Контентная блокировка (условие Текст)
Блокирование передачи данных при обнаружении заданного текста, соответствующего одному из условий:
- все указанные слова;
- любое из перечисленных слов;
- точное слово или фраза;
- ни одно из слов.
При вводе нескольких слов или фразы используйте пробелы в качестве разделителей.
При поиске по ключевым словам (тексту) можно установить уточняющие параметры поиска. Для отображения области параметров нажмите кнопку-экспандер справа от поля ввода. Доступные параметры:
- Нечеткий поиск — поиск указанных слов, содержащих ошибки (опечатки) в написании. При активации данной опции, с помощью ползунка можно установить количество букв, по которому анализируемое слово будет отличаться от заданного. Примите во внимание, что количество опечаток должно быть в три раза меньше, чем длина самого короткого слова в поиске.
- Расстояние между словами (только для поиска по всем указанным словам) — поиск всех введенных в строку слов с учетом расстояния между ними. Например, при установке значения «5» правило будет срабатывать при обнаружении введенного словосочетания, только если между отдельными словами в нем будет не более пяти других слов.
- Соблюдать порядок слов (только при активированной опции «расстояние между словами») — срабатывание правила блокировки, если все указанные слова были обнаружены в том же порядке, в каком они были введены в текстовое поле.
- Транслитерация — срабатывание правила блокировки для введенных слов и их транслитерации латинскими символами. Например, при вводе в текстовое поле слова «стол» будет также использовано слово «stol».
- С учетом морфологии — использование в правиле всех грамматических форм введенного слова.
- Количество вхождений — количество совпадений при сравнении анализируемого текста с заданным набором слов, при достижении которого будет выполняться блокировка. Примите во внимание, что при комбинации параметра Число вхождений с условием Все указанные слова необходимы совпадения по всем заданным словам. При комбинации заданного числа вхождений с условием Любое из перечисленных слов будут учитываться совпадения любых найденных слов.
Блокировка по дате (условие Дата)
Блокировка передачи данных в заданную дату/диапазон дат.
Параметры сравнения:
- Равно—в указанную дату.
- Не равно—в любые даты, кроме указанной.
- В диапазоне—в указанный период.
- Вне диапазона—в любые даты, кроме указанного периода.
Блокировка по времени (условие Время)
Блокировка передачи данных по времени.
Параметры сравнения:
- В диапазоне—в указанный временной диапазон.
- Вне диапазона—за все время, кроме указанного временного диапазона.
Блокировка по дням недели (условие День недели)
Блокировка передачи данных по дням недели.
Параметры сравнения:
- Равно—в указанный день недели.
- Не равно—в любые дни недели, кроме указанного.
Блокировка по статусу документа (условие Статус документа)
Доступные для поиска статусы, которые присваивает документам система SecureTower:
- Шифрован—данные зашифрованы или доступ к информации запрещен (защищенные паролем архивы, документы MS Word, MS Excel);
- Расшифрован—данные были расшифрованы (зашифрованные данные, переданные по протоколу SSL, которые были перехвачены и расшифрованы агентом);
- Поврежден—данные были повреждены (данные, которые были повреждены при пересылке либо изначально);
- Документ верхнего уровня—данные были переданы индивидуально, а не в составе родительского документа. Документами верхнего уровня могут являться как документы, включающие в себя дочерние (архивный файл, почтовое сообщение или переписка с вложениями), так и отдельные документы.
Для каждого условия блокировки предусмотрен параметр сравнения—Да или Нет.
Блокировка по IP-адресу (условие IP-адрес)
Доступные условия блокировки отправки данных с отдельных IP-адресов:
- Локальный или удаленный IP-адрес.
- Локальный IP-адрес.
- Удаленный IP-адрес.
Параметры сравнения:
- Равно—блокировка отправки данных только с указанного IP-адреса/порта.
- Не равно—блокировка отправки данных со любых IP-адресов/портов, кроме указанного.
- В диапазоне—блокировка отправки данных с диапазона IP-адресов/портов.
- Вне диапазона—блокировка отправки данных со любых IP-адресов/портов, кроме попадающих в указанный диапазон.
Блокировка передачи данных с использованием SSL-соединения (условие SSL)
Доступные параметры сравнения для правила блокировки отправки данных по протоколу HTTP(S) с использованием SSL-канала связи:
- Да—блокировка отправки данных с использованием SSL-канала связи.
- Нет—блокировка отправки данных без использования SSL-канала связи.
Блокировка передачи данных в зависимости от использования HTTP-метода (условие HTTP-метод)
Система позволяет определять и блокировать следующие типы запросов, отправленные по HTTP(S)-протоколу:
Перед составлением правила блокировки по HTTP-методу рекомендуем изучить структуру HTTP-запросов.
Для более эффективной работы правил блокировки используйте условия блокировки по HTTP-методу в составе комбинированных правил.
Блокировка по веб-полю (условие Веб-поле)
Запросы, отправляемые по HTTP(S)-протоколу, могут быть заблокированы на основании
анализа содержимого веб-полей. В системе доступна блокировка по предустановленным или пользовательским веб-полям.
Доступные типы условий:
- Относительный URI—поиск и блокировка запросов, запрашиваемый URI которых соответствует заданному условию;
- Host—поиск и блокировка запросов, соответствующих условию, заданному для поля заголовка Host;
- Content-Length—поиск и блокировка запросов, длина которых в байтах соответствует условию, заданному для поля заголовка Content-Length;
- User-Agent—поиск и блокировка запросов, удовлетворяющих условию, заданному
для поля заголовка User-Agent.
- Другое—поиск и блокировка запросов, соответствующих условию, заданному для пользовательского веб-поля. При выборе типа «Другое» из списка, поле становится доступным для ввода пользовательского значения.
Параметры сравнения:
- присутствует. Правило блокировки срабатывает только при наличии указанного веб-поля в заголовке HTTP-запроса. При выборе данного параметра сравнения дополнительное текстовое поле не отображается.
- отсутствует. Правило блокировки срабатывает только при отсутствии указанного веб-поля в заголовке HTTP-запроса. При выборе данного параметра сравнения дополнительное текстовое поле не отображается.
- Содержит.
- Не содержит.
- Не начинается с.
- Заканчивается на.
- Не заканчивается на.
- Равно.
- Не равно.
- Список значений.
- В диапазоне (только для типов условий «Content-Length» или «Другое»).
- Вне диапазона (только для типов условий «Content-Length» или «Другое»).
Примеры использования:
Для блокировки определенного формата данных выберите условие Content-Type, параметр сравнения «Содержит» и далее задайте уточняющее условие.
Для ограничения размера запроса в байтах выберите поле Content-Length, параметр «Вне диапазона», а затем пороговые значения диапазона.
Для блокировки доступа к отдельным страницам выберите поля URI и/или Host, параметры «Содержит» или «Равно», уточняющее условие. Для блокировки доступа ко всем ресурсам, кроме указанных, для тех же полей выберите параметры «Не равно» и «Не содержит».
Для блокировки сетевой активности служебных и вредоносных программ, в веб-запросах которых, как правило, отсутствует поле заголовка User-Agent, используйте одноименное условие блокировки с параметром «Отсутствует».
Блокировка по параметрам файла (условие Файл)
Блокировка передачи данных с использованием буфера обмена на основании атрибутов:
Параметры сравнения:
Параметры сравнения:
- содержит;
- не содержит;
- расширение не соответствует типу—условия для блокировки файлов, расширение которых было изменено.
Блокировка по категориям сайтов (условие Категории сайтов)
Блокировка передачи данных сайтов, относящихся к заранее указанным категориям.
Для выбора категории установите курсор в поле ввода, откроется список доступных системных и пользовательских категорий. Выберите нужную категорию или начните вводить название категории в поле, при обнаружении совпадений под полем будут отображаться значения, соответствующие условию фильтрации с подсветкой совпадающих комбинаций в названиях категорий.
Параметры сравнения:
- Равно—блокировка сайтов, относящихся к указанной категории.
- Не равно—блокировка сайтов, относящихся ко всем категориям, кроме указанных.
Блокировка по произвольному атрибуту (условие Произвольный атрибут)
Блокировка передачи данных на основании указанных значений заданных атрибутов.
Для выбора атрибута раскройте список доступных атрибутов и выберите нужный или начните вводить имя атрибута в поле, при обнаружении совпадений под полем будут отображаться значения, соответствующие условию фильтрации с подсветкой совпадающих комбинаций в названиях атрибутов.
Параметры сравнения:
Для уточнения атрибутов рекомендуется использовать функцию Детальная информация при просмотре результатов поиска в Консоли пользователя. Для получения более подробной информации о типах атрибутов обратитесь в службу технической поддержки Falcongaze SecureTower.
Блокировка по произвольному запросу (условие Произвольный запрос)
Блокировка передачи данных в соответствии с условиями, указанными в произвольных запросах.
Для составления запроса используйте синтаксис языка поисковых запросов SecureTower. Дополнительная информация о правилах записи, применяемых в языке SecureTower, приведена в Приложении 1 Руководства системного администратора. Дополнительную информацию о правилах составления запроса можно получить у сотрудников службы технической поддержки Falcongaze SecureTower.
Блокировка по пользователю (условие Пользователь)
Блокировка передачи данных определенных пользователей.
Условия:
- имя пользователя;
- SID пользователя;
- отображаемое имя пользователя.
Параметры сравнения:
- Равно—блокировка передачи данных конкретного пользователя.
- Не равно—блокировка передачи данных любых других пользователей, кроме указанного.
Блокировка по размеру письма в правиле (условие Размер)
При составлении правила блокировки примите во внимание, что при анализе учитывается не исходный размер письма. При передаче формат письма изменяется, а размер письма увеличивается из-за добавления к телу письма заголовка и кодировки прикрепленных файлов в текстовый формат.
Параметры сравнения:
- Равно—блокировка писем определенного размера.
- Не равно—блокировка писем любого размера, кроме указанного.
- В диапазоне—блокировка писем размера, попадающего в указанный диапазон.
- Вне диапазона—блокировка писем любого размера, кроме соответствующего заданному диапазону.
При указании значений размера доступен выбор единиц измерения: байт, килобайт, мегабайт, гигабайт.
Блокировка по компьютеру/домену (условия Компьютер, Домен).
Блокировка передачи данных по атрибутам:
Блокировка по почтовым атрибутам (условие Почта)
Доступные условия блокировки почтовых сообщений:
- Отправитель—возможность блокировки писем по полю «Отправитель». При вводе нескольких позиций используйте пробел в качестве разделителя.
Параметры сравнения:
- Содержит—поле содержит заданные значения;
- Не содержит—поле содержит любые значения, кроме указанных;
- Отсутствует—поле «Отправитель» отсутствует.
- Получатель—возможность блокировки писем по полю «Получатель». При вводе нескольких позиций используйте пробел в качестве разделителя.
Параметры сравнения:
- Содержит—поле содержит заданные значения;
- Не содержит—поле содержит любые значения, кроме указанных.
- Тема—возможность блокировки по содержимому поля «Тема».
Параметры сравнения:
- Содержит—поле содержит заданные значения;
- Не содержит—поле содержит любые значения, кроме указанных;
- Отсутствует—поле «Тема» отсутствует.
- Команда SMTP протокола (MAIL FROM или RCPT TO)—возможность блокировки писем по командам SMTP протокола.
Параметры сравнения:
- Содержит—команда MAIL FROM или RCPT TO содержит заданные идентификаторы отправителя или получателя почтового сообщения;
- Не содержит— команда MAIL FROM или RCPT TO не содержит заданные идентификаторы отправителя или получателя почтового сообщения.
- Письма с вложениями—возможность блокировки по прикрепленным файлам.
Параметры сравнения:
- Да—письмо содержит прикрепленные файлы;
- Нет—письмо не содержит прикрепленные файлы;
- Количество вложений—письмо содержит заданное количество вложений, уточняющие параметры: «Равно», «Не равно», «В диапазоне», «Вне диапазона».
- UserDN (только для правил блокировки почты по MAPI)—возможность блокировки писем по полю «user_dn». В письмах, перехваченных по протоколу MAPI, не всегда есть поле «Отправитель». В таких ситуациях уникальное доменное имя в поле UserDN позволяет идентифицировать отправителя.
Параметры сравнения:
- Содержит—поле содержит заданные значения;
- Не содержит—поле содержит любые значения, кроме указанных.
- Количество получателей—возможность блокировки писем по количеству получателей.
Параметры сравнения:
- Равно—блокировка писем с заданным количеством получателей;
- Не равно—блокировка писем с любым количеством получателей, кроме указанного;
- В диапазоне—блокировка писем с количеством получателей в заданном диапазоне;
- Вне диапазона—блокировка писем с количеством получателей, кроме указанного.
- Поле заголовка письма—возможность блокировки писем по служебным атрибутам в поле заголовка письма. Служебный атрибут вводится при составлении правила вручную. Для поиска по большому атрибуту введите часть значения и добавьте символ «*» в конце.
Параметры сравнения:
- Содержит—поле содержит заданные значения;
- Не содержит—поле содержит любые значения, кроме указанных.
Примечание. Для корректной работы правила включите опцию Индексирование заголовков писем в настройках базы данных.
Блокировка по принтеру (условие Принтер)
Блокировка отправки данных на виртуальный, локальный или сетевой принтер:
- Имя принтера—блокировка отправки документа на принтер, содержащий в имени принтера заданные значения.
- Название документа—блокировка отправки на печать документа, содержащего в названии заданные значения.
Параметры сравнения:
Блокировка по типу контролируемых данных (условие Контролируемые данные)
Возможность блокировки передачи следующих типов данных:
- текст;
- изображения;
- файлы;
- прочие данные.
При анализе перехваченных данных агент группирует их по типам: текст, изображения, файлы. Данные, которые по каким-то причинам не удалось отнести к одному из трех типов, попадают в группу «Прочие данные».
Блокировка по операции с буфером обмена (условие Операция)
Возможность блокировки операций:
- копирования в буфер обмена;
- вставки из буфера обмена.
Блокировка по внешнему накопителю (условие Внешний накопитель)
Доступные условия блокировки:
- Серийный номер—серийный номер внешнего накопителя, запись на который нужно заблокировать;
- Производитель—производитель внешнего накопителя, запись на который нужно заблокировать;
- Название устройства—название внешнего накопителя, запись на который нужно заблокировать;
- Идентификатор производителя—идентификационный номер производителя внешнего устройства, запись на который нужно заблокировать (VendorID);
- Идентификатор продукта—идентификационный номер внешнего накопителя (ProductID).
Параметры сравнения:
- Равно—блокировка внешнего накопителя с заданным значением выбранного условия.
- Не равно—блокировка внешнего накопителя с любым значением по выбранному условию при поле содержит любые значения, кроме указанных;
- Содержит—блокировка внешнего накопителя, содержащего в выбранном условии заданные значения.
- Не содержит—блокировка внешнего накопителя, не содержащего в выбранном условии заданные значения.
Блокировка по параметрам процесса (условие Процесс)
Блокировка передачи данных, получаемых процессами, на основании следующих атрибутов:
- Название файла;
- Полный путь к файлу;
- Заголовок окна;
- Параметры запуска процесса.
Параметры сравнения:
- Содержит—атрибут содержит заданное значение;
- Не содержит—атрибут не содержит заданное значение.
Блокировка по хеш-сумме (условие Хеш-сумма).
Возможность блокировки процесса по хеш-сумме исполняемого файла в зависимости от алгоритма хеширования:
- CRC—блокировка запуска процесса по хеш-сумме исполняемого файла, рассчитанной по алгоритму CRC;
- MD-5—блокировка запуска процесса по хеш-сумме исполняемого файла, рассчитанной по алгоритму MD-5;
- SHA-1—блокировка запуска процесса по хеш-сумме исполняемого файла, рассчитанной по алгоритму SHA-1;
- SHA-256—блокировка запуска процесса по хеш-сумме исполняемого файла, рассчитанной по алгоритму SHA-256.
Параметры сравнения:
Блокировка по метаданным (условие Метаданные)
Возможность блокировки запуска процесса по атрибутам исполняемого файла:
- Компания;
- Авторское право;
- Версия;
- Название продукта;
- Исходное имя файла.
Параметры сравнения:
Блокировка по категории приложений (условие Категория приложений)
Возможность блокировки запуска приложения по пользовательской или системной категории. Для выбора категории установите курсор в поле ввода, откроется список доступных системных и пользовательских категорий. Выберите нужную категорию или начните вводить название категории в поле, при обнаружении совпадений под полем будут отображаться значения, соответствующие условию фильтрации с подсветкой совпадающих комбинаций в названиях категорий.
Параметры сравнения: