Upload
vu-duc-du
View
442
Download
0
Embed Size (px)
Citation preview
McAfee ePolicy Orchestrator
The Foundation of McAfee Security Management Platform
ePO server overview
May 3, 2023Introduction to e-Policy Orchestrator2
1 Giới thiệu ePO
2 Tại sao lại lựa chọn ePO
3 Đặc điểm, tính năng cơ bản của ePO
3
SecurityLandscape
ePO là gì?: phần mềm quản lý tâp trung các sản phẩm bảo mật của McAfee, bao gồm:
Anti-virusManagement Tools 1
Network Access ControlManagement Tools
8
Anti-spywareManagement Tools 2
Host Intrusion PreventionManagement Tools
7
Desktop FirewallManagement Tools 3
Data Protection (DLP, Encryption, etc.)Management Tools
6
Policy AuditingManagement Tools 4
Web SecurityManagement Tools5
Tại sao lại lựa chọn ePO
May 3, 2023Introduction to e-Policy Orchestrator4
• Khả năng mở rộng• Kết nối với các thành phần trong hệ thống: NT Domain, LDAP, AD• Tự động hóa các giải pháp với API mở: CURL, Python
• Tính năng tự động hóa• Xây dựng quy trình• Tốc độ phàn ứng khi có sự cố ( báo cáo, cảnh báo )• Giảm mệt mỏi khi phân tích sự cố
• Quy chuẩn• Quản lý tập trung• Giảm độ phứ tạp trong quá trình quản lý
• Phù hợp với mọi mô hình doanh nghiệp• Hệ thống phân tán phù hợp với mọi kích thước doanh nghiệp• Kiến trúc linh hoạt
Confidential McAfee Internal Use Only
ePO servers
• Về mặc định ePO bao gồm:
May 3, 2023Introduction to e-Policy Orchestrator5
Confidential McAfee Internal Use Only
Các thành phần của ePO server
• Apache: cung cấp kết nối giữa McAgent tới AgentHandler, Event server• Tomcat: cung cấp web ui console cho Administrator• MS SQL: cung cấp database server cho ePO
May 3, 2023Introduction to e-Policy Orchestrator6
Confidential McAfee Internal Use Only
ePO kiến trúc hệ thống
May 3, 2023Introduction to e-Policy Orchestrator7
Confidential McAfee Internal Use Only
ePO server: các cổng mở
• Port open
May 3, 2023Introduction to e-Policy Orchestrator8
Confidential McAfee Internal Use Only
Remote Agent: các port mở
May 3, 2023Introduction to e-Policy Orchestrator9
Confidential McAfee Internal Use Only
Agent: port mở
May 3, 2023Introduction to e-Policy Orchestrator10
Confidential McAfee Internal Use Only
ePO servers
• Mô hình dữ liệu
May 3, 2023Introduction to e-Policy Orchestrator11
Confidential McAfee Internal Use Only
Apache services
May 3, 2023Introduction to e-Policy Orchestrator12
Confidential McAfee Internal Use Only
Event parser service
May 3, 2023Introduction to e-Policy Orchestrator13
Confidential McAfee Internal Use Only
Tomcat service
May 3, 2023Introduction to e-Policy Orchestrator14
Confidential McAfee Internal Use Only
Hệ thống quản lý system: SYSTEM TREE
• Quản lý system trong hệ thống bằng mô hình phân nhánh, sử dụng các kỹ thuật sorting và tagging để phân loại các nhóm system
• Đồng bộ dữ liệu các nhóm system với: NT Domain, Active Drectory để lấy các thông tin về máy tính trong AD, NT Domain, sử dụng quyền người dùng trong AD để deploy Agent xuống máy trạm
• Các kỹ thuật tổ chức tree trong system tree như gồm:
May 3, 2023Introduction to e-Policy Orchestrator15
Confidential McAfee Internal Use Only
ePO: Quản lý Policy
• Policy là gì: là một tập hợp các thiết lập, cấu hình, sau đó được thực thi.
• Policy có tính năng thừa kế từ system group xuống sub system group
• Policy enforce: mặc định 5 phút Agent sẽ request để nhận policy. ePO có cơ chế cache policy.
• Có hai phương pháp áp dụng policy xuống Agent:
– Thừa kế – Giao cho:
• Policy ownership: có thể được gán quyền cho người dùng của ePO.
• Policies có thể export ra file XML và import khi cần thiết.
May 3, 2023Introduction to e-Policy Orchestrator16
Confidential McAfee Internal Use Only
ePO Task: client và server task
• Client tasks là gì: là một tác vụ, mà ePO server yêu cầu các sản phẩm bảo mật bên phía client thực thi, thông qua Agent
• Khi nào sử dụng client tasks:– Triển khai products: cài đặt hay gỡ bỏ, cập nhật, vá– Tự động chạy các tính năng products đã được cấu hình triển khai
• Server task là gì: là một tác vụ chạy trên máy chủ ePO, chạy theo lịch trình được cấu hình.
• Khi nào cần sử dụng server tasks– Update toàn cục: tự động sao chép các gói tới tất cả các distributed repositories– Deploy các package mới xuống clients: hỗ trợ chế độ Randomization interval giúp giảm
tải cho các hệ thống có nhiều node.– Pull tasks: cập nhật master repository: file DAT release và engine files – Lập lịch Reports hoặc Query– Lập lịch Xóa logs: audit logs, threat logs…
May 3, 2023Introduction to e-Policy Orchestrator17
Confidential McAfee Internal Use Only
Hệ thống phân tán trong ePO
• SuperAgent: chia sẻ băng thông cho gói tin wakeup calls trong hệ thống– Tiến trình
1. Server gửi gói tin wake-up call đến tất cả các SuperAgent2. SuperAgent quảng bá gói tin wake-up call đến các Agent cùng dải mạng3. Tất cả các Agent được thông báo sẽ trao đổi thông tin với máy chủ4. Chú ý: những agent nằm trong 1 dải mạng không có SuperAgent sẽ không nhận
được wake-up call khi thực hiện SuperAgent calls
• Distributed repository: hệ thống phân tải các kho phần mềm được đặt trên toàn mạng để giảm lưu lượng mạng cho việc cập nhật các phần mềm mới nhất hoặc các bản vá phần mềm hoặc các kết nối mạng chậm. Thành phần này do Apache cung cấp và quản lý
• Remote Agent handler: là một máy chủ được đặt ở điểm mạng khác nhau nhằm tối ưu hóa, cân bằng tải cho việc cập nhật phần mềm, kết nối Agent, Events cho hệ thống mạng lớn hoặc các liên mạng trong hệ thống.
May 3, 2023Introduction to e-Policy Orchestrator18
Confidential McAfee Internal Use Only
Hệ thống báo cáo và tự động trong ePO
• Automation response: là những hành động yêu cầu sự phản ứng tự động của ePO server với các thành phần đang được quản lý bởi ePO, bao gồm:
– Tạo 1 issue– Chạy các server task– Chạy external commands– Chạy system commands– Tự động gửi email tới các người dùng ePO– Gửi các thông tin SNMP
• Query and Reports:– Query là 1 hành động truy vấn vào Database đưa ra thông tin về hệ thống với những
điều kiện, thông tin người quản trị cần.– Reports là 1 hành động tập hợp các Query tới database đưa ra 1 báo cáo nhằm mục
đích tổng hợp thông tin, từ đó phân tích tình trạng hệ thống, nhằm mục đích phân tích, báo cáo, debugs, tối ưu các policy, kiến trúc hệ thống.
May 3, 2023Introduction to e-Policy Orchestrator19
Confidential McAfee Internal Use Only
Q&A
May 3, 2023Introduction to e-Policy Orchestrator20
Confidential McAfee Internal Use Only
McAFee: Data Loss Prevention
May 3, 2023Introduction to e-Policy Orchestrator21
1 Giới thiệu giải pháp
2 Kiến trúc tổng quan giải pháp
3 Đặc điểm kỹ thuật giải pháp
4 Tổng kết.
Confidential McAfee Internal Use Only
Giới thiệu giải pháp: nguy cơ.
May 3, 2023Introduction to e-Policy Orchestrator22
Mất dữ liệu hoặc bị đánh cắp bởi laptop và thiết bị di động
1
Chuyển trái phép các dữ liệu với các thiết bị USB
2
Không thể xác định vị trí và bảo vệ dữ liệu nhạy cảm
3
Hành vi trộm cắp bí mật công ty của người dùng
4
Thiếu nhận thức về nội dung và phối hợp đối phó với sự xâm nhập
6
In và sao chép dữ liệu từ nhân viên
5
Truy cập dữ liệu nhạy cảm từ người dung ko xác định
7
Confidential McAfee Internal Use Only
Mô hình hệ thống
May 3, 2023Introduction to e-Policy Orchestrator23
Confidential McAfee Internal Use Only
Mô hình giải pháp DLP
May 3, 2023Introduction to e-Policy Orchestrator24
Secured Corporate LAN Network Egress/DMZ
MTA or Proxy
SPAN Port or Tap
Disconnected
• Network DLP Monitor
• Network DLP Prevent
• Network DLP Discover• Host DLP
• Device Control
• Endpoint Encryption• Host DLP
• Device Control
• Endpoint Encryption
• Encrypted Media
Central Management• ePolicy Orchestrator (ePO)• Network DLP Manager
Confidential McAfee Internal Use Only
Đặc điểm cơ bản về giải pháp
• Đảm bảo nội dung nhạy cảm ở khu vực “rest” trước nguy cơ rủi ro
• Bảo vệ dữ liệu khỏi các rủi ro được biết đến trong quá trình truyền
• Thu thập những luồng thông tin đi trong mạng để xây dựng những rule và xây dựng phòng chống trước các nguy cơ rủi ro phát sinh.
• Thi hành các hành động khắc phục hậu quả như tự động mã hóa trong quá trình quét dữ liệu hoặc những hành động mà người dùng thực hiện
May 3, 2023Introduction to e-Policy Orchestrator25
Confidential McAfee Internal Use Only
DLP làm được gì cho hệ thống.
May 3, 2023Introduction to e-Policy Orchestrator26
Confidential McAfee Internal Use Only
Cách thức làm việc trong DLP
May 3, 2023Introduction to e-Policy Orchestrator2727
• Discover and Learn
• Assess Risk
• Define Effective Policies
• Apply Controls
• Monitor, Report and Audit
1
2
3
4
5
1
2
3
4
5
Find all your sensitive data wherever it may be
Ensure secure data handling procedures are in place
Create policies to protect data and test them for effectiveness
Restrict access to authorized people and limit transmission
Ensure successful data security through alerting and incident management
Confidential McAfee Internal Use Only
CÁch thức làm việc
May 3, 2023Introduction to e-Policy Orchestrator28
Confidential McAfee Internal Use Only
Nền tảng DLP
May 3, 2023Introduction to e-Policy Orchestrator29
Data-at-Rest
Data-in-Motion
Data-in-Use
Monitor, Notify, Prevent
Enforce, Audit and Respond
Identify, Classify and Protect
Incident and case management
Workflow and reporting
Network DLP Manager
McAfee ePOFull endpoint management and deployment
Network DLP Discover
Endpoint Encryption
Encrypted Media
Network DLPMonitor
Network DLPPrevent
DLP Host
DLP Host
DeviceControl
Encrypted Media
Confidential McAfee Internal Use Only
Các thành phần trong giải pháp DLP
• McAfee ePolicy Orchestrator (EPO) - giao diện điều khiển quản lý tập trung cho các giải pháp DLP của McAfee cũng như tất cả các công nghệ bảo mật thiết bị đầu cuối của McAfee.
• McAfee DLP Manager Appliances: các sự kiện quản lý tập trung, khả năng quản lý sự cố, và quản lý của NDLP
• McAfee Host DLP Solution: bao gồm Host DLP và endpoint• McAfee Network DLP Monitor: Phân tích tất cả thông tin liên lạc mạng và phát
hiện ra mối đe dọa cho dữ liệu của bạn. Thiết bị này sẽ nắm bắt tất cả lưu lượng truy cập mạng của bạn để lại, chỉ số này để điều tra trong tương lai và cũng có thể đánh giá nó so với quy định thời gian thực.
• McAfee Network DLP Discover: Đánh giá trung tâm dữ liệu của bạn và tất cả các nguồn dữ liệu khác trên mạng của bạn để phát hiện và phân loại dữ liệu của bạn và đặt nền tảng cho việc bảo vệ tự động
• McAfee Network DLP Prevent: Block/Encrypt cả chiều inbound và outbound dựa trên chính sách được định nghĩa.
May 3, 2023Introduction to e-Policy Orchestrator30
Confidential McAfee Internal Use Only
Định nghĩa dữ liệu
• Data at Rest: Là một thuật ngữ đề cập dữ liệu lưu trữ vật lý tại databases, data warehouses, spreadsheets, archives, tapes, off-site backups, mobile devices etc
• Data in Use: là một thuật ngữ đề cập đến dữ liệu hoạt động được lưu trữ trong một trạng thái kỹ thuật số không liên tục thường trong bộ nhớ máy tính truy cập ngẫu nhiên (RAM), bộ nhớ cache của CPU, hoặc CPU registers. Ngoài ra còn có Cloud Software-as-a-Service (SaaS)
• Data in Motion: là một thuật ngữ đề cập đến dữ liệu được truyền tải. Đó là quá trình chuyển giao dữ liệu giữa tất cả các phiên bản của tập tin gốc, đặc biệt là khi dữ liệu có thể được vận chuyển trên Internet. Đây là dữ liệu được thoát mạng thông qua email, web, hoặc các giao thức Internet khác.
May 3, 2023Introduction to e-Policy Orchestrator31
Confidential McAfee Internal Use Only
Giải pháp DLP cho các loại dữ liệu
• Data in use: chống rò rỉ dữ liệu qua email, bài viết web, phương tiện truyền thông di động, ảnh chụp màn hình, in ấn, sao chép / dán và chuyển mạng.
• Ba phương pháp chính định nghĩa dữ liệu nhạy cảm:1. Content based tagging: Dựa vào nội dung gắn thẻ sẽ kiểm tra dữ liệu và xác định
xem nó phù hợp với một hoặc nhiều quy định2. Location base tagging: sẽ xác định dữ liệu là "bảo vệ" (và áp dụng một tag) nếu
dữ liệu có nguồn gốc từ một nguồn mà đã được xác định bởi người quản trị như là một "nguồn được bảo vệ”. Ví dụ: \\fileserver\baocaothue. Vì vậy, khi người dùng truy cập các tập tin, hoặc có một bản sao của nó, nó sẽ được đánh dấu bởi DLP.
3. Application based tagging: ứng dụng dựa trên việc gắn thẻ sẽ theo dõi các I / O và các thẻ dữ liệu từ các ứng dụng được chỉ định bởi người quản trị.
May 3, 2023Introduction to e-Policy Orchestrator32
Confidential McAfee Internal Use Only
Giải pháp cho các loại dữ liệu: Data in use
May 3, 2023Introduction to e-Policy Orchestrator33
Confidential McAfee Internal Use Only
HDLP – DLP Endpoint
May 3, 2023Introduction to e-Policy Orchestrator34
Confidential McAfee Internal Use Only
HDLP modules/handler
• Clipboard service• Clound Protection handlers• Devices block• Email storage discovery• File copy handler• File system discovery• Firefox handler
May 3, 2023Introduction to e-Policy Orchestrator35
• Internet explorer Add-on• Lotus notes plugins• Outlook add-ins• Portable devices handler• Printer drivers and
Application addins: Ms Offices
• Report services• Evidence services
Confidential McAfee Internal Use Only
Luồng dữ liệu trong Network DLP
May 3, 2023Introduction to e-Policy Orchestrator36
Confidential McAfee Internal Use Only
Network DLP
May 3, 2023Introduction to e-Policy Orchestrator37
Confidential McAfee Internal Use Only
Evidence và Quarantine, Incidents
• Evidence folder storage folder: ePO
• Quarantine: ePO
May 3, 2023Introduction to e-Policy Orchestrator38