McAfee Data Loss Prevent Full

McAfee ePolicy Orchestrator

The Foundation of McAfee Security Management Platform

ePO server overview

May 3, 2023Introduction to e-Policy Orchestrator2

1 Giới thiệu ePO

2 Tại sao lại lựa chọn ePO

3 Đặc điểm, tính năng cơ bản của ePO

3

SecurityLandscape

ePO là gì?: phần mềm quản lý tâp trung các sản phẩm bảo mật của McAfee, bao gồm:

Anti-virusManagement Tools 1

Network Access ControlManagement Tools

8

Anti-spywareManagement Tools 2

Host Intrusion PreventionManagement Tools

7

Desktop FirewallManagement Tools 3

Data Protection (DLP, Encryption, etc.)Management Tools

6

Policy AuditingManagement Tools 4

Web SecurityManagement Tools5

Tại sao lại lựa chọn ePO


• Khả năng mở rộng• Kết nối với các thành phần trong hệ thống: NT Domain, LDAP, AD• Tự động hóa các giải pháp với API mở: CURL, Python

• Tính năng tự động hóa• Xây dựng quy trình• Tốc độ phàn ứng khi có sự cố ( báo cáo, cảnh báo )• Giảm mệt mỏi khi phân tích sự cố

• Quy chuẩn• Quản lý tập trung• Giảm độ phứ tạp trong quá trình quản lý

• Phù hợp với mọi mô hình doanh nghiệp• Hệ thống phân tán phù hợp với mọi kích thước doanh nghiệp• Kiến trúc linh hoạt

Confidential McAfee Internal Use Only

ePO servers

• Về mặc định ePO bao gồm:



Các thành phần của ePO server

• Apache: cung cấp kết nối giữa McAgent tới AgentHandler, Event server• Tomcat: cung cấp web ui console cho Administrator• MS SQL: cung cấp database server cho ePO



ePO kiến trúc hệ thống



ePO server: các cổng mở

• Port open



Remote Agent: các port mở



Agent: port mở



ePO servers

• Mô hình dữ liệu



Apache services



Event parser service



Tomcat service



Hệ thống quản lý system: SYSTEM TREE

• Quản lý system trong hệ thống bằng mô hình phân nhánh, sử dụng các kỹ thuật sorting và tagging để phân loại các nhóm system

• Đồng bộ dữ liệu các nhóm system với: NT Domain, Active Drectory để lấy các thông tin về máy tính trong AD, NT Domain, sử dụng quyền người dùng trong AD để deploy Agent xuống máy trạm

• Các kỹ thuật tổ chức tree trong system tree như gồm:



ePO: Quản lý Policy

• Policy là gì: là một tập hợp các thiết lập, cấu hình, sau đó được thực thi.

• Policy có tính năng thừa kế từ system group xuống sub system group

• Policy enforce: mặc định 5 phút Agent sẽ request để nhận policy. ePO có cơ chế cache policy.

• Có hai phương pháp áp dụng policy xuống Agent:

– Thừa kế – Giao cho:

• Policy ownership: có thể được gán quyền cho người dùng của ePO.

• Policies có thể export ra file XML và import khi cần thiết.



ePO Task: client và server task

• Client tasks là gì: là một tác vụ, mà ePO server yêu cầu các sản phẩm bảo mật bên phía client thực thi, thông qua Agent

• Khi nào sử dụng client tasks:– Triển khai products: cài đặt hay gỡ bỏ, cập nhật, vá– Tự động chạy các tính năng products đã được cấu hình triển khai

• Server task là gì: là một tác vụ chạy trên máy chủ ePO, chạy theo lịch trình được cấu hình.

• Khi nào cần sử dụng server tasks– Update toàn cục: tự động sao chép các gói tới tất cả các distributed repositories– Deploy các package mới xuống clients: hỗ trợ chế độ Randomization interval giúp giảm

tải cho các hệ thống có nhiều node.– Pull tasks: cập nhật master repository: file DAT release và engine files – Lập lịch Reports hoặc Query– Lập lịch Xóa logs: audit logs, threat logs…



Hệ thống phân tán trong ePO

• SuperAgent: chia sẻ băng thông cho gói tin wakeup calls trong hệ thống– Tiến trình

1. Server gửi gói tin wake-up call đến tất cả các SuperAgent2. SuperAgent quảng bá gói tin wake-up call đến các Agent cùng dải mạng3. Tất cả các Agent được thông báo sẽ trao đổi thông tin với máy chủ4. Chú ý: những agent nằm trong 1 dải mạng không có SuperAgent sẽ không nhận

được wake-up call khi thực hiện SuperAgent calls

• Distributed repository: hệ thống phân tải các kho phần mềm được đặt trên toàn mạng để giảm lưu lượng mạng cho việc cập nhật các phần mềm mới nhất hoặc các bản vá phần mềm hoặc các kết nối mạng chậm. Thành phần này do Apache cung cấp và quản lý

• Remote Agent handler: là một máy chủ được đặt ở điểm mạng khác nhau nhằm tối ưu hóa, cân bằng tải cho việc cập nhật phần mềm, kết nối Agent, Events cho hệ thống mạng lớn hoặc các liên mạng trong hệ thống.



Hệ thống báo cáo và tự động trong ePO

• Automation response: là những hành động yêu cầu sự phản ứng tự động của ePO server với các thành phần đang được quản lý bởi ePO, bao gồm:

– Tạo 1 issue– Chạy các server task– Chạy external commands– Chạy system commands– Tự động gửi email tới các người dùng ePO– Gửi các thông tin SNMP

• Query and Reports:– Query là 1 hành động truy vấn vào Database đưa ra thông tin về hệ thống với những

điều kiện, thông tin người quản trị cần.– Reports là 1 hành động tập hợp các Query tới database đưa ra 1 báo cáo nhằm mục

đích tổng hợp thông tin, từ đó phân tích tình trạng hệ thống, nhằm mục đích phân tích, báo cáo, debugs, tối ưu các policy, kiến trúc hệ thống.



Q&A



McAFee: Data Loss Prevention


1 Giới thiệu giải pháp

2 Kiến trúc tổng quan giải pháp

3 Đặc điểm kỹ thuật giải pháp

4 Tổng kết.


Giới thiệu giải pháp: nguy cơ.


Mất dữ liệu hoặc bị đánh cắp bởi laptop và thiết bị di động

1

Chuyển trái phép các dữ liệu với các thiết bị USB

2

Không thể xác định vị trí và bảo vệ dữ liệu nhạy cảm

3

Hành vi trộm cắp bí mật công ty của người dùng

4

Thiếu nhận thức về nội dung và phối hợp đối phó với sự xâm nhập

6

In và sao chép dữ liệu từ nhân viên

5

Truy cập dữ liệu nhạy cảm từ người dung ko xác định

7


Mô hình hệ thống



Mô hình giải pháp DLP


Secured Corporate LAN Network Egress/DMZ

MTA or Proxy

SPAN Port or Tap

Disconnected

• Network DLP Monitor

• Network DLP Prevent

• Network DLP Discover• Host DLP

• Device Control

• Endpoint Encryption• Host DLP

• Device Control

• Endpoint Encryption

• Encrypted Media

Central Management• ePolicy Orchestrator (ePO)• Network DLP Manager


Đặc điểm cơ bản về giải pháp

• Đảm bảo nội dung nhạy cảm ở khu vực “rest” trước nguy cơ rủi ro

• Bảo vệ dữ liệu khỏi các rủi ro được biết đến trong quá trình truyền

• Thu thập những luồng thông tin đi trong mạng để xây dựng những rule và xây dựng phòng chống trước các nguy cơ rủi ro phát sinh.

• Thi hành các hành động khắc phục hậu quả như tự động mã hóa trong quá trình quét dữ liệu hoặc những hành động mà người dùng thực hiện



DLP làm được gì cho hệ thống.



Cách thức làm việc trong DLP


• Discover and Learn

• Assess Risk

• Define Effective Policies

• Apply Controls

• Monitor, Report and Audit

1

2

3

4

5

1

2

3

4

5

Find all your sensitive data wherever it may be

Ensure secure data handling procedures are in place

Create policies to protect data and test them for effectiveness

Restrict access to authorized people and limit transmission

Ensure successful data security through alerting and incident management


CÁch thức làm việc



Nền tảng DLP


Data-at-Rest

Data-in-Motion

Data-in-Use

Monitor, Notify, Prevent

Enforce, Audit and Respond

Identify, Classify and Protect

Incident and case management

Workflow and reporting

Network DLP Manager

McAfee ePOFull endpoint management and deployment

Network DLP Discover

Endpoint Encryption

Encrypted Media

Network DLPMonitor

Network DLPPrevent

DLP Host

DLP Host

DeviceControl

Encrypted Media


Các thành phần trong giải pháp DLP

• McAfee ePolicy Orchestrator (EPO) - giao diện điều khiển quản lý tập trung cho các giải pháp DLP của McAfee cũng như tất cả các công nghệ bảo mật thiết bị đầu cuối của McAfee.

• McAfee DLP Manager Appliances: các sự kiện quản lý tập trung, khả năng quản lý sự cố, và quản lý của NDLP

• McAfee Host DLP Solution: bao gồm Host DLP và endpoint• McAfee Network DLP Monitor: Phân tích tất cả thông tin liên lạc mạng và phát

hiện ra mối đe dọa cho dữ liệu của bạn. Thiết bị này sẽ nắm bắt tất cả lưu lượng truy cập mạng của bạn để lại, chỉ số này để điều tra trong tương lai và cũng có thể đánh giá nó so với quy định thời gian thực.

• McAfee Network DLP Discover: Đánh giá trung tâm dữ liệu của bạn và tất cả các nguồn dữ liệu khác trên mạng của bạn để phát hiện và phân loại dữ liệu của bạn và đặt nền tảng cho việc bảo vệ tự động

• McAfee Network DLP Prevent: Block/Encrypt cả chiều inbound và outbound dựa trên chính sách được định nghĩa.



Định nghĩa dữ liệu

• Data at Rest: Là một thuật ngữ đề cập dữ liệu lưu trữ vật lý tại databases, data warehouses, spreadsheets, archives, tapes, off-site backups, mobile devices etc

• Data in Use: là một thuật ngữ đề cập đến dữ liệu hoạt động được lưu trữ trong một trạng thái kỹ thuật số không liên tục thường trong bộ nhớ máy tính truy cập ngẫu nhiên (RAM), bộ nhớ cache của CPU, hoặc CPU registers. Ngoài ra còn có Cloud Software-as-a-Service (SaaS)

• Data in Motion: là một thuật ngữ đề cập đến dữ liệu được truyền tải. Đó là quá trình chuyển giao dữ liệu giữa tất cả các phiên bản của tập tin gốc, đặc biệt là khi dữ liệu có thể được vận chuyển trên Internet. Đây là dữ liệu được thoát mạng thông qua email, web, hoặc các giao thức Internet khác.



Giải pháp DLP cho các loại dữ liệu

• Data in use: chống rò rỉ dữ liệu qua email, bài viết web, phương tiện truyền thông di động, ảnh chụp màn hình, in ấn, sao chép / dán và chuyển mạng.

• Ba phương pháp chính định nghĩa dữ liệu nhạy cảm:1. Content based tagging: Dựa vào nội dung gắn thẻ sẽ kiểm tra dữ liệu và xác định

xem nó phù hợp với một hoặc nhiều quy định2. Location base tagging: sẽ xác định dữ liệu là "bảo vệ" (và áp dụng một tag) nếu

dữ liệu có nguồn gốc từ một nguồn mà đã được xác định bởi người quản trị như là một "nguồn được bảo vệ”. Ví dụ: \\fileserver\baocaothue. Vì vậy, khi người dùng truy cập các tập tin, hoặc có một bản sao của nó, nó sẽ được đánh dấu bởi DLP.

3. Application based tagging: ứng dụng dựa trên việc gắn thẻ sẽ theo dõi các I / O và các thẻ dữ liệu từ các ứng dụng được chỉ định bởi người quản trị.



Giải pháp cho các loại dữ liệu: Data in use



HDLP – DLP Endpoint



HDLP modules/handler

• Clipboard service• Clound Protection handlers• Devices block• Email storage discovery• File copy handler• File system discovery• Firefox handler


• Internet explorer Add-on• Lotus notes plugins• Outlook add-ins• Portable devices handler• Printer drivers and

Application addins: Ms Offices

• Report services• Evidence services


Luồng dữ liệu trong Network DLP



Network DLP



Evidence và Quarantine, Incidents

• Evidence folder storage folder: ePO

• Quarantine: ePO


Technology

McAfee Data Loss Prevent Full