Web 送信保護ルールは、Web ベースの電子メール サイトを含め、Web サイトへのデータの送信を監視またはブロ ックします。
Web 送信保護ルールは、Web アドレスをルールに追加することにより定義されます。
ルールを特定のタグまたは分類条件に限定するには、分類定義を使用します。 ルールをローカル ユーザーまたは特 定のユーザー グループに限定することもできます。
アクション
Web 送信保護ルールのアクションは、ブロック、リクエスト ジャスティフィケーション、ユーザー通知、インシデ ントのレポート、および元のファイルを保存 です。 インシデントをレポートする場合は、エビデンスの保存はオプ ションです。 ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知ポップアップが有効にな ります。コンピューターが社内ネットワークから切断されている場合は、異なるアクションが適用されます。
クライアントの設定
動作モードとモジュール ページで Web 保護に使用するブラウザーを有効にします。 Microsoft Internet Explorer、Microsoft Edge、Mozilla Firefox、および Google Chrome がサポートされています。
Web 送信保護ページ
Web 送信保護 ページには、Web 送信保護ルールから除外するホワイトリストに登録された URL のリストが含まれ ています。 これには、HTTP GET リクエストの処理を有効にする設定もあります。 GET リクエストは、リソースを 消費するため、デフォルトで無効にされています。 このオプションの使用には注意が必要です。
Web タイムアウト方針 は、Web 送信の解析の最大時間と、タイムアウトした場合のアクションを設定します。 オ プションはブロックまたは許可です。 また、ユーザー通知を選択することもできます。
ページには、サポートされている Google Chrome バージョンのリストも含まれています。 Chrome が頻繁にアッ プデートされるため、このリストが必要です。 このリストは、最新のリストを McAfee サポートからダウンロード し、参照 を使用して XML ファイルをインストールすることにより入力されます。
8
ルールを使用した機密コンテンツの保護 Web 送信保護ルールエンドポイント検出
Discoveryは、クライアント コンピューターで実行されるクローラーです。 ローカル ファイル システムと電子メ
ール ストレージ ファイルを検索して、機密コンテンツを保護するルールを適用します。
目次
Discovery ルールによるファイルの保護
スキャンの動作
エンドポイント検出クローラーによるコンテンツの検出
Discovery ルールによるファイルの保護
Discovery ルールは、リポジトリをスキャンし一致するコンテンツが見つかったときのアクションを決定する際に、
McAfee DLP が検索するコンテンツを定義します。
ルール タイプによって、スキャンに一致するファイルには、コピー、移動、暗号化、隔離、タグ付け、または適切な 管理ポリシーが適用されます。 すべての Discovery ルール条件には分類が含まれます。
電子メール ストレージ Discovery ルールを 隔離防止アクションと共に使用する場合は、Outlook アドインが有効に なっていることを確認してください (ポリシー カタログ 、 Data Loss Prevention 9.4 、 クライアント設定 、 操作 モードとモジュール)。 Outlook アドインがないと、隔離から電子メールを解放できません。
表 8-5 利用可能な Discovery ルール
ルールタイプ 製品 以下で見つかったファイルをコントロールします。
ローカル ファイル システム McAfee DLP Endpoint ローカル ファイル システムのスキャン ローカル メール (OST、PST) McAfee DLP Endpoint 電子メール ストレージ システム スキャン
スキャンの動作
エンドポイント検出スキャンを使用して、機密コンテンツのあるローカル ファイル システムまたは電子メール スト レージのファイルを特定し、タグ付けあるいは隔離します。
McAfee DLP Endpoint 検出は、クライアント コンピューターで実行されるクローラーです。 事前定義されたコン テンツが検出されると、そのコンテンツを含むファイルの監視、隔離、暗号化、または RM ポリシーの適用を実行で きます。 エンドポイント検出では、コンピューター ファイルまたは電子メール ストレージ (PST、マッピングされ た PST、および OST) ファイルを検索できます。 電子メール ストレージ ファイルは、ユーザーごとにキャッシュ されます。
エンドポイント検出を使用するには、ポリシー カタログ 、 クライアントの設定 、 操作モードとモジュール ページで 検出モジュールを有効にする必要があります。
各検出スキャンの終了時に、McAfee DLP Endpoint クライアントは、検出サマリー イベントを McAfee ePO の DLP 操作イベント コンソールに送信してスキャンの詳細を記録します。 イベントには、スキャンできなかったファ イルとスキャンできなかった理由を一覧表示するエビデンスファイルが含まれます。 また、分類に一致するファイル と、実行したアクションを記録するエビデンス ファイルもあります。
McAfee DLP Endpoint 9.4.0 では、サマリー イベントは操作イベントでした。 古いサマリー イベントを DLP Incident Manager に更新するには、McAfee ePO サーバー タスク DLP インシデント イベントの 9.4 から 9.4.1 への移行 を使用します。
ルールを使用した機密コンテンツの保護
エンドポイント検出
8
検索のタイミング
ポリシー カタログ 、 DLP ポリシー 、 エンドポイント検出 ページのスケジュール検出スキャン 毎日特定の時間に スキャンを実行したり、あるいは週または月の指定した曜日や日に実行するように指定することもできます。 開始日 と終了日を指定、または McAfee DLP Endpoint 設定が施行されたときにスキャンを実行することもできます。 コ ンピューターの CPU または RAM が指定された制限を超過したとき、スキャンを一時的に停止することができます。
エンドポイント スキャンの実行中に検出ポリシーを変更すると、ルールおよびスケジュール パラメータは直ちに変 更されます。 有効化または無効化されたパラメータの変更は、次のスキャン時に有効となります。 スキャンの実行 中にコンピューターが再起動されると、スキャンは中断した場所から再開します。
検出可能なコンテンツ
検出ルールは分類で定義します。 分類条件に追加できるすべてのファイル プロパティまたはデータ条件は、コンテ ンツの検出に使用できます。
機密コンテンツが含まれているファイルが検出された場合
電子メール ファイルは、隔離またはタグ付けできます。 ローカル ファイル システムのファイルは、暗号化、隔離、
タグ付け、または RM ポリシーの適用ができます。 エビデンスは、両方のファイル タイプに保存できます。
エンドポイント検出クローラーによるコンテンツの検出
検出クローラを実行するには、4 つのステップがあります。
1 機密コンテンツを特定する分類を作成して定義します。
2 検出ルールの作成と定義 検出ルールには、定義の一部として分類が含まれます。
3 スケジュール定義の作成
4 スキャン パラメータの設定 スキャン定義には、パラメーターの 1 つとしてスケジュールが含まれます。
タスク
• 104 ページの「検出ルールの作成と定義」
検出ルールは、クローラが検索するコンテンツおよびこのコンテンツが検出されたときの処理について 定義します。
• 105 ページの「スケジューラー定義の作成」
スケジューラーは、検出スキャンを実行するタイミングと頻度を決定します。
• 106 ページの「スキャンのセットアップ」
検出スキャンは、ローカル ファイル システムまたはメールボックスの機密コンテンツを巡回します。
• 106 ページの「使用例: 隔離済みファイルまたは電子メール項目の復元」
McAfee DLP Endpoint 検出で機密コンテンツが検出されると、影響を受けるファイルまたは電子メー ル項目は隔離フォルダに移動され、プレースホルダに置き換えられて、ユーザにはファイルまたは電子 メール項目が隔離されたことが通知されます。 隔離されたファイルと電子メール項目も不正使用を防止 するために暗号化されます。
検出ルールの作成と定義
検出ルールは、クローラが検索するコンテンツおよびこのコンテンツが検出されたときの処理について定義します。
検出ルールの変更は、ポリシーが配備されると有効になります。 スキャンが進行中であっても、新規のルールはすぐ に有効となります。
電子メール ストレージ (PST、マッピングされた PST、および OST) スキャンでは、クローラーが電子メール項目 (本文と添付ファイル)、カレンダー項目、およびタスクをスキャンします。 公開フォルダや付箋はスキャンしませ
8
ルールを使用した機密コンテンツの保護 エンドポイント検出タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2 [ルール セット] ページで、[アクション] 、 [新しいルール セット] を選択します。 名前を入力し、[OK] をク
リックします。
既存のルール セットに検出ルールを追加することもできます。
3 [検出] タブで、[アクション] 、 [新しいエンドポイント検出ルール] を選択して、次に [ローカル メール] また
は [ローカル ファイル システム] のいずれかを選択します。
適切なページが表示されます。
4 ルール名 を入力して、分類を選択します。
5 [対応] をクリックします。 ドロップダウン リストから防止アクションを選択します。
6 オプション: [インシデントのレポート] オプションを選択し、[状態] を [有効] に設定して、ドロップダウン リ ストから [重大度] の指定を選択します。
7 [保存] をクリックします。
スケジューラー定義の作成
スケジューラーは、検出スキャンを実行するタイミングと頻度を決定します。
5 つのスケジュール タイプが使用できます。
• すぐに実行 • 週単位
• 1 回だけ • 月次
• 毎日
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2 [定義] タブをクリックします。
3 左パネルで [スケジューラー] をクリックします。
McAfee DLP Discover と McAfee DLP Endpoint の両方がインストールされている場合、表示される既存のス ケジュールのリストには両方のスケジュールが含まれます。
4 [アクション] 、 [新規]の順に選択します。
[新しいスケジューラー] ページが表示されます。
5 一意の[名前]を入力して、ドロップダウン リストから [スケジュール タイプ] を選択します。
スケジュール タイプを選択して、そのタイプに必要なフィールをを入力すると、表示が変化します。
6 必要なオプションを入力し、[保存] をクリックします。
ルールを使用した機密コンテンツの保護
エンドポイント検出