Configurer les Capteurs de DLP

Pour détecter des données qui correspondent à des catégories de contenu spécifiques, vous pouvez créer des capteurs DLP. Vous appliquez un capteur DLP à une ou plusieurs stratégies afin de surveiller ou d'imposer l'adhérence à la stratégie de sécurité des informations de votre entreprise. Chaque capteur DLP comporte des règles, actions et paramètres.

Lorsque vous commencez à utiliser le service Data Loss Prevention, nous vous recommandons de configurer le capteur DLP de sorte à autoriser le contenu qui correspond aux règles de contrôle de contenu sélectionnées et envoyer un message de journal lorsqu'une violation DLP est détectée. Ceci vous permet de surveiller l'activité sur votre réseau avant de configurer la DLP de sorte à abandonner, bloquer ou mettre en quarantaine le contenu qui correspond aux règles configurées dans le capteur DLP. Pour plus d'informations, consultez Surveiller l'Activité de DLP.

DLP et Performance du Périphérique

Lorsqu'il est activé, le service Data Loss Prevention ajoute plus de charge d'analyse et occupe plus d'espace mémoire sur votre appareil. Certaines règles DLP sont très gourmandes en ressources. L'activation de plusieurs capteurs et règles peut nuire visiblement à la performance du périphérique. Chaque capteur DLP nécessite plus d'espace mémoire, et le nombre de règles DLP configurées sur chaque capteur influence également l'espace mémoire utilisé par l'appareil. Sélectionnez uniquement les règles appropriées pour votre région et l'utilisation applicable à votre secteur d'activité. Ceci aidera également à réduire les éventuels faux positifs.

Sur le périphérique XTM 25/26, WatchGuard vous recommande de n'utiliser qu'un ou deux capteurs, et chaque capteur ne doit pas contenir plus de 6 règles DLP.

Règles

Pour chaque capteur, vous sélectionnez les règles de contrôle de contenu prédéfinies ou personnalisées à activer. Une règle de contrôle du contenu est un ensemble de conditions qui décrit le contenu que la règle peut identifier dans un fichier. Les règles de contrôle de contenu sont basées sur l'ensemble de signatures DLP et sont mises à jour au fil du temps avec la mise à jour des signatures DLP. Les règles personnalisées sont des règles que vous créez pour rechercher des expressions spécifiques à votre entreprise.

Chaque règle de contrôle de contenu a quatre propriétés.

Nom

Pour chaque règle, le nom de règle décrit brièvement le type de données que la règle identifie. Certaines règles recherchent un seul type de données, comme les numéros de téléphone ou les numéros de sécurité sociale. D'autres règles recherchent une combinaison de données liées, comme les numéros de carte de crédit à proximité d'informations personnelles.

Région

Chaque règle s'applique à une région spécifique. Certains types de données ne sont applicables qu'à une région spécifique. D'autres types de données sont formatés de façon différente dans d'autres régions. Par exemple, plusieurs règles régissent le permis de conduire dans différentes régions. Si une règle peut identifier le type de données indiqué pour plusieurs régions, la région est définie sur Global. Vous pouvez filtrer les listes de règles par région.

Catégorie

Pour chaque règle, la catégorie décrit le type général de données que la règle peut identifier.

Quantité

Chaque règle de contrôle de contenu a une valeur de quantité associée, qui est une mesure du nombre pondéré de correspondances qu'une règle doit trouver dans un objet analysé afin de déclencher une violation DLP. Vous pouvez rechercher les valeurs de quantité de chaque règle sur le Portail de Sécurité WatchGuard.

Pour plus d'informations, consultez Consulter les Règles de DLP sur le Portail de Sécurité.

Vous ne pouvez pas modifier la quantité par défaut de correspondances des règles DLP dans votre configuration.

Actions

Pour chaque capteur, vous définissez les actions à exécuter si le capteur détecte du contenu qui correspond aux règles activées dans le capteur. Vous spécifiez une action à exécuter pour le contenu détecté dans le trafic d'e-mails, et une autre action à exécuter pour le contenu détecté dans le trafic hors e-mail.

Actions du trafic d'e-mails :

  • Autoriser — Autorise l'e-mail
  • Verrouiller — Verrouille la pièce jointe. Un fichier verrouillé ne peut pas être ouvert facilement par l'utilisateur. Seul l'administrateur est en mesure de déverrouiller le fichier.
  • Supprimer — Supprime la pièce-jointe et envoie le reste du message au destinataire. Remplace la pièce jointe supprimée par le message de refus configuré dans le proxy SMTP.
  • Mettre en quarantaine — Envoie le message à Quarantine Server. Supprime la partie du message (corps du message ou fichier joint) qui a déclenché la violation DLP et envoie le message modifié au destinataire. La partie supprimée du message est remplacée par le message de refus configuré dans le proxy SMTP. Si Quarantine Server ne peut pas être contacté, ce message est provisoirement rejeté.
  • Refuser — Refuse la requête et abandonne la connexion. Une notification est envoyée à la source du contenu.
  • Abandonner — Refuse la requête et abandonne la connexion. Aucune notification n'est envoyée à la source du contenu.
  • Bloquer — Refuse la requête, abandonne la connexion et ajoute l'adresse IP de l'expéditeur à la liste des Sites Bloqués.

Les destinataires ne peuvent pas voir ou gérer les messages mis en quarantaine à cause d'une violation DLP. Seul l'administrateur peut gérer les messages mis en quarantaine par la DLP. Pour plus d'informations, consultez Gérer les Messages en Quarantaine.

Actions du trafic hors e-mail :

  • Autoriser — Autorise la connexion
  • Abandonner — Refuse la requête et abandonne la connexion. Aucune information n'est envoyée à la source du contenu.
  • Bloquer — Refuse la requête, abandonne la connexion et ajoute l'adresse IP de la source du contenu à la liste des Sites Bloqués.

Par défaut, un capteur DLP comporte une action DLP qui s'applique au contenu analysé pour toutes les sources et destinations. Vous pouvez configurer plusieurs actions pour le même capteur DLP. Ceci vous permet de configurer différentes actions en fonction de la source ou destination du trafic. Pour chaque action, vous pouvez également configurer s'il faut ou non générer un message de journal et s'il faut ou non envoyer une alarme lorsque le capteur détecte un contenu qui correspond aux règles activées dans le capteur.

Paramètres

Dans les paramètres DLP, vous pouvez définir la limite d'analyse et configurer les actions à exécuter si le contenu ne peut être analysé pour l'une des raisons suivantes :

  • le contenu dépasse la limite d'analyse
  • une erreur d'analyse se produit
  • le contenu est protégé par un mot de passe

Pour chacune de ces trois conditions, vous pouvez définir différentes actions pour le contenu détecté dans le trafic d'e-mails et le trafic hors e-mail.

Types de capteur

La DLP comporte deux types de capteur : capteurs intégrés et capteurs définis par l'utilisateur. Les capteurs intégrés activent les règles de contenu liées à la conformité aux normes relatives à la sécurité des informations HIPAA (Health Insurance Portability and Accountability Act) et PCI (Payment Card Industry). Les capteurs intégrés sont configurés de sorte à autoriser la totalité du trafic et à créer un message de journal à chaque fois qu'ils détectent un contenu qui correspond aux règles de contrôle de contenu. Les capteurs intégrés ne bloquent pas de contenu même si le contenu ne peut pas être analysé.

Les deux capteurs intégrés sont :

  • Capteur d'audit HIPAA — Détecte le contenu lié à la conformité aux normes de sécurité HIPAA
  • Capteur d'audit PCI — Détecte le contenu lié à la conformité aux normes de sécurité PCI

Vous ne pouvez pas modifier ou supprimer les capteurs intégrés, mais vous pouvez les cloner et modifier les clones.

Tout capteur que vous créez est un capteur défini par l'utilisateur. Pour créer un capteur défini par l'utilisateur, vous pouvez cloner un capteur existant ou en ajouter un nouveau. Lorsque vous configurez un capteur, vous sélectionnez les règles de contrôle de contenu, les actions et les paramètres personnalisés pertinents pour votre entreprise.

Ajouter un Capteur

Lorsque vous ajoutez un capteur DLP, l'Assistant Data Loss Prevention Wizard vous aide à créer le capteur et l'applique aux stratégies de proxy. L'Assistant présente différentes pages, conformément aux stratégies de proxy que vous avez peut-être déjà dans votre configuration. Si vous n'en avez pas, l'Assistant vous aide à créer une ou plusieurs stratégies de proxy.

Pour ajouter un capteur DLP :

  1. Sélectionnez services d'Abonnement > Data Loss Prevention.
    La boîte de dialogue Data Loss Prevention s'affiche.
  2. Sous l'onglet Capteurs, cliquez sur Ajouter.
    L'assistant Data Loss Prevention Wizard démarre.

Capture d'écran de la page d'Accueil de l'Assistant Data Loss Prevention Wizard
Assistant DLP Sensor Wizard dans Fireware Web UI

Capture d'écran de la boîte de dialogue d'accueil de l'Assistant Data Loss Prevention Wizard
Assistant DLP Sensor Wizard dans Policy Manager

  1. Dans la zone de texte Nom, modifiez le nom du capteur.
  2. (Facultatif) Dans la zone de texte Description, saisissez une description de ce capteur.
  3. Cliquez sur Suivant.
    Une liste de stratégies de proxy FTP, SMTP, HTTP, et HTTPS configurées s'affiche. Si votre configuration ne comporte pas de stratégies qui prennent en charge la DLP, l'assistant saute cette étape.

Capture d'écran de la page Stratégies de l'Assistant Data Loss Prevention Wizard
Stratégies DLP dans Fireware Web UI

Capture d'écran de la boîte de dialogue des stratégies de l'Assistant Data Loss Prevention Wizard
Stratégies DLP dans Policy Manager

  1. Pour activer Data Loss Prevention pour une stratégie, cochez la case adjacente à n'importe quelle stratégie pour laquelle Data Loss Prevention n'est pas déjà activé.
  2. Cliquez sur Suivant.
    Si votre configuration ne comporte pas déjà une stratégie de proxy HTTP, FTP ou SMTP, l'assistant demande si vous voulez créer de nouvelles stratégies de proxy. Si votre configuration comporte déjà tous les types de stratégies de proxy pris en charge par la DLP, l'assistant saute cette étape.

Capture d'écran de la page Créer des nouvelles stratégies de l'Assistant Data Loss Prevention Wizard
Créer de nouvelles stratégies DLP dans Fireware Web UI

Capture d'écran de l'étape de création de nouvelles stratégies de proxy de l'Assistant Data Loss Prevention Wizard
Créer de nouvelles stratégies DLP dans Policy Manager

  1. Cochez la case adjacente à chaque stratégie que vous voulez que l'assistant crée. Il est impossible d'utiliser l'assistant pour ajouter une stratégie de proxy à un type déjà existant.
  2. Cliquez sur Suivant.
    La liste des règles de contrôle de contenu s'affiche.

Capture d'écran de la page Règles de l'Assistant Data Loss Prevention Wizard
Règles DLP dans Fireware Web UI


Règles DLP dans Policy Manager

  1. Dans la liste des règles, cochez la case de chaque règle de contrôle de contenu ou règle personnalisée que vous voulez activer pour ce capteur.
    Il existe plusieurs façons de modifier l'affichage de la liste afin de trouver les règles que vous voulez activer :
    • Pour filtrer la liste, à partir de la liste déroulante Filtrer par, sélectionnez Toutes les règles de contrôle de contenu pour afficher la liste complète, ou Règles configurées pour afficher uniquement les règles configurées pour ce capteur.
    • Pour rechercher les règles d'une région donnée, sélectionnez la région en question dans la liste déroulante Région.
    • Pour rechercher une règle qui comporte un texte spécifique dans la description Nom, Région ou Catégorie, saisissez le texte concerné dans la zone de texte Recherche.
    • Cliquez sur une en-tête de colonne pour trier la liste en fonction des contenus de cette colonne.
  1. Cliquez sur Suivant.
    Les paramètres Actions s'affichent.

Capture d'écran de la page Actions de l'Assistant Data Loss Prevention Wizard
Actions DLP dans Fireware Web UI

Capture d'écran des paramètres d'actions de l'Assistant Data Loss Prevention Wizard
Actions DLP dans Policy Manager

  1. Dans la liste déroulante Lorsque du contenu est détecté dans un e-mail, sélectionnez l'action à exécuter lorsque le contenu d'un e-mail correspond aux règles activées dans ce capteur.
  2. Dans la liste déroulante Lorsque du contenu est détecté dans un trafic hors e-mail, sélectionnez l'action à exécuter lorsque le contenu d'un trafic hors e-mail correspond aux règles activées dans ce capteur.
  3. Pour déclencher une alarme lorsque ce capteur détecte un contenu, cochez la case Alarme.
  4. Pour créer des messages de journal lorsque ce capteur détecte un contenu, cochez la case Journal.
  5. Cliquez sur Suivant.
  6. Cliquez sur Terminer pour fermer l'assistant.
    Le nouveau capteur s'affiche sous l'onglet Capteurs de la boîte de dialogue Data Loss Prevention.

Cloner un Capteur

Pour faire une copie d'un capteur existant, clonez-le. Ceci permet de créer un autre capteur défini par l'utilisateur, capteur que vous pouvez modifier.

Pour cloner un capteur :

  1. Sélectionnez le capteur à copier.
  2. Cliquez sur Cloner.
  3. Modifiez le capteur comme indiqué dans les sections suivantes.

Modifier un Capteur

Vous pouvez modifier tout capteur créé par l'utilisateur. Pour modifier un capteur :

  1. Sélectionnez services d'Abonnement > Data Loss Prevention.

    La boîte de dialogue Data Loss Prevention s'affiche.
  2. Sous l'onglet Capteurs, sélectionnez un capteur défini par l'utilisateur, et cliquez sur Modifier.
    La boîte de dialogue Modifier le Capteur Data Loss Prevention s'affiche.

Capture d'écran de l'onglet Règles de Data Loss Prevention
Propriétés du Capteur DLP dans Fireware Web UI

Capture d'écran de la boîte de dialogue Modifier le Capteur Data Loss Prevention, onglet Règles
Propriétés du Capteur DLP dans Policy Manager

  1. Dans l'onglet Règles, cochez la case correspondant aux règles de contrôle de contenu ou aux règles personnalisées que vous souhaitez activer pour ce capteur.
    Vous pouvez également décocher la case d'une règle activée pour la désactiver.
    Pour modifier l'affichage de la liste afin de rechercher les règles à activer :
    • Pour filtrer la liste, à partir de la liste déroulante Filtrer par, sélectionnez Toutes les règles de contrôle de contenu pour afficher la liste complète, ou Règles activées pour n'afficher que les règles activées pour ce capteur.
    • Pour rechercher les règles d'une région donnée, sélectionnez la région en question dans la liste déroulante Région.
    • Pour rechercher une règle qui comporte un texte spécifique dans la description Nom, Région ou Catégorie, saisissez le texte concerné dans la zone de texte Recherche.
    • Cliquez sur une en-tête de colonne pour trier la liste en fonction des contenus de cette colonne.
  2. Modifiez les actions et les paramètres du capteur comme indiqué dans les sections suivantes.

Ajouter ou Modifier des Actions de Capteur

La première action d'un nouveau capteur s'applique à la totalité du trafic de n'importe quelle source à n'importe quelle destination. Lorsque vous modifiez et ajoutez des actions de capteur, vous pouvez ajouter plusieurs actions qui s'appliquent chacune au trafic provenant de différentes sources ou allant à différentes destinations. Pour chaque action, vous pouvez définir la source et la destination à l'un des types suivants :

  • IP de l'Hôte — Une seule adresse IP
  • IP réseau — Un sous-réseau d'IP réseau
  • Adresse e-mail — Une adresse e-mail comme [email protected] ou *@exemple.com
  • Utilisateur authentifié — Le nom d'utilisateur d'un utilisateur authentifié
  • URL — N'importe quelle adresse URL
  • Tout — N'importe quelle source ou destination. Une origine ou destination Tout figure comme * dans la liste Actions

Pour ajouter ou modifier des actions lorsque vous modifiez un capteur :

  1. Sélectionnez l'onglet Actions.
    La liste des actions activées pour ce capteur s'affiche.

Capture d'écran de l'onglet Actions de la page Modifier Data Loss Prevention
Actions DLP dans Fireware Web UI

Capture d'écran de la boîte de dialogue Modifier le Capteur Data Loss Prevention, onglet Actions
Actions DLP dans Policy Manager

  1. Pour ajouter une nouvelle action, cliquez sur Ajouter.
    Ou, pour modifier une action existante, sélectionnez l'action concernée et cliquez sur Modifier.

Capture d'écran de la boîte de dialogue Ajouter des Propriétés d'Action au Capteur
Propriétés d'Action du Capteur DLP dans Fireware Web UI

Screen shot of the DLP Sensor Action dialog box
Propriétés d'Action du Capteur DLP dans Policy Manager

  1. Dans la liste déroulante Source, sélectionnez le type d'adresse source à définir pour cette action.
  2. Si vous sélectionnez une source autre que Tout, saisissez l'adresse source dans la zone de texte adjacente à la liste déroulante Source.
  3. Dans la liste déroulante Destination, sélectionnez le type d'adresse de destination à définir pour cette action.
  4. Si vous sélectionnez une destination autre que Tout, saisissez l'adresse de destination dans la zone de texte adjacente à la liste déroulante Destination.
  5. Dans la liste déroulante Lorsque du contenu est détecté dans un e-mail, sélectionnez l'action à exécuter lorsque le contenu d'un e-mail correspond aux règles activées dans ce capteur.
  6. Dans la liste déroulante Lorsque du contenu est détecté dans un trafic hors e-mail, sélectionnez l'action à exécuter lorsque le contenu d'un trafic hors e-mail correspond aux règles activées dans ce capteur.
  7. Pour déclencher une alarme lorsque ce capteur détecte un contenu correspondant, cochez la case Alarme.
  8. Pour créer des messages de journal lorsque ce capteur détecte un contenu correspondant, cochez la case Journal.
  9. Cliquez sur OK.
    La nouvelle action s'affiche dans l'onglet Actions du capteur.

Réorganiser les Actions du Capteur

Si vous ajoutez plus d'une action à un capteur DLP, DLP utilise les actions par ordre de priorité de haut en bas. Si vous ajoutez plusieurs actions de capteur, assurez-vous que l'action applicable à une source ou destination plus spécifique s'affiche plus haut dans la liste qu'une action applicable à une source ou destination moins spécifique. Par exemple, si vous utilisez l'action DLP qui s'applique au trafic pour toutes les sources et destinations, assurez-vous que les autres actions que vous ajoutez apparaissent plus haut sur la liste.

Pour modifier l'ordre des actions dans un capteur DLP :

  1. Sélectionnez l'onglet Actions.
  2. Cliquez sur l'Origine ou la Destination de l'action à déplacer.
  3. Cliquez sur Monter ou Descendre pour placer l'action sélectionnée plus haut ou plus bas dans la liste.

Configurer les Paramètres d'Analyse du Capteur

Dans chaque capteur DLP défini par l'utilisateur, vous pouvez modifier les paramètres qui déterminent la façon dont DLP analyse le contenu et la conduite à tenir en cas d'échec d'analyse du contenu. Pour configurer les paramètres d'analyse, sélectionnez l'onglet Paramètres.

Pour plus d'informations sur ces paramètres, consultez Configurer les Paramètres d'Analyse de DLP.

Supprimer un Capteur

Pour supprimer un capteur :

  1. Sélectionnez services d'Abonnement > Data Loss Prevention.
  2. Sélectionnez le capteur à supprimer.
  3. Cliquez sur Supprimer.

Vous ne pouvez pas supprimer les capteurs intégrés et les capteurs utilisés par une stratégie.

Voir Également

À propos de Data Loss Prevention