Analyse du contenu

L’option Content Scanning (Analyse du contenu) permet à MOVEit Transfer de contrôler quelles données sont échangées avec un système MOVEit en fonction du type des données. Ce processus protège le système d’un utilisateur contre les virus ou contre la perte ou l’acceptation de données critiques, généralement quand un pare-feu est installé entre MOVEit Transfer et le système principal. MOVEit Transfer transfère les données à l’aide du protocole ICAP (Internet Content Adaptation Protocol) vers un serveur antivirus (AV) et/ou un serveur de prévention contre les pertes de données (DLP) avant de procéder à la transmission des données. MOVEit autorise ou bloque la transmission en fonction des résultats renvoyés par chaque serveur.

Les utilisateurs doivent installer et configurer les serveurs AV et/ou DLP séparément. Les serveurs d’analyse peuvent avoir des fonctions différentes. Un serveur peut être configuré en tant que serveur AV, serveur DLP ou les deux. Vous pouvez configurer MOVEit pour communiquer avec plusieurs serveurs AV et DLP différents. Vous activez l’analyse au niveau du système, mais vous pouvez activer un seul serveur et un seul serveur DLP à la fois. Vous pouvez ensuite désactiver un processus AV ou DLP au niveau de l’organisation.

Important : lorsque vous configurez l'analyse pour qu'elle détecte à la fois les virus et les violations DLP, MOVEit Transfer envoie les données aux deux processus simultanément. Lorsque l'analyseur détecte un virus ou une violation de stratégie DLP configuré(e) dans MOVEit pour bloquer la transmission, la transmission échoue.

Antivirus

L’option Content Scanning (Analyse du contenu) permet d’analyser les fichiers entrants via un serveur antivirus distant. MOVEit Transfer envoie les fichiers entrants à ce serveur à l’aide du protocole ICAP. Les fichiers exempts de tout problème sont ensuite transférés vers le système de fichiers MOVEit Transfer.

Présentation

Les moteurs d’analyse antivirus doivent prendre en charge le protocole ICAP (pour plus d’informations, reportez-vous à la norme RFC3507), qui est nécessaire pour la communication avec MOVEit Transfer. Les autres versions bureau proposées par les mêmes fournisseurs ne sont pas compatibles avec MOVEit Transfer.

Pour configurer l’analyse du contenu des fichiers entrants, vous devez avoir installé et configuré un analyseur antivirus sur une machine accessible par le système MOVEit Transfer.

Pour obtenir la liste des programmes antivirus pris en charge, contactez l’assistance technique Ipswitch.

Remarque : si vous utilisez le module AS2 pour transférer les fichiers, sachez que l'analyse de contenu ne s'applique pas aux transferts AS2. Utilisez MOVEit Central pour l'analyse antivirus des transferts AS2.

Configuration de l’analyse antivirus pour les hôtes MOVEit Transfer

Après avoir configuré le serveur AV, configurez l’analyse du contenu pour vos organisations MOVEit Transfer. Les paramètres antivirus s’appliquent à toutes les organisations MOVEit Transfer sur le système.

• Ouvrez une session en tant qu’administrateur système (SysAdmin). Sélectionnez SETTINGS > Security Policies > Content Scanning > Anti-Virus (PARAMÈTRES > Stratégies de sécurité > Analyse du contenu > Antivirus).

  Pour plus d'informations, reportez-vous à :Configurez l’analyse du contenu pour les hôtes MOVEit Transfer.

vous pouvez activer ou désactiver l'analyse de contenu au niveau de chaque organisation dans Settings - Security Policies - Content Scanning (Paramètres - Stratégies de sécurité - Analyse de contenu). Vous devez être connecté en tant qu'administrateur d'organisation.

Quand l’option Content Scanning (Analyse du contenu) est activée, MOVEit Transfer analyse les fichiers chargés comme suit :

• La taille du fichier, si elle est connue, doit être inférieure à la valeur maximale configurée. Les fichiers dépassant cette taille maximale sont copiés sur le système de fichiers MOVEit Transfer sans être préalablement analysés.
• Les fichiers sont analysés pendant le processus de chargement, mais ils ne sont copiés sur le système de fichiers MOVEit Transfer que si l’analyseur de contenu indique qu’ils ne sont pas infectés par un virus.
• Si un fichier contient un virus, il est rejeté, et l’utilisateur reçoit un message d’erreur.
• Si la connexion au serveur ICAP n’est pas possible ou si le délai de connexion a expiré, ou si le fichier ne peut pas être analysé pour une raison ou une autre, le chargement est rejeté, et l’utilisateur reçoit un message d’erreur.
• Il n’est pas possible de refaire l’analyse des fichiers, de mettre des fichiers en quarantaine ou d’analyser des téléchargements.

Prévention contre les pertes de données (DLP)

La fonctionnalité d’analyse du contenu envoie les données entrantes des transferts de fichiers et des transferts Ad Hoc, y compris l’objet, la note/le corps du message et les pièces jointes, à un serveur DLP externe pour obtenir une autorisation de transmission de la part de MOVEit Transfer. MOVEit Transfer utilise le protocole ICAP pour envoyer les données entrantes au serveur DLP. Le serveur DLP analyse les données en appliquant les stratégies de protection des données configurées. Quand le serveur DLP renvoie sa réponse, les configurations MOVEit déterminent si la transmission est bloquée, mise en quarantaine ou autorisée. Toutes les violations de stratégie DLP renvoyées par le serveur DLP sont enregistrées dans les journaux MOVEit.

Présentation

Pour plus d’informations sur les programmes de prévention contre les pertes de données (DLP) pris en charge par MOVEit Transfer, contactez l’assistance technique Ipswitch.

Pour configurer l’analyse du contenu des fichiers entrants, vous devez avoir installé et configuré l’un de ces analyseurs DLP sur une machine accessible par le système MOVEit Transfer.

Pour plus d’informations sur l’installation et la configuration des différents analyseurs, reportez-vous à leur documentation officielle respective.

Remarque : Les versions des moteurs d’analyse DLP doivent prendre en charge le protocole ICAP (pour plus d’informations, reportez-vous à la norme RFC3507), qui est nécessaire pour la communication avec MOVEit Transfer. Les autres versions bureau proposées par les mêmes fournisseurs ne sont pas compatibles avec MOVEit Transfer.

Remarque : si vous utilisez le module AS2 pour transférer les fichiers, sachez que l'analyse de contenu ne s'applique pas aux transferts AS2.

Configuration de l’analyse DLP pour les hôtes MOVEit Transfer

La mise en œuvre de l’analyse DLP s’effectue en trois grandes étapes dans MOVEit Transfer.

1. Installez et configurez le serveur DLP externe et, généralement, un serveur DLP distant.
2. Configurez les serveurs DLP pour un système MOVEit (un seul serveur DLP peut être activé à la fois).
3. Configurez les ensembles de règles DLP nécessaires pour les classes utilisateur ou des utilisateurs spécifiques dans chaque organisation MOVEit.

Quand l’option Content Scanning (Analyse du contenu) est activée, MOVEit Transfer analyse les fichiers chargés comme suit :

• La taille du fichier, si elle est connue, doit être inférieure à la valeur maximale configurée. Les fichiers dépassant cette taille maximale sont copiés sur le système de fichiers MOVEit Transfer sans être préalablement analysés.
• Les fichiers sont analysés pendant le processus de chargement, mais ils ne sont copiés sur le système de fichiers MOVEit Transfer que si l’analyseur de contenu indique qu’ils ne sont pas bloqués pour l’utilisateur à l’origine du chargement.
• Si un fichier ne respecte pas une stratégie DLP configurée, il est traité conformément à la stratégie et aux ensembles de règles MOVEit ayant été définis, et l’utilisateur à l’origine du chargement reçoit un message d’erreur. Notez que si un virus est détecté lors d’une analyse antivirus simultanée, le fichier est automatiquement bloqué et n’est pas chargé.
• Si la connexion au serveur ICAP n’est pas possible ou si le délai de connexion a expiré, ou si le fichier ne peut pas être analysé pour une raison ou une autre, le chargement est rejeté, et l’utilisateur reçoit un message d’erreur.
• Il n’est pas possible de refaire l’analyse des fichiers, ni d’analyser des téléchargements. Le téléchargement des fichiers est autorisé ou refusé en fonction des résultats de l’analyse des fichiers au moment de leur chargement, ainsi que des droits accordés à l’utilisateur qui essaie le téléchargement. Les fichiers mis en quarantaine peuvent être supprimés pour le téléchargement dans certains cas.

Certains analyseurs DLP peuvent nécessiter une configuration supplémentaire. Consultez la documentation correspondante du fabricant.

Après avoir configuré le serveur DLP, configurez l’analyse du contenu pour vos organisations MOVEit Transfer.

• Configuration de l’analyse du contenu pour DLP sur votre système MOVEit

1. Ouvrez une session MOVEit Transfer en tant qu’administrateur système (SysAdmin, en règle générale).
2. Dans le volet gauche, cliquez sur Settings (Paramètres).
3. Dans le volet droit des paramètres, sous System (Système), Content Scanning (Analyse du contenu), cliquez sur Anti-Virus/DLP (Antivirus/DLP).
4. Pour ajouter un analyseur, cliquez sur le bouton Add Content Scanner (Ajouter un analyseur de contenu).

   La page Configure Content Scanning Settings (Configurer les paramètres d’analyse du contenu) s’affiche.

5. Pour chaque application DLP devant être accessible par MOVEit Transfer, renseignez les champs appropriés, puis cliquez sur Change Content Scanning (Modifier l’analyse du contenu).

   Pour obtenir une description de chaque paramètre, reportez-vous à Web Interface - Settings - System - Content Scanning (Interface Web - Paramètres - Système - Analyse du contenu). Ces paramètres s’appliquent à toutes les organisations MOVEit Transfer sur le système.

   Important : Vous pouvez définir l’option Scan Uploads (Analyser les chargements) sur Yes (Oui) pour un seul analyseur DLP à la fois. Autrement dit, vous ne pouvez activer qu’un seul analyseur DLP à la fois sur votre système.

6. Cliquez sur le bouton Test Content Scanning (Tester l’analyse du contenu) pour vérifier que la connexion à l’analyseur est opérationnelle.

• Configuration de l’analyse DLP pour une organisation MOVEit

Répétez cette tâche pour chaque organisation de votre système qui va utiliser la fonctionnalité d’analyse du contenu DLP. Vous avez quatre grandes étapes à suivre :

1. Activez l’analyse du contenu pour l’organisation.
2. Créez les ensembles de règles qui déterminent comment MOVEit doit traiter les fichiers qui ne respectent pas une ou plusieurs stratégies de serveur DLP. Ces ensembles de règles peuvent être appliqués à une classe utilisateur ou à un utilisateur particulier.
3. Créez les règles pour un ensemble de règles qui déterminent quelle action MOVEit Transfer doit exécuter pour une stratégie DLP spécifique ou un ensemble de stratégies associées.
4. Affectez les ensembles de règles DLP aux classes utilisateur qui seront appliqués par défaut aux nouveaux utilisateurs.

Pour activer l’analyse du contenu pour une organisation, procédez comme suit :

1. Ouvrez une session MOVEit Transfer en tant qu’administrateur de l’organisation.
2. Dans le volet gauche, cliquez sur Settings (Paramètres).
3. Dans le volet droit, sous Security Policies, Content Scanning (Stratégies de sécurité, Analyse du contenu), sélectionnez Data Loss Prevention (DLP) (Prévention contre les pertes de données ou DLP).
4. Sous Edit Data Loss Prevention (DLP) Settings (Modifier les paramètres DLP), cliquez sur Yes (Oui) pour activer l’analyse du contenu pour l’organisation. Cette option s’applique au serveur DLP qui est actuellement activé pour le système.
5. Cliquez sur Change DLP Settings (Modifier les paramètres DLP).

   

Pour créer ensuite les ensembles de règles et les règles associées, procédez comme suit :

1. Dans le volet droit, sous Configure DLP Rulesets (Configurer les ensembles de règles DLP), cliquez sur le bouton Add DLP Ruleset (Ajouter un ensemble de règles DLP).

   Le volet Add DLP Ruleset (Ajouter un ensemble de règles DLP) s’affiche.

   

2. Renseignez les champs et cliquez sur Add Ruleset (Ajouter un ensemble de règles).

   Pour obtenir une description de chaque paramètre, reportez-vous à Web Interface - Settings - Security Policies - Content Scanning - Data Loss Prevention (DLP)

3. Dans le volet droit, sous Edit DLP Rules (Modifier les règles DLP), cliquez sur le bouton Add DLP Rule (Ajouter une règle DLP).

   Le volet Add DLP Rule (Ajouter une règle DLP) s’affiche.

   

4. Pour chaque règle à ajouter dans l’ensemble de règles, renseignez les champs appropriés, puis cliquez sur Add Rule (Ajouter une règle).

   Pour obtenir une description de chaque paramètre, reportez-vous à Web Interface - Settings - Security Policies - Content Scanning - Data Loss Prevention (DLP)

   Les messages d’erreur ou de réussite apparaissent dans le ruban en haut du volet.

5. Quand vous avez ajouté toutes les règles souhaitées dans cet ensemble de règles, cliquez sur Return to DLP Ruleset (Retourner à l’ensemble de règles DLP).
6. Pour créer d’autres ensembles de règles et les règles associées, répétez les étapes 1 à 5.

Pour affecter ensuite les ensembles de règles DLP à des classes utilisateur, procédez comme suit :

1. Sous la section Edit User Class DLP Rulesets (Modifier les ensembles de règles DLP de la classe utilisateur), pour une classe utilisateur donnée, affichez la liste déroulante des ensembles de règles que vous avez configurés.
2. Sélectionnez l’ensemble de règles à utiliser pour cette classe utilisateur.
3. Cliquez sur le bouton Change Ruleset (Modifier un ensemble de règles) pour cette classe utilisateur.

   Un volet de confirmation s’affiche.

4. Cliquez sur Yes (Oui) pour confirmer la modification.

   Notez que cette option s’applique à tous les utilisateurs membres de la classe, y compris ceux pour lesquels un ensemble de règles a été appliqué au niveau utilisateur.

5. Répétez les étapes 1 à 4 pour chaque classe utilisateur.

   

Pour affecter un ensemble de règles à un utilisateur spécifique à la place de l’ensemble de règles affecté au niveau de la classe utilisateur, procédez comme suit :

1. Dans le volet gauche, cliquez sur Users (Utilisateurs).
2. Dans le volet droit, sélectionnez l’utilisateur approprié.
3. Dans le volet droit, pour le profil utilisateur, sous User Settings (Paramètres utilisateur), DLP Ruleset (Ensemble de règles DLP), cliquez sur Change Ruleset (Modifier un ensemble de règles).

   

   Un volet User Profile, Change DLP Ruleset (Profil utilisateur, Modifier un ensemble de règles DLP) s’affiche.

4. Dans le volet Change DLP Ruleset (Modifier un ensemble de règles DLP), cliquez sur la liste déroulante, puis sélectionnez l’ensemble de règles approprié pour cet utilisateur.
5. Cliquez sur Change DLP Ruleset (Modifier un ensemble de règles DLP).

Vous pouvez maintenant tester vos configurations.

• Test des transmissions de données avec la fonctionnalité d’analyse du contenu DLP

Les étapes suivantes permettent aux administrateurs ayant configuré DLP pour une organisation d’effectuer plusieurs tests initiaux.

1. Créez des fichiers de test contenant des données qui ne respectent pas vos stratégies DLP ainsi que des données conformes à ces stratégies.
2. Ouvrez une session MOVEit Transfer en tant qu’utilisateur d’un type spécifique.
3. Chargez les données selon différentes méthodes, y compris des données sensibles et non sensibles, également dans l’objet et la note/le corps quand cela est possible :
   1. Chargez vos fichiers de test sur votre système de fichiers.
   2. Chargez vos fichiers de test en pièces jointes de paquets.
   3. Utilisez le plug-in Outlook pour envoyer des fichiers en pièces jointes.
4. Examinez le résultat et prenez note des points suivants :
   1. Les tentatives de chargement de données en violation avec des stratégies DLP doivent être bloquées, mises en quarantaine ou autorisées selon l’action ayant été définie dans l’ensemble de règles pour l’utilisateur à l’origine du chargement.
      • Les fichiers, paquets ou e-mails bloqués ne doivent pas être visibles dans MOVEit Transfer.
      • Les fichiers, paquets ou e-mails mis en quarantaine seront chargés, mais ne pourront pas être téléchargés sur le système. Les fichiers concernés seront marqués pour violation d’une ou de plusieurs stratégies DLP, et consignés dans le journal d’audit. La marque de ces fichiers pourra être supprimée ultérieurement, auquel cas les autorisations standard seront appliquées.
      • Les fichiers, paquets ou e-mails autorisés seront chargés et marqués. Les fichiers présentant une violation d’une ou de plusieurs stratégies DLP seront consignés dans le journal d’audit.
   2. Dans Folders (Dossiers), pour les listes de fichiers chargés présentant des violations de stratégie DLP, l’icône indiquant une violation de stratégie DLP s’affiche à droite du nom de fichier. Selon les droits accordés à l’utilisateur, le nom de chaque stratégie non respectée peut également s’afficher.
   3. Dans Packages (Paquets), selon les droits accordés à l’utilisateur, le nom de chaque stratégie non respectée s’affiche à la suite des informations sur les paquets.
   4. Dans File Information (Informations sur les fichiers), selon les droits accordés à l’utilisateur, des informations complémentaires sur la violation de stratégie DLP et le serveur DLP s’affichent.
   5. Les administrateurs ont la possibilité d’ignorer les violations de stratégie pour les fichiers mis en quarantaine, par exemple, quand une violation a empêché le destinataire de télécharger le fichier sans que cela soit justifié. Pour un fichier donné sous la section File Action (Action sur le fichier), les administrateurs peuvent cliquer sur Clear DLP Policy Violations (Effacer des violations de stratégie DLP).

Disponibilité de l’analyseur

Si l’option Content Scanning (Analyse du contenu) est activée, MOVEit Transfer vérifie régulièrement, à quelques minutes d’intervalle, que les analyseurs AV et/ou DLP sont disponibles. Cette vérification fait partie de la routine SysCheck qui peut générer une notification intégrée. Consultez Advanced Topics - System Internals - Scheduled Tasks (Sujets avancés - Systèmes internes - Tâches planifiées). La routine vérifie d’abord l’analyseur AV, puis l’analyseur DLP. Si aucun analyseur n’est disponible, SysCheck envoie un message aux adresses e-mail spécifiées dans Send Errors To (Envoyer les erreurs à) et avertit que le serveur MOVEit Transfer ne peut pas transférer de fichiers tant que le problème n’est pas résolu. Lorsque l’analyseur redevient disponible, SysCheck envoie un e-mail qui indique que l’analyse est opérationnelle.

Remarque : L’administrateur système doit toujours tester la connexion lors de la configuration d’un analyseur de contenu. Il peut également effectuer une vérification MOVEit Transfer à la demande.

Journalisation

Après l’analyse d’un fichier, les pages de détails sur ce fichier affichent des informations du serveur antivirus (AV) ou du serveur de prévention contre les pertes de données (DLP).

Dans l’exemple suivant, la première ligne d’informations sur l’analyse du contenu concerne le serveur AV, tandis que la deuxième ligne concerne le serveur DLP.

Quand l’analyse d’un fichier échoue, l’utilisateur ayant chargé ce fichier reçoit un message d’erreur dans la page du navigateur. Par exemple :

Le fichier journal indique le nom défini par l’utilisateur du serveur AV ou DLP utilisé pendant le chargement du fichier. Les enregistrements contenus dans ce fichier fournissent également des informations d’auto-identification, la version et la marque de définition de virus AV ou la violation de stratégie DLP renvoyées par le serveur. Par exemple :

Les codes d'erreur (6100-6103) sont utilisés pour consigner les erreurs AV. Utilisez ces codes pour filtrer les journaux. Lorsque l'analyse du contenu provoque un échec du chargement, la table de journalisation correspondante consigne le nom du serveur AV et, si possible, le nom du virus.

Les codes d'erreur 0 et 6150 sont utilisés pour consigner les violations de stratégie DLP, comme suit:

• Code d'erreur 0 pour les violations qui ont été autorisées ou mises en quarantaine
• Code d'erreur 6150 pour les violations qui ont été bloquées

Notifications

Les macros de notification pour l'analyse du contenu, lorsqu'elles sont activées, peuvent consigner les résultats des analyses antivirus (AV) ainsi que des analyses de prévention des pertes de données (DLP) effectuées.

Les notifications suivantes peuvent inclure les résultats des analyses AV et/ou DLP :

• Notification de nouveau chargement de fichier
• Confirmation de chargement de fichier
• Nouveau paquet
• Nouveau paquet, pièce jointe sécurisée
• Paquet de nouvel utilisateur temporaire (avec mot de passe)
• Paquet de nouvel utilisateur temporaire (avec mot de passe), pièce jointe sécurisée
• Paquet de nouvel utilisateur temporaire (avec lien mot de passe)
• Paquet de nouvel utilisateur temporaire (avec lien mot de passe), pièce jointe sécurisée
• Paquet de nouvel invité
• Nouveau paquet invité, pièce jointe sécurisée
• Accusé de non livraison de fichier
• Notification de liste de chargements de fichiers
• Confirmation de liste de chargements de fichiers
• Liste de fichiers non téléchargés
• Accusé de réception de fichier
• Accusé de réception du paquet
• Accusé de téléchargement du paquet
• Paquet supprimé par un utilisateur
• L'utilisateur du paquet a été supprimé

Les résultats des analyses de contenu ne sont pas pris en compte par les modèles standard utilisés par ces notifications. Vous pouvez ajouter les macros voulues pour la consignation des résultats d'analyse en créant des modèles de notification personnalisés. Pour définir des notifications personnalisées pour votre organisation, utilisez Settings | Appearance | Notification | Custom (Paramètres | Apparence | Notification | Personnaliser).

Rapports

Ces rapports consignent l'activité d'analyse du contenu sous différents angles. Deux d'entre eux vous fournissent des informations spécifiques sur les résultats d'analyse: Violations Blocked (Violations bloquées) et DLP Violations (Allowed and Blocked) (Violations DLP (autorisées et bloquées)). Les autres rapports sont des rapports de maintenance contenant des totaux agrégés.

Si vous êtes connecté en tant qu'administrateur d'organisation, le rapport vous montre les résultats d'analyse qui concernent votre organisation. Si vous êtes connecté en tant qu'administrateur système, le rapport peut couvrir plusieurs organisations.

Remarque : Généralement, les rapports peuvent contenir jusqu'à 30 jours d'enregistrements d'audit en ligne et 30 jours de statistiques de performances en ligne, selon la manière dont les tâches de nettoyage planifiées des anciennes données sont exécutées.