none
Служебный почтовый ящик для контроля почтового трафика. RRS feed

  • Вопрос

  • Коллеги здравствуйте.

    Планируем внедрить в компании DLP систему, сейчас пробуем search inform. Одна из стоящих задач, контролировать почтовый трафик на предмет попыток слива инфы. DLP с блокировкой нам не помогут, т.к. пользуемся облачным exchange online, и тут мы можем только мониторить (смысла по другим векторам "сливов" делать блокировку на мой взгляд нет, раз её нельзя реализовать для почты, а вот мониторинг нужен).

    Задача сейчас, создать технологический ящик, в который будет сыпаться пользовательская почта (исходящая и входящая), для последующего анализа соответствующим сервисом DLP. Настраивал по следующей инструкции:

    http://docs.searchinform.ru/Exchange2016_settings.pdf

    Правило журналирования настроить не удалось, выдает следующую ошибку:

    "В качестве значения JournalEmailAddress можно указать только пользователя почты, почтовый контакт или внешний адрес."

    Транспортные правила создать удалось, но при этом в ящик попадают только текущие сообщения, можно ли как то загрузить в технологический ящик все сообщения пользователей, для обработки почты за некий период?

    26 июня 2017 г. 16:25

Ответы

  • Проблема с DLP, что перед DLP надо внедрить кучу всего и провести бизнес анализ делопроизводства и процессов компании. Этого никто не хочет делать так как дорого, долго. Все думают вот мы тут галочку поставим и все буде ок.

    Это не работает. Надо сделать многое и все упирается в сторимость рисков.

    Если бы был риск потери бизнеса и тюремное заключение в связи с утерей, и публичной публикаций переписки, то делали нормально. В результате, то что есть. Люди в большенстве не могут оценить эти риски, так как нету понимания результата срабатывания риска. Тут много чего можно сказать. 

    Для того чтобы DLP эффективно работал надо:

    1. Наблоны документов для Office

    2. шаблоны фильтров DLP.

    3. надо персонал который бы траблешутил каждое письмо,

    4. надо политику безопастности мобильных устройств

    5. шифрование устройств

    6. RMS

    7. RBAC

    8. ...

    больше 900 страниц всего в регламенте.

    Галочка не работает. :)


    MCITP, MCSE. Regards, Oleg

    28 июня 2017 г. 18:58
    Модератор

Все ответы

  • Добрый день,

    выгрузить можно через Search-Mailbox Search-Query

    link1

    link2

    link3

    В общем ссылок в гуле много. Думаю направление понятно.

    Придется правда поиграться с параметрами под себя, посмотрите по ссылкам выше. Как сделать поиск для всех, там тоже есть.

    В качестве примера, что нибудь вроде:

    Search-Mailbox -Identity "username" -SearchQuery 'Received:01/01/2015..01/01/2017'  -TargetMailbox "administrator" -TargetFolder "confidential" -LogLevel Full
    Дополнительно вам понадобяться права RBAC для учетки от которой выполняется поиск на "Mailbox Search" и "Mailbox Import Export"
    26 июня 2017 г. 19:39
  • отправленные для всех почтовых ящиков (в том числе общие почтовые ящики, с вожноможными дубликатами, если у вас несколько доменов для одного пользователя):

    foreach ($Mailbox in Get-Mailbox -ResultSize Unlimited) {Search-Mailbox -Identity $Mailbox.DistinguishedName -SearchQuery 'sent:01/05/2017..26/06/2017' -TargetMailbox searchbox -TargetFolder searchfolder}
    где searchbox - ваш технологический почтовый ящик.
    26 июня 2017 г. 19:48
    Модератор
  • Спасибо. Буду копать в этом направлении.
    28 июня 2017 г. 7:39
  • День добрый.

    Если вы используете Office 365, та там очень хорошую защиту можно построить без использования сторонних разаботчиков.

    Тут видел серитифкат по безопастности Office 365 для госучереждений СШФ. После этого у меня все вопросы по защите данных и защите от утечек в Office 365 не осталось.

    Overview of data loss prevention policies 

    Create a DLP policy from a template

    Security in Office 365 White Paper

    Пример.

    Создаете шаблоны документов для офиса с уровнем секретности.

    Все документы созданные без вашего шаблона не проходят отправку. 

    У вас проблема ведь не в DLP. У вас проблема уровне знания Office 365б в финансировании и комплексного подхода к защите информации. 

    Для решения: повышение уровня знания инжинеров, строить бизнес цикл по безопасности, и открывать заявки в MS Office 365 по решению конктретной проблемы.

    Все можно реализовать вопрос в цене вопроса для бизнеса.


    MCITP, MCSE. Regards, Oleg

    28 июня 2017 г. 17:26
    Модератор
  • Олег привет!

    Давно не писал)

    Во первых тут E2016 наземный, а не О365, во вторых в российских реалиях Exchange DLP практически не используется, т.к. под российские реалии не особо подходит, даже с шаблонами. У вас там в штатах понятно, а у нас увы.

    P.S. с ошибками смотрю стал писать, американизируешься)))

    28 июня 2017 г. 18:07
  • Привет Иван.

    Да клавиатура английская. Стал забывать русскую раскладку. В слепую печатать уже тяжело.

    Насколько читал вверху там Exchange Online. 

    "LP с блокировкой нам не помогут, т.к. пользуемся облачным exchange online,"

    На счет подходит или нет, могу сказать, что если китайцам подходит, то почему русским не подходит. :)

    Русские как обычно бабло распилят и до IT доходит 1/10. Потом сидит anykey и думает как раскорячится, чтобы это реализовать. И всплывают сказки про Office 365.


    MCITP, MCSE. Regards, Oleg

    28 июня 2017 г. 18:21
    Модератор
  • Да, EO, я проморгал)

    тем не менее китайцы и русские тоже разные, у нас запросы по DLP теме другие и совсем не укладываются в DLP шаблоны Exchange.

    P.S. Мой глаз пал на последний параграф автора и собственно его вопрос, на что и ответил)

    28 июня 2017 г. 18:43
  • Проблема с DLP, что перед DLP надо внедрить кучу всего и провести бизнес анализ делопроизводства и процессов компании. Этого никто не хочет делать так как дорого, долго. Все думают вот мы тут галочку поставим и все буде ок.

    Это не работает. Надо сделать многое и все упирается в сторимость рисков.

    Если бы был риск потери бизнеса и тюремное заключение в связи с утерей, и публичной публикаций переписки, то делали нормально. В результате, то что есть. Люди в большенстве не могут оценить эти риски, так как нету понимания результата срабатывания риска. Тут много чего можно сказать. 

    Для того чтобы DLP эффективно работал надо:

    1. Наблоны документов для Office

    2. шаблоны фильтров DLP.

    3. надо персонал который бы траблешутил каждое письмо,

    4. надо политику безопастности мобильных устройств

    5. шифрование устройств

    6. RMS

    7. RBAC

    8. ...

    больше 900 страниц всего в регламенте.

    Галочка не работает. :)


    MCITP, MCSE. Regards, Oleg

    28 июня 2017 г. 18:58
    Модератор
  • Золотые слова.

    Только я бы третий пункт на первое бы место вытащил, люди-процессы-технологии.

    Не в смысле банды траблшутеров, а в смысле живых, теплых и мягких. Поскольку галочки волшебной нет, а люди ее ищут постоянно...

    11 июля 2017 г. 6:04