一、 客户透过 MailRelay 将内部对外的邮件导入 Inspector 进行数据检查，

某员工反应无法寄出信件，经过检视 MTA Log 之后，发现如下记录，导致

信件无法寄出，请回答下列问题。
2014-12-15 11:18:37 no host name found for IP address 192.168.100.12
2014-12-15 11:19:47 1Y0MBQ-0004ED-Px GTB local_scan shared lib initialized
2014-12-15 11:19:47 1Y0MBQ-0004ED-Px DLP MTA has put the message on
quarantine, administrator should unfreeze or delete the message ASAP
2014-12-15 11:19:47 1Y0MBQ-0004ED-Px UOID 85A14134-F301-4797-BF4F-
DDC8C712E202 was added to the message headers
2014-12-15 11:19:47 1Y0MBQ-0004ED-Px <= test@test.com H=(a)
[192.168.100.12] P=esmtp S=559
2014-12-15 11:19:47 1Y0MBQ-0004ED-Px frozen by local_scan()
2014-12-15 11:19:48 SMTP call from (a) [192.168.100.12] dropped: too many
unrecognized commands (last was "")
2014-12-15 11:20:09 Start queue run: pid=16271
2014-12-15 11:20:09 1Y0MBQ-0004ED-Px Message is frozen
2014-12-15 11:20:09 End queue run: pid=16271
(1) 1Y0MBQ-0004ED-Px 这串字码代表的意义为何？
(2) UOID 85A14134-F301-4797-BF4F-DDC8C712E202 这串字码代表的意义为
何？
(3) 此封邮件为何无法对外寄送？
ANS:

1. 1Y0MBQ-0004ED-Px 代表：在处理这条 message 时产生的唯一代码（这条

代码就代表了这条 message）
2. UOID 字码代表：这条 message 在被隔离后，在这条 message 的报头部分
添加的标示。
3.MTA 在发送邮件的时候找不到 192.168.100.12 这台主机，找不到对应的主
机名。所以导致这份被隔离的邮件没法寄出，被冻结了，因此用户就认为
无法正常寄出邮件。
需要检查 MTA 的设置是否正确，DNS 是否设置正确，domain routing rules 是
否设置正确。

二、 在客户端评估 Inspector 上线测试时，我们通常都会建议客户采用 OOL

Mode 或是 Bridge Mode 进行对外数据保护，请以对客户说明的方式，说
明此两种模式优劣及功能上的差异为何？
ANS:
 1. 在做上线测试时采用 OOL Mode 有一大好处就是，不会影响到客户原有
网络的正常通讯，不会应该我们的上线测试导致原有的网络发生故障。
但是 OOL Mode 测试的准确率要比 Bridge Mode 稍微低一点，有时会有
一些很小的包会被 miss 掉，而影响到上线测试的准确率。
2. 上来就用 Bridge Mode 上线测试，那么一定要确保所有的网络设置及端
口连线准确无误。如果有一些地方设置不正确的话会影响到客户的整个
网络的正常运行的，比如发生网络环路等等。但是用 Bridge Mode 来测
试的话，有一个最大的优点就是，能确保测试的准确率，不会发生 miss
包的情况。

所有要根据实际情况来做选择，建议先用 OOL Mode 来做环境的搭建和基

本功能测试，等确保一切正常而且要加大测试力度的时候再切换到 Bridge
Mode 来测试，以确保让客户看到最准确的测试结果。

三、 某客户准备建制两套 Inspector 在单位的环境中，Inspector_Network

负责所有对外数据检查，Inspector_Mail 负责单位对外邮件的 Relay 与隔
离。客户目前的要求为，只要管理一个 Security Manager，进行指纹建立
的动作，并同时发布至所有 Inspector 主机，请问如何满足客户的要求？
ANS:

因为 SM 建立的指纹数据一次只能传送到一台 FingerPrint 上，也就是一台

inspector 上。所以要想两台 inspectors 都学到 FingerPrints,就需要在
inspector 系统中对 oracle database 做镜像，这样就可以让两台
inspector 中的数据就可以相互学习和同步。就可以达到一台 SM 对应多台
inspector(指纹数据库)的机制了。

四、 某客户进行 Inspector 上线验证，采用 Bridge Mode 将设备串接于单

位对外的网关之前。
过了几天后，全部使用者反应连网速度变得很慢，且经常会发生浏览器无
法显示网页的情况，客户管理者怀疑是设备效能不足，导致此问题的发生，
请问如何在 Inspector 上，得知设备效能瓶颈为何？
ANS:

可以有两种方法来查看 Inspector 设备的运行效能

1. 通过 web 登录 Inspector,在仪表盘中的 statistics 中查看设备的运行
情况，如：cpu,内存还有负载情况如何。
 2. 通过工具登录 Inspector 系统，通过“top”命令，来查看设备的实时
运行状况，如：cpu,内存，进程还有负载情况，根据 load average:
0.00, 0.04, 0.01 三个数来查看 1 分钟，5 分钟和 15 分钟的负载情况
（通过系统查看比 web 查看更准确更实时）
如果确实有过载的情况，就要根据实际情况重新部署。比如增加
inspector 设备来做负载均衡，以减轻网络负担。

五、 请在 AD 上建立一个 GPO 政策，部署 GTB EndPoint Agent 至自己的

PC，部署完成后请贴上事件检视器中群组原则安装成功的事件结果。
ANS:
六、 当已经安装好 Agent 的 PC，无法正常进行盘点或是阻挡的时后，我们
必须检视 Agent 的日志，请问该如何查询 GTB Endpoint 的完整记录？(说
明所在资料夹及检视日志的方式)
ANS:
在 Win7 系统 C:\ProgramData\GTB Technologies\EPAgent\Logs 中
在 XP 系统 C:\WINDOWS\system32\epawrk 中

Log 文件需要通过十六进制的方式来读取
1. 用有十六进制功能的工具来读取，比如用 Utraledit 工具等等
2. 在 linux 系统中用 vim 来读取 log 文件（但是必须要使用命令：%！
xxd）

七、 请说明在 GTB CC 上，有关周边管制政策中，扫描设定的优先顺序。

ANS:
CC 的扫描顺序是按照自下而上的顺序来扫描的。

八、 GTB CC 功能内建了 Work Flow(工作流程)功能。请截取画面，实际操

作一笔事件，执行一次工作流程的通知(包含邮件)及处理流程(包含结案通
知)
ANS:
九、 当使用者对外传输一份文件，这份文件为营业数据库汇出成 Excel 形
式的挡案，该挡案及营业数据库皆有建立 FingerPrints,并且文件内容也
 符合 Patterns 中的正则表示式。请问在事件记录中，该文件同时符合
File,Database,Patterns Engines 的规则，会触发哪一种政策？
ANS:
这种情况会根据 Rule 制定是启用了哪种 engine 来决定的，如：
1. 只启用了 File Engines,那么这份 Excel 会触发文件指纹保护的政策，
同理启用如只启用了 Datebase，就会触发数据库指纹保护的政策。
2. 如果 3 种 engines 都启用了，那这 3 种都会去比对，先匹配到哪条就触
发哪条政策。

十、 GTB Inspector 中有 Quarantine & Encrypt 这个功能，最主要是执行

邮件加密，也可以利用此功能达成其他的邮件处理需求。
请问如果今天客户单位导入了 GTB DLP 后，不希望使用者对外传输的邮件
遭到隔离但仍需要告警！因此希望启用此功能后，可以再邮件的主旨加
上”机密邮件”的字眼然后后送至其他邮件主机进行传送。
请问此功能在下图中第四项该如何设定？

ANS:

可以这样设定：