Symantec DLP Network Discover

Symantec DLP Network Discovery sayesinde network üzerindeki bilgisayarlardaki kritik ve gizli bilgiler içeren,örneğin Kredi kartı numaraları vs., nesnelerin tesbit edilip raporlanmasını sağlamaktadır. Gerektiği takdirde tesbit edilen dosyalar için aksiyon oluşturulabilmektedir. Tesbit edilen dosyaların bir kopyasını belirlediğimiz bir sunucu ve dizini alıp orjinal dosyanın içeriği silinip bizim yazacağımız bir uyarı notu bırakılabilmektedir. Burada bu tarz bir aksiyon alıp almayacağınız kurum stratejisi ve genel bir karar ile olabilir.

Network Discovery

Ana menüdeyken Manage>Discover Scanning>Discover Targets seçiyoruz. Bu bölümde tarama taskını oluşturacağız.

New Target> Server>File System seçiyoruz.

Tarama taskının General kısmında taskımıza bir isim veriyoruz ve bu tarama taskında kullanılacak olan politika grubunu seçiyoruz. Tarama sırasında bu politika grubundaki politikalarda belirlenmiş olan kurallar için tarama yapılacaktır.

Scan Type olarak incremental scan istersek full scan yaptırabilme seçeneklerine sahibiz. Biz Always scan all items (full scan) seçiyoruz.

Scan Schedule kısmında;

Scan Schedule kısmında ise oluşturduğumuz tarama taskının hangi aralıklarla çalıştırılacağını ayarladığımız kısımdır. Schedule ayarımızıda yaptıktan sonra Scanned Content kısmına geçelim.

Scanned Content kısmında ise;

Taramanın yapılacağı bilgisayarlar üzerinde yetkili bir account bilgisinin Default User alanına girilmesi gerekmektedir.

Shares kısmında taramanın yapılacağı destinationdaki share bilgilerini girebilmekteyiz. Scan Shares işaretleyip Add butonuna tıklayalım.

Açılan pencereye ilgili share path bilgisini girip OK e tıklıyoruz. Örneğin \\computername\sharename

Advanced kısmında Throttling ve Inventory Scanning kısmında taramanın süresini kısaltmak adına ekstra tanımlamalar yapabilmekteyiz. Dakikada işleme alınacak dosya sayısı yada dakikada işleme alınacak dosya boyutu kısıtlarını tanımlayabilmekteyiz.

Protect kısmında ise tesbit edilen dosyalar için ne yapılacağını belirleyebilmekteyiz. İstersek bir kopyasını belirlediğimi bir path e alabiliriz yada dosyayı karantina için belirlediğimiz bir path e alabiliriz.

Quarantine /Copy Share kısmında ilgili pathi ve bu pathe erişim yetkisi olacak bir account bilgisini bu kısımdan girmekteyiz.

Protect Credential kısmından da Share dosyalarında okuma ve yazma yetkisine sahip bir account bilgisini giriyoruz.

Task ayarlarımızdan sonra Politikalarımıza gelip Response kısmından Add Response Rule olarak Quarantine Stored File ekliyoruz.

Response Rule içindeki Quarantine Stored File ın detaylarını incelediğimizde High ve Medium seviyesi için dosyaları belirlediğimiz karantina pathine alacak ve orjinal dosyaya da Marker Text kısmındaki bilgileri yazacaktır.

Tekrardan Discover Targets kısmına gelelim ve taskımızı Start edelim.

Taskımız tamamlanmıştır. Incident kısmında görüldüğü üzere 3 adet olay tesbit edilmiştir. 3 sayısının üzerine tıkladığımızda;

Direkt olarak tesbit edilen incidentların ekranı karşımıza çıkacaktır. Detaylarını görebilmek için incidentların üzerine tıklamamız yeterlidir.

Tesbit edilen dosyaların orjinal yerindeki son haline baktığımızda ise;

Yazmış olduğumuz uyarı mesajı otomatik olarak yazılmış olup içeriği tamamen silinmiştir. Orjinal dosyanın kopyasıda Karantina pathi olarak belirlediğimiz pathe alınmıştır.

Böylece network discover konusunuda tamamlamış bulunmaktayız.