1. O documento fornece instruções sobre como participar de uma apresentação online sobre Data Loss Prevention 14.5.
2. Os participantes podem colocar perguntas, baixar arquivos, avaliar a apresentação e rever a gravação posteriormente.
3. A apresentação irá cobrir novas funcionalidades do DLP 14.5 como form matching, suporte aprimorado para cloud storage e melhorias na interface do usuário.
2. Brighttalk Dicas
• 1. Configuração de Áudio: Você ficará conectado durante a sessão por
streaming do computador. Tenha certeza de que está utilizando uma boa
conexão de internet. Caso seu áudio apresente problemas, tente fechar a
sessão e retornar em seguida
• 2. Coloque suas dúvidas e perguntas na sessão: Questions. Esta é a única
forma de se comunicar com os apresentadores, responderemos às dúvidas
através do áudio
• 3. Tela: caso a apresentação fique travada, tente sair e voltar a sessão por favor.
• 4. Rate This: no canto superior esquerdo você vai encontrar um botão “ Rate
this” – clique e dê sua nota e inclua seus comentários sobre esta apresentação
• 5. Attachments & Links: neste espaço você pode baixar os arquivos e links que
tiver interesse, a qualquer momento durante a apresentação.
• 6. Gravação: fazendo login no webinar, você vai poder voltar a qualquer
horário/ dia e rever a gravação. O Brighttalk envia um email após evento a cada
participante.
3. Sobre os nossos apresentadores
Leandro Vicente
Sr. Systems Engineer
• 15 anos na Symantec
• Especialista em soluções de segurança
e conformidade
• Atua na pré-venda para clientes do
segmento Financeiro, desenvolvendo
soluções para proteção e
gerenciamento das informações
Leonardo Nassif
Systems Engineer
• 12 anos de experiência em TI
• 3 anos na Symantec
• Especialista em soluções de segurança
• Atua na equipe de pré-vendas técnica
no Rio de Janeiro
• Atua a mais de 10 anos com soluções
Symantec, iniciando na extinta
PowerQuest do Brasil, adquirida em
2003/2004.
9. Novidades do Data Loss Prevention 14.5
• Form Matching
• IDM Parcial no Endpoint
Detecção
• Regras para número de arquivos anexados e
tamanho dos anexos
• Importar/Exportar Políticas
Políticas
• Regra de resposta para quarentenar arquivos com o
Box Cloud Storage Discover
• Monitoramento do “Salvar”para Cloud Storage no
Office (Endpoint)
Cloud
• Mac Agent – Suporte nativo para Outlook, Browser
(HTTPS), Copy to Network Share, Clipboard
• Network Share Channel – Filtro por tipo de arquivo,
caminho e tamanho
Endpoint
• Office 2016 file types
• IP/Username Resolution
• Mac OS 10.11 (El Capitan)
Plataforma
11. A versão 14.5 possui suporte para Outlook for Mac
• Monitora e Previne E-mail, Reuniões e Compromisso
• Todos os campos como TO/CC/BCC/Subject/Corpo/Anexos
podem ser detectados
• Este recurso é suportado através de ”hooking” no Mac
• Versão suportada do Outlook
– Outlook 2011
• Plataforma Suportada
– Mac OS X 10.9
– Mac OS X 10.10
FID#### - Feature Name
11
12. Suporte a Clipboard no Mac
• Suporte a Clipboard já está presente no Windows
– Suporte adicionado no Mac OS X na 14.5
• Apenas operação de colar é monitorada
– Diferente do Windows onde a operação de Copiar também é monitorada
• Browsers Suportados*:
– Firefox
– Safari
– Google Chrome
• IM Suportados*:
– Cisco Jabber
– Skype *Testado nas últimas versões
Clipboard Support on MAC
12
13. Suporte a Browser no MAC
• Monitora Upload de arquivos e operações de Colar através de
browsers
– Isto cobre a maior parte das tentativas de vazamento de dados
– Consegue gerar incidentes através de HTTPS
• Monitora tanto URLs HTTP quanto HTTPS
• Suporte a filtro de domínios
First Class Browser Support for MAC
13
16. Visão Geral
• A resolução de nome do usuário através do IP foi introduzida no
DLP 14.
• Associa o Nome do Usuário de Dominio através do IP coletado
nos incidentes gerados pelo Network Monitor e Network
Prevent for Web
• Melhoramentos e novas funcionalidades:
– Configuração através Enforce UI.
– Lookup sob demanda.
– Suporte para Multiplos Domain Controllers.
– Monitoramento do Agente do DC.
– Configuração do período de Logout (aging)
Symantec DLP 14.5 Differences Training: Storage, Platform and Reporting
16
17. Resolução de nome de um Incidente de Web
ANTES: Incidente Web com o
sender como endereço IP
AGORA: Incidente Web com o
sender como nome de usuário
Symantec DLP 14.5 Differences Training: Storage, Platform and Reporting
17
19. Artefatos exportados
• Nome da políticas, descrição e grupo
• Regras da política incluindo definições de EDM/IDM/VML
• Localizações e Dispositivos da camada Endpoint
• Padrões de remetentes / destinatário
• Regras de resposta
• Data Identifiers
• Protocolos Customizados
Policy Export Import
20. Artefatos não exportados
• Credenciais
• Credenciais Salvas
• EDM/IDM/VML indexes
• EDM/IDM data source
• Arquivos de treino do VML
• Flex Response Plugin jars
Policy Export Import
22. Uso de Memória
• Apesar do fato do índice ser muito menor do que o IDMv1, ainda
poderíamos ter clientes que desejam indexar um grande número
de documentos - precisamos de um mecanismo para evitar a
distribuição de grandes IDMs nos Endpoints
• Os limites atuais (configurável) são:
– Cada índice no servidor pode usar até 2GB de RAM
– Os índices no Endpoint podem usar até 60MB de RAM
• Nota: Enquanto o limite no servidor é por índice, o endpoint tem
um limite por todos os índices armazenados
IDM v3 TOI
22
23. Sizing e Perfomance da Indexação
• IDMv3 utilizar em torno de 20% menos memória que o IDMv2 (IDMv2 já era
10x – 100x menor que o IDMv1)
• Com os limites atuais, estes são as quantidades de documentos que pode-se
esperar ser capaz de indexar:
– Servidor, 2GB, até 1,000,000 documentos
– Agente, 60MB, até 30,000 documentos
• O tempo de indexação foi melhorado do IDMv2 (e do IDMv1):
• Performance cresce linearmente de acordo com o número de documentos:
– Cerca de 8-9hrs para a indexação completa de 1,000,000 de documentos
23
Data Set 14.0 14.5 Melhoria
Wikipedia, 300K, Full Indexing 21h 2m 2h 57m 7x
Wikipedia, 300K, From Remote 19h 26m 41m 28x
25. Contagem do Total de Anexos e Regras de Tamanho
• Duas novas regras de detecção
– Número total de arquivos anexados
– Tamanho total dos arquivos anexados
• Estas regras são Novas opções da regras existente ”Tamanho do
Arquivo” (File Size)
FID#### - Feature Name
25
26. Visão Geral
• Esta nova condição é baseada na regra existente “Attachment
File Size” (Tamanho do Anexo)
• Enquanto a regra atual se baseia apenas para um único
componente da mensagem, esta nova condição se aplica a todos
os anexos incluídos na mesma mensagem
FID#### - Feature Name
26
Detection Message
Detection Message Component
Attachment Size = 50KB
Detection Message Component
Attachment Size = 70KB
Detection Message Component
Attachment Size = 100KB
Single Size Rule
> 60KB?
Hit!
Hit!
Total Size Rule
> 200KB?
Hit!
OK!
Total = 220KB
++
++
++
28. Background
• Na versão anterior - DLP 14.0
– Monitora um upload de arquivo através de aplicações corporativas de
sync, por ex. Box, Google Drive, OneDrive, DropBox para cloud storage.
Porém não tem a capacidade de diferenciar entre contas pessoais e
corporativas
– Não monitora upload de arquivo através do Office
• A nova versão acrescenta:
– Permite que seja feito um upload de arquivo para uma conta corporativa
do Box, previamente configurada, sem aplicar nenhuma regra de detecção,
através de apps de sincronização e do Office
– Previne o upload de arquivos corporativos com informações sensíveis para
contas pessoais do Box, aplicando regras de bloqeio, através de apps de
sincronização e do Office
DLP Endpoint - Allow uploads through Corporate sanctioned Box Accounts through Sync and Office
28
29. DLP Endpoint - Allow uploads through Corporate sanctioned Box Accounts through Sync and Office
29
Caso de Uso
Word, Excel & Powerpoint – “Upload” de documentos
Outlook – “Salvar Anexos” recebidos
30. DLP Endpoint - Allow uploads through Corporate sanctioned Box Accounts through Sync and Office
30
Configuração - Enforce
30
Para Box Sync e Box For Office
• Habilitar Cloud Storage channel:
• Ignorar Identity Filter Section:
• File Recovery Location
30
34. Visão Geral
• Empresas que querem evitar a perda de dados sensíveis em
cópias scaneadas ou imagens de formulários, que podem conter
dados pessoais
– Por exemplo, formulário escaneado de um registro de pacientes .
• Form Recognition é uma nova tecnologia de detecção baseada
em imagem.
• Melhorias no relatório de incidentes .
• Server side; não disponível no agente de endpoint.
• Requer uma licença separada.
34
Symantec DLP 14.5 Differences Training: Detection, Storage, Platform and Reporting
36. • Determina pontos-chave na imagens indexadas
• Verifica quais pontos-chave da imagem a ser verificada se encaixam na
galeria de imagens indexadas
• Utiliza os pontos-chaves para reorientar e alinhar as imagens
correspondentes
Visão Geral do Algoritmo
Form Matching
36
37. Caso de Uso
O algoritmo procura
por "pontos-chave"
ou "regiões" e
analisa as imagens
que estão sendo
detectada contra
aqueles
anteriormente
indexado.
Não é baseado em
OCR
37
Symantec DLP 14.5 Differences Training: Detection, Storage, Platform and Reporting
38. Como fica um incidente: Melhorias
Seções preenchidas são
realçadas.
Resultados de Convicção e Fill
Score.
Melhorias adicionais foram feitas
no XML Export, Web Archive e
aos Relatórios.
38
Symantec DLP 14.5 Differences Training: Detection, Storage, Platform and Reporting
Controles de Zoom e Rotacionar
a imagem.