суббота, 17 декабря 2011 г.

Оформление внедрения DLP (продолжение)

Интересное развитие получила история с шпионажем в Cisco. Директор российского представительства уволил руководителя профсоюза.


http://cnews.ru/

Уволен председатель профсоюза Cisco Россия

Генеральный директор «Сиско Системс» Павел Бетсис подписал приказ (см. ниже) об увольнении менеджера по работе с клиентами Андрея Хабарова с 14 декабря 2011 г. «в связи с неоднократным неисполнением работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание (пункт 5 части первой статьи 81 ТК РФ)».

Андрей Хабаров вместе с коллегами Айдаром Гариповым и Вячеславом Ревичевым в мае 2010 г. организовал в российском офисе Cisco первичную профсоюзную организацию. В… полный текст
Источник: CNews


Хабаров планирует обращение в суд. Становится интересно, что же будет делать компания. Неужели у них все в таком запущенном состоянии в отношении использования DLP и расследований. Будем следить.

пятница, 16 декабря 2011 г.

Мини-DLP, но главное бесплатно

Интересное ПО обнаружил Александр Бондаренко.

Мини-DLP, но главное бесплатно

Воспользовался ссылкой и скачал. Ищет довольно шустро. Надо только написать своих регулярных выражений. Спасибо Александру.

DLP на коленке

Добры день, коллеги.
Давненько я не писал. За это время многое случилось. В частности, я пытался на коленке сделать псевдо DLP. А именно воспользоваться возможностями MS Exchange по поиску. 

У MS Exchange 2007 и выше есть возможность с помощью PowerShell поиска по всем ящикам определенной информации и выгрузка сообщений. Выгружать можно либо в заранее определенный почтовый ящик, либо в pst файл.

Экспорт производится с помощью командлета ExportMailbox. Подробно о его использовании можно посмотреть здесь. Поиск осуществляется по всем папкам почтового ящика. При этом есть возможность ввести ограничения с помощью опций ExcludeFolders или IncludeFolders. Список опций есть здесь. Можно ограничить временной период с помощью StartDate и EndDate. Можно искать отдельно по теме письма, телу письма, названиям вложений (SubjectKeywords, ContentKeywords, AttachmentFilenames). Либо по всем полям сразу (AllContentKeywords). 

Предварительно, необходимо получить администраторский доступ к почтовым ящикам. 

Для поиска и экспорта сообщений из всех ящиков на сервере я воспользовался такой командой:

Get-Mailbox -Server ИмяСервера | Export-Mailbox -IncludeFolders "\Отправленные" -TargetFolder База -TargetMailbox ИмяЯщикаКудаВыгружаем -AllContentKeywords ("*база*","*клиент*") -StartDate "05/12/2011" -AllowDuplicates -AllowMerge

Данная команда запрашивает имеющиеся ящики на сервере (Get-Mailbox -Server ИмяСервера) и для каждого выполняет экспорт (Export-Mailbox) в выделенную папку (TargetFolder База) выделенного ящика (-TargetMailbox ИмяЯщикаКудаВыгружаем) сообщений содержащих слова либо "база" либо "клиент"(-AllContentKeywords ("*база*","*клиент*")). Поиск идет по всем элементам письма (-AllContentKeywords ) в папке "Отправленные"(-IncludeFolders "\Отправленные") за период начиная с 5 декабря 2011 г. (-StartDate "05/12/2011").  При этом разрешено дублирование сообщений (-AllowDuplicates) и объединение писем в одну папку при выполнении нескольких запросов подряд (-AllowMerge). Если данную опцию убрать, то после каждого запроса будет формироваться новая папка вида "Recovered Data - <MailboxAlias> - <Timestamp>". При использовании опции -AllowMerge будет создана одна папка Recovered Data - <MailboxAlias>. Внутри данной папки будут созданы подпапки с именами почтовых ящиков, в которые будут выгружены сообщения прошедшие фильтр.

Выгруженные сообщения можно просматривать в MS Outlook. После выгрузки все папки выглядят одинаково и не понятно в каких есть сообщения, а в каких нет. Чтобы не заниматься открытием каждой папки для выгрузки желательно сделать отдельный ящик. Включать режим "Поиск по всем элементам почты" т.к. к сожалению MS Outlook не позволяет искать внутри папки и ее подпапок. И далее с помощью поиска выбирать сообщения для просмотра.

В общем, в отсутствии возможности внедрения нормальной системы DLP  есть возможность хоть как то контролировать процесс. Не очень удобно, не очень красиво. Но это лучше чем ничего.