¶ Интеграция с DLP-системой
| DLP поддерживается начиная с версии 2025.09-p3. |
DLP-система анализирует содержимое сообщений и передаваемых файлов, определяет наличие чувствительных данных по заданным правилам и шаблонам и, в зависимости от политики, разрешает передачу, блокирует её или фиксирует событие в журнале безопасности.
В данной статье описан порядок настройки интеграции DION с внешней DLP-системой. Приведены необходимые параметры конфигурации, команды для включения DLP-сервисов, а также действия в панели администрирования DION для активации проверки сообщений чатов.
¶ Настройка интеграции
1. Внесите необходимые параметры в файл /home/dion/on_dion/inventories/dion.<YourDomain>.com/group_vars/all/vars.yaml следующим образом:
- dlp_enabled — поддержка DLP (Возможные значения: true/false),
- dlp_host — адрес DLP-сервера,
- dlp_port — порт DLP-сервера,
- dlp_full_path — путь на DLP-сервере для глубокой проверки,
- dlp_fast_path — путь на DLP-сервере для быстрой проверки,
- dlp_template — шаблон сообщения, отправляемого в DLP.
Пример заполнения vars.yaml:
dlp_enabled: true
dlp_host: 10.0.0.105
dlp_port: 2344
dlp_full_path: "/icap/spool"
dlp_fast_path: "/icap/spool"
dlp_template: |
REQMOD $icap_url$ ICAP/1.0
Host: $icap_host$
Allow: $icap_allow$
Encapsulated: $icap_encapsulated$
$http_method$ $http_url$ HTTP/1.1
Content-Type: $content_type$
X-Client-Ip: %sender_user_ip%
X-Server-IP: $server_ip$
X-Dozor-Mapping-Schema: DION
X-Dozor-Application: DION
X-Dozor-Src-Email: %sender_email%
X-Dozor-Dst-Im: %chat_name%
X-Dozor-Chat-Id: %chat_id%
X-Dozor-Received-Date: %send_date%
X-Dozor-Filename: $file_name$
$body$При интеграции с Solar Dozor DLP следует указать
X-Dozor-Mapping-Schema: DION
X-Dozor-Application: DION
В dlp_template указывается стандартная для HTTP-запроса информация:
- стартовая строка
- заголовки
- тело
Параметры в шаблоне могут быть обрамленные символами "%" и "$", без обрамления.
- Параметры без обрамления являются константными и встраиваются в ICAP-запрос в том виде, в котором записаны.
- Параметры, обрамленные в "$" являются обязательными для корректного формирования ICAP-запроса.
- Параметры, обрамленные в "%" являются опциональными и могут служить дополнительной проверкой сообщения DLP-системой.
Доступные параметры:
| Название | Описание |
|---|---|
| %message_id% | Идентификатор сообщения |
| %sender_user_id% | Идентификатор пользователя, отправившего сообщение |
| %sender_email% | Почта отправителя сообщения (если присутствует) |
| %chat_id% | Идентификатор чата |
| %chat_name% | Название чата |
| %send_date% | Дата и время отправки сообщения |
| %sender_user_ip% | IP-адрес пользователя, который отправил сообщение |
| $file_name$ | Название файла |
| $http_method$ | HTTP-метод |
| $http_url$ | Адрес, на который шел HTTP-запрос |
| $body_length$ | Размер тела в байтах |
| $content_type$ | Тип контента (для файлов) |
| $body$ | Содержимое контента (файл, текст сообщения) |
| $icap_url$ | URL запроса ICAP |
| $icap_host$ | Значение заголовка host для ICAP-запроса |
| $icap_allow$ | Допустимый ответ от ICAP |
| $icap_encapsulated$ | Указывает, где начинаются части HTTP-сообщения внутри ICAP пакета |
| $http_host$ | Адрес сервера DION |
| $text_content_disposition$ | Указывает способ обработки передаваемого содержимого |
| $file_content_disposition$ | Указывает способ обработки передаваемого содержимого |
| $server_ip$ | IP-адрес контейнера dlp-адаптера |
Имена заголовков указываются в формате ICAP.
2. В каталоге /home/dion/on_dion/ выполните команду, чтобы включить функции DLP:
./dion.sh -t dv_dlp_adapter,dc_dlp_service
|
ВНИМАНИЕ: Если DLP-система была включена, повторное развёртывание с параметром dlp_enabled=false не приведёт к отключению интеграции с DLP. Отключение интеграции с DLP производится в панели администрирования. |
3. В панели администрирования DION перейдите в нужную организацию, затем откройте Общие настройки → Проверка DLP → Редактировать параметры.
4. В окне Параметры подключения к DLP системе заполните необходимые поля и укажите произвольный шаблон ICAP-запросов (данный шаг необходим, чтобы включить работу DLP, однако внесённые параметры шаблона будут проигнорированы).
Для ICAP-шаблона можно использовать следующую структуру:
$http_method$ $http_url$ HTTP/1.1
$body$5. Перейдите в раздел Чаты и установите переключатель Проверка сообщений чата DLP-системой в положение “включено”.
| Настройки DLP применяются не сразу. Может пройти пара минут прежде чем сообщения начнут поступать в DLP-систему. |
В случае возникновения ошибок проверьте логи контейнера dv_dlp_adapter.