POC Guide

1. Призначення

Цей розділ описує порядок проведення базового перевірочного впровадження GTB DLP.

Мета перевірки — підтвердити, що рішення:

• виявляє конфіденційні дані;
• застосовує політики захисту даних;
• контролює дії користувачів на робочих станціях;
• створює події безпеки;
• дозволяє переглядати результати перевірок;
• інтегрується з Active Directory;
• контролює основні канали можливого витоку даних.

---

2. Компоненти для перевірки

У базовий сценарій перевірки входять такі компоненти:

Компонент	Обов'язковість	Призначення
GTB Central Console	Обов'язково	Центральне керування, політики, події, звіти
GTB Endpoint Protector	Обов'язково	Контроль робочих станцій, USB, буфера обміну, мережевого трафіку
Active Directory / LDAP	Рекомендовано	Застосування політик до груп, користувачів і комп'ютерів
GTB Discovery Server	За потреби	Пошук конфіденційних даних у сховищах
GTB Inspector	За потреби	Перевірка мережевого трафіку
SMTP Server	Рекомендовано	Надсилання повідомлень електронною поштою
SIEM Receiver	За потреби	Передавання подій у SIEM-систему

---

3. Підготовка середовища

Перед початком перевірки підготуйте:

• сервер або віртуальну машину для GTB Central Console;
• статичну IP-адресу для Central Console;
• DNS-запис або зрозуміле ім'я вузла;
• доступ до Active Directory;
• тестову організаційну одиницю або тестову групу в Active Directory;
• тестову робочу станцію Windows для встановлення агента;
• SMTP-сервер для надсилання повідомлень;
• тестові файли з контрольними даними;
• файл ліцензії GTB;
• адміністративні облікові дані;
• окремого тестового користувача.

Важливо

Не проводьте перші тести з блокуванням на робочих групах користувачів. Для перевірки створіть окрему тестову групу або організаційну одиницю в Active Directory.

---

4. Підготовка Central Console

4.1 Встановлення Central Console

Встановіть GTB Central Console згідно з розділом:

Central Console > Installation & Configuration

Після встановлення перевірте:

• Central Console відкривається через HTTPS;
• IP-адресу налаштовано;
• шлюз налаштовано;
• DNS налаштовано;
• веб-інтерфейс доступний з адміністративної робочої станції;
• ліцензію застосовано.

---

4.2 Перевірка доступу до веб-інтерфейсу

Виконайте такі дії:

1. Відкрийте браузер.

2. Перейдіть за адресою:

   https://

3. Увійдіть під адміністративним користувачем.

4. Перевірте доступність основних розділів:

5. GTB DLP Setup;

6. System Setup;
7. Maintenance;
8. Network Status;
9. Security Events;
10. Reports;
11. User Management.

---

5. Перевірка ліцензії

5.1 Перегляд стану ліцензії

Виконайте такі дії:

1. Увійдіть у Central Console.

2. Перейдіть:

   Maintenance > Licensing

3. Перевірте:

4. загальну кількість ліцензій;

5. кількість використаних ліцензій;
6. кількість доступних ліцензій;
7. дату завершення дії ліцензії;
8. доступність функцій Endpoint Protector;
9. доступність функцій Discovery;
10. ліцензію Inspector, якщо він використовується.

Важливо

Якщо потрібна функція не активована ліцензією, вона не працюватиме навіть за правильних налаштувань політик.

---

6. Базове налаштування Central Console

6.1 Налаштування DNS і proxy

Виконайте такі дії:

1. Перейдіть:

   DLP Setup > System > Network

2. Вкажіть:

   DNS Server IP

3. Якщо Central Console не має прямого доступу до інтернету, налаштуйте proxy у секції:

   Internet connection through proxy

4. Натисніть:

   Save

---

6.2 Налаштування назви компанії

Виконайте такі дії:

1. Перейдіть:

   DLP Setup > Company

2. Вкажіть назву компанії.

3. Натисніть:

   Save

---

6.3 Налаштування дати й часу

Виконайте такі дії:

1. Перейдіть:

   DLP Setup > Date & Time

2. Вкажіть правильний часовий пояс.

3. Перевірте дату і час.

4. Натисніть:

   Save

---

7. Інтеграція з Active Directory

7.1 Налаштування LDAP

Виконайте такі дії:

1. Перейдіть:

   System Setup > LDAP Integration

2. Натисніть:

   Add LDAP Server

3. Виберіть:

   Windows Active Directory

4. Заповніть параметри:

5. Display Name;

6. LDAP Server Address;
7. Port;
8. Domain\Username або Base DN;
9. Password;
10. Base DN Filter, якщо потрібно;

11. Encryption, якщо використовується LDAPS.

12. Натисніть:

    Save

13. Дочекайтесь завершення синхронізації.

---

7.2 Перевірка об'єктів Active Directory

Після синхронізації перевірте, що доступні:

• організаційні одиниці;
• групи;
• комп'ютери;
• користувачі.

Для перевірки:

1. Перейдіть:

   GTB DLP Setup > Endpoint Protector

2. Натисніть:

   Add

3. Переконайтесь, що об'єкти Active Directory доступні для вибору.

Рекомендація

Для перевірки створіть окрему групу, наприклад GTB-DLP-POC-Users або GTB-DLP-POC-Computers.

---

8. Налаштування поштових повідомлень

8.1 Налаштування SMTP

Виконайте такі дії:

1. Перейдіть:

   DLP Setup > Emails and alerts

2. Вкажіть параметри SMTP-сервера:

3. адресу сервера;

4. порт;
5. автентифікацію, якщо потрібна;
6. адресу відправника;

7. тестового отримувача.

8. Натисніть:

   Send Test Email

9. Переконайтесь, що тестовий лист доставлений.

10. Натисніть:

    Save

Важливо

Без налаштованого SMTP не працюватимуть поштові повідомлення, сповіщення керівника та частина операційних повідомлень.

---

9. Встановлення Endpoint Agent

9.1 Перевірка адреси Central Console в пакеті агента

Перед встановленням агента перевірте, що IP-адресу або ім'я Central Console вказано правильно.

Виконайте такі дії:

1. Перейдіть:

   DLP Setup > System > Network

2. Перевірте значення:

   This Console IP or Domain Name

3. Натисніть:

   Save

Примітка

Після натискання Save IP-адреса або ім'я Central Console записується в MSI-пакет агента.

---

9.2 Завантаження агента

Виконайте такі дії:

1. Перейдіть:

   Help / Downloads

2. Відкрийте:

   Downloads

3. Завантажте:

   GTB Endpoint Windows Agent

4. Скопіюйте MSI-пакет на тестову робочу станцію.

---

9.3 Встановлення агента

Виконайте такі дії на тестовій робочій станції:

1. Запустіть MSI-пакет.

2. Дочекайтесь завершення встановлення.

3. Перезавантажте робочу станцію, якщо це потрібно.

4. У Central Console перейдіть:

   Network Status > Endpoint Protectors

5. Перевірте, що робоча станція з'явилась у списку.

6. Перевірте:

7. стан підключення;

8. ім'я комп'ютера;
9. IP-адресу;
10. поточного користувача;
11. версію агента;
12. стан ліцензії.

---

10. Перший тест: Copy Controls

Copy Controls — найшвидший спосіб перевірити, що агент отримує політики і створює події безпеки.

10.1 Налаштування політики Copy to Clipboard

Виконайте такі дії:

1. Перейдіть:

   GTB DLP Setup > Endpoint Protector

2. Відкрийте:

   Copy Controls

3. Для Copy to Clipboard додайте тестову політику.

4. Для першого тесту використайте політику для SSN або Credit Card Number.

5. Встановіть дію:

   Log

6. Увімкніть:

   Flag User

7. Натисніть:

   Deploy

---

10.2 Виконання тесту на робочій станції

На тестовій робочій станції виконайте такі дії:

1. Дочекайтесь отримання політики агентом.

2. Скопіюйте тестовий рядок, який має викликати спрацювання політики.

Приклад тестового SSN:

082-29-2109

1. Перевірте, що на робочій станції з'явилось повідомлення користувачу.

2. Перейдіть у Central Console.

3. Відкрийте:

   Security Events > All Events

4. Переконайтесь, що подію створено.

---

10.3 Перевірка події

У події безпеки перевірте:

• ідентифікатор події;
• рівень критичності;
• тип події;
• канал;
• користувача;
• IP-адресу комп'ютера;
• виконану дію;
• правило або політику, що спрацювали;
• виявлені дані;
• час події.

---

11. Тест Device Control

Device Control використовується для контролю USB та інших змінних пристроїв.

11.1 Налаштування базового USB-тесту

Виконайте такі дії:

1. Перейдіть:

   GTB DLP Setup > Endpoint Protector

2. Відкрийте:

   Device Control

3. Виберіть тестовий об'єкт Active Directory або тестову робочу станцію.

4. Увімкніть контроль USB storage.

5. Для першого тесту встановіть дію:

   Log

6. За потреби увімкніть:

   Flag User

7. Натисніть:

   Deploy

---

11.2 Виконання USB-тесту

На тестовій робочій станції виконайте такі дії:

1. Підключіть USB-пристрій.

2. Скопіюйте тестовий файл на USB-пристрій.

3. Якщо політика використовує перевірку вмісту, використайте файл з тестовими даними.

4. Перевірте, що подія створилась у Central Console.

5. Перейдіть:

   Security Events > Endpoint Events

6. Перевірте деталі події.

---

12. Тест Network DLP

Network DLP використовується для контролю мережевого трафіку з робочої станції.

12.1 Налаштування тестового правила Network DLP

Виконайте такі дії:

1. Перейдіть:

   GTB DLP Setup > Endpoint Protector

2. Відкрийте:

   Network DLP

3. Додайте правило ACL.

4. Вкажіть назву правила.

5. Виберіть протокол, наприклад:

   HTTPS

6. Виберіть DLP Policy або Category.

7. Вкажіть дію:

   Log

або:

   Block

або:

   User Justification

1. Натисніть:

   Save

2. Переконайтесь, що правило розташоване вище загальних правил.

3. Натисніть:

   Deploy

---

12.2 Виконання тесту Network DLP

На тестовій робочій станції виконайте такі дії:

1. Відкрийте браузер.

2. Перейдіть на тестовий вебресурс для завантаження файлів.

3. Спробуйте завантажити файл з тестовими даними.

4. Перевірте результат:

5. завантаження дозволено;

6. завантаження заблоковано;
7. з'явилось вікно обґрунтування;

8. подію зареєстровано.

9. Перейдіть у Central Console:

   Security Events > Endpoint Events

10. Перевірте подію Network Agent.

---

13. Тест Local PC Discovery

Local PC Discovery використовується для пошуку конфіденційних даних на локальній робочій станції.

13.1 Налаштування локального сканування

Виконайте такі дії:

1. Перейдіть:

   GTB DLP Setup > Endpoint Protector

2. Відкрийте:

   Local PC Discovery

3. Вкажіть шлях для сканування.

Приклад:

C:\Temp

1. За потреби увімкніть:

2. Scan Subfolders;

3. Incremental Scan;
4. Scan Images;

5. Real Time Monitoring.

6. Виберіть DLP Policy або Category.

7. Виберіть дію:

8. Log;

9. Copy;
10. Move;

11. Delete.

12. Налаштуйте розклад або ручний запуск перевірки.

13. Натисніть:

    Deploy

---

13.2 Виконання тестового сканування

На тестовій робочій станції виконайте такі дії:

1. Створіть тестовий файл у вказаній папці.

2. Додайте в нього тестові дані.

3. Дочекайтесь запуску сканування або запустіть його відповідно до налаштувань.

4. Перейдіть у Central Console.

5. Відкрийте:

   Security Events > Discovery Events

6. Перевірте створену подію.

---

14. Тест Printing DLP

Printing DLP використовується для контролю друку документів з робочої станції.

14.1 Налаштування тесту друку

Виконайте такі дії:

1. Перейдіть:

   GTB DLP Setup > Endpoint Protector

2. Відкрийте:

   Printing DLP

3. Додайте DLP Policy або Category.

4. Встановіть дію:

   Log

або:

   Block

або:

   Justify

1. За потреби увімкніть:

   Flag User

2. Натисніть:

   Deploy

---

14.2 Виконання тесту друку

На тестовій робочій станції виконайте такі дії:

1. Відкрийте документ з тестовими даними.

2. Надішліть документ на друк.

3. Перевірте, чи політика спрацювала.

4. Перейдіть у Central Console.

5. Перевірте відповідну подію безпеки.

---

15. Тест класифікації

Перевірка класифікації використовується для підтвердження, що файли або електронні листи можуть отримувати мітки класифікації.

15.1 Перевірка механізму класифікації

Виконайте такі дії:

1. Перейдіть:

   GTB DLP Setup > Classification

2. Відкрийте:

   Classification Engine

3. Виберіть потрібний механізм:

4. GTB Classification;

5. Microsoft MIP;

6. Titus Labs.

7. Натисніть:

   Deploy

---

15.2 Перевірка схеми класифікації

Виконайте такі дії:

1. Перейдіть:

   GTB DLP Setup > Classification > Classification Schema

2. Перевірте мітки класифікації.

3. За потреби налаштуйте:

4. назву мітки;

5. текст, який відображається;
6. порядок;

7. колір.

8. Збережіть зміни.

---

15.3 Тест класифікації файлу

Виконайте такі дії:

1. Перейдіть:

   GTB DLP Setup > Endpoint Protector > Files Classification

2. Увімкніть потрібні параметри:

3. Ad-hoc Classification;

4. Force User to Classify;
5. Classify Based on Content;

6. Display Bottom Pane.

7. Натисніть:

   Deploy

8. На робочій станції відкрийте підтримуваний Office-файл.

9. Виконайте класифікацію через додаток GTB.

10. Перевірте подію у Central Console.

---

16. Перегляд подій безпеки

Після кожного тесту перевіряйте створені події.

16.1 Перегляд подій

Виконайте такі дії:

1. Перейдіть:

   Security Events

2. Виберіть потрібний тип подій:

3. All Events;

4. Endpoint Events;
5. Network Events;
6. Discovery Events;

7. Classification Events.

8. Відкрийте тестову подію.

9. Перевірте деталі події.

---

16.2 Поля, які потрібно перевірити

Перевірте:

Поле	Що перевірити
Event ID	Подію створено і вона має унікальний ідентифікатор
Severity	Рівень критичності відповідає очікуваному
Event Type	Тип події відповідає тесту
Channel	Канал відповідає дії користувача
User	Вказаний правильний користувач
Computer IP	Вказана правильна робоча станція
Action	Вказана дія: Log, Block, Justify, Classified
Data/Rule	Вказана політика, яка спрацювала
File name	Вказана назва файлу, якщо застосовно
Justification	Вказаний текст обґрунтування, якщо він використовувався

---

17. Звіти

17.1 Формування базового звіту

Виконайте такі дії:

1. Перейдіть:

   Reports

2. Створіть звіт за тестовий період.

3. Додайте фільтри:

4. користувачі;

5. типи подій;
6. канали;
7. політики;

8. рівень критичності.

9. Перегляньте результати.

10. Експортуйте звіт, якщо потрібно.

---

17.2 Що включити у звіт

До звіту за результатами перевірки потрібно включити:

• перелік протестованих сценаріїв;
• кількість подій;
• назви політик;
• користувачів;
• робочі станції;
• дії: Log / Block / Justify;
• висновки;
• рекомендації для продуктивного впровадження.

---

18. Критерії успішності

Перевірку можна вважати успішною, якщо:

• Central Console встановлена і доступна;
• ліцензія застосована;
• інтеграція з Active Directory працює;
• агент встановлений і підключений;
• агент отримує політики;
• Copy Controls створює події;
• Device Control створює події;
• Network DLP створює події;
• Local PC Discovery створює події;
• класифікація працює, якщо вона входить у межі перевірки;
• події відображаються в Security Events;
• звіти формуються;
• адміністратор може повторити базові сценарії.

---

19. Рекомендований порядок перевірки

Виконуйте перевірку в такому порядку:

1. Встановіть Central Console.
2. Застосуйте ліцензію.
3. Налаштуйте DNS, часовий пояс і назву компанії.
4. Налаштуйте SMTP.
5. Налаштуйте LDAP.
6. Створіть тестову групу в Active Directory.
7. Встановіть агент на тестову робочу станцію.
8. Перевірте стан агента.
9. Налаштуйте Copy Controls.
10. Перевірте подію безпеки.
11. Налаштуйте Device Control.
12. Перевірте подію USB.
13. Налаштуйте Network DLP.
14. Перевірте мережеву подію.
15. Налаштуйте Local PC Discovery.
16. Перевірте подію сканування.
17. Перевірте звіти.
18. Підготуйте висновки.

---

20. Контрольний список

• Central Console встановлено.
• Central Console доступна через HTTPS.
• Ліцензію застосовано.
• DNS Server IP налаштовано.
• Часовий пояс налаштовано.
• Назву компанії вказано.
• SMTP налаштовано.
• Send Test Email виконано успішно.
• LDAP Server додано.
• Об'єкти Active Directory синхронізовано.
• Тестову групу Active Directory створено.
• Агент встановлено.
• Агент підключений.
• Агент має ліцензію.
• Тест Copy Controls виконано.
• Тест Device Control виконано.
• Тест Network DLP виконано.
• Тест Local PC Discovery виконано.
• Тест класифікації виконано, якщо входить у межі перевірки.
• Події безпеки перевірено.
• Звіти перевірено.
• Результати перевірки задокументовано.
• Рекомендації для продуктивного впровадження підготовлено.

---

21. Наступні кроки

Після успішної перевірки виконайте:

1. Підготуйте архітектуру продуктивного середовища.
2. Узгодьте ресурси для Central Console.
3. Узгодьте план розгортання агентів.
4. Визначте продуктивні DLP-політики.
5. Визначте відповідальних за політики.
6. Налаштуйте резервне копіювання і відновлення.
7. Налаштуйте інтеграцію з SIEM, якщо потрібно.
8. Підготуйте інструкцію з усунення типових проблем.
9. Підготуйте тексти повідомлень для користувачів.
10. Заплануйте поетапне впровадження.