McAfee DLP Discover

製品ガイド
改訂 A
McAfee Data Loss Prevention Discover
10.0.0
McAfee ePolicy Orchestrator 用
著作権
© 2016 Intel Corporation
商標
Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee
Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat
Intelligence、マカフィーリブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee
TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標
です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます)
をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文
書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェアパッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規
定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額
全額をお返しいたします。
2
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
目次
5
まえがき
このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1
製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
概要
7
ソフトウェアの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
スキャンの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
McAfee DLP Discover のインストール
8
11
McAfee DLP Discover インストールのオプションと注意事項 . . . . . . . . . . . . . . . . . .
11
システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
McAfee DLP Discover が使用するデフォルトのポート . . . . . . . . . . . . . . . . . . . . . 12
McAfee DLP Discover のアップグレードの検討 . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Discover のインストール . . . . . . . . . . . . . . . . . . . . . . . . . .
13
14
McAfee DLP 拡張ファイルのインストールとライセンス . . . . . . . . . . . . . . . . .
14
McAfee ePO を使用したサーバーパッケージのインストールまたはアップグレード . . . . . . .
15
サーバーパッケージの手動インストールまたはアップグレード . . . . . . . . . . . . . . . 16
インストール後のタスクの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
インストールの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
Rights Management サーバーの定義 . . . . . . . . . . . . . . . . . . . . . . . . 17
エビデンスフォルダーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
18
21
スキャンとポリシーの設定
スキャンタイプの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
インベントリスキャンの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
分類スキャンの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
修復スキャンの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
スキャンの注意事項と制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
定義と分類をスキャンと一緒に使用する . . . . . . . . . . . . . . . . . . . . . . . . . .
25
分類の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
高度なパターンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
ディクショナリの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
ルールとスキャンの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
スキャンのポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
スキャンの定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
分類の定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
分類の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
修復スキャンのルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
スキャンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
インベントリスキャンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
3
目次
分類スキャンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
修復スキャンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
39
スキャン操作の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
スキャン動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
McAfee DLP 権限セットの割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
McAfee DLP 権限セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . .
42
編集による機密の保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4
45
スキャンしたデータの分析
McAfee DLP Discover の OLAP の使用法 . . . . . . . . . . . . . . . . . . . . . . . . .
45
スキャン結果を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
スキャン結果の解析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
インベントリ結果の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5
49
インシデントと操作イベント
モニタリングとレポートイベント . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
DLP インシデントマネージャー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
インシデントマネージャーの動作の仕組み . . . . . . . . . . . . . . . . . . . . . .
50
レビューアー設定タスクの作成 . . . . . . . . . . . . . . . . . . . . . . . . . .
52
自動メール通知タスクの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
イベントの完全削除タスクの作成 . . . . . . . . . . . . . . . . . . . . . . . . .
53
サーバータスクの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
結果のモニタータスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
インシデントの取り扱い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
インシデントの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
インシデントのソートとフィルタリング . . . . . . . . . . . . . . . . . . . . . . .
55
55
列表示の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
インシデントフィルターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
56
インシデントの詳細の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
インシデントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
単一のインシデントの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
複数のインシデントの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
ラベルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
ケースの取り扱い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
ケースの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
ケースの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
ケース情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
インシデントのケースへの割り当て . . . . . . . . . . . . . . . . . . . . . . . . . 62
ケースからのラベルの追加と削除 . . . . . . . . . . . . . . . . . . . . . . . . .
63
ケースの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
ケースへのラベルの追加と削除 . . . . . . . . . . . . . . . . . . . . . . . . . .
64
ケースの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
索引
4
McAfee Data Loss Prevention Discover 10.0.0
67
製品ガイド
まえがき
このガイドでは、McAfee 製品の操作に必要な情報を提供します。
目次
このガイドについて
製品マニュアルの検索
このガイドについて
ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。
対象読者
McAfee では、対象読者を限定してマニュアルを作成しています。
このガイドの情報は、主に以下の読者を対象としています。
•
管理者－企業のセキュリティプログラムを実装し、施行する担当者。
表記法則
このガイドでは、以下の表記規則とアイコンを使用しています。
『マニュアルのタイト
ル』、用語または強調
太字
マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。
特に強調するテキスト
ユーザーの入力、コード、コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。
メッセージ
[インターフェースのテ
キスト]
オプション、メニュー、ボタン、ダイアログボックスなど、製品のインターフェースの
テキストを表します。
ハイパーテキスト (青
色)
トピックまたは外部の Web サイトへのリンクを表します。
注: 追加情報 (オプションにアクセスする別の方法など) を表します。
ヒント: ヒントや推奨事項を表します。
重要/注意: コンピューターシステム、ソフトウェア、ネットワーク、ビジネス、データ
の保護に役立つ情報を表します。
警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項
を表します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
5
まえがき
製品マニュアルの検索
製品マニュアルの検索
[ServicePortal] では、リリースされた製品の情報 (製品マニュアル、技術情報など) を入手できます。
タスク
6
1
[ServicePortal] (https://support.mcafee.com) に移動して、[Knowledge Center] タブをクリックします。
2
[Knowledge Base] ペインの [コンテンツのソース] で [製品マニュアル] をクリックします。
3
製品とバージョンを選択して [検索] をクリックします。マニュアルの一覧が表示されます。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
1
概要
®
McAfee Data Loss Prevention Discover (McAfee DLP Discover) は、ソフトウェアベースのネットワーククロ
ーラーで、ネットワークファイルシステムをスキャンし、機密ファイルと機密データを特定して保護します。
McAfee DLP Discover は、指定した Microsoft Windows サーバーで実行され、設定、ポリシー管理、およびスキ
ャン分析機能を McAfee ePolicy Orchestrator (McAfee ePO ) と統合します。
®
®
™
利点
McAfee DLP Discover スケーラブルで、あらゆるサイズのネットワークの要件に対応する、拡張性のあるソフトウ
ェアシステムです。 McAfee DLP Discover ソフトウェアを、ネットワーク上の必要な数のサーバーに配備します。
McAfee DLP Discover は以下の目的に使用します。
•
機密コンテンツの検出と分類
•
機密コンテンツの移動またはコピー
•
Microsoft Rights Management Service と統合してファイルに保護を適用
•
空ファイルの検出、権限の決定、指定期間に変更されたファイルの一覧作成、といった IT タスクの自動化
サポートされているリポジトリ
McAfee DLP Discover は、以下のタイプのリポジトリをサポートします。
•
Box
•
CIFS (Common Internet File System)
•
SharePoint 2010 および 2013
SharePoint Enterprise Search Center (ESS) Web サイトはサポされていません。 ESS Web サイトは、ファ
イルを含まずに元のファイルへのリンクのみを統合します。 ESS Web サイトでは、実際のサイトの集合または
Web アプリケーション全体をスキャンします。
目次
ソフトウェアの動作
スキャンの種類
ソフトウェアの動作
®
McAfee ePO は McAfee Agent を使用して、McAfee DLP Discover ソフトウェアを Discover サーバー — 指定
した Windows サーバーにインストールして配備します。
McAfee ePO は、スキャンポリシーを Discover サーバーに適用します。スケジュールされた時間に、Discover
サーバーはリポジトリをスキャンします。収集したデータとファイルに適用されたアクションは、スキャンタイプ
と設定に依存します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
7
1
概要
スキャンの種類
McAfee ePO を使用して、以下のような設定と分析タスクを実行します。
•
利用可能な Discover サーバーの表示
•
データ分析とインベントリ結果の確認
•
スキャンの設定とスケジュール設定
•
修復スキャンで生成されたインシデントの確認
•
定義、分類、ルールなどのポリシー項目の設定
用語
以下の用語には McAfee DLP Discover に固有の定義があります。
表 1-1
McAfee DLP Discover 用語
用語
定義
巡回
リポジトリからのファイルまたはメタデータを取得します。
分類
機密のコンテンツとファイルの特定と追跡に使用します。
分類は、テキストパターン、ディクショナリ、ドキュメントプロパティなどのコンテンツを検索しま
す。
定義
McAfee DLP Discover スキャンポリシーを組み立てる構成コンポーネントです。
定義は、スケジュール済みのスキャン時刻、スキャンするリポジトリ、およびファイルのメタデータ
など、検索するアイテムを定義します。
検出サーバ
ー
ファイル情
報
McAfee DLP Discover ソフトウェアがインストールされている Windows サーバーです。
複数の Discover サーバーをネットワークにインストールできます。
ファイル名、所有者、サイズ、拡張子、作成日、修正日、アクセス日などを含むことができる定義で
す。
ファイル情報定義はスキャンするファイルを追加または除外するフィルターに使用します。
パス
リポジトリ
UNC 名、IP アドレス、または Web アドレスです。
Box、CIFS または SharePoint サーバーです。
サーバーをスキャンするためのパス、認証情報を含むリポジトリ定義です。
スケジュー
ラー
スキャンの詳細と、毎日、毎週、毎月、一回のみ、今すぐなどのスケジュールタイプを指定する定義
です。
スキャンの種類
McAfee DLP Discover は 3 種類のスキャン — インベントリ、分類、修復をサポートしています。
インベントリスキャン
インベントリスキャンは、リポジトリ内にあるファイルの種類の高度な表示を提供します。このスキャンは、メタ
データのみを収集し、ファイルそのものは取得しません。 McAfee DLP Discover は、スキャンしたメタデータを異
なるコンテンツタイプにソートして、ファイルサイズ、ファイル拡張時などの属性を分析します。このスキャン
は、リポジトリの概要の作成、あるいは頻繁に使用されないファイルを特定する IT タスクに使用します。
分類スキャン
分類スキャンは、ターゲットのリポジトリにあるデータを理解するために利用できます。スキャンされたコンテンツ
を、テキストパターンやディクショナリなどの分類に照会することにより、データパターンを分析して最適化され
た修復スキャンを作成することができます。
8
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
概要
スキャンの種類
1
修復スキャン
修復スキャンは、ポリシーに違反しているデータを発見します。ファイルの監視、権限管理ポリシーの適用、コピ
ー、またはエクスポート先へのファイルの移動ができます。すべてのアクションは、McAfee ePO のインシデント
マネージャーにレポートするインシデントを作成できます。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
9
1
概要
スキャンの種類
10
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
2
McAfee DLP Discover のインストール
McAfee DLP Discover には、2 つのコンポーネント — McAfee ePO のユーザーインターフェースを提供する拡張
ファイル、およびソフトウェアを Discover サーバーにインストールするサーバーパッケージがあります。
目次
McAfee DLP Discover インストールのオプションと注意事項
システム要件
McAfee DLP Discover が使用するデフォルトのポート
McAfee DLP Discover のアップグレードの検討
McAfee DLP Discover のインストール
インストール後のタスクの実行
McAfee DLP Discover インストールのオプションと注意事項
McAfee DLP Discover は、物理サーバーまたは仮想サーバーで実行できます。 1 つまたは複数の Discover サーバ
ーをネットワークにインストールできます。
McAfee DLP Discover を McAfee ePO からあるいは手動でインストールします。
McAfee では、インストールには McAfee ePO の使用を推奨します。
®
McAfee DLP Discover に使用するすべてのサーバーに McAfee Agent がインストールされ実行され、McAfee
ePO と通信しており、McAfee ePO [システムツリー] に追加されていることを確認します。
McAfee Agent のインストールと実行の詳細は、『McAfee Agent 製品ガイド』を参照してください。
システム要件
McAfee DLP Discover には、各コンポーネントに対して異なる要件があります。
表 2-1 McAfee DLP Discover の要件
項目
要件
McAfee ePO
バージョン 5.1.3 以降
バージョン 5.3.1 以降
Discovery サーバーの要件
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
11
2
McAfee DLP Discover のインストール
McAfee DLP Discover が使用するデフォルトのポート
表 2-1 McAfee DLP Discover の要件 (続き)
項目
要件
ハードウェア
• CPU — Intel Core 2 64 ビット、最低 2 CPU
• RAM — 4 GB 以上
• ハードディスク — 100 GB 以上
仮想サーバ
• vSphere ESXi 5.0 Update 2 または 6.0
• vCenter Server 5.0 Update 2 または 6.0
オペレーティングシステム • Windows Server 2008 R2 Standard Service Pack 1 以降、64-bit
• Windows Server 2012 Standard (64 ビット版)
• Windows Server 2012 R2 Standard (64 ビット版)
Discover サーバーのインストールは、ドメインコントローラーまたはワークステー
ションではサポートされていません。
McAfee Agent
バージョン 5.0.2 以降
McAfee DLP Discover が使用するデフォルトのポート
McAfee DLP Discover は、スキャン通信にいくつかのポートを使用します。必要な場合は、中間にあるファイアウ
ォールまたはポリシーを強制するデバイスを、これらのポートを許可するように設定します。
一覧表示されたプロトコルは、別途記載しない限り、すべて TCP のみを使用します。
表 2-2
スキャン通信に使用するデフォルトのポート
ポート、プロトコル
使用目的
• 137、138、139 — NetBIOS
CIFS スキャン
• 445 — SMB
• 80 — HTTP
• 443 — SSL
12
McAfee Data Loss Prevention Discover 10.0.0
SharePoint スキャン
SharePoint サーバーは、非標準の
HTTP または SSL ポートを使用する
ように設定されている場合がありま
す。必要な場合は、非標準のポートを
許可するようにファイアウォールを設
定します。
製品ガイド
McAfee DLP Discover のインストール
McAfee DLP Discover のアップグレードの検討
表 2-2
2
スキャン通信に使用するデフォルトのポート (続き)
ポート、プロトコル
使用目的
53 — DNS (UDP)
DNS クエリー
• 1801 — TCP
Microsoft メッセージキュー (MSMQ)
• 135、2101*、2103*、2105 — RPC
• 1801、3527 — UDP
* は、初期化時に利用可能なポートに応じて、ポート番号を 11 づつ
増やすことができることを意味します。
詳細は、Microsoft KB 記事を参照してください https://
support.microsoft.com/en-us/kb/178517#/en-us/kb/
178517。
McAfee DLP Discover のアップグレードの検討
McAfee DLP Discover のアップグレード手順は、拡張ファイルとサーバーパッケージのインストール手順とほぼ同
じです。
1
既存のバージョンへの上書きによって拡張ファイルをアップグレードします。
2
Discover サーバーをアップグレードするには、以下のオプションのいずれかを使用します。
•
McAfee ePO を使用してサーバーパッケージを配備します。
•
パッケージを手動でサーバーにインストールします。
3
バージョン 9.4.0 からアップグレードする場合は、ポリシー設定が変更になるため、ポリシーを再適用します。
4
バージョン 10.x の Box スキャンなどの新しい機能を使用する場合は、適切な互換性オプションを選択する必要
があります。
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP 設定] を選択し、次に [後方互換性] で、[10.0.0.0 以
降] を選択します。
Discover サーバーをアップグレードする前に、McAfee ePO の拡張ファイルをアップグレードする必要があります。
McAfee DLP Discover では、より新しい拡張ファイルを使用して、より古いサーバーを管理することができます。古
いバージョンの拡張ファイルを使用して新しいサーバーを管理することはできません。
ソフトウェアのライセンスの再取得、またはエビデンスサーバーのパスの再入力は不要です。アップグレード後に
MSMQ が有効にされていない場合、または古いデータプログラムフォルダーあるいはレジストリが削除されていな
い場合は、Discover サーバーを再起動する必要がある場合があります。
再起動する必要がある場合は、McAfee DLP Discover が操作イベントを生成します。
•
サーバーパッケージを手動でインストールする場合は、サーバーが再起動のプロンプトを表示します。
•
McAfee ePO を使用した場合は、McAfee Agent の構成設定によっては、プロンプトが表示される場合がありま
す。
場合によっては、再起動して、Discover サーバーが操作イベントを送信した後でも、MSMQ が有効にならないことが
あります。その場合は、MSMQ を手動で有効にして、Discover サーバーサービスを起動します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
13
2
McAfee DLP Discover のインストール
McAfee DLP Discover のインストール
サポートされているアップグレードパスの詳細は、『McAfee Data Loss Prevention Discover リリースノート』
を参照してください。
既存のソフトウェアに同じバージョンのインストールに、ソフトウェアを上書きインストールしないでください。
McAfee DLP Discover のインストール
McAfee DLP 拡張ファイルとサーバーパッケージのインストール
サーバーパッケージは Discover サーバーに配備され、McAfee DLP Discover と、.NET、postgreSQL、AD RMS
クライアント 2.1、および C++ 再配布可能ファイルなどの必要なコンポーネントをインストールします。
タスク
•
14 ページの「McAfee DLP 拡張ファイルのインストールとライセンス」
拡張ファイルは、McAfee DLP を McAfee ePO に設定するためのユーザーインターフェースを提供し
ます。
•
15 ページの「McAfee ePO を使用したサーバーパッケージのインストールまたはアップグレード」
McAfee では、McAfee ePO を使用してサーバーパッケージをインストールすることを推奨します。
•
16 ページの「サーバーパッケージの手動インストールまたはアップグレード」
ネットワーク接続などの問題により、サーバーパッケージを McAfee ePO 経由でインストールできな
い場合は、McAfee DLP Discover を Discover サーバーに手動でインストールします。
McAfee DLP 拡張ファイルのインストールとライセンス
拡張ファイルは、McAfee DLP を McAfee ePO に設定するためのユーザーインターフェースを提供します。
開始する前に
•
McAfee DLP 拡張ファイルを McAfee ダウンロードサイトからダウンロードします。
または、McAfee ePO で、[メニュー | ソフトウェア | ソフトウェアマネージャー] に移動して、
ソフトウェアを表示、ダウンロード、インストールすることができます。
•
Internet Explorer のセキュリティ設定の信頼済みサイトに McAfee ePO サーバー名が一覧表示さ
れていることを確認します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [ソフトウェア] 、 [拡張ファイル] を選択して、[拡張ファイルのインストール]
をクリックします。
2
拡張ファイルの .zip ファイルを参照して、[OK] をクリックします。
インストールダイアログボックスにファイルパラメータが表示されるので、正しい拡張ファイルがインストー
ルされていることを確認します。
14
3
[OK] をクリックします。拡張ファイルがインストールされます。
4
ライセンスとコンポーネントをインストールして、インストールをカスタマイズします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
McAfee DLP Discover のインストール
McAfee DLP Discover のインストール
2
ライセンスをインストールすると、関連する McAfee ePO コンポーネントと McAfee ePO ポリシーカタログの
ポリシーが有効になります。ライセンスオプションは次のとおりです。
•
McAfee Device Control
•
McAfee DLP Endpoint (Device Control を含む)
•
McAfee DLP Discover
•
McAfee DLP ネットワーク
®
McAfee DLP Discover は、Device Control または McAfee DLP Endpoint のいずれかと一緒にインストールで
きます。 McAfee DLP ネットワークは、その他のオプションと一緒にインストールできます。
5
a
[メニュー] 、 [データ保護] の順に選択します。
b
[DLP 設定] または [McAfee DLP Discover] のいずれかを選択して、ライセンスを入力するプロンプトが表
示されたら [はい] をクリックします。
c
[キー] フィールドで、ライセンスを入力し、[追加] をクリックします。
d
必要に応じて、別のライセンスを追加します。
[デフォルトのエビデンスストレージ] フィールドに、パスを入力します。
エビデンスストレージパスは、\\[サーバー]\[ローカルパス] の形式のネットワークパスです。この手順は、
設定を保存してソフトウェアをアクティブ化するのに必要です。
6
[保存] をクリックします。
McAfee DLP モジュールは、ライセンスに従って [メニュー] 、 [データ保護] に表示されます。
McAfee ePO を使用したサーバーパッケージのインストールまたはアップグ
レード
McAfee では、McAfee ePO を使用してサーバーパッケージをインストールすることを推奨します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
2
サーバーパッケージをチェックインします。
a
McAfee ePO で、[メニュー] 、 [ソフトウェア] 、 [マスターリポジトリ] の順に選択します。
b
[パッケージをチェックイン] をクリックします。
c
サーバーパッケージの .ZIP ファイルを参照して、[次へ] をクリックします。
d
[保存] をクリックします。
クライアントタスクを作成します。
a
[メニュー] 、 [システムツリー] の順に選択します。
b
Discover サーバーを選択し、[アクション] 、 [エージェント] 、 [シングルシステムのタスクの変更] の順
に選択します。
c
[アクション] 、 [新規クライアントタスクの割り当て] の順に選択します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
15
2
McAfee DLP Discover のインストール
インストール後のタスクの実行
3
4
タスク割り当てを設定します。
a
[製品] 領域で、[McAfee Agent] を選択します。
b
[タスクのタイプ] で、[製品配備] を選択します。
c
[タスク名] 領域で、[新規タスクの作成] を選択します。
タスクを設定します。
a
[ターゲットプラットフォーム] 領域で、[Windows] を選択します。
b
[製品とコンポーネント] メニューで、[McAfee Discover Server] を選択します。
c
[アクション] メニューから [インストール] を選択します。
d
[保存] をクリックします。
5
新しいタスクの名前を選択して、[次へ] をクリックします。
6
タスクをいつ実行するかを設定して、[次へ] をクリックします。
7
[保存] をクリックします。
サーバーパッケージの手動インストールまたはアップグレード
ネットワーク接続などの問題により、サーバーパッケージを McAfee ePO 経由でインストールできない場合は、
McAfee DLP Discover を Discover サーバーに手動でインストールします。
タスク
1
DiscoverServerInstallx64.exe ファイルをダウンロードして、Discover サーバーに転送します。
2
ファイルをダブルクリックして画面の指示に従います。
インストール後のタスクの実行
インストールの確認とサーバー設定の構成
インストールの確認
McAfee DLP Discover が正常にインストールされ、McAfee ePO と通信していることを確認します。
インストールが失敗した場合は、McAfee DLP Discover が操作イベントを生成します。イベントを表示するには、
[メニュー] 、 [データ保護] 、 [DLP 操作] の順に選択します。
タスク
1
インストール後に MSMQ が有効にされていない場合、または古いデータプログラムフォルダーあるいはレジス
トリが削除されていない場合は、Discover サーバーを再起動する必要がある場合があります。
サーバーを再起動する必要がある場合は、McAfee DLP Discover が操作イベントを生成します。
•
サーバーパッケージを手動でインストールする場合は、サーバーが再起動のプロンプトを表示します。
•
McAfee ePO を使用した場合は、McAfee Agent の構成設定によっては、プロンプトが表示される場合があ
ります。
場合によっては、再起動して、Discover サーバーが操作イベントを送信した後でも、MSMQ が有効にならないこ
とがあります。その場合は、MSMQ を手動で有効にして、Discover サーバーサービスを起動します。
16
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
McAfee DLP Discover のインストール
インストール後のタスクの実行
2
MSMQ の有効化の詳細は、KB87274 を参照してください。
2
3
サーバーオペレーティングシステムで、McAfee DLP Discover のサービスとプロセスが実行していることを検
証します。
•
[ McAfee Discover サービス]
•
[ McAfee Discover サーバー Postgres サービス]
McAfee ePO のエージェントをウェークアップするか、Discover サーバーからプロパティを収集して送信しま
す。
•
McAfee ePO で、[メニュー] 、 [システムツリー] を選択して、[エージェントのウェークアップ] をクリッ
クします。
•
Discovery サーバーのシステムトレイから、McAfee アイコンをクリックし、[McAfee Agent ステータス
モニター] を選択して、[プロパティの収集と送信] をクリックします。
[ステータス] 列に、[DISCOVERxxx にポリシーを強制中] と表示されます。
4
Discover サーバーが検出されることを確認します。
a
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
b
[Discover サーバー] タブをクリックします。
検出されたサーバーのリストが表示されます。
サーバーが一覧表示されない場合は、[アクション] 、 [サーバーの検出] を選択します。タスクは、デフォル
トで 10 分ごとに実行されます。
5
ベストプラクティス: McAfee Agent のエージェント - サーバー通信の間隔を変更して分析データが最新のもの
になるようにします。
a
[メニュー] 、 [ポリシー] 、 [ポリシーカタログ] の順に選択します。
b
[製品] ドロップダウンメニューから [McAfee Agent] を選択します。
c
[カテゴリ] 列で、[全般] として一覧表示されているデフォルトポリシーを見つけて開きます。
d
[全般] タブの [エージェント - サーバー通信] 領域で、間隔を 5 に変更します。
Discover サーバーをアンインストールするには、Windows サーバーの [コントロールパネル] 、 [プログラムと機
能]を使用します。
Rights Management サーバーの定義
Microsoft Windows Rights Management サービスを McAfee DLP Discover に統合して RM ポリシーをファイ
ルに適用できます。
開始する前に
RM サーバーをセットアップして、ユーザーとポリシーを作成します。すべてのサーバーのポリシーテ
ンプレート URL とパスワードを取得します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
17
2
McAfee DLP Discover のインストール
インストール後のタスクの実行
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [登録済みのサーバー] の順に選択します。
2
[新しいサーバー] をクリックします。
3
[サーバータイプ] ドロップダウンリストで、[Microsoft RMS サーバー] を選択します。
4
サーバー設定の名前を入力して、[次へ] をクリックします。
5
必要な詳細情報を入力します。必要なフィールドを入力したら、[接続テスト] をクリックして入力したデータを
確認します。
6
[保存] をクリックします。
サーバー設定を構成して、RM サービス認証情報を設定します。
関連トピック:
18 ページの「サーバーの設定」
エビデンスフォルダーの作成
エビデンスフォルダーには、修復スキャンでファイルがルールに一致した場合のエビデンス情報が保存されます。
McAfee DLP のインストールによっては、フォルダーおよびネットワーク共有が作成され、プロパティとセキュリテ
ィ設定が適切に設定されている必要があります。
Discover サーバーのロールシステムアカウントなどの、エビデンスフォルダーに書き込むユーザーアカウントには
書き込み権限を設定する必要があります。 McAfee ePO からエビデンスを表示するには、McAfee ePO サーバーのロ
ーカルシステムアカウントに読み取りアクセスを許可する必要があります。
サーバーの設定
どのエビデンス共有を使用するかなどの設定を McAfee DLP Discover で設定します。
開始する前に
•
Rights Management サーバーを使用している場合は、ドメイン名、ユーザー名、およびパスワー
ドを取得します。
•
修復スキャンの実行を計画している場合は、社内で使用している SharePoint サーバーがごみ箱を使
用していることかどうかを調べます。この設定に不一致があると、修復スキャン時に、エラーが発
生するか予期しない動作が発生することがあります。
Rights Management またはテキスト抽出の詳細については、『McAfee Data Loss Prevention Endpoint 製品ガ
イド』を参照してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [ポリシー] 、 [ポリシーカタログ] の順に選択します。
2
[製品] ドロップダウンリストから、[Data Loss Prevention 9.4] を選択します。
3
(オプション) [カテゴリ] ドロップダウンリストから [サーバーの設定] を選択します。
McAfee DLP Discover のすべてのサーバー設定が表示されます。
18
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
McAfee DLP Discover のインストール
インストール後のタスクの実行
4
5
2
以下の操作のいずれかを実行してください。
•
編集するサーバーの設定を選択します。
•
[McAfee デフォルト] 設定の [複製] をクリックします。
[エビデンスコピーサービス] ページで、以下を実行します。
a
サービスを有効にするか無効にするかを選択します。
エビデンスコピーサービスを使用すると、修復スキャン時にエビデンスを保存できます。無効にすると、エ
ビデンスは収集されず、インシデントのみが生成されます。
b
エビデンスストレージ共有の UNC を入力します。ローカルシステムアカウントを使用しない場合は、エビ
デンスを保存するユーザー名とパスワードを入力します。
c
オプション: デフォルトの [エビデンスファイルの最大サイズ] と [エビデンス転送の最大帯域幅] のフィル
ターをリセットします。
d
元のファイルの保存を有効にするか無効にするか選択します。
[無効にする] を選択すると、個々のルールの [元のファイルを保存] の設定を上書きします。
e
6
分類の検索を、[簡略的な結果] または [すべての一致] に設定します。このコントロールで検索を無効にする
こともできます。
オプション: [ロギング] ページで、ログの出力タイプとログレベルを設定します。
McAfee では、デフォルト値の使用を推奨します。
7
[Rights Management] ページで、RM サービスの認証情報を設定します。
8
[SharePoint] ページで、[ファイルの削除にごみ箱を使用する] を選択または選択解除します。
この設定を有効にし、SharePoint サーバーがごみ箱を使用しない場合は、ファイルに対するすべての [移動] アク
ションが失敗して、デフォルトの [コピー] を実行します。 SharePoint のデフォルト設定では、ごみ箱を使用し
ます。
9
オプション: [テキスト抽出] ページで、テキスト抽出の設定を設定します。
ベストプラクティス: デフォルト値を使用します。
a
ANSI フォールバックコードページを設定します。
デフォルトでは、Discover サーバーのデフォルト言語を使用します。
b
入力と出力の最大ファイルサイズとタイムアウトを設定します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
19
2
McAfee DLP Discover のインストール
インストール後のタスクの実行
20
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
3
スキャンとポリシーの設定
ファイルを検出して保護する McAfee DLP Discover スキャンとポリシーを設定します。
McAfee DLP Discover と McAfee DLP Endpoint は、多くの構成コンポーネントを共有しています。ご使用の
McAfee DLP ライセンスによって、いずれかの製品で使用される定義やルールなどのコンポーネントを見かけることが
あります。
目次
スキャンタイプの選択
スキャンの注意事項と制限事項
定義と分類をスキャンと一緒に使用する
分類の使用
ルールとスキャンの使用
スキャンのポリシーの設定
スキャンの設定
スキャン操作の実行
スキャン動作
McAfee DLP 権限セットの割り当て
スキャンタイプの選択
設定したスキャンのタイプによって、スキャンで取得する情報の量、スキャン時に実行するアクション、およびスキ
ャンに必要な設定が決まります。
•
インベントリスキャンは、分類スキャンと修復スキャンの設定のベースを提供して、メタデータのみを取得しま
す。
•
分類スキャンは、メタデータを取得し、ファイルを分析して、定義したポリシーの分類で検索します。
•
修復スキャンは、分類スキャンの分析を含み、設定したルールに一致するファイルに対してアクションを実行す
ることができます。
設定する必要のあるポリシーコンポーネントは、スキャンのタイプによって異なります。
表 3-1 必要なポリシーコンポーネント
スキャンタイプ
定義
分類
インベントリ
X
分類
X
X
修復
X
X
ルール
X
スキャン結果は、[データ分析] タブに表示されます。 [データインベントリ] タブには、[ファイルリスト] オプシ
ョンが有効にされたスキャン結果のファイルのインベントリが表示されます。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
21
3
スキャンとポリシーの設定
スキャンタイプの選択
インベントリスキャンの動作
インベントリスキャンは、メタデータのみを取得する、最も高速のスキャンです。そのため、インベントリスキャ
ンは、データ損失防止の初期戦略立案に適した方法です。
インベントリスキャンを使用して、空ファイルや長期間変更されていないファイルの発見などの、IT タスクの自動
化を容易にすることもできます。
インベントリスキャンは以下を実行します。
•
メタデータを収集しますが、ファイルはダウンロードしません。
•
Online Analytical Processing (OLAP) カウンターとデータインベントリ (スキャンしたファイルのリスト) を
返します。
•
スキャンしたファイルの最終アクセス時刻をリストア
すべてのスキャンは、ファイルタイプ、サイズ、作成日、変更日などのメタデータを収集します。利用可能なメタ
データのタイプはリポジトリのタイプによって異なります。たとえば、Box のスキャンは、共有、コラボレーショ
ン、およびアカウント名のメタデータを取得します。
インベントリスキャンの結果は、[データインベントリ] タブと [データ分析] タブに表示されます。
関連トピック:
37 ページの「インベントリスキャンの設定」
分類スキャンの動作
インベントリスキャンの結果を使用して分類スキャンを構築します。
分類スキャンは以下を実行します。
•
インベントリスキャンと同じメタデータを収集
•
実際のファイルタイプを、拡張子ではなくファイルのコンテンツに基いて分析
•
設定された分類に一致するファイル上のデータを収集
•
スキャンしたファイルの最終アクセス時刻をリストア
分類スキャンは、テキスト抽出がファイルにアクセスし解析して、分類仕様の定義で検索することにより分析するた
め、インベントリスキャンより低速です。分類は、キーワード、ディクショナリ、テキストパターン、およびドキ
ュメントプロパティを含む定義で構成されています。これらの定義は、追加の保護が必要な可能性のある機密コン
テンツの特定を容易にします。 OLAP ツールを使用してこれらのパラメーターの多次元パターンを表示することに
より、最適化された修復スキャンを作成できます。
分類スキャンの結果は、[データインベントリ] と [データ分析] タブに表示されます。
暗号化されたファイルの検出
分類スキャンは、これらの暗号化のタイプのファイルを検出します。
•
Microsoft Rights Management 暗号化
•
Seclore Rights Management 暗号化
•
サポートされていない暗号化タイプまたはパスワード保護
•
暗号化なし
暗号化されたファイルのスキャンでは、以下の点い留意してください。
22
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
スキャンタイプの選択
3
•
McAfee DLP Discover で認証が設定されている場合、McAfee DLP Discover は Microsoft RMS で暗号化され
たファイルを解凍してスキャンできます。別の方法で暗号化されたファイルは、解凍、スキャン、または分類比
較はできません。
•
Adobe Primetime デジタル権限管理 (DRM) および McAfee File and Removable Media Protection (FRP)
で暗号化されなファイルは、[非暗号化] として検出されます。
•
McAfee DLP Discover は、[Microsoft Rights Management 暗号化] および [暗号化なし]の分類条件オプショ
ンをサポートします。
®
関連トピック:
35 ページの「分類の作成」
38 ページの「分類スキャンの設定」
修復スキャンの動作
インベントリスキャンの結果と分類スキャンの結果を使用して修復スキャンを構築します。
修復スキャンは、スキャン済みリポジトリ内の機密コンテンツを保護するルールを適用します。ファイルが修復スキ
ャンで分類に一致すると、McAfee DLP Discover は以下を実行することができます。
•
インシデントの生成
•
元のファイルをエビデンス共有に保存
•
ファイルのコピー
•
ファイルの移動
Box および SharePoint のスキャンは、CIFS 共有に移動中のファイルのみをサポートします。
•
ファイルへの RM ポリシーの適用
•
(Box スキャンのみ) 匿名共有を要ログインに変更します。
McAfee DLP Discover は、Box ユーザーがファイルの外部共有を再有効化するのを防止できません。
•
アクションを実行しない
ファイルの移動またはファイルへの RM ポリシーの適用は、SharePoint リストではサポートされていません。これ
らのアクションは、SharePoint リストに添付あるいは文書ライブラリに保存されたファイルでサポートされていま
す。 .aspx または .js などのような SharePoint ページの構築に使用されるいくつかのファイルタイプは、移動や削
除ができません。
修復スキャンは、インベントリスキャンおよび分類スキャンと同じタスクも実行します。修復スキャンには、一致
したファイルに対するアクションを決定するために、分類とルールが必要です。
修復スキャンの結果は、[データインベントリ] タブと [データ分析] タブに表示されます。修復スキャンは、イン
シデントマネージャーに表示するインシデントを生成することもできます。
関連トピック:
35 ページの「分類の作成」
36 ページの「修復スキャンのルールの作成」
39 ページの「修復スキャンの設定」
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
23
3
スキャンとポリシーの設定
スキャンの注意事項と制限事項
スキャンの注意事項と制限事項
スキャンを計画して設定する際には、以下の項目を考慮します。
ディレクトリの除外
パフォーマンスへの負の影響を避けるために、McAfee DLP Discover ディレクトリとプロセスをこれらのアプリケ
ーションから除外します。
•
McAfee VirusScan Enterprise などのウイルス対策ソフトウェア
•
McAfee Host Intrusion Prevention および他の McAfee ソフトウェア
•
ファイアウォール
•
アクセス保護のページ
•
オンアクセススキャン
®
®
®
表 3-2 除外する McAfee DLP Discover アイテム
タイプ
除外
プロセス
• dscrawler.exe
• dssvc.exe
• dstex.exe
• dsrms.exe
• dseng.exe
• dsmbroker.exe
• dsreport.exe
ディレクトリ
• c:\programdata\mcafee\discoverserver
• c:\program files\mcafee\discoverserver
レジストリキー • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\DiscoverServer
• HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DiscoverServer
• HKEY_LOCAL_MACHINE\SOFTWARE\ODBC.INI\McAfeeDSPostgres
リポジトリ定義
McAfee ePO のリポジトリの場所の設定には以下の制限があります。
•
IP アドレス範囲は、クラス C アドレスにのみサポートされています。
•
IP アドレス範囲には、0 または 255 で終わるアドレスを含むことはできません。
0 または 255 で終わる単一の IP アドレスは定義できます。
•
IPv6 はサポートされていません。
SharePoint スキャン
SharePoint スキャンは、システムカタログ、非表示のリスト、または [NoCrawl] とフラグのあるリストを巡回し
ません。 SharePoint リストは高度なカスタマイズが可能なため、スキャンされないリストが別にある場合がありま
す。
SharePoint 2010 または 2013 では、出荷時に利用可能なすべてのリストが巡回され、それには以下が含まれます。
24
•
通知
•
問題の追跡
•
連絡先
•
リンク
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
定義と分類をスキャンと一緒に使用する
•
ディスカッションボード
•
ミーティング
•
イベント
•
タスク
•
汎用リスト
3
リストの各項目は XML 構造中で結合されグループ化されて、単一の XML ファイルとしてスキャンされます。リス
トアイテムに添付されたファイルは、そのままスキャンされます。
Box スキャン
複数の Discover サーバーへの同じ Box リポジトリの設定はサポートされていません。
スキャン能力は、使用されるアカウントによって異なります。他のアカウントをスキャンするには、ユーザーの機能
を有効にする方法を Box サポートにお問い合わせください。
•
管理者アカウントではすべてのアカウントをスキャンできます。
•
共同管理者アカウントでは、そのアカウント自身とユーザーアカウントをスキャンできます。
•
ユーザーアカウントは自分自身のアカウントのみをスキャンできます。
スキャンの帯域幅の設定
大量のスキャンは、特に通信容量の低いネットワークでは、帯域幅を顕著に消費することがあります。デフォルトで
は、McAfee DLP Discover はスキャン時の帯域幅を調整しません。
帯域幅の調整を有効にすると、McAfee DLP Discover スキャン全体に対して平均的に調整するのではなく、フェッ
チしている各ファイルに対して調整が適用されます。スキャンは、設定された制限値を大幅に上回るあるいは下回る
場合があります。しかし、スキャン全体にわたって測定されるスループットは、設定された制限に近い値になりま
す。有効な場合は、デフォルトのスロットル値は 2000 Kbps です。
定義と分類をスキャンと一緒に使用する
定義と分類を使用して、ルール、分類条件、およびスキャンを設定します。すべてのスキャンの種類に定義が必要で
す。
McAfee DLP Discover に使用する定義には 2 つのタイプがあります。
•
スキャンで使用される定義には、スケジュール、リポジトリ、およびリポジトリの認証情報を指定します。
•
分類で使用される定義は、ファイルのプロパティまたはファイル中のデータなど、ファイルを巡回する際に検索
する対象を指定します。
表 3-3 機能別に利用可能な定義
定義
使用目的
[高度なパターン]*
分類
[ディクショナリ]*
[文書プロパティ]
[実際のファイルタイプ]*
[ファイル拡張子]*
分類とスキャン
[ファイル情報]
[認証情報]
スキャン
[スケジューラー]
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
25
3
スキャンとポリシーの設定
分類の使用
表 3-3 機能別に利用可能な定義 (続き)
定義
使用目的
[Box]
[ファイルサーバー (CIFS)]
[SharePoint]
* は、事前定義された (組み込みの) 定義が利用可能なことを示します。
分類スキャンと修復スキャンは、分類を使用して機密のファイルとデータを特定します。
分類は、1 つ以上の定義を強いようしてファイルプロパティとファイルのコンテンツを検索します。分類スキャン
を使用してファイル中のデータパターンを分析できます。分類スキャンの結果を使用して、分類を微調整し、次に
これを修復スキャンに使用できます。
登録された文書とコンテンツフィンガープリント条件は、McAfee DLP Discover では使用されません。分類と修正
スキャンは手動分類を検出できますが、McAfee DLP Discover は手動分類をファイルに適用できません。
分類の使用
分類スキャンと修復スキャンは、分類を使用して機密のファイルとデータを特定します。
分類は、ファイルのプロパティとファイルのコンテンツを正規表現とディクショナリを使用して検索します。分類ス
キャンを使用してファイル中のデータパターンを分析できます。分類スキャンの結果を使用して、分類を微調整し、
次にこれを修復スキャに使用できます。
分類は 1 つ以上の定義で構成されています。
表 3-4 分類の定義
分類定義
説明
[高度なパターン]
日付やクレジットカード番号などのデータの検索に使用される正規表現または語句。
[ディクショナリ]
俗語や医療用語などの、関連するキーワードと語句の集合。
[文書プロパティ]
以下のオプションが含まれます。
• [任意のプロパティ]
• [最終保存者]
• [作成者]
• [マネージャー名]
• [カテゴリ]
• [セキュリティ]
• [説明]
• [件名]
• [会社]
• [テンプレート]
• [キーワード (タグ)]
• [タイトル]
[ファイルの暗号化] McAfee DLP Discover は、以下のオプションをサポートします。
• [暗号化なし]
• [Microsoft Rights Management 暗号化]
• [サポートされない暗号化タイプ、またはパスワード保護ファイル]
[ファイル拡張子]
26
画像ファイルなどの関連するファイル拡張子のグループ。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
分類の使用
3
表 3-4 分類の定義 (続き)
分類定義
説明
[ファイル情報]
以下のオプションが含まれます。
• [アクセス日 (UTC)]
• [ファイル名]
• [作成日 (UTC)]
• [ファイル所有者]
• [変更日 (UTC)]
• [ファイルサイズ]
• [ファイル拡張子]
[キーワード]
文字列値。
[ファイル内の場所] データが置かれているファイル内のセクション。
[近接性]
2 つのプロパティを互いの場所に基いて組み合わせを定義します。
[実際のファイルタファイルタイプのグループ。
イプ]
たとえば、組み込みの [Microsoft Excel] グループには、Excel XLS、XLSX、および XML
ファイル、Lotus WK1 および FM3 ファイル、CSV、DIF ファイル、Apple iWork ファイル
などが含まれます。
高度なパターンの定義
高度なパターンは、社会保障番号やクレジットカード番号のような複雑なパターン検索を可能にする正規表現
(regex) を使用します。定義には、Google RE2 正規表現の構文を使用します。
高度なパターン定義には、ディクショナリの定義のようにスコア (必須) が含まれます。これにはオプションの検証
ツール - 正規表現のテストに使用するアルゴリズム - を含めることもできます。適切な検証ツールを使用すること
によって、誤検知を大幅に減らすことができます。定義には、オプションの無視された式のセクションを追加しえ
誤検知をさらに減らすことができます。無理された式は、正規表現またはキーワードにすることができます。複数
のキーワードをインポートして式の作成をスピードアップできます。
高度なパターンは、重要なテキストを示します。重要なテキストパターンは強調表示するよう編集されます。
検索パターンと無視されるパターンの両方が指定される場合は、『無視されるパターンが優先されます』。このため、
ユーザーは通常のルールを指定した後でも、それを書き直すことなく例外を追加できます。
ディクショナリの定義
ディクショナリは、キーワードまたはキーフレーズの集合で、それぞれのエントリにはスコアが割り当てられていま
す。
分類条件は、定義されているしきい値 (スコアの合計) を超過した場合、つまり、ドキュメント内でディクショナリ
の用語が過多に使用されている場合、指定されたディクショナリを使用してドキュメントを分類します。
ディクショナリおよびキーワード定義内の文字列の違いは、割り当てられたスコアです。ディクショナリの分類で
は、しきい値を設定できるため相対的な分類を作成することができ、より柔軟性があります。
割り当てられるスコアは、正または負のいずれも使用することができ、これによって他の語句またはフレーズ内にあ
る語句やフレーズを検索することができます。
McAfee DLP ソフトウェアには、医療、銀行、証券、およびその他の業界で一般的に使用される用語が収められた、
いくつかの組み込みディクショナリがあります。さらに、ユーザー独自のディクショナリを作成することができま
す。ディクショナリは手動で作成 (および編集) することも、他のドキュメントからコピーアンドペーストするこ
ともできます。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
27
3
スキャンとポリシーの設定
ルールとスキャンの使用
制限事項
ディクショナリの使用にはいくつかの制限があります。ディクショナリは Unicode (UTF-8) で保存されるため、任
意の言語で作成することができます。以下の説明は、英語で作成されたディクショナリについてのものです。この
説明は一般的に他の言語にも適用されますが、言語によっては予測できない問題が発生する可能性があります。
ディクショナリの検索一致には以下の特徴があります。
•
大文字と小文字を区別する辞書エントリを作成する場合にのみ大文字と小文字が区別されます。この機能が利用
可能となる前に作成された組み込みディクショナリは大文字と小文字を区別しません。
•
オプションで、語句全体ではなく部分文字列の検索も可能です。
•
スペースを含むフレーズの検索一致を行います。
部分文字列の検索が指定されている場合、誤検知の可能性があるため、短い語句の入力では十分に注意してください。
たとえば、"cat" のディクショナリエントリは、"cataracts" と "duplicate" に一致します。これらの誤検知を防
止するには、全体句の一致のオプションまたは、Statistically Improbable Phrases: 統計的に珍しい言い回し
(SIP) を使用して最適な結果が得られるようにします。類似のエントリは、誤検知の別の原因となります。たとえ
ば、いくつかの HIPAA 疾病一覧では、
「celiac (セリアック病患者)」と「celiac disease (セリアック病)」が別々の
エントリとして出てきます。 2 番目の用語がドキュメント内に出現し、部分文字列の一致検索が指定されている場
合、それぞれのエントリに対して 1 つずつ、2 つヒットしてしまうため、合計スコアは歪曲したものとなります。
ルールとスキャンの使用
修復スキャンは、ルールを使用して機密ファイルを検出し、アクションを実行します。
修復スキャンで巡回するファイルは、アクティブな検出ルールに対して比較されます。ファイルが、ルールで定義さ
れたリポジトリと分類に一致する場合、McAfee DLP Discover はファイルに対してアクションを実行できます。利
用可能なオプションは以下のとおりです。
•
アクションを実行しない
•
ファイルの移動
•
インシデントの作成
•
ファイルへの RM ポリシーの適用
•
元のファイルをエビデンスとして保存
•
(Box スキャンのみ) ファイルの匿名の共有を削
除します。
•
ファイルのコピー
ファイルの移動またはファイルへの RM ポリシーの適用は、SharePoint リストではサポートされていません。これ
らのアクションは、SharePoint リストに添付あるいは文書ライブラリに保存されたファイルでサポートされていま
す。 .aspx または .js などのような SharePoint ページの構築に使用されるいくつかのファイルタイプは、移動や
削除ができません。
Box スキャンは、CIFS 共有に移動中のファイルのみをサポートします。
スキャンのポリシーの設定
スキャンを設定する前に、McAfee DLP Discover ポリシーの定義、分類、およびルールを作成します。
タスク
28
•
29 ページの「スキャンの定義の作成」
スキャンと分類で使用される定義を作成して設定します。
•
33 ページの「分類の定義の作成」
分類には、データとファイルプロパティに一致する 1 つ以上の定義が必要です。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
スキャンのポリシーの設定
3
スキャンの定義の作成
スキャンと分類で使用される定義を作成して設定します。
タスク
•
29 ページの「スキャンの定義の作成」
すべてのスキャンには、リポジトリ、認証情報、およびスケジュールを指定する定義が必要です。
•
30 ページの「認証情報定義の作成」
認証情報は、ほとんどのリポジトリのファイルの読み取りと変更に必要です。リポジトリに同じ認証情
報がある場合は、それらのリポジトリで 1 つの認証情報を使用できます。
•
30 ページの「CIFS または SharePoint リポジトリ定義の作成」
CIFS または SharePoint リポジトリのスキャンを設定します。
•
32 ページの「Box リポジトリ定義の作成」
Box リポジトリをスキャンように設定します。
•
32 ページの「リポジトリ定義のエクスポートまたはインポート」
大量のリポジトリがある場合は、McAfee ePO で個別に管理するよりも XML ファイルとして管理する
ほうが容易です。
•
33 ページの「スケジューラー定義の作成」
スキャンスケジューラーは、スキャンを実行するタイミングと頻度を決定します。
スキャンの定義の作成
すべてのスキャンには、リポジトリ、認証情報、およびスケジュールを指定する定義が必要です。
開始する前に
ユーザー名、パスワード、およびリポジトリのパスが必要です。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[定義] タブをクリックします。
3
認証情報定義の作成
修復スキャンでは、認証情報に読み取りおよび書き込み権限が必要です。 RM ポリシーを適用またはファイルを移
動する修復スキャンには、完全なコントロール権限が必要です。
4
a
左パネルで、[その他] 、 [認証情報] を選択します。
b
[アクション] 、 [新規]を選択して、デフォルト名を定義の一意の名前で置き換えます。
c
認証情報パラメーターを入力します。 [保存] をクリックします。
リポジトリ定義の作成
a
左パネルで、[リポジトリ] の下で、作成する新しいリポジトリのタイプを選択します。
b
[アクション] 、 [新規] を選択し、一意のリポジトリ名を [名前] フィールドに入力し、残りの [タイプ] およ
び [定義] 情報を入力します。
[除外] パラメーターはオプションです。 1 つ以上の [追加] の定義が必要です。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
29
3
スキャンとポリシーの設定
スキャンのポリシーの設定
5
スケジューラー定義の作成
a
左パネルで、[その他] 、 [スケジューラー]を選択します。
b
[アクション] 、 [新規]を選択して、スケジューラーパラメーターを入力します。 [保存] をクリックします。
パラメーターのオプションは、選択した[スケジュールタイプ]によって異なります。
6
ファイル情報定義の作成
ファイル情報定義は、スキャンフィルターの定義に使用します。フィルターを使用すると、追加または除外する
ファイルを定義することによって、リポジトリをより詳細な方法でスキャンできます。ファイル情報定義はオプシ
ョンですが、作成することをお奨めします。
a
左パネルで、[データ] 、 [ファイル情報]を選択します。
b
[アクション] 、 [新規]を選択して、デフォルト名を定義の一意の名前で置き換えます。
c
フィルターとして使用するプロパティを選択して、[比較] および [値] の詳細を入力します。 [保存] をクリ
ックします。
認証情報定義の作成
認証情報は、ほとんどのリポジトリのファイルの読み取りと変更に必要です。リポジトリに同じ認証情報がある場合
は、それらのリポジトリで 1 つの認証情報を使用できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[定義] タブをクリックします。
3
左パネルで、[認証情報] を選択します。
4
[アクション] 、 [新規]の順に選択します。
5
一意の定義の名前を入力します。 [説明] および [ドメイン名] はオプションフィールドです。他のすべてのフ
ィールドの入力が必須です。
ユーザーがドメインユーザーの場合は、[ドメイン名] フィールドにドメイン接尾辞を使用します。ユーザーが
ワークグループユーザーの場合は、ローカルコンピューター名を使用します。
SharePoint Web アプリケーションのすべてのサイトの集合をクロールするには、Web アプリケーション全体の
完全な読み取り権限のある認証情報を使用します。
6
Windows ドメインリポジトリには、[テスト認証] をクリックして、McAfee ePO のユーザー名とパスワードを
確認します。
これは、Discover サーバーの認証情報をテストしません。
Windows ドメインの一部でない認証情報の確認方法はありません。間違った認証情報によりスキャンが失敗す
る場合は、[操作イベントリスト] ページにイベントが作成されます。
CIFS または SharePoint リポジトリ定義の作成
CIFS または SharePoint リポジトリのスキャンを設定します。
特定の完全なパスを使用せずに、フォルダのパラメーターを含めるか除外するかを指定する場合は、Perl 構文で正規
表現を使用することができます。
30
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
スキャンのポリシーの設定
3
•
含めるエントリには、\\server または \\server\share\folder のようなパスの接頭辞を指定します。正規表現
は、パスの接頭辞に対する完全一致である必要があります。
•
除外するエントリでは、パスに一致するフォルダー全体がスキャンからスキップされます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[定義] タブをクリックします。
3
左パネルで、[リポジトリ] の下のリポジトリのタイプを選択します。
4
[アクション] 、 [新規]の順に選択します。
5
名前を入力し、使用する認証情報を選択して、少なくとも 1 つの [追加] の定義を設定します。
6
(CIFS リポジトリ) 少なくとも 1 つの [追加] エントリを設定します。
a
[接頭辞のタイプ] を選択します。
b
[接頭辞] フィールドには、UNC パス、単一の IP アドレス、または IP アドレスの範囲を入力します。
UNC パスは、完全修飾ドメイン名 (FQDN) (\\myserver1.mydomain.com) またはローカルコンピュータ
ー名 (\\myserver1) にできます。両方のバージョンを 1 つの定義に追加できます。複数のエントリは、論
理演算子 OR として解析されます。
7
c
(オプション) スキャンするフォルダーの検索には正規表現を入力します。
d
[追加] をクリックします。
(SharePoint リポジトリ)少なくとも 1 つの [追加] エントリを設定します。
a
[追加] タイプを選択します。
b
1 つ以上の URL をリソースを選択します。
[SharePoint サーバー] オプションは、1 つのみの URL を使用します。ホスト名は、代替アクセスマッピン
グ (AAM) がサーバーに設定されていない限り、サーバーの NetBIOS 名です。 AAM の詳細は、Microsoft
SharePoint の文書を参照してください。
•
サイトの指定 — URL の最後をスラッシュにします (http://SPServer/sites/DLP/)
•
サブサイトの指定 — スラッシュで終わるサブサイトを使用します (http://SPserver/sites/DLP/
Discover/)
•
Web アプリケーションの指定 — Web アプリケーション名とポートのみを URL に使用します (http://
SPServer:port)
•
リストまたは文書ライブラリの指定 — リストのデフォルト表示までの完全な URL を使用します
(http://SPServer/sites/DLP/Share%20Documents/Default.aspx)
デフォルト表示の URL は、リストまたはライブラリ設定ページで検索できます。これを表示する権限が
ない場合は、SharePoint 管理者に相談してください。
c
[サイトのリスト] の URL を設定したら、[追加] をクリックします。
8
(オプション) [除外] パラメーターを設定して、フォルダーをスキャンから除外します。
9
[保存] をクリックします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
31
3
スキャンとポリシーの設定
スキャンのポリシーの設定
Box リポジトリ定義の作成
Box リポジトリをスキャンように設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[定義] タブをクリックします。
3
左のペインで、[リポジトリ] の下の [Box] を選択します。
4
[アクション] 、 [新規]の順に選択します。
5
名前とオプションの説明を入力します。
6
Box Web サイトへのリンクをクリックします。 Web サイトの手順に従って Box アプリケーションを定義し、
クライアント ID とクライアント秘密鍵を取得します。
•
アプリケーションを定義する際に、企業の管理オプションを選択します。
•
リダイレクト URI に、McAfee ePO サーバーの IP アドレスを入力します。
•
他のアカウントをスキャンするには、ユーザーの機能を有効にする方法を Box サポートにお問い合わせくだ
さい。
7
クライアント ID とクライアント秘密鍵を入力して、[トークンを取得] をクリックします。
8
Box Web サイトでプロンプトが表示されたら、Discover サーバーのアクセス件を付与します。
9
すべてのユーザーアカウントをスキャンするか、特定のユーザーアカウントをスキャンするか指定します。
10 [保存] をクリックします。
リポジトリ定義のエクスポートまたはインポート
大量のリポジトリがある場合は、McAfee ePO で個別に管理するよりも XML ファイルとして管理するほうが容易で
す。
エクスポート機能を使用して、既存のリポジトリ定義と関連する認証情報を XML ファイルに保存します。このファ
イルをベースラインとして使用し、リポジトリを XML 形式で追加して設定します。
XML ファイルをインポートする場合は、リポジトリ定義と認証情報が検証され、エントリのリストに追加されます。
リポジトリ定義が McAfee ePO と XML ファイルに存在する場合は、定義が XML ファイルの情報で上書きされま
す。定義は、XML ファイル内で ID 値で一意に識別されます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[定義] タブをクリックします。
3
[ファイルサーバー (CIFS)] または [SharePoint] を選択します。
4
以下のいずれかのタスクを実行します。
•
32
以下の手順でリポジトリをエクスポートします。
1
[アクション] 、 [エクスポート] の順に選択します。
2
ファイルを開くか保存するかを選択して、[OK] をクリックします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
スキャンのポリシーの設定
•
3
以下の手順でリポジトリをインポートします。
1
[アクション] 、 [インポート] の順に選択します。
2
ファイルを参照して、[OK] をクリックします。
スケジューラー定義の作成
スキャンスケジューラーは、スキャンを実行するタイミングと頻度を決定します。
以下のスケジュールタイプが使用できます。
•
すぐに実行
•
週単位
•
1 回だけ
•
月次
•
毎日
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[定義] タブをクリックします。
3
左パネルで [スケジューラー] をクリックします。
4
[アクション] 、 [新規]の順に選択します。
5
一意の名前を入力して、スケジュールタイプを選択します。
スケジュールタイプを選択して、そのタイプに必要なフィールをを入力すると、表示が変化します。
6
必要なオプションを入力し、[保存] をクリックします。
分類の定義の作成
分類には、データとファイルプロパティに一致する 1 つ以上の定義が必要です。
タスク
•
33 ページの「一般的な分類定義の作成」
分類とルールで使用するための定義を作成して設定します。
•
34 ページの「高度なパターンの作成」
高度なパターンは、分類の定義に使用されます。高度なパターンの定義は、単一の式、または複数の式
と誤検知の定義の組み合わせで構成されます。
•
35 ページの「ディクショナリ定義の作成またはインポート」
ディクショナリは、キーワードまたはキーフレーズの集合で、それぞれのエントリにはスコアが割り当
てられています。スコアによって、より詳細なルールの定義か可能になります。
一般的な分類定義の作成
分類とルールで使用するための定義を作成して設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
設定する定義のタイプを選択し、次に [アクション] 、 [新規] を選択します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
33
3
スキャンとポリシーの設定
スキャンのポリシーの設定
3
名前を入力して、定義のオプションとプロパティを設定します。
利用可能なオプションとプロパティは、定義のタイプによって異なります。
4
[保存] をクリックします。
高度なパターンの作成
高度なパターンは、分類の定義に使用されます。高度なパターンの定義は、単一の式、または複数の式と誤検知の定
義の組み合わせで構成されます。
高度なパターンは、正規表現 (RegEx) を使用して定義します。正規表現についての説明は、本書の範囲では扱いませ
ん。正規表現に関する詳しい説明は、インターネットで多数チュートリアルが提供されています。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[定義] タブを選択して、左パネルの [高度なパターン] を選択します。
利用可能なパターンは、右パネルに表示されます。
ユーザー定義の高度なパターンのみを表示するには、[組み込み項目を含む] チェックボックスの選択を解除しま
す。ユーザー定義パターンは、編集可能なパターンのみです。
3
[アクション] 、 [新規]の順に選択します。
新しい高度なパターンの定義ページが表示されます。
4
名前とオプションの説明を入力します。
5
[一致した式] の下で、以下を実行します。
a
式をテキストボックスに入力します。オプションの説明を追加します。
b
ドロップダウンリストから検証ツールを選択します。
McAfee では、誤検知を最小化することが可能であっても必須ではない場合に、検証ツールを使用することを
推奨します。検証ツールを指定しない場合、または検証が式に対して適切ではない場合は、[検証なし] を選
択します。
c
[スコア] フィールドに数字を入力します。
数字は、しきい値の比較の式の重みを示します。このフィールドは必須です。
d
6
[追加] をクリックします。
[誤検知] の下で、以下を実行します。
a
式をテキストボックスに入力します。
外部ドキュメントにテキストパターンが保存されている場合、[エントリのインポート] を使用してそれらをコ
ピーして定義に貼り付けることができます。
7
34
b
[タイプ] フィールドで、文字列が正規表現の場合はドロップダウンリストから [正規表現] を、テキストの場
合は、[キーワード] を選択します。
c
[追加] をクリックします。
[保存] をクリックします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
スキャンのポリシーの設定
3
ディクショナリ定義の作成またはインポート
ディクショナリは、キーワードまたはキーフレーズの集合で、それぞれのエントリにはスコアが割り当てられていま
す。スコアによって、より詳細なルールの定義か可能になります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[定義] タブをクリックします。
3
左パネルで、[ディクショナリ] を選択します。
4
[アクション] 、 [新規]の順に選択します。
5
名前とオプションの説明を入力します。
6
ディクショナリにエントリを追加します。
エントリをインポートするには:
a
[エントリのインポート] をクリックします。
b
単語または語句を入力、あるいは他のドキュメントからカットアンドペーストします。
テキストウィンドウは、1 行につき 50 文字の 20,000 行までに制限されています。
c
[OK] をクリックします。
すべてのエントリにはデフォルトのスコア 1 が割り当てられます。
d
必要な場合は、エントリの [編集] をクリックして、デフォルトスコアの 1 を更新します。
e
[次の値で始まる]、[次の値で終わる]、および [大文字と小文字を区別] 列を必要に応じて選択します。
[次の値で始まる] および [次の値で終わる] は、一致する文字列を提供します。
手動でエントリを作成:
7
a
語句とスコアを入力します。
b
[次の値で始まる]、[次の値で終わる]、および [大文字と小文字を区別] 列を必要に応じて選択します。
c
[追加] をクリックします。
[保存] をクリックします。
分類の作成
分類スキャンと修復スキャンは、分類を使用して機密のファイルを特定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[新規分類] をクリックします。
3
名前とオプションの説明を入力します。
4
[OK] をクリックします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
35
3
スキャンとポリシーの設定
スキャンのポリシーの設定
5
[アクセス] 、 [新しい分類条件] を選択します。
6
名前を入力します。
7
1 つ以上のプロパティを選択して、比較と値のエントリを設定します。
使用可能なプロパティには、組み込みおよびユーザー定義の分類定義が含まれます。
8
•
プロパティを削除するには、[<] をクリックします。
•
プロパティによっては、[...] をクリックして、既存のプロパティを選択するか、新しいプロパティを作成し
ます。
•
値を追加するには、[+] をクリックします。
•
値を削除するには、[-] をクリックします。
[保存] をクリックします。
修復スキャンのルールの作成
ルールを使用して、修復スキャンで分類に一致するファイルが検出されたときに実行するアクションを定義します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシーマネージャー] の順に選択します。
2
[ルールセット] タブをクリックします。
3
設定されたルールセットがない場合は、ルールセットを作成します。
a
[アクション] 、 [新しいルールセット] を選択します。
b
名前とオプションの注記を入力して、[OK] をクリックします。
4
ルールセットの名前をクリックして、必要な場合は、[検出] タブをクリックします。
5
[アクション] 、 [新しいネットワーク検出ルール]を選択して、次にルールのタイプを選択します。
6
[条件] タブで、1 つ以上の分類とリポジトリを設定します。
•
項目の作成 — [...] をクリックします。
•
別の条件の追加 — [+] をクリックします。
•
条件の削除 — [-] をクリックします。
7
(オプション) [例外] タブで、specify any exclusions from triggering the rule.
8
[対応] タブで、対応を設定します。
利用可能な対応はリポジトリのタイプによって異なります。
9
36
[保存] をクリックします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
スキャンの設定
3
スキャンの設定
McAfee DLP Discover が設定されたスキャンの種類に応じて収集するデータの量とタイプです。
タスク
•
37 ページの「インベントリスキャンの設定」
インベントリスキャンは、メタデータのみを収集します。これは最も高速のスキャンで、そのため、ス
キャン対象を決定する際に通常の開始ポイントが必要です。
•
38 ページの「分類スキャンの設定」
分類スキャンは、ファイルデータを定義された分類に基づいて収集します。これらは、修復スキャンで
保護される機密データのファイルシステムの分析に使用されます。
•
39 ページの「修復スキャンの設定」
修復スキャンは、スキャン済みリポジトリ内の機密コンテンツを保護するルールを適用します。
インベントリスキャンの設定
インベントリスキャンは、メタデータのみを収集します。これは最も高速のスキャンで、そのため、スキャン対象
を決定する際に通常の開始ポイントが必要です。
インベントリスキャンを使用して、データ保護方針を計画します。スキャンは、必要に応じて作成するか、既存の
ものを編集して再利用できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[Discover サーバー] タブで、[アクション] 、 [サーバーの検出] を選択してリストを更新します。
リストが長い場合は、フィルターを定義して短いリストを表示することができます。
3
[スキャン操作] タブで、[アクション] 、 [新規スキャン] を選択して、リポジトリタイプを選択します。
4
一意の名前を入力して、[スキャンタイプ: インベントリ] を選択します。サーバープラットフォームとスケジ
ュールを選択します。
Discover サーバーは、事前定義する必要があります。定義されたスケジュールを選択するか、新しく作成できま
す。
5
(オプション) [最初のリスト]、または [エラー処理] のデフォルト値の代わりに値を設定します。
6
スキャンするリポジトリを選択します。
a
[リポジトリ] タブで、[アクション] 、 [リポジトリの選択]をクリックします。
b
必要な場合は、ドロップダウンリストの各リポジトリの認証情報を指定します。
認証情報により、そのリポジトリに設定される値をデフォルト設定します。
必要な場合は、選択ウィンドウからリポジトリと認証情報を作成できます。
7
(オプション) [フィルター] タブで、[アクション] 、 [フィルターの選択] を選択して、追加あるいは除外するフ
ァイルを指定します。
デフォルトで、すべてのファイルがスキャンされます。
8
[保存] をクリックします。
9
[ポリシーを適用] をクリックします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
37
3
スキャンとポリシーの設定
スキャンの設定
分類スキャンの設定
分類スキャンは、ファイルデータを定義された分類に基づいて収集します。これらは、修復スキャンで保護される
機密データのファイルシステムの分析に使用されます。
開始する前に
•
インベントリスキャンを実行します。インベントリデータを使用して、分類を定義します。
•
分類スキャンを設定する前に、必要な分類の定義を作成します。構成設定の中に分類を作成するオ
プションはありません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[Discover サーバー] タブで、[アクション] 、 [サーバーの検出] を選択してリストを更新します。
リストが長い場合は、フィルターを定義して短いリストを表示することができます。
3
[スキャン操作] タブで、[アクション] 、 [新規スキャン] を選択して、リポジトリタイプを選択します。
4
一意の名前を入力して、[スキャンタイプ: 分類] を選択します。サーバープラットフォームとスケジュールを
選択します。
Discover サーバーは、事前定義する必要があります。定義されたスケジュールを選択するか、新しく作成できま
す。
5
(オプション) [スロットル]、[ファイルリスト]、または [エラー処理] のデフォルト値の代わりに値を設定しま
す。
6
スキャンするリポジトリを選択します。
a
[リポジトリ] タブで、[アクション] 、 [リポジトリの選択]をクリックします。
b
必要な場合は、ドロップダウンリストの各リポジトリの認証情報を指定します。
認証情報により、そのリポジトリに設定される値をデフォルト設定します。
必要な場合は、選択ウィンドウからリポジトリと認証情報を作成できます。
7
(オプション) [フィルター] タブで、[アクション] 、 [フィルターの選択] を選択して、追加あるいは除外するフ
ァイルを指定します。
デフォルトで、すべてのファイルがスキャンされます。
8
9
スキャンの分類を選択します。
a
[分類] タブで、[アクション] 、 [分類の選択] をクリックします。
b
リストから 1 つ以上の分類を選択します。
[保存] をクリックします。
10 [ポリシーを適用] をクリックします。
関連トピック:
35 ページの「分類の作成」
38
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
スキャンの設定
3
修復スキャンの設定
修復スキャンは、スキャン済みリポジトリ内の機密コンテンツを保護するルールを適用します。
開始する前に
•
スキャンが、RM ポリシーを適用するかファイルを移動するように設定されている場合は、リポジト
リの認証情報に完全なコントロールの権限があることを確認します。
•
スキャンの分類とルールを作成します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[Discover サーバー] タブで、[アクション] 、 [サーバーの検出] を選択してリストを更新します。
リストが長い場合は、フィルターを定義して短いリストを表示することができます。
3
[スキャン操作] タブで、[アクション] 、 [新規スキャン] を選択して、リポジトリタイプを選択します。
4
一意の名前を入力して、[スキャンタイプ: 修復] を選択します。サーバープラットフォームとスケジュールを
選択します。
Discover サーバーは、事前定義する必要があります。定義されたスケジュールを選択するか、新しく作成できま
す。
5
(オプション) [スロットル]、[ファイルリスト]、[インシデント処理]、または [エラー処理] のデフォルト値の
代わりに値を設定します。
6
スキャンするリポジトリを選択します。
a
[リポジトリ] タブで、[アクション] 、 [リポジトリの選択]をクリックします。
b
必要な場合は、ドロップダウンリストの各リポジトリの認証情報を指定します。
認証情報により、そのリポジトリに設定される値をデフォルト設定します。
必要な場合は、選択ウィンドウからリポジトリと認証情報を作成できます。
7
(オプション) [フィルター] タブで、[アクション] 、 [フィルターの選択] を選択して、追加あるいは除外するフ
ァイルを指定します。
デフォルトで、すべてのファイルがスキャンされます。
8
9
スキャンのルールを選択します。
a
[ルール] タブで、[アクション] 、 [ルールセットの選択] をクリックします。
b
リストから 1 つ以上のルールセットを選択します。
[保存] をクリックします。
10 [ポリシーを適用] をクリックします。
関連トピック:
35 ページの「分類の作成」
36 ページの「修復スキャンのルールの作成」
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
39
3
スキャンとポリシーの設定
スキャン操作の実行
スキャン操作の実行
設定済みのスキャンの情報を管理して表示します。
ポリシーを適用すると、今すぐ実行するようにスケジュールされたすべてのスキャンを開始します。すでに実行中の
スキャンは影響を受けません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[スキャン操作] タブをクリックします。
このタブには、名前、タイプ、状態、および結果の概要などの設定されたスキャンに関する情報が表示されます。
3
すべてのスキャンの設定を更新するには、[ポリシーを適用] をクリックします。
4
スキャンリストにフィルターを適用するには、[フィルター] ドロップダウンリストからフィルターを選択しま
す。
5
スキャンを有効または無効にするには:
a
有効または無効にするスキャンのチェックボックスを選択します。
[状態] 列のアイコンが、スキャンが有効か無効かを示します。
6
•
青一色のアイコン — 有効
•
青と白のアイコン — 無効
b
[アクション] 、 [状態の変更] を選択して、次に [有効] または [無効] を選択します。
c
[ポリシーを適用] をクリックします。
スキャンの実行状態を変更するには、[コマンド] 列のスタート、一時停止、または停止ボタンをクリックします。
これらのオプションが使用できるかどうかは、スキャンの状態 (実行中かアクティブでない) かによります。
7
スキャンをクローン、削除、または編集するには以下の手順を実行します。
a
スキャンのチェックボックスを選択します。
b
[アクション] を選択して、次に [スキャンを複製]、[スキャンの削除]、または [スキャンの編集] を選択しま
す。
スキャンに割り当てられた Discover サーバーを変更するには、スキャンを無効にする必要があります。スキ
ャンに割り当てられたタイプは変更できません。タイプを変更するには、スキャンを複製します。
8
タブを更新するには、[アクション] 、 [データの同期] を選択します。
スキャン動作
進行中のスキャンのプロパティをを変更すると、スキャンの動作に影響を与える場合があります。
表 3-5 スキャン中のプロパティ変更の影響
40
変更
影響
スキャンを無効にする
スキャンが停止する
スキャンを削除
スキャンが停止して削除される
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
McAfee DLP 権限セットの割り当て
3
表 3-5 スキャン中のプロパティ変更の影響 (続き)
変更
影響
スキャン名の変更
次回のスキャンの実行時にログにのみ影響
スケジュールの変更
次回のスキャンの実行時にのみ影響
スロットルの変更
次回のスキャンの実行時にのみ影響*
ファイルリストの変更
次回のスキャンの実行時にのみ影響*
リポジトリの変更
次回のスキャンの実行時にのみ影響
フィルターの変更
次回のスキャンの実行時にのみ影響
ルールの変更
次回のスキャンの実行時にのみ影響*
分類の変更
次回のスキャンの実行時にのみ影響*
エビデンス共有の変更
現在のスキャンに影響*
エビデンスユーザーの認証情報の変更
現在のスキャンに影響*
修復ユーザーの認証情報の変更
次回のスキャンの実行時にのみ影響*
Discover サーバーのアップグレードまたはアンインストール
スキャンが停止する
* 影響は、エージェントサーバー間コミュニケーション間隔 (ASCI) 後に発生します。
McAfee DLP 権限セットの割り当て
McAfee DLP 権限セットは、ポリシーの表示と保存、および編集されたフィールドの表示の権限を割り当てます。こ
れは、役割ベースのアクセスコントロール (RBAC) の割り当てにも使用されます。
McAfee DLP サーバーソフトウェアをインストールすると、McAfee ePO 権限セット Data Loss Prevention が追
加されます。以前のバージョンの McAfee DLP が、同じ McAfee ePO サーバーにインストールされている場合は、
権限セットも表示されます。
権限セットは、管理コンソールのすべてのセクションをカバーします。権限には 3 つのレベルがあります。
•
使用 — ユーザーはオブジェクト (定義、分類、など) の名前のみを表示できます。
ポリシーでは、最小の権限は [権限なし] です。
•
表示と使用 — ユーザーはオブジェクトの詳細を表示できますが、変更はできません。
•
フルアクセス権限 — ユーザーはオブジェクトの作成と変更ができます。
管理者とレビュアーに必要に応じて異なる権限を与えることによって、管理コンソールの異なるセクションの権限を
設定できます。このセクションは論理的にグループ化できます。たとえば、分類条件の設定には定義の使用が必要な
ため、[分類] を選択すると自動的に [定義] が選択されます。
McAfee DLP Discover 権限グループは:
•
DLP 検出
•
DLP ポリシーマネージャー
•
分類
•
定義
インシデント管理、操作イベントおよびケース管理は個別に選択できます。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
41
3
スキャンとポリシーの設定
McAfee DLP 権限セットの割り当て
このセクションのデフォルトの権限に加えて、各オブジェクトの上書きを設定できます。上書きは、権限レベルの増
加あるいは減少のいずれかです。たとえば、DLP ポリシーマネージャー権限では、権限セットが作成される際に存
在するすべてのルールセットが一覧表示されます。それぞれに異なる上書きを設定できます。新しいルールセッ
トが作成されると、それらにはデフォルトの権限が設定されます。
図 3-1 McAfee DLP 権限セット
McAfee DLP 権限セットの作成
権限セットは、McAfee DLP ソフトウェアで、異なる管理者とレビューアーのロールを定義するために使用されま
す。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [ユーザー管理] 、 [権限セット] を選択します。
2
事前定義された権限セットを選択するか、[新規] をクリックして権限セットを作成します。
3
a
セットの名前を入力し、ユーザーを選択します。
b
[保存] をクリックします。
権限セットを選択して、[Data Loss Prevention] セクションの [編集] をクリックします。
a
左パネルで、データ保護モジュールを選択します。
[インシデント管理]、[操作イベント] および [ケース管理] は個別に選択できます。他のオプションは、自動
的に事前定義のグループを作成します。
b
必要に応じてオプションと権限の上書きを編集します。
ポリシーカタログには編集できるオプションはありません。ポリシーカタログを権限セットに割り当てる
場合は、ポリシーカタロググループのサブモジュールを編集できます。
c
[保存] をクリックします。
編集による機密の保護
データ編集とは、不正な閲覧を防ぐために機密情報を隠蔽化することです。一部の国では、編集の慣行に従うことが
必要で、インシデントと操作イベントの確認権限を分離し、参照する必要がない人から機密データをブロックするこ
とは、ベストプラクティス (法律によって要求されない場合であっても) と考えられます。
以下の場合、編集された情報は隠蔽されます。
42
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンとポリシーの設定
McAfee DLP 権限セットの割り当て
•
DLP インシデントマネージャーの表示
•
DLP 操作の表示
3
編集の一部として、エビデンスファイルは編集が解除されるまで表示されません。
編集されたフィールドを表示する権限をユーザーに与えるには、[インシデントマネージャー] の権限のページで [管
理者権限] を選択します。
使用例 — 編集フィールドのレビューアー
この例では、2 名のレビューアーの権限の設定が必要です。1 名はイベントとインシデントのレビュー
アー、もう 1 名は編集されたフィールドのレビューアーです。レビューアーの役割が、ポリシー管理者
の役割とは別であると仮定して、以下のとおり選択します。
•
両方のレビューアー — [インシデントレビューアー] セクションで、いずれかのオプションを選択
します。 [インシデントデータ編集] で、[重要なインシデントデータを難読化する] および [管理
者権限] を選択します。
•
インシデントレビューアー — [インシデントレビューアー] セクションで、いずれかのオプション
を選択します。 [インシデントデータ編集] セクションで、[重要なインシデントデータを難読化す
る] を選択します。
•
編集レビューアー — [インシデントレビューアー] セクションで、オプションは何も選択しません。
[インシデントデータ編集] セクションで、[管理者権限] を選択します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
43
3
スキャンとポリシーの設定
McAfee DLP 権限セットの割り当て
44
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
4
スキャンしたデータの分析
McAfee DLP Discover を使用すると、スキャンしたデータから得られた情報をいくつかの方法で分析できます。
基本的なインベントリスキャン (メタデータの集合) は、すべてのスキャンタイプの一部です。分類スキャンは定
義された分類も適用します。これは、格納されたメタデータに付加情報を追加することにより、テキスト抽出がファ
イルの内容を解析することを意味します。
目次
McAfee DLP Discover の OLAP の使用法
スキャン結果を表示する
スキャン結果の解析
インベントリ結果の表示
McAfee DLP Discover の OLAP の使用法
McAfee DLP Discover は、Online Analytical Processing (OLAP) を、メタデータを異なる視点からの迅速な
処理を可能にするデータ・モデルとして使用します。
McAfee DLP Discover OLAP ツールを使用して、スキャンで収集したデータの多次元の関係を表示します。これら
の関係は、ハイパーキューブまたは OLAP キューブとして知られています。
スキャン結果は、分類、ファイルタイプ、リポジトリなどの条件に基いてソートして整理できます。データパター
ンを使用して、可能性のある違反を推定し、分類と修復スキャンを最適化して、データを迅速かつより効果的に保護
できます。
スキャン結果を表示する
[データ分析を] と [データインベントリ] タブは、スキャン結果を表示します。
これらのタブには、前回実行したスキャンから収集した結果が表示されます。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
45
4
スキャンしたデータの分析
スキャン結果を表示する
データ分析タブ
[データ分析] タブを使用して、スキャンからのファイルを分析できます。タブでは、OLAP データモデルを使用し
て、3 つまでのカテゴリで多次元データパターンを表示します。これらのパターンを使用して分類スキャンと修復
スキャンを最適化します。
図 4-1
データ分析の設定
1 [スキャン名] — 使用可能なすべてのタイプのスキャンがドロップダウンリストに一覧表示されます。分析は、
単一のスキャンにのみ実行できます。
2 [分析タイプ] — [ファイル]または [分類] から選択します。インベントリスキャンでは、[ファイル] のみが使
用できます。分析タイプにより、使用可能なカテゴリが決まります。
3 [表示] — 表示するエントリ数をコントロールします。
4 [テーブルの展開と折りたたみ] — ページ全体を展開します。各グループも展開または折りたたみができます。
5 カテゴリセレクタ — すべての使用可能なカテゴリがドロップダウンリストに表示されます。 2 番目と 3 番目
のセレクタの残りのカテゴリから選択して、データパターンの 3 次元分析を作成できます。
6 項目の展開 — 矢印アイコンは、各グループの展開/折りたたみをコントロールして、表示をクリーンアップしま
す。
7 数 — 各グループのファイル (または分類) の数です。数字をクリックすると、[データインベントリ] タブに移
動して、そのグループの詳細を表示します。
[分析タイプ] が [分類] に設定され、ファイルに 2 つ以上の関連付けされた分類がある場合は、この数がファイルの
総数より多くなる場合があります。
46
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
スキャンしたデータの分析
スキャン結果の解析
4
データインベントリタブ
[データインベントリ] タブには、[ファイルリスト] オプションが有効にされたスキャン結果のファイルのインベン
トリが表示されます。フィルターを作成して使用し、表示される情報を調整することができます。これによりパター
ンや疑わしいポリシー違反を発見できる場合があります。
[分類]と[ファイルタイプ]はインベントリスキャンでは使用できません。
スキャン結果の解析
スキャンされたファイル間の関係を整理して表示するには OLAP データモデルを使用します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[ルールセット] タブをクリックします。
3
[スキャン名] ドロップダウンリストから、分析するスキャンを選択します。
4
[分析タイプ] ドロップダウンリストから、[ファイル] または [分類] を選択します。
5
[表示] ドロップダウンリストから、表示する上位のエントリ数を選択します。
6
ファイルを表示するカテゴリを 3 つまでカテゴリドロップダウンリストから選択します。
7
表示する情報量を増減するには、[テーブルを展開する] と [テーブルを折りたたむ] のオプションを使用します。
8
カテゴリに属するファイルのインベントリ結果を表示するには、括弧内にファイル数が表示されているリンクを
クリックします。
このリンクは、スキャン設定で [ファイルリスト] オプションを選択した場合にのみ利用可能です。リンクは [デ
ータインベントリ] ページを表示します。
インベントリ結果の表示
すべてのスキャンタイプからのファイルを表示します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP Discover] の順に選択します。
2
[データインベントリ] タブをクリックします。
3
以下の任意のタスクを実行します。
•
特定のスキャンの結果を表示するには、[スキャン] ドロップダウンリストからスキャンを選択します。
•
表示するファイルにフィルターを適用するには、[フィルター] ドロップダウンリストからフィルターを選択
します。
[編集] をクリックしてフィルターを変更または作成します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
47
4
スキャンしたデータの分析
インベントリ結果の表示
•
ファイルをあるプロパティに基いてグループ化するには:
1
[グループ別]ドロップダウンリストからカテゴリを選択します。
使用可能なプロパティは、左パネルに表示されます。
2
•
表示される列を設定するには:
1
[アクション] 、 [列の選択] を選択します。
2
[利用可能な列] リストから、これを [選択した列] エリアに移動するオプションをクリックします。
3
[選択した列] エリアで、必要に応じて列を変更/削除します。
4
48
プロパティを選択してファイルをグループ化します。
•
列を削除するには、[x] をクリックします。
•
列を移動するには、矢印ボタンをクリックするか、列をドラッグアンドドロップします。
[ビューの更新] をクリックします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
5
インシデントと操作イベント
McAfee DLP は、インデントと操作イベントを表示する異なるツールを提供します。
•
インシデント — [DLP インシデントマネージャー] ページには、ルールから生成されたインシデントが表示され
ます。
•
操作イベント — [DLP 操作] ページには、エラーと管理情報が表示されます。
•
ケース — [DLP ケース管理] ページには、グループに対して作成され、関連するインシデントを管理するケース
が含まれます。
McAfee DLP Discover および McAfee DLP Endpoint の両方がインストールされている場合は、両方のアプリケー
ションからのインシデントとイベントがコンソールに表示されます。
[DLP インシデントマネージャー] と [DLP 操作] の両方の表示には、コンピューター、ログオン中のユーザーが生
成するインシデント/イベント、クライアントバージョン、オペレーティングシステム、およびその他の情報が表示
されます。
目次
モニタリングとレポートイベント
DLP インシデントマネージャー
インシデントの取り扱い
インシデントの表示
インシデントの管理
ケースの取り扱い
ケースの管理
モニタリングとレポートイベント
McAfee DLP は、イベントを 2 つのクラス: インシデントイベント (ポリシー違反) および管理イベントに分割しま
す。これらのイベントは、2 つのコンソール - DLP インシデントマネージャーおよび DLP 操作に表示されます。
McAfee DLP がポリシー違反の発生を確認すると、イベントを生成し McAfee ePO イベントパーサーに送信しま
す。これらのイベントは DLP インシデントマネージャーコンソールで表示、フィルタリングおよびソートできる
ため、セキュリティ担当者または管理者はイベントを確認し、すぐに対応できます。該当する場合、不審なコンテン
ツがエビデンスとしてイベントに添付されます。
McAfee DLP の主な役割は、あらゆる規制や個人情報関連の法律への企業の順守を円滑に行うことです。このため、
DLP インシデントマネージャーは最も的確で柔軟性のある方法で機密データの転送情報を提供します。監査担当や
決定権を持つ役員、プライバシー担当者などの主要な役員は、DLP インシデントマネージャーを使用して、不審な
または未許可の動作を観察し、エンタープライズのプライバシーポリシー、関連規則またはその他の法律に従って作
業できます。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
49
5
インシデントと操作イベント
DLP インシデントマネージャー
DLP 操作コンソールの表示
•
McAfee DLP Discover: スキャンまたはサーバーのエラー
•
McAfee DLP Endpoint: クライアントの配備、ポリシーの変更、ポリシーの配備、セーフモードログオン、
エージェント上書き、および他の管理イベントの詳細
DLP インシデントマネージャー
McAfee ePO の DLP インシデントマネージャーページを使用して、ポリシー違反のセキュリティはイベントを表
示します。
インシデントマネージャーには 3 つのタブ形式のセクションがあります。
•
[インシデントリスト] — ポリシー違反イベントの現在のリスト。
•
[インシデントタスク] — リストで実行できるアクションのリスト、またはそのリストから選択した部分。これ
には、レビューアーの割り当て、自動電子メール通知の設定、リストの全部または一部の完全削除が含まれます。
•
[インシデント履歴] — すべてのインシデントの履歴を含むリスト。インシデントリストの完全削除は、履歴に
影響しません。
インシデントマネージャーの動作の仕組み
DLP インシデントマネージャーのインシデントリストタブには、ポリシー違反インシデントの確認に必要なすべ
ての機能があります。特定のイベントをクリックすると、イベントの詳細が表示されます。フィルターを作成し保
存してビューを変更するか、左ペインで事前定義されたフィルターを使用できます。列を選択して並べ替えることに
よっても、ビューを変更できます。カラーコード付けされたアイコンと重大度の数値評価は、イベントのすばやい目
視確認に役立ちます。
イベントに実行できる操作には、以下が含まれます。
50
•
ケース管理 — ケースの作成と、選択したインシデントのケースへの追加
•
コメント — 選択したインシデントへのコメントの追加
•
イベントの電子メール送信 — 選択したイベントの送信
•
ラベル — ラベルによるフィルタリングにラベルを付ける。
•
編集の解放 — 編集を削除して、保護フィールドを表示 (正しい権限が必要)。
•
プロパティの設定 —重大度、ステータス、または解決策の編集、インシデント確認にユーザーまたはグループの
割り当て。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
5
インシデントと操作イベント
DLP インシデントマネージャー
DLP 操作ページは、管理イベントとまったく同様に機能します。イベントには、イベントが生成された理由と、ど
の McAfee DLP 製品がイベントをレポートしたか、という情報が含まれます。
図 5-1
DLP インシデントマネージャー
インシデントタスク/操作イベントタスク
インシデントタスクまたは操作イベントタスクタブを使用して、スケジュールされたタスクの条件を設定します。
ページでのタスクの設定を、McAfee ePO サーバータスクと併用して、タスクをスケジュールします。
両方のタスクタブは、タスクタイプ (左ペイン) で構成されます。インシデントタスクタブは、インシデントタ
イプでも構成され、そのため実際には 4 x 3 のマトリックスで、表示される情報は、選択する 2 つのパラメーター
によって異なります。
使用中/送信中のデ
ータ
保存中のデータ (エンド保存中のデータ (ネッ
ポイント)
トワーク)
レビューアー設定
X
X
X
自動メール通知
X
X
X
完全削除イベント
X
X
X
使用中/送信中のデ
ータ (履歴)
X
使用例: プロパティの設定
プロパティは、フォローアップが必要なインシデントに追加されるデータです。プロパティは、インシ
デントの詳細ペインから、あるいは[アクション] 、 [プロパティの設定]を選択して追加できます。プ
ロパティは次のとおりです。
•
重大度
•
グループの確認
•
ステータス
•
ユーザーの確認
•
解決策
任意の McAfee ePO ユーザーがレビューアーになることができます。重大度が変更できる理由は、ス
テータスが誤検知であると管理者が決定した場合は元の重大度が無意味になるためです。
使用例: ビューの変更
フィルターを使用したビューの変更に加えて、表示のフィールドと順序をカスタマイズすることもでき
ます。カスタマイズされたビューは保存して再利用できます。
フィルターの作成には以下のタスクが含まれます。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
51
5
インシデントと操作イベント
DLP インシデントマネージャー
1
ビューの編集ウィンドウを開くには、[アクション] 、 [ビュー] 、 [列の選択]をクリックします。
2
列を右または左に移動するには、[x] アイコンを使用して列を削除し、矢印アイコンを使用します。
3
カスタマイズしたビューを定義するには、[ビューの更新] をクリックします。
4
後で使用するために保存するには、[アクション] 、 [ビュー] 、 [ビューの保存]をクリックします。
ビューを保存する際に、時刻とカスタムフィルターも保存できます。保存されたビューは、ページ
の上部のドロップダウンリストから選択できます。
レビューアー設定タスクの作成
異なるインシデントと操作イベントタスクにレビューアーを割り当てて、大規模の組織のワークロードを分割できま
す。
開始する前に
McAfee ePO の [ユーザー管理] 、 [権限セット] で、DLP インシデントマネージャーと DLP 操作の
レビューアー設定権限で、レビューアーを作成するかグループレビューアーを指定します、
レビューアー設定タスクは、ルール条件に従って、レビューアーをインシデント/イベントに割り当てます。タスク
は、レビューアーが割り当てられていないインシデントでのみ実行されます。これを使用して、インシデントを別の
レビューアーに再割り当てすることはできません。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデントマネージャー] または [メニュー] 、 [デー
タ保護] 、 [DLP 操作] を選択します。
2
[インシデントタスク] または [操作イベントタスク] タブをクリックします。
3
ドロップダウンリスト ([インシデントタスク]のみ) から保存中のデータ (ネットワーク) を選択し、[タスクタ
イプ] ペインの [レビューアー設定] を選択して、[アクション] 、 [新しいルール] をクリックします。
4
名前とオプションの説明を入力します。レビューアーまたはグループを選択して、[次へ] をクリックします。
デフォルトでは、ルールは有効になっています。この設定を変更して、タスクの実行を遅延させることができま
す。
5
条件を追加するには [>] を、削除するには [<] をクリックします。 [比較] および [値] パラメーターを設定し
ます。条件の定義が終了したら、[保存] をクリックします。
複数のレビューアー設定ルールがある場合は、リスト内でルールの並び替えができます。
タスクは 1 時間ごとに実行されます。
レビューアーが設定されると、レビューアー設定タスクでレビューアーを上書きすることはできません。
自動メール通知タスクの作成
管理者、マネージャー、またはユーザーへのインシデントと操作イベントの自動電子メール通知を設定できます。
52
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
インシデントと操作イベント
DLP インシデントマネージャー
5
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデントマネージャー] または [メニュー] 、 [デー
タ保護] 、 [DLP 操作] を選択します。
2
[インシデントタスク] または [操作イベントタスク] タブをクリックします。
3
ドロップダウンリスト ([インシデントタスク]のみ) から保存中のデータ (ネットワーク) を選択し、[タスク
タイプ] ペインで [自動メール通知] を選択して、次に [アクション] 、 [新しいルール] をクリックします。
4
名前とオプションの説明を入力します。
デフォルトでは、ルールは有効になっています。この設定を変更して、タスクの実行を遅延させることができま
す。
5
6
処理するイベントを選択します。
•
すべてのインシデント/(選択されたイベントタイプの) イベントを処理します。
•
最後にメール通知を実行して以降のインシデント/イベントを処理します。
[受信者] を選択します。
このフィールドは必須です。受信者を 1 人以上選択する必要があります。
7
電子メールの件名を入力します。
このフィールドは必須です。
必要に応じてドロップダウンリストから変数を挿入できます。
8
電子メールの本文を入力します。
必要に応じてドロップダウンリストから変数を挿入できます。
9
(オプション) 電子メールにエビデンス情報を添付するチェックボックスを選択します。 [次へ] をクリックしま
す。
10 条件を追加するには [>] を、削除するには [<] をクリックします。 [比較] および [値] パラメーターを設定し
ます。条件の定義が終了したら、[保存] をクリックします。
タスクは 1 時間ごとに実行されます。
イベントの完全削除タスクの作成
インシデントとイベント完全削除タスクを作成して、必要のなくなったデータのデータベースを消去します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデントマネージャー] または [メニュー] 、 [デー
タ保護] 、 [DLP 操作] を選択します。
2
[インシデントタスク] または [操作イベントタスク] タブをクリックします。
3
ドロップダウンリスト ([インシデントタスク]のみ) から保存中のデータ (ネットワーク) を選択し、[タスク
タイプ] から [完全削除イベント] を選択して、次に [アクション] 、 [新しいルール] をクリックします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
53
5
インシデントと操作イベント
DLP インシデントマネージャー
4
名前とオプションの説明を入力して、[次へ] をクリックします。
デフォルトでは、ルールは有効になっています。この設定を変更して、タスクの実行を遅延させることができま
す。
5
条件を追加するには [>] を、削除するには [<] をクリックします。 [比較] および [値] パラメーターを設定し
ます。条件の定義が終了したら、[保存] をクリックします。
タスクは、ライブデータに対しては毎日、履歴データに対しては毎週金曜日 10:00 PM に実行されます。
サーバータスクの編集
McAfee DLP は、McAfee ePO サーバータスクを使用して、DLP インシデントマネージャーと DLP 操作タスク
を実行します。
各インシデントと操作イベントタスクは、サーバータスクリストで事前定義されています。使用できるオプション
は、それらを有効/無効にする、またはスケジュールを変更することのみです。利用可能な McAfee DLP サーバー
タスクは以下のとおりです。
•
[検出サーバーの検知]
•
[DLP 操作イベントとインシデントを電子メール
で送信]
•
[DLP 操作イベントとインシデントの履歴を完全
削除]
•
[DLP 操作イベントとインシデントのレビューア
ーを設定]
•
[DLP 操作イベントとインシデントを完全削除]
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [自動化] 、 [サーバータスク] を選択します。
2
編集するタスクを選択します。
ベストプラクティス: [高速検索] フィールドに DLP を入力してリストをフィルタリングします。
3
[アクション] 、 [編集] を選択して、[スケジュール] をクリックします。
4
必要に応じてスケジュールを編集したら、[保存] をクリックします。
結果のモニタータスク
インシデントと操作イベントタスクの結果をモニターします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [自動化] 、 [サーバータスクログ] を選択します。
2
完了した McAfee DLP タスクを見つけます。
DLP を [高速検索] フィールドに入力するか、カスタムフィルターを設定します。
3
タスクの名前をクリックします。
タスクが失敗した場合のエラー情報を含め、タスクの詳細が表示されます。
54
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
インシデントと操作イベント
インシデントの取り扱い
5
インシデントの取り扱い
McAfee DLP が、ルールで定義されたパラメーターに一致するデータを受信すると、違反がトリガーされ、McAfee
DLP がインシデントを生成します。
McAfee ePO のインシデントマネージャーを使用して、インシデントを表示、ソート、グループ化、フィルタリン
グして、重要な違反を発見できます。インシデントの詳細は表示でき、有用でないインシデントは削除することがで
きます。
インシデントの表示
インシデントマネージャーは、McAfee DLP デバイスからレポートされるすべてのインシデントを表示します。重
要な違反をより効率的に特定しやすくするように、インシデントの表示方法を変更できます。
McAfee DLP に、電子メールメッセージなどの複数のルールをトリガーするオブジェクトがある場合は、インシデ
ントマネージャーは違反を個別のインシデントではなく、1 つインシデントとして結合して表示します。
タスク
•
55 ページの「インシデントのソートとフィルタリング」
インシデントの表示方法を、時間、場所、ユーザー、または重大度などの属性に基いて変更します。
•
56 ページの「列表示の設定」
ビューを使用して、インシデントマネージャーで表示する列のタイプと順序を設定します。
•
56 ページの「インシデントフィルターの設定」
指定した条件に一致するインシデントを表示するには、フィルターを使用します。
•
57 ページの「インシデントの詳細の表示」
インシデントに関連する情報を表示します。
インシデントのソートとフィルタリング
インシデントの表示方法を、時間、場所、ユーザー、または重大度などの属性に基いて変更します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[DLP インシデントマネージャー] を選択します。
2
[存在] ドロップダウンリストから [保存中のデータ (ネットワーク)] を選択し、必要な場合は、[スキャン] リン
クをクリックしてスキャンを設定します。
3
以下の任意のタスクを実行します。
•
列でソートするには、列ヘッダーをクリックします。
•
列をカスタムビューに変更するには、[ビュー] ドロップダウンリストから、カスタムビューを選択します。
•
時間でフィルタリングするには、[時間] ドロップダウンリストから、時間帯を選択します。
•
カスタムフィルターを適用するには、[フィルター] ドロップダウンリストからカスタムフィルターを選択
します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
55
5
インシデントと操作イベント
インシデントの表示
•
属性でグループ化するには:
1
[グループ別] ドロップダウンリストから属性を選択します。
使用可能なオプションのリストが表示されます。リストには、最も頻繁に使用される 250 のオプション
が含まれています。
2
リストからオプションを選択します。選択に一致するインシデントが表示されます。
列表示の設定
ビューを使用して、インシデントマネージャーで表示する列のタイプと順序を設定します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[DLP インシデントマネージャー] を選択します。
2
[存在] ドロップダウンリストから [保存中のデータ (ネットワーク)] を選択し、必要な場合は、[スキャン] リン
クをクリックしてスキャンを設定します。
3
[ビュー] ドロップダウンリストから、[デフォルト] を選択して [編集] をクリックします。
4
列を設定します。
a
[利用可能な列] リストから、これを [選択した列] エリアに移動するオプションをクリックします。
b
[選択した列] エリアで、必要に応じて列を変更/削除します。
c
5
•
列を削除するには、[x] をクリックします。
•
列を移動するには、矢印ボタンをクリックするか、列をドラッグアンドドロップします。
[ビューの更新] をクリックします。
ビューを設定します。
a
[ビュー] ドロップダウンリストの横の [保存] をクリックします。
b
次のいずれかのオプションを選択します。
c
•
[新しいビューとして保存] — ビューの名前を指定します。
•
[既存のビューを上書き] — 保存するビューを選択します。
ビューを使用できるユーザーを選択します。
•
[パブリック] — すべてのユーザーがビューを使用できます。
•
[プライベート] — ビューを作成したユーザーのみが使用できます。
d
ビューに適用された現在のフィルターまたはグループ化を使用するかどうかを指定します。
e
[OK] をクリックします。
インシデントマネージャーで[アクション] 、 [ビュー]を選択することでも、ビューを管理することができます。
インシデントフィルターの設定
指定した条件に一致するインシデントを表示するには、フィルターを使用します。
56
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
インシデントと操作イベント
インシデントの表示
5
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[DLP インシデントマネージャー] を選択します。
2
[存在] ドロップダウンリストから [保存中のデータ (ネットワーク)] を選択し、必要な場合は、[スキャン] リン
クをクリックしてスキャンを設定します。
3
[フィルター] ドロップダウンリストから、[(カスタムフィルターなし)] を選択して [編集] をクリックします。
4
フィルターパラメーターを設定します。
a
[使用可能なプロパティ] リストから、プロパティを選択します。
b
プロパティの値を入力します。
追加の値を同じプロパティに追加するには、[+] をクリックします。
c
必要に応じて追加のプロパティを選択します。
プロパティのエントリを削除するには、[<] をクリックします。
d
5
[フィルターの更新] をクリックします。
フィルターを設定します。
a
[フィルター] ドロップダウンリストの横の [保存] をクリックします。
b
次のいずれかのオプションを選択します。
c
d
•
[新しいフィルターとして保存] — フィルターの名前を指定します。
•
[既存のフィルターを上書き] — 保存するフィルターを選択します。
フィルターを使用できるユーザーを選択します。
•
[パブリック] — すべてのユーザーがフィルターを使用できます。
•
[プライベート] — フィルターを作成したユーザーのみが使用できます。
[OK] をクリックします。
インシデントマネージャーで[アクション] 、 [フィルター]を選択することでも、フィルターを管理することができま
す。
インシデントの詳細の表示
インシデントに関連する情報を表示します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
57
5
インシデントと操作イベント
インシデントの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[DLP インシデントマネージャー] を選択します。
2
以下のいずれかを実行します。
3
•
Device Control または McAfee DLP Endpoint インシデントの場合: [存在] ドロップダウンリストから、
[使用中/移動中のデータ] を選択します。
•
McAfee DLP Endpoint 検出インシデントの場合: [存在] ドロップダウンリストから、[保存中のデータ (エ
ンドポイント)] を選択します。
•
McAfee DLP Discover インシデントの場合: [存在] ドロップダウンリストから [保存データ (ネットワー
ク)] を選択し、必要な場合は、[スキャン] リンクをクリックしてスキャンを設定します。
[インシデント ID] をクリックします。
McAfee DLP Endpoint で、ページには、全般設定の詳細とソース情報が表示されます。インシデントタイプに
よって、宛先またはデバイスの詳細が表示されます。 McAfee DLP Discover で、ページには、インシデントに
関する全般設定の詳細が表示されます。
4
追加の情報を表示するには、以下のいずれかのタスクを実行します。
•
McAfee DLP Endpoint でユーザー情報を表示するには、[ソース] エリアでユーザー名をクリックします。
•
エビデンスファイルを表示するには:
1
[エビデンス] タブをクリックします。
2
ファイル名をクリックして、適切なプログラムでファイルを開きます。
[エビデンス] タブには、[短い検索文字列] が表示され、これには 3 件までのヒットハイライトが 1 つの文
字列として含まれます。
•
インシデントをトリガーしたルールを表示するには、[ルール] タブをクリックします。
•
分類を表示するには、[分類] タブをクリックします。
McAfee DLP Endpoint で、分類タブは、インシデントタイプによっては表示されません。
•
インシデントの履歴を表示するには、[監査ログ] タブをクリックします。
•
インシデントに追加されたコメントを表示するには、[コメント] タブをクリックします。
•
インシデントの詳細を復号化されたエビデンスとヒットハイライトファイルとともに電子メールで送信する
には、[アクション] 、 [選択したイベントを電子メールで送信] を選択します。
•
インシデントマネージャーに戻るには、[OK] をクリックします。
インシデントの管理
インシデントマネージャーを使用して、インシデントを更新、管理します。
インシデントを削除するには、イベントを完全削除するタスクを設定します。
58
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
インシデントと操作イベント
インシデントの管理
5
タスク
•
59 ページの「単一のインシデントの更新」
重大度、ステータス、およびレビューアーなどのインシデント情報を更新します。
•
59 ページの「複数のインシデントの更新」
複数のインシデントを同じ情報で同時に更新します。
•
60 ページの「ラベルの管理」
ラベルは、類似した特徴をもつインシデントの識別に使用するカスタム属性です。
関連トピック:
53 ページの「イベントの完全削除タスクの作成」
単一のインシデントの更新
重大度、ステータス、およびレビューアーなどのインシデント情報を更新します。
[監査ログ] タブは、インシデントで実行されるすべての更新と変更をレポートします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[DLP インシデントマネージャー] を選択します。
2
[存在] ドロップダウンリストから [保存中のデータ (ネットワーク)] を選択し、必要な場合は、[スキャン] リン
クをクリックしてスキャンを設定します。
3
インシデントをクリックします。
4
以下の任意のタスクを実行します。
•
•
•
重大度、ステータス、解決策を更新するには:
1
[重大度]、[ステータス]、または[解決策] ドロップダウンリストからオプションを選択します。
2
[保存] をクリックします。
レビューアーを更新するには:
1
[レビューアー] フィールドの横にある [...] をクリックします。
2
グループまたはユーザーを選択して、[OK] をクリックします。
3
[保存] をクリックします。
コメントを追加するには:
1
[アクション] 、 [コメントを追加] を選択します。
2
コメントを入力して [OK] をクリックします。
複数のインシデントの更新
複数のインシデントを同じ情報で同時に更新します。
例: 特定のスキャンのすべてのインシデントを表示するフィルターを適用し、これらのインシデントの重大度をすべ
てメジャーに変更します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
59
5
インシデントと操作イベント
インシデントの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[DLP インシデントマネージャー] を選択します。
2
[存在] ドロップダウンリストから [保存中のデータ (ネットワーク)] を選択し、必要な場合は、[スキャン] リン
クをクリックしてスキャンを設定します。
3
更新するインシデントのチェックボックスを選択します。
現在のフィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべての項目を選
択] をクリックします。
4
以下の任意のタスクを実行します。
•
コメントを追加するには、[アクション] 、 [コメントの追加] を選択し、コメントを入力して [OK] をクリッ
クします。
•
インシデントを電子メールで送信するには、[アクション] 、 [選択したイベントを電子メール送信] を選択
し、情報を入力して [OK] をクリックします。
テンプレートを選択するか、情報を入力し [保存] をクリックしてテンプレートを作成することができます。
•
プロパティを変更するには、[アクション] 、 [プロパティの設定] を選択し、オプションを変更して [OK] を
クリックします。
ラベルの管理
ラベルは、類似した特徴をもつインシデントの識別に使用するカスタム属性です。
1 つのインシデントに複数のラベルを割り当てることができ、また複数のインシデントでラベルを再利用できます。
例: 社内で開発中のいくつかのプロジェクトに関連するインシデントがある場合、各プロジェクトの名前でラベルを
作成して、それぞれのインシデントにラベルを割り当てることができます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[DLP インシデントマネージャー] を選択します。
2
[存在] ドロップダウンリストから [保存中のデータ (ネットワーク)] を選択し、必要な場合は、[スキャン] リン
クをクリックしてスキャンを設定します。
3
1 つ以上のインシデントのチェックボックスを選択します。
現在のフィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべての項目を選
択] をクリックします。
4
以下の任意のタスクを実行します。
•
60
ラベルを追加するには、以下の手順を実行します。
1
[アクション] 、 [ラベルの管理] 、 [添付] を選択します。
2
新しいラベルを追加するには、名前を入力して [追加] をクリックします。
3
1 つ以上のラベルを選択します。
4
[OK] をクリックします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
インシデントと操作イベント
ケースの取り扱い
•
•
5
インシデントからラベルを削除するには、以下の手順を実行します。
1
[アクション] 、 [ラベルの管理] 、 [解除]選択します。
2
インシデントから削除するラベルを選択します。
3
[OK] をクリックします。
ラベルを削除するには、以下の手順を実行します。
1
[アクション] 、 [ラベルの管理] 、 [ラベルの削除]を選択します。
2
削除するラベルを選択します。
3
[OK] をクリックします。
ケースの取り扱い
ケースを使用すると、インシデントに関する解決策のために、複数の管理者が協力することができます。
多くの場合、単一のインシデントは分離されたイベントではありません。共通のプロパティを共有する、あるいは互
いに関係のある DLP インシデントマネージャーに複数のインシデントが表示される場合があります。これらの関
連するインシデントは、1 つのケースに割り当てることができます。組織内の役割によっては、複数の管理者がケー
スを監視し管理できます。
シナリオ: 修復スキャンで生成されるインシデントが、アクセスが公開されているリポジトリに機密ファイルが追加
されたことを示しています。別の修復スキャンでは、これらのファイルが別の公開リポジトリに追加されたことを示
しています。
違反の性質によっては、人事または法務の担当チームにこれらのインシデントに関するアラートを報告する必要があ
ります。これらのチームの担当者に、コメントの追加や、優先度の変更、または主要な関係者への通知などの、この
ケースに関する対応を許可することができます。
ケースの管理
インシデントの解決のためにケースを作成して維持します。
タスク
•
62 ページの「ケースの作成」
グループにケースを作成して、関連するインシデントをレビューします。
•
62 ページの「ケース情報の表示」
監査ログ、ユーザーコメント、およびケースに割り当てられたインシデントを表示します。
•
62 ページの「インシデントのケースへの割り当て」
関連するインシデントを新規または既存のケースに追加します。
•
63 ページの「ケースからのラベルの追加と削除」
インシデントがケースに関連付けされなくなった場合は、ケースから削除するか別のケースに移動でき
ます。
•
63 ページの「ケースの更新」
所有者の変更、通知の送信、またはコメントの追加などの、ケース情報を更新します。
•
64 ページの「ケースへのラベルの追加と削除」
ラベルを使用して、カスタム属性でケースを区別します。
•
65 ページの「ケースの削除」
必要がなくなったケースを削除します。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
61
5
インシデントと操作イベント
ケースの管理
ケースの作成
グループにケースを作成して、関連するインシデントをレビューします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
[アクション] 、 [新規]の順に選択します。
3
タイトル名を入力して、オプションを設定します。
4
[OK] をクリックします。
ケース情報の表示
監査ログ、ユーザーコメント、およびケースに割り当てられたインシデントを表示します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
ケース ID をクリックします。
3
以下の任意のタスクを実行します。
4
•
ケースに割り当てられたインストールを表示するには、[インシデント] タブをクリックします。
•
ユーザーコメントを表示するには、[コメント] タブを表示します。
•
監査ログを表示するには、[監査ログ] タブをクリックします。
[OK] をクリックします。
インシデントのケースへの割り当て
関連するインシデントを新規または既存のケースに追加します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデントマネージャー] の順に選択します。
2
[現在] ドロップダウンリストから、インシデントタイプを選択します。 [保存中のデータ (ネットワーク)] で、
必要に応じて [スキャン] リンクをクリックしてスキャンを設定します。
3
1 つ以上のインシデントのチェックボックスを選択します。
[フィルター] または [グループ別 G] などのオプションを使用して関連するインシデントを表示します。現在の
フィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべての項目を選択] をク
リックします。
62
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
インシデントと操作イベント
ケースの管理
4
5
5
インシデントのケースへの割り当て
•
新規ケースを追加するには、[アクション] 、 [ケース管理] 、 [新規ケースの追加] を選択して、タイトル名
を入力して、オプションを設定します。
•
既存のケースを追加するには、[アクション] 、 [ケース管理] 、 [既存のケースの追加] を選択して、ケース
ID またはタイトルでフィルタリングして、ケースを選択します。
[OK] をクリックします。
ケースからのラベルの追加と削除
インシデントがケースに関連付けされなくなった場合は、ケースから削除するか別のケースに移動できます。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
ケース ID をクリックします。
3
以下の任意のタスクを実行します。
•
•
4
インシデントをケースから別のケースに移動するには以下の手順を実行します。
1
[インシデント] タブをクリックして、インシデントを選択します。
2
[アクション] 、 [移動] を選択して、既存のケースに移動するか新しいケースに移動するかを選択します。
3
既存のケールを選択するか新しいケースのオプションを設定して、[OK] をクリックします。
ケースからインシデントを削除するには、以下の手順を実行します。
1
[インシデント] タブをクリックして、インシデントを選択します。
2
[アクション] 、 [削除] を選択して、[はい] をクリックします。
[OK] をクリックします。
[アクション] 列で、[移動] または [削除] をクリックして [インシデント] タブからインシデントを移動または削除で
きます。
ケースの更新
所有者の変更、通知の送信、またはコメントの追加などの、ケース情報を更新します。
通知は、ケースの作成者、ケースの所有者、および選択されたユーザーに、以下の場合に送信されます。
•
電子メールが追加または変更された場合
•
優先度が変更された場合
•
インシデントがケースに追加またはケースから削
除された場合
•
解決策が変更された場合
•
ケースのタイトルが変更された場合
•
コメントが追加された場合
•
所有者の詳細が変更された場合
[メニュー] 、 [設定] 、 [サーバー設定] 、 [Data Loss Prevention] から、ケースの作成者/所有者への通知の自動送
信を無効にできます。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
63
5
インシデントと操作イベント
ケースの管理
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
ケース ID をクリックします。
3
以下の任意のタスクを実行します。
•
ケース名を更新するには、[タイトル] フィールドで、新しい名前を入力して、[保存] をクリックします。
•
所有者をを更新するには:
1
[所有者] フィールドの横にある [...] をクリックします。
2
グループまたはユーザーを選択します。
3
[OK] をクリックします。
4
[保存] をクリックします。
•
[優先度]、[ステータス]、または [解決策] オプションを更新するには、ドロップダウンリストを使用して項
目を選択し、[保存] をクリックします。
•
通知メールの送信
1
[通知の送信先] フィールドの横にある [...] をクリックします。
2
通知を送信するユーザーを選択します。
連絡先が一覧表示にない場合は、McAfee ePO の電子メールサーバーを指定して、ユーザーの電子メール
アドレスを追加します。 [メニュー] 、 [設定] 、 [サーバー設定] 、 [電子メールサーバー] から電子メー
ルサーバーを設定します。 [メニュー] 、 [ユーザー管理] 、 [ユーザー] からユーザーを設定します。
3
•
4
[保存] をクリックします。
ケースにコメントを追加するには、以下の手順を実行します。
1
[コメント] タブをクリックします。
2
テキストフィールドにコメントを入力します。
3
[コメントの追加] をクリックします。
[OK] をクリックします。
ケースへのラベルの追加と削除
ラベルを使用して、カスタム属性でケースを区別します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
1 つ以上のケースのチェックボックスを選択します。
現在のフィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべてを選択] をク
リックします。
64
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
インシデントと操作イベント
ケースの管理
3
5
以下の任意のタスクを実行します。
•
•
ラベルを選択したケースに追加するには、以下の手順を実行します。
1
[アクション] 、 [ラベルの管理] 、 [添付] を選択します。
2
新しいラベルを追加するには、名前を入力して [追加] をクリックします。
3
1 つ以上のラベルを選択します。
4
[OK] をクリックします。
ラベルを選択したケースから削除するには、以下の手順を実行します。
1
[アクション] 、 [ラベルの管理] 、 [解除]選択します。
2
削除するラベルを選択します。
3
[OK] をクリックします。
関連トピック:
60 ページの「ラベルの管理」
ケースの削除
必要がなくなったケースを削除します。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
1 つ以上のケースのチェックボックスを選択します。
現在のフィルターを使用して表示されたすべてのケースを削除するには、[このページのすべてを選択] をクリック
します。
3
[アクション] 、 [削除] を選択して、[はい] をクリックします。
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
65
5
インシデントと操作イベント
ケースの管理
66
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
索引
D
え
DLP インシデントマネージャー 50
エビデンス
イベントへの対応 49
DLP データ, 分類 27
エンドポイントイベント 49
エビデンスサーバー 18
DLP ポリシーコンソール, インストール 14
か
M
監視 50
McAfee Agent 11
McAfee ServicePortal、アクセス 6
け
ケース
O
インシデントの割り当て 62
OLAP 45
監査ログ 62
更新 63
R
コメントの追加 63
rights management 17
削除 65
作成 62
S
説明 61
通知の送信 63
ServicePortal、製品マニュアルの検索 6
ラベル 64
権限セット 41
あ
アップグレード 13
検証 27
こ
い
高度なパターン
イベント
監視 49
インシデント
更新 59
ソート 55
ビュー 56
フィルタリング 55, 56
ラベル 60
詳細 57
インシデントタスク 50, 54
作成 34
このガイドで使用している表記規則とアイコン 5
このガイドについて 5
さ
サーバータスク 54
し
システム要件 11
インシデントマネージャー 50
インストール 14
す
インベントリスキャン
スキャン
設定 37
インベントリ 22, 37
修復 23, 39
う
スケジューラー 33
ウェークアップエージェント 16
タイプ 8
認証情報 30
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
67
索引
スキャン (続き)
ふ
リポジトリ 30, 32
フィルター 29
結果 45
分類スキャン
分類 22, 38
説明 22
スケジューラー 33
設定 38
スロット 24
へ
て
ベストプラクティス 14
ディクショナリ
エントリのインポート 35
作成 35
ほ
ポリシー, 設定 28
説明 27
データ
ま
分類 27
マニュアル
テキストパターン
製品固有、検索 6
バージョン情報 27
テクニカルサポート、製品情報の検索 6
デフォルトポート 12
り
リポジトリ 30, 32
と
る
ドキュメント
このガイドの対象読者 5
表記規則とアイコン 5
ルール
バージョン情報 28
修復スキャン 36
に
認証情報 30
68
McAfee Data Loss Prevention Discover 10.0.0
製品ガイド
0A16

Download Report