29 Eylül 2012 Cumartesi

Websense DLP Database Fingerprint

Websense Data Loss Prevention sisteminin önemli özelliklerinden bir tanesi Database Fingerprint modülüdür. Database fingerprint ile istediğimiz database tablolarındaki verilerin fingerprintleri alınabilmekte ve bu bilgiler sayesinde politikalar oluşturulmaktadır. İçerisinde fingerprinti alınmış dataya benzeyen bir işlem yapılmak istendiğinde ister incident oluşturabiliriz istersekte blocklama aksiyonunu aldırabiliriz. Websense DB Fingerprintin en önemli özellik kullanıcı bilgisayarı offline konumda olduğunda bile DB fingerprint politikası çalışmaktadır ve blocklama yapabilmekteyiz.

Database Fingerprint işlemini ODBC aracılığıyla Database sunucusuna bağlanmalıyız. Database üzerinde bir kullanıcı hesabımız olmalıdır. Bu kullanıcı hesabının fingerprint alacağımız database ve master database üzerinde read yetkisinin olması yeterlidir.

İlk olarak ODBC ayarlarımızı yapıyoruz. 



System DSN kısmında Add diyoruz.


Bir isim veriyoruz ve bağlanacağımız SQL Serverı Server kısmından seçip Next diyoruz.


SQL Server a bağlanacağımız kullanıcı adı ve şifresi bilgilerini girip Next diyoruz.


Change the default database to kısmından fingerprint alacağımız database i seçiyoruz.



Bu alanda bir değişiklik yapmadan Finish diyoruz.




Karşımıza ODBC bağlantısı için özet ekran gelecektir. Test Data Source butonuna tıklayalım.




TESTS COMPLETED SUCCESSFULLY işlemimizin başarılı olduğunu göstermektedir.

ODBC bağlantı ayarları tamamlandıktan sonra Triton arayüzünde;



Policy Management> Content Classifiers > Database Fingerprinting seçiyoruz.


New > Database Table Fingerprinting  seçiyoruz.






General kısmında bir isim veriyoruz. Crawler olarak kullanacağımız sunucumuzu seçip Next diyoruz.


Data Source kısmında ODBC de ayarladığımız DSN adını seçiyoruz ve Database e bağlanabilmemiz için gerekli olan kullanıcı adı ve şifresi bilgilerini Database Credentials alanına yazıyoruz.


Field Selection kısmında hangi tablodaki hangi alanları kullanacağımızı seçiyoruz.


Scheduler kısmında fingerprint işleminin hangi sıklıkta yapılacağı ayarlarını yapmaktayız.


Fingerprinting Type kısmında Full Fingerprint mi yoksa Differential Fingerprint işlemi yapılacağını seçebilmekteyiz. Differential fingerprint işlemi yapılabilmesi için bir alanı karşılaştırma için seçmek gerekmektedir. Seçilen alanda değişiklik olduğunda o alanlar için fingerprint işlemini almaktadır.


Son adımda yapılan işlemlerin özeti karşımıza gelmektedir. Herşey doğru ise Finish diyoruz.


Database Fingerprinting alanında oluşturduğumuz taskımız gözükmektedir. Yukarıdaki Start butonuna tıklayıp database fingerprint taskımızı başlatıyoruz.

Sıra geldi oluşturduğumuz database fingerprint işlemini politikalarda kullanmaya.


DLP Policies kısmında New > Policy from Scratch diyoruz.


Politikamıza bir isim verip Next diyoruz.


Condition kısmında Add butonuna tıklayalım.


Açılan panelden Fingerprinting seçelim.


Kullanacağımız Content Classifier List kısmından gerekli taskı seçip alt kısımda da kullanacağımız alanları seçiyoruz.


Properties kısmında seçtiğimiz alanlarla ilgili olarak kaç adet veri geçtiğinde incident oluşturulacağı ayarları yapılmaktadır. At least 2 olacak şekilde ayarlıyoruz.


Condition kısmına Content Classifier ımızı ekledikten sonra Next diyoruz.



İstersek Condition Relations bölümünde birden fazla oluşturduğumuz Content Classifier lar için kendimiz AND-OR-NOT işlemleri yapabilecek seviyede esnek bir kullanıma sahibiz.


Severity&Action kısmında Medium olaylar için Audit Only High seviye olaylar için Block seçebiliriz.


Source olarak All defaultta gelmektedir. İstersek Edit e tıklayıp belirleyeceğimiz source bilgisayarları için bu politikayı uygulayabiliriz.


Destination olarak Email,Web,Printer vb olacak şekilde bütün destination lokasyonlarını seçip Next diyoruz.


Son olarak oluşturduğumuz politikamız ile ilgili özet bir bilgi görmekteyiz. Finish diyerek politikamızı tamamlıyoruz.


Deploy ediyoruz ve Database Fingerprint ayarlarımızı tamamlamış oluyoruz. Böylece fingerprintini aldığımız database tablosunda geçen veriler tesbit edildiğinde incident oluşacak ve istediğimizde blocklama yapabileceğiz.

Hiç yorum yok:

Yorum Gönder