宛先の自動検出

混合観察モードの場合、Advanced Data Loss Preventionでは、検出されたデータ転送の宛先（内部または外部）に応じて異なるルールが適用されます。宛先を内部として判定するロジックを以下に説明します。他のすべての宛先は外部と見なされます。

Advanced Data Loss Preventionでは、傍受されたデータ転送ごとに、DNSリクエストが実行され、Data Loss Preventionエージェントが実行されているマシンとリモートサーバーのFQDN名を比較することにより、宛先HTTP、FTP、またはSMBサーバーが内部サーバーであるかどうかが自動的に検出されます。DNSリクエストが失敗すると、保護されたワークロードとリモートサーバーが同じネットワーク内にあるかどうかについても確認されます。Data Loss Preventionエージェントが実行されているマシンと同じドメイン名を持つ（または同じサブネットワーク内にある）サーバーは、内部と見なされます。

Eメールの通信において、Advanced Data Loss Preventionは、受信者のEメールアドレスが送信者のEメールアドレスと同じドメインにあり、受信者のメールサーバー名が同じである場合、社内Eメールサーバー経由で社内Eメールアドレスから送信されたすべてのEメールを内部転送として扱います。

社外のEメールは、受信者アカウントが既知のものでない限り、外部との通信として扱われます。Data Loss Preventionはネットワーク上のユーザーアクティビティを監視しており、ユーザーに関連付けられたEメールアドレスのデータでバックエンドのデータベースがアップデートされると、既存のEメールアドレスに関するデータもアップデートされます。

メッセンジャー経由の通信は、受信者のアカウントが既知のものでない限り、外部との通信として扱われます。Data Loss Preventionはネットワーク上のユーザーアクティビティを監視しており、ユーザーに関連付けられたアカウントのデータでバックエンドのデータベースがアップデートされると、既知のアカウントに関するデータもアップデートされます。