¶ Интеграция с DLP-системой
| DLP поддерживается начиная с версии 2025.09-p3. |
DLP-система анализирует содержимое сообщений и передаваемых файлов, определяет наличие чувствительных данных по заданным правилам и шаблонам и, в зависимости от политики, разрешает передачу, блокирует её или фиксирует событие в журнале безопасности.
В данной статье описан порядок настройки интеграции DION с внешней DLP-системой. Приведены необходимые параметры конфигурации, команды для включения DLP-сервисов, а также действия в панели администрирования DION для активации проверки сообщений чатов.
¶ Настройка интеграции
Перед настройкой интеграции проверьте версию DION. DLP поддерживается начиная с версии 2025.09-p3:
cat /home/dion/on_dion/version.txt1. Внесите необходимые параметры в файл /home/dion/on_dion/inventories/dion.<YourDomain>.com/group_vars/all/vars.yaml следующим образом:
- dlp_enabled — поддержка DLP (Возможные значения: true/false),
- dlp_host — адрес DLP-сервера,
- dlp_port — порт DLP-сервера,
- dlp_full_path — путь на DLP-сервере для глубокой проверки,
- dlp_fast_path — путь на DLP-сервере для быстрой проверки,
- dlp_template — шаблон сообщения, отправляемого в DLP.
Пример заполнения vars.yaml:
dlp_enabled: true
dlp_host: 10.0.0.105
dlp_port: 1344
dlp_full_path: "/icap/full"
dlp_fast_path: "/icap/fast"
dlp_template: |
REQMOD $icap_url$ ICAP/1.0
Host: $icap_host$
Allow: $icap_allow$
Encapsulated: $icap_encapsulated$
$http_method$ $http_url$ HTTP/1.1
Content-Type: $content_type$
X-Dozor-Mapping-Schema: DION
X-Dozor-Src-Email: %sender_email%
X-Dozor-Dst-Im: %chat_name%
X-Dozor-Chat-Id: %chat_id%
X-Dozor-Received-Date: %send_date%
X-Dozor-Filename: $file_name$
Content-Length: $body_length$
$body$В dlp_template указывается стандартная для HTTP-запроса информация:
- стартовая строка
- заголовки
- тело
Параметры в шаблоне могут быть обрамленные символами "%" и "$", без обрамления.
- Параметры без обрамления являются константными и встраиваются в ICAP-запрос в том виде, в котором записаны.
- Параметры, обрамленные в "$" являются обязательными для корректного формирования ICAP-запроса.
- Параметры, обрамленные в "%" являются опциональными и могут служить дополнительной проверкой сообщения DLP-системой.
Доступные параметры:
| Название | Описание |
|---|---|
| Обрамленные в % | |
| message_id | Идентификатор сообщения |
| sender_user_id | Идентификатор пользователя, отправившего сообщение |
| sender_email | Почта отправителя сообщения (если присутствует) |
| chat_id | Идентификатор чата |
| chat_name | Название чата |
| send_date | Дата и время отправки сообщения |
| Обрамленные в $ | |
| file_name | Название файла |
| http_method | HTTP-метод |
| http_url | Адрес, на который шел HTTP-запрос |
| body_length | Размер тела в байтах |
| content_type | Тип контента (для файлов) |
| body | Содержимое контента (файл, текст сообщения) |
Имена заголовков указываются в формате ICAP.
2. В каталоге /home/dion/on_dion/ выполните команду, чтобы включить функции DLP:
./dion.sh -t dv_dlp_adapter,dc_dlp_service
|
ВНИМАНИЕ: Если DLP-система была включена, повторное развёртывание с параметром dlp_enabled=false не приведёт к отключению интеграции с DLP. Отключение интеграции с DLP производится в панели администрирования. |
3. В панели администрирования DION перейдите в нужную организацию, затем откройте Общие настройки → Проверка DLP → Редактировать параметры.
4. В окне Параметры подключения к DLP системе заполните необходимые поля и укажите произвольный шаблон ICAP-запросов (данный шаг необходим, чтобы включить работу DLP, однако внесённые параметры шаблона будут проигнорированы).
Для ICAP-шаблона можно использовать следующую структуру:
$http_method$ $http_url$ HTTP/1.1
Content-Length: $body_length$
Content-Type: $content_type$
X-Authenticated-User: %user_name%
X-Client-Hostname: DION
X-Client-Ip: %client_ip%
X-Dozor-Filename: %file_name%
X-Message-Date: %req_date%
$body$5. Перейдите в раздел Чаты и установите переключатель Проверка сообщений чата DLP-системой в положение “включено”.
| Настройки DLP применяются не сразу. Может пройти пара минут прежде чем сообщения начнут поступать в DLP-систему. |
В случае возникновения ошибок проверьте логи контейнера dv_dlp_adapter.