本文介绍了ProxySG如何利用ICAP协议与DLP系统配合,记录通过ProxySG的访问行为。虽然ProxySG可以记录Access Log,但在6.5.9.2版本后新增的字段仍无法直接捕获DLP阻挡信息,因为DLP的阻挡反馈只存在于ICAP响应的body中,而非报头。因此,要获取完整的阻挡日志,需要直接查看DLP的日志。
背景描述
我们知道,ProxySG可以使用ICAP协议与DLP联动,将上传的对象送到网络层DLP中做敏感信息扫描并实时阻挡,但能否将阻挡的信息通过access log的方式记录下来呢?
需求分析
在分析这个需求前,我们需要先知道ProxySG是如何记录Access Log的,Access Log是ProxySG区别于Syslog的一块独立的日志,它可以记录下来client到ProxySG,以及ProxySG到OCS的访问行为,通过将这部分日志发到Splunk等SIEM平台,可以为SOC人员提供更加丰富的分析视角。ProxySG对Access Log的记录其实就是抓取请求或响应报头中的字段,并将其塞到指定的位置,默认的Access Log字段极其鸡肋,所以,为了实现我们的目的,可以用自定义log format的方式自主设计Access Log。
ICAP协议简述
这个协议其实不是很复杂,从数据包中看,它和HTTP协议非常相像,ICAP协议也是请求响应模式,也大量使用各种报头记录各种信息,连返回代码都照抄HTTP协议,比如下面这个ICAP响应数据包
这是CAS返回给SG的
最低0.47元/天 解锁文章
945
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
