Najważniejsze zmiany Symantec Data Loss Prevention w wersji 15.5 i 15.7

W czerwcu 2019 roku ukazała się nowa wersja Symantec Data Loss Prevention (DLP) – 15.5, która wprowadziła znaczące zmiany oraz usprawnienia wcześniej udostępnionych funkcjonalności. Niespełna rok później, w lutym 2020, wersja 15.7 zainicjowała istotne zmiany w zakresie pracy z logami oraz integracji z innymi popularnymi rozwiązaniami. W artykule przybliżę obie wersje.

Wersja najnowsza – 15.8 – nie zostanie omówiona, gdyż skupia się głownie na integracji MIP z DLP, nie wprowadzając tak znaczących i szerokich nowości jak obie poprzednie.

Instalacja i aktualizacja

Poniższy przykład będzie przedstawiał aktualizację do wersji 15.5 w skróconej formie. Po szczegóły, głównie związane z przygotowanie do instalacji lub upgrade’u DLP, teraz i w dalszej części artykułu odsyłam do dokumentacji producenta:

• Symantec™ Data Loss Prevention Installation Guide for Windows
• Symantec™ Data Loss Prevention Upgrade Guide for Windows

Instalacja wersji 15.5 wstęp

Na potrzeby artykułu skupię się na instalacji serwera Enforce z pominięciem sekcji przygotowania do instalacji.

Przed instalacją DLP w wersji 15.5 konieczne jest zapoznanie się z sekcją planowanie instalacji DLP oraz pozostałymi przygotowaniami do instalacji serwerów detekcyjnych oraz agentów.

Również bez względu na typ instalacji (Single-tier, Two tier, Three-tier) wymagana jest instalacja Java Runtime Environment.

Instalacja Enforce Serwera

Producent dopuszcza dwie metody instalacji:

• klasyczną, przy użyciu graficznego interfejsu instalatora (GUI),
• cichą, z linii komend.

Instalacja za pomocą GUI nie wygeneruje nam logu instalacyjnego, ale możemy go włączyć poniższym poleceniem:

msiexec /i EnforceServer.msi /L*v c:\enf_data\enforce_install.log

Instalacja GUI

Symantec rekomenduje, aby:

1. Wyłączyć programy blokujące pop-up, programy antywirusowe oraz ochronę wpisów do rejestru przed rozpoczęciem procesu instalacji.
2. Opcjonalnie zmienić lokalizację plików Symantec DLP.
3. Zalogować się jako administrator na Enforce serwer, gdzie planujemy uruchomić Migration Utility.
4. Przejść do folderu, w którym został umieszczony plik EnforceServer.msi
5. W tym miejscu zamiast uruchomienia GUI przez dwukrotne kliknięcie można opcjonalnie włączyć logowanie instalacji.
6. W panelu powitalnym wybrać Next.
7. Po zapoznaniu się z Warunkami licencji producenta wybrać „I accept the agreement” i kliknąć Next.
8. W tym kroku można zaakceptować domyślny folder instalacyjny, który jest zalecany przez producenta lub wybrać alternatywny.
9. Jeśli zainstalowano JRE w folderze domyślnym, to można zaakceptować lub wybrać alternatywną lokalizacje.
10. W panelu „FIPS Cryptography Mode” można zdecydować o włączeniu lub wyłączeniu tej funkcji. Szczegóły w dokumentacji producenta.
11. W panelu „Service User” wybrać jedną z dwóch opcji:
    1. Utworzenie nowego użytkownika podając nazwę i hasło (domyślna nazwa to SymantecDLP). Konto tworzone jest w celu zarządzania serwisami DLP.
    2. Wybrać istniejące konto lokalne lub admina domeny.
12. Opcjonalnie – jeśli utworzony został nowy użytkownik, należy podać nazwę konta oraz hasło.
13. Opcjonalnie – jeśli wybrany został istniejący użytkownik, należy wprowadzić nazwę w formacie „DOMAIN\username” oraz hasło.
14. W panelu „Oracle Database” należy wprowadzić szczegóły dotyczące serwera bazy danych Oracle poprzez uzupełnienie informacji dotyczących:
    1. Host – dla instalacji single i two tier jest to 127.0.0.1.
    2. Port – należy wprowadzić Oracle Listener Port lub zaakceptować domyślny.
    3. Service Name – należy wprowadzić nazwę serwisu (najczęściej „protect”).
    4. Username – należy wprowadzić nazwę.
    5. Password – należy wprowadzić hasło.
15. Wybrać Next. Jeśli instalujemy w bazie, w której wcześniej był instalowany Symantec DLP, należy pominąć punkt 16.
16. W panelu „Initialize Database” można wybrać:
    1. Initialize Database – jeśli przystępuje się do nowej instalacji.
    2. Preserve Database Data – jeśli chce się połączyć z istniejąca bazą danych.
17. W panelu Preserve Administrator Password wprowadzić i potwierdzić hasło używane do dostępu do konsoli administracyjnej Enforce. Jeśli w poprzednim kroku wybrana została opcja Preserve Database Data, to dostępy administratora są już zapisane w istniejącej bazie.
18. Wybrać Next, aby wyświetlić “Enable external storage for incidents attachements” panel.
19. Jeśli wybrana została opcja „Enable external storage for incydent attachments”, to należy wybrać lokalizacje zasobu zewnętrznego.
20. W panelu „Additional Locate” należy wybrać lokalizację alternatywną albo zaakceptować domyślną.
21. Kliknąć opcję „Install”. Instalacja może potrwać kilka minut.
22. Należy zrestartować lub przywrócić do działania programy wyłączone w punkcie 1.
23. Należy zweryfikować poprawność instalacji poprzez weryfikację serwisów Oracle oraz Symantec.

Więcej informacji znajdziecie w dokumentacji producenta.

Cicha instalacja

W celu weryfikacji wszystkich możliwych parametrów odsyłam do instrukcji producenta.

Poniżej zamieszczam przykładową komendę, która może się różnić w zależności od zdefiniowanych parametrów:

Wykonanie instalacji tą metodą automatycznie wygeneruje nam log instalacyjny po jej zakończeniu.

Upgrade do wersji 15.5

Upgrade w dużej mierze jest podobny do procesu instalacji. Kroki związane z planowaniem, weryfikacją wymagań, JRE czy weryfikacją po zakończeniu wyglądają niemal identycznie, jak w przypadku instalacji.

Głównym rozróżnieniem jest tutaj wykorzystanie narzędzia Update Readiness tool, które wspiera użytkownika w procesie podniesienia wersji DLP.

Przygotowanie do uruchomienia Update Readiness tool

Aby uruchomić Update Readiness tool:

1. Uzyskaj/pobierz ostatnią wersję narzędzia.
2. Zaloguj się jako Administrator do systemu serwera bazy danych.
3. Jeśli wykonujesz instalacji typu Three-tier upewnij się, że:
   1. uruchamiasz ta samą wersję Klienta Oracle jak Serwera Oracle
   2. klient Oracle jest zainstalowany jako Administrator.
4. Zatrzymaj zadania bazy danych Oracle, jeśli są jakieś zaplanowane.
5. Rozpakuj tool, a następnie rozpakowane elementy przenieś do:

c:\Program
Files\Symantec\DataLossPrevention\EnforceServer\15.5\Protect\Migrator\URT\

Zatrzymanie zaplanowanych zadań w bazie danych Oracle:

1. Zaloguj się do SQL*Plus, używając nazwy użytkownika bazy danych Symantec DLP oraz hasła.
2. Uruchom polecenie:
   

BEGIN
 FOR rec IN (SELECT * FROM user_jobs) LOOP 
dbms_job.broken( rec.job, true); 
dbms_job.remove( rec.job); 
END LOOP; 
END; 

3. Zweryfikuj, czy wszystkie zaplanowane zadanie zostały wyłączone za pomocą polecenia poniżej:

Select count(*) from user_jobs; 

4. Wyjdź z SQL*Plus

Tworzenie konta bazy danych Update Readiness tool

Aby utworzyć konto:

1. Przejdź do folderu: /script, gdzie został rozpakowany Update Readiness tool.
2. Uruchom SQL*Plus:

sqlplus /nolog 

3. Uruchom skrypt Oracle_create_user.sql:
4. W „Please enter the password for sys user” wprowadź hasło dla użytkownika SYS
5. W „Please enter Service Name” wprowadź nazwę serwisu.
6. W „Please enter required username to be created” wprowadź nazwę dla nowego konta upgrade readiness tool.
7. W „Please enter a password for the new username” wprowadź hasło dla nowego konta upgrade readiness tool.
8. Jako użytkownik bazy danych sysdba nadaj uprawnienia dla Symantec DLP schema user name dla obiektów bazy danych:

sqlplus sys/[sysdba password] as sysdba 
GRANT READ,WRITE ON directory DATA_PUMP_DIR TO [schema user name];
GRANT SELECT ON dba_registry_history TO [schema user name]; 
GRANT SELECT ON dba_temp_free_space TO [schema user name]; 

Uruchamianie Update Readiness tool

Update Readiness tool może być uruchomiony na dwa sposoby:

• z command line,
• z Enforce serwera.

Z linii komend należy:

1. Uruchomić linie komend (Win+R).
2. Przejść do lokalizacji:

c:\Program 
Files\Symantec\DataLossPrevention\EnforceServer\15.5\Protect\Migrator\URT 

3. Uruchomić Update Readiness tool poleceniem:

„C:\Program Files\Symantec\DataLossPrevention\ServerJRE\1.8.0_181\bin\java” UpdateReadinessTool 
–username <schema user name> 
–password <password> 
–readiness_username <readiness_username> 
–readiness_password <readiness_password> 
–sid <database_system_id> 
[–quick] 

Z Enforce serwera:

1. Zalogować się na konsolę Enforce.
2. Z widoku głownego przejść do System > Servers and Detectors > Overview.
3. Kliknąć System Servers and Detectors Overview.
4. Nastepnie wybrać Upload the Update Readiness tool i zlokalizować narzędzie.
5. Wprowadzić login i hasło użytkownika Update Readiness tool.
6. Kliknąć Run Update Readiness tool.

Zmiany w wersji 15.5

W tym miejscu przedstawię kluczowe i najważniejsze zmiany wprowadzone w wersji 15.5. Po szczegóły wszystkich zmian odsyłam do Dokumentacji producenta.

Zmiany w nazwach serwisów

Symantec od zakupienia DLP od firmy Vontu w 2007 roku niezmiennie aż do aktualizacji 15.5 nazywał swoje serwisy według nazewnictwa kupionej wcześniej firmy. Zmiana tej logiki musiała w końcu nadejść i stała się finalnie zerwaniem z pozostałościami po Vontu DLP.

Po zakupie Symantec przez Broadcom możemy w przyszłości spodziewać się podobnego zabiegu.

Poniżej przedstawię stare jak i nowe nazwy serwisów:

Jak można zauważyć, poza podmianą przedrostka jak i usunięciu białych znaków w nazwie nie zmieniono nic więcej.

Warto również nadmienić, że parametr używany do połączenia z baza danych Oracle od teraz nazywa się SERVICE_NAME, wcześniej był to po prostu SID.

Information Centric Tagging (ICT)

Od teraz w Endpointach możliwa jest dynamiczna klasyfikacja dokumentów oraz konfiguracja integracji polityk w DLP z ICT. Dodana została nowa Response Rule ICT Classificaition and Tagging pozwalająca na klasyfikację wykrytej zawartości.

Udostępniono również użycie skanu w celu tagowania i klasyfikacji zawartości – można skonfigurować scan, który w trybie Classification only nie wygeneruje nam żadnych incydentów, a jedynie nałoży nowe tagowanie lub klasyfikacje.

Warto również wspomnieć o dodaniu nowych aplikacji do Global Application Monitoring:

• Box,
• Dropbox,
• iCloud,
• OneDrive.

Information Centric Encryption (ICE)

W nowej wersji nareszcie dodano współdzielona autentykacje dla ICE oraz agenta. Choć zmiana wydaje się dość niewielka, ale wcześnie autentykacja do Agenta DLP i ICE oddzielnie w celu odszyfrowania czy zaszyfrowania pliku była bardzo uciążliwa.

Automatyczne szyfrowanie ICE plików oraz folderów szorowanych poprzez przeglądarkę. Dotyczy to przeglądarek Chrome, Edge, Firefox oraz Internet Explorer. Wspierane wersje są wymienione w dokumentacji producenta. Teraz możliwe jest uploadowanie szyfrowanych ICE plików z lokalnego dysku, przydziału sieciowego czy wymiennego nośnika. Podczas akcji Upload Agent DLP może zablokować akcje zaszyfrować oryginalny plik i następnie podmienić oryginalny z zaszyfrowanym, co zapobiegnie udostepnieniu chronionych plików oraz folderów.

Zmiana ścieżek instalacyjnych

Ważna zmiana w szczególności, jeśli część procesu instalacji upgrade była częściowo automatyzowana. Poniżej przedstawię nowe ścieżki oddzielnie dla systemu Windows oraz Linux.

Windows:

Enforce Server – C:\Program Files\Symantec\DataLossPrevention\EnforceServer

Detection server – C:\Program Files\Symantec\DataLossPrevention\DetectionServer

Single-tier – C:\Program Files\Symantec\DataLossPrevention\SingleTierServer

Content Extraction Service – C:\Program Files\Symantec\DataLossPrevention\ContentExtractionService

Server Platform Common – C:\Program Files\Symantec\DataLossPrevention\ServerPlatformCommon

Server JRE – C:\Program Files\Symantec\DataLossPrevention\ServerJRE

Linux:

Enforce Server – /opt/Symantec/DataLossPrevention/EnforceServer

Detection server – /opt/Symantec/DataLossPrevention/DetectionServer

Single-tier – /opt/Symantec/DataLossPrevention/SingleTierServer

Content Extraction Service – /opt/Symantec/DataLossPrevention/ContentExtractionService

Server Platform Common – /opt/Symantec/DataLossPrevention/ServerPlatformCommon

Server JRE – /opt/Symantec/DataLossPrevention/ServerJRE

Zmiany w wersji 15.7

Przedstawię kluczowe i najważniejsze zmiany wprowadzone w wersji 15. Po szczegóły wszystkich zmian odsyłam do Dokumentacji producenta.

Nowe wspierane rozwiązania DB

W nowej wersji Baza Danych Symantec wspiera Oracle Real Application Clusters (RAC) w wersji 12.2.0.1 Enterprice edition.

Możliwość wdrożenia bazy danych w Oracle multitenant Container Database (CBD) w wersjach:

• 12.1.0.2 Standard Edition,
• 12.1.0.2 Enterprice Edition,
• 12.1.0.1 Standard Edition,
• 12.1.0.1 Enterprice Edition.

Bezpieczne przekazywanie wiadomości Enforce serwera do Syslog serwera

Przekazywanie wiadomości poprzez TCP z użyciem bezpiecznej komunikacji TLS jest możliwe po konfiguracji. Należy:

1. Zalogować się do konsoli Enforce Serwer.
2. Przejść do Manage > Policies > Response rules > Configure Response Rules.
3. Następnie wybrać TCP i zaznaczyć opcje Enable TLs Client Autentication.
4. Dodać do pliku Manager.properties wyrażenie: systemevent.syslog.protocol = [ udp | tcp | tls ]

Grupy Active Directory do autentykacji Enforce Serwera

Od wersji 15.7 możliwe jest skonfigurowanie grup oraz przypisanie ról na podstawie AD.

Konfiguracja grup możliwa jest w: system > Users > User Group

Nadanie roli dla grupy w: System > Login Management > Roles > configure Roles Wciąż rodzaje ról są dość ograniczone. Znaczy to, że nie przypiszemy roli tylko do np. przeglądania polityk lub tylko do weryfikacji incydentów. Natomiast nadanie ról przyspieszy i usprawni znacznie zarządzanie grupami.

Dodatkowe zmiany

W tej sekcji postanowiłem zgrupować małe, aczkolwiek ważne, zmiany wprowadzone w aktualizacji 15.7. Od tej wersji:

• Symantec DLP wspiera API do raportowania incydentów bazujące na SOAP i REST.
• Wspierane jest również użycie przeglądarki Chrome do dostępu do konsoli Enforce.
• Nastąpiło wsparcie Npcap dla Network Monitor.
• Nastąpiło wsparcie dla monitoringu uploadu plików przez Microsoft Office 2019 oraz Office 365.

Podsumowanie

Aktualizacja 15.5 przyniosła głownie zmiany porządkowe w kontekście ścieżek instalacyjnych jak i nazw serwisów oraz bardzo ważne usprawnienia ICE oraz ICT.

Myślę, że na wyróżnienie zasługuje tu ujednolicenia autentykacji ICE z agentem DLP, które znacznie ułatwi i przyspieszy pracę. Natomiast wersja 15.7 przyniosła wsparcie dla wielu nowych rozwiązań bazodanowych jak i popularnych aplikacji. Dużo uwagi poświecono również logowaniu poprzez wsparcie Api Soap Rest jak i możliwości bezpiecznego przekazywania wiadomości do Sysloga.

Źródła

• Symantec™ Data Loss Prevention Installation Guide for Windows
• Symantec™ Data Loss Prevention Upgrade Guide for Windows
• What’s New and What’s Changed in Symantec™ Data Loss Prevention 15.5
• What’s New and What’s Changed in Symantec™ Data Loss Prevention 15.7