проверку более эффективной. 9 На вкладке Правила проверьте применяемые правила. Действуют все правила обнаружения из наборов правил, примененных к политике. Пример применения: восстановление файлов или сообщений электронной почты в карантине При обнаружении конфиденциального содержимого с помощью функции обнаружения в McAfee DLP Endpoint файлы и сообщения электронной почты, содержащие эти данные, перемещаются в папку карантина и заменяются заполнителями, уведомляющими пользователей о том, что их файлы или сообщения электронной почты помещены в карантин. Помещенные в карантин файлы и сообщения электронной почты также шифруются, чтобы предотвратить их несанкционированное использование. Предварительные операции Для отображения значка McAfee DLP в Microsoft Outlook необходимо включить режим Показывать в Outlook элементы управления отменой карантина на странице Каталог политик Политика клиента Режим работы и модули. Если этот режим отключен, значок и пункт контекстного McAfee Data Loss Prevention Endpoint Product Guide 149

150 10 Проверка данных с помощью обнаружения McAfee DLP Endpoint Поиск содержимого с помощью программы-обходчика в модуле обнаружения на конечной точке меню, позволяющие просматривать сообщения электронной почты в карантине, недоступны и отменить карантин для сообщений невозможно. Когда для правила обнаружения файловой системы задан вариант Карантин и обходчик обнаруживает конфиденциальное содержимое, она перемещает затронутые файлы в папку карантина, заменяя их заполнителями, чтобы уведомить пользователей о том, что их файлы помещены в карантин. Помещенные в карантин файлы шифруются, чтобы предотвратить их несанкционированное использование. Когда сообщения электронной почты помещаются в карантин, с помощью функции обнаружения в McAfee DLP Endpoint к теме Outlook добавляется префикс, указывающий на то, что сообщения были помещены в карантин. В карантин помещается текст сообщения вместе со всеми вложениями. В отличие от предыдущих версий McAfee DLP Endpoint, где допускалось отдельное шифрование текста или вложений, такой подход позволяет предотвратить повреждение сигнатуры, если применяется система подписания сообщений. В карантин могут также помещаться элементы календаря и задачи Microsoft Outlook. Рисунок 10-1 Пример сообщения электронной почты, находящегося в карантине Процедура 1 Восстановление файлов из карантина a На панели задач управляемого компьютера щелкните значок McAfee Agent и выберите Управление функциями Консоль DLP Endpoint. Откроется консоль DLP Endpoint. b На вкладке Задачи выберите Открыть папку карантина. Откроется папка карантина. c Выберите файлы для восстановления. Щелкните правой кнопкой мыши и выберите Перенос из карантина. Пункт контекстного меню Перенос из карантина отображается только при выборе файлов типа *.dlpenc (зашифрованных DLP). Откроется всплывающее окно Код переноса. 2 Для восстановления сообщения электронной почты, находящегося в карантине: щелкните значок McAfee DLP или щелкните правой кнопкой мыши и выберите Перенести из карантина. a В Microsoft Outlook выберите сообщения электронной почты (или другие элементы) для восстановления. b Щелкните значок McAfee DLP. Откроется всплывающее окно Код переноса. 150 McAfee Data Loss Prevention Endpoint Product Guide

151 Проверка данных с помощью обнаружения McAfee DLP Endpoint Поиск содержимого с помощью программы-обходчика в модуле обнаружения на конечной точке 10 3 Скопируйте идентификационный код вызова из всплывающего окна и отправьте его администратору DLP. 4 Администратор создает код ответа и отправляет его пользователю. (При этом также создается рабочее событие, содержащее все подробные сведения.) 5 Пользователь вводит код переноса во всплывающем окне Код переноса и нажимает кнопку ОК. Расшифрованные файлы восстанавливаются в исходное расположение. Если активирована политика блокировки кода переноса (на вкладке Конфигурация агента Служба уведомлений), после трехкратного введения неверного кода всплывающее окно блокируется на 30 минут (по умолчанию). Если путь к файлу был изменен или удален, восстанавливается исходный путь. Если в исходном расположении уже существует файл с таким именем, восстанавливаемый файл получает имя xxx-copy.abc McAfee Data Loss Prevention Endpoint Product Guide 151

152 10 Проверка данных с помощью обнаружения McAfee DLP Endpoint Поиск содержимого с помощью программы-обходчика в модуле обнаружения на конечной точке 152 McAfee Data Loss Prevention Endpoint Product Guide

153 Monitoring and reporting You can use McAfee DLP Endpoint software components to track and review policy violations (DLP Incident Manager), and to track administrative events (DLP Operations). Глава 11 Глава 12 Инциденты и рабочие события Сбор данных и управление ими McAfee Data Loss Prevention Endpoint Product Guide 153

154 Monitoring and reporting 154 McAfee Data Loss Prevention Endpoint Product Guide

155 11 Инциденты и рабочие события McAfee DLP представляет различные инструменты для просмотра инцидентов и рабочих событий. Инциденты на странице Диспетчер инцидентов DLP отображаются инциденты, сформированные правилами. Рабочие события на странице Операции DLP отображаются ошибки и административная информация. Проблемы: страница Управление проблемами DLP содержит проблемы, созданные с целью группировки связанных инцидентов и управления ими. Когда установлены оба продукта McAfee DLP Discover и McAfee DLP Endpoint, в консолях отображаются инциденты и события обоих приложений. Отображаемая информация из модулей Диспетчер инцидентов DLP и Операции DLP может включать в себя сведения о компьютере и выполнившем вход в систему пользователе, создавшем инцидент/ событие, версию клиента, операционную систему и другую информацию. Содержание Отслеживание событий и отчетность Диспетчер инцидентов DLP Просмотр инцидентов Управление инцидентами Работа с проблемами Управление проблемами Отслеживание событий и отчетность McAfee DLP разделяет события на два класса: инциденты (т. е. нарушения политики) и административные события. Эти события можно просмотреть на двух консолях: Диспетчер инцидентов DLP и Операции DLP. При обнаружении нарушения политики в McAfee DLP формируется событие, которое затем передается анализатору событий McAfee epo. В консоли Диспетчер инцидентов DLP предусмотрена возможность просмотра, фильтрации и сортировки этих событий, что позволяет сотрудникам службы безопасности или администраторам своевременно получать информацию о событиях и реагировать на них. Если применимо, подозрительное содержимое прикрепляется к событию как подтверждение. Поскольку McAfee DLP играет важную роль в соблюдении всех нормативных актов и законов о конфиденциальных данных компании, диспетчер инцидентов DLP предоставляет точную информацию о передаче конфиденциальных данных с гибкими возможностями настройки. Аудиторы, сотрудники отдела кадров, сотрудники отдела по обеспечению конфиденциальности и McAfee Data Loss Prevention Endpoint Product Guide 155

156 11 Инциденты и рабочие события Диспетчер инцидентов DLP другие специалисты могут с помощью диспетчера инцидентов DLP наблюдать за подозрительными и несанкционированными действиями и принимать меры согласно политике конфиденциальности компании, применимым нормам и другим законам. Системный администратор или сотрудник службы безопасности может отслеживать административные события относительно состояния агентов и распространения политики. В консоли Операции DLP представлены следующие сведения: McAfee DLP Discover: ошибки проверки или ошибки сервера McAfee DLP Endpoint: сведения о развертывании клиента, изменениях политики, развертывании политики, выполнениях входа в безопасном режиме, переопределениях агента и других административных событиях. Диспетчер инцидентов DLP Страница Диспетчер инцидентов DLP в McAfee epo служит для просмотра событий в системе обеспечения безопасности, возникающих вследствие нарушения политик. Диспетчер инцидентов состоит из трех разделов со вкладками: Список инцидентов: текущий список событий, связанных с нарушением политик. Задачи инцидентов: список действий, которые можно применить к списку или его выбранным частям. К таким действиям относятся назначение рецензента инцидентам, рассылка автоматических уведомлений по электронной почте, полная или частичная очистка списка. История инцидентов: список всех инцидентов за прошедшие периоды. Очистка списка инцидентов не влияет на историю. Модуль DLP Operations (Действия DLP) используется для просмотра административных событий, таких как развертывание агента. Модуль имеет три аналогично организованные вкладки: Список рабочих событий, Задачи рабочих событий и История рабочих событий. Принцип работы диспетчера инцидентов На вкладке Список инцидентов диспетчера инцидентов DLP приведены все доступные функции, необходимые для просмотра фактов нарушения политик. Щелкните на определенном событии для просмотра сведений о нем. На левой панели пользователь также может создавать и сохранять фильтры, влияющие на представление или использование. Пользователь также может изменять представление, выбирая и упорядочивая столбцы. Цветные значки и числовые рейтинги серьезности упрощают быструю визуальную проверку событий. Вкладка Список инцидентов работает с запросами и отчетами McAfee epo для создания отчетов McAfee DLP Endpoint и отображения данных на панелях мониторинга McAfee epo. В отношении событий можно выполнять следующие операции: Управление проблемами: создание проблем и добавление выбранных инцидентов к проблеме. Комментарии: добавление комментариев к выбранным инцидентам. Отправить события по электронной почте: отправка выбранных событий. Экспорт параметров устройств: экспорт параметров устройств в файл CSV (только список используемых/перемещаемых данных). Метки: задание меток в качестве критериев фильтрации. 156 McAfee Data Loss Prevention Endpoint Product Guide

157 Инциденты и рабочие события Диспетчер инцидентов DLP 11 Допуск к отображению: удаление блокировки доступа для просмотра защищенных полей (требуется соответствующее разрешение). Настройка свойств: изменение степени серьезности, состояния или разрешения; назначение пользователя или группы для рецензирования инцидента. Рисунок 11-1 Диспетчер инцидентов DLP Страница Операции DLP работает схожим образом, но для административных событий. События содержат информацию о том, почему они были сформированы и какой из продуктов McAfee DLP сообщил о событии. События также могут содержать пользовательские сведения, связанные с событием, такие как имя пользователя для входа в систему, главное имя пользователя а также информацию о руководителе пользователя, отделе или подразделении. Рабочие события могут быть отфильтрованы по любому из данных параметров, а также по таким параметрам, как серьезность, состояние, версия клиента, имя политики и т. д. Рисунок 11-2 Операции DLP Задачи инцидентов/задачи рабочих событий На вкладке Задачи инцидентов или Задачи рабочих событий задаются критерии для запланированных задач. Предусмотренная в McAfee epo функция Задачи сервера позволяет составлять расписание задач, настроенных на этих страницах. Обе вкладки с задачами разделены по типам задач (левая панель). Вкладка Задачи инцидентов также разбита по типам инцидентов и представляет собой матрицу 4 x 3; отображаемая информация зависит от двух выбранных пользователями параметров. McAfee Data Loss Prevention Endpoint Product Guide 157

158 11 Инциденты и рабочие события Диспетчер инцидентов DLP Назначить рецензента Автоматическое уведомление по электронной почте Используемые/ перемещаемые данные Хранимые данные (конечная точка) Хранимые данные (сеть) X X X X X X Используемые/ перемещаемые данные (история) События очистки X X X X Пример использования: установка свойств Свойства представляют собой данные, добавленные в инцидент, по отношению к которому необходимо принять последующие меры. Пользователь может добавлять параметры с панели детализации инцидента или выбрав Действия Настроить свойства. Доступные свойства: Серьезность Группа-рецензент Состояние Пользователь-рецензент Разрешение Рецензентом может быть любой пользователь McAfee epo. Серьезность причины может быть изменена администратором, если он считает, что ситуация является ложноположительной, поскольку в этом случае исходная серьезность не будет иметь значения. Пример использования: изменение представления Помимо использования фильтров для изменения представления, можно также настроить поля и порядок их отображения. Настроенные представления можно сохранить и использовать повторно. Создание фильтра предусматривает указанные ниже задачи. 1 Для открытия окна редактирования представления нажмите Действия Представление Выбрать столбцы. 2 Для перемещения столбцов влево или вправо используйте клавиши стрелок, а для удаления столбцов значок x. 3 Для применения настроенного представления нажмите Обновить представление. 4 Для сохранения представления для последующего использования нажмите Действия Представление Сохранить представление. При сохранении представления можно также сохранить время и пользовательские фильтры. Сохраненные представления можно выбрать из раскрывающегося списка в верхней части страницы. 158 McAfee Data Loss Prevention Endpoint Product Guide

159 Инциденты и рабочие события Просмотр инцидентов 11 Работа с инцидентами Когда в McAfee DLP принимаются данные, соответствующие заданным в правиле параметрам, фиксируется нарушение и в McAfee DLP формируется инцидент. Диспетчер инцидентов McAfee epo, позволяет просматривать, сортировать, группировать и фильтровать инциденты для поиска важных нарушений. Можно просматривать сведения об инцидентах и удалять ненужные инциденты. Просмотр инцидентов В диспетчере инцидентов отображаются все инциденты, о которых сообщили приложения McAfee DLP. Можно изменить способ отображения инцидентов, чтобы упростить поиск важных нарушений. В поле Данные в диспетчере инцидентов DLP инциденты можно отсортировать по приложению, их создавшему: Используемые/перемещаемые данные отображение инцидентов из McAfee DLP Endpoint или Device Control. Хранимые данные (конечная точка) отображение инцидентов обнаружения из McAfee DLP Endpoint. Хранимые данные (сеть) отображение инцидентов из McAfee DLP Discover. Когда McAfee DLP обрабатывает объект, например сообщение электронной почты, который запускает несколько правил, диспетчер инцидентов собирает и отображает сведения о нарушениях как один инцидент, а не как отдельные инциденты. Задания Сортировка и фильтрация инцидентов на стр. 159 В этом разделе рассматривается систематизация отображаемых инцидентов по таким атрибутам, как время, расположение, пользователь и степень серьезности. Настройка представлений столбцов на стр. 160 Представления позволяют изменять тип и порядок столбцов, отображаемых в диспетчере инцидентов. Настройка фильтров инцидентов на стр. 161 Фильтры служат для отображения инцидентов, удовлетворяющих заданным критериям. Просмотр сведений об инцидентах на стр. 162 В этом разделе приведены инструкции по просмотру информации, относящейся к инциденту. Сортировка и фильтрация инцидентов В этом разделе рассматривается систематизация отображаемых инцидентов по таким атрибутам, как время, расположение, пользователь и степень серьезности. McAfee Data Loss Prevention Endpoint Product Guide 159

160 11 Инциденты и рабочие события Просмотр инцидентов Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Диспетчер инцидентов DLP. 2 Выполните одно из нижеприведенных действий: Для инцидентов Device Control или McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Используемые/перемещаемые данные. Для инцидентов обнаружения McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Хранимые данные (конечная точка). Для инцидентов McAfee DLP Discover: в раскрывающемся списке Данные выберите Хранимые данные (сеть) и при необходимости щелкните ссылку Проверить для настройки проверки. 3 Выполните одну из следующих задач. Для сортировки по столбцу щелкните на его заголовке. Для задания пользовательского представления столбцов выберите его в раскрывающемся списке Представление. Для фильтрации по времени выберите период времени в раскрывающемся списке Время. Для применения пользовательского фильтра выберите его в раскрывающемся списке Фильтр. Для группировки по атрибутам: 1 В раскрывающемся списке Группировать по выберите нужный атрибут. Отображается список доступных вариантов. Список содержит до 250 наиболее распространенных вариантов. 2 Выберите вариант из списка. Отображаются инциденты, соответствующие выбранному варианту. Пример При работе с инцидентами McAfee DLP Endpoint выберите Идентификатор пользователя для отображения имен пользователей, совершивших нарушения. Выберите имя пользователя для отображения всех его инцидентов. Настройка представлений столбцов Представления позволяют изменять тип и порядок столбцов, отображаемых в диспетчере инцидентов. 160 McAfee Data Loss Prevention Endpoint Product Guide

161 Инциденты и рабочие события Просмотр инцидентов 11 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Диспетчер инцидентов DLP. 2 Выполните одно из нижеприведенных действий: Для инцидентов Device Control или McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Используемые/перемещаемые данные. Для инцидентов обнаружения McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Хранимые данные (конечная точка). Для инцидентов McAfee DLP Discover: в раскрывающемся списке Данные выберите Хранимые данные (сеть) и при необходимости щелкните ссылку Проверить для настройки проверки. 3 В раскрывающемся списке Представление выберите По умолчанию и щелкните Изменить. 4 Настройте столбцы. a В списке Доступные столбцы выберите пункт для перемещения в область Выбранные столбцы. b В области Выбранные столбцы упорядочьте и при необходимости удалите столбцы. Для удаления столбца щелкните x. Для перемещения столбца нажимайте кнопки со стрелками или перетащите столбец. c Щелкните Обновить представление. 5 Настройте параметры просмотра. a Рядом с раскрывающимся списком Представление нажмите кнопку Сохранить. b Выберите один из следующих вариантов. Сохранить как новое представление: укажите имя представления. Переопределить существующее представление: выберите представление для сохранения. c Выберите вариант доступа пользователей к представлению. Открытый: просматривать представление может любой пользователь. Закрытый: просматривать представление может только создавший его пользователь. d e Укажите, применить ли к представлению текущие фильтры и группировки. Щелкните ОК. Представлениями можно также управлять в диспетчере инцидентов, выбрав Действия Представление. Настройка фильтров инцидентов Фильтры служат для отображения инцидентов, удовлетворяющих заданным критериям. McAfee DLP Endpoint Пример. Конкретный пользователь подозревается в передаче конфиденциальных данных по IP адресам в диапазоне, не относящемся к компании. Можно создать фильтр для отображения инцидентов, соответствующих имени пользователя и диапазону IP адресов. McAfee Data Loss Prevention Endpoint Product Guide 161

162 11 Инциденты и рабочие события Просмотр инцидентов Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Диспетчер инцидентов DLP. 2 Выполните одно из нижеприведенных действий: Для инцидентов Device Control или McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Используемые/перемещаемые данные. Для инцидентов обнаружения McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Хранимые данные (конечная точка). Для инцидентов McAfee DLP Discover: в раскрывающемся списке Данные выберите Хранимые данные (сеть) и при необходимости щелкните ссылку Проверить для настройки проверки. 3 В раскрывающемся списке Фильтр выберите (нет пользовательского фильтра) и щелкните Изменить. 4 Настройте параметры фильтра. a Выберите свойство в списке Доступные свойства. b Введите значение свойства. Для добавления других значений того же свойства щелкните +. c При необходимости выберите другие свойства. Для удаления записи о свойстве щелкните <. d Щелкните Обновить фильтр. 5 Задайте настройки фильтра. a Рядом с раскрывающимся списком Фильтр нажмите кнопку Сохранить. b Выберите один из следующих вариантов. Сохранить как новый фильтр: укажите имя фильтра. Переопределить существующий фильтр: выберите фильтр для сохранения. c Выберите вариант доступа пользователей к фильтру. Открытый: просматривать фильтр может любой пользователь. Закрытый: просматривать фильтр может только создавший его пользователь. d Щелкните ОК. Фильтрами можно также управлять в диспетчере инцидентов, выбрав Действия Фильтр. Просмотр сведений об инцидентах В этом разделе приведены инструкции по просмотру информации, относящейся к инциденту. 162 McAfee Data Loss Prevention Endpoint Product Guide

163 Инциденты и рабочие события Управление инцидентами 11 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Диспетчер инцидентов DLP. 2 Выполните одно из нижеприведенных действий: Для инцидентов Device Control или McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Используемые/перемещаемые данные. Для инцидентов обнаружения McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Хранимые данные (конечная точка). Для инцидентов McAfee DLP Discover: в раскрывающемся списке Данные выберите Хранимые данные (сеть) и при необходимости щелкните ссылку Проверить для настройки проверки. 3 Нажмите на идентификатор инцидента. На странице McAfee DLP Endpoint отображаются общие сведения и информация об источнике. В зависимости от типа инцидента отображаются целевой объект или сведения об устройстве. На странице McAfee DLP Discover отображаются общие сведения об инциденте. 4 Для просмотра дополнительной информации выполните одну из следующих задач. Для просмотра информации о пользователе в McAfee DLP Endpoint щелкните его имя в области Исходный объект. Для просмотра файлов подтверждения: 1 Перейдите на вкладку Подтверждение. 2 Щелкните имя файла для его открытия в соответствующей программе. На вкладке Подтверждение также отображается поле Короткая строка для установления соответствия, содержащая до трех совпадений в рамках одной строки. Для просмотра правил, по которым сформирован инцидент, перейдите на вкладку Правила. Для просмотра классификаций выберите вкладку Классификации. В McAfee DLP Endpoint для некоторых типов инцидентов не отображается вкладка Классификации. Для просмотра истории инцидентов перейдите на вкладку Журнал аудита. Для просмотра комментариев, добавленных к инциденту, перейдите на вкладку Комментарии. Для отправки сведений об инциденте по электронной почте, включая расшифрованные данные подтверждения и файлы с выделением причин, выберите Действия Отправить выбранные события по электронной почте. Для возврата в диспетчер инцидентов нажмите кнопку ОК. Управление инцидентами Обновление инцидентов и управление ими осуществляется в диспетчере инцидентов. Для удаления инцидентов следует настроить задачу очистки событий. McAfee Data Loss Prevention Endpoint Product Guide 163

164 11 Инциденты и рабочие события Управление инцидентами Задания Обновление одного инцидента на стр. 164 В этом разделе рассматривается обновление сведений об инциденте, включая степень серьезности, состояние и рецензента. Обновление нескольких инцидентов на стр. 165 Одновременно можно применить одно и то же обновление к нескольким инцидентам. Управление метками на стр. 166 Метка это пользовательский атрибут для распознавания инцидентов со сходными характеристиками. Обновление одного инцидента В этом разделе рассматривается обновление сведений об инциденте, включая степень серьезности, состояние и рецензента. Все обновления и изменения инцидента указаны на вкладке Журнал аудита. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Диспетчер инцидентов DLP. 2 Выполните одно из нижеприведенных действий: Для инцидентов Device Control или McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Используемые/перемещаемые данные. Для инцидентов обнаружения McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Хранимые данные (конечная точка). Для инцидентов McAfee DLP Discover: в раскрывающемся списке Данные выберите Хранимые данные (сеть) и при необходимости щелкните ссылку Проверить для настройки проверки. 3 Щелкните инцидент. 4 Выполните одну из следующих задач. Для обновления сведений о серьезности, состоянии или решении: 1 Выберите вариант в раскрывающемся списке Серьезность, Состояние или Разрешение. 2 Щелкните Сохранить. Для обновления рецензента: 1 Рядом с полем Рецензент нажмите кнопку... 2 Выберите группу или пользователя и нажмите кнопку ОК. 3 Щелкните Сохранить. Для добавления комментария: 1 Выберите Действия Добавить комментарий. 2 Введите комментарий, затем нажмите кнопку ОК. 164 McAfee Data Loss Prevention Endpoint Product Guide

165 Инциденты и рабочие события Управление инцидентами 11 Обновление нескольких инцидентов Одновременно можно применить одно и то же обновление к нескольким инцидентам. Пример. Применен фильтр для отображения всех инцидентов, связанных с конкретным пользователем или конкретной проверкой; требуется изменить степень серьезности этих инцидентов на Серьезная. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Диспетчер инцидентов DLP. 2 Выполните одно из нижеприведенных действий: Для инцидентов Device Control или McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Используемые/перемещаемые данные. Для инцидентов обнаружения McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Хранимые данные (конечная точка). Для инцидентов McAfee DLP Discover: в раскрывающемся списке Данные выберите Хранимые данные (сеть) и при необходимости щелкните ссылку Проверить для настройки проверки. 3 Установите флажки для инцидентов, которые требуется обновить. Для обновления всех инцидентов, отображаемых при текущих условиях фильтрации, щелкните Выбрать все на этой странице. 4 Выполните одну из следующих задач. Для добавления комментария выберите Действия Добавить комментарий и введите комментарий, затем нажмите кнопку ОК. Для отправки инцидента по электронной почте выберите Действия Отправить выбранные события по электронной почте, укажите необходимую информацию и нажмите OK. Можно выбрать шаблон или создать собственный, указав необходимые сведения и нажав Сохранить. Для отправки свойств выберите Действия Настроить свойства, измените параметры, а затем нажмите OK. Задания selected events на стр. 165 The following tables give some details concerning the and export selected events options. См. также selected events на стр selected events The following tables give some details concerning the and export selected events options. Table selected events Parameter Value Maximum number of events to mail 100 Maximum size of each event unlimited McAfee Data Loss Prevention Endpoint Product Guide 165

166 11 Инциденты и рабочие события Управление инцидентами Table selected events (continued) Parameter Maximum size of the compressed (ZIP) file From To, CC Subject Body Value 20MB limited to 100 characters limited to 500 characters limited to 150 characters limited to 1000 characters Table 11-2 Export selected events Parameter Value Maximum number of events to export 1000 Maximum size of each event unlimited Maximum size of the export compressed (ZIP) file unlimited Управление метками Метка это пользовательский атрибут для распознавания инцидентов со сходными характеристиками. Инциденту может быть назначено несколько меток, а одну и ту же метку можно назначить нескольким инцидентам. Пример. В компании разрабатывается несколько проектов, в связи с которыми возникли инциденты. Можно создать метки, отражающие название каждого проекта, и назначить их соответствующим инцидентам. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Диспетчер инцидентов DLP. 2 Выполните одно из нижеприведенных действий: Для инцидентов Device Control или McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Используемые/перемещаемые данные. Для инцидентов обнаружения McAfee DLP Endpoint: в раскрывающемся списке Данные выберите Хранимые данные (конечная точка). Для инцидентов McAfee DLP Discover: в раскрывающемся списке Данные выберите Хранимые данные (сеть) и при необходимости щелкните ссылку Проверить для настройки проверки. 3 Установите флажок для одного или нескольких инцидентов. Для обновления всех инцидентов, отображаемых при текущих условиях фильтрации, щелкните Выбрать все на этой странице. 4 Выполните одну из следующих задач. Добавление метки 1 Выберите Действия Метки Вложить. 2 Для добавления новой метки введите имя и нажмите кнопку Добавить. 166 McAfee Data Loss Prevention Endpoint Product Guide

167 Инциденты и рабочие события Работа с проблемами 11 3 Выберите одну или несколько меток. 4 Щелкните ОК. Снятие меток, назначенных инциденту 1 Выберите Действия Метки Отсоединить. 2 Выберите метки для снятия с инцидента. 3 Щелкните ОК. Удаление меток 1 Выберите Действия Метки Удалить метки. 2 Выберите метки для удаления. 3 Щелкните ОК. Работа с проблемами Работа с проблемами позволяет администраторам совместно разрешать взаимосвязанные инциденты. Во многих случаях инцидент не является изолированным событием. В модуле Диспетчер инцидентов DLP может отображаться несколько инцидентов, обладающих общими свойствами или связанных друг с другом. Эти взаимосвязанные инциденты можно назначить одной проблеме. Отслеживание проблемы и управление ею может осуществляться несколькими администраторами с учетом роли каждого из них в организации. Ситуация. Замечено, что конкретный пользователь часто формирует инциденты в нерабочее время. Это позволяет предположить участие пользователя в сомнительной деятельности или нарушение функционирования системы, в которой он работает. Назначьте эти инциденты проблеме для отслеживания времени возникновения и количества таких нарушений. В зависимости от характера нарушений может потребоваться сообщить об этих инцидентах в отдел кадров или юридический отдел. Сотрудникам этих отделов можно разрешить работать с проблемой, например добавлять комментарии, изменять приоритет или уведомлять важнейшие заинтересованные стороны. Управление проблемами В этом разделе рассматривается создание и администрирование проблем для разрешения инцидентов. Создание проблем В этом разделе рассматриваются создание проблемы для группы и просмотр относящихся к проблеме инцидентов. McAfee Data Loss Prevention Endpoint Product Guide 167

168 11 Инциденты и рабочие события Управление проблемами Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Управление проблемами DLP. 2 Выберите Действия Создать. 3 Введите заголовок и задайте параметры. 4 Щелкните ОК. Просмотр сведений о проблеме В этом разделе приведены инструкции по просмотру журналов аудита, комментариев пользователей и инцидентов, назначенных проблеме. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Управление проблемами DLP. 2 Щелкните идентификатор проблемы. 3 Выполните любые из следующих задач. Для просмотра инцидентов, добавленных к проблеме, перейдите на вкладку Инциденты. Для просмотра комментариев пользователей перейдите на вкладку Комментарии. Для просмотра журналов аудита перейдите на вкладку Журнал аудита. 4 Щелкните ОК. Назначение инцидентов проблеме В этом разделе рассматривается добавление связанных инцидентов к новой или существующей проблеме. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Диспетчер инцидентов DLP. 2 В раскрывающемся списке Данные выберите тип инцидента. Для пункта Хранимые данные (Сеть) щелкните ссылку Проверять, чтобы настроить проверку, если требуется. 3 Установите флажок для одного или нескольких инцидентов. Для отображения связанных инцидентов воспользуйтесь такими параметрами, как Фильтр или Группировать по. Для обновления всех инцидентов, отображаемых при текущих условиях фильтрации, щелкните Выбрать все на этой странице. 168 McAfee Data Loss Prevention Endpoint Product Guide

169 Инциденты и рабочие события Управление проблемами 11 4 Назначьте инциденты проблеме. Для добавления к новой проблеме выберите Действия Управление проблемами Добавить в новую проблему, введите заголовок и настройте параметры. Для добавления к существующей проблеме выберите Действия Управление проблемами Добавить в существующую проблему, примените фильтрацию по идентификатору или заголовку проблемы и выберите проблему. 5 Щелкните ОК. Перемещение или удаление инцидентов из проблемы Если инцидент более не относится к проблеме, можно удалить его из проблемы или перенести в другую. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Data Protection Управление проблемами DLP. 2 Выберите идентификатор проблемы. 3 Выполните одну из следующих задач. Для перемещения инцидента из одной проблемы в другую: 1 Перейдите на вкладку Инциденты и выберите необходимые инциденты. 2 Выберите Действия Переместить, а затем выберите, следует ли переместить инцидент в существующую или новую проблему. 3 Выберите существующую проблему или настройте параметры новой, а затем нажмите OK. Для удаления инцидентов из проблемы: 1 Перейдите на вкладку Инциденты и выберите необходимые инциденты. 2 Выберите Действия Удалить, а затем нажмите Да. 4 Нажмите ОК. Можно также перенести или удалить инцидент на вкладке Инциденты, нажав Переместить или Удалить в столбце Действия. Обновление проблем В этом разделе рассматривается обновление информации о проблеме, включая изменение владельца, отправку уведомлений и добавление комментариев. Уведомления отправляются создателю проблемы, владельцу проблемы и избранным пользователям в следующих случаях: Создается или изменяется сообщение электронной почты. добавление инцидентов к проблеме или их удаление из проблемы; Изменяется заголовок проблемы. Изменяются сведения о владельце. Изменяется приоритет. McAfee Data Loss Prevention Endpoint Product Guide 169

170 11 Инциденты и рабочие события Управление проблемами Изменяется решение. добавление комментариев. Можно отключить автоматические уведомления по электронной почте создателю проблемы и ее владельцу, используя Меню Конфигурация Параметры сервера Data Loss Prevention. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Управление проблемами DLP. 2 Выберите идентификатор проблемы. 3 Выполните одну из следующих задач. Для обновления имени проблемы введите новое имя в поле Заголовок, затем щелкните Сохранить. Для обновления владельца: 1 Рядом с полем Владелец нажмите кнопку... 2 Выберите группу или пользователя. 3 Щелкните ОК. 4 Щелкните Сохранить. Для обновления параметров Приоритет, Состояние, или Разрешение выберите требуемые пункты в раскрывающихся списках, затем щелкните Сохранить. Для отправки уведомлений по электронной почте: 1 Рядом с полем Кого уведомлять нажмите кнопку... 2 Выберите пользователей, которым следует отправлять уведомления. Если пользователи не указаны, укажите сервер электронной почты для McAfee epo и добавьте адреса электронной почты пользователей. Настройте сервер электронной почты с помощью Меню Конфигурация Параметры сервера Сервер электронной почты. Настройте пользователей с помощью Меню Управление пользователями Пользователи. 3 Щелкните Сохранить. Для добавления комментария к проблеме: 1 Перейдите на вкладку Комментарии. 2 Введите комментарий в текстовом поле. 3 Щелкните Добавить комментарий. 4 Щелкните ОК. Добавление и удаление меток проблемы Метки позволяют указать пользовательский атрибут, который служит отличительной характеристикой проблемы. 170 McAfee Data Loss Prevention Endpoint Product Guide

171 Инциденты и рабочие события Управление проблемами 11 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Управление проблемами DLP. 2 Установите флажок для одной или нескольких проблем. Для обновления всех инцидентов, отображаемых при текущих условиях фильтрации, щелкните Выбрать все на этой странице. 3 Выполните любые из следующих задач. Для добавления меток к выбранным проблемам выполните следующие действия: 1 Выберите Действия Управление метками Вложить. 2 Для добавления новой метки введите имя и нажмите кнопку Добавить. 3 Выберите одну или несколько меток. 4 Щелкните ОК. Для удаления меток из выбранных проблем выполните следующие действия: 1 Выберите Действия Управление метками Отсоединить. 2 Выберите метки для удаления. 3 Щелкните ОК. Удаление проблем В этом разделе рассматривается удаление проблем, которые больше не требуются для работы. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Защита данных Управление проблемами DLP. 2 Установите флажок для одной или нескольких проблем. Для удаления всех проблем, отображаемых при текущих критериях фильтрации, щелкните Выбрать все на этой странице. 3 Выберите Действия Удалить, затем щелкните Да. McAfee Data Loss Prevention Endpoint Product Guide 171

172 11 Инциденты и рабочие события Управление проблемами 172 McAfee Data Loss Prevention Endpoint Product Guide

173 12 Сбор данных и управление ими Мониторинг системы включает в себя сбор и просмотр подтверждений и событий, а также формирование отчетов. Данные об инцидентах и событиях из таблиц DLP в базе данных McAfee epo просматриваются на страницах Диспетчер инцидентов DLP и Операции DLP или обобщаются в отчетах и на панелях мониторинга. Просматривая записанные события и подтверждения, администраторы могут определить, когда правила являются слишком ограничивающими и приводят к излишним задержкам в работе, или когда они являются слишком общими и приводят к утечке данных. Содержание Изменение задач сервера Отслеживание результатов выполнения задач Создание отчетов Изменение задач сервера McAfee DLP использует задачи сервера McAfee epo для запуска задач диспетчера инцидентов DLP и операций DLP. Каждые инцидент и задача рабочих событий предварительно заданы в списке задач сервера. Их можно только включить, отключить или изменить для них расписание. Ниже перечислены доступные задачи сервера McAfee DLP: Преобразование событий-инцидентов DLP из версии 9.4 версию и выше Перенос инцидентов DLP из версии 9.3.x в версию и выше Средство запуска задач для инцидентов DLP* Задача отчетности о свойствах MA DLP DLP: перенос рабочих событий Преобразование политики DLP Задача принудительной отправки на основе политики DLP DLP: очистка истории рабочих событий и инцидентов DLP: очистка рабочих событий и инцидентов DLP: отправка сообщений электронной почты о рабочих событиях и инцидентах McAfee Data Loss Prevention Endpoint Product Guide 173

174 12 Сбор данных и управление ими Изменение задач сервера DLP: назначение рецензента для рабочих событий и инцидентов Отметить важность инцидентов DLP как ВЫСОКУЮ или КРИТИЧЕСКУЮ для импорта в диспетчере DLP * Средство запуска задач для инцидентов DLP является задачей McAfee DLP 9.3. Оно отображается только в случае, если установлены обе версии McAfee DLP. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Автоматизация Задачи сервера. 2 Выберите задачу для изменения. Рекомендация: чтобы применить фильтр к списку, введите "DLP" в поле Быстрый поиск. 3 Выберите Действия Изменить, затем щелкните Планирование. 4 Внесите требуемые изменения в расписание, затем нажмите Сохранить. Задания Создание задачи События очистки на стр. 174 Задачи очистки инцидентов и событий создаются для очистки базы данных от ненужных данных. Создание задачи Автоматическое почтовое уведомление на стр. 175 Можно настроить автоматическое уведомление администраторов, руководителей и пользователей об инцидентах и рабочих событиях по электронной почте. Создание задачи Назначить рецензента на стр. 176 В целях распределения рабочей нагрузки в больших организациях можно назначать рецензентов для различных инцидентов и рабочих событий. См. также Создание задачи Назначить рецензента на стр. 176 Создание задачи Автоматическое почтовое уведомление на стр. 175 Создание задачи События очистки на стр. 174 Создание задачи События очистки Задачи очистки инцидентов и событий создаются для очистки базы данных от ненужных данных. Задачи очистки могут создаваться для списка инцидентов, для инцидентов в списке Журнал, относящихся к используемым данным, или для списка рабочих событий. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo последовательно выберите пункты Меню Data Protection Диспетчер инцидентов DLP или Меню Data Protection Операции DLP. 2 Перейдите на вкладку Задачи инцидентов или Задачи рабочих событий. 3 Выберите тип инцидента в раскрывающемся списке (только на вкладке Задачи инцидентов), выберите События очистки на панели Тип задачи, затем щелкните Действия Создать правило. При выборе параметра Используемые/перемещаемые данные (архив) события удаляются из журнала. 174 McAfee Data Loss Prevention Endpoint Product Guide

175 Сбор данных и управление ими Изменение задач сервера 12 4 Введите имя и, по желанию, описание, затем нажмите кнопку Далее. По умолчанию правила включены. Этот параметр можно изменить, настроив задержку выполнения правила. 5 Для добавления критериев щелкните >, а для их удаления щелкните <. Задайте параметры Сравнение и Значение. Завершив задание критериев, нажмите кнопку Сохранить. Задача выполняется ежедневно для актуальных данных и в 22:00 по пятницам для данных за прошедшие периоды. См. также Изменение задач сервера на стр. 173 Создание задачи Автоматическое почтовое уведомление Можно настроить автоматическое уведомление администраторов, руководителей и пользователей об инцидентах и рабочих событиях по электронной почте. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo последовательно выберите пункты Меню Data Protection Диспетчер инцидентов DLP или Меню Data Protection Операции DLP. 2 Перейдите на вкладку Задачи инцидентов или Задачи рабочих событий. 3 Выберите тип инцидента в раскрывающемся списке (только на вкладке Задачи инцидентов), выберите Автоматическое почтовое уведомление на панели Тип задачи, затем щелкните Действия Создать правило. 4 Введите имя и, по желанию, описание. По умолчанию правила включены. Этот параметр можно изменить, настроив задержку выполнения правила. 5 Выберите события для обработки. Обработка всех инцидентов/событий (относящихся к выбранному типу инцидентов). Обработка инцидентов/событий с момента последнего почтового уведомления. 6 Выберите Получатели. Это поле обязательно для заполнения. Необходимо выбрать хотя бы одного получателя. 7 Введите тему сообщения электронной почты. Это поле обязательно для заполнения. При необходимости можно вставлять переменные из раскрывающегося списка. 8 Введите текст сообщения электронной почты. При необходимости можно вставлять переменные из раскрывающегося списка. 9 Для вложения в сообщения информации о подтверждении установите соответствующий флажок (не обязательно). Щелкните Далее. 10 Для добавления критериев щелкните >, а для их удаления щелкните <. Задайте параметры Сравнение и Значение. Завершив задание критериев, нажмите кнопку Сохранить. McAfee Data Loss Prevention Endpoint Product Guide 175

176 12 Сбор данных и управление ими Отслеживание результатов выполнения задач Эта задача выполняется ежечасно. См. также Изменение задач сервера на стр. 173 Создание задачи Назначить рецензента В целях распределения рабочей нагрузки в больших организациях можно назначать рецензентов для различных инцидентов и рабочих событий. Предварительные операции В программе McAfee epo в разделе Управление пользователями Наборы разрешений создайте рецензента или назначьте рецензента группы с разрешениями Назначение рецензента для компонентов Диспетчер инцидентов DLP и Операции DLP. При выполнении задачи Назначить рецензента инцидентам/событиям назначается рецензент согласно критериям, указанным в правилах. Эта задача выполнима только в отношении тех инцидентов, которым не назначен рецензент. С помощью этой задачи невозможно переназначить инциденты другому рецензенту. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo последовательно выберите пункты Меню Data Protection Диспетчер инцидентов DLP или Меню Data Protection Операции DLP. 2 Перейдите на вкладку Задачи инцидентов или Задачи рабочих событий. 3 Выберите тип инцидента в раскрывающемся списке (только на вкладке Задачи инцидентов), выберите Назначить рецензента на панели Тип задачи, затем щелкните Действия Создать правило. 4 Введите имя и, по желанию, описание. Выберите рецензента или группу, затем нажмите кнопку Далее. По умолчанию правила включены. Этот параметр можно изменить, настроив задержку выполнения правила. 5 Нажмите кнопку >, чтобы добавить критерии, или кнопку <, чтобы удалить их. Задайте параметры Сравнение и Значение. Завершив определение критериев, нажмите кнопку Сохранить. Рекомендация: если имеется несколько правил Назначить рецензента, упорядочите список правил. Эта задача выполняется ежечасно. Если рецензент уже назначен, с помощью задачи Назначить рецензента невозможно переопределить это назначение. См. также Изменение задач сервера на стр. 173 Отслеживание результатов выполнения задач В этом разделе рассматривается отслеживание результатов выполнения задач, относящихся к инцидентам и рабочим событиям. 176 McAfee Data Loss Prevention Endpoint Product Guide

177 Сбор данных и управление ими Создание отчетов 12 Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Автоматизация Журнал задач сервера. 2 Найдите выполненные задачи McAfee DLP. Рекомендация: чтобы применить фильтр к списку, введите DLP в поле Быстрый поиск или задайте пользовательский фильтр. 3 Щелкните имя задачи. Отображаются сведения о задаче, в том числе все ошибки в случае сбоя задачи. Создание отчетов В McAfee DLP используются функции отчетности McAfee epo. Доступно несколько предварительно запрограммированных отчетов, а также параметр создания пользовательских отчетов. Дополнительные сведения см. в разделе Выполнение запросов к базе данных руководства по продукту McAfee epolicy Orchestrator. Типы отчетов Функции формирования отчетов в McAfee epo позволяют отслеживать рабочие характеристикиmcafee DLP Endpoint. На панелях мониторинга McAfee epo поддерживаются четыре типа отчетов: Сводка по инцидентам DLP Сводка по обнаружению на конечных точках DLP Сводка по политике DLP Сводка по операциям DLP Всего на панелях мониторинга имеется 22 отчета на основе 28 запросов в консоли McAfee epo в разделе Меню Отчетность Запросы и отчеты Группы McAfee Data Loss Prevention. Способы отображения отчетов При рецензировании событий в программном обеспечении McAfee DLP применяются отчеты McAfee epo. Сведения о свойствах программы можно также просмотреть на панели мониторинга McAfee epo. Отчеты McAfee epo Программное обеспечение McAfee DLP Endpoint взаимодействует со службой отчетов McAfee epo. Информацию о службе отчетов McAfee epo см. в документе Руководство по продукту McAfee epolicy Orchestrator. McAfee epo поддерживает сводные запросы и отчеты, содержащие сводные данные из нескольких баз данныхmcafee epo. Поддерживаются уведомления McAfee epo. См. раздел Отправка уведомлений в документе Руководство по продукту McAfee epolicy Orchestrator. McAfee Data Loss Prevention Endpoint Product Guide 177

178 12 Сбор данных и управление ими Создание отчетов Панели мониторинга epo Сведения о свойствах продукта McAfee DLP представлены на странице McAfee epo Меню Панели мониторинга. Имеется четыре предварительно настроенных панели мониторинга: Сводка по инцидентам DLP Сводка по обнаружению на конечных точках DLP Сводка по политике DLP Сводка по операциям DLP Можно изменять и настраивать панели мониторинга, а также создавать новые мониторы. Инструкции см. в документации по McAfee epo. Чтобы перейти к предварительно заданным запросам, представленным на панелях мониторинга, выберите Меню Запросы и отчеты. Они перечислены в разделе Группы McAfee. Предварительно определенные панели мониторинга В следующей таблице описываются предварительно определенные панели мониторинга McAfee DLP. Таблица 12-1 Предварительно определенные панели мониторинга DLP Категория Параметр Описание DLP: сводка по инцидентам DLP: сводка по операциям Количество инцидентов в день Количество инцидентов по серьезности Количество инцидентов по типу Количество инцидентов по набору правил Количество рабочих событий в день Версия агента Распределение продуктов DLP по конечным компьютерам Обнаружение DLP (конечная точка): состояние проверки локальной файловой системы Состояние агента Эти диаграммы служат для отображения сведений об общем количестве инцидентов с разбивкой по различным параметрам, что упрощает анализ определенных проблем. Отображение всех административных событий. Отображение распределения конечных точек в компании. Используется для отслеживания процесса развертывания агента. Отображение круговой диаграммы со сведениями о количестве конечных точек Windows и Mac, а также информацией о количестве конечных точек, на которых не установлены клиенты. Отображение круговой диаграммы со сведениями о количестве свойств проверки для обнаружения локальной файловой системы и их состоянии (завершенные, выполняющиеся, неопределенные). Отображение всех агентов и их состояний. 178 McAfee Data Loss Prevention Endpoint Product Guide

179 Сбор данных и управление ими Создание отчетов 12 Таблица 12-1 Предварительно определенные панели мониторинга DLP (продолжение) Категория Параметр Описание Режим работы агента Обнаружение DLP (конечная точка): состояние проверки локального хранилища электронной почты Отображение круговой диаграммы агентов в соответствии с режимами работы DLP. Режимы работы: Только режим управления устройством Режим управления устройством и полной защиты содержимого Режим управления устройством и защиты съемных носителей с учетом содержимого Неизвестно Отображение круговой диаграммы со сведениями о количестве свойств проверки для обнаружения локального хранилища электронной почты и их состоянии (завершенные, выполняющиеся, неопределенные). DLP: сводка по политике Распределение политики Отображение сведений о распределении политики DLP по версии в рамках всей организации. Используется для отслеживания хода развертывания новой политики. DLP: сводка по обнаружению на конечных точках Принудительно примененные наборы правил по конечным компьютерам Пользователи, выполнившие обход Неопределенные классы устройств (для устройств Windows) Привилегированные пользователи Распределение версий политики Обнаружение DLP (конечная точка): актуальное состояние проверок локальной файловой системы Обнаружение DLP (конечная точка): актуальные конфиденциальные файлы во время проверок локальной файловой системы Обнаружение DLP (конечная точка): недавние ошибки во время проверок локальной файловой системы Обнаружение DLP (конечная точка): недавние классификации во время проверок локальной файловой системы Отображение гистограммы с именем набора правил и количеством принудительно примененных политик. Отображение имени системы/имени пользователя и количества свойств сеанса пользователя. Отображение сведений о неопределенных классах устройств для устройств Windows. Отображение имени системы/имени пользователя и количества свойств сеанса пользователя. Этот параметр сходен с параметром Распределение политики, но предусматривает также отображение редакций, т. е. обновленных вариантов существующей версии. Отображение круговой диаграммы со сведениями о состоянии запуска всех проверок локальной файловой системы. Отображение столбиковой диаграммы со сведениями о диапазоне конфиденциальных файлов, найденных среди системных файлов. Отображение столбиковой диаграммы со сведениями о диапазоне ошибок, найденных среди системных файлов. Отображение столбиковой диаграммы со сведениями о классификациях, примененных к системным файлам. McAfee Data Loss Prevention Endpoint Product Guide 179

180 12 Сбор данных и управление ими Создание отчетов Таблица 12-1 Предварительно определенные панели мониторинга DLP (продолжение) Категория Параметр Описание Обнаружение DLP (конечная точка): актуальное состояние проверок локальной электронной почты Обнаружение DLP (конечная точка): актуальные конфиденциальные файлы во время проверок локальной электронной почты Обнаружение DLP (конечная точка): недавние ошибки во время проверок локальной электронной почты Обнаружение DLP (конечная точка): недавние классификации во время проверок локальной электронной почты Отображение круговой диаграммы со сведениями о состоянии запуска всех проверок папок локальной электронной почты. Отображение столбиковой диаграммы со сведениями о диапазоне конфиденциальных писем, найденных в папках локальной электронной почты. Отображение столбиковой диаграммы со сведениями о диапазоне ошибок, найденных в папках локальной электронной почты. Отображение столбиковой диаграммы со сведениями о классификациях, примененных к локальной электронной почте. Создание задачи сервера сведения данных Задачи сведения McAfee epo извлекают данные с нескольких серверов для формирования единого отчета. Можно создать сводные отчеты для рабочих событий и инцидентов McAfee DLP. Процедура Чтобы просмотреть подробные сведения о функциях продуктов, их использовании и передовых практиках, щелкните? или Справка. 1 В McAfee epo выберите Меню Автоматизация Задачи сервера. 2 Щелкните Создать задачу. 3 В построителе задач сервера введите имя и необязательное примечание, затем нажмите кнопку Далее. 4 В раскрывающемся списке Действия выберите Сводные данные. Отображается форма сведения данных. 5 Выберите серверы в поле Сведение данных из (не обязательно). 6 Из раскрывающегося списка Тип данных выберите Инциденты DLP, Рабочее событие DLP или Обнаружение McAfee DLP Endpoint, в зависимости от требуемого действия. 7 Настройте параметры Очистить, Фильтр или Способ сведения (не обязательно). Щелкните Далее. 8 Выберите тип планирования, дату начала, дату начала и запланированное время. Нажмите Далее. 9 Проверьте информацию на странице Сводка, а затем нажмите кнопку Сохранить. 180 McAfee Data Loss Prevention Endpoint Product Guide

181 Maintenance and troubleshooting Chapter 13 McAfee DLP Endpoint Diagnostics McAfee Data Loss Prevention Endpoint Product Guide 181

182 Maintenance and troubleshooting 182 McAfee Data Loss Prevention Endpoint Product Guide

183 13 McAfee DLP Endpoint Diagnostics Use the McAfee DLP Endpoint Diagnostic Tool utility for troubleshooting and monitoring system health. Diagnostic Tool The Diagnostic Tool is designed to aid troubleshooting McAfee DLP Endpoint problems on Microsoft Windows endpoint computers. It is not supported on OS X computers. The Diagnostic Tool gathers information on the performance of client software. The IT team uses this information to troubleshoot problems and tune policies. When severe problems exist, it can be used to collect data for analysis by the McAfee DLP development team. The tool is distributed as a utility to install on problem computers. It consists of seven tabbed pages, each devoted to a different aspect of McAfee DLP Endpoint software operation. On all pages displaying information in tables (all pages except General information and Tools), you can sort the tables on any column by clicking the column header. General information DLPE Modules Data Flow Tools Process list Devices Active policy Collects data such as whether the agent processes and drivers are running and general policy, agent, and logging information. Where an error is detected, information about the error is presented. Displays the agent configuration (as shown in the McAfee DLP Endpoint policy console as the Agent Configuration Miscellaneous page). It shows the configuration setting and status of each module, add-in, and handler. Selecting a module displays details that can help you determine problems. Displays the number of events and the memory used by the McAfee DLP Endpoint client, and displays event details when a specific event is selected. Allows you to perform several tests and displays the results. When necessary, a data dump is performed for further analysis. Displays all processes currently running on the computer. Selecting a process displays details and related window titles and application definitions. Displays all Plug and Play and removable devices currently connected to the computer. Selecting a device displays details of the device and related device definitions. Displays all active device control rules and relevant definitions from the device definitions. Displays all rules contained in the active policy, and the relevant policy definitions. Selecting a rule or definition displays the details. McAfee Data Loss Prevention Endpoint Product Guide 183

184 13 McAfee DLP Endpoint Diagnostics Diagnostic Tool Checking the agent status Use the General information tab to get an overview of the agent status. The information on the General information tab is designed to confirm expectations and answer basic questions. Are the agent processes and drivers running? What product versions are installed? What is the current operation mode and policy? Agent processes and drivers One of the most important questions in troubleshooting is, "Is everything running as expected?" The Agent processes and Drivers sections show this at a glance. The checkboxes show if the process is enabled; the colored dot shows if it is running. If the process or driver is down, the text box gives information on what is wrong. The default maximum memory is 150 MB. A high value for this parameter can indicate problems. Table 13-1 Agent processes Term Process Expected status Fcag McAfee DLP Endpoint agent (client) enabled; running Fcags McAfee DLP Endpoint agent service enabled; running Fcagte McAfee DLP Endpoint text extractor enabled; running Fcagwd McAfee DLP Endpoint watch dog enabled; running Fcagd McAfee DLP Endpoint agent with automatic dump enabled only for troubleshooting. Table 13-2 Drivers Term Process Expected status Hdlpflt McAfee DLP Endpoint minifilter driver (enforces removable storage device rules) Hdlpevnt McAfee DLP Endpoint event Hdlpdbk McAfee DLP Endpoint device filter driver (enforces device Plug and Play rules) enabled; running enabled; running can be disabled in configuration Hdlpctrl McAfee DLP Endpoint control enabled; running Hdlhook McAfee DLP Endpoint Hook driver enabled; running Agent info section Operation mode and Agent status are expected to match. The Agent Connectivity indication, together with EPO address, can be useful in troubleshooting. Agent Connectivity has three options: online, offline, or connected by VPN. Run the Diagnostic Tool The Diagnostic Tool utility provides IT teams with detailed information on the agent status. Before you begin Diagnostic Tool requires authentication with McAfee Help Desk. Task 1 Double-click the hdlpdiag.exe file. An authentication window opens. 184 McAfee Data Loss Prevention Endpoint Product Guide

185 McAfee DLP Endpoint Diagnostics Diagnostic Tool 13 2 Copy the Identification Code to the Help Desk Identification Code text box on the Generate DLP Client Bypass Key page. Fill in the rest of the information and generate a Release Code. 3 Copy the Release Code to the authentication window Validation Code text box and click OK. The diagnostic tool utility opens. The General Information, DLPE Modules, and Process List tabs have a Refresh button in the lower right corner. Changes that occur when a tab is open do not update information automatically on these tabs. Click the Refresh button frequently to verify that you are viewing current data. Tuning policies Diagnostic Tool can be used to troubleshoot or tune policies. Use case: High CPU usage Users are sometimes plagued by slow performance when a new policy is enforced. One cause might be high CPU usage. To determine this, go to the Process List tab. If you see an unusually large number of events for a process, this could be the problem. For example, a recent check found that taskmgr.exe was classified as an Editor, and had the second highest number of total events. It is quite unlikely that this application is leaking data, and the McAfee DLP Endpoint client does not need to monitor it that closely. To test the theory, create an application template. In the Policy Catalog, go to DLP Policy Settings and set an override to Trusted. Apply the policy, and test to see if performance has improved. Use case: Creating effective content classification and content fingerprinting criteria Tagging sensitive data lies at the heart of a data protection policy. Diagnostic Tool displays information that helps you design effective content classification and content fingerprinting criteria. Tags can be too tight, missing data that should be tagged, or too loose, creating false positives. The Active Policy page lists classifications and their content classification and content fingerprinting criteria. The Data Flow page lists all tags applied by the policy, and the count for each. When counts are higher than expected, false positives are suspected. In one case, an extremely high count led to the discovery that the classification was triggered by Disclaimer text. Adding the Disclaimer to the whitelist removed the false positives. By the same token, lower than expected counts suggest a classification that is too strict. If a new file is tagged while the Diagnostic Tool is running, the file path is displayed. in the details pane. Use this information to locate files for testing. McAfee Data Loss Prevention Endpoint Product Guide 185

McAfee Data Loss Prevention

McAfee Data Loss Prevention Руководство по продукту Редакция A McAfee Data Loss Prevention 10.0.100 Для использования в сочетании с McAfee epolicy Orchestrator АВТОРСКОЕ ПРАВО 2016 Intel Corporation ПРАВА НА ТОВАРНЫЕ ЗНАКИ Intel

Подробнее

McAfee Endpoint Security

McAfee Endpoint Security Руководство по миграции McAfee Endpoint Security 10.2.0 Для использования в сочетании с McAfee epolicy Orchestrator АВТОРСКОЕ ПРАВО 2016 Intel Corporation ПРАВА НА ТОВАРНЫЕ ЗНАКИ Intel и логотип Intel

Подробнее

McAfee Data Loss Prevention Endpoint

McAfee Data Loss Prevention Endpoint Примечания к выпуску Редакция B McAfee Data Loss Prevention Endpoint 9.4.200 Для использования в сочетании с McAfee epolicy Orchestrator Содержание Об этом выпуске Усовершенствования Устраненные проблемы

Подробнее

McAfee Change Control и McAfee Application Control 7.0.0

McAfee Change Control и McAfee Application Control 7.0.0 Руководство по установке McAfee Change Control и McAfee Application Control 7.0.0 Для использования в сочетании с McAfee epolicy Orchestrator АВТОРСКОЕ ПРАВО Copyright 2016 McAfee, Inc., 2821 Mission College

Подробнее

McAfee Endpoint Security

McAfee Endpoint Security Руководство по установке McAfee Endpoint Security 10.2.0 Для использования в сочетании с McAfee epolicy Orchestrator АВТОРСКОЕ ПРАВО 2016 Intel Corporation ПРАВА НА ТОВАРНЫЕ ЗНАКИ Intel и логотип Intel

Подробнее

Руководство по продукту Редакция B. Программное обеспечение McAfee epolicy Orchestrator 5.1.0

Руководство по продукту Редакция B. Программное обеспечение McAfee epolicy Orchestrator 5.1.0 Руководство по продукту Редакция B Программное обеспечение McAfee epolicy Orchestrator 5.1.0 АВТОРСКОЕ ПРАВО Copyright 2014 McAfee, Inc. Запрещается копирование материалов без разрешения. ПРАВА НА ТОВАРНЫЕ

Подробнее

Руководство по продукту. Программное обеспечение McAfee epolicy Orchestrator 5.3.0

Руководство по продукту. Программное обеспечение McAfee epolicy Orchestrator 5.3.0 Руководство по продукту Программное обеспечение McAfee epolicy Orchestrator 5.3.0 АВТОРСКОЕ ПРАВО Copyright 2014 McAfee, Inc. Запрещается копирование материалов без разрешения. ПРАВА НА ТОВАРНЫЕ ЗНАКИ

Подробнее

McAfee Data Loss Prevention Discover

McAfee Data Loss Prevention Discover Руководство по продукту Редакция A McAfee Data Loss Prevention Discover 10.0.0 Для использования в сочетании с McAfee epolicy Orchestrator АВТОРСКОЕ ПРАВО 2016 Intel Corporation ПРАВА НА ТОВАРНЫЕ ЗНАКИ

Подробнее

Администрирование Windows 7

Администрирование Windows 7 Матвеев М.Д., Прокди Р.Г. и др. Администрирование Windows 7 ПРАКТИЧЕСКОЕ РУКОВОДСТВО И СПРАВОЧНИК АДМИНИСТРАТОРА Наука и Техника Санкт-Петербург 2013 Матвеев М. Д., Прокди Р. Г. и др. АДМИНИСТРИРОВАНИЕ

Подробнее

Руководство по продукту. McAfee Endpoint Security 10.2

Руководство по продукту. McAfee Endpoint Security 10.2 Руководство по продукту McAfee Endpoint Security 10.2 АВТОРСКОЕ ПРАВО 2016 Intel Corporation ПРАВА НА ТОВАРНЫЕ ЗНАКИ Intel и логотип Intel являются зарегистрированными товарными знаками Intel Corporation

Подробнее

Руководство по установке. Программное обеспечение McAfee epolicy Orchestrator 5.3.0

Руководство по установке. Программное обеспечение McAfee epolicy Orchestrator 5.3.0 Руководство по установке Программное обеспечение McAfee epolicy Orchestrator 5.3.0 АВТОРСКОЕ ПРАВО Copyright 2014 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com

Подробнее

ADOBE FLASH PLAYER Менеджер локальных настроек

ADOBE FLASH PLAYER Менеджер локальных настроек ADOBE FLASH PLAYER Менеджер локальных настроек Юридическая информация Юридическая информация Юридическая информация доступна на веб-сайте http://help.adobe.com/ru_ru/legalnotices/index.html. iii Содержание

Подробнее

McAfee Change Control и McAfee Application Control 7.0.0

McAfee Change Control и McAfee Application Control 7.0.0 Руководство по продуктам McAfee Change Control и McAfee Application Control 7.0.0 Для использования в сочетании с McAfee epolicy Orchestrator АВТОРСКОЕ ПРАВО Copyright 2016 McAfee, Inc., 2821 Mission College

Подробнее

Samsung Drive Manager Руководство пользователя

Samsung Drive Manager Руководство пользователя Samsung Drive Manager Руководство пользователя Содержание этого руководства может изменяться без предварительного уведомления. Компании, названия и используемые в примерах данные не являются настоящими

Подробнее

Руководство пользователя серверной программы Avigilon Control Center. Версии 5.6

Руководство пользователя серверной программы Avigilon Control Center. Версии 5.6 Руководство пользователя серверной программы Avigilon Control Center Версии 5.6 2006 2015 Avigilon Corporation. Все права защищены. Если в письменной форме прямо не указано иное, никакие лицензии не предоставляются

Подробнее

Создание и администрирование кластеров файловых серверов и серверов печати. Создание принтера, управляемого кластером

Создание и администрирование кластеров файловых серверов и серверов печати. Создание принтера, управляемого кластером Создание и администрирование кластеров файловых серверов и серверов печати Создание принтера, управляемого кластером Чтобы создать принтер, управляемый кластером 2. Создайте виртуальный сервер, т. е. группу,

Подробнее

Интеллектуальные решения в области электроэнергии и ее качества. Введение в GridVis. Док. :

Интеллектуальные решения в области электроэнергии и ее качества. Введение в GridVis. Док. : Введение в GridVis Док. : 2.047.004.2 Содержание Минимальные требования 4 Версии программы - модель лицензии GridVis 5 Установка и активация программного обеспечения GridVis для настольных компьютеров

Подробнее

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ ГРАЖДАНСКОЙ АВИАЦИИ. Учебная программа

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ ГРАЖДАНСКОЙ АВИАЦИИ. Учебная программа МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ ГРАЖДАНСКОЙ АВИАЦИИ Центр переподготовки и повышения квалификации кадров воздушного транспорта РФ Учебная программа 1. Введение 2. Тема 1 «Курс 6585.Приступая

Подробнее

Тема 4. Коммуникационные сервисы Internet

Тема 4. Коммуникационные сервисы Internet Тема 4. Коммуникационные сервисы Internet Не забудьте, что при использовании коммуникационных служб Internet Вы можете использовать emoticons знаки для выражения своих эмоций ;-)! Электронная почта. Pegasus

Подробнее

Настройка обозревателя Internet Explorer

Настройка обозревателя Internet Explorer Глава 13 Настройка обозревателя Internet Explorer Обозреватель Internet Explorer, как и все программы, входящие в Windows Vista, можно настроить. Рис. 13.1. Диалоговое окно Свойства обозревателя 372 Глава

Подробнее

Руководство пользователя виджетов для платформы SAP BusinessObjects Business Intelligence

Руководство пользователя виджетов для платформы SAP BusinessObjects Business Intelligence Платформа SAP BusinessObjects Business Intelligence Document Version: 4.0 Support Package 8-2013-11-13 Руководство пользователя виджетов для платформы SAP BusinessObjects Business Intelligence Содержание

Подробнее

ESET SMART SECURITY 8

ESET SMART SECURITY 8 ESET SMART SECURITY 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Краткое руководство Щелкните здесь, чтобы загрузить актуальную версию этого документа. ESET Smart

Подробнее

Справка по Micro Focus Vibe Mobile

Справка по Micro Focus Vibe Mobile Справка по Micro Focus Vibe Mobile Сентябрь 2016 г. Приступая к работе Мобильный доступ к сайту Micro Focus Vibe может быть отключен администратором Vibe. Если вам не удается получить доступ к мобильному

Подробнее

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (пакет обновления 6) Краткое руководство

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (пакет обновления 6) Краткое руководство Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (пакет обновления 6) Краткое руководство Программный комплекс для защиты от вирусов ESET NOD32 Antivirus обеспечивает самую современную защиту

Подробнее

Acronis Backup & Recovery 10 Advanced Editions. Быстрый старт

Acronis Backup & Recovery 10 Advanced Editions. Быстрый старт Acronis Backup & Recovery 10 Advanced Editions Быстрый старт Этот документ содержит описание установки и запуска любого из следующих выпусков программы Acronis Backup & Recovery 10: Acronis Backup & Recovery

Подробнее

Инструкции по работе с программой P-touch Transfer Manager

Инструкции по работе с программой P-touch Transfer Manager Инструкции по работе с программой P-touch Transfer Manager Перед эксплуатацией принтера обязательно ознакомьтесь снастоящим интерактивным руководством пользователя. Рекомендуется держать его под рукой

Подробнее

Облачный сервис OneDrive

Облачный сервис OneDrive Облачный сервис OneDrive Совместная работа с документами Общий доступ к документам в библиотеке OneDrive позволяет другим людям в вашей организации просматривать и редактировать ваши документы. Предоставив

Подробнее

PASW Statistics для Mac OS Инструкции по установке (Лицензия на одного пользователя)

PASW Statistics для Mac OS Инструкции по установке (Лицензия на одного пользователя) PASW Statistics для Mac OS Инструкции по установке (Лицензия на одного пользователя) Указания ниже предназначены для установки программы PASW Statistics 18 с помощью лицензия на одного пользователя. Однопользовательская

Подробнее

Для оптимального просмотра курсов настоятельно рекомендуется (но не требуется) следующее аппаратное и программное обеспечение:

Для оптимального просмотра курсов настоятельно рекомендуется (но не требуется) следующее аппаратное и программное обеспечение: Часто задаваемые технические вопросы Каковы требования к системе? Для оптимального просмотра курсов настоятельно рекомендуется (но не требуется) следующее аппаратное и программное обеспечение: 64-разрядная

Подробнее

INFOWATCH ENDPOINT SECURITY INSIGHT EDITION

INFOWATCH ENDPOINT SECURITY INSIGHT EDITION InfoWatch EndPoint Security Insight Edition это простая и удобная система мониторинга и защиты, которая выявляет слабые места корпоративной сети, формирует картину рабочего дня персонала и предлагает инструменты

Подробнее

Краткое руководство по началу работы

Краткое руководство по началу работы Краткое руководство по началу работы Интерфейс Microsoft Word 2013 изменился по сравнению с предыдущими версиями, и чтобы помочь вам быстрее освоиться с ним, мы создали это руководство. Настройте панель

Подробнее

Департамент информационных технологий

Департамент информационных технологий Департамент информационных технологий Руководство пользователя Работа с почтовым клиентом Microsoft Outlook 2010 1. Создание сообщения 2. Адресная книга 3. Добавление адресатов 4. Вложение файлов в сообщение

Подробнее

Вход в MS Lync. Методические указания по работе с. Microsoft Lync On-line

Вход в MS Lync. Методические указания по работе с. Microsoft Lync On-line Методические указания по работе с Microsoft Lync On-line Microsoft Lync 2010 - это коммуникационная программа от Microsoft, которая позволяет вести видео- звуковое общение с возможностью вести конференции,

Подробнее

Менеджер библиотеки стандартных компонентов

Менеджер библиотеки стандартных компонентов Менеджер библиотеки стандартных компонентов CSoft Development, 2009. Все права защищены Содержание Менеджер библиотеки стандартных компонентов...2 Замечание по безопасности...4 Запуск Менеджера библиотеки

Подробнее

Руководство пользователя сервера Avigilon Control Center. Версия 5.10

Руководство пользователя сервера Avigilon Control Center. Версия 5.10 Руководство пользователя сервера Avigilon Control Center Версия 5.10 2006 2016, Avigilon Corporation. Все права защищены. AVIGILON, логотип AVIGILON, AVIGILON CONTROL CENTER и ACCAVIGILON, логотип AVIGILON,

Подробнее

Руководство по эксплуатации Microsoft Apps

Руководство по эксплуатации Microsoft Apps Руководство по эксплуатации Microsoft Apps Выпуск 1 2 О приложении Microsoft Apps О приложении Microsoft Apps Комплект приложений Microsoft Apps включает деловые приложения Microsoft для телефона Nokia

Подробнее

2014 Electronics For Imaging. На информацию в данном документе распространяется действие Юридического уведомления в отношении данного изделия.

2014 Electronics For Imaging. На информацию в данном документе распространяется действие Юридического уведомления в отношении данного изделия. 2014 Electronics For Imaging. На информацию в данном документе распространяется действие Юридического уведомления в отношении данного изделия. 23 июня 2014 г. Содержание 3 Содержание...5 Доступ к программе...5

Подробнее

РАБОТА В MICROSOFT WORD 2010

РАБОТА В MICROSOFT WORD 2010 INTUIT.ru::Интернет-Университет Информационных Технологий 1/18 О.В. Спиридонов Лекция 2. Работа с файлами Лекция посвящена работе c файлами в Microsoft Word 2010. Представлены новые форматы файлов Microsoft

Подробнее

О Zecurion.

О Zecurion. 2 О Zecurion Основана в 2001 году Фокус защита от утечек (DLP) Российские и международные награды Технологический лидер российского DLP-рынка (Anti-Malware.ru) Лидер по обороту среди DLP-вендоров (CNews)

Подробнее

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Краткое руководство Щелкните здесь, чтобы загрузить актуальную версию этого документа. ESET NOD32

Подробнее

Пакет Scan to PC Desktop: приложение Image Retriever 9

Пакет Scan to PC Desktop: приложение Image Retriever 9 Пакет Scan to PC Desktop: приложение Image Retriever 9 Программный пакет Scan to PC Desktop включает приложение Image Retriever, которое предназначено для мониторинга заданной папки на сетевом файловом

Подробнее

Установка программного обеспечения MathWorks

Установка программного обеспечения MathWorks Установка программного обеспечения MathWorks Подготовка к установке Шаг 1: запуск программы установки Шаг 2: выбор установки через Интернет Шаг 3: просмотр лицензионного соглашения для программного обеспечения

Подробнее

VRM Monitor. Интерактивная справка

VRM Monitor. Интерактивная справка VRM Monitor ru Интерактивная справка VRM Monitor Содержание ru 3 Содержание 1 Введение 3 2 Обзор системы 3 3 Getting started 4 3.1 Запуск VRM Monitor 4 3.2 Запуск Configuration Manager 4 4 Настройка журналов

Подробнее

Краткое руководство по началу работы

Краткое руководство по началу работы Краткое руководство по началу работы Интерфейс Microsoft PowerPoint 2013 изменился по сравнению с предыдущими версиями, и мы создали это руководство, чтобы помочь вам быстрее освоиться с ним. Поиск нужных

Подробнее

IBM SPSS Statistics для Windows Инструкция по установке (Лицензия на одного пользователя)

IBM SPSS Statistics для Windows Инструкция по установке (Лицензия на одного пользователя) IBM SPSS Statistics для Windows Инструкция по установке (Лицензия на одного пользователя) Приведенные ниже инструкции предназначены для установки IBM SPSS Statistics версии 19 с использованием однопользовательская

Подробнее

Acronis Backup & Recovery 11 Краткое руководство пользователя

Acronis Backup & Recovery 11 Краткое руководство пользователя Acronis Backup & Recovery 11 Краткое руководство пользователя Применимо к следующим выпускам: Advanced Server Virtual Edition Advanced Server SBS Edition Advanced Workstation Server для Linux Server для

Подробнее

Методические указания

Методические указания ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ Финансовый университет при Правительстве Российской Федерации УЧЕБНЫЙ ЦЕНТР ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Подробнее

Qlik Sense Desktop. Qlik Sense 1.1 QlikTech International AB Все права защищены.

Qlik Sense Desktop. Qlik Sense 1.1 QlikTech International AB Все права защищены. Qlik Sense Desktop Qlik Sense 1.1 QlikTech International AB 1993-2015. Все права защищены. QlikTech International AB 1993-2015. Все права защищены. Qlik, QlikTech, Qlik Sense, QlikView, Sense и логотип

Подробнее

Система защиты информации от несанкционированного доступа «Блокхост-сеть К» Руководство пользователя

Система защиты информации от несанкционированного доступа «Блокхост-сеть К» Руководство пользователя Система защиты информации от несанкционированного доступа «Блокхост-сеть К» Руководство пользователя СЗИ «Блокхост-сеть К». Руководство пользователя. Стр. 2 Содержание 1. Общие сведения... 3 1.1. Назначение

Подробнее

Модуль видео- конференций. Документация 2013 г.

Модуль видео- конференций. Документация 2013 г. Модуль видеоконференций. Документация 2013 г. 2013 ООО "Предприятие ФОСС-Он-Лайн". Все права защищены. Без письменного разрешения ФОСС-Он-Лайн никакая часть данной документации не может быть воспроизведена

Подробнее

Полное управление производительностью

Полное управление производительностью Полное управление производительностью Совместимость с Windows XP и Windows Vista 2013 Повышайте производительность и заботьтесь о состоянии вашего компьютера с помощью одного мощного и гибкого приложения.

Подробнее

ПРОГРАММНЫЙ МОДУЛЬ «НЕЗАВИСИМЫЙ РЕГИСТРАТОР» (версия 2.0) Руководство по установке и использованию

ПРОГРАММНЫЙ МОДУЛЬ «НЕЗАВИСИМЫЙ РЕГИСТРАТОР» (версия 2.0) Руководство по установке и использованию ПРОГРАММНЫЙ МОДУЛЬ «НЕЗАВИСИМЫЙ РЕГИСТРАТОР» (версия 2.0) Руководство по установке и использованию Москва, 2015 г. Оглавление 1 Назначение и описание программного обеспечения... 3 2 Установка программного

Подробнее

Оглавление. Введение Глава 1. В чем различия между Мас и Windows? Глава 2. Какие программы мне понадобятся?... 46

Оглавление. Введение Глава 1. В чем различия между Мас и Windows? Глава 2. Какие программы мне понадобятся?... 46 Оглавление Введение........................... 13 Глава 1 В чем различия между Мас и Windows?.................... 16 Различия в работе операционных систем.................................. 37 Сравниваем

Подробнее

ESET NOD32 Antivirus 4 для Linux Desktop. Краткое руководство

ESET NOD32 Antivirus 4 для Linux Desktop. Краткое руководство ESET NOD32 Antivirus 4 для Linux Desktop Краткое руководство ESET NOD32 Antivirus 4 обеспечивает самую современную защиту компьютера от вредоносных программ. Основанное на ядре сканирования ThreatSense,

Подробнее

Бастион-2 ПЦН. Версия Руководство администратора

Бастион-2 ПЦН. Версия Руководство администратора Бастион-2 ПЦН Версия 1.0.0 Руководство администратора Бастион-2 ПЦН. Руководство администратора 1 Оглавление 1 Общие сведения...2 1.1 Назначение и область применения...2 1.2 Структура системы...2 2 Условия

Подробнее

Краткое руководство по началу работы

Краткое руководство по началу работы Краткое руководство по началу работы Интерфейс Microsoft Excel 2013 изменился по сравнению с предыдущими версиями, и чтобы помочь вам быстрее освоиться с ним, мы создали это руководство. Добавляйте команды

Подробнее

Меры по обеспечению защиты данных для сервиса ispring Online

Меры по обеспечению защиты данных для сервиса ispring Online Меры по обеспечению защиты данных для сервиса ispring Online Назначение документа Настоящий документ описывает меры, предпринимаемые Компанией ispring для защиты данных, размещенных пользователями в системе

Подробнее

Регистрация и просмотр изменений в документе

Регистрация и просмотр изменений в документе Регистрация и просмотр изменений в документе В создании документа часто принимают участие несколько пользователей. Если авторами и рецензентами аналитической записки или предложения по проекту являются

Подробнее

Модули поддержки КриптоПро CSP

Модули поддержки КриптоПро CSP Модули поддержки КриптоПро CSP 2014 Компания «Актив» Рутокен для КриптоПро CSP. Компанией «Актив» разработаны готовые решения, обеспечивающие интеграцию Рутокен и различных версий СКЗИ КриптоПро CSP. Установочные

Подробнее

Seagate Access для Personal Cloud Руководс

Seagate Access для Personal Cloud Руководс Seagate Access для Personal Cloud Руководс Seagate Technology LLC, 2015. Все права защищены. Seagate, Seagate Technology, логотип Wave и FreeAgent являются торговыми марками либо зарегистрированными торговыми

Подробнее

Рекомендации по установке и настройке MS SQL Server 2008 R2 Express Edition

Рекомендации по установке и настройке MS SQL Server 2008 R2 Express Edition Рекомендации по установке и настройке MS SQL Server 2008 R2 Express Edition CSoft Development, 2014 Введение...2 Системные требования...2 Необходимые компоненты...2 Установка...3 Настройка...10 Настройка

Подробнее

Инструкции для установки утилит Intel

Инструкции для установки утилит Intel Инструкции для установки утилит Intel В данных инструкциях описывается процесс установки утилит Intel с компакт-диска 1 ПО Intel для управления системами (два компакт-диска версия только на английском

Подробнее

Изменение настроек через панель управления:

Изменение настроек через панель управления: Лабораторная работа 1. Операционная система Windows XP. Файловый менеджер Мой компьютер. Теоретическая часть Стартовый экран Windows представляет собой системный объект, называемый Рабочим столом (рис.1)

Подробнее

Работа в режиме Windows XP с Windows Virtual PC Руководство для предприятий малого бизнеса Содержание

Работа в режиме Windows XP с Windows Virtual PC Руководство для предприятий малого бизнеса Содержание Работа в режиме Windows XP с Windows Virtual PC Руководство для предприятий малого бизнеса Содержание Раздел 1. Режим Windows XP для Windows 7. Введение 2 Раздел 2. Приступая к работе с режимом Windows

Подробнее

Kaspersky Password Manager РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ

Kaspersky Password Manager РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ Kaspersky Password Manager РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ Уважаемый пользователь! Спасибо за то, что выбрали наш продукт. Мы надеемся, что эта документация поможет вам в работе и ответит на большинство возникающих

Подробнее

Boot Camp Руководство по установке и настройке

Boot Camp Руководство по установке и настройке Boot Camp Руководство по установке и настройке Содержание 3 Введение 4 Что Вам необходимо 5 Установка 5 Шаг 1. Проверка наличия обновлений 5 Шаг 2. Подготовка компьютера Mac к установке Windows 5 Шаг 3.

Подробнее

HP ProtectTools Руководство пользователя

HP ProtectTools Руководство пользователя HP ProtectTools Руководство пользователя Hewlett-Packard Development Company, L.P., 2009. Bluetooth товарный знак соответствующего владельца, используемый Hewlett-Packard Company по лицензии. Java используемый

Подробнее

ПАК криптографической защиты информации «Рутокен CSP» Инструкция по использованию

ПАК криптографической защиты информации «Рутокен CSP» Инструкция по использованию ЖТЯИ.00071-01 90 01 ПАК криптографической защиты информации «Рутокен CSP» Инструкция по использованию OOO "Крипто-Про", 2000-2009. Все права защищены. Авторские права на средство криптографической защиты

Подробнее

Установка программного обеспечения MathWorks на компьютерах-клиентах в сетевых конфигурациях

Установка программного обеспечения MathWorks на компьютерах-клиентах в сетевых конфигурациях Установка программного обеспечения MathWorks на компьютерах-клиентах в сетевых конфигурациях Подготовка к установке Шаг 1: запуск программы установки Шаг 2: выбор установки через Интернет Шаг 3: просмотр

Подробнее

KinderGate Родительский Контроль. Руководство Пользователя.

KinderGate Родительский Контроль. Руководство Пользователя. KinderGate Родительский Контроль Руководство Пользователя Оглавление KINDERGATE РОДИТЕЛЬСКИЙ КОНТРОЛЬ 1 РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ 1 Оглавление 2 Введение 3 Системные требования 3 Установка KinderGate Родительский

Подробнее

Мифы и факты. Архитектура DLP-систем как ключ к защите информации

Мифы и факты. Архитектура DLP-систем как ключ к защите информации Мифы и факты. Архитектура DLP-систем как ключ к защите информации СЕРГЕЙ ВАХОНИН Директор по решениям Смарт Лайн Инк / DeviceLock, Inc. EMAIL SV@DEVICELOCK.COM Наиболее примитивный сценарий утечки данных

Подробнее

Установка и управление

Установка и управление Руководство пользователя Установка и управление сетевыми лицензиями Версия MagiCAD 2012.4 Версия документа 01 MagiCAD Copyright 1998-2012 Progman Oy. Все права защищены. MagiCAD является зарегистрированной

Подробнее

Т.В. Глотова. Методические указания

Т.В. Глотова. Методические указания Т.В. Глотова Методические указания для выполнения практических и самостоятельных работ раздел Основы работы с офисным пакетом OpenOffice.org 3.2 Часть 6 История OpenOffice.org. Платформы и системные требования

Подробнее

Применение политик AD RMS к PDF-документам в средах SharePoint Применение политик AD RMS для PDF-документов в средах Exchange...

Применение политик AD RMS к PDF-документам в средах SharePoint Применение политик AD RMS для PDF-документов в средах Exchange... 1 Содержание Введение... 3 Среды Foxit PDF Security Suite... 4 Применение политик AD RMS к PDF-документам в средах SharePoint... 5 Применение политик AD RMS для PDF-документов в средах Exchange... 5 Применение

Подробнее

Этот краткий справочник поможет приступить к работе со сканером IRISPen TM Executive 7.

Этот краткий справочник поможет приступить к работе со сканером IRISPen TM Executive 7. Этот краткий справочник поможет приступить к работе со сканером IRISPen TM Executive 7. Сведения и процедуры, представленные в этой документации, относятся к ОС 7. Ознакомьтесь с этим руководством перед

Подробнее

Хранение событий в системе TAC I/NET

Хранение событий в системе TAC I/NET Хранение событий в системе TAC I/NET 12 2011 / Техническая статья по системе TAC I/NET Make the most of your energy Введение В системе TAC I/Net происходящие события записываются в специальную таблицу

Подробнее

Polycom RealPresence Content Sharing Suite Краткое руководство пользователя

Polycom RealPresence Content Sharing Suite Краткое руководство пользователя Polycom RealPresence Content Sharing Suite Краткое руководство пользователя Версия 1.2 3725-69874-001 Ред. A Ноябрь 2013 г. В данном руководстве рассказывается о просмотре и демонстрации контента в ходе

Подробнее

РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ СЕРТИФИКАТА КЛЮЧА ЭЦП ЦЕНТРА РЕГИСТРАЦИИ КЛЮЧЕЙ ЭЦП ПРИ ЦНТМИ

РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ СЕРТИФИКАТА КЛЮЧА ЭЦП ЦЕНТРА РЕГИСТРАЦИИ КЛЮЧЕЙ ЭЦП ПРИ ЦНТМИ РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ СЕРТИФИКАТА КЛЮЧА ЭЦП ЦЕНТРА РЕГИСТРАЦИИ КЛЮЧЕЙ ЭЦП ПРИ ЦНТМИ 1 СОДЕРЖАНИЕ 1. Выдача сертификата ключа ЭЦП. 3 2. Импортирование (установка) сертификата ключа ЭЦП и закрытого ключа

Подробнее

Руководство пользователя «Администрирование»

Руководство пользователя «Администрирование» Автоматизированная система управления планированием финансово-хозяйственной деятельности Руководство пользователя «Администрирование» Листов: 49 Москва 2016 Содержание 1. Введение... 4 1.1. Условные сокращения

Подробнее

Инструкция пользователя Microsoft Lync

Инструкция пользователя Microsoft Lync Инструкция пользователя Microsoft Lync Дирекция Информационных технологий 2012 Оглавление Добавление пользователей в список контактов... 4 Часто используемые контакты... 4 Просмотр часто используемых контактов...

Подробнее

Удостоверяющий Центр ОАО «МТС-Банк» Руководство пользователя

Удостоверяющий Центр ОАО «МТС-Банк» Руководство пользователя Удостоверяющий Центр ОАО «МТС-Банк» Руководство пользователя 1. Требования к системе для работы с Удостоверяющим Центром (УЦ). Для работы с Удостоверяющим Центром необходимо следующее программное обеспечение:

Подробнее

Инструкции по установке IBM SPSS Modeler Server 16 для Windows

Инструкции по установке IBM SPSS Modeler Server 16 для Windows Инструкции по установке IBM SPSS Modeler Server 16 для Windows Содержание Инструкции по установке....... 1 Системные требования........... 1 Установка............... 1 Назначение.............. 1 IP-адрес

Подробнее

Настройки обозревателя Microsoft Internet Explorer

Настройки обозревателя Microsoft Internet Explorer Настройки обозревателя Microsoft Internet Explorer Установите следующие настройки обозревателя Microsoft Internet Explorer: 1) добавить сайт On-line http://lipstat.lipetsk.ru/webstat/ в зону «Надежные

Подробнее

Оглавление

Оглавление 06982859.0001.90 01 Оглавление ОГЛАВЛЕНИЕ ВВЕДЕНИЕ...3 1 ОСНОВНЫЕ ПОЛОЖЕНИЯ...4 1.1 ОБЩИЕ ТРЕБОВАНИЯ...4 1.2 ОСНОВНЫЕ ТЕРМИНЫ И ПОНЯТИЯ...4 1.3 КОНЦЕПЦИЯ СИСТЕМЫ ЭЛЕКТРОННОГО АРХИВА ADEM VAULT...6 1.4

Подробнее

РУКОВОДСТВО ПРЕПОДАВАТЕЛЯ ПО РАБОТЕ В СИСТЕМЕ ДИСТАНЦИОННОГО ОБУЧЕНИЯ

РУКОВОДСТВО ПРЕПОДАВАТЕЛЯ ПО РАБОТЕ В СИСТЕМЕ ДИСТАНЦИОННОГО ОБУЧЕНИЯ Государственное автономное образовательное учреждение дополнительного профессионального образования «ЛЕНИНГРАДСКИЙ ОБЛАСТНОЙ ИНСТИТУТ РАЗВИТИЯ ОБРАЗОВАНИЯ» (ГАОУ ДПО ЛОИРО) РУКОВОДСТВО ПРЕПОДАВАТЕЛЯ ПО

Подробнее

ПРИМЕЧАНИЯ К ВЕРСИИ TRIMBLE ACCESS SOFTWARE. версия Редакция A Декабрь 2013

ПРИМЕЧАНИЯ К ВЕРСИИ TRIMBLE ACCESS SOFTWARE. версия Редакция A Декабрь 2013 ПРИМЕЧАНИЯ К ВЕРСИИ TRIMBLE ACCESS SOFTWARE 1 версия 2013.41 Редакция A Декабрь 2013 Legal Information Trimble Navigation Limited Engineering Construction Group 935 Stewart Drive Sunnyvale, California

Подробнее

Руководство пользователя. «ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС СИСТЕМЫ УПРАВЛЕНИЯ САЙТОМ» Общие принципы работы

Руководство пользователя. «ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС СИСТЕМЫ УПРАВЛЕНИЯ САЙТОМ» Общие принципы работы «ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС СИСТЕМЫ УПРАВЛЕНИЯ САЙТОМ» Общие принципы работы Москва, 2010 Разработчик: ООО «Е.Софт» Тел. +7(495) 660-17-35. Содержание: Введение... 3 1. Начало работы... 4 1.1 Шаг первый...

Подробнее

Установка и настройка IWindows 7

Установка и настройка IWindows 7 Установка и настройка I Глава 1 Начало работы с...20 Глава 2 Оптимизация интерфейса...41 Глава 3 Настройка оформления и производительности...78 Глава 4 Установка, настройка и обслуживание программного

Подробнее

ЛЕКЦИЯ-1. ВВЕДЕНИЕ. НАЗНАЧЕНИЕ, СОСТАВ И ОСНОВНЫЕ ЭЛЕМЕНТЫ ИНТЕРФЕЙСА ПРИКЛАДНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ ОБРАБОТКИ ДЕЛОВОЙ ИНФОРМАЦИИ

ЛЕКЦИЯ-1. ВВЕДЕНИЕ. НАЗНАЧЕНИЕ, СОСТАВ И ОСНОВНЫЕ ЭЛЕМЕНТЫ ИНТЕРФЕЙСА ПРИКЛАДНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ ОБРАБОТКИ ДЕЛОВОЙ ИНФОРМАЦИИ ЛЕКЦИЯ-1. ВВЕДЕНИЕ. НАЗНАЧЕНИЕ, СОСТАВ И ОСНОВНЫЕ ЭЛЕМЕНТЫ ИНТЕРФЕЙСА ПРИКЛАДНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ ОБРАБОТКИ ДЕЛОВОЙ ИНФОРМАЦИИ Вопросы: 1. Понятие программного обеспечения и его классификация

Подробнее

ПРОГРАММНЫЙ ПАКЕТ ORACLE INFORMATION RIGHTS MANAGEMENT

ПРОГРАММНЫЙ ПАКЕТ ORACLE INFORMATION RIGHTS MANAGEMENT УТВЕРЖДЕН ТУ-5090-001-52384799-2008-ЛУ ПРОГРАММНЫЙ ПАКЕТ ORACLE INFORMATION RIGHTS MANAGEMENT Программный пакет Oracle information rights management Технические условия ТУ-5090-001-52384799-2008 Листов

Подробнее

Описание Программы ViPNet Деловая почта

Описание Программы ViPNet Деловая почта Описание Программы ViPNet Деловая почта Программа ViPNet Деловая почта (или просто «Деловая почта») предназначена для организации электронного документооборота в защищенной сети ViPNet. С помощью «Деловой

Подробнее

РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ

РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ SuperSign M Перед началом эксплуатации устройства внимательно ознакомьтесь с данным руководством и сохраните его для будущего использования. www.lgecommercial.com 2 СОДЕРЖАНИЕ

Подробнее

Руководство по настройке параметров отправки

Руководство по настройке параметров отправки Руководство по настройке параметров отправки В данном руководстве приводится описание процедур настройки функций «Передача по электронной почте» и «Сохранение в общей папке» с помощью инструмента настройки

Подробнее

СИСТЕМА ДИСТАНЦИОННОГО ОБУЧЕНИЯ РУКОВОДСТВО. Роль «Пользователь»

СИСТЕМА ДИСТАНЦИОННОГО ОБУЧЕНИЯ РУКОВОДСТВО. Роль «Пользователь» НЕКОММЕРЧЕСКОЕ ПАРТНЕРСТВО ЭКОНОМИЧЕСКОЕ СООБЩЕСТВО «РЭОС» СИСТЕМА ДИСТАНЦИОННОГО ОБУЧЕНИЯ «elearning REOS» РУКОВОДСТВО Роль «Пользователь» Содержание 1 Подача заявки на обучение... 3 2 Личный кабинет...

Подробнее

Настройка файерволов

Настройка файерволов Настройка файерволов Загружается плеер, но не показывает изображение! Что делать? 1 Причиной может быть блокирование сигнала встроенным в Windows брандмауэр или установленным самостоятельно (пользователем)

Подробнее

Работа с шаблонами типовых документов Руководство пользователя

Работа с шаблонами типовых документов Руководство пользователя Работа с шаблонами типовых документов Руководство пользователя Cognitive Technologies Москва, 2015 2 АННОТАЦИЯ В настоящем документе приводятся сведения об использовании в программном комплексе «Е1 Евфрат»

Подробнее

Mindjet MindManager Enterprise для Windows Заметки о выпуске

Mindjet MindManager Enterprise для Windows Заметки о выпуске Mindjet MindManager Enterprise для Windows Заметки о выпуске 29 февраляа 2016 г. Версия документа: 16.0.180 Armin Schneider Mindjet GmbH Siemensstraße 30, 63755 Alzenau, Germany Tel: +49 (06023) 9645 311

Подробнее

Руководство пользователя

Руководство пользователя Руководство пользователя Norton Internet Security Online - Руководство пользователя Программное обеспечение, описанное в этой книге, поставляется с лицензионным соглашением и может использоваться только

Подробнее

ESET NOD32 Smart Security Business Edition версия 4

ESET NOD32 Smart Security Business Edition версия 4 Smart Security версия 4 Smart Security комплексная защита серверов и рабочих станций для всех типов организаций, включающая в себя антивирус, антишпион, антиспам, персональный файервол, а также приложение

Подробнее

Xerox ColorQube 8700 / 8900 Панель управления

Xerox ColorQube 8700 / 8900 Панель управления Панель управления Доступность режимов зависит от настройки принтера. Для получения дополнительной информации о режимах и настройках см. Руководство пользователя. 3 5 Кнопка отпирания дверцы тонерного отсека

Подробнее