¶ Интеграция с DLP-системой
DLP-система анализирует содержимое сообщений и передаваемых файлов, определяет наличие чувствительных данных по заданным правилам и шаблонам и, в зависимости от политики, разрешает передачу, блокирует её или фиксирует событие в журнале безопасности.
В данной статье описан порядок настройки интеграции DION с внешней DLP-системой. Приведены необходимые параметры конфигурации, команды для включения DLP-сервисов, а также действия в панели администрирования DION для активации проверки сообщений чатов.
¶ Настройка интеграции
1. Внесите необходимые параметры в файл /home/dion/on_dion/inventories/dion.<YourDomain>.com/group_vars/all/vars.yaml следующим образом:
- dlp_enabled — поддержка DLP (Возможные значения: true/false),
- dlp_host — адрес DLP-сервера,
- dlp_port — порт DLP-сервера,
- dlp_full_path — путь на DLP-сервере для глубокой проверки,
- dlp_fast_path — путь на DLP-сервере для быстрой проверки,
- dlp_template — шаблон сообщения, отправляемого в DLP.
Пример заполнения vars.yaml:
dlp_enabled: true
dlp_host: 10.0.0.105
dlp_port: 1344
dlp_full_path: "/icap/full"
dlp_fast_path: "/icap/fast"
dlp_template: |
REQMOD $icap_url$ ICAP/1.0
Allow: $icap_allow$
Host: $icap_host$
Encapsulated: $icap_encapsulated$
X-Authenticated-User: %user_name%
X-Client-Hostname: DION
X-Client-Ip: %client_ip%
X-Dozor-Filename: %file_name%
X-Message-Date: %req_date%
$http_method$ $http_url$ HTTP/1.1
Content-Length: $body_length$
Content-Type: $content_type$
X-Authenticated-User: %user_name%
X-Client-Hostname: DION
X-Client-Ip: %client_ip%
X-Dozor-Filename: %file_name%
X-Message-Date: %req_date%
$body$2. В каталоге /home/dion/on_dion/ выполните команду, чтобы включить функции DLP:
./dion.sh -t dv_dlp_adapter,dc_dlp_service
|
ВНИМАНИЕ: Если DLP-система была включена, повторное развёртывание с параметром dlp_enabled=false не приведёт к отключению интеграции с DLP. Отключение интеграции с DLP производится в панели администрирования. |
3. В панели администрирования DION перейдите в нужную организацию, затем откройте Общие настройки → Проверка DLP → Редактировать параметры.
4. В окне Параметры подключения к DLP системе заполните необходимые поля и укажите произвольный шаблон ICAP-запросов (данный шаг необходим, чтобы включить работу DLP, однако внесённые параметры шаблона будут проигнорированы).
Для ICAP-шаблона можно использовать следующую структуру:
$http_method$ $http_url$ HTTP/1.1
Content-Length: $body_length$
Content-Type: $content_type$
X-Authenticated-User: %user_name%
X-Client-Hostname: DION
X-Client-Ip: %client_ip%
X-Dozor-Filename: %file_name%
X-Message-Date: %req_date%
$body$5. Перейдите в раздел Чаты и установите переключатель Проверка сообщений чата DLP-системой в положение “включено”.
| Настройки DLP применяются не сразу. Может пройти пара минут прежде чем сообщения начнут поступать в DLP-систему. |
В случае возникновения ошибок проверьте логи контейнера dv_dlp_adapter.