Guest88

McAfee Host DLP 3.0

В этой теме 18 сообщений

New features

■Application and web application definitions

■Backward/forward compatibility

■Business justification

■Dictionaries

■Discovery

■Encrypted evidence

■Encrypt on demand with McAfee Endpoint Encryption

■ePO reports and notifications

■Event collection in ePolicy Orchestrator

■Lotus™ Notes support

■McAfee Encrypted USB integration

■Protection rule-based messages and hyperlinks

■Registered document repositories

■Regular expression validation

■Unmanaged printers

■WCF replaces DLP web service

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я так понял, что речь идет о McAfee Host DLP. Конечно, лучше уточнять такие вещи при старте топика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
....

А можно подробней и ответить на рядв вопросов?

1) Какие каналы и протоколы поддерживаются в новой версии?

2) Основной принцип все тот же -- метки на файлы?

3) какие требование по оборудованию и софту например на 1000 компов?

4) Как изменилась в третей версии ценовая политика? Какие вообще принципы ценообразования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2) Основной принцип все тот же -- метки на файлы?

как я тебе говорил, у них смесь меток и отпечатков. гибрид такой сделан - если меченный файл открывается, с его содержимого снимаются отпечатки для контроля за перемещением содержимого меченного файла через буфер обмена и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1) Какие каналы и протоколы поддерживаются в новой версии?

2) Основной принцип все тот же -- метки на файлы?

В версии 3 McAfee DLP Host произошли значительные изменения, в особенности - по детектированию конфиденцилаьной информации:

- появилась возможность контроля по цифровым отпечаткам, преварительно снятым централизованно (как в Websense и Symantec)

- появилась возможность ведения словарей (а не только стоп-слов) для детектирования конфиденциального контента (с возможностью установки весов словам), - немного приближается к возможностям InfoWatch, но без русской морфологии конечно

Плюс,

появилась возможность локального сканирования для поиска конфидиенциальных документов (по словам, регулярным выражениям, цифровым отпечеткам)

Порадовало, что пропали глюки 2-й версии связанные с русским языком и появилась нормальная поддержка работы на машинках с Vista.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В версии 3 McAfee DLP Host произошли значительные изменения, в особенности - по детектированию конфиденцилаьной информации:

- появилась возможность контроля по цифровым отпечаткам, преварительно снятым централизованно (как в Websense и Symantec)

- появилась возможность ведения словарей (а не только стоп-слов) для детектирования конфиденциального контента (с возможностью установки весов словам), - немного приближается к возможностям InfoWatch, но без русской морфологии конечно

Плюс,

появилась возможность локального сканирования для поиска конфидиенциальных документов (по словам, регулярным выражениям, цифровым отпечеткам)

Порадовало, что пропали глюки 2-й версии связанные с русским языком и появилась нормальная поддержка работы на машинках с Vista.

Интеграция c Reconnex осуществлена или так и осталось позиционирование как Host DLP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интеграция c Reconnex осуществлена или так и осталось позиционирование как Host DLP?

Железку McAfee DLP Network (Reconnex) еще не получили. Ждем (недели 2 осталось)

... дополнение от 4.09.2009 об интеграции:

Интеграция между шлюзовыми и агентскими компонентами может быть нескольких уровней:

0) независимая работа 2 компонент

1) независимая работа, но интегрированная отчетность по статистике инцидентов

2) обработка текущих инцидентов из 2 подсистем ведется в единой консоли

3) использование единых методов детектирования в 2 подсистемах

4) единые политики для 2 подсистем

5) полная интеграция включая корреляцию событий из разных подсистем.

Если говорить об интеграции McAfee Host DLP (Onigma) и Network DLP (Reconnex), то они сейчас добрались до 2-го уровня:

Благодаря дополнительным модулям возможен экспорт инцидентов Network DLP в ePolicy Orchestrator,

либо наоборот, инцидентов Host DLP - в консоль Network DLP.

Политики и методы детектирования в 2 подсистемах пока не объединены.

А вот интеграция с шифрованием порадовала: По одному из сценариев защиты можно установить такие правила, что при попытке скопировать конфиденциальный документ в недоверенную зону (флешку) документ будет записан в зашифрованном виде (открыть можно будет только при наличии агента McAfee на рабочей станции).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В версии 3 McAfee DLP Host произошли значительные изменения, в особенности - по детектированию конфиденцилаьной информации:

- появилась возможность контроля по цифровым отпечаткам, преварительно снятым централизованно (как в Websense и Symantec)

- появилась возможность ведения словарей (а не только стоп-слов) для детектирования конфиденциального контента (с возможностью установки весов словам), - немного приближается к возможностям InfoWatch, но без русской морфологии конечно

Доброго дня,

Поясните пожалуйста понятие "установка весов словами". Как это реализовано? Устанавливается порог срабатывания при попадании в документ определенного количества слов из словаря?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот интеграция с шифрованием порадовала: По одному из сценариев защиты можно установить такие правила, что при попытке скопировать конфиденциальный документ в недоверенную зону (флешку) документ будет записан в зашифрованном виде (открыть можно будет только при наличии агента McAfee на рабочей станции).

Я тихо извиняюсь,а можно сразу попутный вопрос:если тот же докумет,к примеру,вначале заархивировать в rare с паролем или криптануть чем-л.,а потом записать на флэшку-какой будет результат?документ так можно вынести?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Доброго дня,

Поясните пожалуйста понятие "установка весов словами". Как это реализовано? Устанавливается порог срабатывания при попадании в документ определенного количества слов из словаря?

Спасибо.

Механизм достаточно стандартный для словарей:

Каждому слову/словосочетанию присваивается свой вес в водимом словаре. Суммарный вес документа складывается из весов встретившихся слов, помноженный на коэффицент, зависящий от частоты попадания слова. Если порог срабатывания достигнут, документу присваивается определенная категория, на основании которой будут применяться правила реакции. С вариантами пересечения разных категорий мы еще не экспериментировали.

Я тихо извиняюсь,а можно сразу попутный вопрос:если тот же докумет,к примеру,вначале заархивировать в rare с паролем или криптануть чем-л.,а потом записать на флэшку-какой будет результат?документ так можно вынести?

И такой сценарий продуман: Если пытаться положить документ "A" в архив с паролем средствами рабочей станции, на которой установлен агент McAfee Host DLP, то результирующий зашифрованный архив "B" унаследует те же самые метки, что и документ "A". Поэтому вынести "B" не получится, - так же как и исходный документ "A".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть некоторые неясности:

■Application and web application definitions

Что подразумевается здесь под понятием 'definitions'?

■Backward/forward compatibility

■Business justification

Поподробнее...

■Encrypted evidence

■Encrypt on demand with McAfee Endpoint Encryption

Это отличная новость! Интеграция с другими продуктами McAfeee - только плюс, но вот в чем

состоит заявленная интеграция с

■McAfee Encrypted USB integration ?

■Unmanaged printers

Интересно, есть где-ниубдь про это поподробнее..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Есть некоторые неясности:

Что подразумевается здесь под понятием 'definitions'?

Поподробнее...

Это отличная новость! Интеграция с другими продуктами McAfeee - только плюс, но вот в чем

состоит заявленная интеграция с

■McAfee Encrypted USB integration ?

Интересно, есть где-ниубдь про это поподробнее..

Павел, вы же работаете в Symantec-e, в одном здании с офисом McAfee, многие из ваших коллег совместно обедают. Спросите описание продукта - уверен вам не откажут. Помогут конкурентам понять что у них плохо, а что хорошо :) Версия McAfee Host DLP 3.0 - уже не является актуальной, т.к. на подходе сразу 9.0 (3.1)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Павел, вы же работаете в Symantec-e, в одном здании с офисом McAfee, многие из ваших коллег совместно обедают.

Простите, это откуда такая информация?

Вообще я считаю, что если уж новость о новом продукте опубликована на этом сайте, то я и другие пользователи имеют право знать

подробности, а не только лишь список того, что в этом продукте нового.

Я думаю всем будет интересно узнать о новых функциях, а не просто прочитать "unmanaged printers" и догадываться, что

этим имелось ввиду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(kreatur @ 11.12.2009, 13:37) *

Доброго дня,

Поясните пожалуйста понятие "установка весов словами". Как это реализовано? Устанавливается порог срабатывания при попадании в документ определенного количества слов из словаря?

Спасибо.

Механизм достаточно стандартный для словарей:

Каждому слову/словосочетанию присваивается свой вес в водимом словаре. Суммарный вес документа складывается из весов встретившихся слов, помноженный на коэффицент, зависящий от частоты попадания слова. Если порог срабатывания достигнут, документу присваивается определенная категория, на основании которой будут применяться правила реакции. С вариантами пересечения разных категорий мы еще не экспериментировали.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
■Event collection in ePolicy Orchestrator

Кто-нибудь из знатоков продукта знает, что здесь имеется в виду под корреляцией событий в ePO?

События от McAfee Host DLP могут как-то учитывать события от других компонент корпоративной защиты? Или наоборот через ePO другие компоненты учитывают события от McAfee Host DLP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, и еще вопросы появились:

1) Каков memory footprint и размер отпечатка данных (fingerprint) в последней версии?

2) Не планируется ли сделать интеграцию всех технологий в один агент, а не в тысячу, как сейчас:

- McAfee Device Control - отдельный агент/консоль, но управляется с ePO

- McAfee Host DLP - отдельный агент/консоль

- McAfee Port Control - отдельный агент/консоль

Или продукты Port Control и Device Control планируется развивать как отдельное направление, не связанное с DLP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, и еще вопросы появились:

1) Каков memory footprint и размер отпечатка данных (fingerprint) в последней версии?

2) Не планируется ли сделать интеграцию всех технологий в один агент, а не в тысячу, как сейчас:

- McAfee Device Control - отдельный агент/консоль, но управляется с ePO

- McAfee Host DLP - отдельный агент/консоль

- McAfee Port Control - отдельный агент/консоль

Или продукты Port Control и Device Control планируется развивать как отдельное направление, не связанное с DLP?

1. От 30 до 55 мегабайт - взависимости от количества включенных Handlers.

2. Все это и находится в одном агенте, а разделяется функционал только по приобретённой лицензии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
События от McAfee Host DLP могут как-то учитывать события от других компонент корпоративной защиты? Или наоборот через ePO другие компоненты учитывают события от McAfee Host DLP?

там в ePO - все в одном горшке.

зависит только от приобретенных лицензий.

мне DLP оказались не по карману.

кстати пару недель назад обновленный ePO вышел.

http://www.anti-malware.ru/forum/index.php...amp;#entry93028

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...