W czerwcu 2019 roku ukazała się nowa wersja Symantec Data Loss Prevention (DLP) – 15.5, która wprowadziła znaczące zmiany oraz usprawnienia wcześniej udostępnionych funkcjonalności. Niespełna rok później, w lutym 2020, wersja 15.7 zainicjowała istotne zmiany w zakresie pracy z logami oraz integracji z innymi popularnymi rozwiązaniami. W artykule przybliżę obie wersje.
Wersja najnowsza – 15.8 – nie zostanie omówiona, gdyż skupia się głownie na integracji MIP z DLP, nie wprowadzając tak znaczących i szerokich nowości jak obie poprzednie.
Instalacja i aktualizacja
Poniższy przykład będzie przedstawiał aktualizację do wersji 15.5 w skróconej formie. Po szczegóły, głównie związane z przygotowanie do instalacji lub upgrade’u DLP, teraz i w dalszej części artykułu odsyłam do dokumentacji producenta:
- Symantec™ Data Loss Prevention Installation Guide for Windows
- Symantec™ Data Loss Prevention Upgrade Guide for Windows
Instalacja wersji 15.5 wstęp
Na potrzeby artykułu skupię się na instalacji serwera Enforce z pominięciem sekcji przygotowania do instalacji.
Przed instalacją DLP w wersji 15.5 konieczne jest zapoznanie się z sekcją planowanie instalacji DLP oraz pozostałymi przygotowaniami do instalacji serwerów detekcyjnych oraz agentów.
Również bez względu na typ instalacji (Single-tier, Two tier, Three-tier) wymagana jest instalacja Java Runtime Environment.
Instalacja Enforce Serwera
Producent dopuszcza dwie metody instalacji:
- klasyczną, przy użyciu graficznego interfejsu instalatora (GUI),
- cichą, z linii komend.
Instalacja za pomocą GUI nie wygeneruje nam logu instalacyjnego, ale możemy go włączyć poniższym poleceniem:
msiexec /i EnforceServer.msi /L*v c:\enf_data\enforce_install.log
Instalacja GUI
Symantec rekomenduje, aby:
- Wyłączyć programy blokujące pop-up, programy antywirusowe oraz ochronę wpisów do rejestru przed rozpoczęciem procesu instalacji.
- Opcjonalnie zmienić lokalizację plików Symantec DLP.
- Zalogować się jako administrator na Enforce serwer, gdzie planujemy uruchomić Migration Utility.
- Przejść do folderu, w którym został umieszczony plik EnforceServer.msi
- W tym miejscu zamiast uruchomienia GUI przez dwukrotne kliknięcie można opcjonalnie włączyć logowanie instalacji.
- W panelu powitalnym wybrać Next.
- Po zapoznaniu się z Warunkami licencji producenta wybrać „I accept the agreement” i kliknąć Next.
- W tym kroku można zaakceptować domyślny folder instalacyjny, który jest zalecany przez producenta lub wybrać alternatywny.
- Jeśli zainstalowano JRE w folderze domyślnym, to można zaakceptować lub wybrać alternatywną lokalizacje.
- W panelu „FIPS Cryptography Mode” można zdecydować o włączeniu lub wyłączeniu tej funkcji. Szczegóły w dokumentacji producenta.
- W panelu „Service User” wybrać jedną z dwóch opcji:
- Utworzenie nowego użytkownika podając nazwę i hasło (domyślna nazwa to SymantecDLP). Konto tworzone jest w celu zarządzania serwisami DLP.
- Wybrać istniejące konto lokalne lub admina domeny.
- Opcjonalnie – jeśli utworzony został nowy użytkownik, należy podać nazwę konta oraz hasło.
- Opcjonalnie – jeśli wybrany został istniejący użytkownik, należy wprowadzić nazwę w formacie „DOMAIN\username” oraz hasło.
- W panelu „Oracle Database” należy wprowadzić szczegóły dotyczące serwera bazy danych Oracle poprzez uzupełnienie informacji dotyczących:
- Host – dla instalacji single i two tier jest to 127.0.0.1.
- Port – należy wprowadzić Oracle Listener Port lub zaakceptować domyślny.
- Service Name – należy wprowadzić nazwę serwisu (najczęściej „protect”).
- Username – należy wprowadzić nazwę.
- Password – należy wprowadzić hasło.
- Wybrać Next. Jeśli instalujemy w bazie, w której wcześniej był instalowany Symantec DLP, należy pominąć punkt 16.
- W panelu „Initialize Database” można wybrać:
- Initialize Database – jeśli przystępuje się do nowej instalacji.
- Preserve Database Data – jeśli chce się połączyć z istniejąca bazą danych.
- W panelu Preserve Administrator Password wprowadzić i potwierdzić hasło używane do dostępu do konsoli administracyjnej Enforce. Jeśli w poprzednim kroku wybrana została opcja Preserve Database Data, to dostępy administratora są już zapisane w istniejącej bazie.
- Wybrać Next, aby wyświetlić “Enable external storage for incidents attachements” panel.
- Jeśli wybrana została opcja „Enable external storage for incydent attachments”, to należy wybrać lokalizacje zasobu zewnętrznego.
- W panelu „Additional Locate” należy wybrać lokalizację alternatywną albo zaakceptować domyślną.
- Kliknąć opcję „Install”. Instalacja może potrwać kilka minut.
- Należy zrestartować lub przywrócić do działania programy wyłączone w punkcie 1.
- Należy zweryfikować poprawność instalacji poprzez weryfikację serwisów Oracle oraz Symantec.
Więcej informacji znajdziecie w dokumentacji producenta.
Cicha instalacja
W celu weryfikacji wszystkich możliwych parametrów odsyłam do instrukcji producenta.
Poniżej zamieszczam przykładową komendę, która może się różnić w zależności od zdefiniowanych parametrów:
msiexec /i EnforceServer.msi /qn /norestart /lv d:\EnforceServer.log
INSTALLATION_DIRECTORY=”C:\Program Files\Symantec\DataLossPrevention”
DATA_DIRECTORY=”C:\ProgramData\Symantec\DataLossPrevention\EnforceServer”
JRE_DIRECTORY=”C:\Program Files\Symantec\DataLossPrevention\ServerJRE\1.8.0_181″
FIPS_OPTION=Disabled
SERVICE_USER_OPTION=ExistingUser
SERVICE_USER_USERNAME=protect
SERVICE_USER_PASSWORD=Password
ORACLE_HOST=xxx.xxx.xxx.xxx
ORACLE_PORT=1521
ORACLE_USERNAME=protect
ORACLE_PASSWORD=Password
ORACLE_SID=protect
32Installing an Enforce Server
Installing an Enforce Server
EXTERNAL_STORAGE_OPTION=Database
ENFORCE_ADMINISTRATOR_PASSWORD=Password
Wykonanie instalacji tą metodą automatycznie wygeneruje nam log instalacyjny po jej zakończeniu.
Upgrade do wersji 15.5
Upgrade w dużej mierze jest podobny do procesu instalacji. Kroki związane z planowaniem, weryfikacją wymagań, JRE czy weryfikacją po zakończeniu wyglądają niemal identycznie, jak w przypadku instalacji.
Głównym rozróżnieniem jest tutaj wykorzystanie narzędzia Update Readiness tool, które wspiera użytkownika w procesie podniesienia wersji DLP.
Przygotowanie do uruchomienia Update Readiness tool
Aby uruchomić Update Readiness tool:
- Uzyskaj/pobierz ostatnią wersję narzędzia.
- Zaloguj się jako Administrator do systemu serwera bazy danych.
- Jeśli wykonujesz instalacji typu Three-tier upewnij się, że:
- uruchamiasz ta samą wersję Klienta Oracle jak Serwera Oracle
- klient Oracle jest zainstalowany jako Administrator.
- Zatrzymaj zadania bazy danych Oracle, jeśli są jakieś zaplanowane.
- Rozpakuj tool, a następnie rozpakowane elementy przenieś do:
c:\Program
Files\Symantec\DataLossPrevention\EnforceServer\15.5\Protect\Migrator\URT\
Zatrzymanie zaplanowanych zadań w bazie danych Oracle:
- Zaloguj się do SQL*Plus, używając nazwy użytkownika bazy danych Symantec DLP oraz hasła.
- Uruchom polecenie:
BEGIN
FOR rec IN (SELECT * FROM user_jobs) LOOP
dbms_job.broken( rec.job, true);
dbms_job.remove( rec.job);
END LOOP;
END;
- Zweryfikuj, czy wszystkie zaplanowane zadanie zostały wyłączone za pomocą polecenia poniżej:
Select count(*) from user_jobs;
- Wyjdź z SQL*Plus
Tworzenie konta bazy danych Update Readiness tool
Aby utworzyć konto:
- Przejdź do folderu: /script, gdzie został rozpakowany Update Readiness tool.
- Uruchom SQL*Plus:
sqlplus /nolog
- Uruchom skrypt Oracle_create_user.sql:
- W „Please enter the password for sys user” wprowadź hasło dla użytkownika SYS
- W „Please enter Service Name” wprowadź nazwę serwisu.
- W „Please enter required username to be created” wprowadź nazwę dla nowego konta upgrade readiness tool.
- W „Please enter a password for the new username” wprowadź hasło dla nowego konta upgrade readiness tool.
- Jako użytkownik bazy danych sysdba nadaj uprawnienia dla Symantec DLP schema user name dla obiektów bazy danych:
sqlplus sys/[sysdba password] as sysdba
GRANT READ,WRITE ON directory DATA_PUMP_DIR TO [schema user name];
GRANT SELECT ON dba_registry_history TO [schema user name];
GRANT SELECT ON dba_temp_free_space TO [schema user name];
Uruchamianie Update Readiness tool
Update Readiness tool może być uruchomiony na dwa sposoby:
- z command line,
- z Enforce serwera.
Z linii komend należy:
- Uruchomić linie komend (Win+R).
- Przejść do lokalizacji:
c:\Program
Files\Symantec\DataLossPrevention\EnforceServer\15.5\Protect\Migrator\URT
- Uruchomić Update Readiness tool poleceniem:
„C:\Program Files\Symantec\DataLossPrevention\ServerJRE\1.8.0_181\bin\java” UpdateReadinessTool
–username <schema user name>
–password <password>
–readiness_username <readiness_username>
–readiness_password <readiness_password>
–sid <database_system_id>
[–quick]
Z Enforce serwera:
- Zalogować się na konsolę Enforce.
- Z widoku głownego przejść do System > Servers and Detectors > Overview.
- Kliknąć System Servers and Detectors Overview.
- Nastepnie wybrać Upload the Update Readiness tool i zlokalizować narzędzie.
- Wprowadzić login i hasło użytkownika Update Readiness tool.
- Kliknąć Run Update Readiness tool.
Zmiany w wersji 15.5
W tym miejscu przedstawię kluczowe i najważniejsze zmiany wprowadzone w wersji 15.5. Po szczegóły wszystkich zmian odsyłam do Dokumentacji producenta.
Zmiany w nazwach serwisów
Symantec od zakupienia DLP od firmy Vontu w 2007 roku niezmiennie aż do aktualizacji 15.5 nazywał swoje serwisy według nazewnictwa kupionej wcześniej firmy. Zmiana tej logiki musiała w końcu nadejść i stała się finalnie zerwaniem z pozostałościami po Vontu DLP.
Po zakupie Symantec przez Broadcom możemy w przyszłości spodziewać się podobnego zabiegu.
Poniżej przedstawię stare jak i nowe nazwy serwisów:
Stara nazwa (do wersji 15.5) | Nowa nazwa (od wersji 15.5) |
Vontu Incident Persister | SymantecDLPIncidentPersister |
Vontu Manager | SymantecDLPManager |
Vontu Monitor | SymantecDLPMonitor |
Vontu Monitor Controller | SymantecDLPMonitorController |
Vontu Notifier | SymantecDLPNotifier |
Jak można zauważyć, poza podmianą przedrostka jak i usunięciu białych znaków w nazwie nie zmieniono nic więcej.
Warto również nadmienić, że parametr używany do połączenia z baza danych Oracle od teraz nazywa się SERVICE_NAME, wcześniej był to po prostu SID.
Information Centric Tagging (ICT)
Od teraz w Endpointach możliwa jest dynamiczna klasyfikacja dokumentów oraz konfiguracja integracji polityk w DLP z ICT. Dodana została nowa Response Rule ICT Classificaition and Tagging pozwalająca na klasyfikację wykrytej zawartości.
Udostępniono również użycie skanu w celu tagowania i klasyfikacji zawartości – można skonfigurować scan, który w trybie Classification only nie wygeneruje nam żadnych incydentów, a jedynie nałoży nowe tagowanie lub klasyfikacje.
Warto również wspomnieć o dodaniu nowych aplikacji do Global Application Monitoring:
- Box,
- Dropbox,
- iCloud,
- OneDrive.
Information Centric Encryption (ICE)
W nowej wersji nareszcie dodano współdzielona autentykacje dla ICE oraz agenta. Choć zmiana wydaje się dość niewielka, ale wcześnie autentykacja do Agenta DLP i ICE oddzielnie w celu odszyfrowania czy zaszyfrowania pliku była bardzo uciążliwa.
Automatyczne szyfrowanie ICE plików oraz folderów szorowanych poprzez przeglądarkę. Dotyczy to przeglądarek Chrome, Edge, Firefox oraz Internet Explorer. Wspierane wersje są wymienione w dokumentacji producenta. Teraz możliwe jest uploadowanie szyfrowanych ICE plików z lokalnego dysku, przydziału sieciowego czy wymiennego nośnika. Podczas akcji Upload Agent DLP może zablokować akcje zaszyfrować oryginalny plik i następnie podmienić oryginalny z zaszyfrowanym, co zapobiegnie udostepnieniu chronionych plików oraz folderów.
Zmiana ścieżek instalacyjnych
Ważna zmiana w szczególności, jeśli część procesu instalacji upgrade była częściowo automatyzowana. Poniżej przedstawię nowe ścieżki oddzielnie dla systemu Windows oraz Linux.
Windows:
Enforce Server – C:\Program Files\Symantec\DataLossPrevention\EnforceServer
Detection server – C:\Program Files\Symantec\DataLossPrevention\DetectionServer
Single-tier – C:\Program Files\Symantec\DataLossPrevention\SingleTierServer
Content Extraction Service – C:\Program Files\Symantec\DataLossPrevention\ContentExtractionService
Server Platform Common – C:\Program Files\Symantec\DataLossPrevention\ServerPlatformCommon
Server JRE – C:\Program Files\Symantec\DataLossPrevention\ServerJRE
Linux:
Enforce Server – /opt/Symantec/DataLossPrevention/EnforceServer
Detection server – /opt/Symantec/DataLossPrevention/DetectionServer
Single-tier – /opt/Symantec/DataLossPrevention/SingleTierServer
Content Extraction Service – /opt/Symantec/DataLossPrevention/ContentExtractionService
Server Platform Common – /opt/Symantec/DataLossPrevention/ServerPlatformCommon
Server JRE – /opt/Symantec/DataLossPrevention/ServerJRE
Zmiany w wersji 15.7
Przedstawię kluczowe i najważniejsze zmiany wprowadzone w wersji 15. Po szczegóły wszystkich zmian odsyłam do Dokumentacji producenta.
Nowe wspierane rozwiązania DB
W nowej wersji Baza Danych Symantec wspiera Oracle Real Application Clusters (RAC) w wersji 12.2.0.1 Enterprice edition.
Możliwość wdrożenia bazy danych w Oracle multitenant Container Database (CBD) w wersjach:
- 12.1.0.2 Standard Edition,
- 12.1.0.2 Enterprice Edition,
- 12.1.0.1 Standard Edition,
- 12.1.0.1 Enterprice Edition.
Bezpieczne przekazywanie wiadomości Enforce serwera do Syslog serwera
Przekazywanie wiadomości poprzez TCP z użyciem bezpiecznej komunikacji TLS jest możliwe po konfiguracji. Należy:
- Zalogować się do konsoli Enforce Serwer.
- Przejść do Manage > Policies > Response rules > Configure Response Rules.
- Następnie wybrać TCP i zaznaczyć opcje Enable TLs Client Autentication.
- Dodać do pliku Manager.properties wyrażenie: systemevent.syslog.protocol = [ udp | tcp | tls ]
Grupy Active Directory do autentykacji Enforce Serwera
Od wersji 15.7 możliwe jest skonfigurowanie grup oraz przypisanie ról na podstawie AD.
Konfiguracja grup możliwa jest w: system > Users > User Group
Nadanie roli dla grupy w: System > Login Management > Roles > configure Roles Wciąż rodzaje ról są dość ograniczone. Znaczy to, że nie przypiszemy roli tylko do np. przeglądania polityk lub tylko do weryfikacji incydentów. Natomiast nadanie ról przyspieszy i usprawni znacznie zarządzanie grupami.
Dodatkowe zmiany
W tej sekcji postanowiłem zgrupować małe, aczkolwiek ważne, zmiany wprowadzone w aktualizacji 15.7. Od tej wersji:
- Symantec DLP wspiera API do raportowania incydentów bazujące na SOAP i REST.
- Wspierane jest również użycie przeglądarki Chrome do dostępu do konsoli Enforce.
- Nastąpiło wsparcie Npcap dla Network Monitor.
- Nastąpiło wsparcie dla monitoringu uploadu plików przez Microsoft Office 2019 oraz Office 365.
Podsumowanie
Aktualizacja 15.5 przyniosła głownie zmiany porządkowe w kontekście ścieżek instalacyjnych jak i nazw serwisów oraz bardzo ważne usprawnienia ICE oraz ICT.
Myślę, że na wyróżnienie zasługuje tu ujednolicenia autentykacji ICE z agentem DLP, które znacznie ułatwi i przyspieszy pracę. Natomiast wersja 15.7 przyniosła wsparcie dla wielu nowych rozwiązań bazodanowych jak i popularnych aplikacji. Dużo uwagi poświecono również logowaniu poprzez wsparcie Api Soap Rest jak i możliwości bezpiecznego przekazywania wiadomości do Sysloga.
Zostaw komentarz