W czerwcu 2019 roku ukaza\u0142a si\u0119 nowa wersja Symantec Data Loss Prevention (DLP) \u2013 15.5, kt\u00f3ra wprowadzi\u0142a znacz\u0105ce zmiany oraz usprawnienia wcze\u015bniej udost\u0119pnionych funkcjonalno\u015bci. Niespe\u0142na rok p\u00f3\u017aniej, w lutym 2020, wersja 15.7 zainicjowa\u0142a istotne zmiany w zakresie pracy z logami oraz integracji z innymi popularnymi rozwi\u0105zaniami. W artykule przybli\u017c\u0119 obie wersje.<\/p>\n\n\n\n
Wersja najnowsza \u2013 15.8 \u2013 nie zostanie om\u00f3wiona, gdy\u017c skupia si\u0119 g\u0142ownie na integracji MIP z DLP, nie wprowadzaj\u0105c tak znacz\u0105cych i szerokich nowo\u015bci jak obie poprzednie.<\/p>\n\n\n\n
Poni\u017cszy przyk\u0142ad b\u0119dzie przedstawia\u0142 aktualizacj\u0119 do wersji 15.5 w skr\u00f3conej formie. Po szczeg\u00f3\u0142y, g\u0142\u00f3wnie zwi\u0105zane z przygotowanie do instalacji lub upgrade\u2019u DLP, teraz i w dalszej cz\u0119\u015bci artyku\u0142u odsy\u0142am do dokumentacji producenta:<\/p>\n\n\n\n
Na potrzeby artyku\u0142u skupi\u0119 si\u0119 na instalacji serwera Enforce z pomini\u0119ciem sekcji przygotowania do instalacji.<\/p>\n\n\n\n
Przed instalacj\u0105 DLP w wersji 15.5 konieczne jest zapoznanie si\u0119 z sekcj\u0105 planowanie instalacji DLP oraz pozosta\u0142ymi przygotowaniami do instalacji serwer\u00f3w detekcyjnych oraz agent\u00f3w.<\/p>\n\n\n\n
R\u00f3wnie\u017c bez wzgl\u0119du na typ instalacji (Single-tier, Two tier, Three-tier) wymagana jest instalacja Java Runtime Environment.<\/p>\n\n\n\n
Producent dopuszcza dwie metody instalacji:<\/p>\n\n\n\n
Instalacja za pomoc\u0105 GUI nie wygeneruje nam logu instalacyjnego, ale mo\u017cemy go w\u0142\u0105czy\u0107 poni\u017cszym poleceniem:<\/p>\n\n\n\n
msiexec \/i EnforceServer.msi \/L*v c:\\enf_data\\enforce_install.log<\/em><\/p>\n\n\n\n Symantec rekomenduje, aby:<\/p>\n\n\n\n Wi\u0119cej informacji znajdziecie w dokumentacji producenta.<\/p>\n\n\n\n W celu weryfikacji wszystkich mo\u017cliwych parametr\u00f3w odsy\u0142am do instrukcji producenta.<\/p>\n\n\n\n Poni\u017cej zamieszczam przyk\u0142adow\u0105 komend\u0119, kt\u00f3ra mo\u017ce si\u0119 r\u00f3\u017cni\u0107 w zale\u017cno\u015bci od zdefiniowanych parametr\u00f3w:<\/p>\n\n\n\n msiexec \/i EnforceServer.msi \/qn \/norestart \/lv d:\\EnforceServer.log Wykonanie instalacji t\u0105 metod\u0105 automatycznie wygeneruje nam log instalacyjny po jej zako\u0144czeniu.<\/p>\n\n\n\n Upgrade w du\u017cej mierze jest podobny do procesu instalacji. Kroki zwi\u0105zane z planowaniem, weryfikacj\u0105 wymaga\u0144, JRE czy weryfikacj\u0105 po zako\u0144czeniu wygl\u0105daj\u0105 niemal identycznie, jak w przypadku instalacji.<\/p>\n\n\n\n G\u0142\u00f3wnym rozr\u00f3\u017cnieniem jest tutaj wykorzystanie narz\u0119dzia Update Readiness tool, kt\u00f3re wspiera u\u017cytkownika w procesie podniesienia wersji DLP.<\/p>\n\n\n\n Aby uruchomi\u0107 Update Readiness tool:<\/strong><\/p>\n\n\n\n c:\\Program Zatrzymanie zaplanowanych zada\u0144 w bazie danych Oracle:<\/strong><\/p>\n\n\n\n BEGIN Select count(*) from user_jobs; <\/em><\/p>\n\n\n\n Aby utworzy\u0107 konto:<\/p>\n\n\n\n sqlplus \/nolog <\/em><\/p>\n\n\n\n sqlplus sys\/[sysdba password] as sysdba<\/em> Update Readiness tool mo\u017ce by\u0107 uruchomiony na dwa sposoby:<\/p>\n\n\n\n Z linii komend nale\u017cy:<\/strong><\/p>\n\n\n\n c:\\Program<\/em> „C:\\Program Files\\Symantec\\DataLossPrevention\\ServerJRE\\1.8.0_181\\bin\\java” UpdateReadinessTool <\/em> Z Enforce serwera:<\/strong><\/p>\n\n\n\n W tym miejscu przedstawi\u0119 kluczowe i najwa\u017cniejsze zmiany wprowadzone w wersji 15.5. Po szczeg\u00f3\u0142y wszystkich zmian odsy\u0142am do Dokumentacji producenta.<\/p>\n\n\n\n Symantec od zakupienia DLP od firmy Vontu w 2007 roku niezmiennie a\u017c do aktualizacji 15.5 nazywa\u0142 swoje serwisy wed\u0142ug nazewnictwa kupionej wcze\u015bniej firmy. Zmiana tej logiki musia\u0142a w ko\u0144cu nadej\u015b\u0107 i sta\u0142a si\u0119 finalnie zerwaniem z pozosta\u0142o\u015bciami po Vontu DLP.<\/p>\n\n\n\n Po zakupie Symantec przez Broadcom mo\u017cemy w przysz\u0142o\u015bci spodziewa\u0107 si\u0119 podobnego zabiegu.<\/p>\n\n\n\n Poni\u017cej przedstawi\u0119 stare jak i nowe nazwy serwis\u00f3w:<\/p>\n\n\n\n Jak mo\u017cna zauwa\u017cy\u0107, poza podmian\u0105 przedrostka jak i usuni\u0119ciu bia\u0142ych znak\u00f3w w nazwie nie zmieniono nic wi\u0119cej. <\/p>\n\n\n\n Warto r\u00f3wnie\u017c nadmieni\u0107, \u017ce parametr u\u017cywany do po\u0142\u0105czenia z baza danych Oracle od teraz nazywa si\u0119 SERVICE_NAME, wcze\u015bniej by\u0142 to po prostu SID.<\/p>\n\n\n\n Od teraz w Endpointach mo\u017cliwa jest dynamiczna klasyfikacja dokument\u00f3w oraz konfiguracja integracji polityk w DLP z ICT. Dodana zosta\u0142a nowa Response Rule ICT Classificaition and Tagging pozwalaj\u0105ca na klasyfikacj\u0119 wykrytej zawarto\u015bci.<\/p>\n\n\n\n Udost\u0119pniono r\u00f3wnie\u017c u\u017cycie skanu w celu tagowania i klasyfikacji zawarto\u015bci \u2013 mo\u017cna skonfigurowa\u0107 scan, kt\u00f3ry w trybie Classification only nie wygeneruje nam \u017cadnych incydent\u00f3w, a jedynie na\u0142o\u017cy nowe tagowanie lub klasyfikacje.<\/p>\n\n\n\n Warto r\u00f3wnie\u017c wspomnie\u0107 o dodaniu nowych aplikacji do Global Application Monitoring:<\/p>\n\n\n\n W nowej wersji nareszcie dodano wsp\u00f3\u0142dzielona autentykacje dla ICE oraz agenta. Cho\u0107 zmiana wydaje si\u0119 do\u015b\u0107 niewielka, ale wcze\u015bnie autentykacja do Agenta DLP i ICE oddzielnie w celu odszyfrowania czy zaszyfrowania pliku by\u0142a bardzo uci\u0105\u017cliwa.<\/p>\n\n\n\n Automatyczne szyfrowanie ICE plik\u00f3w oraz folder\u00f3w szorowanych poprzez przegl\u0105dark\u0119. Dotyczy to przegl\u0105darek Chrome, Edge, Firefox oraz Internet Explorer. Wspierane wersje s\u0105 wymienione w dokumentacji producenta. Teraz mo\u017cliwe jest uploadowanie szyfrowanych ICE plik\u00f3w z lokalnego dysku, przydzia\u0142u sieciowego czy wymiennego no\u015bnika. Podczas akcji Upload Agent DLP mo\u017ce zablokowa\u0107 akcje zaszyfrowa\u0107 oryginalny plik i nast\u0119pnie podmieni\u0107 oryginalny z zaszyfrowanym, co zapobiegnie udostepnieniu chronionych plik\u00f3w oraz folder\u00f3w.<\/p>\n\n\n\n Wa\u017cna zmiana w szczeg\u00f3lno\u015bci, je\u015bli cz\u0119\u015b\u0107 procesu instalacji upgrade by\u0142a cz\u0119\u015bciowo automatyzowana. Poni\u017cej przedstawi\u0119 nowe \u015bcie\u017cki oddzielnie dla systemu Windows oraz Linux.<\/p>\n\n\n\n Windows:<\/strong><\/p>\n\n\n\n Enforce Server \u2013 C:\\Program Files\\Symantec\\DataLossPrevention\\EnforceServer<\/p>\n\n\n\n Detection server \u2013 C:\\Program Files\\Symantec\\DataLossPrevention\\DetectionServer<\/p>\n\n\n\n Single-tier \u2013 C:\\Program Files\\Symantec\\DataLossPrevention\\SingleTierServer<\/p>\n\n\n\n Content Extraction Service \u2013 C:\\Program Files\\Symantec\\DataLossPrevention\\ContentExtractionService<\/p>\n\n\n\n Server Platform Common \u2013 C:\\Program Files\\Symantec\\DataLossPrevention\\ServerPlatformCommon<\/p>\n\n\n\n Server JRE \u2013 C:\\Program Files\\Symantec\\DataLossPrevention\\ServerJRE<\/p>\n\n\n\n Linux:<\/strong><\/p>\n\n\n\n Enforce Server \u2013 \/opt\/Symantec\/DataLossPrevention\/EnforceServer<\/p>\n\n\n\n Detection server \u2013 \/opt\/Symantec\/DataLossPrevention\/DetectionServer<\/p>\n\n\n\n Single-tier \u2013 \/opt\/Symantec\/DataLossPrevention\/SingleTierServer<\/p>\n\n\n\n Content Extraction Service \u2013 \/opt\/Symantec\/DataLossPrevention\/ContentExtractionService<\/p>\n\n\n\n Server Platform Common \u2013 \/opt\/Symantec\/DataLossPrevention\/ServerPlatformCommon<\/p>\n\n\n\n Server JRE \u2013 \/opt\/Symantec\/DataLossPrevention\/ServerJRE<\/p>\n\n\n\n Przedstawi\u0119 kluczowe i najwa\u017cniejsze zmiany wprowadzone w wersji 15. Po szczeg\u00f3\u0142y wszystkich zmian odsy\u0142am do Dokumentacji producenta.<\/p>\n\n\n\n W nowej wersji Baza Danych Symantec wspiera Oracle Real Application Clusters (RAC) w wersji 12.2.0.1 Enterprice edition.<\/p>\n\n\n\n Mo\u017cliwo\u015b\u0107 wdro\u017cenia bazy danych w Oracle multitenant Container Database (CBD) w wersjach:<\/p>\n\n\n\n Przekazywanie wiadomo\u015bci poprzez TCP z u\u017cyciem bezpiecznej komunikacji TLS jest mo\u017cliwe po konfiguracji. Nale\u017cy:<\/p>\n\n\n\n Od wersji 15.7 mo\u017cliwe jest skonfigurowanie grup oraz przypisanie r\u00f3l na podstawie AD.<\/p>\n\n\n\n Konfiguracja grup mo\u017cliwa jest w: system > Users > User Group<\/p>\n\n\n\n Nadanie roli dla grupy w: System > Login Management > Roles > configure Roles Wci\u0105\u017c rodzaje r\u00f3l s\u0105 do\u015b\u0107 ograniczone. Znaczy to, \u017ce nie przypiszemy roli tylko do np. przegl\u0105dania polityk lub tylko do weryfikacji incydent\u00f3w. Natomiast nadanie r\u00f3l przyspieszy i usprawni znacznie zarz\u0105dzanie grupami.<\/p>\n\n\n\n W tej sekcji postanowi\u0142em zgrupowa\u0107 ma\u0142e, aczkolwiek wa\u017cne, zmiany wprowadzone w aktualizacji 15.7. Od tej wersji:<\/p>\n\n\n\n Aktualizacja 15.5 przynios\u0142a g\u0142ownie zmiany porz\u0105dkowe<\/strong> w kontek\u015bcie \u015bcie\u017cek instalacyjnych jak i nazw serwis\u00f3w oraz bardzo wa\u017cne usprawnienia ICE oraz ICT<\/strong>.<\/p>\n\n\n\n My\u015bl\u0119, \u017ce na wyr\u00f3\u017cnienie zas\u0142uguje tu ujednolicenia autentykacji ICE z agentem DLP<\/strong>, kt\u00f3re znacznie u\u0142atwi i przyspieszy prac\u0119. Natomiast wersja 15.7 przynios\u0142a wsparcie dla wielu nowych rozwi\u0105za\u0144 bazodanowych<\/strong> jak i popularnych aplikacji. Du\u017co uwagi po\u015bwiecono r\u00f3wnie\u017c logowaniu poprzez wsparcie Api Soap Rest jak i mo\u017cliwo\u015bci bezpiecznego przekazywania wiadomo\u015bci do Sysloga.<\/p>\n\n\n\nInstalacja GUI<\/strong><\/h3>\n\n\n\n
\n
\n
\n
\n
Cicha instalacja<\/strong><\/h3>\n\n\n\n
INSTALLATION_DIRECTORY=”C:\\Program Files\\Symantec\\DataLossPrevention”
DATA_DIRECTORY=”C:\\ProgramData\\Symantec\\DataLossPrevention\\EnforceServer”
JRE_DIRECTORY=”C:\\Program Files\\Symantec\\DataLossPrevention\\ServerJRE\\1.8.0_181″
FIPS_OPTION=Disabled
SERVICE_USER_OPTION=ExistingUser
SERVICE_USER_USERNAME=protect
SERVICE_USER_PASSWORD=Password
ORACLE_HOST=xxx.xxx.xxx.xxx
ORACLE_PORT=1521
ORACLE_USERNAME=protect
ORACLE_PASSWORD=Password
ORACLE_SID=protect
32Installing an Enforce Server
Installing an Enforce Server
EXTERNAL_STORAGE_OPTION=Database
ENFORCE_ADMINISTRATOR_PASSWORD=Password<\/em><\/p>\n<\/div>\n\n\n\nUpgrade do wersji 15.5<\/strong><\/h2>\n\n\n\n
Przygotowanie do uruchomienia Update Readiness tool<\/strong><\/h3>\n\n\n\n
\n
\n
Files\\Symantec\\DataLossPrevention\\EnforceServer\\15.5\\Protect\\Migrator\\URT\\<\/em>
<\/p>\n\n\n\n\n
<\/li>\n<\/ol>\n\n\n\n
FOR rec IN (SELECT * FROM user_jobs) LOOP
dbms_job.broken( rec.job, true);
dbms_job.remove( rec.job);
END LOOP;
END; <\/em>
<\/p>\n\n\n\n\n
\n
Tworzenie konta bazy danych Update Readiness tool<\/strong><\/h3>\n\n\n\n
\n
\n
GRANT READ,WRITE ON directory DATA_PUMP_DIR TO [schema user name];<\/em>
GRANT SELECT ON dba_registry_history TO [schema user name];<\/em>
GRANT SELECT ON dba_temp_free_space TO [schema user name];<\/em>
<\/p>\n\n\n\nUruchamianie Update Readiness tool<\/strong><\/h3>\n\n\n\n
\n
\n
Files\\Symantec\\DataLossPrevention\\EnforceServer\\15.5\\Protect\\Migrator\\URT<\/em> <\/p>\n\n\n\n\n
–username <schema user name> <\/em>
–password <password> <\/em>
–readiness_username <readiness_username> <\/em>
–readiness_password <readiness_password> <\/em>
–sid <database_system_id> <\/em>
[–quick] <\/em><\/p>\n\n\n\n\n
Zmiany w wersji 15.5<\/strong><\/h2>\n\n\n\n
Zmiany w nazwach serwis\u00f3w<\/strong><\/h3>\n\n\n\n
Stara nazwa (do wersji 15.5)<\/strong><\/td> Nowa nazwa (od wersji 15.5)<\/strong><\/td><\/tr> Vontu Incident Persister<\/td> SymantecDLPIncidentPersister<\/td><\/tr> Vontu Manager<\/td> SymantecDLPManager<\/td><\/tr> Vontu Monitor<\/td> SymantecDLPMonitor<\/td><\/tr> Vontu Monitor Controller<\/td> SymantecDLPMonitorController<\/td><\/tr> Vontu Notifier<\/td> SymantecDLPNotifier<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Information Centric Tagging (ICT)<\/strong><\/h3>\n\n\n\n
\n
Information Centric Encryption (ICE)<\/strong><\/h3>\n\n\n\n
Zmiana \u015bcie\u017cek instalacyjnych<\/strong><\/h3>\n\n\n\n
Zmiany w wersji 15.7<\/strong><\/h2>\n\n\n\n
Nowe wspierane rozwi\u0105zania DB<\/strong><\/h3>\n\n\n\n
\n
Bezpieczne przekazywanie wiadomo\u015bci Enforce serwera do Syslog serwera<\/strong><\/h3>\n\n\n\n
\n
Grupy Active Directory do autentykacji Enforce Serwera<\/strong><\/h3>\n\n\n\n
Dodatkowe zmiany<\/strong><\/h3>\n\n\n\n
\n
Podsumowanie<\/strong><\/h2>\n\n\n\n
\u0179r\u00f3d\u0142a<\/strong><\/h2>\n\n\n\n
\n