DLP
DLP 관리
1) Enforcer 서버에서의 서버 관리
- 시스템 > 개요 “클릭” 하면 각 서버의 상태 및 서버에서 발생한 오류를 알 수 있다.
2) 서버 상세 내역[Endpoint Server]
- [시스템] > [개요] > [서버]를 클릭하면 서버의 상세 내역을 볼 수 있다.
- Endpoint Server
① Configuration : 정책 그룹, 에이전트 구성 및 구성 상태가 표시
② Agent Summary : 에이전트에 대한 요약
총 설치 대수
온라인 대수
오프라인 대수
상태에 따른 Agent 대수
3) Windows에서 DLP 서버 서비스 [Enforcer/Endpoint Server]
※ Enforcer 서버 서비스 시작
- [시작]>[모든 프로그램]>[관리 도구]>[서비스] 이동.
- 서비스 시작 순서 : Vontu Notifier > Vontu Manager > Vontu Incident Persister > Vontu Update > Vontu Monitor Controller
- 서비스 중지 순서 : Vontu Update > Vontu Incident Persister > Vontu Manager > Vontu Monitor Controller > Vontu Notifier
※ 탐지 서버 서비스 시작
- [시작]>[모든 프로그램]>[관리 도구]>[서비스] 이동.
- 서비스 시작 순서 : Vontu Monitor > Vontu Update
- 서비스 중지 순서 : Vontu Update > Vontu Monitor
1) 일반설정
- 시스템 > 설정 > 일반 > 일반 설정 편집
① 리포트 및 알림(현재 전송 않음으로 설정됨 )
시스템 이상시 알림이나 예약 리포트를 이메일로 전송 한다.
※ 리포트 형식
- 리포트를 링크로 전송. 확인 시 로그인 필요
리포트에 대한 링크가 포함된 이메일 메시지를 전송한다. - 이메일로 리포트 데이터 전송
DLP이메일 메시지를 전송하고 리포트 데이터를 첨부한다.
※ 정규화된 관리자 이름
리포트 형식을 선택할 때 “Send reports as links, login required to view”를 선택하였다면 서버 주소 링크가 전송되므로 서버 주소를 입력해줘야 한다.(ex : http://server_ip or server hostname)
※ 상관 관계
correlations는 해당 인시던트와 관련된 상세 내용이다. 예를 들어 해당 인시던트의 사용자는 해당 인시던트를 주 또는 월단위로 몇건을 전송하였는지, 발신인이 같은 건은 몇건인지 등의 해당 인시던트와 상관관계가 있는 인시던트의 정보를 알려 주는 옵션이다.
② SMTP
SMTP 서버를 설정하여 알림 및 리포트를 전송하는 설정
③ 라이센스
라이센스 등록 현황
1) 일반설정 (계속)
- 시스템 > 설정 > 일반 > 일반 설정 편집
① 프로세스제어- 서버의 상세 내용을 표시한다.
- 고급 프로세스 제어 체크박스를 선택하여 기능을 enable 하면
시스템 > 서버 > 개요 > 서버 상세 내역 메뉴에서 서버의 상세 내용을 확인 할 수 있다.
② 암호 설정
- 콘솔 계정의 패스워드 보안 및 기간설정
(ex : 숫자,영문 혼용, 패스워드 만료기간 설정)
1) 일반설정 (계속)
- System > Settings > General > configure
① 인증 정보 관리
- Endpoint FlexResponse 또는 Endpoint Discover 검역소 대응 규칙에 대한 격리 저장소의 인증 정보를 설정한다.
ex) 예로는 엔드포인트 디스커버를 실행 한 후에 정책에 위반되는 문서를 특정 서버에 격리 시킬때 특정서버의 계정 정보를 DLP서버에 저장하여 자동으로 서버에 로그인을 할 수 있도록 한다.
- 인증 정보는 시스템 > 설정 > 인증 정보 에서 설정할수 있다.
② Active Directory 인증
- 관리콘솔 계정과 Active Directory 계정 연동
Active Directory 인증 수행 항목을 체크하여 설정하면 DLP 관리콘솔 계정 추가하시 관리콘솔 계정과 Active Diretory 계정이 연동된 계정을 설정할 수 있다.(패스워드 등)
③ 언어
- 25개의 언어 지원
- 언어팩을 추가로 설치하면 지원되는 언어를 지원받을 수 있다.
④ 에이전트 관리
- Enforce : 에이전트가 Endpoint Server를 통해서만 설정등을 수신하도록 하려면 이 옵션을 선택한다.
SMC : 에이전트가 Symantec Management Console을 통해서만 설정등을 수신하도록 하려면 이 옵션을 선택하고 Symantec Management Console항목에 서버 정보를 입력한다.
Ex) http://172.100.20.20:8080
1) SQL Plus 사용법
- 시작 실행 sqlplus (도스 모드)/ sqlplusw (윈도우 모드)
- Login user (protect) 및 password 입력 예) protect / protect04
- 환경 setting (option) Set pagesize 1000 : SQL결과의 한 pages 크기 Set line 130 : SQL결과가 나오는 폭(line)의 크기
2) Table space 용량 확인하는 방법 (다음장 계속)
- 시작 실행 ‘sqlplus’(or sqlplusw) 입력후 Enter
- ‘system’ user로 Login 한다. (User name : system, password : protect04)
- 접속후 SQL> 상태에서 ‘@c:\dlp_space.sql’을 입력후 Enter
- 실행후 C:\에 ‘Symantec_DLP_ORACLE_SIZE_ + (MonthDay+Time+Minute+Second).txt’ 포맷으로 결과 파일이 생성된다.
3) Table space 용량 확인하는 방법
- C:\에 ‘Symantec_DLP_ORACLE_SIZE_ + (MonthDay+Time+Minute+Second).txt 파일을 열면 정보를 확인할 수 있다.
3) Table space 용량 늘리는 방법
- 시작 실행 'sqlplus’(or sqlplusw) 입력후 Enter
- ‘system’ user로 Login 한다. (User name : system, password : protect04)
- LOB05.DBF를 하나 더 만들고 용량 늘리는 쿼리를 실행한다.
SQL>ALTER TABLESPACE LOB_TABLESPACE add datafile ‘E:\DATA\ORAC\protect\LOB05.DBF’ size 32767M;
- 해당 경로에 LOB05.DBF가 추가되었는지 확인한다.
1) 서버 구성파일 백업
- DLP Enforcer Server 접속 (데이터센터 : 174.100.24.145, 조선호텔 : 174.100.101.123)
- D:\Vontu\Protect\config 파일을 복사하여 Backup 대상 디렉토리에 복사
- 현재 백업된 서버 구성파일 경로D:\Backup\DLPConfig\config
2) 사용자 정의 구성 변경 백업
- D:\Vontu\Protect\plugins 파일을 복사하여 Backup 대상 디렉토리에 복사
- 현재 백업된 서버 구성파일 경로D:\Backup\DLPConfig\plugins
3) 정책 백업
- 생성된 정책 선택 > “이 정책을 템플릿으로 내보내기” 선택하여 백업
1) Enforcer Server 서비스 중지
- 서비스 중지 순서 :
Vontu Update > Vontu Incident Persister > Vontu Manager > Vontu Monitor Controller > Vontu Notifier
2) 서버 구성파일 복구 - 백업된 서버구성파일을 D:\Vontu\Protect\config 에 복사
- 현재 백업된 서버 구성파일 경로D:\Backup\DLPConfig\config
3) 사용자 정의 구성 변경 복구
- 백업된 사용자 정의 구성변경 파일을 D:\Vontu\Protect\plugins 에 복사
- 현재 백업된 정의 구성파일 경로D:\Backup\DLPConfig\plugins
4) 정책 복구
- 백업된 정책파일을 D:\Vontu\Protect\config\templates 에 복사
- 현재 백업된 정의 구성파일 경로D:\Backup\DLPConfig\policy
5) Enforcer 서비스 시작
- 서비스 시작 순서 :
Vontu Notifier > Vontu Manager > Vontu Incident Persister > Vontu Update > Vontu Monitor Controller
Oracle 백업에는 다음의 3가지 방법이 있지만, Symantec DLP에서는 DB를 shutdown하고 백업을 받는 오프라인
1)(cold) 백업을 권장.
2. Windows에서 spfile의 복사본 생성 Oracle SQL*Plus의 SQL> 명령 프롬프트에서 다음을 입력.
create pfile='/Temp/inittemp.ora' from spfile;
2) Oracle SQL*Plus를 종료
exit
3) \Temp 디렉터리로 이동
4) inittemp.ora 파일을 백업 시스템 디렉터리로 복사
3. 데이터베이스 파일을 백업
1) Oracle 서버의 서비스 중지
■ OracleOraDb11g_home1TNSListener
■ OracleServicePROTECT
2) Enforcer서버의 서비스 중지
■ Vontu Update
■ Vontu Incident Persister
■ Vontu Manager
■ Vontu Monitor
■ Vontu Monitor Controller
■ Vontu Notifier
3) 데이터베이스 파일을 백업 위치로 복사
$oracle\oradata\protect
4) \oracle\product\11.2.0\db_1\database\PWDprotect.ora 파일을 선택하고 백업
1. 기존 데이터베이스를 복원하여 데이터베이스를 복구하려면
1) Oracle 서버의 서비스 중지
■ OracleOraDb11g_home1TNSListener
■ OracleServicePROTECT
2) Enforcer서버의 서비스 중지
■ Vontu Update
■ Vontu Incident Persister
■ Vontu Manager
■ Vontu Monitor
■ Vontu Monitor Controller
■ Vontu Notifier
3) 데이터베이스 파일을 복원
$oracle\oradata\protect
4) 데이터베이스 시작
① Oracle SQL*Plus를 실행
- Windows > 시작 > 프로그램 > Oracle - OraDb11g_home1 > 응용 프로그램 개발 > SQL Plus로 이동
② SQL> 명령 프롬프트 sysdba 사용자로 연결
connect sys/protect as sysdba
③ startup을 입력 후 엔터
2. Windows에서 새 데이터베이스 생성
- 새 데이터베이스의 드라이브 구조가 기존 데이터베이스의 드라이브 구조와 동일하다고 가정
1) 데이터베이스 파일을 복원
$oracle\oradata\protect
2) 데이터베이스 시작
① Oracle SQL*Plus를 실행
Windows > 시작 > 프로그램 > Oracle - OraDb11g_home1 > 응용 프로그램 개발 > SQL Plus로 이동
② SQL> 명령 프롬프트 sysdba 사용자로 연결
connect sys/protect as sysdba
③ startup을 입력 후 엔터
DLP 업그레이드
Upgrade Path 체크
- Symantec DLP는 major release(10.5, 11.0, 12.0, 12.5 )를 반드시 설치해야만 다음 버전으로 업그레이드 가능합니다.
- 예를 들면 10.0버전을 12.5 버전으로 업그레이드를 하기 위해서는 10.0 -> 11.0 -> 12.0 -> 12.5 순으로 업그레이드를 해야 합니다. 이러한 순서를 Upgrade path라 합니다.
수동업그레이드
1) 파일 복사
- Symantec_DLP_12.0_Platform_Win-IN\DLP\12.0\Upgrade_11.x_to_12.0 경로에서 12.0_Upgrader_Windows.jar 파일을 복사합니다.
2) 새폴더 생성
- DLP가 설치된 경로(C:\Vontu\Protect\updates)에 새 폴더를 생성합니다.
- 폴더명은 아무거나 상관없으나 버전을 알 수 있도록 생성하는 것을 권장합니다.
3) 압축해제
- C:\Vontu\Protect\updates\12.0 폴더에 12.0_Upgrader_Windows 파일을 붙여 넣고 압축을 해제 합니다. 이때 또 다른 새 폴더가 생기지 않도록 유의합니다.
- 압축 해제 프로그램(알집, 반디집 등)이 없는 경우에는 확장자를 .zip으로 변경 후 윈도우 자체에서 제공하는 압축 풀기를 진행합니다.
4) start_upgrade_wizard.bat 실행
- start_upgrade_wizard.bat 파일을 관리자 권한으로 실행하거나 Administrator 계정으로 로그인 후 실행합니다.
5) start_upgrade_wizard.bat 실행(계속)
- ‘1개의 파일이 복사되었습니다.’ 라는 CMD창이 생성되고, Tomcat 창이 실행됩니다.
- Tomcat 창은 닫지 않고 유지합니다.
6) DLP Console 로그인
- 브라우저에서 https://localhost:8300으로 접속하면 DLP Upgrade 로그인 페이지가 나옵니다. Password : protect04 를 넣고 Login을 합니다.
7) DLP License Agreement
- License Agreement 화면이 나오고 밑에 [Accept] 버튼을 클릭합니다. Logfiles 을 클릭하시면 로그 파일을 보거나 저장할 수 있습니다.
8) System Check
- System을 Check하기 전에 나오는 페이지 입니다. [Next >] 버튼을 클릭합니다.
9) System Check Succeeded
- Upgrade Path에 맞는 Upgrade 버전일 경우 System Check Succeeded 문구가 보이는 페이지가 나옵니다. [Next >] 버튼을 클릭합니다.
10) DLP Upgrade
- 이전 버전에서 설치한 Language Packs은 제거 된다는 경고 문구가 나옵니다. [Next >] 버튼을 눌러 업그레이드를 계속 진행합니다.
11) DLP Upgrade ? Pre-check
- Upgrade전에 Upgrade를 올바르게 하기 위한 준비가 되어있는지 Check 합니다. 완료되면 밑에 [Next >] 버튼을 클릭합니다.
12) DLP Upgrade ? Enforce Server
- Enforce Server를 Upgrade합니다. [Next >] 버튼을 클릭해서 Upgrade를 진행 합니다. 진행 과정이 퍼센트로 나타나고 Upgrade is Complete가 나오면 [Next >] 버튼을 클릭합니다.
13) DLP Upgrade ? Enforce Server(계속)
- (본 화면은 12.0 이상의 버전에서 나옵니다) ① Production version / Test version 을 선택하고 [Next >] 버튼을 클릭합니다.
- ②은 Symantec Product의 quality의 향상을 돕기 위해 원격 프로그램 지원에 참여한다는 사항입니다.
14) DLP Upgrade ? Detection Servers
- 설치된 Detection Servers 중에서 먼저 업그레이드 하고자 하는 server를 선택합니다. (실망에서는 한번에 모든 서버를 업그레이드 할 경우 모든 서비스가 중지 되므로 나눠서 업그레이드를 실시합니다)
15) DLP Upgrade Finish
- Upgrade가 마무리 되었습니다. [Finish] 버튼을 클릭합니다.
자동업그레이드
1) Enforce console 접속
- DLP Enforce console 접속 후 [System] ? [Servers] ? [Overview] ? [Upgrade] 버튼을 클릭합니다.
2) 파일 업로드 후 Upgrade 진행
- 찾아보기 버튼을 클릭 후 Upgrade할 버전의 Jar 파일을 넣고 [Launch Upgrade] 버튼을 클릭합니다. 그 후 관리자 계정 로그인 페이지 창이 보이고 로그인을 하게 되면 수동 설치 6)번 과정 이후와 동일하게 Upgrade를 진행합니다.