McAfee Data Loss Prevent Full

McAfee ePolicy Orchestrator
The Foundation of McAfee Security Management Platform

ePO server overview
December 11, 2015Introduction to e-Policy Orchestrator2
1 Giới thiệu ePO
2 Tại sao lại lựa chọn ePO
3 Đặc điểm, tính năng cơ bản của ePO

3
Security
Landscape
ePO là gì?: phần mềm quản lý tâp trung các sản phẩm bảo
mật của McAfee, bao gồm:
Anti-virus
Management Tools 1
Network
Access Control
Management Tools
8
Anti-spyware
Management Tools 2
Host Intrusion
Prevention
Management Tools
7
Desktop Firewall
Management Tools 3
Data Protection
(DLP, Encryption, etc.)
Management Tools
6
Policy Auditing
Management Tools 4
Web Security
Management Tools
5

Tại sao lại lựa chọn ePO
• Khả năng mở rộng
• Kết nối với các thành phần trong hệ thống: NT Domain, LDAP, AD
• Tự động hóa các giải pháp với API mở: CURL, Python
• Tính năng tự động hóa
• Xây dựng quy trình
• Tốc độ phàn ứng khi có sự cố ( báo cáo, cảnh báo )
• Giảm mệt mỏi khi phân tích sự cố
• Quy chuẩn
• Quản lý tập trung
• Giảm độ phứ tạp trong quá trình quản lý
• Phù hợp với mọi mô hình doanh nghiệp
• Hệ thống phân tán phù hợp với mọi kích thước doanh nghiệp
• Kiến trúc linh hoạt

Confidential McAfee Internal Use Only
ePO servers
• Về mặc định ePO bao gồm:

Các thành phần của ePO server
• Apache: cung cấp kết nối giữa McAgent tới AgentHandler, Event server
• Tomcat: cung cấp web ui console cho Administrator
• MS SQL: cung cấp database server cho ePO

ePO kiến trúc hệ thống

ePO server: các cổng mở
• Port open

Remote Agent: các port mở

Agent: port mở

ePO servers
• Mô hình dữ liệu

Apache services

Event parser service

Tomcat service

Hệ thống quản lý system: SYSTEM TREE
• Quản lý system trong hệ thống bằng mô hình phân nhánh, sử dụng các
kỹ thuật sorting và tagging để phân loại các nhóm system
• Đồng bộ dữ liệu các nhóm system với: NT Domain, Active Drectory để
lấy các thông tin về máy tính trong AD, NT Domain, sử dụng quyền
người dùng trong AD để deploy Agent xuống máy trạm
• Các kỹ thuật tổ chức tree trong system tree như gồm:

ePO: Quản lý Policy
• Policy là gì: là một tập hợp các thiết lập,
cấu hình, sau đó được thực thi.
• Policy có tính năng thừa kế từ system
group xuống sub system group
• Policy enforce: mặc định 5 phút Agent sẽ
request để nhận policy. ePO có cơ chế
cache policy.
• Có hai phương pháp áp dụng policy xuống
Agent:
– Thừa kế
– Giao cho:
• Policy ownership: có thể được gán quyền
cho người dùng của ePO.
• Policies có thể export ra file XML và import
khi cần thiết.

ePO Task: client và server task
• Client tasks là gì: là một tác vụ, mà ePO server yêu cầu các sản phẩm
bảo mật bên phía client thực thi, thông qua Agent
• Khi nào sử dụng client tasks:
– Triển khai products: cài đặt hay gỡ bỏ, cập nhật, vá
– Tự động chạy các tính năng products đã được cấu hình triển khai
• Server task là gì: là một tác vụ chạy trên máy chủ ePO, chạy theo lịch
trình được cấu hình.
• Khi nào cần sử dụng server tasks
– Update toàn cục: tự động sao chép các gói tới tất cả các distributed repositories
– Deploy các package mới xuống clients: hỗ trợ chế độ Randomization interval giúp giảm
tải cho các hệ thống có nhiều node.
– Pull tasks: cập nhật master repository: file DAT release và engine files
– Lập lịch Reports hoặc Query
– Lập lịch Xóa logs: audit logs, threat logs…

Hệ thống phân tán trong ePO
• SuperAgent: chia sẻ băng thông cho gói tin wakeup calls trong hệ thống
– Tiến trình
1. Server gửi gói tin wake-up call đến tất cả các SuperAgent
2. SuperAgent quảng bá gói tin wake-up call đến các Agent cùng dải mạng
3. Tất cả các Agent được thông báo sẽ trao đổi thông tin với máy chủ
4. Chú ý: những agent nằm trong 1 dải mạng không có SuperAgent sẽ không nhận
được wake-up call khi thực hiện SuperAgent calls
• Distributed repository: hệ thống phân tải các kho phần mềm được đặt trên
toàn mạng để giảm lưu lượng mạng cho việc cập nhật các phần mềm mới nhất
hoặc các bản vá phần mềm hoặc các kết nối mạng chậm. Thành phần này do
Apache cung cấp và quản lý
• Remote Agent handler: là một máy chủ được đặt ở điểm mạng khác nhau
nhằm tối ưu hóa, cân bằng tải cho việc cập nhật phần mềm, kết nối Agent,
Events cho hệ thống mạng lớn hoặc các liên mạng trong hệ thống.

Hệ thống báo cáo và tự động trong ePO
• Automation response: là những hành động yêu cầu sự phản ứng tự
động của ePO server với các thành phần đang được quản lý bởi ePO,
bao gồm:
– Tạo 1 issue
– Chạy các server task
– Chạy external commands
– Chạy system commands
– Tự động gửi email tới các người dùng ePO
– Gửi các thông tin SNMP
• Query and Reports:
– Query là 1 hành động truy vấn vào Database đưa ra thông tin về hệ thống với những
điều kiện, thông tin người quản trị cần.
– Reports là 1 hành động tập hợp các Query tới database đưa ra 1 báo cáo nhằm mục
đích tổng hợp thông tin, từ đó phân tích tình trạng hệ thống, nhằm mục đích phân tích,
báo cáo, debugs, tối ưu các policy, kiến trúc hệ thống.

Q&A

McAFee: Data Loss Prevention
1 Giới thiệu giải pháp
2 Kiến trúc tổng quan giải pháp
3 Đặc điểm kỹ thuật giải pháp
4 Tổng kết.

Giới thiệu giải pháp: nguy cơ.
Mất dữ liệu hoặc bị đánh
cắp bởi laptop và thiết bị
di động
1
Chuyển trái phép các dữ
liệu với các thiết bị USB
2
Không thể xác định vị trí
và bảo vệ dữ liệu nhạy
cảm
3
Hành vi trộm cắp bí mật
công ty của người dùng
4
Thiếu nhận thức về nội
dung và phối hợp đối
phó với sự xâm nhập
6
In và sao chép dữ liệu từ
nhân viên
5
Truy cập dữ liệu nhạy
cảm từ người dung ko
xác định
7

Mô hình hệ thống

Mô hình giải pháp DLP
Secured Corporate LAN Network Egress/DMZ
MTA or Proxy
SPAN Port or Tap
Disconnected
• Network DLP Monitor
• Network DLP Prevent
• Network DLP Discover• Host DLP
• Device Control
• Endpoint Encryption
• Host DLP
• Device Control
• Endpoint Encryption
• Encrypted Media
Central Management
• ePolicy Orchestrator (ePO)
• Network DLP Manager

Đặc điểm cơ bản về giải pháp
•Đảm bảo nội dung nhạy cảm ở khu vực “rest” trước
nguy cơ rủi ro
•Bảo vệ dữ liệu khỏi các rủi ro được biết đến trong
quá trình truyền
•Thu thập những luồng thông tin đi trong mạng để
xây dựng những rule và xây dựng phòng chống
trước các nguy cơ rủi ro phát sinh.
•Thi hành các hành động khắc phục hậu quả như tự
động mã hóa trong quá trình quét dữ liệu hoặc
những hành động mà người dùng thực hiện

DLP làm được gì cho hệ thống.

Cách thức làm việc trong DLP
• Discover and Learn
• Assess Risk
• Define Effective Policies
• Apply Controls
• Monitor, Report and Audit
1
2
3
4
5
1
2
3
4
5
Find all your sensitive data
wherever it may be
Ensure secure data handling
procedures are in place
Create policies to protect data
and test them for effectiveness
Restrict access to authorized
people and limit transmission
Ensure successful data security
through alerting and incident
management

CÁch thức làm việc

Nền tảng DLP
Data-at-
Rest
Data-in-
Motion
Data-in-
Use
Monitor, Notify,
Prevent
Enforce, Audit
and Respond
Identify, Classify
and Protect
Incident and case management
Workflow and reporting
Network DLP Manager
McAfee ePO
Full endpoint management
and deployment
Network DLP
Discover
Endpoint
Encryption
Encrypted
Media
Network DLP
Monitor
Network DLP
Prevent
DLP Host
DLP Host
Device
Control
Encrypted
Media

Các thành phần trong giải pháp DLP
• McAfee ePolicy Orchestrator (EPO) - giao diện điều khiển quản lý tập trung
cho các giải pháp DLP của McAfee cũng như tất cả các công nghệ bảo mật thiết
bị đầu cuối của McAfee.
• McAfee DLP Manager Appliances: các sự kiện quản lý tập trung, khả năng
quản lý sự cố, và quản lý của NDLP
• McAfee Host DLP Solution: bao gồm Host DLP và endpoint
• McAfee Network DLP Monitor: Phân tích tất cả thông tin liên lạc mạng và phát
hiện ra mối đe dọa cho dữ liệu của bạn. Thiết bị này sẽ nắm bắt tất cả lưu lượng
truy cập mạng của bạn để lại, chỉ số này để điều tra trong tương lai và cũng có
thể đánh giá nó so với quy định thời gian thực.
• McAfee Network DLP Discover: Đánh giá trung tâm dữ liệu của bạn và tất cả
các nguồn dữ liệu khác trên mạng của bạn để phát hiện và phân loại dữ liệu của
bạn và đặt nền tảng cho việc bảo vệ tự động
• McAfee Network DLP Prevent: Block/Encrypt cả chiều inbound và outbound
dựa trên chính sách được định nghĩa.

Định nghĩa dữ liệu
• Data at Rest: Là một thuật ngữ đề cập dữ liệu lưu trữ vật lý tại
databases, data warehouses, spreadsheets, archives, tapes, off-site
backups, mobile devices etc
• Data in Use: là một thuật ngữ đề cập đến dữ liệu hoạt động được lưu
trữ trong một trạng thái kỹ thuật số không liên tục thường trong bộ nhớ
máy tính truy cập ngẫu nhiên (RAM), bộ nhớ cache của CPU, hoặc
CPU registers. Ngoài ra còn có Cloud Software-as-a-Service (SaaS)
• Data in Motion: là một thuật ngữ đề cập đến dữ liệu được truyền tải.
Đó là quá trình chuyển giao dữ liệu giữa tất cả các phiên bản của tập tin
gốc, đặc biệt là khi dữ liệu có thể được vận chuyển trên Internet. Đây là
dữ liệu được thoát mạng thông qua email, web, hoặc các giao thức
Internet khác.

Giải pháp DLP cho các loại dữ liệu
• Data in use: chống rò rỉ dữ liệu qua email, bài viết web, phương tiện
truyền thông di động, ảnh chụp màn hình, in ấn, sao chép / dán và
chuyển mạng.
• Ba phương pháp chính định nghĩa dữ liệu nhạy cảm:
1. Content based tagging: Dựa vào nội dung gắn thẻ sẽ kiểm tra dữ liệu và xác định
xem nó phù hợp với một hoặc nhiều quy định
2. Location base tagging: sẽ xác định dữ liệu là "bảo vệ" (và áp dụng một tag) nếu
dữ liệu có nguồn gốc từ một nguồn mà đã được xác định bởi người quản trị như là
một "nguồn được bảo vệ”. Ví dụ: fileserverbaocaothue. Vì vậy, khi người dùng truy
cập các tập tin, hoặc có một bản sao của nó, nó sẽ được đánh dấu bởi DLP.
3. Application based tagging: ứng dụng dựa trên việc gắn thẻ sẽ theo dõi các I / O
và các thẻ dữ liệu từ các ứng dụng được chỉ định bởi người quản trị.

Giải pháp cho các loại dữ liệu: Data in use

HDLP – DLP Endpoint

HDLP modules/handler
• Clipboard service
• Clound Protection handlers
• Devices block
• Email storage discovery
• File copy handler
• File system discovery
• Firefox handler
• Internet explorer Add-on
• Lotus notes plugins
• Outlook add-ins
• Portable devices handler
• Printer drivers and
Application addins: Ms
Offices
• Report services
• Evidence services

Luồng dữ liệu trong Network DLP

Network DLP

Evidence và Quarantine, Incidents
• Evidence folder storage folder: ePO
• Quarantine: ePO

McAfee Data Loss Prevent Full

More Related Content

What's hot (20)

Viewers also liked (16)

Similar to McAfee Data Loss Prevent Full (20)

McAfee Data Loss Prevent Full

Editor's Notes