本帖最后由 贺智文 于 2022-11-28 10:13 编辑
项目背景就不说了,直接上干货!
一,AC对接ITM
二,正常审计日志,日志对接到ITM
三,完成基础配置
上网行为管理侧设置 ①开启审计策略 ②开启解密 ITM设置 1. 设备状态 2. 管理员设置,三权分立 3. 同步策略
四,ITM功能项测试
1.计提文件通过163邮箱(WEB和客户端)外发,同时配置可疑邮箱外发,检测外发财务信息给非内部员工邮箱地址(涉及ITM功能:文件类型,可疑行为定义)
测试步骤:1.准备财务信息表A,通过Web163邮箱发送表A2.约5分钟后查看在ITM外发分析查看规则是否识别出邮件外发财务信息风险3.ITM定义可疑邮件行为和邮件外发行为WEB端 客户端
------------------------------------------------------------------------------------------------- 测试结果:
ITM识别检测出外发计提文件,规则识别出邮件外发计提文件信息风险,可疑行为识别出将财务报表外发给可疑邮箱,文件威胁分析(提前上传文件样本ITM自动学习)触发威胁告警 2.商业计划书等资料信息上传百度网盘(WEB和客户端),百度文库(涉及功能:ITM关键字)
测试步骤:1.定义关键字1.通过Web/客户端百度云盘上传计划书2.约5分钟后查看在ITM外发分析查看规则是否识别出网盘外发风险
WEB端(网盘)
客户端(网盘)
测试结果:ITM的外发分析,可以检测出文件涉及关键字外发,并通过规则识别出通过百度外盘外发外发风险,文件威胁分析(提前上传文件样本ITM自动学习)触发威胁告警
3.敏感信息截图通过微信外发,泄密溯源测试步骤:敏感信息截图通过微信外发,ITM通过关键字,文件类型,图片进行溯源(OCR有三种匹配模式:快速匹配:基于关键字;全局匹配:基于图片的二进制;精确匹配:基于md5值)
关键字检索溯源
文件类型溯源
OCR图片溯源(原图,三种搜索模式都支持)
OCR图片溯源(截取局部图,支持全局模式模式)
4. 资料外泄,需要快速追溯谁外发的文件(涉及功能:ITM关键字溯源,文件溯源)测试步骤:ITM通过泄密追溯中心,通过关键字或泄密的文档快速匹配和追溯外发的信息 5.加密文件识别 加密的逻辑是 第一步能识别到正确的后缀, 第二步才是解析内容,解析不出来就认为是加密的
加密压缩包(单压缩场景) 加密压缩包(多层压缩场景) 6.更改文件名后外发文件,通过ITM溯源检索到所有类型文件 测试步骤: 1.新建文本文件 2.更改成不同的文件名
3.ITM文件类型溯源
7.同一类型文件,不同版本外发测试。通过ITM模糊匹配同类文件和精确定位外发人员 测试步骤: 1.外发同一类型不同版本文件
2.通过ITM文件类型溯源 8.ITM大容量数据检索,实验数据如下: | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-11-28 09:25
发表于 2022-10-28 19:11
技术研究员2级 
