DeviceLock EtherSensor是DeviceLockDLP的一个可选网络驻留服务器模块,是一个高性能的网络事件和消息提取系统,使组织能够实时地对企业网络流量进行全面的监控、捕获和分析,目的是重建、过滤和收集传输。TTD应用程序级数据对象(消息、文件、日志等)、它们的元数据,以及记录相关事件。EtherSensor收集的消息、元数据和日志可以发送到DeviceLock DLP的中央日志数据库,以及任何安全操作中心子系统,包括SIEM、Ediscovery、UEBA等。DeviceLock EtherSensor在专用或虚拟化Windows服务器上运行时,支持20 Gbps+通道中的流式流量处理。Ethersensor只占用了很小的服务器空间,同时确保了最低的资源消耗和所需的网络通信监控水平。
通过在服务器模式下利用企业网络流量,DeviceLock EtherSensor可以捕获和记录网络事件,以及重建和收集数千个互联网服务的消息和文件,而不需要使用DeviceLock代理,以便通过电子邮件、网络邮件、社交网络、即时通讯监控内部和外部数据交换。员工、求职服务、博客和论坛。企业用户通过HTTP和FTP协议传输的文件以及上传到云存储的文件也可以被捕获和记录。收集到的事件和数据存储在DeviceLock DLP中央日志数据库中,以便进一步分析,其中包括使用DLP套件的DeviceLock Search Server组件进行索引和全文搜索。
Hybrid DeviceLock DLP解决方案的优势
协调使用DeviceLock代理在其主机上实施全功能预防性DLP控制,并结合一个网络驻留的DeviceLock EtherSensor来监视、捕获和分析公司办公室中的所有流量,使组织能够实施一个有效的混合DLP解决方案,包括以下额外的好处:
两个互补的DLP架构(端点代理和网络驻留服务器)的结合使IT安全部门能够设计和实施更灵活的DLP策略,并为各种数据泄漏预防用例场景提供额外的检测和保护选项。反过来,这种双层保护优化了对公司动态数据的网络DLP控制,提高了基于DeviceLock DLP的解决方案的性能和可靠性。
Hybrid DeviceLock DLP解决方案解决了纯基于端点的DLP系统的固有局限性——无法监控、分析和记录企业网络内使用的非托管计算机和移动设备的网络流量,而这些网络流量无法由常驻端点DLP代理进行保护。
同时,混合式DLP架构通过在端点和网络驻留的DLP组件之间动态拆分CPU密集型流量监控和不同网络协议和服务的数据提取,减少了个人计算机上的计算负载。例如,当主机连接到企业网络内时,DeviceLock代理自动从脱机切换到联机DLP策略的能力还动态地将此计算机的监视和日志网络通信负载从其驻留DeviceLock代理切换到安装了网络的DeviceLock EtherSensor中。
由端点DLP代理和网络DLP服务器捕获的网络通信中的事件和数据填充的统一中央审计和影子日志数据库允许审查更多的数据泄漏通道,并用于检测、跟踪和缓解更广泛的公司数据安全策略违规。
DeviceLock EtherSensor是如何工作的?
DeviceLock EtherSensor执行以下三项主要任务:
被动拦截(捕获)来自多个网络接口或PCAP文件的原始数据链路层(L2)网络流量,数据包不丢失。此过程不涉及DeviceLock代理。
在L2-L7 OSI模型级别分析捕获的流量,提取应用程序级对象(消息、文件、元数据、事件等),并根据中央管理控制台可配置的策略对其进行筛选。过滤策略可以包括上下文控制(用于网络级参数、对象大小和类型、数据流方向等)和内容感知规则(用于数据和元数据,例如消息、文件、表单、文章、主题、文件名等)。
将处理过的数据和事件日志存储在DeviceLock Enterprise Server数据库中。
设备锁定以太网传感器数据源:
1.来自活动网络设备的网络抽头或以太网端口的网络流量,其中配置了来自特定端口的网络流量复制(镜像,rx和tx数据包)。同样,当解密的SSL/TLS流量副本发送到DeviceLock EtherSensor的网络接口时,DeviceLock EtherSensor可以接收来自各种外部源(如SSL Splitter和下一代防火墙(如Palo Alto Networks, FortiGate)的网络流量。
2.从能够解密HTTPS或FTPS会话的外部代理服务器(如SSQUID, Blue Coat Proxy SG, Cisco WSA, Webwasher, FortiGate, Entensys UserGate等)通过ICAP协议接收的纯HTTP和FTP流量。
3.PCAP文件可以用于处理存储到本地目录的pcapng和tcpdump/libpcap格式的流量。
4.本地和远程Lotus Notes事务日志目录中的数据可由DeviceLockEtherSensor复制,以监视、重建和分析来自Lotus Notes系统的消息。同时,可以实时捕获和处理未加密的Lotus Notes流量,以提取Lotus Notes事件、消息、日历事件等。
5.具有Edge角色的MicrosoftLync(Microsoft Skype for Business)服务器的自定义插件可以使用ICAP协议将LYNC消息复制到DeviceLockEtherSensor以进行监视、捕获和处理。
DeviceLock EtherSensor的基本特点是不干扰被监控网络的流量传输。以太网传感器被动捕获流量,因此它不会以任何方式影响网络基础设施。其正常操作的唯一要求是允许使用镜像端口或网络嗅探器访问网络流量。DeviceLock EtherSensor独立于DeviceLock代理工作,在检测和提取数千个互联网服务的数据时,确保对高达20 Gbps带宽的网络流量进行全面监控。为了进一步降低处理费用,从网络接口和PCAP文件捕获的原始流量数据可以通过内置的Berkeley Packet Filter模块进行预过滤,以从进一步分析中排除“垃圾”流量和不需要的数据。
由DeviceLock EtherSensor控制的网络通信
DeviceLock EtherSensor监视、捕获原始流量,并从以下网络通信中提取应用程序级数据:
社交媒体:来自社交媒体通信的各种数据(认证凭证、短信、评论等):社交网络,包括Facebook, Instagram, Twitter, LinkedIn, MySpace, Blogger.com,LiveJournal.com, VK.com等;基于phpbb-, ipb-, vbulletin-, and mybb-based的论坛;基于短信/彩信的网络信息服务(包括500多个域)。
电子邮件:通过SMTP、POP3和IMAP4协议传输的电子邮件和附件。
Webmail:来自以下Webmail服务的传出和传入邮件和附件:g Gmail, Yahoo Mail, Hotmail (Outlook.com), Mail.ru(超过40个域),以及基于SquirrelMail核心的所有服务。
IBM(Lotus)Notes:Lotus Notes事件和数据,包括消息和附件、日历事件等。对于加密通信,从Lotus Notes事务日志中提取消息。这些方法不会影响LotusNotes的操作。
即时消息:通过Skype即时消息服务发送和接收的消息和文件(包括MS Lync/Skype for Business),XMPP/Jabber, IRC,MSN, Yahoo和OSCAR协议。
文件传输:通过HTTP, FTP,SMB/CIFS和WebDAV协议传输的文件。