Entendendo a Prevenção contra Perda de Dados
Índice
Endpoint Central Data Loss Prevention fornece uma camada robusta de segurança ao impedir o acesso não autorizado e o vazamento de dados sensíveis. Este documento aborda as especificações dos processos do agente e os mecanismos principais por trás da Data Loss Prevention, ajudando você a entender como ela protege seus endpoints e resguarda informações críticas contra exposição não autorizada.
Especificações dos Processos do Agente
| Processo do Agente | Nome do Dispositivo em Execução | Consumo de Banda (Aproximadamente) | Consumo de CPU (Aproximadamente) | Consumo de Memória (Aproximadamente) |
|---|---|---|---|---|
| Processamento da Política EDLP | Medlp.exe | N.A. | <0.5% | 20-22 MB |
| Processo de Classificação | UemsProcessMonitor.exe | N.A. | 0.11-0.13% | 23-25 MB |
| Monitor de Pacotes de Rede | Netfilter.exe | N.A. | <0.1% | 6-8 MB |
| Monitor da Área de Transferência | HostExe | N.A. | <0.1% | 3-4 MB |
| Monitoramento de upload de arquivos no navegador | DLPNativeHost.exe | N.A. | <0.1% | 10-11 MB |
| Atualização de Componente | meaaphelper.exe | 14-17 MB | 0-1% | 1 MB |
| Build após 11.4.2504.01 (UemsProcessMonitor.exe foi incorporado ao MEDLP.exe) | ||||
| Processamento da Política DLP e Classificação de Processos | Medlp.exe (Durante a varredura em segundo plano e a classificação de processos) | N.A. | 10-20% | 25-120 MB |
| Processamento da Política DLP e Classificação de Processos | Medlp.exe (Após a conclusão da varredura em segundo plano) | N.A. | <0.5% | 20-25 MB |
Implantação de Políticas: Sincronização Agente-Server
Quando uma política de Data Loss Prevention é criada, ela é implantada por meio das duas opções a seguir:
- Opção Implantar Imediatamente: a política é enviada imediatamente e aplicada nas máquinas com agente que estão online no momento. Para CGs grandes (mais de 200 máquinas), a política é aplicada inicialmente em 200 máquinas, e as demais seguem no próximo ciclo de atualização.
- Opção Implantar: a política é agendada para o próximo ciclo de atualização de 90 minutos.
Modificações, exclusões, alterações de grupo e atualizações de dispositivos não gerenciados são sincronizadas com as máquinas com agente durante os ciclos de atualização. Em ambientes com um Server de Distribuição, as políticas e configurações são replicadas para o Server de Distribuição e, em seguida, sincronizadas com as máquinas com agente durante o ciclo de atualização de 90 minutos.
Aplicação de Políticas no Agente
A política de Data Loss Prevention será recebida pelo agente e aplicada pelo driver em modo kernel chamado medlp. Esse driver monitora as conexões de dispositivos e garante que apenas dispositivos autorizados possam ser acessados de acordo com a política implantada. Os eventos de dispositivos auditados e bloqueados serão enviados no ciclo de atualização de 90 minutos.
Descoberta de Dados Sensíveis
Após a instalação do agente, ele permanece inativo até que uma política seja implantada. Assim que uma política estiver em vigor, o agente verifica os endpoints em busca de arquivos sensíveis com base nas regras definidas.
Além disso, o suporte a OCR (Reconhecimento Óptico de Caracteres) permite que o agente identifique informações sensíveis até mesmo em documentos baseados em imagem.
Para visualizar a lista completa de formatos de arquivo compatíveis, consulte Lista de formatos de arquivo compatíveis.
Precedência de Conflito do Endpoint DLP
Quando políticas conflitantes são aplicadas ao mesmo grupo de destino, a seguinte é a ordem de precedência:
- Bloquear
- Permitir dentro de Confiável
- Somente Auditoria
Por exemplo: no Endpoint DLP, se uma política de bloqueio entrar em conflito com uma regra de "Permitir Confiável", o arquivo sensível será bloqueado.