Diretrizes para autoria de políticas do Endpoint
O
Symantec Data Loss Prevention
usa uma arquitetura a dois níveis de detecção para analisar a atividade em endpoints. A detecção ocorre diretamente em agentes do DLP ou nos servidores do endpoint, conforme necessário. Os Endpoint Servers podem executar todos os tipos de detecção, como a correspondência de dados exatos (EDM, Exact Data Matching), a correspondência de documentos indexados (IDM, Indexed Document Matching) e a correspondência de grupos do diretório (DGM, Directory Group Matching). Os agentes podem executar a correspondência de conteúdo descrito (DCM, Described Content Matching) e a correspondência de documentos indexados (IDM). O Symantec Data Loss Prevention
pode detectar localmente em palavras-chave, expressões regulares e identificadores de dados. Ele deve enviar o conteúdo de entrada ao Endpoint Server para detectar em impressões digitais exatas dos dados ou em impressões digitais do documento indexado.Os agentes executados em endpoints do Mac podem executar apenas a detecção de IDM e DCM.
A detecção de duas camadas tem implicações para os tipos de regras de detecção e regras de resposta que você pode combinar em uma política e usar em computadores endpoint. Tem também implicações na otimização do uso do sistema e no desempenho do
Symantec Data Loss Prevention
em computadores endpoint. Como você cria as políticas que se aplicam aos computadores endpoint, as seguintes diretrizes são recomendadas.Não crie uma política que combine uma regra de detecção do servidor com uma regra de resposta do
Endpoint Prevent
. Por exemplo, não combine uma regra de EDM ou DGM com uma regra de resposta de notificação de endpoint ou de bloqueio de endpoint. Se uma regra de detecção do servidor acionar uma regra de resposta do Endpoint Prevent
, o Symantec Data Loss Prevention
não poderá executar a regra de resposta do Endpoint Prevent
e o sistema exibirá uma mensagem de erro.Ao criar uma política de endpoint que inclui uma regra de detecção do servidor, combine-a com uma regra de detecção do agente em uma regra composta. Essa prática ajuda o
Symantec Data Loss Prevention
a executar a detecção no endpoint sem enviar o conteúdo para o Endpoint Server. O Symantec Data Loss Prevention
salva a largura de banda da rede e melhora o desempenho executando a detecção no endpoint.Por exemplo, é possível combinar uma regra de detecção de EDM com uma regra de detecção da palavra-chave em uma regra composta. Em uma regra composta, todas as condições devem ser cumpridas antes de o
Symantec Data Loss Prevention
registrar uma correspondência. Reciprocamente, se uma condição não for cumprida, o Symantec Data Loss Prevention
determinará se não há uma correspondência sem ter de verificar a segunda condição. Por exemplo, para registrar uma correspondência, o conteúdo deve atender à primeira condição E a todas as outras condições na mesma regra. Quando você configurar a regra composta dessa maneira, o DLP Agent primeiro verificará o conteúdo de entrada em relação à regra no agente. Se não houver nenhuma correspondência, o Symantec Data Loss Prevention
não precisará enviar o conteúdo ao Endpoint Server. Porém, se você criar uma regra composta que envolve uma política de DCM ou de EDM, o conteúdo será enviado ainda ao Endpoint Server.Para você combinar uma regra de detecção do servidor (por exemplo, uma regra de EDM) com uma regra de resposta Tudo: Limitar retenção de dados de incidentes que retém arquivos originais para incidentes de endpoint, considere as implicações na largura de banda ao reter arquivos originais. Quando os dados forem enviados a um Endpoint Server para análise, o DLP Agent enviará dados de texto ou dados binários de acordo com os requisitos de política. Sempre que possível, os DLP Agents enviam texto para reduzir o uso da largura de banda. Por padrão, o
Symantec Data Loss Prevention
descarta arquivos originais de incidentes de endpoint. Se uma regra de resposta retiver arquivos originais para incidentes de endpoint, os DLP Agents deverão enviar dados binários ao Endpoint Server. Neste caso, certifique-se de que sua rede possa controlar o tráfego aumentado entre DLP Agents e Endpoint Servers sem prejudicar o desempenho.Combine regras da detecção no agente (por exemplo, DCM) com uma regra de resposta do
Endpoint Prevent
na mesma política. O Symantec Data Loss Prevention
poderá executar uma regra de resposta do Endpoint Prevent
somente quando uma regra de detecção do DLP Agent acionar a resposta.Regras de detecção e regras de resposta incompatíveis lista as regras de detecção e de resposta que não podem ser combinadas.
Não combine essas regras de detecção baseadas no servidor… | …com essas regras de resposta do Endpoint Prevent . |
|---|---|
|
|