Analyse de contenu

La fonction d'analyse de contenu de MOVEit Transfer vous permet de vérifier des contenus à grande échelle à l'aide d'un analyseur de virus tiers, d'un moteur d'expressions et de modèles DLP tiers, ou les deux. Elle peut être utilisée comme un niveau supplémentaire de contrôle pour aider à inspecter, analyser, suivre et bloquer les transferts de fichiers entrants ou sortants.

Vous pouvez contrôler les données partagées depuis/ajoutées à MOVEit Transfer par utilisateur/groupe d'utilisateurs et :

• Résultats de l'analyse du moteur antivirus (AV).
• Indicateurs DLP sous forme de modèles de texte (tels que l'impact sur l'activité ou les marques de classification de sécurité des informations), signatures (comme la somme de contrôle MD5) et toutes les autres règles que vous combiner pour catégoriser les données et désigner certains utilisateurs ou groupes d'utilisateurs concernés.
• Taille maximale des données (à des fins de performance et lorsque les applications en aval traitent des fichiers qui dépassent ce seuil).

Généralement, l'analyse de contenu est particulièrement nécessaire lorsque les transferts de données MOVEit Transfer passent par un pare-feu. Avant que MOVEit Transfer finalise la transaction, il transmet les données via le protocole ICAP (Internet Content Adaptation Protocol) à l'analyseur approprié (AV ou DLP). En fonction des résultats de l'analyse, MOVEit autorise ou bloque les transferts.

Les instances AV et/ou DLP sont gérées et déployées séparément de MOVEit Transfer. Notez que les divers serveurs d'analyse peuvent avoir différentes fonctionnalités et capacités en termes de performances. Un serveur peut être configuré en tant que serveur AV, serveur DLP ou les deux. Vous pouvez configurer MOVEit pour communiquer avec plusieurs serveurs AV et DLP différents. Vous activez l’analyse au niveau du système, mais vous pouvez activer un seul serveur et un seul serveur DLP à la fois. Vous pouvez ensuite désactiver un processus AV ou DLP au niveau de l'organisation.

Moteurs d'analyse pris en charge

Cette section énumère les moteurs d'analyse antivirus utilisés pour filtrer le chargement ou le téléchargement de données par le biais d'un hôte antivirus dédié sur une connexion ICAP. Les principaux moteurs antivirus (AV) et de prévention de la perte de données (DLP) suivants sont compatibles avec MOVEit Transfer.

Remarque : Pour plus de détails sur l'utilisation d'une application antivirus locale qui protège le système hôte réel du serveur MOVEit Transfer, consultez la rubrique Antivirus de l'intégration du service et l'article de la base de connaissances Meilleures pratiques pour la configuration de l'AV local.

Les principaux moteurs antivirus (AV) et de prévention des pertes de données (DLP) suivants sont examinés pour leur compatibilité avec MOVEit Transfer.

Moteurs AV (certains avec AV/DLP)

Moteurs DLP

*Les réponses DLP bloquées nécessitent une configuration supplémentaire pour certains moteurs d'analyse tels que McAfee et Symantec.

Remarque : Pour en savoir plus sur les nouveautés de ces listes et les exigences relatives aux versions spécifiques, consultez les Notes de version de MOVEit Transfer.

Antivirus

L'analyse antivirus (SETTINGS > System > Content Scanning > Anti-Virus) (PARAMÈTRES > Système > Analyse du contenu > Antivirus) permet d'analyser les fichiers entrants via un serveur antivirus distant. MOVEit Transfer envoie les fichiers entrants à ce serveur à l'aide du protocole ICAP. Les fichiers exempts de tout problème sont ensuite transférés vers le système de fichiers MOVEit Transfer.

Que se passe-t-il lorsque l'analyse de contenu AV est activée ?

MOVEit Transfer analyse les fichiers téléchargés comme suit :

• Les fichiers sont analysés pendant le processus de chargement, mais ils ne sont copiés sur le système de fichiers MOVEit Transfer que si l’analyseur de contenu indique qu’ils ne sont pas infectés par un virus.
• Si un fichier contient un virus, il est rejeté, et l'utilisateur reçoit un message d'erreur.
• Si la connexion au serveur ICAP est impossible ou si le délai de connexion a expiré, ou si le fichier ne peut pas être analysé pour une raison ou une autre, le chargement est rejeté, et l'utilisateur reçoit un message d'erreur.
• Si une taille maximale est spécifiée pour les fichiers, ces derniers sont analysés jusqu'à ce que la taille configurée soit atteinte. Vous pouvez choisir de ne pas définir de taille maximale.

Avant de commencer

Avant d'activer l'analyse antivirus, veillez à remplir les conditions suivantes :

• Un moteur d'analyse antivirus tiers en cours d'exécution et sur un hôte accessible par MOVEit Transfer à l'aide du protocole ICAP.
• Les moteurs d'analyse doivent prendre en charge le protocole ICAP (pour plus d’informations, reportez-vous à la norme RFC3507), qui est nécessaire pour la communication avec MOVEit Transfer. (Les analyseurs de virus de bureau standard provenant des mêmes éditeurs ne sont pas opérationnels à l'échelle requise par MOVEit Transfer.)

Remarque : si vous utilisez le module AS2 pour transférer les fichiers, sachez que l'analyse de contenu ne s'applique pas aux transferts AS2. Utilisez MOVEit Automation pour l'analyse antivirus des transferts AS2.

Configuration de l'analyse antivirus pour les hôtes MOVEit Transfer

Après avoir configuré le serveur AV, configurez l’analyse du contenu pour vos organisations MOVEit Transfer. Les paramètres antivirus s'appliquent à toutes les organisations MOVEit Transfer sur le système.

Remarque : Pour plus d'informations, voir la rubrique Analyse de contenu.

Prévention contre les pertes de données (DLP)

La fonctionnalité de prévention contre les pertes de données (SETTINGS > System > Content Scanning > DLP) (PARAMÈTRES > Système > Analyse de contenu > DLP) envoie les données entrantes des transferts de fichiers et des transferts Ad Hoc, y compris l’objet, la note/le corps du message et les pièces jointes, à un serveur DLP externe afin que MOVEit Transfer puisse :

• Utiliser l'ensemble de règles DLP pour identifier les contenus sensibles ou importants et le niveau d'accès correspondant (utilisateur/rôle utilisateur). (Pour les paquets entrants.)
• Déterminer si un paquet peut être partagé en fonction du rôle utilisateur actuel et des exigences en matière de prévention contre les pertes de données. (Pour les paquets sortants.)

MOVEit Transfer utilise le protocole ICAP pour soumettre les données entrantes au serveur DLP. Le serveur DLP analyse les données en appliquant les stratégies de protection des données configurées. Quand le serveur DLP renvoie sa réponse, les configurations MOVEit déterminent si la transmission est bloquée, mise en quarantaine ou autorisée. Toutes les violations de stratégie DLP renvoyées par le serveur DLP sont enregistrées dans les journaux MOVEit.

Remarque : si vous utilisez le module AS2 pour transférer les fichiers, sachez que l'analyse de contenu ne s'applique pas aux transferts AS2.

Configuration de l'analyse DLP pour les hôtes MOVEit Transfer

Pour mettre en œuvre l'analyse DLP dans MOVEit Transfer, vous devez :

• Installer et configurer le serveur DLP externe et, généralement, distant.
• Configurer les serveurs DLP pour un système MOVEit. Un seul serveur DLP peut être activé à la fois.
• Configurer les ensembles de règles DLP nécessaires pour les catégories d'utilisateur ou des utilisateurs spécifiques dans chaque organisation MOVEit.

Que se passe-t-il lorsque l'analyse de contenu DLP est activée ?

MOVEit Transfer analyse les fichiers téléchargés comme suit :

• La taille maximale configurée pour les fichiers est prise en compte dans leur analyse. Pour plus d’informations, reportez-vous à la section Analyse de contenu.
• Les fichiers sont analysés pendant le processus de chargement, mais ils ne sont copiés sur le système de fichiers MOVEit Transfer que si l'analyseur de contenu indique qu'ils ne sont pas bloqués pour l'utilisateur à l'origine du chargement.
• Si un fichier ne respecte pas une stratégie DLP configurée, il est traité conformément à la stratégie et aux ensembles de règles MOVEit ayant été définis, et l'utilisateur à l'origine du chargement reçoit un message d'erreur. Notez que si un virus est détecté lors d’une analyse antivirus simultanée, le fichier est automatiquement bloqué et n’est pas chargé.
• Si la connexion au serveur ICAP n’est pas possible ou si le délai de connexion a expiré, ou si le fichier ne peut pas être analysé pour une raison ou une autre, le chargement est rejeté, et l’utilisateur reçoit un message d’erreur.
• Il n’est pas possible de refaire l’analyse des fichiers, ni d’analyser des téléchargements. Le téléchargement des fichiers est autorisé ou refusé en fonction des résultats de l’analyse des fichiers au moment de leur chargement, ainsi que des droits accordés à l’utilisateur qui essaie le téléchargement. Les fichiers mis en quarantaine peuvent être supprimés pour le téléchargement dans certains cas.

Important : Vous ne pouvez activer qu’un seul analyseur DLP à la fois sur votre système.

Disponibilité de l’analyseur

Si l’option Content Scanning (Analyse du contenu) est activée, MOVEit Transfer vérifie régulièrement, à quelques minutes d’intervalle, que les analyseurs AV et/ou DLP sont disponibles. Cette vérification fait partie de la routine SysCheck qui peut générer une notification intégrée. Consultez Sujets avancés - Systèmes internes - Tâches planifiées. La routine vérifie d’abord l’analyseur AV, puis l’analyseur DLP. Si aucun analyseur n’est disponible, SysCheck envoie un message aux adresses e-mail spécifiées dans Send Errors To (Envoyer les erreurs à) et avertit que le serveur MOVEit Transfer ne peut pas transférer de fichiers tant que le problème n’est pas résolu. Lorsque l’analyseur redevient disponible, SysCheck envoie un e-mail qui indique que l’analyse est opérationnelle.

Remarque : L’administrateur système doit toujours tester la connexion lors de la configuration d’un analyseur de contenu. Il peut également effectuer une vérification MOVEit Transfer à la demande.

Journalisation

Après l’analyse d’un fichier, les pages de détails sur ce fichier affichent des informations du serveur antivirus (AV) ou du serveur de prévention contre les pertes de données (DLP).

Dans l’exemple suivant, la première ligne d’informations sur l’analyse du contenu concerne le serveur AV, tandis que la deuxième ligne concerne le serveur DLP.

Quand l'analyse d’un fichier échoue, un message d'erreur apparaît dans la page d'accueil de l'utilisateur ayant chargé ce fichier.

Les entrées du fichier journal contiennent le statut, le nom de l'utilisateur, les attributs de fichier ainsi que les violations des règles (si applicable).

Les codes d'erreur (6100-6103) sont utilisés pour consigner les erreurs AV. Utilisez ces codes pour filtrer les journaux. Lorsque l'analyse du contenu provoque un échec du chargement, la table de journalisation correspondante consigne le nom du serveur AV et, si possible, le nom du virus.

Les codes d'erreur 0 et 6150 sont utilisés pour consigner les violations de stratégie DLP, comme suit :

• Code d'erreur 0 pour les violations qui ont été autorisées ou mises en quarantaine
• Code d'erreur 6150 pour les violations qui ont été bloquées

Notifications

Les macros de notification pour l'analyse du contenu, lorsqu'elles sont activées, peuvent consigner les résultats des analyses antivirus (AV) ainsi que des analyses de prévention des pertes de données (DLP) effectuées.

Les notifications suivantes peuvent inclure les résultats des analyses AV et/ou DLP :

• Notification de nouveau chargement de fichier
• Confirmation de chargement de fichier
• Nouveau paquet
• Nouveau paquet, pièce jointe sécurisée
• Paquet de nouvel utilisateur temporaire (avec mot de passe)
• Paquet de nouvel utilisateur temporaire (avec mot de passe), pièce jointe sécurisée
• Paquet de nouvel utilisateur temporaire (avec lien mot de passe)
• Paquet de nouvel utilisateur temporaire (avec lien mot de passe), pièce jointe sécurisée
• Paquet de nouvel invité
• Nouveau paquet invité, pièce jointe sécurisée
• Accusé de non livraison de fichier
• Notification de liste de chargements de fichiers
• Confirmation de liste de chargements de fichiers
• Liste de fichiers non téléchargés
• Accusé de réception de fichier
• Accusé de réception du paquet
• Accusé de téléchargement du paquet
• Paquet supprimé par un utilisateur
• L'utilisateur du paquet a été supprimé

Les résultats des analyses de contenu ne sont pas pris en compte par les modèles standard utilisés par ces notifications. Vous pouvez ajouter les macros voulues pour la consignation des résultats d'analyse en créant des modèles de notification personnalisés. Pour définir des notifications personnalisées pour votre organisation, utilisez Settings | Appearance | Notification | Custom (Paramètres | Apparence | Notification | Personnaliser).

Rapports

Ces rapports consignent l'activité d'analyse du contenu sous différents angles. Deux d'entre eux vous fournissent des informations spécifiques sur les résultats d'analyse : Violations Blocked (Violations bloquées) et DLP Violations (Allowed and Blocked) (Violations DLP (autorisées et bloquées)). Les autres rapports sont des rapports de maintenance contenant des totaux agrégés.

Si vous êtes connecté en tant qu'administrateur d'organisation, le rapport vous montre les résultats d'analyse qui concernent votre organisation. Si vous êtes connecté en tant qu'administrateur système, le rapport peut couvrir plusieurs organisations.

Remarque : Généralement, les rapports peuvent contenir jusqu'à 30 jours d'enregistrements d'audit en ligne et 30 jours de statistiques de performances en ligne, selon la manière dont les tâches de nettoyage planifiées des anciennes données sont exécutées.