使用SMART DLP在FileCloud中强制执行数据保护

智能DLP.

 

信息:这是“智能分类,元数据和智能DLP”系列中的第二个帖子 关于 filecloud.中的数据分类和安全性。

在前面的帖子中,我们解释说明 文件云元数据系统的概念和能力,这允许用户通过将广泛的信息集分配给它们来描述其系统中可用的数据。正如我们所示,元数据可用于搜索特定文件或通过Smart DLP子系统搜索或拒绝下载或共享的操作。在这篇文章中,我们将讨论单独的特定子系统,解释它是如何运作的,以及在现实世界方案中提供的保护。

 

智能DLP.

DLP代表数据泄漏预防,简单地,通过强制执行关于如何操纵和检索数据的规则,保护您的数据免受“泄漏”。在FileCloud中,这可以通过在智能DLP子系统中创建规则来实现。在程序执行期间,评估这些规则,允许或阻止特定操作。让我们深入了解Filecloud版本20.3中的可能性。

当管理员访问智能DLP屏幕时,他们会看到所有可用DLP规则的列表,其中包含有关它们中的每一个的详细信息。

DLP规则

DLP规则定义非常强大,允许管理员通过指定用户操作,模式,规则表达式,DLP动作和模式以及通知来确实缩小使用情况。让我们更详细地解释每个区域。

 

受影响的用户操作

此属性允许Admins指定将由给定的DLP规则监视和保护用户执行的操作。 FileCloud版本20.3提供了支持下载,共享和登录操作。

规则表达式

这是DLP规则的核心,允许管理员指定他们想要防止或监视的实际用例。文件云智能DLP中的规则表达式引擎非常灵活,允许将多个条件组合成单个规则。我们稍后将在更多详细信息中讨论可用选项。

DLP动作

提供了两种可能的操作:拒绝和允许,它指定如果匹配规则表达式时会发生什么。基于该设置,相同的规则可用于授予或禁止给定用户的登录或下载操作。

DLP模式

此属性采用两个可用值,强制或许可之一,指定系统满足规则时系统的行为。当规则在强制模式下工作时,它会阻止 任何 规则违规尝试。例如,API返回403状态如果没有权限试图下载文件,或者如果用户尝试共享受保护的文件或尝试将其共享以共享它,则会阻止共享操作允许用户。此外,违规尝试已记录。另一方面,允许模式执行日志记录和监视违规尝试,而无需阻止实际操作。这允许管理员监控和跟踪一些可能不安全的模式,而不执行可能过于限制的策略。

规则通知

允许管理员提供如果违反规则,则提供自定义消息。这仅适用于下载和共享操作。

 

规则表达式

filecloud.提供多个预定义表达式,可在创建更复杂的DLP规则时用作构建块。重要说明是,该集合的预定义表达式取决于管理员想要允许或拒绝的用户操作。这是简单的原因 - 可能不存在一些流动的所需数据。例如,当用户尝试登录时,我们可能没有与请求详细信息和用户的电子邮件或用户名分开的任何信息,因此我们不能使用需要其他数据的表达式。另一方面,在保护下载操作时,存在有关正在处理的文件的附加信息,因此可以使用更多的表达式。让我们简要介绍所操作的数据分组的可用表达式的列表。

请求相关

  • remotip. - 返回已用于执行操作的IP地址,例如,43.12.34.123
  • 代理人 - 返回已用于执行操作的用户代理
  • IniPv4Range(低,高) - 检查用于执行操作的IP地址是否是给定范围的一部分
  • Remotecountrycode. - 返回该国的两个字符,大写ISO代码,例如,'我们'
  • Inipv4cdrarge(CDIR) - 检查用于执行操作的IP地址是否与给定的CDIR范围匹配,例如,'10 .2.1.0 / 24'

用户相关

  • 用户名 - 返回尝试执行操作的用户的用户名
  • 电子邮件 - 返回尝试执行操作的用户的电子邮件
  • 用户类型 - 返回尝试执行操作的用户的类型。可用类型是:“完全访问”,“有限访问”,“访客访问”
  • Ingroup(groupname) - 检查用户是否是给定组的成员
  • IsemaIlindomain(域名) - 检查用户的电子邮件是否与给定的逗号分隔的域中的任何一个匹配,例如,_user.ingroup('Email.com,Email.net')将为以下电子邮件返回true: [email protected], [email protected].

文件相关

  • 小路 - 返回正在下载的文件的路径
  • 小路startswith(路径) - 检查文件的路径是否以给定的字符串从

元数据有关

  • 存在(元数据) - 检查文件(或任何文件如果下载文件夹)是否已分配给定的元数据属性
  • 存在(元数据,值) - 类似于上一个表达式,而是检查元数据属性中的特定值。
  • 存在(元数据,运算符,值) - 检查值是否存在并与表达式匹配。支持以下运营商:==(等于),!=或<> (not equal), > (greater than), < (less than), >=,(大于或等于)<=(小于或等于)。例如,元数据.Existwithcondition('secure.risk_level','>',3)当正在下载的任何文件包含一个值大于3时,将返回True。

分享有关

  • 小路 - 返回共享位置的路径
  • 民众 - 检查分享是否公开或不公开
  • _分享.ersemers. - 返回允许访问共享的用户电子邮件列表
  • 允许群组 - 返回允许访问共享的组列表
  • Hasusersfromain(域) - 检查允许的用户列表是否具有任何用户,其电子邮件匹配域逗号分隔列表中提供的任何域。此方法仅适用于拒绝规则
  • 次次来自统计组织(域名) - 检查允许的用户列表是否具有任何用户,其电子邮件与域逗号分隔列表中提供的任何域不匹配。此方法仅适用于允许规则
  • 小路startswith(路径) - 如果共享位置以给定路径始于返回true
  • 路径(文本) - 如果共享路径包含给定的“文本”,则返回true
  • 路径(图案) - 如果路径与给定模式匹配,则返回true。此表达式使用简化的正则表达式语法,允许通配符'*'和单个字符'#'

 

如前所述,FileCloud的智能DLP支持三次操作 - 登录,下载和分享。每个人都支持以下一组:

下载 - 请求,用户,文件,元数据

分享 - 用户,元数据,分享

登录 – request, user

 

规则表达式可以使用逻辑运算符相互组合,使智能DLP成为一个非常强大的工具。下图解释了DLP如何运行。

规则表达式

资源: //www.zuxnju.icu/supportdocs/display/cloud/Rule+Expressions

 

评估操作时使用以下算法:

  1. 检查是否正在执行受控操作(登录,共享,下载)。
  2. 如果是,请查找匹配该操作的所有DLP规则。
  3. 对于匹配的每个DLP规则,评估指定的规则表达式(简单或复杂)
  4. 如果规则表达式返回true,则根据允许/拒绝参数决定是否授予或拒绝访问。拒绝行为根据规则是否正在强制执行或允许而异。前者将打破检查链和阻止动作,后者将授予给定的DLP规则的访问权限,记录违规行为并继续下一规则。

 

常用案件

 

配备有关基本构建块的知识,我们可以开始探索他们在开始组合时提供的一些有趣的可能性。

 

  1. 防止在给定国家外部登录

这种情况非常常见,因为它是许多合规策略的一部分(例如,itar)。可以使用给定的规则实现:

受影响的行动 DLP动作 规则表达式
登录 否定 _request.remotecountrycode!='我们'

 

注意:与几乎所有DLP规则一样,可以通过否定表达式的条件和更改DLP操作来交替实现。如果国家代码等于“美国”,则新规则将允许访问,而原始的则拒绝从美国以外的拒绝访问。

注意:国家代码功能需要GeoIP服务同步,允许将IP映射到国家/地区代码。

  1. 仅通过Web浏览器将登录到公司域的用户

此方案仅允许为其电子邮件匹配该公司域的用户登录,并且仅适用于Web浏览器客户端。

受影响的行动 DLP动作 规则表达式
登录 否定 _user.isemailindomain('company.com')和_Request.Agent =='Web浏览器'

 

  1. 防止将内部文件共享到外部用户

如果文档标记为内部(可以使用文件云的智能分类子系统自动完成,则此场景阻止公共共享和私人分享给未成为公司组成员的用户。

受影响的行动 DLP动作 规则表达式
分享 允许 _metadata.existWithValue('security.inal',false)或(_metadata.existwithvalue('security.internal',true)和_user.ingroup('codelathe'))

 

  1. 外部下载允许的IPS列表

除非从用户的Office位置(已知IP地址)执行,否则此方案可防止下载不是内部用户组的一部分。

受影响的行动 DLP动作 规则表达式
下载 允许 _user.ingroup('内部')或(_user.ingroup('trusted company')和_request.remoteip == '13 .112.23.121')

 

正如我们所看到的,智能DLP允许我们创建一些非常复杂的方案,例如防止如果请求来自给定IP范围的外部和收件人不是我们域名的成员,则防止将文件与与团队文件夹路径的文件夹共享。 。

此外,请参阅以下示例 如何使用智能DLP保护文档& CCE

 

规则违规

智能DLP提供了一种向管理员报告规则违规的方法。主仪表板显示一个小部件,显示当前的DLP统计信息,包括活动下载,活动上传,活动共享和活动用户以及违规行为。具有触发每个违规行为的操作详细信息的详细列表,可以在每个规则中访问智能DLP视图。

 

分享履带

值得一提的更高级的主题是股票履带。此过程每天执行作为每日CRON的一部分,并删除由强制与共享相关的DLP规则阻止的所有共享。这将删除已创建给定DLP规则时已存在的共享。

注意:如果规则在实施状态下运行,此操作会在物理上删除这些共享。此操作无法恢复,因此管理员必须在使用时要小心。

 

综上所述

智能DLP绝对是一种功能强大且灵活的工具,可用于为您的组织提供更多的安全性和数据保护。在上一篇文章中,我们展示了元数据子系统的功能,可以通过DLP使用,以强制监控和控制文件共享和下载。该系列的下一篇文章将解释两个子系统如何与智能分类子系统相关联,这允许基于内容的文件分类。敬请关注。

 

 

另见:
//www.zuxnju.icu/supportdocs/display/cloud/Smart+DLP

//www.zuxnju.icu/smart-dlp-intelligent-data-leak-protection-to-secure-enterprise-content/

//blog.netwrix.com/2019/07/16/10-best-practices-essential-for-your-data-loss-prevention-dlp-policy/