エンドポイントのポリシーを作成するためのガイドライン
Symantec Data Loss Prevention
は、2 層検出のアーキテクチャを使ってエンドポイントのアクティビティを分析します。検出は、DLP Agent で直接発生するか、要求に応じてエンドポイントサーバーで発生します。エンドポイントサーバーは厳密データ一致 (EDM)、インデックス文書一致 (IDM)、Directory Group Matching (DGM) などのすべての種類の検出を実行できます。エージェントは、記述コンテンツ一致 (DCM) とインデックス文書一致 (IDM) を実行できます。Symantec Data Loss Prevention
はキーワード、正規表現、データ識別子でローカルの検出を実行できます。正確なデータフィンガープリントやインデックス付き文書フィンガープリントで検出するには、入力内容をエンドポイントサーバーに送信する必要があります。Mac エンドポイントで動作するエージェントは IDM 検出と DCM 検出のみを実行できます。
2 層検出は、1 つのポリシーで組み合わたり、エンドポイントで使うことができる検出ルールと応答ルールの種類に影響します。また、エンドポイントの
Symantec Data Loss Prevention
のシステムの使用率とパフォーマンスの最適化にも影響します。エンドポイントに適用されるポリシーを作成するときは、次のガイドラインが推奨されます。Endpoint Prevent
応答ルールとサーバー側の検出ルールを組み合わせるポリシーを作成しないでください。たとえば、エンドポイント遮断またはエンドポイント通知の応答ルールと EDM、DGM のルールを組み合わせないでください。サーバー側の検出ルールが Endpoint Prevent
応答ルールをトリガすると、Symantec Data Loss Prevention
は Endpoint Prevent
応答ルールを実行できず、エラーメッセージが表示されます。サーバー側の検出ルールを含んでいるエンドポイントのポリシーを作成した場合、その検出ルールとエージェント側の検出ルールを組み合わせて 1 つの複合ルールにします。この方法はエンドポイントサーバーへコンテンツを送信しないで
Symantec Data Loss Prevention
がエンドポイントで検出を実行するのに役立ちます。Symantec Data Loss Prevention
はエンドポイントで検出を実行することによってネットワークの帯域幅を節約し、パフォーマンスを改善します。たとえば、EDM 検出ルールとキーワード検出ルールを組み合わせて、1 つの複合ルールにできます。複合ルールでは、すべての条件が満たされた場合のみ、
Symantec Data Loss Prevention
で一致が登録されます。逆に、1 つの条件が満たされないと、Symantec Data Loss Prevention
では 2 番目の条件がチェックされることなく、一致がないと判定されます。たとえば一致が登録されるには、最初の条件に加えて同じルール内のその他すべての条件にコンテンツが合致する必要があります。このように複合ルールを設定すると、 DLP Agent では入力された内容と Agent 側のルールが最初に調べられます。そこで一致がなければ、Symantec Data Loss Prevention
からエンドポイントサーバーへのコンテンツの送信が不要になります。ただし、DCM と EDM ポリシーを含んでいる複合ルールを作成する場合、コンテンツはエンドポイントサーバーに送信されます。サーバー側の検出ルール (EDM などのルール) と、エンドポイントインシデントの元のファイルを保持する[すべて: インシデントデータ保持の限定]応答ルールを組み合わせる場合は、元のファイルを保持するための帯域幅について考慮します。データをエンドポイントサーバーに送信して分析を行う場合、DLP Agent はポリシーの必要条件に従って、テキストデータまたはバイナリデータのいずれかを送信します。帯域幅の使用を節約するために、 DLP Agent では可能な限りテキストが送信されます。デフォルトでは、
Symantec Data Loss Prevention
ではエンドポイントインシデントの元のファイルが破棄されます。応答ルールがエンドポイントインシデントの元のファイルを保持する場合は、 DLP Agent はエンドポイントサーバーにバイナリデータを送信しなければなりません。この場合は、使用するネットワークで、 DLP Agent とエンドポイントサーバー間のトラフィックの増大を、パフォーマンスを低下させずに処理できることを確認してください。同一のポリシーでエージェント側の検出ルール (たとえば DCM) を
Endpoint Prevent
応答ルールを組み合わせます。Symantec Data Loss Prevention
は、DLP Agent 検出ルールが応答をトリガしたときのみ Endpoint Prevent
応答ルールを実行できます。「非互換な検出ルールと応答ルール」に、組み合わせることのできない検出ルールと応答ルールを示します。
サーバーベースの検出ルール | 組み合わせることができない Endpoint Prevent 応答ルール |
|---|---|
|
|