взять под контроль все каналы обмена, замониторить их ..

если у тебя допустим в офисе вайфайка бесконтрольная то тебя никакая dlp не спасёт

или у тебя флешки кто угодно может втыкать куда угодно

Да это тоже понимаю, внедрял в свое время. Но там все было под форточки. А тут вот чуваки недавно просили что-то похожее на DLP. А я из открытого кроме OpenDLP даже незнаю что еще есть.  
Ну как можно защититься от фриков и гиков линуксоидов )))

ну опять же если у тебя комп работника это асбстрактная убунта и у него там рут то тебе не поможет dlp никакая

Дак вот я так же и сказал что анриал ))

(От этого вывод - взять сначала линукса под контроль, ограничить права, залогировать, ввести в домен, замониторить деятельность и тд и тп)

Ну ты же понимаешь какие люди ранимые если их в правах ограничить)))

Я уж молу про то что человек может кусок ком.тайны просто тупо на смартфон сфоткать с монитора

Начнут ломать и показывать свою крутость вместо работы ))

Да  и срать на них, хочешь - работать работай, не хочешь - уёбывай. Если речь идёт о разрабах то для них делается collect dev server или public shell box с учетками на 1 жирном инстансе, если это виндовые разрабы - делается TFS.

Я посоветовал какие меры можно принять... Но это сильно ударит по бизнесс процессам. Ну как всегда безопасность !=удобство

Взлом = инцидент со всеми вытекающими.

Всем привет, подскажите в чем проблема
Есть конфиг fluentD

<source>
  @type forward
  port 24224
  bind 0.0.0.0
</source>

<filter docker.*.*>
  @type parser
  key_name "Log"
  <parse>
    @type json
  </parse>
</filter>


<filter docker.*.*>
  @type parser
  key_name Log
  <parse>
    @type regexp
    expression /(?<log> - {[\s\S]*$)/
  </parse>
</filter>

<match **.** >
  @type copy

  <store>
    @type elasticsearch
    host 192.168.10.202
    port 9200
    type_name fluentd
    logstash_format true
    logstash_prefix fluentd_test
    flush_interval 10s
  </store>

  <store>
    @type stdout
  </store>
</match>

и есть лог из docker

11:59:28.257 DEBUG [METRICS_LOGGER] - {"Type":"EndpointExecute","BattleId":0,"Message":"/allVersionsDictionaries","ThreadName":"http-nio-20070-exec-2","LogType":"METRICS_LOGGER","ServiceInstance":"resource-service","Duration":194,"Time":"2021-02-17T08:59:28.257Z","TargetServiceInstance":"172.17.0.520070","tags":["local","resource"]}

В итоге весь конфиг игнориться и в эластик летит вот это

2021-02-18 09:37:09.000000000 +0000 c611f37de3e2: {"container_id":"c611f37de3e235782e4a32780dd4a806b59653ed4f9bc00cc4aab150a3681994","container_name":"/fort_local_player_20100","source":"stdout","log":"12:37:09.722 \u001b[36mDEBUG\u001b[m [\u001b[34mc.g.f.s.o.OnlineCheckerService\u001b[m] - {\"Message\":\"Broken sessions amount : 0. Max broken duration : 30000 ms\",\"Priority\":\"DEBUG\",\"LogType\":\"MESSAGE_LOGGER\",\"ThreadName\":\"task-scheduler-10\",\"Time\":\"2021-02-18T09:37:09.722795000Z\",\"Logger\":\"OnlineCheckerService\",\"tags\":[\"local\",null]}"}

Тексты разные но формат такой же

ещё простыню вставь

Ну в целом я на 100% с тобой во мнениях согласен!

Может кто сталкивался?
У меня не большой кластер hadoop  и виртуалок в докер контейнерах. Эта зараза после перезапуска docker-compose сталтгоузить кластер в safe mode. Как его заставить рузиться нормально?

Утечка клиентской базы или инсайдер ударет намного сильнее и больнее, и будет в 4-5 раз дороже.

Так о том и речь. Этого и боятся..

Спасибо за дельные советы.