McAfee DLP Prevent

Anuncio
Guía del producto
Revisión A
McAfee Data Loss Prevention 10.0.100
Para uso con McAfee ePolicy Orchestrator
COPYRIGHT
© 2016 Intel Corporation
ATRIBUCIONES DE MARCAS COMERCIALES
Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,
McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus
empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA
LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,
CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA
QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN
ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO
ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O
AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
2
McAfee Data Loss Prevention 10.0.100
Guía del producto
Contenido
Prefacio
9
Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . .
10
1
Descripción general del producto
11
¿Qué es McAfee DLP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funciones clave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funcionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles . . .
Funcionamiento del software cliente . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Endpoint en la plataforma Microsoft Windows . . . . . . . . . . . . . .
McAfee DLP Endpoint en la plataforma OS X . . . . . . . . . . . . . . . . . . . .
McAfee DLP Discover: análisis de archivos y repositorios . . . . . . . . . . . . . . . . . .
Repositorios compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Prevent: protección del tráfico web y de correo electrónico . . . . . . . . . . . .
Protección del tráfico de correo electrónico . . . . . . . . . . . . . . . . . . . .
Protección del tráfico web . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles . .
Interacción con otros productos McAfee . . . . . . . . . . . . . . . . . . . . . . . . .
11
12
12
14
15
16
17
18
19
19
20
20
20
21
22
Despliegue e instalación
2
Planificación del despliegue
25
Opciones de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Opciones de McAfee DLP Endpoint y Device Control . . . . . . . . . . . . . . . . .
Opciones de McAfee DLP Discover . . . . . . . . . . . . . . . . . . . . . . . .
Opciones de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . .
Escenarios de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planificación de la directiva DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Flujo de trabajo de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . .
El proceso de protección de McAfee DLP . . . . . . . . . . . . . . . . . . . . .
Flujo de trabajo de directiva . . . . . . . . . . . . . . . . . . . . . . . . . .
Práctica recomendada: flujo de trabajo de McAfee DLP Discover . . . . . . . . . . . .
Componentes compartidos de las directivas . . . . . . . . . . . . . . . . . . . .
Requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Puertos predeterminados utilizados por McAfee DLP . . . . . . . . . . . . . . . . . . . .
Lista de comprobación de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . .
3
Instale McAfee DLP
26
26
27
27
28
29
29
30
33
34
35
35
35
37
39
Descargar archivos de instalación y de las extensiones de productos . . . . . . . . . . . . . 39
Instale y añada la licencia a la extensión de McAfee DLP. . . . . . . . . . . . . . . . . . . 40
Instalar la extensión con el Administrador de software . . . . . . . . . . . . . . . . 40
McAfee Data Loss Prevention 10.0.100
Guía del producto
3
Contenido
Instalar la extensión de forma manual . . . . . . . . . . . . . . . . . . . . . .
Activar la licencia de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . .
Aplicación de compatibilidad con versiones anteriores . . . . . . . . . . . . . . . .
Conversión de directivas y migración de datos . . . . . . . . . . . . . . . . . . .
Instale McAfee DLP Endpoint y el software cliente Device Control. . . . . . . . . . . . . . .
Instale el paquete del servidor de McAfee DLP Discover . . . . . . . . . . . . . . . . . .
Consideraciones de la ampliación de McAfee DLP Discover . . . . . . . . . . . . . .
Instale o amplíe el paquete del servidor con McAfee ePO. . . . . . . . . . . . . . .
Instale o amplíe el paquete del servidor manualmente . . . . . . . . . . . . . . . .
Verificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . .
Instale McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Instalación de las extensiones . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la información de red . . . . . . . . . . . . . . . . . . . . . .
Instalación del software en un appliance virtual . . . . . . . . . . . . . . . . . .
Instalación del software en un appliance de hardware . . . . . . . . . . . . . . . .
Ejecutar el Asistente de instalación y registrarse con McAfee ePO . . . . . . . . . . .
Instalar el paquete del servidor de McAfee DLP Prevent for Mobile Email . . . . . . . .
Realización de las tareas posteriores a la instalación . . . . . . . . . . . . . . . . . . .
41
41
43
45
46
46
47
48
48
49
50
50
51
51
52
54
55
55
Configuración y uso
4
Configuración de los componentes del sistema
59
Configuración de McAfee DLP en el catálogo de directivas . . . . . . . . . . . . . . . . .
60
Importar o exportar la configuración de McAfee DLP Endpoint . . . . . . . . . . . . . 60
Configuración del cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Compatibilidad con los parámetros de configuración del cliente . . . . . . . . . . . . 63
Configuración de ajustes del cliente . . . . . . . . . . . . . . . . . . . . . . . 64
Configurar ajustes del servidor . . . . . . . . . . . . . . . . . . . . . . . . . 64
Protección de archivos mediante la gestión de derechos . . . . . . . . . . . . . . . . . . 66
Funcionamiento de McAfee DLP con la administración de derechos . . . . . . . . . . . 67
Servidores de administración de derechos compatibles . . . . . . . . . . . . . . .
67
Definir un servidor de administración de derechos . . . . . . . . . . . . . . . . .
68
Documentación de eventos mediante pruebas . . . . . . . . . . . . . . . . . . . . . . 69
Uso de pruebas y del almacenamiento de pruebas . . . . . . . . . . . . . . . . . 69
Creación de carpetas de pruebas . . . . . . . . . . . . . . . . . . . . . . . . 71
Definir las opciones de configuración de las carpetas de pruebas . . . . . . . . . . . . 72
Control de asignaciones con usuarios y conjuntos de permisos . . . . . . . . . . . . . . .
73
Cree definiciones de usuarios finales . . . . . . . . . . . . . . . . . . . . . . . 74
Asignar conjuntos de permisos de McAfee DLP . . . . . . . . . . . . . . . . . . . 74
Creación de un conjunto de permisos de McAfee DLP . . . . . . . . . . . . . . . . 76
Control de acceso a las funciones de McAfee DLP Prevent . . . . . . . . . . . . . . . . .
79
Restricción de la visualización de appliances por parte de los usuarios en el Árbol de sistemas
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Permitir que los usuarios editen la directiva . . . . . . . . . . . . . . . . . . . . 79
Control de acceso a las funciones de Administración de appliances . . . . . . . . . . . 79
Uso de las directivas de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . 80
Establecer la configuración del tiempo de espera de conexión . . . . . . . . . . . . . 81
Especifique un nivel máximo de anidación de datos adjuntos archivados . . . . . . . .
81
Agregar MTA adicionales que puedan entregar el correo electrónico . . . . . . . . . .
82
Entregar correos electrónicos mediante un enfoque de operación por turnos . . . . . . . 82
Limitar las conexiones a las redes o los sistemas host especificados . . . . . . . . . . 83
Activar TLS en los mensajes entrantes o salientes . . . . . . . . . . . . . . . . .
83
Uso de servidores de autenticación externos . . . . . . . . . . . . . . . . . . . . 84
Directiva de Ajustes generales de administración de appliances . . . . . . . . . . . . 88
Editar la directiva de Email Gateway para trabajar con McAfee DLP Prevent . . . . . . . 88
Integrar McAfee DLP Prevent en un entorno web . . . . . . . . . . . . . . . . . . 90
4
McAfee Data Loss Prevention 10.0.100
Guía del producto
Contenido
Funciones de McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Protección de medios extraíbles
91
93
Protección de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Gestión de dispositivos con clases de dispositivos . . . . . . . . . . . . . . . . . . . . . 95
Definir una clase de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Obtención de un GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . .
96
Crear una clase de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 97
Organización de dispositivos con definiciones de dispositivos . . . . . . . . . . . . . . . . 97
Uso de las definiciones de dispositivos . . . . . . . . . . . . . . . . . . . . . . 98
Propiedades del dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Reglas de control de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Creación de una regla para dispositivos de almacenamiento extraíbles . . . . . . . . . 105
Crear una regla para dispositivos Plug and Play . . . . . . . . . . . . . . . . . . 106
Creación de una regla de dispositivos de acceso a archivos en dispositivos de almacenamiento
extraíbles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Crear una regla de dispositivos de disco duro fijo . . . . . . . . . . . . . . . . . 108
Crear una regla de dispositivos Citrix . . . . . . . . . . . . . . . . . . . . . . 109
Crear una regla de dispositivos TrueCrypt . . . . . . . . . . . . . . . . . . . . 109
Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles . . . . . . . . . . 110
6
Clasificación del contenido confidencial
113
Componentes del módulo Clasificación . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de las clasificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Clasificación en función del destino de los archivos . . . . . . . . . . . . . . . . .
Clasificación por ubicación de archivo . . . . . . . . . . . . . . . . . . . . . .
Extracción de texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cómo categoriza aplicaciones McAfee DLP Endpoint . . . . . . . . . . . . . . . .
Criterios y definiciones de clasificación . . . . . . . . . . . . . . . . . . . . . . . . .
Definiciones de diccionario . . . . . . . . . . . . . . . . . . . . . . . . . .
Definiciones de patrones avanzados . . . . . . . . . . . . . . . . . . . . . . .
Clasificación de contenido con propiedades de documentos o información del archivo . . .
Plantillas de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Clasificación manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Propiedades incrustadas . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de clasificaciones manuales . . . . . . . . . . . . . . . . . . . .
Documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Texto en lista blanca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación y configuración de clasificaciones . . . . . . . . . . . . . . . . . . . . . . .
Crear una clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de los criterios de clasificación . . . . . . . . . . . . . . . . . . . . .
Cargar documentos registrados . . . . . . . . . . . . . . . . . . . . . . . .
Cargar archivos con texto para inclusión en lista blanca . . . . . . . . . . . . . . .
Configurar los componentes de clasificación para McAfee DLP Endpoint . . . . . . . . . . .
Crear criterios de identificación por huellas digitales de contenido . . . . . . . . . . .
Caso práctico: Identificación por huellas digitales basada en la aplicación . . . . . . .
Asignar permisos de clasificación manual . . . . . . . . . . . . . . . . . . . .
Caso práctico: Clasificación manual . . . . . . . . . . . . . . . . . . . . . . .
Creación de las definiciones de clasificación . . . . . . . . . . . . . . . . . . . . . .
Crear una definición de clasificación general . . . . . . . . . . . . . . . . . . .
Crear o importar una definición de diccionario . . . . . . . . . . . . . . . . . . .
Crear un patrón avanzado . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crear una definición de lista de URL . . . . . . . . . . . . . . . . . . . . . . .
Caso práctico: Integración del cliente de Titus con etiquetas de terceros . . . . . . . . . . .
Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación . . . .
McAfee Data Loss Prevention 10.0.100
113
114
115
117
117
118
119
121
122
122
123
124
125
126
127
127
128
128
129
129
130
130
131
131
132
133
134
134
134
135
136
137
138
Guía del producto
5
Contenido
7
Protección de contenido de carácter confidencial
141
Conjuntos de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Crear definiciones de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Crear un nuevo intervalo de puertos de red . . . . . . . . . . . . . . . . . . . . 142
Creación de un intervalo de direcciones de red . . . . . . . . . . . . . . . . . . 143
Crear una definición de lista de direcciones de correo electrónico . . . . . . . . . . . 143
Crear una definición de la impresora de red . . . . . . . . . . . . . . . . . . .
144
Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
144
Reglas de protección de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Reglas de protección de acceso a archivos de la aplicación . . . . . . . . . . . . .
145
Reglas de protección del Portapapeles . . . . . . . . . . . . . . . . . . . . . . 146
Reglas de protección en la nube . . . . . . . . . . . . . . . . . . . . . . . . 146
Reglas de protección de correo electrónico . . . . . . . . . . . . . . . . . . . . 147
Reglas de protección de correo electrónico para dispositivos móviles . . . . . . . . .
148
Reglas de protección de comunicaciones de la red . . . . . . . . . . . . . . . . . 149
Reglas de protección de recursos compartidos de red . . . . . . . . . . . . . . . . 149
Reglas de protección contra impresión . . . . . . . . . . . . . . . . . . . . . . 149
Reglas de protección de almacenamiento extraíble . . . . . . . . . . . . . . . . . 150
Reglas de protección contra capturas de pantalla . . . . . . . . . . . . . . . . .
150
Reglas de protección web . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Asistencia para la configuración de cliente con reglas de protección de datos . . . . . . 151
Acciones de las reglas de protección de datos . . . . . . . . . . . . . . . . . . . 153
Reglas de control de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Reglas de descubrimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Listas blancas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
156
Personalización de mensajes del usuario final . . . . . . . . . . . . . . . . . . . . . . 157
Reacciones disponibles para los tipos de regla . . . . . . . . . . . . . . . . . . . . . . 158
Creación y configuración de reglas y conjuntos de reglas . . . . . . . . . . . . . . . . . 162
Creación de un conjunto de reglas . . . . . . . . . . . . . . . . . . . . . . . 162
Creación de una regla . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Asignación de conjuntos de reglas a directivas . . . . . . . . . . . . . . . . . .
163
Activar, desactivar o eliminar reglas . . . . . . . . . . . . . . . . . . . . . . . 164
Directiva para crear una copia de seguridad y restaurar . . . . . . . . . . . . . . . 164
Configuración de las columnas de reglas o de conjuntos de reglas . . . . . . . . . .
165
Crear una definición de justificación . . . . . . . . . . . . . . . . . . . . . . . 165
Crear una definición de notificación . . . . . . . . . . . . . . . . . . . . . . . 166
Casos de uso de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Caso práctico: Regla para dispositivos de almacenamiento extraíbles con acceso a archivos
mediante proceso en lista blanca . . . . . . . . . . . . . . . . . . . . . . . . 168
Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura . . . . . 169
Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug and Play
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
170
Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en disco
171
Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos
que se envíen a un dominio especificado . . . . . . . . . . . . . . . . . . . . . 172
Caso práctico: Permiso para que un grupo de usuarios específico envíe información de crédito
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
173
Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destino
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
175
8
Análisis de datos con descubrimiento de McAfee DLP Endpoint
179
Protección de los archivos con las reglas de descubrimiento . . . . . . . . . . . . . . . .
Modo de funcionamiento del análisis de descubrimiento . . . . . . . . . . . . . . . . . .
Encontrar contenido con el rastreador de descubrimiento de Endpoint . . . . . . . . . . . .
Creación y definición de una regla de descubrimiento . . . . . . . . . . . . . . . .
Creación de una definición de planificador . . . . . . . . . . . . . . . . . . . .
Configurar un análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
McAfee Data Loss Prevention 10.0.100
179
180
181
182
183
183
Guía del producto
Contenido
Caso práctico: Restauración de elementos de correo electrónico o archivos en cuarentena
9
Análisis de datos con McAfee DLP Discover
184
187
Elección del tipo de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funcionamiento de los análisis de inventario . . . . . . . . . . . . . . . . . . .
Funcionamiento de los análisis de clasificación . . . . . . . . . . . . . . . . . .
Funcionamiento de los análisis de corrección . . . . . . . . . . . . . . . . . . .
Consideraciones y limitaciones de los análisis . . . . . . . . . . . . . . . . . . . . . .
Repositorios y credenciales para análisis . . . . . . . . . . . . . . . . . . . . . . . .
Uso de definiciones y clasificaciones con análisis . . . . . . . . . . . . . . . . . . . . .
Uso de reglas en análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar directivas para los análisis . . . . . . . . . . . . . . . . . . . . . . . . .
Crear definiciones para los análisis . . . . . . . . . . . . . . . . . . . . . . .
Crea reglas para análisis de corrección . . . . . . . . . . . . . . . . . . . . .
Configurar un análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar un análisis de inventario . . . . . . . . . . . . . . . . . . . . . . .
Configurar un análisis de clasificación . . . . . . . . . . . . . . . . . . . . . .
Configurar un análisis de corrección . . . . . . . . . . . . . . . . . . . . . . .
Realizar operaciones de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comportamiento de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Análisis de los datos analizados . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de OLAP por parte de McAfee DLP Discover . . . . . . . . . . . . . . . . . .
Ver resultados de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . .
Analizar resultados de análisis . . . . . . . . . . . . . . . . . . . . . . . . .
Ver resultados de inventario . . . . . . . . . . . . . . . . . . . . . . . . . .
187
188
188
189
189
191
192
193
193
194
199
200
200
201
202
203
204
204
204
205
206
207
Supervisión y generación de informes
10
Incidentes y eventos operativos
211
Supervisión y generación de informes . . . . . . . . . . . . . . . . . . . . . . . . .
Administrador de incidentes de DLP . . . . . . . . . . . . . . . . . . . . . . . . . .
Funcionamiento del administrador de incidentes . . . . . . . . . . . . . . . . . .
Trabajar con incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización de los incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ordenar y filtrar incidentes . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar vistas de columna . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar filtros de incidentes . . . . . . . . . . . . . . . . . . . . . . . . .
Ver detalles del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Actualizar un solo incidente . . . . . . . . . . . . . . . . . . . . . . . . . .
Actualizar varios incidentes . . . . . . . . . . . . . . . . . . . . . . . . . .
Enviar por correo electrónico los eventos seleccionados . . . . . . . . . . . . . . .
Administrar etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabajo en casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización de información del caso . . . . . . . . . . . . . . . . . . . . . .
Asignación de incidentes a un caso . . . . . . . . . . . . . . . . . . . . . . .
Transferencia o eliminación de incidentes de un caso . . . . . . . . . . . . . . . .
Actualización de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adición o eliminación de etiquetas de un caso . . . . . . . . . . . . . . . . . . .
Eliminación de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Recopilación y administración de datos
211
212
212
214
215
215
216
217
217
218
219
219
220
221
222
222
222
223
223
224
224
225
226
227
Edición de tareas servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Creación de una tarea de purga de eventos . . . . . . . . . . . . . . . . . . .
228
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Contenido
Creación de una tarea Notificación de correo automática . . . . . . . . . . . . . .
Creación una tarea de definición de revisor . . . . . . . . . . . . . . . . . . . .
Supervisar resultados de la tarea . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Opciones de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Paneles predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de una tarea servidor de acumulación de datos . . . . . . . . . . . . . .
12
Registro y supervisión en McAfee DLP Prevent
229
230
231
231
231
232
232
234
235
Generación de informes de eventos . . . . . . . . . . . . . . . . . . . . . . . . . .
Eventos de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . .
Uso del syslog con McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . .
Supervisión del estado y el mantenimiento del sistema . . . . . . . . . . . . . . . . . .
Panel de Administración de appliances . . . . . . . . . . . . . . . . . . . . . .
Tarjetas de mantenimiento del sistema . . . . . . . . . . . . . . . . . . . . .
Ver el estado de un appliance . . . . . . . . . . . . . . . . . . . . . . . . .
Descargar archivos MIB y SMI . . . . . . . . . . . . . . . . . . . . . . . . .
235
235
237
239
239
239
240
240
Mantenimiento y resolución de problemas
13
Diagnóstico de McAfee DLP Endpoint
Herramienta de diagnóstico . . . . . . . .
Comprobación del estado del agente .
Ejecutar la herramienta de diagnóstico
Ajuste de directivas . . . . . . . .
14
243
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
.
.
.
.
Mantenimiento y resolución de problemas en McAfee DLP Prevent
247
Administrar con la consola del appliance de McAfee DLP Prevent . . . . . . . . . . . . . .
Acceso a la consola del appliance . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cambiar la configuración original de la red . . . . . . . . . . . . . . . . . . . . . . .
Modificar la velocidad y la configuración del dúplex para appliances de hardware . . . . . . . .
Administración de appliances de hardware con el RMM . . . . . . . . . . . . . . . . . .
Configuración del RMM . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejecutar al Asistente de instalación mediante el servicio de KVM remoto . . . . . . . .
Práctica recomendada: proteger el RMM . . . . . . . . . . . . . . . . . . . . .
Actualizar o reinstalar desde la imagen de instalación interna . . . . . . . . . . . . . . .
Reinicie el appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Restablecer los valores predeterminados de fábrica del appliance . . . . . . . . . . . . . .
Cerrar sesión en el appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Prevent no acepta correos electrónicos . . . . . . . . . . . . . . . . . . .
Sustitución del certificado por defecto . . . . . . . . . . . . . . . . . . . . . . . .
Mensajes de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crear un informe de escalación mínima (MER) . . . . . . . . . . . . . . . . . . . . .
A
8
243
244
245
245
247
248
248
249
249
250
250
250
251
252
253
253
253
254
255
257
Glosario
259
Índice
263
McAfee Data Loss Prevention 10.0.100
Guía del producto
Prefacio
Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.
Contenido
Acerca de esta guía
Búsqueda de documentación de productos
Acerca de esta guía
Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos
utilizados, además de cómo está organizada.
Destinatarios
La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va
destinada.
La información de esta guía está dirigida principalmente a:
•
Administradores: personas que implementan y aplican el programa de seguridad de la empresa.
Convenciones
En esta guía se utilizan los siguientes iconos y convenciones tipográficas.
Cursiva
Título de un manual, capítulo o tema; un nuevo término; énfasis
Negrita
Texto que se enfatiza
Tipo de letra
monoespacio
Comandos y texto de otra índole que escribe el usuario; un ejemplo de
código; un mensaje que se presenta en pantalla
Tipo de letra estrecho en negrita
Palabras de la interfaz del producto, como opciones, menús, botones y
cuadros de diálogo
Azul hipertexto
Un vínculo a un tema o a un sitio web externo
Nota: Información adicional para enfatizar una cuestión, recordarle algo
al lector o proporcionar un método alternativo
Sugerencia: Información sobre prácticas recomendadas
Precaución: Consejos importantes para proteger su sistema informático,
instalación de software, red, empresa o sus datos
Advertencia: Consejos fundamentales para impedir lesiones personales
al utilizar un producto de hardware
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Prefacio
Búsqueda de documentación de productos
Búsqueda de documentación de productos
En el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplo
documentación de los productos, artículos técnicos, etc.
Procedimiento
10
1
Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento.
2
En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos.
3
Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos.
McAfee Data Loss Prevention 10.0.100
Guía del producto
1
Descripción general del producto
La fuga de datos se produce cuando sale información confidencial o privada de la empresa como
resultado de comunicaciones no autorizadas a través de canales tales como aplicaciones, dispositivos
físicos y protocolos de red.
®
McAfee Data Loss Prevention (McAfee DLP) identifica y protege los datos dentro de su red. McAfee
DLP le ayuda a comprender los tipos de datos en su red, cómo se accede a ellos, cómo se transmiten
y si contienen información confidencial. Use McAfee DLP con el fin de crear e implementar directivas
de protección eficaces mientras disminuye la necesidad de errores y versiones de prueba amplias.
Contenido
¿Qué es McAfee DLP?
Funciones clave
Funcionamiento
McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles
McAfee DLP Discover: análisis de archivos y repositorios
McAfee DLP Prevent: protección del tráfico web y de correo electrónico
McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles
Interacción con otros productos McAfee
¿Qué es McAfee DLP?
McAfee DLP es uns suite de productos, cada uno de los cuales protege distintos tipos de datos dentro
de su red.
•
McAfee Data Loss Prevention Endpoint (McAfee DLP Endpoint): supervisa y controla
contenido y acciones de los usuarios en equipos endpoint.
•
McAfee Device Control: controla el uso de medios extraíbles en equipos endpoint.
•
McAfee Data Loss Prevention Discover (McAfee DLP Discover): analiza los repositorios de
archivos para identificar y proteger los datos confidenciales.
•
McAfee Data Loss Prevention Prevent (McAfee DLP Prevent): trabaja con su servidor MTA o
proxy web para proteger el tráfico web y de correo electrónico.
•
McAfee Data Loss Prevention Prevent for Mobile Email (McAfee DLP Prevent for Mobile
Email): Funciona con MobileIron para supervisar las solicitudes de ActiveSync de Microsoft
Exchange o de Microsoft Office 365
®
®
®
®
®
McAfee Data Loss Prevention 10.0.100
Guía del producto
11
1
Descripción general del producto
Funciones clave
Funciones clave
McAfee DLP incluye estas funciones.
Protección avanzada: Aproveche la identificación por huellas digitales, la clasificación y el marcado
de archivos para proteger datos no estructurados de carácter confidencial, como la propiedad
intelectual o los secretos comerciales.
McAfee DLP proporciona protección exhaustiva para todos los posibles canales de fuga, incluidos los
dispositivos de almacenamiento extraíbles, la nube, las aplicaciones de uso compartido de archivos,
correo electrónico, mensajería instantánea, web, impresión, portapapeles y captura de pantalla.
Implementación de conformidad: Garantice la conformidad atendiendo las acciones cotidianas de
los usuarios finales, como el envío de correos electrónicos, la publicación en la nube y las descargas
en dispositivos multimedia extraíbles.
Descubrimiento y análisis de archivos: Analice archivos almacenados en equipos endpoint locales,
repositorios compartidos o la nube para identificar datos de carácter confidencial.
Formación del usuario final: Ofrezca información en tiempo real a través de mensajes emergentes
instructivos que contribuyen a forjar una cultura y conciencia corporativa en relación con la seguridad.
®
Administración centralizada: Intégrese de forma nativa con el software de McAfee ePolicy
Orchestrator (McAfee ePO ) para simplificar la administración de directivas e incidentes.
®
™
Funcionamiento
Todos los productos de McAfee DLP detectan la actividad del usuario o datos de carácter confidencial,
toman medidas contra las infracciones de directivas y crean incidentes de infracciones.
Detección e identificación
McAfee DLP identifica los datos de su red cuando:
•
un usuario los usa o accede a ellos;
•
se encuentran en tránsito en su red o fuera de ella; y
•
se ubican en un sistema de archivos local o en un repositorio compartido.
Reacción y protección
El software puede tomar diferentes medidas en cuanto a los datos de carácter confidencial, como:
•
notificar un incidente;
•
bloquear el acceso del usuario;
•
mover o cifrar archivos; y
•
poner en cuarentena los correos electrónicos que contienen esos datos.
Supervisión y generación de informes
Cuando se descubren infracciones de directivas, McAfee DLP crea un incidente con los detalles de
dichas infracciones.
12
McAfee Data Loss Prevention 10.0.100
Guía del producto
Descripción general del producto
Funcionamiento
1
Categorización de datos
McAfee DLP recopila datos y los categoriza por vectores: datos en movimiento, datos en reposo y
datos en uso.
Vector de datos Descripción
Productos
Datos en uso
Las acciones que llevan cabo los usuarios en los
• McAfee DLP Endpoint
equipos endpoint, como la copia de datos y
• Device Control
archivos en medios extraíbles, la impresión de
archivos en una impresora local y la realización de
capturas de pantalla.
Datos en
movimiento
El tráfico activo de su red. El tráfico se analiza,
clasifica y almacena en la base de datos de
McAfee DLP.
• McAfee DLP Prevent
Datos en reposo
Los datos que residen en los repositorios y
recursos compartidos de archivos. McAfee DLP
puede analizar y rastrear los datos en reposo, así
como llevar a cabo las acciones correctivas
necesarias con ellos.
• McAfee DLP Discover
• McAfee DLP Prevent for
Mobile Email
• Descubrimiento de McAfee
DLP Endpoint
Cómo interactúan los productos de McAfee DLP
La instalación de todos los productos de McAfee DLP permite utilizar todas las funciones de la suite de
productos.
Este diagrama muestra una red simplificada en la que se despliegan todos los productos de McAfee
DLP y McAfee ePO.
McAfee Data Loss Prevention 10.0.100
Guía del producto
13
1
Descripción general del producto
McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles
Referencia Descripción
Vector de datos
1
McAfee ePO gestiona la configuración de directivas y de incidentes
en todos los productos de McAfee DLP.
No aplicable
2
McAfee DLP Endpoint y Device Control supervisan y limitan el uso
que los usuarios pueden hacer de los datos. McAfee DLP Endpoint
también analiza el correo electrónico y los sistemas de archivos de
los equipos endpoint.
• Datos en uso
• Datos en
reposo
3
McAfee DLP Discover analiza archivos de los repositorios locales o en Datos en reposo
la nube con el fin de encontrar datos de carácter confidencial.
4
• McAfee DLP Prevent recibe correo electrónico de los servidores
MTA. Analiza los mensajes, agrega los encabezados apropiados
según la directiva configurada y envía los mensajes a un único
servidor MTA, que también se conoce como Host inteligente.
Datos en
movimiento
• McAfee DLP Prevent recibe tráfico web de los servidores proxy
web. Analiza el tráfico web, determina si se debe permitir o
bloquear y lo remite al servidor proxy web apropiado.
• McAfee DLP Prevent for Mobile Email recibe correo electrónico de
un servidor de MobileIron Sentry. Analiza el correo electrónico y
datos adjuntos y crea los incidentes o guarda las pruebas, en
función de las reglas de protección de dispositivos móviles.
McAfee DLP Endpoint y Device Control: Control de contenido de
endpoint y medios extraíbles
McAfee DLP Endpoint supervisa las acciones que los usuarios de la empresa llevan a cabo con
contenido de carácter confidencial en sus equipos.
McAfee Device Control evita el uso no autorizado de dispositivos multimedia extraíbles. McAfee DLP
Endpoint incluye todas las funciones de Device Control y, además, protege contra la fuga de datos en
un amplio conjunto de canales en los que puede producirse.
Funciones principales
McAfee Device Control:
•
Controla qué datos se pueden copiar en dispositivos extraíbles o controla los propios dispositivos.
Puede bloquear completamente los dispositivos o hacer que sean de solo lectura.
•
Bloquea la ejecución de ejecutables en medios extraíbles. Pueden hacerse excepciones para
ejecutables requeridos, como la protección antivirus.
•
Protege las unidades USB, smartphones, dispositivos Bluetooth y demás medios extraíbles.
McAfee DLP Endpoint protege contra la fuga de datos desde:
14
•
Software de portapapeles
•
Aplicaciones de nube
•
Correo electrónico (incluido el correo electrónico enviado a los dispositivos móviles)
•
Recursos compartidos de red
•
Impresoras
•
Capturas de pantalla
McAfee Data Loss Prevention 10.0.100
Guía del producto
Descripción general del producto
McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles
•
Aplicaciones y navegadores especificados
•
Publicaciones web
1
El motor de clasificación de McAfee DLP aplica las definiciones y los criterios de clasificación que
definen el contenido que debe protegerse, así como dónde y cuándo se debe aplicar la protección. Las
reglas de protección aplican los criterios de clasificación y otras definiciones para proteger el contenido
de carácter confidencial.
Reglas
Compatibilidad con
Protección de datos
• McAfee DLP Endpoint
• Device Control (solo reglas de protección de almacenamiento extraíble)
• McAfee DLP Prevent (reglas de protección web y de correo electrónico)
Device Control
• McAfee DLP Endpoint
• Device Control
Descubrimiento
• McAfee DLP Endpoint (descubrimiento de endpoint)
• McAfee DLP Discover
El rastreador de descubrimientos de McAfee DLP Endpoint se ejecuta en el equipo endpoint local,
realiza búsquedas en archivos de almacenamiento de correo electrónico y el sistema de archivos local,
y aplica directivas para proteger el contenido de carácter confidencial.
Funcionamiento
McAfee DLP Endpoint protege la información confidencial de la empresa:
•
aplica directivas formadas por definiciones, clasificaciones, conjuntos de reglas, configuraciones de
cliente de endpoint y planificaciones de descubrimiento de endpoint.
•
Supervisa las directivas y bloquea las acciones con contenido de carácter confidencial, según
corresponda.
•
Cifra contenido de carácter confidencial para permitir la acción.
•
Crea informes para revisar y controlar el proceso, y puede almacenar el contenido de carácter
confidencial como prueba.
Funcionamiento del software cliente
El software cliente McAfee DLP Endpoint se despliega como un complemento de McAfee Agent e
implementa las directivas definidas en la directiva de McAfee DLP. El software cliente McAfee DLP
Endpoint audita las actividades de los usuarios para supervisar, controlar e impedir que los usuarios no
autorizados copien o transfieran información confidencial. A continuación, genera eventos que se
registran mediante el Analizador de eventos de McAfee ePO.
Analizador de eventos
Los eventos generados por el software cliente McAfee DLP Endpoint se envían al Analizador de eventos
de McAfee ePO y se registran en tablas de la base de datos de McAfee ePO. Estos eventos se
almacenan en la base de datos para su posterior análisis y se utilizan en otros componentes del
sistema.
McAfee Data Loss Prevention 10.0.100
Guía del producto
15
1
Descripción general del producto
McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles
Funcionamiento con conexión/sin conexión
Puede aplicar diferentes reglas de dispositivos y protección, en función de si el equipo gestionado
dispone de conexión (es decir, está conectado a la red de la empresa) o se trata de un equipo sin
conexión (desconectado de la red). Algunas reglas también le permiten diferenciar entre equipos que
se encuentran dentro de la red y los que se conectan a esta mediante VPN.
McAfee DLP Endpoint en la plataforma Microsoft Windows
Los equipos basados en Microsoft Windows se pueden proteger con McAfee Device Control o McAfee
DLP Endpoint. El software cliente McAfee DLP Endpoint utiliza tecnología de descubrimiento avanzada,
reconocimiento de patrón de texto y diccionarios predefinidos. Identifica contenido de carácter
confidencial e incorpora la administración de dispositivos y el cifrado de capas de control añadidas.
El software Information Rights Management (IRM) protege archivos confidenciales mediante el cifrado
y la administración de los permisos de acceso. McAfee DLP Endpoint admite Microsoft Rights
Management Service (RMS) y Seclore FileSecure como métodos complementarios para la protección
de datos. Un uso típico consiste en evitar la copia de archivos que no están protegidos con IRM.
El software de clasificación verifica que los correos electrónicos y otros archivos se clasifiquen
uniformemente y se etiqueten con marcado de protección. McAfee DLP Endpoint se integra con Titus
Message Classification y Boldon James Email Classifier for Microsoft Outlook para crear reglas de
protección de correo electrónico en función de las clasificaciones aplicadas. Se integra con otros
clientes de clasificación de Titus mediante la SDK de Titus para crear otras reglas de protección
basadas en las clasificaciones aplicadas.
Compatibilidad con lectores de pantalla
Job Access With Sound (JAWS), el software lector de pantalla muy utilizado por invidentes, es
compatible con equipos endpoint. Son compatibles las siguientes funciones de McAfee DLP Endpoint:
•
Ventana emergente de notificación al usuario final: Si el cuadro de diálogo emergente está
definido para que se cierre manualmente (en Administrador de directivas de DLP), el texto del
cuadro se lee permitiendo a las personas invidentes navegar por los botones y enlaces.
•
Cuadro de diálogo de justificación de usuario final: Es posible acceder al cuadro combinado
con la tecla de tabulación y seleccionarse la justificación con las teclas de flecha.
•
Consola de usuario final Historial de notificaciones: Cuando se selecciona la ficha, JAWS lee
lo siguiente: "Se ha seleccionado la ficha Historial de notificaciones". No hay contenido que permita
realizar acciones. Se lee toda la información en el panel de la derecha.
•
Consola de usuario final Descubrimiento: Cuando se selecciona la ficha, JAWS lee lo siguiente:
"Se ha seleccionado la ficha Descubrimiento". No hay contenido que permita realizar acciones. Se
lee toda la información en el panel de la derecha.
•
Consola de usuario final Tareas: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se ha
seleccionado la ficha Tareas". Se puede acceder a todos los pasos con la tecla de tabulación y se
leen las instrucciones apropiadas.
•
Consola de usuario final Acerca de: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se
ha seleccionado la ficha Acerca de". No hay contenido que permita realizar acciones. Se lee toda la
información en el panel de la derecha.
Múltiples sesiones de usuarios
El software cliente McAfee DLP Endpoint admite un cambio rápido de usuario (FUS) con sesiones de
varios usuarios en aquellas versiones del sistema operativo Windows que admiten FUS. La
compatibilidad con equipos de sobremesa virtuales puede dar lugar a múltiples sesiones de usuarios
desde un único equipo host.
16
McAfee Data Loss Prevention 10.0.100
Guía del producto
1
Descripción general del producto
McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles
Consola de Endpoint
La consola de Endpoint se ha diseñado para compartir información con el usuario y facilitar la
autocorrección de problemas. Se configura en Configuración del cliente | Servicio de interfaz de
usuario.
En los equipos basados en Microsoft Windows, la consola se activa desde el icono de la bandeja de
entrada mediante la selección de Administrar funciones | Consola de DLP Endpoint. Una vez
configurada por completo, tiene cuatro páginas con fichas:
•
Historial de notificaciones: Muestra eventos, incluidos los detalles de los eventos agregados.
•
Descubrimiento: Muestra los detalles de los análisis de descubrimiento.
•
Tareas: Genera códigos de ID e introduce códigos de autorización para la omisión de agente y la
cuarentena.
•
Acerca de: Muestra información sobre el estado del agente, la directiva activa, la configuración y
el grupo de asignación de equipos, incluidos los números de ID de revisión.
McAfee DLP Endpoint en la plataforma OS X
McAfee DLP Endpoint for Mac impide el uso no autorizado de dispositivos extraíbles y proporciona
protección del contenido de carácter confidencial en equipos endpoint y recursos compartidos de red.
McAfee DLP Endpoint for Mac admite reglas de dispositivos de almacenamiento extraíbles y Plug and
Play. Asimismo, admite las siguientes reglas de protección de datos:
•
Reglas de protección de recursos compartidos de red
•
Reglas de protección de almacenamiento extraíble
•
Reglas de protección de acceso a archivos de la aplicación
Puede identificar contenido de carácter confidencial con las clasificaciones, como en los equipos con
Windows, pero no se admiten los documentos registrados ni el marcado. Se reconocen las
clasificaciones manuales, pero no hay ninguna opción de establecerlas ni verlas en la interfaz de
usuario. Se admite la extracción de texto, así como el cifrado de pruebas y las definiciones de
justificación empresarial.
McAfee Data Loss Prevention 10.0.100
Guía del producto
17
1
Descripción general del producto
McAfee DLP Discover: análisis de archivos y repositorios
Consola de endpoint
En los equipos endpoint basados en Mac, la consola se activa desde la opción de menú de McAfee en
la barra de estado. El Panel se integra con otros software de McAfee instalados, como McAfee
VirusScan for Mac, y muestra una descripción general del estado de todos los software de McAfee
instalados. La página Registro de eventos muestra los eventos recientes del software de McAfee. Haga
clic en una entrada para ver los detalles.
®
®
Figura 1-1 Pantalla de endpoint de McAfee DLP Endpoint for Mac
Para activar la pantalla de omisión de agente, seleccione Preferencias de la opción de menú.
McAfee DLP Discover: análisis de archivos y repositorios
McAfee DLP Discover se ejecuta en los servidores de Microsoft Windows y analiza los sistemas de
archivos de red para identificar y proteger los archivos y datos de carácter confidencial.
McAfee DLP Discover es un sistema de software extensible y escalable que puede cumplir los
requisitos de cualquier red, independientemente de su tamaño. Despliegue el software de McAfee DLP
Discover en tantos servidores de la red como necesite.
Funciones clave
Utilice McAfee DLP Discover para las siguientes acciones:
•
Detectar y clasificar contenido de carácter confidencial.
•
Mover o copiar contenido de carácter confidencial.
•
Hacer la integración con Microsoft Rights Management Service para proteger los archivos.
•
Automatizar tareas de TI, como encontrar archivos vacíos, determinar los permisos y hacer una
lista de los archivos que han cambiado en un período de tiempo específico.
Funcionamiento
®
McAfee ePO utiliza McAfee Agent para instalar y desplegar el software de McAfee DLP Discover en un
Servidor de descubrimiento, es decir, un servidor Windows designado.
18
McAfee Data Loss Prevention 10.0.100
Guía del producto
Descripción general del producto
McAfee DLP Discover: análisis de archivos y repositorios
1
McAfee ePO aplica en los servidores de descubrimiento la directiva de análisis, que analiza el
repositorio a la hora planificada. Los datos recopilados y las acciones que se realizan con los archivos
dependen del tipo y la configuración de análisis.
Utilice McAfee ePO para llevar a cabo tareas de configuración y análisis como las siguientes:
•
Mostrar los servidores de descubrimiento disponibles.
•
Configurar y planificar los análisis.
•
Configurar elementos de directivas como las definiciones, las clasificaciones y las reglas.
•
Revisar los análisis de datos y los resultados de inventario.
•
Revisar los incidentes generados a partir de los análisis de corrección.
Repositorios compatibles
McAfee DLP Discover admite repositorios locales y en la nube.
•
Box
•
Sistema de archivos de Internet común (CIFS)
•
SharePoint 2010 y 2013
Los sitios web del centro de búsqueda Enterprise (ESS) de SharePoint no son compatibles. Son
consolidaciones sin archivos; solo tienen vínculos a los archivos originales. En los sitios web del ESS,
puede analizar las colecciones de sitios reales o toda la aplicación web.
Tipos de análisis
McAfee DLP Discover es compatible con tres tipos de análisis: inventario, clasificación y corrección.
Análisis de inventario
Los análisis de inventario le aportan una vista de alto nivel de los tipos de archivos que existen en el
repositorio. Este análisis recopila solamente los metadatos; no se obtienen los archivos. McAfee DLP
Discover ordena los metadatos analizados en diferentes tipos de contenido y examina atributos como
el tamaño, la ubicación y la extensión del archivo. Utilice este análisis para crear una descripción
general de su repositorio o para tareas de TI como la ubicación de archivos que se utilizan con poca
frecuencia.
Análisis de clasificación
Los análisis de clasificación le ayudan a entender los datos existentes en el repositorio objetivo. Al
hacer coincidir el contenido analizado con clasificaciones como los patrones de texto o los diccionarios,
puede analizar los patrones de datos para crear análisis de corrección optimizados.
Análisis de corrección
Los análisis de corrección encuentran los datos que infringen una directiva. Puede supervisar, aplicar
una directiva de administración de derechos, copiar o mover archivos a una ubicación para exportar.
Todas las acciones pueden provocar incidentes que se notifican al Administrador de incidentes de
McAfee ePO.
McAfee Data Loss Prevention 10.0.100
Guía del producto
19
1
Descripción general del producto
McAfee DLP Prevent: protección del tráfico web y de correo electrónico
McAfee DLP Prevent: protección del tráfico web y de correo
electrónico
McAfee DLP Prevent se integra con un proxy web o servidor MTA para supervisar el tráfico web y de
correo electrónico y evitar posibles incidentes de fuga de datos.
Protección del tráfico de correo electrónico
McAfee DLP Prevent se integra con cualquier MTA que admita la inspección de encabezados.
Funciones clave
McAfee DLP Prevent interactúa con el tráfico de correo electrónico, genera incidentes y registra los
incidentes en McAfee ePO para su posterior revisión de casos.
Funcionamiento
Figura 1-2 Flujo de tráfico de correo electrónico de McAfee DLP Prevent
1 Usuarios: Los mensajes de correo electrónico entrantes o salientes van al servidor MTA.
2 Servidor MTA: Reenvía los mensajes de correo electrónico a McAfee DLP Prevent.
3 McAfee DLP Prevent: Recibe conexiones SMTP recibe desde el servidor MTA y:
• descompone el mensaje de correo electrónico en sus distintos componentes,
• extrae el texto para la identificación por huellas digitales y el análisis de reglas,
• analiza el mensaje de correo electrónico para detectar infracciones de directivas,
• agrega un encabezado X-RCIS-Action,
• envía el mensaje al Host inteligente configurado.
En este ejemplo, el Host inteligente configurado es el MTA original.
4 Servidor MTA: El servidor MTA actúa en el mensaje de correo electrónico en función de la
información que obtenga del encabezado X-RCIS-Action.
Protección del tráfico web
Funciones clave
McAfee DLP Prevent recibe conexiones ICAP de un servidor proxy web, analiza el contenido y
determina si se debe permitir o bloquear el tráfico.
20
McAfee Data Loss Prevention 10.0.100
Guía del producto
Descripción general del producto
McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles
1
Funcionamiento
Figura 1-3 Flujo de tráfico web de McAfee DLP Prevent
Paso Descripción
1
Los usuarios envían tráfico web al servidor proxy web.
2
El servidor proxy web reenvía el tráfico web a McAfee DLP Prevent.
3
McAfee DLP Prevent inspecciona el tráfico web y devuelve una respuesta al servidor proxy web
para permitir el tráfico hasta el servidor de destino o denegar el acceso.
El servidor proxy web envía el tráfico web inspeccionado a los destinos correspondientes.
McAfee DLP Prevent for Mobile Email: protección de correo
electrónico para dispositivos móviles
McAfee DLP Prevent for Mobile Email se integra con los servidores Mobile Device Management (MDM)
de MobileIron para analizar los correos electrónicos enviados a dispositivos móviles.
Funciones clave
McAfee DLP Prevent for Mobile Email analiza el tráfico de correo electrónico de ActiveSync de Microsoft
Exchange o de Microsoft Office 365, genera incidentes y registra los incidentes y pruebas en McAfee
ePO para su posterior revisión de casos.
Funcionamiento
Mediante la función de ActiveSync de Microsoft Exchange, las aplicaciones de correo electrónico de los
dispositivos móviles pueden conectarse directamente a Exchange para enviar y recibir mensajes de
correo electrónico. Este tráfico de correo electrónico no utiliza SMTP, por lo que no puede ser
detectado por la protección de correo electrónico de McAfee DLP Prevent. El servidor MDM de
MobileIron Sentry actúa como un proxy frontal de ActiveSync que intercepta el tráfico de correo
electrónico de los dispositivos móviles. Reenvía el correo electrónico al servidor de McAfee DLP para
dispositivos móviles, donde el correo electrónico y sus datos adjuntos se analizan según las reglas de
protección de dispositivos móviles del Administrador de directivas de DLP. El contenido de carácter
confidencial activa un evento en el Administrador de incidentes de DLP para su posterior revisión de casos.
McAfee Data Loss Prevention 10.0.100
Guía del producto
21
1
Descripción general del producto
Interacción con otros productos McAfee
Interacción con otros productos McAfee
McAfee DLP se integra con otros productos McAfee para aumentar la funcionalidad de la suite de
productos.
Producto
Descripción
McAfee ePO
Todos los productos McAfee DLP se integran con McAfee ePO para la
configuración, administración y supervisión.
McAfee Email Gateway
Se integra con McAfee DLP Prevent para proporcionar protección de
correo electrónico.
McAfee File and
Removable Media
Protection (FRP)
Se integra con McAfee DLP Endpoint para cifrar los archivos
confidenciales. No se puede usar en McAfee DLP Endpoint for Mac.
McAfee Logon Collector
Se integra con McAfee DLP Prevent para obtener información de
autenticación de usuario.
McAfee Web Gateway
Se integra con McAfee DLP Prevent para proporcionar protección web.
®
®
®
®
22
McAfee Data Loss Prevention 10.0.100
Guía del producto
Despliegue e instalación
Determine la opción de despliegue que mejor se adapte a su entorno y, a
continuación, instale la extensión. En función de sus productos de McAfee
DLP, instale los clientes de endpoint de McAfee DLP Endpoint, el paquete de
servidor de McAfee DLP Discover o la extensión y el appliance de McAfee DLP
Prevent.
Capítulo 2
Capítulo 3
Planificación del despliegue
Instale McAfee DLP
McAfee Data Loss Prevention 10.0.100
Guía del producto
23
Despliegue e instalación
24
McAfee Data Loss Prevention 10.0.100
Guía del producto
2
Planificación del despliegue
Prepare su entorno para la instalación.
Contenido
Opciones de despliegue
Planificación de la directiva DLP
Requisitos del sistema
Puertos predeterminados utilizados por McAfee DLP
Lista de comprobación de despliegue
McAfee Data Loss Prevention 10.0.100
Guía del producto
25
2
Planificación del despliegue
Opciones de despliegue
Opciones de despliegue
La suite de productos McAfee DLP ofrece varias opciones de integración en su red.
Opciones de McAfee DLP Endpoint y Device Control
La instalación recomendada para una implementación sencilla de McAfee DLP Endpoint está en el
servidor de McAfee ePO.
Para ver las recomendaciones sobre si se debe utilizar un servidor independiente para la base de datos
de McAfee ePO en instalaciones más complejas, consulte la Hardware Sizing and Bandwidth Usage
Guide (Guía sobre el uso del ancho de banda y el tamaño del hardware) para McAfee ePolicy
Orchestrator.
Figura 2-1
Componentes y relaciones de McAfee DLP Endpoint
La arquitectura recomendada incluye:
•
•
26
Servidor de McAfee ePO: Alberga las consolas de McAfee DLP Endpoint, Administrador de
incidentes y Operaciones, y se comunica con el software McAfee Agent en los equipos endpoint.
•
Analizador de eventos de McAfee ePO: Se comunica con McAfee Agent y almacena
información de eventos en una base de datos.
•
Analizador de eventos de DLP: Recopila eventos de McAfee DLP Endpoint procedentes del
Analizador de eventos de McAfee ePO y los almacena en tablas de DLP en la base de datos de
SQL.
•
Base de datos de ePO: Se comunica con el Distribuidor de directivas de McAfee ePO para
distribuir directivas y con el Analizador de eventos de DLP para recopilar eventos y pruebas.
Estación de trabajo del administrador: Accede a McAfee ePO y a la consola de directivas de
McAfee DLP Endpoint en un navegador.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Planificación del despliegue
Opciones de despliegue
•
2
Endpoint gestionado: aplica las directivas de seguridad mediante el software siguiente:
•
Cliente de McAfee DLP Endpoint: Un complemento de McAfee Agent que proporciona las
directivas y procesos de McAfee DLP Endpoint.
•
McAfee Agent: Proporciona el canal de comunicación entre el servidor de McAfee ePO y el
software cliente McAfee DLP Endpoint.
Opciones de McAfee DLP Discover
McAfee DLP Discover puede ejecutarse en servidores virtuales o físicos. Puede instalar uno o varios
servidores de descubrimiento en su red mediante McAfee ePO (recomendado) o de forma manual.
Asegúrese de que todos los servidores que usa para McAfee DLP Discover cumplen los siguientes
requisitos:
•
El servidor tiene McAfee Agent instalado y en funcionamiento.
•
El servidor se comunica con McAfee ePO.
•
El servidor se agrega al Árbol de sistemas de McAfee ePO.
Para obtener más información sobre la instalación y el funcionamiento de McAfee Agent, consulte la
Guía del producto de McAfee Agent.
Opciones de McAfee DLP Prevent
McAfee DLP Prevent puede ejecutarse en un appliance de hardware virtual o físico.
•
Los dispositivos virtuales pueden ejecutar en su propio servidor VMware ESX o ESXi.
•
Puede instalar McAfee DLP Prevent en los modelos de appliances 4400 o 5500.
•
También puede instalar un servidor VMWare ESX o ESXi en los modelos de appliances 4400 o 5500.
Requisitos del MTA
Un servidor MTA debe reunir estos requisitos para integrarse con McAfee DLP Prevent.
•
El MTA debe enviar todo o una parte del tráfico de correo electrónico a McAfee DLP Prevent.
Ejemplo: En algunos entornos, puede ser preferible para McAfee DLP Prevent procesar solo el
correo que va hacia o desde sitios públicos, como Gmail, en lugar de procesar cada correo
electrónico enviado y recibido en la red.
•
El MTA debe ser capaz de inspeccionar los encabezados de correo electrónico para poder distinguir
el correo electrónico procedente de McAfee DLP Prevent y actuar en las cadenas de encabezados
que McAfee DLP Prevent agrega a los mensajes de correo electrónico. Si no se admiten
determinadas acciones en el servidor MTA, no configure reglas en McAfee DLP Prevent para usar
estas acciones.
•
El MTA debe garantizar que los mensajes de correo electrónico recibidos desde McAfee DLP Prevent
se dirigen hacia el destino deseado y no vuelvan a McAfee DLP Prevent. Ejemplo: El enrutamiento
puede definirse con una dirección IP de origen o el número de puerto, o comprobando si existen
encabezados X-RCIS-Action.
Requisitos de McAfee DLP Prevent for Mobile Email
El software de McAfee DLP Prevent for Mobile Email puede ejecutarse en servidores físicos o virtuales.
Los requisitos son los mismos que para el software del servidor de McAfee DLP Discover. No ejecute
ambos productos desde el mismo servidor.
McAfee Data Loss Prevention 10.0.100
Guía del producto
27
2
Planificación del despliegue
Opciones de despliegue
Escenarios de despliegue
Debido al número de productos de McAfee DLP y a la forma de implementarlos, las implementaciones
difieren generalmente de red a red.
Implementación de McAfee DLP Endpoint en entornos Citrix
McAfee DLP Endpoint para Windows puede instalarse en los controladores de Citrix XenApp y
XenDesktop.
El uso de McAfee DLP Endpoint para Windows en entornos de Citrix tiene los siguientes requisitos:
•
Citrix XenApp 6.5 FP2 o 7.8
•
Citrix XenDesktop 7.0, 7.5 o 7.8
Implemente McAfee Agent y McAfee DLP Endpoint en los controladores de Citrix, como en cualquier
equipo endpoint. Implemente una directiva de McAfee DLP Endpoint para Windows en los
controladores de Citrix.
McAfee DLP Endpoint no tiene que implementarse en los equipos endpoint para funcionar con Citrix.
Solo se requiere Citrix Receiver 4.4.1000. Cuando el endpoint de Windows se conecta al controlador
de Citrix y abre archivos o correos electrónicos, se aplican las reglas.
Funcionamiento
Las reglas de protección de Citrix se diferencian de McAfee DLP Endpoint instalado en un equipo de la
empresa en lo siguiente:
•
Las reglas para dispositivos Citrix no se admiten cuando se utiliza un servidor controlador
independiente con XenApp 7.8.
•
No se admiten las reglas de protección contra capturas de pantalla. Esto se debe a que la captura
de pantalla se activa desde el equipo endpoint donde la regla no surte efecto. Para obtener
protección contra capturas de pantalla, instale McAfee DLP Endpoint en el equipo endpoint.
•
Se admiten reglas de protección del Portapapeles, pero sin eventos ni notificaciones emergentes.
Esto se debe a que el intento de acción de copiar se lleva a cabo en el controlador de Citrix, donde
las reglas son compatibles, pero el intento de acción de pegar se lleva a cabo en el endpoint, y no
se puede activar la ventana emergente ni generar un evento.
Estas limitaciones no se aplican si utiliza RDP para conectarse al controlador de Citrix.
Ejecutar McAfee Device Control en equipos aislados
Device Control puede utilizarse para controlar el uso de dispositivos extraíbles conectados a sistemas
aislados.
La seguridad de los sistemas aislados incluye limitar los dispositivos extraíbles que se utilizan
normalmente con estos sistemas a dispositivos reconocidos y usos autorizados.
Podemos distinguir tres tipos de sistemas aislados, con pequeñas diferencias entre ellos. La
configuración de cada uno de ellos para Device Control se realiza de forma diferente.
28
1
Equipos conectados a la intranet de la empresa, pero aislados de Internet
2
Red de equipos aislados que incluye un servidor de McAfee ePO
3
Equipos aislados, en los que la única forma de obtener información de entrada o salida es
utilizando dispositivos de almacenamiento extraíbles
McAfee Data Loss Prevention 10.0.100
Guía del producto
Planificación del despliegue
Planificación de la directiva DLP
2
Funcionamiento
En el caso 1, McAfee Agent se despliega en los equipos aislados. El sistema funciona, por tanto, de
forma normal, recibiendo directivas desde McAfee ePO y enviando incidentes al servidor de McAfee
ePO. Todas las comunicaciones permanecen en la intranet.
En el caso 2, se pueden crear directivas y opciones de configuración en el servidor principal de McAfee
ePO. Crear una copia de seguridad y guárdelo en un dispositivo de almacenamiento extraíble. Lleve la
copia de seguridad al servidor aislado de McAfee ePO y cópiela mediante el botón Restaurar en
Configuración de DLP.
Escenario 3 utiliza el modo de inserción de directiva de funcionamiento. El cliente de Device Control
está configurado para obtener directivas de la carpeta especificada. Las directivas creadas con un
servidor externo de McAfee ePO se copian manualmente en dicha carpeta. En este modo de
funcionamiento, los eventos de McAfee Agent se almacenan en una carpeta local y deben copiarse
manualmente en el servidor de McAfee ePO a intervalos regulares. Si Device Control está configurado
con reglas de protección de almacenamiento extraíble, los eventos del agente incluyen pruebas,
incidentes y eventos operativos.
Planificación de la directiva DLP
Para ayudarle a planificar su estrategia DLP, conozca los flujos de trabajo y componentes de la
directiva.
Flujo de trabajo de McAfee DLP
Utilice este flujo de trabajo como guía general para trabajar con los productos de McAfee DLP.
•
•
•
•
Comprender los datos: Detecte e identifique los datos que están en su red.
1
Utilice McAfee DLP para supervisar de forma pasiva las acciones de los usuarios y los datos de la
red. Puede utilizar las reglas predefinidas o crear una directiva básica.
2
Revise los incidentes y examine los resultados de los análisis en busca de posibles infracciones
de directivas. Utilice esta información para comenzar a crear una directiva efectiva.
Configurar las directivas: Utilice las reglas para reaccionar ante las infracciones y proteger los
datos.
1
Clasifique y defina los datos confidenciales mediante la configuración de las clasificaciones y
definiciones.
2
Realice un seguimiento de los datos de carácter confidencial y archivos que contengan
identificación por huellas digitales de contenido y documentos registrados.
3
Proteja los datos con los análisis y las reglas. Configure la acción que se realizará cuando se
descubran, acceda o transmitan datos confidenciales.
Supervisar resultados: Controle incidentes y cree informes.
1
Revise los incidentes de falsos positivos e infracciones de directivas originales.
2
Agrupe los incidentes relacionados en casos que pueden escalarse a otros departamentos, como
asesoramiento jurídico o recursos humanos.
Perfeccione las directivas: Ajuste las directivas según las necesidades. Continúe con la
supervisión de incidentes, analice los resultados y ajuste las directivas en función de los tipos de
infracciones y falsos positivos que encuentre.
McAfee Data Loss Prevention 10.0.100
Guía del producto
29
2
Planificación del despliegue
Planificación de la directiva DLP
El proceso de protección de McAfee DLP
Las funciones y componentes de las directivas de McAfee DLP conforman un proceso de protección que
se ajusta al flujo de trabajo general.
Figura 2-2 El proceso de protección de McAfee DLP
Clasificar
Para proteger el contenido de carácter confidencial, defina y clasifique primero la información
confidencial que se debe proteger.
El contenido se clasifica mediante la definición de clasificaciones y de criterios de clasificación. Los
criterios de clasificación definen las condiciones sobre cómo se han clasificado los datos. Entre los
métodos para definir criterios se incluyen los siguientes:
•
Patrones avanzados: expresiones regulares combinadas con algoritmos de validación, utilizados
para buscar coincidencias de patrones como números de tarjetas de crédito.
•
Diccionarios: listas de palabras o términos concretos, por ejemplo, del ámbito médico para
detectar posibles infracciones de la HIPAA.
•
Tipos de archivos verdaderos: propiedades del documento, información del archivo o la
aplicación que creó el archivo.
•
Ubicación de origen o de destino: direcciones URL, recursos compartidos de red, o la aplicación
o el usuario que creó o recibió el contenido.
McAfee DLP Endpoint admite software de clasificación de terceros. Puede clasificar el correo
electrónico con el clasificador del correo electrónico de Boldon James. Puede clasificar correos
electrónicos u otros archivos con los clientes de clasificación Titus, como Titus Message Classification,
Titus Classification for Desktop y Titus Classification Suite. Para implementar el soporte de Titus, la
SDK de Titus debe estar instalada en los equipos endpoint.
McAfee DLP Prevent admite clasificaciones de Titus. No admite clasificaciones de Boldon James.
30
McAfee Data Loss Prevention 10.0.100
Guía del producto
Planificación del despliegue
Planificación de la directiva DLP
2
Seguimiento
McAfee DLP puede rastrear el contenido en función de la ubicación en la que se almacena o la
aplicación utilizada para crearlo.
McAfee DLP Endpoint para usuarios de Windows también puede crear clasificaciones manuales que se
pueden utilizar para rastrear cualquier archivo. Los mecanismos utilizados para rastrear contenido
son:
•
Identificación por huellas digitales de contenido: compatible con McAfee DLP Endpoint
•
Documentos registrados: compatible con McAfee DLP Endpoint para Windows y McAfee DLP Prevent
•
Clasificaciones manuales: creado solo con McAfee DLP Endpoint para usuarios de Windows, pero se
admite en todos los productos de McAfee DLP
Identificación por huellas digitales de contenido
La identificación por huellas digitales de contenido es una técnica de rastreo de contenido exclusiva de
McAfee DLP Endpoint. El administrador crea un conjunto de criterios de identificación por huellas
digitales de contenido que define la ubicación del archivo o la aplicación utilizada para acceder a este y
la clasificación que aplicar al archivo. El cliente de McAfee DLP Endpoint rastrea cualquier archivo
abierto desde las ubicaciones o aplicaciones definidas en los criterios de identificación por huellas
digitales de contenido y crea firmas por huella digital de esos archivos en tiempo real al acceder a
ellos. A continuación, utiliza las firmas para rastrear los archivos o los fragmentos de estos. Criterios
de identificación por huellas digitales de contenido puede definirse por aplicación, ruta de acceso UNC
(ubicación) o URL (aplicación web).
Compatibilidad con información de huellas digitales persistente
Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o los flujos
alternativos de datos (ADS) de un archivo. Al acceder a estos archivos, el software McAfee DLP
Endpoint rastrea la transformación de los datos y mantiene la clasificación del contenido de carácter
confidencial de forma permanente, con independencia de cómo se utiliza. Si, por ejemplo, un usuario
abre un documento de Word con identificación por huella digital, copia unos párrafos del documento
en un archivo de texto y adjunta dicho archivo a un mensaje de correo electrónico, el mensaje saliente
tendría la misma firma que el documento original.
En el caso de sistemas de archivos que no sean compatibles con EA o ADS, el software McAfee DLP
Endpoint almacena información de firma en el disco en forma de metarchivo. Los metarchivos se
almacenan en una carpeta oculta cuyo nombre es ODB$, que el software cliente McAfee DLP Endpoint
crea automáticamente.
Las firmas y los criterios de identificación por huellas digitales de contenido no son compatibles con
McAfee Device Control.
Documentos registrados
La función de documentos registrados se basa en el análisis previo de todos los archivos de los
repositorios especificados (por ejemplo, el sitio de SharePoint) y en la creación de firmas de
fragmentos de cada archivo en estos repositorios. Estas firmas se distribuyen entonces a todos los
endpoints gestionados. El cliente de McAfee DLP Endpoint puede entonces rastrear cualquier párrafo
copiado desde uno de esos documentos y clasificarlo según la clasificación de la firma del documento
registrado.
McAfee Data Loss Prevention 10.0.100
Guía del producto
31
2
Planificación del despliegue
Planificación de la directiva DLP
Los documentos registrados hacen un amplio uso de memoria lo que podría afectar al rendimiento, ya
que cada documento que el cliente de McAfee DLP Endpoint inspecciona se compara con todas las
firmas de documento registrado para identificar su origen.
Práctica recomendada: Para reducir el número de firmas y los problemas de rendimiento que supone
esta técnica, utilice documentos registrados únicamente para rastrear los documentos más delicados.
Clasificación manual
Los usuarios que realizan clasificaciones manuales tienen la opción de aplicar las huellas digitales o las
clasificaciones de contenido a los archivos. La identificación por huellas digitales de contenido aplicada
manualmente es idéntica a la identificación por huellas digitales aplicada automáticamente descrita
anteriormente. Las clasificaciones de contenido aplicadas manualmente incrustan una etiqueta física
en el archivo que se puede utilizar para rastrear el archivo cada vez que se copie, pero no crean
firmas, por lo que no se puede realizar un seguimiento del contenido de estos archivos que ha sido
copiado en otros archivos.
Proteger
Cree reglas para identificar datos de carácter confidencial y lleve a cabo las acciones adecuadas.
Las reglas se componen de condiciones, excepciones y acciones. Las condiciones incluyen varios
parámetros (por ejemplo, las clasificaciones) para definir los datos o la acción del usuario que
identificar. Las excepciones especifican los parámetros que excluir de la activación de la regla. Las
acciones especifican cómo se comporta la regla cuando se activa, por ejemplo, bloqueando el acceso
del usuario, cifrando un archivo y creando un incidente.
Reglas de protección de datos
McAfee DLP Endpoint, Device Control y McAfee DLP Prevent utilizan reglas de protección de datos para
evitar la distribución no autorizada de datos clasificados. Cuando un usuario intenta copiar o adjuntar
datos clasificados, McAfee DLP intercepta el intento y utiliza las reglas de protección de datos para
determinar qué acción llevar a cabo. Por ejemplo, McAfee DLP Endpoint puede detener el intento y
mostrar un cuadro de diálogo al usuario final. El usuario introduce la justificación del intento y
continúa el procesamiento.
McAfee DLP Prevent utiliza reglas de protección de correo electrónico y la Web para supervisar y
realizar acciones en las comunicaciones procedentes de un servidor MTA o servidor proxy web.
McAfee Device Control solo utiliza reglas de protección de datos de almacenamiento extraíble.
Reglas de control de dispositivos
Las reglas de Device Control supervisan y, en caso necesario, impiden que el sistema cargue
dispositivos físicos como dispositivos de almacenamiento extraíbles, Bluetooth, Wi-Fi y otros
dispositivos Plug and Play. Las reglas de control de dispositivos constan de definiciones de dispositivos
y especificaciones de reacción, y pueden asignarse a grupos de usuarios finales mediante el filtrado de
la regla con definiciones de grupos de usuarios finales.
Reglas de descubrimiento
McAfee DLP Endpoint y McAfee DLP Discover utilizan las reglas de descubrimiento para el análisis de
archivos y datos.
Descubrimiento de Endpoint es un rastreador que se ejecuta en los equipos gestionados. Analiza el
sistema de archivos local del endpoint, la bandeja de entrada (en caché) de correo electrónico local y
los archivos PST. El sistema de archivos local y las reglas de descubrimiento de almacenamiento de
32
McAfee Data Loss Prevention 10.0.100
Guía del producto
Planificación del despliegue
Planificación de la directiva DLP
2
correo electrónico definen si el contenido debe ponerse en cuarentena, marcarse o cifrarse. Estas
también pueden definir si debe informarse de los archivos o correos electrónicos clasificados como un
incidente, y de si deben almacenarse los archivos o correos electrónicos como prueba del incidente.
Los análisis del sistema de archivos no son compatibles en los sistemas operativos del servidor.
McAfee DLP Discover analiza los repositorios y puede mover o copiar archivos, aplicar directivas de
gestión de derechos a los archivos y crear incidentes.
Conjuntos de reglas
Las reglas se organizan en conjuntos de reglas. Un conjunto de reglas puede contener cualquier
combinación de tipos de reglas.
Directivas
Las directivas contienen conjuntos de reglas activos y se implementan desde McAfee ePO al software
cliente de McAfee DLP Endpoint, al servidor de descubrimiento o al appliance de McAfee DLP Prevent.
Las directivas de McAfee DLP Endpoint también contienen información de asignación de directivas y
definiciones.
Supervisar
Revise los incidentes por infracciones de directiva que se hayan producido.
Entre las funciones de supervisión se incluyen las siguientes:
•
Administración de incidentes: Los incidentes se envían al analizador de eventos de McAfee ePO
y se almacenan en una base de datos. Los incidentes contienen los detalles sobre la infracción y
pueden, opcionalmente, incluir información de pruebas. Puede ver los incidentes y pruebas tal y
como se reciben en la consola Administrador de incidentes de DLP.
•
Administración de casos: Agrupe incidentes relacionados en casos para una revisión exhaustiva
en la consola Administración de casos de DLP.
•
Eventos operativos: Consulte errores y eventos administrativos en la consola Operaciones de DLP.
•
Recopilación de pruebas: Si hay reglas configuradas para la recopilación de pruebas, se
guardará una copia de los datos o archivos y se vinculará a un incidente específico. Esta
información ayuda a determinar la gravedad o la exposición del evento. La prueba se cifra
mediante el algoritmo AES antes de que se guarde.
•
Subrayado de coincidencias: Se pueden guardar pruebas resaltando el texto que ha provocado
el incidente. La prueba resaltada se guarda como un archivo HTML cifrado independiente.
•
Informes: McAfee DLP Endpoint puede crear informes, gráficos y tendencias para su visualización
en los paneles de McAfee ePO.
Flujo de trabajo de directiva
Los productos de McAfee DLP utilizan un flujo de trabajo similar para la creación de directivas.
Una directiva está compuesta de reglas, que se agrupan en conjuntos de reglas. Las reglas utilizan
clasificaciones y definiciones para especificar lo que McAfee DLP detecta. Las reacciones de las reglas
determinan la acción que se realizará cuando existen datos que coinciden con una regla.
Utilice el siguiente flujo de trabajo para la creación de directivas.
1
Cree clasificaciones y definiciones.
2
Cree reglas de descubrimiento, dispositivos y protección de datos. Todas las reglas deben incluir
clasificaciones o definiciones.
McAfee Data Loss Prevention 10.0.100
Guía del producto
33
2
Planificación del despliegue
Planificación de la directiva DLP
3
Asignar conjuntos de reglas a las directivas de DLP. Para McAfee DLP Discover, cree definiciones de
análisis.
4
Asigne y despliegue las directivas en el Árbol de sistemas. Para McAfee DLP Discover, aplique
directivas a los servidores de Discover.
Figura 2-3 Cómo conforman una directiva los componentes de las directivas
Las opciones y la disponibilidad de estos componentes puede variar dependiendo de qué McAfee DLP
utilice.
Véase también
Componentes compartidos de las directivas en la página 35
Práctica recomendada: flujo de trabajo de McAfee DLP Discover
Utilice este flujo de trabajo como guía al implementar McAfee DLP Discover, especialmente en
entornos nuevos.
34
1
Ejecute un análisis de inventario para recopilar los metadatos de los archivos de los repositorios de
su organización. Los resultados del análisis le ayudarán a comprender los tipos de archivos que se
encuentran en los repositorios.
2
Configure clasificaciones para detectar información confidencial o sensible. Utilice estas
clasificaciones para definir y ejecutar un análisis de clasificación.
3
Utilice los resultados del análisis de clasificación para ver dónde se encuentra la información
confidencial.
McAfee Data Loss Prevention 10.0.100
Guía del producto
2
Planificación del despliegue
Requisitos del sistema
4
Configure un análisis de corrección para cifrar los archivos confidenciales o para moverlos a un
repositorio más seguro.
5
Continúe ejecutando análisis de forma regular y supervise los resultados de los análisis y las
incidencias generadas. Perfeccione el análisis en función de los resultados o cambios en la directiva
de su organización.
Componentes compartidos de las directivas
Los productos de McAfee DLP comparten muchos componentes de configuración de directivas.
Componente
Definiciones
Device
Control
McAfee DLP
Endpoint
McAfee DLP
Discover
McAfee DLP
Prevent
X
X
X
X
Clasificaciones
X*
X
X
X
Criterios de clasificación de
contenido
X*
X
X
X
X**
X**
Criterios de identificación por
huellas digitales de contenido
X
Clasificaciones manuales
X
Documentos registrados
X
X
Texto en lista blanca
X
X
Reglas y conjuntos de reglas
X
X
X
X
Configuración del cliente
X
X
X
X
X
X
X
X
X
Configuración del servidor
Prueba
X*
Gestión de derechos
* Device Control utiliza clasificaciones, criterios de clasificación de contenido y pruebas únicamente en
las reglas de protección de almacenamiento extraíble.
** McAfee DLP Discover y McAfee DLP Prevent pueden analizar archivos de clasificaciones manuales,
pero no pueden asignarlas.
Requisitos del sistema
Todos los productos de McAfee DLP tienen sus propios requisitos.
Para ver una lista con los requisitos del sistema para los productos de McAfee DLP, consulte las Notas
de la versión de McAfee Data Loss Prevention.
Puertos predeterminados utilizados por McAfee DLP
McAfee DLP utiliza varios puertos para las comunicaciones de la red. Configure cualquier firewall
intermediario o dispositivos de implementación de directivas para permitir esos puertos donde sea
necesario.
Todos los protocolos que aparecen en la lista utilizan solo TCP, a menos que se indique lo contrario.
Para obtener más información acerca de los puertos que se comunican con McAfee ePO, consulte el
artículo KB66797.
McAfee Data Loss Prevention 10.0.100
Guía del producto
35
2
Planificación del despliegue
Puertos predeterminados utilizados por McAfee DLP
Tabla 2-1 Puertos predeterminados de McAfee DLP Discover
Puerto, protocolo
Utilizar
• 137, 138, 139: NetBIOS
Análisis CIFS
• 445: SMB
Análisis de Box y SharePoint
• 80: HTTP
Los servidores de SharePoint pueden
estar configurados para utilizar
puertos SSL o HTTP no estándar. Si lo
necesita, configure los firewall para
permitir los puertos no estándar.
• 443: SSL
53: DNS (UDP)
Consultas DNS
• 1801: TCP
Microsoft Message Queuing (MSMQ)
• 135, 2101*, 2103*, 2105: RPC
• 1801, 3527: UDP
* Indica que los números de puerto pueden aumentar en 11
dependiendo de los puertos disponibles en la inicialización.
Para obtener más información, consulte el artículo de
Microsoft Knowledge Base https://support.microsoft.com/
en-us/kb/178517#/en-us/kb/178517.
Tabla 2-2 Puertos predeterminados de McAfee DLP Prevent
Puerto
Utilizar
22: SSH
SSH (cuando está activado)
25: SMTP
Tráfico SMTP con el MTA
161: SNMP
SNMP (cuando está activado)
1344: ICAP
Tráfico ICAP con el proxy web
8081: ePO
Servicio de agente de ePO
10443: HTTPS
Tráfico HTTPS para descargar, por ejemplo, el informe de escalación mínima (MER) y
los archivos MIB
11344: ICAP
ICAP a través de SSL
53: DNS (UDP) Consultas DNS
123: NTP
36
Solicitudes NTP
McAfee Data Loss Prevention 10.0.100
Guía del producto
Planificación del despliegue
Lista de comprobación de despliegue
2
Lista de comprobación de despliegue
Antes de instalar productos de McAfee DLP, compruebe que dispone de la información necesaria para
un correcto despliegue.
Tabla 2-3 Consideraciones sobre McAfee DLP Endpoint y Device Control
Determinar
Consideración
Impacto en el trabajo
Pruebe las nuevas instalaciones o actualizaciones en una subred de la red
de producción. Establezca nuevas reglas para Sin acción y supervise los
resultados en el Administrador de incidentes de DLP para medir el impacto.
Ajuste los parámetros de las reglas para que coincidan con los requisitos
antes de la implementación en la red de producción.
En organizaciones grandes, el despliegue a gran escala suele hacerse en
fases para minimizar el impacto y dejar tiempo para la resolución de
problemas.
Tipo de despliegue
(físico o virtual)
Los despliegues virtuales tienen limitaciones adicionales. Consulte la Sizing
Guide (guía de dimensionamiento) correspondiente para obtener más
información.
Tabla 2-4 Consideraciones sobre McAfee DLP Discover
Determinar
Consideración
Servidores de Discover
Determine el número y los servidores de Windows para instalar el
software de servidor de McAfee DLP Discover.
Método de instalación del
servidor
Determine si va a instalar el software de McAfee DLP Discover a través
de McAfee ePO o de forma manual.
Repositorios
Cree una lista de los repositorios que se van a analizar. Recopile las
rutas y las credenciales para estos repositorios y compruebe que estos
tipos de repositorios son compatibles con McAfee DLP Discover.
McAfee Data Loss Prevention 10.0.100
Guía del producto
37
2
Planificación del despliegue
Lista de comprobación de despliegue
Tabla 2-5 Consideraciones sobre McAfee DLP Prevent
Determinar
Consideración
Seguridad
Al preparar el entorno, tenga en cuenta estos aspectos:
• Utilice la administración fuera de banda de una red a la que McAfee ePO pueda
tener acceso para aislar la administración y el tráfico de red.
• El tráfico de LAN1 no debe ser accesible desde fuera de su organización.
• Conecte cualquier interfaz de Baseboard Management Controller, controlador
de administración de placa base, (BMC) a una red de administración segura
específica.
• Controle quién puede acceder a la consola del appliance físico o virtual.
Información de
red
Al preparar el entorno de red, tenga en cuenta estos aspectos:
• Interfaces de red: Compruebe que son direcciones IP estáticas en lugar de
direcciones IP dinámicas.
• Dirección IP para el tráfico de cliente: El nombre de dominio completo (nombre
del host.nombre de dominio) debe llevar a esta dirección IP cuando se
consulta el servidor DNS.
La dirección IP debe llevar al FQDN en una búsqueda inversa.
• Cuenta de inicio de sesión: El appliance tiene una cuenta de inicio de sesión de
administrador local para el registro en el shell de la máquina virtual. Para que
la cuenta sea segura, debe cambiar la contraseña predeterminada.
• (Opcional) Dirección IP de la interfaz de administración: Puede utilizar la
interfaz fuera de banda (OOB) para el tráfico de administración. De lo
contrario, el tráfico de administración y de cliente utiliza la interfaz de LAN1.
Módulo de
administración
remota (RMM)
38
(Solo para appliances de hardware) Si tiene intención de utilizar el RMM para la
administración de appliances, utilice una red segura o cerrada para conectarse al
RMM.
McAfee Data Loss Prevention 10.0.100
Guía del producto
3
Instale McAfee DLP
Instale las extensiones y paquetes que necesite para sus productos y realice cualquier configuración
inicial.
Todos los productos de McAfee DLP utilizan la extensión de McAfee DLP para McAfee ePO. Instálela
como su punto inicial.
Contenido
Descargar archivos de instalación y de las extensiones de productos
Instale y añada la licencia a la extensión de McAfee DLP.
Instale McAfee DLP Endpoint y el software cliente Device Control.
Instale el paquete del servidor de McAfee DLP Discover
Instale McAfee DLP Prevent
Realización de las tareas posteriores a la instalación
Descargar archivos de instalación y de las extensiones de
productos
Descargue los archivos de la instalación.
Antes de empezar
Busque el número de concesión que recibió al adquirir el producto.
También puede utilizar el Administrador de software de McAfee ePO (Menú | Software | Administrador de
software) para ver, descargar e instalar el software.
Procedimiento
1
En un navegador web, vaya a www.mcafee.com/us/downloads/downloads.aspx.
2
Introduzca su número de concesión y, a continuación, seleccione el producto y la versión.
3
En la ficha Descargas de software, seleccione y guarde el archivo que corresponda.
Producto
Descripción del
archivo
Nombre del archivo
Todos los
productos
Extensión de McAfee
Data Loss Prevention
DLP_Mgmt_version_Package.zip
McAfee DLP
Endpoint,
Device Control
Software cliente
• Device Control:
HDLP_Agent_Device_Control_version_x.zip
• Microsoft Windows: HDLP_Agent_version_x.zip
• Mac OS X: DLPAgentInstaller.zip
McAfee Data Loss Prevention 10.0.100
Guía del producto
39
3
Instale McAfee DLP
Instale y añada la licencia a la extensión de McAfee DLP.
Producto
Descripción del
archivo
Nombre del archivo
McAfee DLP
Discover
Paquete de servidor
McAfeeDLPDiscoverversionLicensed.zip
McAfee DLP
Prevent
Extensión de McAfee
DLP Prevent
dlp-prevent-server-package-version-extensions.zip
Extensión AME
appliance-management-package-version-extensions.zip
Extensión de Common commonui-core-package-version-extensions.zip
UI
Imagen de instalación • Appliance virtual: McAfee-PS-version.ps.hw8.hdd.ova
de McAfee DLP
• Appliance de hardware: McAfee-PS-version.iso
Prevent
McAfee DLP
Prevent for
Mobile Email
Ninguno (parte de la
extensión de McAfee
Data Loss
Prevention). La
activación del
componente de
McAfee DLP Prevent
for Mobile Email
requiere una licencia
de McAfee DLP
Prevent.
N/D
Instale y añada la licencia a la extensión de McAfee DLP.
La extensión proporciona la interfaz de usuario para configurar McAfee DLP en McAfee ePO.
Antes de empezar
Compruebe que el nombre del servidor de McAfee ePO aparece en la lista Sitios de
confianza en la configuración de seguridad de Internet Explorer.
Procedimientos
•
Instalar la extensión con el Administrador de software en la página 40
Puede utilizar el Administrador de software para instalar, actualizar y eliminar extensiones.
•
Instalar la extensión de forma manual en la página 41
Instale la extensión con la página de Extensiones.
•
Activar la licencia de McAfee DLP en la página 41
Proporcione la licencia para tener acceso a las consolas de McAfee DLP.
•
Aplicación de compatibilidad con versiones anteriores en la página 43
Las directivas compatibles con versiones anteriores permiten utilizar la nueva extensión con
versiones anteriores del cliente, lo que proporciona a las grandes empresas una ruta de
ampliación ordenada.
•
Conversión de directivas y migración de datos en la página 45
Ampliar a McAfee DLP 10.0 desde versiones anteriores a 9.4.100 requiere la migración o
conversión de los incidentes, los eventos operativos o las directivas. Las tareas servidor de
McAfee ePO se utilizan para la conversión/migración.
Instalar la extensión con el Administrador de software
Puede utilizar el Administrador de software para instalar, actualizar y eliminar extensiones.
40
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP
Instale y añada la licencia a la extensión de McAfee DLP.
3
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Software | Administrador de software.
2
En el panel izquierdo, expanda Software (por etiqueta) y seleccione Data Loss Prevention.
3
Seleccione su producto de McAfee DLP.
Si va a instalar McAfee DLP Prevent como uno de sus productos, seleccione la entrada para McAfee
DLP Prevent, que instala todas las extensiones necesarias:
•
McAfee DLP
•
Common UI
•
Extensión de administración de appliances
•
McAfee DLP Prevent
4
Para todo el software disponible, haga clic en Incorporar.
5
Seleccione la casilla de verificación para aceptar el acuerdo de y, a continuación, haga clic en
Aceptar.
Se instalará la extensión. Aparecerán las extensiones incorporadas en la lista de Software incorporado. A
medida que se publican nuevas versiones del software, puede utilizar la opción Actualizar para actualizar
las extensiones.
Instalar la extensión de forma manual
Instale la extensión con la página de Extensiones.
Antes de empezar
Descargue la extensión de McAfee DLP del sitio web de descargas de McAfee.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Software | Extensionesy, a continuación, haga clic en Instalar extensión.
2
Vaya al archivo con extensión .zip y haga clic en Aceptar.
El cuadro de diálogo de instalación muestra los parámetros de archivo para verificar que está
instalando la extensión correcta.
3
Haga clic en Aceptar para instalar la extensión.
Activar la licencia de McAfee DLP
Proporcione la licencia para tener acceso a las consolas de McAfee DLP.
Debe introducir al menos una clave de licencia (más de una si dispone de varios productos de McAfee
DLP). Las licencias introducidas determinan las opciones de configuración de McAfee ePO disponibles.
Puede introducir una licencia tanto para McAfee DLP Endpoint como para Device Control en el campo
McAfee DLP Endpoint. Si se reemplaza un tipo de licencia por otro, cambia la configuración.
McAfee Data Loss Prevention 10.0.100
Guía del producto
41
3
Instale McAfee DLP
Instale y añada la licencia a la extensión de McAfee DLP.
Puede introducir las claves de estos productos:
•
McAfee DLP Endpoint o Device Control
•
McAfee DLP Discover
•
McAfee DLP Prevent (especificado en el campo McAfee Network DLP)
Esta licencia también activa el servidor de McAfee DLP de software para dispositivos móviles.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Instale licencias y componentes en Configuración de DLP para personalizar la instalación.
El módulo Configuración de DLP tiene tres páginas con fichas. En la ficha General, se requiere
información. Puede utilizar los valores predeterminados para el resto de opciones de configuración
si no tiene requisitos especiales.
a
Seleccione Menú | Protección de datos | Configuración de DLP.
b
Para cada licencia que desee agregar, en el campo Claves de licencia | Clave, introduzca la licencia y
luego haga clic en Agregar.
La instalación de la licencia activa los componentes relacionados de McAfee ePO y las directivas
del catálogo de directivas de McAfee ePO.
c
En el campo Almacenamiento de pruebas predeterminado, introduzca la ruta.
La ruta de almacenamiento de pruebas debe ser una ruta de red, es decir, \\[servidor]\[recurso
compartido]. Este paso es necesario para guardar la configuración y activar el software.
d
Establezca la contraseña compartida.
Práctica recomendada: Si desea mejorar la seguridad, cambie la contraseña.
e
Establezca la compatibilidad con versiones anteriores.
Para disfrutar de compatibilidad con antiguos clientes, seleccione la compatibilidad con 9.4.0.0 o
9.4.200.0. Este ajuste limita la posibilidad de utilizar nuevas funciones.
Existen dos modos de compatibilidad disponibles: el estricto y el no estricto. En el modo
estricto, no se puede aplicar una directiva con errores de compatibilidad con versiones
anteriores. En el modo no estricto, el propietario de la directiva (o un usuario con permisos de
administrador) puede optar por aplicar una directiva con errores de compatibilidad con
versiones anteriores.
La compatibilidad con versiones anteriores se aplica a las directivas de McAfee DLP Endpoint y
McAfee DLP Discover. No se aplica a las directivas de McAfee DLP Prevent.
2
(Opcional) En la ficha Avanzada, edite las opciones de configuración.
Las demás opciones tienen valores predeterminados. Puede aceptar los valores predeterminados y
guardar la página, o bien editarlos según sea necesario.
a
Establezca la longitud de la clave desafío/respuesta.
Las opciones son claves de 8 y 16 caracteres.
b
Establezca los permisos del Árbol de sistemas.
Con el permiso de acceso al Árbol de sistemas se puede filtrar información de incidentes,
eventos, consultas y paneles.
42
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP
Instale y añada la licencia a la extensión de McAfee DLP.
c
Seleccione la opción de visualización del producto en eventos de Administración de incidentes.
d
Seleccione las opciones de correo electrónico de Administración de casos.
e
Establezca la zona horaria personalizada de los eventos.
3
Con ella, los administradores pueden ordenar los eventos según su zona horaria local. Este valor
es la diferencia de la zona horaria con respecto a la hora UTC.
f
Establezca el estado predeterminado de las reglas del Administrador de directivas.
De forma predeterminada, el Administrador de directivas puede crear reglas que estén
activadas o desactivadas y notificar incidentes con y sin almacenamiento de pruebas. Si activa
la opción de generación de informes, todas las reglas supervisarán de forma predeterminada y
solo tendrá que definir la reacción de las reglas cuando desee omitir el valor predeterminado.
Esta configuración predeterminada se aplica a todas las reglas (para McAfee DLP Endpoint,
McAfee DLP Discover o McAfee DLP Prevent).
3
Haga clic en Guardar.
4
Para crear una copia de seguridad de la configuración, seleccione la ficha Crear una copia de seguridad y
restaurar y, a continuación, haga clic en Copia de seguridad en archivo.
Los módulos de McAfee DLP aparecen en Menú | Protección de datos según la licencia.
Véase también
Configuración del cliente en la página 61
Configurar ajustes del servidor en la página 64
Aplicación de compatibilidad con versiones anteriores
Las directivas compatibles con versiones anteriores permiten utilizar la nueva extensión con versiones
anteriores del cliente, lo que proporciona a las grandes empresas una ruta de ampliación ordenada.
La compatibilidad con versiones anteriores está disponible para las directivas de McAfee DLP 10.0.0,
9.4.0 y 9.4.200. Las opciones aparecen en la página Configuración de DLP (Menú | Protección de datos |
Configuración de DLP). La compatibilidad con versiones anteriores no está disponible para las directivas de
McAfee DLP 9.3. Las directivas de versiones anteriores a la 9.4.0 se deben migrar al esquema 9.4.
Cuando se trabaja en un modo compatible con versiones anteriores, la extensión de McAfee DLP no
transfiere las directivas a los endpoints si contienen condiciones que pueden causar que las versiones
de cliente anteriores interpreten incorrectamente la directiva. Más del 90% de las directivas de la
versión 10.0.100 son funciones obsoletas o funciones que los clientes de la versión 9.4 pueden ignorar
sin que se produzca ningún problema. La compatibilidad con versiones anteriores evita que se aplique
el <10% restante de las directivas. Si bien esto resulta muy útil en redes con clientes anteriores de
McAfee DLP Endpoint, también conlleva que algunas funciones nuevas no estén disponibles para
cualquier endpoint, incluso para aquellos con la última versión de cliente.
McAfee Data Loss Prevention 10.0.100
Guía del producto
43
3
Instale McAfee DLP
Instale y añada la licencia a la extensión de McAfee DLP.
Modo de
compatibilidad
Elementos no admitidos (elementos que producen errores)
9.4.0
• Una clasificación contiene una definición de patrón avanzado para el número
Luhn10 con Bin.
• Una clasificación contiene una definición de patrón avanzado para el número
de identificación personal de Croacia.
• Una directiva utiliza el validador de contraseñas para definir la longitud y el
formato de las contraseñas válidas.
• Una regla de protección de acceso a los archivos de la aplicación utiliza la
opción de versión de Google Chrome no compatible.
• Una regla de protección de correo electrónico utiliza una definición de sobre
de correo electrónico firmado digitalmente, cifrado S/MIME o cifrado PGP.
9.4.200
• Una clasificación contiene una definición de patrón avanzado del número de
identificación de Japón.
• Una clasificación contiene una definición de patrón avanzado del número de
tarjeta Medicare de Australia.
10.0
• No se ha seleccionado ninguna reacción.
• Se ha utilizado una justificación empresarial con una acción no admitida.
• Una regla de McAfee DLP Discover contiene una definición de Box.
La tabla es acumulativa, es decir, para la compatibilidad con la versión 9.4.0, cualquiera de los
elementos de la tabla causa un error. Para la compatibilidad con la versión 9.4.200, los errores se deben
a los elementos de las dos últimas filas. Para la compatibilidad con la versión 10.0, solo la última fila es
relevante.
La compatibilidad con versiones anteriores se puede aplicar mediante dos modos:
•
Modo no estricto: Los errores de compatibilidad de la directiva muestran una advertencia. Un
administrador que tenga permisos de administración de la directiva puede aplicar la directiva.
•
Modo estricto: Las directivas con errores no se pueden aplicar a la base de datos de McAfee ePO.
Cuando se aplica una directiva con errores de compatibilidad con versiones anteriores a la base de
datos, los errores se muestran en la Directiva de DLP--> página de Validación de directivas. La
columna Detalles de la página incluye una descripción de lo que puede ocurrir si aplica la regla a los
clientes de endpoint que no admiten esta función.
McAfee DLP Prevent puede utilizar las directivas con advertencias creadas en modo no estricto.
Cuando se aplica la compatibilidad con versiones anteriores en modo estricto, las directivas con
errores no se pueden aplicar a la base de datos de McAfee ePO y, por tanto, no son detectados por
McAfee DLP Prevent.
Ejemplo: Descripciones de dispositivos
Las definiciones de los dispositivos en las versiones 9.4.200 y 10.0 de McAfee DLP pueden
incluir un parámetro opcional llamado Descripción del dispositivo no disponible en
versiones anteriores. Utilizar una descripción del dispositivo para definir una definición de
dispositivos e incluir dicha definición en una regla de Device Control crea un conjunto de
reglas que no se puede aplicar a clientes con la versión 9.4.0. Si acepta la directiva a pesar
de la advertencia, aparece el error en la página Validación de directivas. El campo Detalles
explica el error "hará coincidir y realizará reacciones para dispositivos que no deseaba
hacer coincidir...". Puede hacer clic en Editar para reparar el error.
44
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP
Instale y añada la licencia a la extensión de McAfee DLP.
3
Conversión de directivas y migración de datos
Ampliar a McAfee DLP 10.0 desde versiones anteriores a 9.4.100 requiere la migración o conversión de
los incidentes, los eventos operativos o las directivas. Las tareas servidor de McAfee ePO se utilizan
para la conversión/migración.
Antes de empezar
Esta tarea describe la ampliación desde McAfee DLP Endpoint 9.3.x.
Puede ampliar desde McAfee DLP Endpoint 9.4.0 directamente. Puede definir la
compatibilidad con versiones anteriores para dar soporte a clientes de 9.4.0, pero debe
ejecutar la tarea servidor Conversión de eventos de incidentes de DLP de la versión 9.4 a la 9.4.1 y superiores
si desea mostrar incidentes y eventos operativos antiguos en la versión 10.0 de las
consolas Administrador de incidentes de DLP y Operaciones de DLP.
Amplíe la extensión de McAfee DLP Endpoint a la versión 9.3.600 (9.3 parche 6) o posterior
y, después, instale McAfee DLP 9.4.100 o una extensión posterior en McAfee ePO.
La tarea de conversión de directivas solo convierte las reglas que están activadas y
aplicadas a la base de datos. Para comprobar el estado de las reglas que desea convertir,
revise su directiva de McAfee DLP Endpoint 9.3 antes de la conversión.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Automatización | Tareas servidor.
2
Seleccione Conversión de directivas de DLP y, a continuación, haga clic en Acciones | Ejecutar.
Se abre la página Registro de tareas servidor y le permite verificar que la tarea se está ejecutando.
La directiva convertida es compatible con la versión 9.4.100 y con directivas posteriores.
La tarea falla si se ha ejecutado con anterioridad. Si hace cambios en la directiva McAfee DLP 9.3 y
desea volver a ejecutar la conversión, edite la tarea servidor eliminando la selección de la opción No
ejecutar la conversión de directivas si existe el 'Conjunto de reglas de conversión de directivas [9.3]' en la página Acciones.
El conjunto de reglas anterior se borra y sustituye.
3
Vuelva a la página Tareas servidor, seleccione Migración de incidentes de DLP y, a continuación, haga clic en
Acciones | Editar.
La opción Migración de eventos operativos de DLP se lleva a cabo de la misma forma.
4
Seleccione Estado de planificación | Activado y, a continuación, Siguiente dos veces.
La migración está preprogramada, de modo que puede omitir la página Acciones.
McAfee Data Loss Prevention 10.0.100
Guía del producto
45
3
Instale McAfee DLP
Instale McAfee DLP Endpoint y el software cliente Device Control.
5
Seleccione un tipo de planificación y la repetición de esta.
Práctica recomendada: Planificar las tareas de migración para que se realicen los fines de semana
o en horario no laborable debido a la carga que suponen para el procesador.
a
Establezca la fecha de inicio y fecha de fin para definir un período de tiempo y programar la
tarea para cada hora.
b
Planifique la repetición de la tarea según el tamaño de la base de datos de incidentes que vaya
a migrar.
Los incidentes se migran en grupos de 200 000.
6
Haga clic en Siguiente para revisar la configuración; a continuación, haga clic en Guardar.
Instale McAfee DLP Endpoint y el software cliente Device
Control.
Use McAfee ePO para desplegar el software cliente en equipos endpoint.
Para llevar a cabo una instalación limpia del software cliente 10.0 de McAfee DLP Endpoint, no es
necesario volver a iniciar el equipo endpoint. Sin embargo, si amplía el software desde una versión
anterior, se debe reiniciar el equipo endpoint tras la instalación.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Software | Repositorio principal.
2
En el repositorio principal, haga clic en Incorporar paquete.
3
Seleccione el tipo de paquete Producto o actualización (.ZIP). Haga clic en Examinar.
En el caso de cliente de Microsoft Windows, vaya a ...\HDLP_Agent_10_0_0_xxx.zip. En el caso de
cliente de Mac, vaya a ...\DlpAgentInstaller.zip.
4
Haga clic en Siguiente.
5
Revise los detalles en la pantalla Incorporar paquete y, a continuación, haga clic en Guardar.
El paquete se agrega al repositorio principal.
Instale el paquete del servidor de McAfee DLP Discover
El paquete de servidor se despliega en los servidores de descubrimiento e instala McAfee DLP Discover
y los componentes necesarios, como los archivos redistribuibles .NET, postgreSQL, AD RMS client 2.1 y
C++.
46
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP
Instale el paquete del servidor de McAfee DLP Discover
3
Procedimientos
•
Instale o amplíe el paquete del servidor con McAfee ePO. en la página 48
Se recomienda utilizar McAfee ePO para instalar el paquete del servidor.
•
Instale o amplíe el paquete del servidor manualmente en la página 48
Si no puede instalar el paquete del servidor a través de McAfee ePO por problemas como la
conectividad de la red, puede instalar manualmente McAfee DLP Discover en el servidor de
descubrimiento.
•
Verificación de la instalación en la página 49
Asegúrese de que McAfee DLP Discover se ha instalado correctamente y se ha establecido
comunicación con McAfee ePO.
Consideraciones de la ampliación de McAfee DLP Discover
Los pasos para ampliar McAfee DLP Discover son prácticamente idénticos a los necesarios para instalar
la extensión y el paquete del servidor.
1
Amplíe la extensión al instalarla sobre la versión ya existente.
2
Amplíe el servidor Discover mediante una de estas opciones.
•
Utilice McAfee ePO para desplegar el paquete del servidor.
•
Instale el paquete manualmente en el servidor.
3
Cuando amplíe desde la versión 9.4.0, vuelva a aplicar la directiva debido a los cambios en la
configuración de directivas.
4
Si planea utilizar funciones nuevas de la versión 10.x, por ejemplo, los análisis de Box, debe
seleccionar la opción de compatibilidad adecuada.
En McAfee ePO, seleccione Menú | Protección de datos | Configuración de DLP y, a continuación, en
Compatibilidad con versiones anteriores, seleccione 10.0.0.0 y versiones posteriores.
Debe ampliar la extensión en McAfee ePO antes de hacerlo con el servidor Discover. McAfee DLP
Discover admite el uso de una extensión de versión posterior para administrar un servidor con una
versión anterior. No puede gestionar un servidor de versión posterior haciendo uso de una extensión de
versión anterior.
No tiene que volver a agregar la licencia del software ni introducir de nuevo la ruta del servidor de
prueba. Es posible que necesite reiniciar el servidor de descubrimiento si no se activa MSMQ tras la
ampliación o si no se eliminan las claves de registro o las carpetas de programas de datos antiguas.
Si tiene que reiniciar el servidor, McAfee DLP Discover genera un evento operativo.
•
Si ha instalado el paquete de servidor manualmente, el servidor le solicitará que reinicie.
•
Si ha utilizado McAfee ePO, el mensaje puede mostrarse según los parámetros de configuración de
McAfee Agent.
En algunos casos, es posible que no se active MSMQ incluso después de reiniciar, por lo que el servidor
de descubrimiento enviará un evento operativo. Si sucede esto, tendrá que activar MSMQ manualmente
y poner en marcha el servidor Discover.
Para obtener más información sobre las rutas de ampliación compatibles, consulte las Notas de la
versión de McAfee Data Loss Prevention Discover.
No instale el software sobre una instalación ya existente de la misma versión.
McAfee Data Loss Prevention 10.0.100
Guía del producto
47
3
Instale McAfee DLP
Instale el paquete del servidor de McAfee DLP Discover
Instale o amplíe el paquete del servidor con McAfee ePO.
Se recomienda utilizar McAfee ePO para instalar el paquete del servidor.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
3
4
Incorpore el paquete del servidor.
a
En McAfee ePO, seleccione Menú | Software | Repositorio principal.
b
Haga clic en Incorporar paquete.
c
Vaya al archivo .zip del paquete del servidor y haga clic en Siguiente.
d
Haga clic en Guardar.
Cree una tarea cliente.
a
Seleccione Menú | Árbol de sistemas.
b
Seleccione el servidor de descubrimiento y, después, seleccione Acciones | Agente | Modificar tareas en
un solo sistema.
c
Seleccione Acciones | Nueva asignación de tarea cliente.
Configure la asignación de tarea.
a
En el área Producto, seleccione McAfee Agent.
b
En el área Tipo de tarea, seleccione Despliegue de productos.
c
En el área Nombre de tarea, haga clic en Crear nueva tarea.
Configure la tarea.
a
En el área Plataformas de destino, seleccione Windows.
b
En el menú de Productos y componentes, seleccione McAfee Discover Server.
c
En el menú Acción, seleccione Instalar.
d
Haga clic en Guardar.
5
Seleccione el nombre de la nueva tarea y, a continuación, haga clic en Siguiente.
6
Configure cuándo ejecutar la tarea y después haga clic en Siguiente.
7
Haga clic en Guardar.
Instale o amplíe el paquete del servidor manualmente
Si no puede instalar el paquete del servidor a través de McAfee ePO por problemas como la
conectividad de la red, puede instalar manualmente McAfee DLP Discover en el servidor de
descubrimiento.
Procedimiento
48
1
Descargue o transfiera el archivo DiscoverServerInstallx64.exe al servidor de descubrimiento.
2
Haga doble clic en el archivo y siga las instrucciones que aparecen en la pantalla.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP
Instale el paquete del servidor de McAfee DLP Discover
3
Verificación de la instalación
Asegúrese de que McAfee DLP Discover se ha instalado correctamente y se ha establecido
comunicación con McAfee ePO.
En caso de que se produzca un fallo en la instalación, McAfee DLP Discover genera un evento operativo.
Para ver los eventos, seleccione Menú | Protección de datos | Operaciones de DLP.
Procedimiento
1
Si no se activa MSMQ tras la instalación o si no se eliminan las claves de registro o las carpetas de
programas de datos antiguas, debe reiniciar el servidor de descubrimiento.
Si tiene que reiniciar el servidor, McAfee DLP Discover genera un evento operativo.
•
Si ha instalado el paquete de servidor manualmente, se le solicitará reiniciar el servidor.
•
Si ha utilizado McAfee ePO, el mensaje puede mostrarse según los parámetros de configuración
de McAfee Agent.
En algunos casos, es posible que no se active MSMQ incluso después de reiniciar, por lo que el
servidor de descubrimiento enviará un evento operativo. Si sucede esto, tendrá que activar MSMQ
manualmente y poner en marcha el servidor Discover.
Para obtener más información acerca de cómo habilitar MSMQ, consulte el artículo KB87274.
2
3
En el sistema operativo del servidor, compruebe que los procesos y servicios de McAfee DLP
Discover se encuentran en funcionamiento:
•
McAfee Discover Service
•
Servicio de Postgres del servidor de McAfee Discover
Active los agentes de McAfee ePO o recopile y envíe las propiedades desde el servidor de
descubrimiento.
•
En McAfee ePO, seleccione Menú | Árbol de sistemas, elija el servidor y haga clic en Activar agentes.
•
En la bandeja del sistema del servidor de descubrimiento, haga clic en el icono de McAfee,
seleccione Monitor de estado de McAfee Agent y haga clic en Recopilar y enviar propiedades.
La columna Estado muestra Implementando directivas para DISCOVERxxxx.
4
Asegúrese de que se detecta el servidor de descubrimiento.
a
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
b
Haga clic en la ficha Servidores de descubrimiento.
Aparecerá una lista de los servidores detectados.
Si el servidor no figura, seleccione Acciones | Detectar servidores. Esta tarea se ejecuta cada 10
minutos de forma predeterminada.
5
Práctica recomendada: Cambie el intervalo de comunicación agente-servidor de McAfee Agent
para garantizar que los datos analíticos están actualizados.
a
Seleccione Menú | Directiva | Catálogo de directivas.
b
En la lista desplegable Producto, seleccione McAfee Agent.
McAfee Data Loss Prevention 10.0.100
Guía del producto
49
3
Instale McAfee DLP
Instale McAfee DLP Prevent
c
En la columna Categoría, localice la directiva predeterminada que figura como General y ábrala.
d
En la ficha General, en el área Puerto de comunicación agente-servidor, cambie el intervalo a 5.
Para desinstalar el servidor de descubrimiento, vaya a Panel de control | Programas y características del servidor
Windows.
Instale McAfee DLP Prevent
Instale el appliance y regístrelo con McAfee ePO.
Procedimientos
•
Instalación de las extensiones en la página 50
Si ha instalado manualmente la extensión de McAfee DLP en lugar de utilizar el
Administrador de software, también debe instalar las extensiones necesarias para McAfee
DLP Prevent.
•
Configuración de la información de red en la página 51
Configure el servidor DNS, el servidor NTP y el Host inteligente en McAfee ePO.
•
Instalación del software en un appliance virtual en la página 51
Utilice el archivo OVA para instalar el software en su entorno virtual.
•
Instalación del software en un appliance de hardware en la página 52
Instale McAfee DLP Prevent en un appliance modelo 4400 o 5500.
•
Ejecutar el Asistente de instalación y registrarse con McAfee ePO en la página 54
Utilice el Asistente de instalación para configurar las opciones de red y registre el appliance
con McAfee ePO.
•
Instalar el paquete del servidor de McAfee DLP Prevent for Mobile Email en la página 55
Instalación de las extensiones
Si ha instalado manualmente la extensión de McAfee DLP en lugar de utilizar el Administrador de
software, también debe instalar las extensiones necesarias para McAfee DLP Prevent.
Antes de empezar
•
Descargue las extensiones.
•
Instale la extensión de McAfee DLP.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
50
1
En McAfee ePO, seleccione Menú | Software | Extensionesy, a continuación, haga clic en Instalar extensión.
2
Siga estos pasos para cada una de las extensiones. Instale las extensiones en este orden:
•
Paquete de Common UI
•
Extensión de administración de appliances
•
McAfee DLP Prevent
a
Busque el archivo con extensión .zip.
b
Haga clic dos veces en Aceptar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP
Instale McAfee DLP Prevent
3
Configuración de la información de red
Configure el servidor DNS, el servidor NTP y el Host inteligente en McAfee ePO.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.
2
En la lista desplegable Producto, seleccione Ajustes generales de administración de appliances.
3
Seleccione la directiva My Default.
4
Agregue el servidor DNS y el servidor NTP y, a continuación, haga clic en Guardar.
5
En la lista desplegable Producto, seleccione Servidor de DLP Prevent.
6
Seleccione la directiva My Default para la Configuración de correo electrónico.
7
Introduzca la dirección IP del Host inteligente y, a continuación, haga clic en Guardar.
Instalación del software en un appliance virtual
Utilice el archivo OVA para instalar el software en su entorno virtual.
Procedimiento
1
Inicie VMware vSphere Client e inicie sesión en VMware vCenter Server.
2
Haga clic en Actions | Deploy OVF Template (Acciones | Desplegar plantilla OVF).
Aparecerá el cuadro de diálogo Deploy OVF Template (Desplegar plantilla OVF).
3
Seleccione Local file | Browse (Archivo local | Examinar) y abra el archivo OVA que ha descargado del
sitio web de descargas de McAfee.
4
Siga las instrucciones que aparecen en pantalla y haga clic en Next (Siguiente) para avanzar en la
instalación.
a
Valide el paquete y seleccione Accept extra configuration options (Aceptar opciones de configuración
adicionales).
b
Introduzca un nombre para el appliance y, a continuación, especifique el centro de datos y la
carpeta en la que desplegarlo.
c
Seleccione el clúster y un grupo de recursos opcional.
d
Seleccione el almacén de datos para el appliance.
Práctica recomendada: Seleccione la opción Thick Provision Lazy Zeroed (Aprovisionamiento pesado
sin puesta a cero diferido) como formato del disco virtual. El rendimiento inicial podría verse
afectado junto con otras opciones. La opción Thick Eager (Pesado con puesta a cero) puede llevar
algún tiempo en finalizar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
51
3
Instale McAfee DLP
Instale McAfee DLP Prevent
e
Seleccione las redes virtuales. De forma predeterminada, se configuran estas direcciones IP:
•
LAN_1: 10.1.1.108/24
Utilice la red LAN_1 para el tráfico SMTP o ICAP. También se puede utilizar para el tráfico de
administración.
•
OOB: 10.1.3.108/24
(Opcional) Utilice la red fuera de banda (OOB) para el tráfico de administración, incluida la
comunicación con McAfee ePO.
Si la red utiliza DHCP, se utilizará en su lugar la primera dirección IP que el servidor DHCP asigna
al appliance. Puede configurar la dirección IP de forma manual con el asistente de instalación. El
appliance no admite el uso de una configuración de DHCP continua.
La gateway predeterminada del appliance utiliza la red LAN1. Configure cualquier enrutamiento
necesario en la interfaz OOB mediante rutas estáticas.
f
5
Revise el resumen.
Haga clic en Finish (Finalizar).
Utilice la información de Recent Tasks (Tareas recientes) para comprobar si se crea la máquina virtual.
6
Vaya a la máquina virtual y enciéndala.
Instalación del software en un appliance de hardware
Instale McAfee DLP Prevent en un appliance modelo 4400 o 5500.
Procedimientos
•
Conexión del appliance en la página 52
Prepare el appliance para la instalación.
•
Instalar una nueva imagen en los appliances de hardware en la página 53
Instalar McAfee DLP Prevent en el appliance.
Conexión del appliance
Prepare el appliance para la instalación.
De forma predeterminada, se configura cada appliance con estas direcciones IP:
•
LAN1: 10.1.1.108/24
Utilice la red LAN1 para el tráfico SMTP o ICAP. También se puede utilizar para el tráfico de
administración.
•
OOB: 10.1.3.108/24
(Opcional) Utilice la red fuera de banda (OOB) para el tráfico de administración, incluida la
comunicación con McAfee ePO.
Si la red utiliza DHCP, se utilizará en su lugar la primera dirección IP que el servidor DHCP asigna al
appliance. Puede configurar la dirección IP de forma manual con el asistente de instalación. El appliance
no admite el uso de una configuración de DHCP continua.
La gateway predeterminada del appliance utiliza la red LAN1. Configure cualquier enrutamiento
necesario en la interfaz OOB mediante rutas estáticas.
El appliance también tiene un módulo de administración remota (RMM) que ofrece la funcionalidad de
administración desasistida, como el acceso remoto a KVM y al BIOS del appliance.
52
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP
Instale McAfee DLP Prevent
3
Para obtener más información acerca de cómo identificar los puertos de red de su appliance, consulte
la Guía del hardware de McAfee Data Loss Prevention.
Procedimiento
1
Conecte al appliance un monitor, un teclado y un ratón.
2
Conecte la interfaz LAN1 del appliance a su red.
3
(Opcional) Conecte la interfaz OOB a una red distinta.
4
(Opcional) Conecte la interfaz RMM a una red de administración.
Práctica recomendada: Utilice una red protegida o cerrada para el RMM.
Configuración de la consola serie
Puede utilizar la consola serie para instalar únicamente el software de McAfee DLP Prevent.
Debe utilizar otro método, como el RMM, para configurar la red y registrarse con McAfee ePO. Puede
activar la RMM a través de la consola serie.
El progreso de la instalación no aparece cuando se utiliza la consola serie.
Tabla 3-1
Parámetros de conexión en serie
Configuración de puerto
Valor
Velocidad de transmisión en baudios
115200
Bits de datos
8
Bits de parada
1
Paridad
Ninguno
Control de flujo
Ninguno
Véase también
Configuración del RMM en la página 250
Instalar una nueva imagen en los appliances de hardware
Instalar McAfee DLP Prevent en el appliance.
Puede realizar la instalación inicial mediante los siguientes métodos:
•
Unidad USB
Utilizar software de escritura de imagen, como Image Writer de Launchpad, para escribir la imagen
en la unidad USB. Para obtener más información, consulte el artículo KB87321.
•
Unidad de CD con USB
•
(solo dispositivos 4400) Unidad de CD integrada
•
Unidad de CD virtual que utiliza el módulo de administración remota (RMM)
Procedimiento
1
Al utilizar el archivo ISO de instalación, se crean o configuran los medios gráficos externos.
2
Inserte o conecte los medios al appliance.
3
Encienda o reinicie el appliance.
McAfee Data Loss Prevention 10.0.100
Guía del producto
53
3
Instale McAfee DLP
Instale McAfee DLP Prevent
4
Antes de que se inicie el sistema operativo, pulse F6 para ver el menú de arranque y seleccione los
medios externos.
R3c0n3x es la contraseña del BIOS para dispositivos 4400.
5
Siga las instrucciones que aparecen en pantalla.
6
Lea el acuerdo de licencia para el usuario final y, a continuación, pulse Y para aceptarlo.
7
En el menú de instalación, pulse A para una instalación completa y, a continuación, pulse Y para
continuar.
Una vez completada la secuencia de instalación, se reiniciará el appliance.
Si se produce un error en la instalación, llame al soporte técnico de McAfee. No intente realizar la
instalación de nuevo.
Ejecutar el Asistente de instalación y registrarse con McAfee
ePO
Utilice el Asistente de instalación para configurar las opciones de red y registre el appliance con
McAfee ePO.
Después de que se instale y reinicie el appliance, el Asistente de instalación se iniciará
automáticamente.
Si ha instalado el software mediante la consola serie en un appliance de hardware, utilice otro método,
como el RMM, para completar al Asistente de instalación.
Procedimiento
1
Elija el idioma del Asistente de instalación y, a continuación, configure las opciones de red básicas.
El asistente contiene información que le ayudará a establecer la configuración.
a
En la página de Bienvenida, seleccione Configuración de red básica y haga clic en Siguiente.
b
Complete las opciones en la página Configuración básica y, a continuación, haga clic en Siguiente.
Se recomienda cambiar la contraseña predeterminada la primera vez que ejecute el Asistente de
instalación. La nueva contraseña debe tener al menos ocho caracteres. La contraseña
predeterminada es contraseña.
c
Complete las opciones en la página Servicios de red y, a continuación, haga clic en Siguiente.
d
Revise la información de la página Resumen y realice las correcciones necesarias.
e
Haga clic en Finish (Finalizar).
Se aplicará la configuración de red inicial. El asistente se reiniciará después de que se aplique la
configuración de red la primera vez finalice el Asistente de instalación o de que se haya
registrado con un nuevo McAfee ePO en caso necesario.
2
54
Regístrese en McAfee ePO.
a
Seleccione Registro de ePO y haga clic en Siguiente.
b
Complete las opciones en la página Registro de ePO.
c
Haga clic en Finish (Finalizar).
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP
Realización de las tareas posteriores a la instalación
3
3
Inicie sesión en McAfee ePO.
El producto aparecerá en el Árbol de sistemas. Si es necesario, mueva la entrada a la ubicación
correcta de la jerarquía.
Instalar el paquete del servidor de McAfee DLP Prevent for
Mobile Email
El paquete del servidor de McAfee DLP Prevent for Mobile Email puede implementarse en servidores de
forma manual o con McAfee ePO. La instalación es idéntica a la del paquete del servidor de McAfee
DLP Discover.
No instale ambos paquetes de servidor en el mismo servidor.
Véase también
Instale o amplíe el paquete del servidor con McAfee ePO. en la página 48
Instale o amplíe el paquete del servidor manualmente en la página 48
Realización de las tareas posteriores a la instalación
Tras la instalación, establezca opciones de configuración y directivas para sus productos.
Las tareas incluyen:
•
Crear y configurar carpetas de pruebas.
•
Definir las opciones de configuración de cliente y del servidor.
•
Crear clasificaciones, definiciones y reglas.
•
Asignar las opciones de configuración y directivas en el árbol de sistemas.
•
(McAfee DLP Discover y McAfee DLP Endpoint) Crear análisis.
•
(McAfee DLP Prevent) Integrar con un servidor MTA o proxy web.
Véase también
Documentación de eventos mediante pruebas en la página 69
Criterios y definiciones de clasificación en la página 119
Reglas en la página 144
Protección de los archivos con las reglas de descubrimiento en la página 179
Uso de las directivas de McAfee DLP Prevent en la página 80
Configuración de ajustes del cliente en la página 64
Configurar ajustes del servidor en la página 64
Configurar directivas para los análisis en la página 193
Descargar archivos de instalación y de las extensiones de productos en la página 39
McAfee Data Loss Prevention 10.0.100
Guía del producto
55
3
Instale McAfee DLP
Realización de las tareas posteriores a la instalación
56
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración y uso
Configure el software para lograr un uso optimizado en el entorno
empresarial según las decisiones de gestión sobre qué contenido debe
protegerse y cuál es el mejor modo de protegerlo.
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
Capítulo
4
5
6
7
8
9
Configuración de los componentes del sistema
Protección de medios extraíbles
Clasificación del contenido confidencial
Protección de contenido de carácter confidencial
Análisis de datos con descubrimiento de McAfee DLP Endpoint
Análisis de datos con McAfee DLP Discover
McAfee Data Loss Prevention 10.0.100
Guía del producto
57
Configuración y uso
58
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del
sistema
Los componentes del sistema se pueden personalizar para dar respuesta a las necesidades de su
empresa. La configuración de las opciones del sistema y de los agentes permite optimizar el sistema
para proteger la información confidencial de la empresa de forma eficaz.
Contenido
Configuración de McAfee DLP en el catálogo de directivas
Protección de archivos mediante la gestión de derechos
Documentación de eventos mediante pruebas
Control de asignaciones con usuarios y conjuntos de permisos
Control de acceso a las funciones de McAfee DLP Prevent
Uso de las directivas de McAfee DLP Prevent
Funciones de McAfee ePO
McAfee Data Loss Prevention 10.0.100
Guía del producto
59
4
Configuración de los componentes del sistema
Configuración de McAfee DLP en el catálogo de directivas
Configuración de McAfee DLP en el catálogo de directivas
McAfee DLP utiliza el catálogo de directivas de McAfee ePO para almacenar directivas y configuraciones
de cliente.
McAfee DLP crea directivas en el catálogo de directivas de McAfee ePO. Las directivas se asignan a
equipos endpoint en el Árbol de sistemas de McAfee ePO.
•
Directiva de DLP: contiene los conjuntos de reglas activos asignados a la directiva, los análisis de
descubrimiento de endpoint planificados y la configuración de la estrategia de aplicaciones, las omisiones de
clases de dispositivos y los usuarios con privilegios, así como la validación de directivas.
•
Configuración del servidor: Contiene las configuraciones de McAfee DLP Discover, McAfee DLP
Prevent y McAfee DLP Prevent for Mobile Email. Le permite definir las opciones de servicio de copia
de pruebas y de registro, los ajustes de administración de derechos y de SharePoint y las opciones
de extractor de texto.
La configuración de servidor solo se muestra si se ha registrado una licencia de McAfee DLP Discover
o de McAfee DLP Prevent.
Práctica recomendada: Cree configuraciones de servidor independientes para McAfee DLP
Discover, McAfee DLP Prevent y McAfee DLP Prevent for Mobile Email.
McAfee DLP Prevent solo utiliza la sección Servicio de copia de pruebas de la configuración de servidor,
McAfee DLP Prevent for Mobile Email solo utiliza el Proxy de ActiveSync. McAfee DLP Discover utiliza
todas las secciones, excepto el Proxy de ActiveSync.
•
Configuraciones del cliente: Las configuraciones independientes de los equipos Microsoft
Windows y OS X contienen los ajustes de configuración para los clientes de McAfee DLP Endpoint.
Los ajustes determinan cómo aplican los clientes las directivas de McAfee DLP en los equipos
endpoint.
Las configuraciones del cliente solo se muestran si se ha registrado una licencia de McAfee DLP
Endpoint.
La Directiva de DLP incluye Conjuntos de reglas activos, la configuración de Descubrimiento de endpoint, Configuración
y la Validación de directivas.
Las directivas de configuración del cliente (Windows, OS X) contienen los ajustes que determinan
cómo funcionan los equipos endpoint con las directivas. Son donde se activa el Servicio de copia de pruebas
para McAfee DLP Endpoint.
Utilice las directivas de configuración de servidor para McAfee Data Loss Prevention Discover y McAfee
DLP Prevent. Configure ajustes como el Servicio de copia de pruebas y los parámetros de registro.
Importar o exportar la configuración de McAfee DLP Endpoint
Las configuraciones de directivas de endpoint pueden guardarse en formato HTML como copia de
seguridad o transferir las directivas a otros servidores de McAfee ePO.
No utilice este procedimiento para guardar configuraciones de directivas de DLP. Mientras que la opción
Exportar guarda el archivo, la opción Importar no puede importarlo. Para guardar las directivas de DLP,
utilice la página Copia de seguridad y restauración en Configuración de DLP.
60
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema
Configuración de McAfee DLP en el catálogo de directivas
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Catálogo de directivas | Producto | Data Loss Prevention.
2
Siga uno de estos procedimientos:
•
Para exportar, haga clic en Exportar. En la ventana Exportar, haga clic con el botón derecho en el
vínculo del archivo y seleccione Guardar vínculo como para guardar la directiva como un archivo
XML.
El botón Exportar exporta todas las directivas. Puede exportar una directiva individual,
seleccionando Exportar en la columna Acciones en la fila de nombre de directiva.
•
Para importar una directiva guardada, haga clic en Importar. En la ventana Importar directivas, vaya a
una directiva guardada, haga clic en Abrir y, a continuación, en Aceptar.
La ventana de importación se abre, mostrando las directivas que está a punto de importar y si
hay un conflicto de nombre. Puede anular la selección de cualquier directiva en conflicto y no
importarla. Si decide importar una directiva con un conflicto de nombre, esta sobrescribirá la
directiva existente y asumirá sus asignaciones.
Configuración del cliente
El software cliente McAfee DLP Endpoint para McAfee Agent reside en los equipos de la empresa y
ejecuta la directiva definida. Asimismo, el software supervisa las actividades del usuario que afectan al
contenido de carácter confidencial. La configuración del cliente se almacena en la directiva, que se
despliega en los equipos gestionados.
El Catálogo de directivas viene con las directivas predeterminadas de McAfee para las configuraciones
de endpoint OS X y Windows y la directiva de DLP. Haga clic en Duplicar (en la columna Acciones) para
crear una copia editable como base de su directiva.
La configuración del cliente se almacena en la directiva, que se despliega en los equipos gestionados
mediante McAfee ePO. Si se actualiza la configuración, debe volver a desplegar la directiva.
Vigilancia del servicio del cliente
La vigilancia del servicio del cliente no se puede utilizar en McAfee DLP Endpoint for Mac.
Para mantener el funcionamiento normal del software McAfee DLP Endpoint, incluso en caso de
interferencia malintencionada, McAfee DLP Endpoint ejecuta un servicio de protección denominado
Vigilancia del servicio del cliente. Este servicio supervisa el software McAfee DLP Endpoint y lo reinicia
si se interrumpe su ejecución por cualquier motivo. El servicio está activado de forma predeterminada.
Si desea comprobar que se está ejecutando, busque en los procesos del Administrador de tareas de
Windows un servicio denominado fcagswd.exe.
Opciones de configuración del cliente
Las opciones de configuración del cliente determinan cómo funciona el software del endpoint. La
mayor parte de las opciones de configuración del cliente tienen valores predeterminados razonables
que se pueden utilizar para la configuración y las pruebas iniciales sin alteración.
Práctica recomendada: Para comprobar que las opciones de configuración del cliente siguen
cumpliendo sus requisitos, revíselas periódicamente.
La siguiente tabla incluye algunos de los ajustes más importantes que debe comprobar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
61
4
Configuración de los componentes del sistema
Configuración de McAfee DLP en el catálogo de directivas
Tabla 4-1
Configuración del endpoint
Ajuste
Detalles
Configuración avanzada
Ejecutar el cliente de DLP
en modo seguro
Esta opción está desactivada de forma
predeterminada. Al activar esta opción, McAfee
Se aplica únicamente DLP Endpoint es completamente funcional cuando
el equipo se inicia en modo seguro. Existe un
a los clientes de
mecanismo de recuperación en caso de que el
Windows.
cliente de McAfee DLP Endpoint provoque un fallo
de arranque.
Omisión de agente
Se aplica a los
clientes de Windows
y Mac OS X.
Rastreo de contenido
Se aplica a los clientes de
Windows y Mac OS X.
Conectividad corporativa
Se aplica a los clientes de
Windows y Mac OS X.
Protección del correo electrónico
Se aplica únicamente a
los clientes de Windows.
Servicio de copia de pruebas
Se aplica a los clientes de
Windows y Mac OS X.
Módulos y modo de
funcionamiento
Se aplica a los clientes de
Windows y Mac OS X.
62
Descripción
La omisión de agente se detiene cuando se carga
una nueva configuración de cliente. Esta opción
está desactivada de forma predeterminada.
Utilizar la siguiente página
de código ANSI de
respaldo
Si no se define ningún idioma, el respaldo es el
idioma predeterminado del equipo endpoint.
Procesos en lista blanca
Se agregan procesos y extensiones a la lista
blanca.
Detección de red
corporativa
Se pueden aplicar diferentes acciones preventivas
a equipos endpoint dentro de la red corporativa o
fuera de la red. En el caso de algunas reglas,
pueden aplicarse distintas acciones preventivas
cuando se está conectado a una VPN. Para usar la
opción de VPN o determinar la conectividad de la
red por servidor corporativo y no por conexión a
McAfee ePO, defina la dirección IP del servidor en
la sección pertinente.
Detección de VPN
corporativa
Almacenamiento en caché
de correos electrónicos
Almacena las firmas de etiqueta de correos
electrónicos en el disco para eliminar los que se
han vuelto a analizar.
API de administración de
correo electrónico
El correo electrónico saliente lo gestiona tanto el
modelo de objetos de Outlook (OOM) como la
interfaz de programación de aplicaciones de
mensajería (MAPI). OOM es la API
predeterminada, aunque algunas configuraciones
requieren MAPI.
Integración del
complemento de terceros
de Outlook
Se admiten dos aplicaciones de clasificación de
terceros: Titus y Boldon James.
Estrategia de tiempo de
espera de correo
electrónico
Establece el tiempo máximo permitido para
analizar un correo electrónico y la acción aplicable
si se supera dicho tiempo.
Recurso compartido
de almacenamiento de
pruebas (UNC)
Sustituya el texto de ejemplo por el recurso
compartido de almacenamiento de pruebas.
Configuración de cliente
Se puede modificar la manera en que se muestra
el subrayado de coincidencias definiendo las
coincidencias de clasificación de forma que
aparezcan todas o solo los resultados abreviados.
Modo de funcionamiento
Defina Device Control o el modelo completo de
McAfee DLP Endpoint. Restablezca este parámetro
para ampliar o reducir su licencia.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema
Configuración de McAfee DLP en el catálogo de directivas
Tabla 4-1
4
Configuración del endpoint (continuación)
Ajuste
Detalles
Descripción
Módulos de protección de
datos
Active los módulos necesarios.
Práctica recomendada: Para mejorar el
rendimiento, anule la selección de los módulos
que no utilice.
Web Protection
Se aplica únicamente a
los clientes de Windows.
Evaluación de la protección Seleccione entradas para la evaluación de la
web
solicitud web al que coinciden con las reglas de
protección web. Esta configuración permitir
bloquear solicitudes enviadas por AJAX a otra
dirección URL desde la que se muestra en la barra
de direcciones. Debe seleccionar al menos una
opción.
Procesar solicitudes HTTP
GET
Las solicitudes GET están desactivadas de forma
predeterminada porque consumen muchos
recursos. Utilice esta opción con precaución.
Versiones de Chrome
compatibles
Si utiliza Google Chrome, haga clic en Examinar
para agregar la lista actual de versiones
compatibles. La lista es un archivo XML que
descarga del Soporte de McAfee.
Estrategia de tiempo de
espera de Web
Establece el tiempo de espera de análisis de
publicación web, la acción que realizar si se
sobrepasa el tiempo de espera y un mensaje de
usuario opcional.
Direcciones URL en lista
blanca
Enumera las direcciones URL excluidas de las
reglas de protección web.
Compatibilidad con los parámetros de configuración del cliente
McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac están configurados de forma similar
en directivas del cliente distintas.
Tabla 4-2 Página de depuración y registro
Parámetro
Compatibilidad con sistemas operativos
Eventos administrativos
comunicados por los clientes
Las opciones de configuración de filtro que se pueden aplicar en McAfee
DLP Endpoint for Windows y McAfee DLP Endpoint for Mac son:
• Cliente entra en el modo de omisión
• Cliente sale del modo de omisión
• Cliente instalado
Todos los demás ajustes corresponden solo a McAfee DLP Endpoint para
Windows.
Registro
Se puede utilizar en McAfee DLP Endpoint para Windows y McAfee DLP
Endpoint for Mac.
Tabla 4-3 Página Componentes de la interfaz de usuario
Sección
Parámetro
Interfaz de usuario cliente
Mostrar consola de DLP (todas las McAfee DLP Endpoint para Windows
únicamente
opciones)
Activar ventana emergente de
notificación al usuario final
McAfee Data Loss Prevention 10.0.100
Compatibilidad con sistemas operativos
McAfee DLP Endpoint para Windows y
McAfee DLP Endpoint for Mac
Guía del producto
63
4
Configuración de los componentes del sistema
Configuración de McAfee DLP en el catálogo de directivas
Tabla 4-3 Página Componentes de la interfaz de usuario (continuación)
Sección
Parámetro
Compatibilidad con sistemas operativos
Mostrar cuadro de diálogo de
solicitud de justificación
McAfee DLP Endpoint para Windows y
McAfee DLP Endpoint for Mac
Desafío y respuesta
Todas las opciones
McAfee DLP Endpoint para Windows y
McAfee DLP Endpoint for Mac
Directiva de bloqueo de código
de autorización
Todas las opciones
McAfee DLP Endpoint para Windows y
McAfee DLP Endpoint for Mac
Imagen de banner de cliente
Todas las opciones
McAfee DLP Endpoint para Windows
únicamente
Configuración de ajustes del cliente
Configure los ajustes para McAfee DLP Endpoint.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.
2
En la lista desplegable Producto, seleccione Data Loss Prevention 10.
3
(Opcional) En la lista desplegable Categoría, seleccione Configuración del cliente Windows o Configuración del
cliente Mac OS X.
4
Seleccione una configuración para editarla o haga clic en Duplicar para la configuración de McAfee
Default.
5
En la página Servicio de copia de pruebas, introduzca el recurso compartido de almacenamiento y las
credenciales.
6
Actualice los ajustes en el resto de páginas según sea necesario.
7
Haga clic en Aplicar directiva.
Configurar ajustes del servidor
Establecer las opciones de configuración del servidor de McAfee DLP Discover, McAfee DLP Prevent y
McAfee DLP para dispositivos móviles.
Antes de empezar
Para la configuración del servidor de McAfee DLP Discover:
•
Si está utilizando un servidor de administración de derechos, obtenga el nombre de
dominio, el nombre de usuario y la contraseña.
•
Si tiene pensado ejecutar análisis de corrección en los servidores de SharePoint,
determine si los servidores de SharePoint de su empresa utilizan la papelera de
reciclaje. No combinar correctamente este ajuste puede ocasionar errores o
comportamientos inesperados durante el análisis de corrección.
Para el servidor de McAfee DLP para dispositivos móviles, establezca la Configuración de
ActiveSync del servidor de MobileIron Sentry de la siguiente forma:
64
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema
Configuración de McAfee DLP en el catálogo de directivas
•
Autenticación del servidor: de paso
•
Servidor(es) ActiveSync: [Dirección del proxy de DLP ActiveSync]
McAfee DLP Server para dispositivos móviles requiere certificación. Consulte KBxxxxx para
obtener más información sobre cómo obtener e instalar certificados.
•
El servidor de McAfee DLP para dispositivos móviles utiliza únicamente la configuración del Proxy de
ActiveSync.
•
McAfee DLP Prevent utiliza únicamente la configuración del Servicio de copia de pruebas.
•
McAfee DLP Discover puede utilizar todas las opciones de configuración del servidor, excepto el
Proxy de ActiveSync, aunque algunas son opcionales.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.
2
En la lista desplegable Producto, seleccione Data Loss Prevention 10.
3
(Opcional) En la lista desplegable Categoría, seleccione Configuración del servidor.
4
Siga uno de estos procedimientos:
•
Seleccione una configuración del servidor que editar.
•
Haga clic en Duplicar para la configuración de McAfee Default.
5
(Opcional, solo para McAfee DLP Discover) En la página de Box, compruebe las opciones del
historial de versiones y de la papelera.
6
En la página Servicio de copia de pruebas, introduzca el recurso compartido de almacenamiento y las
credenciales.
Para McAfee DLP Prevent, especifique un nombre de usuario y una contraseña. No utilice la opción
de la cuenta de sistema local.
Práctica recomendada: Utilice los valores predeterminados para la Configuración del servidor. (McAfee
DLP Prevent ignora la configuración del ancho de banda de transmisión.)
7
(Opcional, solo para McAfee DLP Discover) En la página Registro, defina el tipo de resultado del
registro y el nivel de registro.
Práctica recomendada: Utilice los valores predeterminados.
8
(Solo para el servidor de McAfee DLP para dispositivos móviles) En la página del Proxy de ActiveSync,
introduzca el nombre DNS del servidor de ActiveSync.
9
(Solo para McAfee DLP Discover) En la página Gestión de derechos, defina las credenciales del servicio
de gestión de derechos.
10 (Solo para McAfee DLP Discover) En la página SharePoint, seleccione o anule la selección de Utilizar
papelera de reciclaje al eliminar un archivo.
Si activa esta opción y el servidor SharePoint no utiliza la papelera de reciclaje, cualquier acción de
Mover llevada a cabo en los archivos fallará y tomará de forma predeterminada el valor Copiar. El valor
predeterminado en SharePoint es activar la papelera de reciclaje.
McAfee Data Loss Prevention 10.0.100
Guía del producto
65
4
Configuración de los componentes del sistema
Protección de archivos mediante la gestión de derechos
11 (Opcional, solo para McAfee DLP Discover) En la página Extractor de texto, establezca las opciones de
configuración del extractor de texto.
Práctica recomendada: Utilice los valores predeterminados.
a
Defina la página de códigos de respaldo ANSI.
El valor predeterminado utiliza el idioma predeterminado del servidor Discover.
b
Defina el tamaño máximo del archivo de entrada y de salida, y los tiempos de espera.
12 Haga clic en Aplicar directiva.
Véase también
Protección de archivos mediante la gestión de derechos en la página 66
Documentación de eventos mediante pruebas en la página 69
Acciones de las reglas de protección de datos en la página 153
Protección de archivos mediante la gestión de derechos
McAfee DLP Endpoint y McAfee DLP Discover pueden integrarse con los servidores de administración
de derechos (RM) para aplicar la protección a los archivos que coincidan con las clasificaciones de la
regla.
Con la versión 10.x de McAfee DLP Endpoint, debe instalar Active Directory Rights Management
Services Client 2.1, compilación 1.0.2004.0, en todos los equipos endpoint con servicios de
administración de derechos. El comando Aplicar directiva de administración de derechos no funciona sin esta
versión del cliente de administración de derechos.
McAfee DLP Prevent puede reconocer si un correo electrónico dispone de protección de administración
de derechos. Sin embargo, McAfee DLP Prevent no permite aplicar directivas de administración de
derechos a correos electrónicos.
Puede aplicar una reacción de la directiva de administración de derechos a la protección de datos y a
las reglas de descubrimiento:
•
Protección en la nube
•
Protección del servidor de archivos (CIFS)
•
Sistema de archivos de Endpoint
•
Protección de SharePoint
•
Protección de Box
Las directivas de administración de derechos no se pueden utilizar con las reglas de Device Control.
McAfee DLP puede reconocer los archivos protegidos con administración de derechos añadiendo una
propiedad de cifrado de archivos a los criterios de clasificación o identificación por huellas digitales de
contenido. Dichos archivos pueden incluirse o excluirse de la clasificación.
66
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema
Protección de archivos mediante la gestión de derechos
Funcionamiento de McAfee DLP con la administración de
derechos
McAfee DLP sigue un flujo de trabajo para aplicar las directivas de administración de derechos a los
archivos.
Flujo de trabajo de la administración de derechos
1
Cree y aplique una protección de datos o una regla de descubrimiento con una reacción para
aplicar la directiva de administración de derechos. La reacción requiere un servidor de
administración de derechos y la introducción de una directiva de administración de derechos.
2
Cuando un archivo activa la regla, McAfee DLP envía el archivo al servidor de administración de
derechos.
3
El servidor de administración de derechos aplica las protecciones en función de la directiva
especificada, como el cifrado del archivo, la limitación de los usuarios con permiso para acceder a
él o descifrarlo y la limitación de las condiciones en las que se puede acceder al archivo.
4
El servidor de administración de derechos envía el archivo de vuelta al origen con las protecciones
aplicadas.
5
Si ha configurado una clasificación para el archivo, McAfee DLP puede supervisar dicho archivo.
Limitaciones
El software de McAfee DLP Endpoint no inspecciona los archivos protegidos por la administración de
derechos en relación con el contenido. Cuando se aplica al archivo una clasificación protegida por la
administración de derechos, únicamente se mantienen los criterios de identificación de contenido por
huellas digitales (ubicación, aplicación o aplicación web). Si un usuario modifica el archivo, todas las
firmas de huella digital se pierden al guardar el archivo.
Servidores de administración de derechos compatibles
McAfee DLP Endpoint es compatible con Microsoft Windows Rights Management Services (Microsoft
RMS) y con Seclore FileSecure™ Information Rights Management (IRM). McAfee DLP Discover es
compatible con Microsoft RMS.
Microsoft RMS
McAfee DLP es compatible con Microsoft RMS en Windows Server 2003 y Active Directory RMS
(AD-RMS) en Windows Server 2008 y 2012. Puede aplicar la protección de Windows Rights
Management Services a los siguientes appliances:
Tipo de documento
Versión
Microsoft Word
2010, 2013 y 2016
Microsoft Excel
Microsoft PowerPoint
SharePoint
2007
Exchange Server
Con Microsoft RMS, McAfee DLP puede inspeccionar el contenido de los archivos protegidos si el
usuario actual cuenta con permisos de visualización.
Para obtener más información sobre Microsoft RMS, visite http://technet.microsoft.com/es-es/library/
cc772403.aspx.
McAfee Data Loss Prevention 10.0.100
Guía del producto
67
4
Configuración de los componentes del sistema
Protección de archivos mediante la gestión de derechos
Seclore IRM
McAfee DLP Endpoint es compatible con Seclore FileSecure RM, que admite más de 140 formatos de
archivo, entre los que se incluyen los formatos de documento más usados:
•
Documentos de Microsoft Office.
•
Documentos de Open Office.
•
Archivos PDF.
•
Formatos de texto y basados en texto, incluidos: CSV, XML y HTML.
•
Formatos de imagen, incluidos: JPEG, BMP, GIF, etc.
•
Formato de diseño de ingeniería, incluidos: DWG, DXF y DWF.
El cliente de McAfee DLP Endpoint trabaja con FileSecure Desktop Client para ofrecer integración tanto
en línea como fuera de línea.
Para obtener más información sobre Seclore IRM, visite http://seclore.com/
seclorefilesecure_overview.html.
Definir un servidor de administración de derechos
McAfee DLP Endpoint admite dos sistemas de administración de derechos: Microsoft Windows Rights
Management Services (RMS) y Seclore FileSecure™. Para utilizar estos sistemas, configure el servidor
proporcionando las directivas de administración de derechos en McAfee ePO.
Antes de empezar
•
Configure los servidores de administración de derechos, y cree usuarios y directivas.
Obtenga la URL y la contraseña para todos los servidores: plantilla de directiva,
certificación y licencias. Para Seclore, necesita el ID de Hot Folder Cabinet y la frase de
contraseña, así como información sobre licencias avanzadas si las hubiera.
•
Compruebe que tenga permiso para ver, crear y editar los servidores de Microsoft RMS y
Seclore. En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos y
compruebe que pertenece a un grupo que tiene los permisos requeridos en Servidores
registrados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Servidores registrados.
2
Haga clic en Nuevo servidor.
Se abre la página de descripción de Servidores registrados.
68
3
En la lista desplegable Tipo de servidor, seleccione el tipo de servidor que desea configurar: Servidor
Microsoft RMS o Servidor Seclore.
4
Escriba un nombre para la configuración del servidor y, a continuación, haga clic en Siguiente.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema
Documentación de eventos mediante pruebas
5
6
4
Introduzca los detalles necesarios. Cuando haya introducido los campos necesarios, haga clic en
Probar conectividad para verificar los datos introducidos.
•
Los ajustes de RMS también incluyen una sección Configuración de implementación de DLP. El campo
Ruta local a la plantilla de RMS es opcional, pero los campos de URL para la certificación y las licencias
son obligatorios a menos que elija la opción de descubrimiento de servicios automático con
Active Directory.
•
Seclore requiere información de HotFolder Cabinet, pero la información de licencias adicional es
opcional.
Haga clic en Guardar cuando haya terminado la configuración.
Documentación de eventos mediante pruebas
La prueba es una copia de los datos que han provocado la publicación de un evento de seguridad en el
Administrador de incidentes de DLP.
En caso de ser posible, se crean varios archivos de pruebas para un evento. Por ejemplo, si se activa
una regla de protección de correo electrónico, el correo electrónico, el texto del cuerpo y los datos
adjuntos se guardan como archivos de pruebas.
Si se produce una clasificación en los encabezados de correo electrónico, no se escribirá ninguna
prueba independiente porque puede encontrarse en el propio mensaje. El texto coincidente se incluye
en el resaltado de coincidencias de las pruebas del cuerpo.
Uso de pruebas y del almacenamiento de pruebas
La mayoría de las reglas permiten almacenar pruebas. Cuando esta opción está seleccionada, se
almacena una copia cifrada del contenido bloqueado o supervisado en la carpeta de pruebas
predefinida.
McAfee DLP Endpoint almacena la prueba en una ubicación temporal del cliente entre los intervalos de
comunicación agente-servidor. Cuando McAfee Agent pasa información al servidor, la carpeta se purga
y la prueba se almacena en la carpeta de pruebas del servidor. Puede especificar el tamaño máximo y
la antigüedad del almacenamiento local de pruebas cuando el equipo está fuera de línea.
Requisitos previos para almacenamiento de pruebas
El almacenamiento de pruebas está activado de manera predeterminada en McAfee DLP. Si no desea
guardar pruebas, puede aumentar el rendimiento desactivando el servicio de pruebas. A continuación
se indican las opciones obligatorias o los valores predeterminados a la hora de configurar el software:
•
Carpeta de almacenamiento de pruebas: Crear una carpeta de almacenamiento de pruebas de
red y especificar la ruta UNC a la carpeta son requisitos para la aplicación de una directiva en
McAfee ePO. Especifique la ruta en la página Configuración de DLP. La ruta UNC predeterminada se
copia en las páginas del Servicio de copia de pruebas de la configuración del servidor (McAfee DLP
Discover, McAfee DLP Prevent) y de la configuración de los clientes (McAfee DLP Endpoint) del
Catálogo de directivas. Puede editar el valor predeterminado para especificar varias carpetas de
almacenamiento de pruebas en las opciones de configuración.
•
Servicio de copia de pruebas: El servicio de copia de pruebas de McAfee DLP Endpoint se activa
en la página Módulos y modo de funcionamiento de la directiva de configuración del cliente. Para recopilar
pruebas, también debe activarse la opción Servicio de generación de informes, en la que consta como
entrada secundaria. Para McAfee DLP Discover y McAfee DLP Prevent, el servicio se activa en la
directiva de configuración del servidor.
Véase también
Configuración de ajustes del cliente en la página 64
Configurar ajustes del servidor en la página 64
McAfee Data Loss Prevention 10.0.100
Guía del producto
69
4
Configuración de los componentes del sistema
Documentación de eventos mediante pruebas
Memoria y almacenamiento de pruebas
El número de archivos de pruebas almacenados por evento influye en el volumen de almacenamiento,
el rendimiento del analizador de eventos y la presentación en pantalla (y, por tanto, la experiencia del
usuario) de las páginas Administrador de incidentes de DLP y Operaciones de DLP. Para cumplir con requisitos de
pruebas diferentes, el software McAfee DLP realiza lo siguiente:
•
El número máximo de archivos de pruebas que almacenar por evento se define en la página Servicio
de copia de pruebas.
•
Cuando un gran número de archivos de pruebas se vinculan a un solo evento, solo los primeros
100 nombres de archivo se almacenan en la base de datos y se muestran en la página de detalles
Administrador de incidentes de DLP. Los archivos de pruebas restantes (hasta el máximo definido) se
almacenan en recurso compartido de almacenamiento de pruebas, pero no se asocian al evento. En
el caso de los informes y las consultas, para los que se filtran las pruebas en función del nombre de
archivo, solo se tiene acceso a los 100 primeros nombres de archivo.
•
El campo Número de correspondencias total del Administrador de incidentes de DLP muestra el número total de
pruebas.
•
Si el almacenamiento de pruebas alcanza un nivel crítico, McAfee DLP Prevent rechaza el mensaje
de forma temporal y se genera un error de SMTP. A continuación, se crear un evento en el historial
de Eventos de clientes y aparece un mensaje de alerta en el panel de Administración de appliances.
Resaltado de coincidencias
La opción de resaltado de coincidencias permite a los administradores identificar exactamente el
contenido de carácter confidencial que ha provocado un evento.
Cuando se selecciona, se guarda un archivo de pruebas HTML cifrado que contiene el texto extraído.
El archivo de pruebas se compone de fragmentos; un fragmento de huellas digitales y clasificaciones
de contenido contiene normalmente el texto confidencial, con 100 delante y 100 detrás (por contexto)
organizados por la huella digital o la clasificación de contenido que activó el evento. Además, incluye
un recuento del número de eventos por huella digital o clasificación de contenido. Si hay varias
coincidencias entre los 100 caracteres de la anterior coincidencia, se subrayan dichas coincidencias, y
el texto resaltado y los siguientes 100 caracteres se agregan al fragmento. Si la coincidencia se
encuentra en el encabezado o pie de página de un documento, el fragmento contiene el texto
resaltado sin el prefijo o sufijo de 100 caracteres.
Las opciones de visualización se definen en la página del Servicio de copia de pruebas de la directiva de
configuración servidor o del cliente en el campo Archivo de coincidencias de clasificación:
•
Crear resultados abreviados (predeterminada)
•
Crear todas las coincidencias
•
Desactivado: desactiva la función de subrayado de coincidencias.
Los resultados abreviados pueden contener hasta 20 fragmentos. Un archivo de resaltado de todas las
coincidencias puede contener una cantidad ilimitada de fragmentos, pero existe un límite en el número
de coincidencias por clasificación. En el caso de las clasificaciones Patrón avanzado y Palabra clave, el límite
de coincidencias es 100. En el caso de clasificaciones Diccionario, el límite de coincidencias por entrada
de diccionario es 250. Si hay varias clasificaciones en un archivo de resaltado de coincidencias, los
nombres de dichas clasificaciones y los números de coincidencias se muestran al comienzo del archivo,
antes de los fragmentos.
70
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema
Documentación de eventos mediante pruebas
4
Reglas que permiten el almacenamiento de pruebas
Estas reglas pueden almacenar pruebas.
Tabla 4-4 Pruebas guardadas por las reglas
Regla
Elemento que se guarda
Producto
Regla de protección de acceso a archivos de la
aplicación
Copia del archivo
McAfee DLP Endpoint
Regla de protección del Portapapeles
Copia del Portapapeles
Regla de protección en la nube
Copia del archivo
Regla de protección de correo electrónico
Copia del correo electrónico • McAfee DLP Endpoint
• McAfee DLP Prevent
Regla de protección de dispositivos móviles
Copia del correo electrónico McAfee DLP Prevent for
Mobile Email
Regla de protección de recursos compartidos de red
Copia del archivo
Regla de protección contra impresión
Copia del archivo
Regla de protección de almacenamiento extraíble
Copia del archivo
Regla de protección contra capturas de pantalla
JPEG de la pantalla
Regla de protección web
Copia de la publicación web
Regla de descubrimiento del sistema de archivos
Copia del archivo
Regla de descubrimiento de almacenamiento de
correo electrónico
Copia del archivo .msg
Regla de protección de Box
Copia del archivo
McAfee DLP Endpoint
McAfee DLP Discover
Regla de Protección del servidor de archivos (CIFS) Copia del archivo
Regla de protección de SharePoint
Copia del archivo
Creación de carpetas de pruebas
Las carpetas de pruebas contienen información que utilizan todos los productos de software de McAfee
DLP para la creación de directivas y la generación de informes. Según cuál sea su instalación de
McAfee DLP, deben crearse algunas carpetas y recursos compartidos de red, y establecerse sus
propiedades y la configuración de seguridad correspondiente.
Las rutas de las carpetas de las pruebas están definidas en ubicaciones distintas en los diferentes
productos de McAfee DLP. Cuando se instala más de un producto de McAfee DLP en McAfee ePO, las
rutas UNC de las carpetas de las pruebas se sincronizan. No es necesario que las carpetas estén en el
mismo equipo que el servidor de bases de datos de McAfee DLP, pero suele ser recomendable que así
sea.
La ruta de almacenamiento de pruebas debe ser un recurso compartido de red, es decir, debe incluir el
nombre del servidor.
•
Carpeta de pruebas: Determinadas reglas permiten almacenar pruebas, por lo que debe
designar, con antelación, dónde situarlas. Por ejemplo, cuando se bloquea un archivo, se puede
incluir una copia de este en la carpeta de pruebas.
•
Copiar y mover carpetas: McAfee DLP Discover utiliza esta opción para procesar archivos.
Proponemos las siguientes rutas y nombres de carpetas, y los siguientes nombres de recursos
compartidos, pero puede crear otros según las necesidades de su propio entorno.
McAfee Data Loss Prevention 10.0.100
Guía del producto
71
4
Configuración de los componentes del sistema
Documentación de eventos mediante pruebas
•
c:\dlp_resources\
•
c:\dlp_resources\Pruebas
•
c:\dlp_resources\copy
•
c:\dlp_resources\move
Véase también
Definir las opciones de configuración de las carpetas de pruebas en la página 72
Definir las opciones de configuración de las carpetas de
pruebas
Las carpetas de pruebas almacenan información de las pruebas cuando los archivos coinciden con una
regla.
Según cuál sea su instalación de McAfee DLP, deben crearse algunas carpetas y recursos compartidos
de red, y establecerse sus propiedades y la configuración de seguridad correspondiente. El campo
Almacenamiento de pruebas predeterminado de Configuración de DLP cumple el requisito básico, pero se
recomienda configurar los recursos compartidos de pruebas independientes para cada producto de
McAfee DLP. La configuración de los recursos compartidos de prueba que se describe a continuación
anula la configuración predeterminada.
Debe configurar el permiso de escritura para la cuenta del usuario que escribe en la carpeta de pruebas
como, por ejemplo, la cuenta del sistema local del servidor. Para ver las pruebas de McAfee ePO, debe
conceder acceso de lectura a la cuenta del sistema local del servidor de McAfee ePO.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.
2
En la lista desplegable Producto, seleccione Data Loss Prevention 10.
3
Desde la lista desplegable Categoría, seleccione una de estas opciones según el producto que desea
configurar.
•
Configuración de cliente de Windows: McAfee DLP Endpoint para Windows
•
Configuración de cliente de Mac OS X: McAfee DLP Endpoint for Mac
•
Configuración del servidor: McAfee DLP Discover y McAfee DLP Prevent
4
Seleccione una configuración para editarla o haga clic en Duplicar para la configuración de McAfee
Default.
5
En la página Servicio de copia de pruebas:
a
Seleccione si el servicio está activado o desactivado.
El servicio de copia de pruebas permite almacenar pruebas cuando se activan las reglas. Si está
desactivado, las pruebas no se recopilan y solo se generan los incidentes.
72
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema
Control de asignaciones con usuarios y conjuntos de permisos
b
En caso necesario, introduzca el recurso compartido de almacenamiento de pruebas (UNC). Si
no desea utilizar la cuenta del sistema local, introduzca un nombre de usuario y una contraseña
para almacenar las pruebas.
Para McAfee DLP Prevent, debe especificar un nombre de usuario y una contraseña.
De forma predeterminada, se introduce la ruta UNC en la página Configuración de DLP al configurar
la licencia. Puede cambiar la ruta UNC para cada directiva de trabajo que cree o mantener la
predeterminada.
c
(Opcional) Restablezca los filtros de Tamaño máximo del archivo de pruebas y Ancho de banda de transmisión
de pruebas máximo predeterminados.
McAfee DLP Prevent ignora la configuración del ancho de banda de transmisión.
d
Seleccione si el almacenamiento del archivo original está activado o desactivado.
Al seleccionar Desactivado, se omite la configuración de Almacenar archivo original en las reglas
individuales.
e
6
Defina la coincidencia de clasificación con los resultados abreviados o todas las coincidencias.
También puede desactivar la coincidencia con este control.
Haga clic en Aplicar directiva.
Véase también
Uso de pruebas y del almacenamiento de pruebas en la página 69
Control de asignaciones con usuarios y conjuntos de permisos
McAfee DLP utiliza Usuarios y Conjuntos de permisos de McAfee ePO para asignar diferentes partes de la
administración de McAfee DLP a grupos o usuarios distintos.
Práctica recomendada: Cree conjuntos de permisos, usuarios y grupos de McAfee DLP específicos.
Cree distintas funciones mediante la asignación de permisos de administrador y revisor diferentes para
los módulos de McAfee DLP diferentes de McAfee ePO.
Compatibilidad de permisos de filtrado del árbol de sistemas
McAfee DLP admite los permisos de filtrado del Árbol de sistemas de McAfee ePO en Administrador de incidentes
de DLP y Operaciones de DLP. Cuando se activa el filtrado del Árbol de sistemas, los operadores de McAfee ePO
solo pueden ver los incidentes de los equipos de su sección permitida del Árbol de sistemas. De forma
predeterminada, los administradores de grupos no tienen permisos en el Árbol de sistemas de McAfee
ePO. Independientemente de los permisos asignados en el conjunto de permisos de Data Loss Prevention,
no pueden ver ningún incidente en las consolas Administrador de incidentes de DLP ni Operaciones de DLP. El
filtrado del Árbol de sistemas está desactivado de forma predeterminada, pero puede activarse en
Configuración de DLP.
Práctica recomendada: Para los clientes que han utilizado Administradores de grupos en los conjuntos de
permisos de Data Loss Prevention, asigne Administradores de grupo.
Permiso Ver la ficha "Árbol de sistemas" (en Sistemas)
Permisos Acceso al Árbol de sistemas al nivel adecuado
Redacción de información confidencial y conjuntos de permisos de McAfee ePO
Para cumplir las exigencias legales de algunos mercados sobre la protección de información
confidencial bajo cualquier circunstancia, el software McAfee DLP ofrece una función de redacción de
McAfee Data Loss Prevention 10.0.100
Guía del producto
73
4
Configuración de los componentes del sistema
Control de asignaciones con usuarios y conjuntos de permisos
datos. Los campos de las consolas Administrador de incidentes de DLP y Operaciones de DLP que contienen
información de carácter confidencial se pueden redactar para impedir visualizaciones no autorizadas.
Los vínculos a pruebas de carácter confidencial se ocultan. La función se ha diseñado con una "clave
doble" de desbloqueo. Por tanto, para utilizar la función, debe crear dos conjuntos de permisos: uno
para ver los incidentes y eventos, y otro para ver los campos redactados (permiso de supervisor).
Ambas funciones pueden asignarse al mismo usuario.
Cree definiciones de usuarios finales
McAfee DLP tiene acceso a los servidores de Active Directory (AD) o de protocolo ligero de acceso a
directorios (LDAP) para crear definiciones de usuarios finales.
Los grupos de usuarios finales se utilizan para los permisos y asignaciones de administrador, así como
en las reglas de dispositivos y protección. Pueden componerse de usuarios, grupos de usuarios o
unidades organizativas (OU). Por tanto, permiten al administrador elegir un modelo adecuado. Las
empresas organizadas en un modelo OU pueden continuar utilizando ese modelo, mientras otras
pueden emplear grupos o usuarios individuales, según se requiera.
Los objetos LDAP se identifican por el nombre o ID de seguridad (SID). Los SID son más seguros y los
permisos pueden conservarse incluso si se les asigna un nuevo nombre a las cuentas. No obstante, se
almacenan en formato hexadecimal y deben codificarse para convertirlos a un formato legible.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
Haga clic en la ficha Definiciones.
3
Seleccione Origen/destino | Grupo de usuarios finales y, a continuación, Acciones | Nuevo.
4
En la página Nuevo grupo de usuarios finales, introduzca un nombre único y, si lo desea, una descripción.
5
Seleccione el método para identificar objetos (mediante el SID o el nombre).
6
Haga clic en uno de los botones Agregar: Agregar usuarios, Agregar grupos o Agregar OU.
La ventana de selección se abre y muestra el tipo de información seleccionado.
Si la lista es larga, es posible que tarde unos segundos en mostrarse. Si no aparece ningún tipo de
información, seleccione Contenedor y elementos secundarios en el menú desplegable Valor predeterminado.
7
Seleccione los nombres y haga clic en Aceptar para agregarlos a la definición.
Repita la operación según sea necesario para agregar usuarios, grupos o usuarios organizativos
adicionales.
8
Haga clic en Guardar.
Asignar conjuntos de permisos de McAfee DLP
Los conjuntos de permisos de McAfee DLP asignan permisos para ver y guardar las directivas, y para
ver los campos redactados. También se utilizan para asignar el control de acceso según funciones
(RBAC).
Al instalar el software del servidor de McAfee DLP, se agrega el conjunto de permisos de McAfee ePO
Data Loss Prevention. Si hay una versión anterior de McAfee DLP instalada en el mismo servidor de
McAfee ePO, aparecerá también dicho conjunto de permisos.
74
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema
Control de asignaciones con usuarios y conjuntos de permisos
Los conjuntos de permisos abarcan todas las secciones de la consola de administración. Existen tres
niveles de permisos:
•
Utilizar: El usuario solo puede ver los nombres de los objetos (definiciones, clasificaciones, etc.),
no los detalles.
Para las directivas, el permiso mínimo es ningún permiso.
•
Ver y utilizar: El usuario puede ver los detalles de los objetos, pero no puede editarlos.
•
Permisos totales: El usuario puede crear y cambiar los objetos.
Puede definir permisos para distintas secciones de la consola de administración, otorgando a los
administradores y revisores permisos diferentes según sea necesario. Las secciones se agrupan por
jerarquía lógica, por ejemplo, al seleccionar Clasificaciones se seleccionan automáticamente las
Definiciones, ya que la configuración de los criterios de clasificación requiere el uso de definiciones.
Los grupos de permisos de McAfee DLP Endpoint son:
Grupo I
Grupo II
Grupo III
• Catálogo de directivas
• Administrador de directivas de DLP
• Clasificaciones
• Administrador de directivas de DLP
• Clasificaciones
• Definiciones
• Clasificaciones
• Definiciones
• Definiciones
El grupo de permisos de McAfee DLP Discover es:
•
DLP Discover
•
Administrador de directivas de DLP
•
Clasificaciones
•
Definiciones
Administración de incidentes, Eventos operativos y Administración de casos se pueden seleccionar por
separado.
Los permisos de Acciones de Data Loss Prevention se han movido al conjunto de permisos de Acciones
de Help Desk. Estos permisos permiten a los administradores generar claves de desinstalación y
omisión de cliente, claves de liberación de cuarentena y claves principales.
McAfee Data Loss Prevention 10.0.100
Guía del producto
75
4
Configuración de los componentes del sistema
Control de asignaciones con usuarios y conjuntos de permisos
Además del permiso predeterminado de la sección, puede definir una omisión para cada objeto. La
omisión puede aumentar o disminuir el nivel de permisos. Por ejemplo, en los permisos de
Administrador de directivas de DLP, se enumeran todos los conjuntos de reglas existentes cuando se
crea el conjunto de permisos. Puede definir una omisión diferente para cada uno. Cuando se crean
nuevos conjuntos de reglas, estos reciben el nivel de permisos predeterminado.
Figura 4-1 Conjuntos de permisos de McAfee DLP
Creación de un conjunto de permisos de McAfee DLP
Los conjuntos de permisos se utilizan para definir distintas funciones administrativas y del revisor en
el software McAfee DLP.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos.
2
Seleccione un conjunto de permisos predefinido o haga clic en Nuevo para crear uno.
3
a
Escriba un nombre para el conjunto y seleccione los usuarios.
b
Haga clic en Guardar.
Seleccione un conjunto de permisos y haga clic en la opción Editar de la sección Data Loss Prevention.
a
En el panel de la izquierda, seleccione un módulo de protección de datos.
Administración de incidentes, Eventos operativos y Administración de casos se pueden seleccionar por
separado. Otras opciones crean automáticamente los grupos predefinidos.
b
Edite las opciones y omita permisos según precise.
Catálogo de directivas no dispone de opciones que editar. Si va a asignar Catálogo de directivas
a un conjunto de permisos, puede editar los submódulos del grupo Catálogo de directivas.
c
76
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema
Control de asignaciones con usuarios y conjuntos de permisos
4
Procedimientos
•
Caso práctico: Permisos de administrador de DLP en la página 77
Puede separar las tareas de administrador según sea necesario para, por ejemplo, crear un
administrador de directivas sin responsabilidades de revisión de eventos.
•
Caso práctico: Limitar la visualización del Administrador de incidentes de DLP con permisos
de redacción en la página 77
Para proteger la información confidencial y cumplir los requisitos legales que se establecen
en algunos mercados, McAfee DLP Endpoint ofrece una función de redacción de datos.
Caso práctico: Permisos de administrador de DLP
Puede separar las tareas de administrador según sea necesario para, por ejemplo, crear un
administrador de directivas sin responsabilidades de revisión de eventos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Conjuntos de permisos.
2
Haga clic en Nuevo para crear un conjunto de permisos.
a
Escriba un nombre para el conjunto y seleccione los usuarios.
Para editar una directiva, el usuario debe ser propietario de esta o bien miembro del conjunto
de permisos de administrador global.
b
3
Haga clic en Guardar.
En el conjunto de permisos de Data Loss Prevention, seleccione Catálogo de directivas.
Administrador de directivas de DLP, Clasificaciones y Definiciones se seleccionan automáticamente.
4
En cada uno de los tres submódulos, compruebe que el usuario dispone de permisos y acceso
totales.
El valor predeterminado es Permisos totales.
El administrador puede ahora crear y cambiar las directivas, las reglas, las clasificaciones y las
definiciones.
Caso práctico: Limitar la visualización del Administrador de incidentes de
DLP con permisos de redacción
Para proteger la información confidencial y cumplir los requisitos legales que se establecen en algunos
mercados, McAfee DLP Endpoint ofrece una función de redacción de datos.
Al utilizar la redacción de datos, ciertos campos del Administrador de incidentes de DLP y de
Operaciones de DLP con información confidencial se cifran para evitar la visualización no autorizada y
se ocultan los vínculos a las pruebas.
Los campos nombre del equipo y nombre de usuario están predefinidos como confidenciales.
En este ejemplo, se indica cómo configurar los permisos del Administrador de incidentes de DLP para
un revisor de redacción, es decir, un único administrador que no puede ver los incidentes reales, pero
sí revelar campos cifrados cuando así lo precise otro revisor que esté viendo el incidente.
McAfee Data Loss Prevention 10.0.100
Guía del producto
77
4
Configuración de los componentes del sistema
Control de asignaciones con usuarios y conjuntos de permisos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos.
2
Cree conjuntos de permisos para revisores habituales y para el revisor de redacción.
a
Haga clic en Nuevo (o en Acciones | Nuevo).
b
Introduzca el nombre del grupo, como Revisor de incidentes de DLPE o Revisor de
redacción.
Podrá asignar distintos tipos de incidentes a los distintos grupos de revisores. Deberá crear los
grupos en Conjuntos de permisos para asignarles incidentes.
c
Asigne usuarios al grupo; elíjalos de entre los usuarios de McAfee ePO disponibles o asigne
usuarios de Active Directory o grupos al conjunto de permisos. Haga clic en Guardar.
El grupo aparecerá en la lista Conjuntos de permisos del panel izquierdo.
3
Seleccione un conjunto de permisos de revisor estándar y haga clic en la opción Editar de la sección
Data Loss Prevention.
a
En el panel de la izquierda, seleccione Administración de incidentes.
b
En la sección Revisor de incidentes, seleccione El usuario puede ver los incidentes que se han asignado a los
siguientes conjuntos de permisos, haga clic en el icono de selección y elija el conjunto o los conjuntos
de permisos pertinentes.
c
En la sección Redacción de datos de incidentes, anule la selección del campo Permiso de supervisor
predeterminado y seleccione la opción Ocultar datos confidenciales de incidentes.
Al seleccionarla, se activa la función de redacción. Si se deja sin seleccionar, se muestran todos
los campos de datos en texto no cifrado.
4
d
En la sección Tareas de incidentes, seleccione o anule la selección de las tareas como precise.
e
Haga clic en Guardar.
Seleccione el conjunto de permisos de revisor de redacción y haga clic en la opción Editar de la
sección Data Loss Prevention.
a
En el panel de la izquierda, seleccione Administración de incidentes.
b
En la sección Revisor de incidentes, seleccione El usuario puede ver todos los incidentes.
En este ejemplo, se presupone que existe un único revisor de redacción para todos los
incidentes. También puede asignar varios revisores de redacción a distintos conjuntos de
incidentes.
c
En la sección Redacción de datos de incidentes, seleccione las opciones Permiso de supervisor y Ocultar datos
confidenciales de incidentes.
d
En la sección Tareas de incidentes, anule la selección de todas las tareas.
Los revisores de redacción, normalmente, no tienen otras tareas de revisor. Este aspecto es
opcional y dependerá de sus necesidades específicas.
e
78
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema
Control de acceso a las funciones de McAfee DLP Prevent
4
Control de acceso a las funciones de McAfee DLP Prevent
Utilice los Conjuntos de permisos de McAfee ePO para controlar qué funciones de su organización tienen
acceso a McAfee DLP Prevent y a las directivas y la configuración de Administración de appliances.
Restricción de la visualización de appliances por parte de los
usuarios en el Árbol de sistemas
Utilice la opción Ningún permiso para restringir la visualización de appliances por parte de los usuarios en
el Árbol de sistemas, así como la visualización o edición de las directivas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Conjuntos de permisos en la sección Administración de usuarios del menú.
2
Seleccione el conjunto de permisos para el cual desee editar las funciones.
3
Busque la función Directiva de DLP Prevent y haga clic en Editar.
4
Seleccione Ningún permiso y haga clic en Guardar.
Permitir que los usuarios editen la directiva
Configure la función para que permitir que los usuarios vean y cambien la configuración de directivas y
tareas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Conjuntos de permisos en la sección Administración de usuarios del menú.
2
Seleccione el conjunto de permisos para el cual desee editar las funciones.
3
Busque la función Directiva de DLP Prevent y haga clic en Editar.
4
Seleccione Ver y modificar la configuración de directivas y tareas y haga clic en Guardar.
Control de acceso a las funciones de Administración de
appliances
Para McAfee DLP Prevent, puede aplicar dos funciones a las funciones de Administración de appliances.
•
Directiva común de Administración de Appliances: Controla quién puede ver o cambiar la
directiva de Ajustes generales de administración de appliances en el Catálogo de directivas.
•
Administración de appliances: Controla quién puede ver las estadísticas y tareas de la
administración de appliances y quién puede crear y ejecutar las tareas de la base de datos.
Para obtener más información sobre los permisos para las funciones de Administración de appliances,
consulte los temas de la Extensión de ayuda de la administración de appliances.
Permitir que los usuarios vean las estadísticas de Administración de
appliances
Permita que los usuarios de un conjunto de permisos seleccionado vean el estado y las estadísticas del
sistema en el panel Administración de appliances.
McAfee Data Loss Prevention 10.0.100
Guía del producto
79
4
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, abra el menú y seleccione Conjuntos de permisos en la sección Administración de usuarios.
2
Seleccione el conjunto de permisos para el cual desee editar las funciones.
3
Seleccione la función Administración de appliances y haga clic en Editar.
4
En Estado y estadísticas del appliance, seleccione Ver estado y estadísticas y haga clic en Guardar.
Restricción de la visualización de la configuración de Ajustes generales de
administración de appliances por parte de los usuarios
La configuración de directiva de Ajustes generales de administración de appliances permite que los usuarios
definan la fecha y la hora del appliance, agreguen servidores DNS y rutas estáticas, permitan el inicio
de sesión remoto mediante SSH y agreguen uno o más servidores de registro remoto.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, abra el menú y seleccione Conjuntos de permisos.
2
Seleccione el conjunto de permisos para el cual desee editar las funciones.
3
Haga clic en Editar junto a la Directiva común de Administración de Appliances.
4
Seleccione Ningún permiso y haga clic en Guardar.
Uso de las directivas de McAfee DLP Prevent
La configuración de las directivas está disponible en el Catálogo de directivas:
Servidor de DLP Prevent
•
Utilice la categoría Configuración de correo electrónico para definir los Hosts inteligentes, los hosts
permitidos y las opciones de configuración de Transport Layer Security (TLS).
•
Utilice la categoría General para especificar la configuración del tiempo de espera de conexión y
proteger el appliance frente a ataques de denegación de servicio.
•
Utilice la categoría Usuarios y grupos para seleccionar un servidor LDAP desde el que obtener
información de usuario y configurar McAfee Logon Collector.
Data Loss Prevention
Edite las opciones de configuración del Servicio de copia de pruebas en la categoría de directiva Configuración
del servidor de McAfee Data Loss Prevention para trabajar con McAfee DLP Prevent.
Las siguientes opciones de la sección Servicio de copia de pruebas de la categoría de directiva Configuración del
servidor no se aplican a McAfee DLP Prevent.
80
•
El espacio libre en el disco duro debe ser superior a (MB):
•
Ancho de banda de transmisión de pruebas máximo (kBps)
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
4
Ajustes generales de administración de appliances
Edite la categoría General para:
•
Especificar la configuración del DNS.
•
Configurar servidores de registro remoto.
•
Editar la fecha y la hora del appliance.
•
Permitir la supervisión y alertas de SNMP.
•
Agregar ajustes de enrutamiento estático.
Para obtener más información sobre la configuración de la directiva Ajustes generales del appliance , consulte
los temas de la Extensión de ayuda de la administración de appliances.
Establecer la configuración del tiempo de espera de conexión
Cambie el número de segundos durante los cuales McAfee DLP Prevent intentará conectarse con un
MTA.
De forma predeterminada, McAfee DLP Prevent intenta conectarse durante veinte segundos. Si en ese
tiempo es imposible establecer la conexión, existe un problema con la red o con el MTA que debería
investigarse.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría General y abra la directiva que desee
editar.
3
En Conexión en curso, escriba el número de segundos que McAfee DLP Prevent puede dedicar a
intentar conectarse a un MTA.
4
Haga clic en Guardar.
Especifique un nivel máximo de anidación de datos adjuntos
archivados
Para proteger el appliance frente a ataques de denegación de servicio, establezca el nivel máximo de
anidación de datos adjuntos archivados que McAfee DLP Prevent intente analizar antes de que se
agote el tiempo.
Un ejemplo de archivo adjunto anidado es un archivo .zip dentro de otro archivo zip.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría General y abra la directiva que desee
editar.
3
En Nivel máximo de anidamiento, establezca el nivel máximo de anidamiento de datos adjuntos
archivados.
4
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
81
4
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
Agregar MTA adicionales que puedan entregar el correo
electrónico
McAfee DLP Prevent entrega mensajes de correo electrónico mediante el Host inteligente configurado.
Además del Host inteligente, puede agregar más MTA a los que McAfee DLP Prevent puede entregar
mensajes de correo electrónico.
Antes de empezar
Asegúrese de que tiene las direcciones IP o nombres de los Hosts inteligentes.
McAfee DLP Prevent puede aceptar mensajes de correo electrónico de más de un MTA, pero reenvía
los mensajes de correo electrónico inspeccionados únicamente a uno de los Hosts inteligentes
configurados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la
directiva que desee editar.
3
Agregue los detalles de los MTA que desee utilizar.
4
Haga clic en Actualizar.
5
Haga clic en Guardar.
Entregar correos electrónicos mediante un enfoque de
operación por turnos
Configurar McAfee DLP Prevent para entregar a varios servidores de correo electrónico mediante la
distribución de los mensajes de correo electrónico entre ellos.
Antes de empezar
Asegúrese de que tiene las direcciones IP o nombres de los Hosts inteligentes.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
82
1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la
directiva que desee editar.
3
Seleccione la casilla de verificación Turnos y añada los detalles de los agentes de transferencia de
mensajes (MTA) que desee utilizar.
4
Haga clic en Actualizar.
5
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
Limitar las conexiones a las redes o los sistemas host
especificados
De forma predeterminada, McAfee DLP Prevent acepta mensajes procedentes de cualquier host.
Especifique los hosts que pueden enviar mensajes a McAfee DLP Prevent para que solo los MTA de
origen legítimos puedan retransmitir correos electrónicos a través del appliance.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la
directiva que desee editar.
3
Seleccione Aceptar solo correo de estos hosts.
4
Escriba los detalles de un host desde el que el appliance de McAfee DLP Prevent pueda recibir
mensajes.
Agregue la información del host mediante su dirección IP y subred, nombres de dominio o nombre
de dominio con caracteres comodín.
5
Haga clic en Actualizar para agregar los detalles a la lista de hosts permitidos.
Puede crear grupos de hosts de retransmisión mediante subredes o dominios con caracteres
comodín. Para agregar más de una subred, debe crear entradas independientes para cada una.
Activar TLS en los mensajes entrantes o salientes
Puede especificar si McAfee DLP Prevent utiliza TLS para proteger en todo momento los mensajes
entrantes y salientes o si solo lo utiliza cuando está disponible (conocido como Oportunista).
TLS funciona mediante la comunicación con un conjunto de parámetros, conocido como negociación
inicial, al comienzo de una conexión entre los servidores participantes. Cuando se definen estos
parámetros, las comunicaciones entre los servidores se convierten en seguras, por lo que no pueden
ser descodificadas por servidores que no hayan participado en la negociación inicial.
El proceso de negociación inicial
•
El appliance solicita una conexión segura al servidor de correo electrónico receptor y le presenta
una lista de suites de cifrado.
•
El servidor receptor selecciona el cifrado admitido más potente de la lista y proporciona los detalles
para el appliance.
•
Los servidores utilizan la infraestructura de clave pública (PKI) para establecer la autenticidad
mediante el intercambio de certificados digitales.
•
Al usar la clave pública del servidor, el appliance genera un número aleatorio como clave de sesión
y lo envía al servidor de correo electrónico receptor. El servidor receptor descifra la clave mediante
la clave privada.
•
Tanto el appliance como el servidor de correo electrónico receptor utilizan la clave cifrada para
establecer la comunicación y completar el proceso de negociación inicial.
McAfee Data Loss Prevention 10.0.100
Guía del producto
83
4
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
Una vez finalizada la negociación inicial, la conexión segura se utiliza para transferir los mensajes de
correo electrónico. La conexión sigue siendo segura hasta que se cierra la conexión.
Si selecciona la opción Siempre para las comunicaciones salientes, pero el Host inteligente no está
configurado para usar TLS, McAfee DLP Prevent envía un error 550 x.x.x.x: Denegado por la
directiva. Conversación TLS requerida.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la
directiva que desee editar.
3
En Transport Layer Security, seleccione Siempre, Nunca u Oportunista para comunicaciones entrantes.
Oportunista es la configuración predeterminada.
4
Seleccione Siempre, Nunca u Oportunista para las comunicaciones salientes.
Oportunista es la configuración predeterminada.
5
Haga clic en Guardar.
Uso de servidores de autenticación externos
McAfee DLP Prevent puede funcionar con servidores LDAP registrados y con McAfee Logon Collector.
Recupera información de usuario y datos de inicio de sesión para ayudar a identificar a los usuarios
responsables de incidentes de fuga de datos mediante su nombre, grupo, departamento, ciudad o
país.
McAfee DLP Prevent puede:
•
Obtener información de los servidores de Active Directory y de los servidores de directorio
OpenLDAP que están registrados con McAfee ePO.
•
Comunicarse con un servidor LDAP registrado mediante SSL.
•
Actuar en las reglas de protección del correo electrónico y protección web que se aplican a usuarios
y grupos específicos.
•
Conectarse a los puertos del Catálogo global en lugar de a los puertos LDAP estándar para recuperar
información sobre usuarios y grupos al consultar Active Directory.
•
Incluir información del usuario en los incidentes para que pueda ver todos los incidentes generados
por un usuario, independientemente del producto de McAfee DLP que los haya detectado.
McAfee Logon Collector registra los eventos de inicio de sesión de usuarios de Windows y comunica la
información a McAfee DLP Prevent. McAfee DLP Prevent puede asignar una dirección IP a un nombre
de usuario de Windows si no hay más información de autenticación disponible.
¿Qué sucede si el servidor LDAP no está disponible?
McAfee DLP Prevent almacena la información LDAP en caché. La caché se actualiza cada 24 horas, por
lo que la no disponibilidad temporal del servidor LDAP no afecta a la disponibilidad del servicio de
McAfee DLP Prevent. Si se produce un error en la actualización de la caché, McAfee DLP Prevent utiliza
la caché anterior. Si la caché anterior no está disponible, realiza una búsqueda LDAP para obtener la
información.
84
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
4
En caso de que McAfee DLP Prevent necesite información de grupos LDAP para evaluar las reglas para
una solicitud o un mensaje y LDAP no esté configurado o el servidor no esté disponible:
•
Para tráfico SMTP: se devuelve un código de error temporal (451), de forma que el mensaje se
pone en cola en el servidor de envío y se produce un reintento.
•
Para tráfico ICAP: se devuelve un código 500 de estado ICAP, el cual indica que el servidor ha
encontrado un error y no ha podido analizar la solicitud. Puede configurar su gateway web para que
se abra o se cierre en caso de recibir un error del servidor de McAfee DLP Prevent.
Servidores OpenLDAP y Active Directory
•
OpenLDAP y Active Directory producen esquemas de usuario distintos. Active Directory dispone de
un conjunto de parámetros restringido, mientras que OpenLDAP es personalizable.
•
Los servidores de OpenLDAP y Active Directory identifican a los usuarios mediante distintos
métodos de identificación. Active Directory utiliza sAMAccountName, mientras que OpenLDAP
utiliza UID. Las consultas LDAP para sAMAccountName se controlan mediante la propiedad UID en
los sistemas OpenLDAP.
•
Los servidores OpenLDAP y Active Directory también identifican clases de usuario mediante
distintos atributos de usuario. En lugar de clases de objetos de usuario, OpenLDAP utiliza
inetOrgPerson, que no admite atributos de país o memberOf.
Autenticación de protección web adicional
Al aplicar reglas de protección web, McAfee DLP Prevent puede obtener información de usuario de:
•
Encabezado de solicitud de ICAP X-Authenticated-User enviado desde la gateway web.
•
McAfee Logon Collector
Si se indica un nombre de usuario en el encabezado de ICAP X-Authenticated-User, este se utiliza con
preferencia a los datos de McAfee Logon Collector.
Práctica recomendada: Se recomienda utilizar el encabezado X-Authenticated-User como método de
autenticación porque indica que la gateway web ha autenticado al usuario final de forma positiva. Para
configurarlo, debe realizar varias configuraciones adicionales en la gateway web. Para obtener más
información, vea la documentación de producto de su gateway web.
Si el encabezado X-Authenticated-User no está disponible, puede configurar McAfee Logon Collector
para que ofrezca autenticación adicional. McAfee Logon Collector es otro producto de McAfee que
supervisa los eventos de inicio de sesión de Windows y asigna una dirección IP a un identificador de
seguridad (SID). Para utilizar McAfee Logon Collector, debe tener al menos un servidor LDAP
configurado: McAfee DLP Prevent puede consultar a este servidor para convertir un SID en un nombre
de usuario.
Al aplicar reglas de protección web, McAfee DLP Prevent evalúa la información de grupo a partir de la
información de usuario. Ignora cualquier valor del encabezado X-Authenticated-Groups de la gateway
web.
Para obtener información de usuarios o grupos al aplicar reglas de protección web, debe tener al menos
un servidor LDAP configurado. McAfee DLP Prevent consulta a los servidores LDAP para obtener los
atributos requeridos. Por ejemplo, para McAfee Logon Collector, McAfee DLP Prevent utiliza el servidor
LDAP para convertir el SID en un DN de usuario.
Esquemas de autenticación admitidos
McAfee DLP Prevent admite los esquemas de autenticación LDAP y NTLM para procesar el encabezado
X-Authenticated-User desde la gateway web.
McAfee Data Loss Prevention 10.0.100
Guía del producto
85
4
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
Con NTLM, McAfee DLP Prevent espera que el formato del encabezado X-Authenticated-User sea
NTLM://<NetBIOS_name/sAMAccountName> para Active Directory.
No se admite NTLM con OpenLDAP.
Con LDAP, McAfee DLP Prevent espera que el formato del encabezado X-Authenticated-User sea
LDAP://<LDAP_servername/distinguished-name> para Active Directory y OpenLDAP.
McAfee DLP Prevent utiliza el atributo LDAP distinguishedName para recuperar los detalles de usuario
para las reglas de protección web. Compruebe que su servidor LDAP expone este atributo para
asegurarse de que el esquema de autenticación LDAP funciona correctamente.
Caso práctico
Quiere configurar una regla de protección web que bloquee las cargas de datos PCI para todos los
usuarios de un departamento excepto uno.
1
Registre un servidor de Active Directory con McAfee ePO que contenga la cuenta de usuario del
empleado del que sospecha.
2
Configure McAfee Logon Collector.
3
Cree una regla de protección web que busque solicitudes web de usuarios en el grupo NOMBRE DEL
GRUPO coincidentes con una clasificación.
4
Cree una excepción para el usuario NOMBRE DE USUARIO.
5
Defina la reacción como Bloquear.
6
Compruebe en el Administrador de incidentes de DLP si hay incidentes enviados por el usuario que
contengan el nombre de componente.
Recuperar información de los servidores LDAP registrados
McAfee DLP Prevent puede obtener información de usuarios y grupos de servidores LDAP registrados
con McAfee ePO. Seleccione los servidores LDAP registrados de los que desee que los appliances de
McAfee DLP Prevent obtengan información.
Antes de empezar
Se han registrado los servidores LDAP con McAfee ePO.
Para obtener más información sobre el registro de servidores LDAP con McAfee ePO,
consulte la Guía de producto de McAfee ePolicy Orchestrator.
Los detalles de los usuarios y grupos se utilizan al evaluar la información del Remitente en una regla de
Protección de correo electrónico. McAfee DLP Prevent puede:
•
Conectarse a los servidores OpenLDAP y Active Directory.
•
Comunicarse con un servidor LDAP registrado mediante SSL.
•
Conectarse a los puertos del Catálogo global en lugar de a los puertos LDAP estándar para recuperar
información sobre usuarios y grupos al consultar Active Directory.
Si ha configurado Active Directory para utilizar los puertos del Catálogo global, asegúrese de que al
menos uno de estos atributos se replique en el servidor del Catálogo global desde los dominios del
bosque:
86
•
proxyAddresses
•
mail
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
Si McAfee DLP Prevent necesita utilizar la autenticación NTLM para el tráfico ICAP, también deberán
replicarse los siguientes atributos de LDAP:
•
configurationNamingContext
•
netbiosname
•
msDS-PrincipalName
Los mensajes se rechazan temporalmente con un código de estado 451 cuando se cumplen estas dos
condiciones:
•
McAfee DLP Prevent utiliza reglas que especifican que el remitente es un miembro de un
determinado grupo de usuarios LDAP.
•
McAfee DLP Prevent no está configurado para recibir información del servidor LDAP que
contiene ese grupo de usuarios.
Los eventos se envían al informe Eventos de clientes si se produce un error de sincronización
con el servidor LDAP o de una consulta LDAP.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría Usuarios y grupos y abra la directiva que
desee editar.
3
En Servidores LDAP, seleccione los servidores LDAP que desee utilizar.
4
Haga clic en Guardar.
Agregar un certificado y un servidor de Logon Collector en McAfee DLP
Prevent
Agregue un certificado de McAfee Logon Collector en McAfee DLP Prevent y agregue un certificado de
McAfee Data Loss Prevention Prevent en McAfee Logon Collector.
Antes de empezar
Al menos un servidor de McAfee Logon Collector debe estar configurado.
Para obtener más información, consulte la Guía de administración de McAfee Logon
Collector.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Para descargar el certificado del appliance de McAfee DLP Prevent, vaya a https://<APPLIANCE>:
10443/certificados y, a continuación seleccione [host.dominio.crt]
2
En McAfee Logon Collector, seleccione Menú | CA de confianza | Nueva autoridad | Elegir archivo, seleccione
el certificado que se ha descargado y haga clic en Guardar.
3
En McAfee ePO, abra el Catálogo de directivas.
4
Seleccione el producto Servidor de DLP Prevent, elija la categoría Usuarios y grupos y abra la directiva que
desee editar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
87
4
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
5
6
Agregue los detalles del servidor de McAfee Logon Collector en McAfee DLP Prevent.
a
En la sección de McAfee Logon Collector, seleccione Identificar a los usuarios que realizan solicitudes web.
b
Haga clic en + para abrir el cuadro de diálogo Agregar.
c
Introduzca la dirección IPv4 o un nombre de host de un servidor de McAfee Logon Collector al
que desee conectarse.
d
Edite el puerto de McAfee Logon Collector en caso de que sea necesario.
Obtenga el texto del certificado de McAfee Logon Collector.
a
En McAfee Logon Collector, seleccione Menú | Configuración del servidor.
b
Haga clic en Certificado de duplicación de identidad.
c
Seleccione el texto del certificado en el campo Base 64 y cópielo en el Portapapeles o en un
archivo.
7
Vuelva al cuadro de diálogo Agregar y seleccione Importar desde archivo o Pegar desde el Portapapeles para
agregar el texto del certificado.
8
Haga clic en Aceptar para completar la autenticación de McAfee Logon Collector.
[Opcional] Agregue más servidores de McAfee Logon Collector.
El servidor de McAfee Logon Collector se agrega a la lista de servidores.
Directiva de Ajustes generales de administración de appliances
La categoría de directivas Ajustes generales de administración de appliances se instala como parte de la
extensión de administración de appliances. Los ajustes generales se aplican a appliances nuevos o en
los que se ha restablecido la imagen inicial.
•
Información sobre fecha y hora, y zona horaria
•
Listas de servidores DNS
•
Información de enrutamiento estático
•
Configuración de inicio de sesión remoto de Secure Shell (SSH)
•
Configuración de registro remoto
•
Supervisión y alertas de SNMP
En la Ayuda de administración de appliances, se encuentra disponible información acerca de estas
opciones.
Editar la directiva de Email Gateway para trabajar con McAfee
DLP Prevent
Para redireccionar el correo electrónico desde el appliance de Email Gateway a McAfee DLP Prevent
para su análisis y emprender acciones sobre los posibles incidentes de fuga de datos, edite la directiva
de configuración de Email Gateway.
Para configurar McAfee DLP Prevent para enviar mensajes de correo electrónico a la puerta de enlace
de correo electrónico para que puedan ser procesados, edite la directiva Configuración de correo electrónico.
88
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
4
Caso práctico: Configurar Email Gateway para procesar los resultados del
análisis
Configure la directiva de configuración de correo electrónico para realizar acciones ante posibles
incidentes de fuga de datos.
Antes de empezar
Configure y ejecute un appliance de Email Gateway administrado por McAfee ePO.
Procedimiento
En este ejemplo, se supone que McAfee DLP Prevent ha detectado un posible incidente de fuga de
datos enviado en un mensaje de correo electrónico desde un appliance de Email Gateway. También se
supone que desea bloquear la salida del correo electrónico de su organización e informar al remitente
de la acción realizada. Para obtener más información sobre funciones, uso y prácticas recomendadas
para el producto, haga clic en ? o en Ayuda.
1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione McAfee Email Gateway desde la lista Productos y seleccione la directiva de configuración de
correo electrónico.
3
Seleccione Agregar directiva y haga clic en Agregar regla.
a
En Tipo de regla, seleccione Encabezado de correo electrónico.
b
En Nombre de encabezado, seleccione X-RCIS-Action.
c
En el campo Valor, seleccione ^BLOCK$.
d
Haga clic en Aceptar y, a continuación, Aceptar otra vez.
4
En Opciones de directivas, seleccione Acción basada en directivas.
5
Seleccione Aceptar y soltar los datos y, a continuación, seleccione Enviar uno o más correos electrónicos de
notificación.
6
Haga clic en Entregar un correo electrónico de notificación al remitente y en Aceptar.
7
Guarde la directiva.
Redirigir el correo electrónico a McAfee DLP Prevent
Redirija el correo electrónico de Email Gateway a McAfee DLP Prevent para su análisis.
Antes de empezar
Deje que McAfee ePO gestione un appliance de Email Gateway o un appliance virtual.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione McAfee Email Gateway en la lista de Productos y seleccione la categoría de configuración de
correo electrónico.
McAfee Data Loss Prevention 10.0.100
Guía del producto
89
4
Configuración de los componentes del sistema
Uso de las directivas de McAfee DLP Prevent
3
Haga clic en Agregar directiva y en Agregar regla.
a
En Tipo de regla, seleccione Encabezado de correo electrónico.
b
En Nombre de encabezado, seleccione X-MFE-Encrypt y defina la Coincidencia como "no está presente".
c
Haga clic en Aceptar y en Aceptar de nuevo.
4
En Opciones de directivas, seleccione Acción basada en directivas.
5
Seleccione Ruta a una retransmisión alternativa.
6
Seleccione la retransmisión para el servidor de McAfee DLP Prevent y haga clic en Aceptar.
Consulte la Ayuda en línea de McAfee ePO para obtener información sobre las retransmisiones.
7
Guarde la directiva.
Integrar McAfee DLP Prevent en un entorno web
McAfee DLP Prevent trabaja con el proxy web para proteger el tráfico web.
McAfee DLP Prevent utiliza ICAP o ICAPS (ICAP a través de TLS) para procesar el tráfico web, que
utiliza estos puertos:
•
ICAP: 1344
•
ICAPS: 11344
Utilice estos pasos de alto nivel para configurar el entorno y obtener protección web.
1
Configure los clientes de endpoint para enviar el tráfico web para el proxy web.
2
Configure el proxy web para reenviar el tráfico HTTP a McAfee DLP Prevent a través de ICAP.
3
Configurar la directiva de McAfee DLP Prevent para especificar la acción que se desea realizar en
función del contenido del tráfico.
Ejemplo: Configurar una regla para permitir o bloquear el tráfico de determinados usuarios que
contenga números de tarjetas de crédito.
Después de que McAfee DLP Prevent analice el tráfico, realiza una de estas acciones:
•
Permite el tráfico e informa al proxy web.
•
Se deniega el tráfico y muestra una página de bloqueo al usuario.
Véase también
Protección del tráfico web en la página 20
Caso práctico: Permiso para que un grupo de usuarios específico envíe información de crédito
en la página 173
Integrar con Web Gateway
Configurar Web Gateway para reenviar el tráfico ICAP a McAfee DLP Prevent para su análisis.
McAfee DLP Prevent devuelve una respuesta a Web Gateway para permitir o denegar la página.
90
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema
Funciones de McAfee ePO
4
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En Web Gateway, seleccione Directiva y, a continuación, haga clic en la ficha Configuración.
2
Siga estos pasos para crear al cliente ICAP REQMOD.
3
4
5
6
a
Haga clic con el botón derecho en Cliente ICAP y, a continuación, haga clic en Agregar.
b
Introduzca un nombre como, por ejemplo, ICAP-REQMOD-Client.
c
En el panel Configuración de, seleccione Cliente ICAP.
d
En el panel Servicio ICAP, haga clic en Agregar.
e
Introduzca un nombre y, a continuación, haga clic en Aceptar y editar.
f
Haga clic en el signo más de color verde (Agregar servidor ICAP) y, a continuación, escriba la
dirección IP y el puerto del appliance de McAfee DLP Prevent.
g
Haga clic en Aceptar tres veces.
Agregue el conjunto de reglas.
a
Haga clic en la ficha Conjuntos de reglas.
b
Seleccione Agregar | Conjunto de reglas de la biblioteca.
c
Seleccione el conjunto de reglas Cliente ICAP y, a continuación, haga clic en Aceptar.
Edite la configuración de REQMOD.
a
En la ficha Conjuntos de reglas expanda el conjunto de reglas Cliente ICAP y seleccione ReqMod.
b
Seleccione Llamar al servidor de ReqMod y, a continuación, haga clic en Editar.
c
Seleccione el paso Criterios de la regla.
d
Seleccione Si se encuentran coincidencias con los siguientes criterios.
e
Seleccione la entrada de los criterios y haga clic en Editar.
f
Desde la lista desplegable Configuración, seleccione el cliente ICAP REQMOD que ha creado.
g
Haga clic en Aceptar y, a continuación, haga clic en Finalizar.
Active la regla.
a
En la ficha Conjuntos de reglas, seleccione la regla Cliente ICAP.
b
Seleccione Activar.
Haga clic en Guardar cambios.
Funciones de McAfee ePO
McAfee DLP utiliza las siguientes funciones de McAfee ePO.
Debe disponer de los permisos apropiados para acceder a la mayoría de funciones.
McAfee Data Loss Prevention 10.0.100
Guía del producto
91
4
Configuración de los componentes del sistema
Funciones de McAfee ePO
Función de McAfee Elementos agregados
ePO
Acciones
Acciones que puede realizar desde el Árbol de sistemas o utilizar para
personalizar las respuestas automáticas.
Tareas cliente
Tareas cliente que puede usar para automatizar la administración y el
mantenimiento en los sistemas cliente.
Paneles
Paneles y monitores que puede usar para realizar un seguimiento de su
entorno.
Eventos y
respuestas
• Eventos para los que se pueden configurar respuestas automáticas.
Propiedades de
sistema gestionado
Propiedades que puede revisar en el Árbol de sistemas o utilizar para
personalizar las consultas.
Conjuntos de
permisos
• Conjuntos de permisos.
Directivas
Categorías de directiva Directiva de DLP, Configuración del cliente Windows y
Configuración del cliente Mac OS para McAfee DLP Endpoint y Configuración
del servidor para McAfee DLP Discover en el grupo de productos Data Loss
Prevention 10.
• Grupos de evento y tipos de evento que puede usar para personalizar las
respuestas automáticas.
• Categoría de permisos de Data Loss Prevention disponible en todos los
conjuntos de permisos existentes.
Consultas e informes • Consultas predeterminadas que puede usar para ejecutar informes.
• Grupos de propiedades personalizados basados en propiedades de sistemas
gestionados que puede usar para crear sus propios informes y consultas.
Tareas servidor
Se utiliza para las tareas de Administrador de incidentes de DLP y Operaciones de DLP.
Protección de datos
Se utiliza para configurar, gestionar y supervisar McAfee DLP.
Help Desk
Se utiliza para emitir claves de desafío/respuesta para desinstalar aplicaciones
protegidas, liberar archivos de la cuarentena y omitir directivas de seguridad
temporalmente cuando hay una necesidad empresarial legítima.
Si desea obtener información adicional acerca de estas funciones, consulte la documentación de
McAfee ePO.
92
McAfee Data Loss Prevention 10.0.100
Guía del producto
5
Protección de medios extraíbles
®
McAfee Device Control protege a las empresas de los riesgos asociados con la transferencia no
autorizada de contenido de carácter confidencial siempre que se utilizan dispositivos de
almacenamiento.
Device Control puede supervisar o bloquear dispositivos conectados a equipos gestionados por la
empresa, lo que le permite controlar su uso en lo que respecta a la distribución de información
confidencial. Teléfonos inteligentes, dispositivos de almacenamiento extraíbles, dispositivos Bluetooth,
reproductores de MP3 o dispositivos Plug and Play: todos se pueden controlar.
McAfee Device Control es un componente de McAfee DLP Endpoint que se vende por separado. Aunque
se utilice el término "Device Control" en esta sección, todas las funciones y descripciones también
están disponibles en McAfee DLP Endpoint. La implementación de las reglas de Device Control en los
equipos Microsoft Windows y OS X es parecida, pero no idéntica. En la siguiente tabla, se exponen
algunas de las diferencias.
Tabla 5-1 Terminología de Device Control
Término
Sistemas
operativos
Definición
Clase de dispositivo
Windows
Grupo de dispositivos que tienen características
parecidas y que se pueden gestionar de un modo
similar. Las clases de dispositivo tienen los estados
Gestionada, No gestionada o En lista blanca.
Definición del
dispositivo
Windows y Mac OS Lista de propiedades de dispositivo que se emplea
X
para identificar o agrupar dispositivos.
Propiedad del
dispositivo
Windows y Mac OS Propiedad, como tipo de bus, ID de proveedor o ID
X
de producto, que se puede usar para definir un
dispositivo.
Regla de dispositivo
Windows y Mac OS Determina la acción que se debe llevar a cabo
X
cuando un usuario intenta utilizar un dispositivo cuya
definición coincide con la de la directiva. La regla se
aplica al hardware y afecta tanto al controlador del
dispositivo como al sistema de archivos. Las reglas
de dispositivos se pueden asignar a usuarios finales
concretos.
Dispositivo gestionado
Windows
Estado de clase de dispositivo que indica que los
dispositivos incluidos en ella los gestiona Device
Control.
Regla para dispositivos Windows y Mac OS Sirve para bloquear o supervisar un dispositivo, o
de almacenamiento
X
configurarlo como de solo lectura.
extraíbles
Regla de protección de
almacenamiento
extraíble
McAfee Data Loss Prevention 10.0.100
Windows y Mac OS Determina la acción que se debe llevar a cabo
X
cuando un usuario intenta copiar contenido
establecido como confidencial en un dispositivo
gestionado.
Guía del producto
93
5
Protección de medios extraíbles
Protección de dispositivos
Tabla 5-1 Terminología de Device Control (continuación)
Término
Sistemas
operativos
Definición
Dispositivo no
gestionado
Windows
Estado de clase de dispositivo que indica que los
dispositivos incluidos en ella no los gestiona Device
Control.
Dispositivo en lista
blanca
Windows
Estado de clase de dispositivo que indica que los
dispositivos incluidos en ella no los puede gestionar
Device Control, ya que intentar gestionarlos puede
afectar al equipo gestionado, al mantenimiento del
sistema o a la eficiencia.
Contenido
Protección de dispositivos
Gestión de dispositivos con clases de dispositivos
Definir una clase de dispositivo
Organización de dispositivos con definiciones de dispositivos
Propiedades del dispositivo
Reglas de control de dispositivos
Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles
Protección de dispositivos
Las unidades USB, los pequeños discos duros externos, los smartphones y demás dispositivos
extraíbles sirven para eliminar de la empresa datos de carácter confidencial.
Las unidades USB son un método sencillo, barato y apenas rastreable a la hora de descargar grandes
cantidades de datos. A menudo, se consideran el "arma preferida" para las transferencias de datos no
autorizadas. El software de Device Control supervisa y controla las unidades USB y demás dispositivos
externos, incluidos smartphones, dispositivos Bluetooth, dispositivos Plug and Play, reproductores de
audio y discos duros que no pertenecen al sistema. Device Control se ejecuta en la mayoría de los
sistemas operativos Windows y OS X, incluidos los servidores. Consulte la página de requisitos del
sistema de esta guía para obtener más información.
La protección de McAfee Device Control se construye en tres capas:
•
Clases de dispositivos: Recopilaciones de dispositivos que cuentan con características parecidas
y que se pueden gestionar de un modo similar. Las clases de dispositivo son solo pertinentes para
las definiciones y reglas de dispositivos Plug and Play, y no para los sistemas operativos OS X.
•
Definiciones de dispositivos: Identificación y agrupación de dispositivos en función de las
propiedades que tienen en común.
•
Reglas para dispositivos: Control del comportamiento de los dispositivos.
Una regla de dispositivos se compone de una lista de las definiciones de dispositivos incluidas o
excluidas de la regla, y la acción realizada cuando el uso del dispositivo activa la regla. Además, puede
especificar los usuarios finales incluidos o excluidos de la regla. De forma opcional, pueden incluir una
definición de aplicaciones para filtrar la regla conforme al origen del contenido de carácter
confidencial.
94
McAfee Data Loss Prevention 10.0.100
Guía del producto
Protección de medios extraíbles
Gestión de dispositivos con clases de dispositivos
5
Reglas de protección de almacenamiento extraíble
Además de las reglas para dispositivos, Device Control incluye un tipo de regla de protección de datos.
Las reglas de protección de almacenamiento extraíble incluyen una o más clasificaciones para definir
el contenido de carácter confidencial que activa la regla. De forma opcional, pueden incluir una
definición de aplicaciones o URL de navegador Web, así como incluir o excluir a usuarios finales.
No se pueden utilizar URL de navegadores web en McAfee DLP Endpoint for Mac.
Gestión de dispositivos con clases de dispositivos
La Clase de dispositivos es una recopilación de dispositivos que tienen características parecidas y que
se pueden gestionar de modo similar.
Las clases de dispositivo asignan un nombre e identifican los dispositivos utilizados por el sistema.
Cada definición de clase de dispositivo incluye un nombre, y uno o varios identificadores únicos
globales (GUID). Por ejemplo, Intel® PRO/1000 PL Network Connection y Dell wireless 1490 Dual Band
WLAN Mini-Card son dos dispositivos que pertenecen a la clase Adaptador de red.
Las clases de dispositivos no se aplican a los dispositivos OS X.
Organización de las clases de dispositivo
El Administrador de directivas de DLP muestra las clases de dispositivos (integradas) predefinidas
dentro de la ficha Definiciones de Control de dispositivos. Las clases de dispositivos se clasifican por
estado:
•
Los dispositivos de tipo Gestionado son dispositivos Plug and Play específicos o de almacenamiento
extraíbles gestionados por McAfee DLP Endpoint.
•
Los dispositivos de tipo No gestionado no los gestiona Device Control según la configuración
predeterminada.
•
Los dispositivos de tipo En lista blanca son dispositivos que Device Control no trata de controlar,
como los procesadores o los dispositivos de baterías.
Para evitar que el sistema operativo o el sistema en sí funcionen indebidamente, las clases de
dispositivo no pueden editarse, pero sí duplicarse y cambiarse para añadir a la lista clases definidas
por el usuario.
Práctica recomendada: No agregue una clase de dispositivo a la lista sin probar qué consecuencias
puede tener. En el Catálogo de directivas, use la ficha Directiva de DLP | Clases de dispositivos |
Configuración para crear anulaciones temporales de estados de clases de dispositivos y de la
configuración del tipo de filtro.
Las anulaciones se pueden utilizar para probar los cambios definidos por el usuario antes de crear una
clase definitiva, así como para solucionar problemas relacionados con el control de dispositivos.
Device Control emplea definiciones de dispositivos y reglas de control de dispositivos Plug and Play
para supervisar el comportamiento de las clases de dispositivo gestionados y dispositivos concretos
pertenecientes a una clase de dispositivo gestionado. Por otra parte, las reglas para dispositivos de
almacenamiento extraíbles no requieren una clase de dispositivo gestionado. El motivo tiene que ver
con que los dos tipos de reglas de dispositivos emplean las clases de dispositivo de manera diferente:
McAfee Data Loss Prevention 10.0.100
Guía del producto
95
5
Protección de medios extraíbles
Definir una clase de dispositivo
•
Las reglas para dispositivos Plug and Play se activan en el momento en que el dispositivo de
hardware se conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es
necesario que la clase de dispositivo sea gestionado para reconocerlo.
•
Las reglas de dispositivos de almacenamiento extraíbles se activan al montar un nuevo sistema de
archivos. Cuando esto sucede, el cliente de Device Control asocia la letra de la unidad con el
dispositivo de hardware concreto y comprueba las propiedades del dispositivo. Debido a que la
reacción se debe al funcionamiento de un sistema de archivos (es decir, se produce al montarlo),
no es necesario gestionar la clase de dispositivo.
Véase también
Crear una clase de dispositivos en la página 97
Definir una clase de dispositivo
Si en la lista predefinida no existe una clase de dispositivo adecuada o si no se crea automáticamente
al instalar hardware nuevo, puede crear una nueva clase de dispositivo en la consola del administrador
de directivas de McAfee DLP Endpoint.
Obtención de un GUID
Las definiciones de la clase de dispositivos requieren un nombre y uno o varios identificadores únicos
globales (GUID).
Algunos dispositivos de hardware instalan su propia clase de dispositivos nueva. Para controlar el
comportamiento de los dispositivos de hardware Plug and Play que definen su propia clase de
dispositivos, primero debe agregar una nueva clase de dispositivos en el estado Gestionado en la lista
Clases de dispositivos.
La clase de dispositivos se define con dos propiedades: un nombre y un GUID. El nombre del nuevo
dispositivo se muestra en el administrador de dispositivos, pero el GUID solo se muestra en el registro
de Windows y no es fácil obtenerlo. Con el fin de facilitar la recuperación de los GUID y nombres de
los nuevos dispositivos, el cliente de Device Control informa del evento Nueva clase de dispositivos
encontrada al Administrador de incidentes de DLP cuando un dispositivo de hardware que no
pertenece a una clase de dispositivos reconocida se conecta al equipo host.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP | Lista de incidentes.
2
Haga clic en Editar junto a la lista desplegable Filtro para editar los criterios de filtrado.
3
En la lista Propiedades disponibles (panel izquierdo), seleccione Tipo de incidente.
4
Compruebe que el valor de la lista desplegable Comparación sea Igual a.
5
En la lista desplegable Valores, seleccione Se ha encontrado una clase nueva de dispositivo.
6
Haga clic en Actualizar filtro.
En la Lista de incidentes aparecen las nuevas clases de dispositivos encontradas en todos los equipos
Endpoint.
7
96
Para ver el nombre y el GUID de un dispositivo determinado, haga doble clic en el elemento para
mostrar los detalles del incidente.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Protección de medios extraíbles
Organización de dispositivos con definiciones de dispositivos
5
Crear una clase de dispositivos
Cree una clase de dispositivos si no existe una clase de dispositivos adecuada en la lista predefinida o
si no se ha creado automáticamente al instalar el nuevo hardware.
Antes de empezar
Obtenga el identificador único global (GUID) del dispositivo antes de empezar la tarea.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Control de dispositivos | Clase de dispositivos.
3
Siga uno de estos procedimientos:
•
Seleccione Acciones | Nuevo.
•
Busque una clase de dispositivo similar en la lista de clases de dispositivo integrada y haga clic
en la opción Duplicar de la columna Acciones. Haga clic en Editar en la clase de dispositivo
duplicada.
4
Introduzca un Nombre único y, si lo desea, una Descripción.
5
Compruebe el Estado y el Tipo de filtro requeridos.
6
Introduzca el GUID y, a continuación, haga clic en Aceptar.
El GUID debe tener el formato correcto. Este se le solicitará si lo ha introducido de forma
incorrecta.
7
Haga clic en Guardar.
Véase también
Gestión de dispositivos con clases de dispositivos en la página 95
Organización de dispositivos con definiciones de dispositivos en la página 97
Organización de dispositivos con definiciones de dispositivos
Una definición de dispositivo es una lista de propiedades como el tipo de bus, la clase de dispositivo, el
ID del proveedor y el ID del producto.
Las definiciones de dispositivos sirven para identificar y agrupar dispositivos según sus propiedades
comunes. Algunas propiedades de dispositivo se pueden aplicar a cualquier definición y otras son
exclusivas de un tipo de dispositivo concreto o de varios tipos.
Los tipos de definiciones de dispositivos disponibles son los siguientes:
•
Los dispositivos de disco duro fijo se conectan al equipo y el sistema operativo no los marca como
almacenamiento extraíble. Device Control puede supervisar las unidades de disco duro fijo que no
son unidades de arranque.
•
Los dispositivos Plug and Play se agregan al equipo gestionado sin necesidad de realizar
configuraciones ni instalaciones manuales de DLL o controladores. Entre los dispositivos Plug and
Play se incluye la mayoría de los dispositivos de Microsoft Windows. Los dispositivos de Apple OS X
solo son compatibles como USB.
McAfee Data Loss Prevention 10.0.100
Guía del producto
97
5
Protección de medios extraíbles
Organización de dispositivos con definiciones de dispositivos
•
Los dispositivos de almacenamiento extraíbles son dispositivos externos con un sistema de archivos
que aparecen en el equipo gestionado como unidades. Las definiciones de dispositivos de
almacenamiento extraíbles admiten sistemas operativos Microsoft Windows o Apple OS X.
•
Los dispositivos Plug and Play en lista blanca no interactúan correctamente con la función de
administración de dispositivos y pueden hacer que el sistema deje de responder o causar otros
problemas graves. Solo son compatibles los dispositivos con Microsoft Windows.
Las definiciones de dispositivos Plug and Play en lista blanca se agregan automáticamente a la lista
de excluidos en todas las reglas de control de dispositivos Plug and Play. Nunca serán dispositivos
gestionados, aunque la clase de dispositivo principal a la que pertenecen sea gestionado.
Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles e incluyen
propiedades adicionales relativas a los dispositivos de almacenamiento extraíbles.
Práctica recomendada: Utilice las reglas y definiciones de dispositivos de almacenamiento extraíbles
para controlar los dispositivos que se pueden clasificar de cualquiera de las dos formas, como pueden
ser los dispositivos de almacenamiento masivo USB.
Véase también
Crear una clase de dispositivos en la página 97
Uso de las definiciones de dispositivos
Varios parámetros se agregan a las definiciones de dispositivos como operador lógico O (valor
predeterminado) u operador lógico Y. Siempre se agregan varios tipos de parámetro como operador
lógico Y.
Por ejemplo, la siguiente selección de parámetros:
Crea esta definición:
•
El tipo de bus es: Firewire (IEEE 1394) O USB
•
La clase de dispositivos Y es uno de los dispositivos de memoria O de los dispositivos portátiles de
Windows
Crear una definición de dispositivos
Las definiciones de dispositivos especifican las propiedades de un dispositivo para activar la regla.
Práctica recomendada: Cree las definiciones de dispositivos Plug and Play en lista blanca para los
dispositivos que no controlan de un modo claro la gestión, lo que podría ocasionar que el sistema
dejase de responder o crear otros problemas graves. No se aplicarán otras acciones en estos
dispositivos incluso si se activa una regla.
98
McAfee Data Loss Prevention 10.0.100
Guía del producto
Protección de medios extraíbles
Organización de dispositivos con definiciones de dispositivos
5
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos.
3
Seleccione Acciones | Nuevo y, a continuación, elija el tipo de definición.
4
Introduzca un Nombre único y, si lo desea, una Descripción.
5
(Solo para dispositivos Plug and Play y dispositivos de almacenamiento extraíbles) Seleccione la
opción Se aplica a para los dispositivos Microsoft Windows u OS X.
La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativo
seleccionado.
6
Seleccione las propiedades para el dispositivo.
La lista de propiedades disponibles varía según el tipo de dispositivo.
•
Para agregar una propiedad, haga clic en >.
•
Para eliminar una propiedad, haga clic en <.
•
Para agregar valores adicionales a la propiedad, haga clic en +.
Los valores se agregan de forma predeterminada como el operador lógico O. Haga clic en el
botón Y/O para cambiarlo a Y.
•
7
Para eliminar propiedades, haga clic en -.
Haga clic en Guardar.
Creación de una definición de dispositivos Plug and Play en lista blanca
El objetivo de los dispositivos Plug and Play en lista blanca consiste en gestionar aquellos dispositivos
que no llevan a cabo la administración de dispositivos de forma correcta. Si no están en lista blanca, el
sistema puede dejar de responder o pueden producirse otros problemas graves. Las definiciones de
Plug and Play no incluidas en lista blanca no son compatibles con McAfee DLP Endpoint for Mac.
Los dispositivos Plug and Play incluidos en lista blanca se agregan a las reglas de dispositivos Plug and
Play de la ficha Excepciones. Nunca serán dispositivos gestionados, aunque la clase de dispositivos a la
que pertenecen sea gestionada.
Práctica recomendada: Para evitar problemas de compatibilidad, agregue a la lista de dispositivos en
lista blanca aquellos que no lleven a cabo correctamente la administración de dispositivos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos y, a continuación,
elija Acciones | Nuevo | Definición de dispositivos Plug and Play en lista blanca.
3
Introduzca un Nombre único y, si lo desea, una Descripción.
McAfee Data Loss Prevention 10.0.100
Guía del producto
99
5
Protección de medios extraíbles
Organización de dispositivos con definiciones de dispositivos
4
Seleccione las propiedades para el dispositivo.
•
Para agregar una propiedad, haga clic en >.
•
Para eliminar una propiedad, haga clic en <.
•
Para agregar valores adicionales a la propiedad, haga clic en +.
Los valores se agregan de forma predeterminada como el operador lógico O. Haga clic en el
botón Y/O para cambiarlo a Y.
•
5
Para eliminar propiedades, haga clic en -.
Haga clic en Guardar.
Creación de una definición de dispositivos de almacenamiento extraíbles
Un dispositivo de almacenamiento extraíble es un dispositivo externo que contiene un sistema de
archivos que aparece en el equipo gestionado como una unidad. Las definiciones de dispositivos de
almacenamiento extraíbles son más flexibles que las definiciones de dispositivos Plug and Play e
incluyen propiedades adicionales relacionadas con los dispositivos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos y, a continuación,
elija Acciones | Nuevo | Definición de dispositivos de almacenamiento extraíbles.
3
Introduzca un Nombre único y, si lo desea, una Descripción.
4
Seleccione la opción Se aplica a para los dispositivos Microsoft Windows u OS X.
La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativo
seleccionado.
5
Seleccione las propiedades para el dispositivo.
•
Para agregar una propiedad, haga clic en >.
•
Para eliminar una propiedad, haga clic en <.
•
Para agregar valores adicionales a la propiedad, haga clic en +.
Los valores se agregan de forma predeterminada como el operador lógico O. Haga clic en el
botón Y/O para cambiarlo a Y.
•
6
100
Para eliminar propiedades, haga clic en -.
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
5
Protección de medios extraíbles
Propiedades del dispositivo
Crear una definición de par de número de serie y usuario
Puede crear excepciones para reglas de dispositivos de almacenamiento extraíbles y Plug and Play
basadas en identidades de usuario y números de serie de dispositivo emparejadas. Al vincular el
dispositivo al usuario que ha iniciado sesión, se adquiere un mayor nivel de seguridad.
Antes de empezar
Obtenga los números de serie de los dispositivos que va a agregar a la definición.
Las definiciones de número de serie y de par de usuario final no son compatibles con McAfee DLP
Endpoint for Mac.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Control de dispositivos | Número de serie y par de usuario final.
3
Seleccione Acciones | Nuevo.
4
Introduzca un nombre único y una descripción opcional.
5
Introduzca la información requerida en los cuadros de texto de la parte inferior de la página y, a
continuación, haga clic en Agregar. Repita la acción según corresponda para agregar pares de
usuarios finales y números de serie adicionales.
En Tipo de usuario | Todos, deje en blanco el campo Usuario final. Si va a especificar un usuario, utilice el
formato usuario@nombre.dominio.
6
Haga clic en Guardar.
Véase también
Propiedades del dispositivo en la página 101
Propiedades del dispositivo
Las propiedades del dispositivo especifican las características del dispositivo, por ejemplo, el nombre
de dispositivo, el tipo de bus o el tipo de sistema de archivos.
La tabla proporciona definiciones de propiedades del dispositivo, los tipos de definición que utiliza la
propiedad y el sistema operativo a las que se aplican.
McAfee Data Loss Prevention 10.0.100
Guía del producto
101
5
Protección de medios extraíbles
Propiedades del dispositivo
Tabla 5-2 Tipos de propiedades de dispositivo
Nombre de
propiedad
Definición de
dispositivo
Se aplica a los
sistemas
operativos:
Descripción
Tipo de bus
Todo
• Windows:
Bluetooth,
Firewire
(IEEE1394),
IDE/SATA,
PCI, PCMIA,
SCSI, USB
Selecciona el tipo de BUS del dispositivo de la
lista disponible.
Para las reglas de dispositivos Plug and
Play, McAfee DLP Endpoint for Mac solo
admite el tipo de bus USB.
• Mac OS X:
Firewire
(IEEE1394),
IDE/SATA, SD,
Thunderbolt,
USB
Unidades de
CD/DVD
Almacenamiento
extraíble
• Windows
Contenido
cifrado por
Endpoint
Encryption
Almacenamiento
extraíble
Windows
Dispositivos protegidos con Endpoint
Encryption.
Clase de
dispositivos
Plug and Play
Windows
Selecciona la clase de dispositivo de la lista
gestionada disponible.
ID
compatibles
con
dispositivos
Todo
Windows
Una lista de descripciones de dispositivos
físicos. Resulta especialmente útil con tipos de
dispositivos que no son USB ni PCI, ya que
estos últimos se identifican más fácilmente
mediante los ID de proveedor o de dispositivo
de PCI o el ID prov./ID prod. de USB.
ID de
instancia del
dispositivo
(Microsoft
Windows XP)
Todo
Windows
Cadena generada por Windows que identifica
de forma exclusiva el dispositivo en el sistema.
• Mac OS X
Se selecciona para indicar cualquier unidad de
CD o DVD.
Ejemplo:
USB\VID_0930&PID_6533\5&26450FC&0&6.
Ruta a la
instancia del
dispositivo
(Windows
Vista y
sistemas
operativos
posteriores
de Microsoft
Windows,
incluidos los
servidores)
Nombre
descriptivo
del
dispositivo
102
Todo
McAfee Data Loss Prevention 10.0.100
• Windows
• Mac OS X
El nombre asociado a un dispositivo de
hardware, que representa su dirección física.
Guía del producto
5
Protección de medios extraíbles
Propiedades del dispositivo
Tabla 5-2 Tipos de propiedades de dispositivo (continuación)
Nombre de
propiedad
Definición de
dispositivo
Se aplica a los
sistemas
operativos:
Tipo de
sistema de
archivos
• Disco duro fijo
El tipo de sistema de archivos.
• Windows:
CDFS, exFAT, • Para discos duros, seleccione una opción de
FAT16, FAT32,
exFAT, FAT16, FAT32 o NTFS.
NTFS, UDFS
• Para los dispositivos de almacenamiento
• Mac OS X:
extraíbles, cualquiera de los anteriores
CDFS, exFAT,
además de CDFS o UDFS.
FAT16, FAT32,
HFS/HFS+,
NTFS, UDFS
• Almacenamiento
extraíble
Descripción
Mac OS X solo
admite FAT en
los discos que
no sean disco
de arranque.
Mac OS X
admite NTFS
como solo
lectura.
Acceso al
sistema de
archivos
Almacenamiento
extraíble
• Windows
Etiqueta de
volumen del
sistema de
archivos
• Disco duro fijo
• Windows
• Almacenamiento
extraíble
• Mac OS X
Número de
serie del
volumen del
sistema de
archivos
• Disco duro fijo
Windows
Número de 32 bits generado automáticamente
cuando se crea un sistema de archivos en el
dispositivo. Se puede ver si se ejecuta el
comando en la línea de comandos dir x:,
donde la x: es la letra de la unidad.
ID de
proveedor e
ID de
dispositivo
PCI
Todo
Windows
El ID de proveedor y el ID de dispositivo
asociados al dispositivo PCI. Estos parámetros
se pueden obtener de la cadena de ID de
hardware de los dispositivos físicos.
• Mac OS X
• Almacenamiento
extraíble
El acceso al sistema de archivos: solo lectura,
o de lectura y escritura.
Etiqueta de volumen definida por el usuario
que se muestra en el Explorador de Windows.
Se permite la coincidencia parcial.
Ejemplo:
PCI\VEN_8086&DEV_2580&SUBSYS_00000000
&REV_04
Dispositivos
TrueCrypt
Almacenamiento
extraíble
Windows
Se selecciona para especificar un dispositivo
TrueCrypt.
Código de
clase USB
Plug and Play
Windows
Identifica un dispositivo USB físico por su
funcionalidad general. Seleccione el código de
clase en la lista disponible.
McAfee Data Loss Prevention 10.0.100
Guía del producto
103
5
Protección de medios extraíbles
Reglas de control de dispositivos
Tabla 5-2 Tipos de propiedades de dispositivo (continuación)
Nombre de
propiedad
Definición de
dispositivo
Se aplica a los
sistemas
operativos:
Descripción
Número de
serie del
dispositivo
USB
• Plug and Play
• Windows
• Almacenamiento
extraíble
• Mac OS X
Una cadena alfanumérica exclusiva asignada
por el fabricante del dispositivo USB,
generalmente para dispositivos de
almacenamiento extraíbles. El número de serie
es la última parte del ID de instancia.
Ejemplo:
USB\VID_3538&PID_0042\00000000002CD8
Un número de serie válido tiene que tener un
mínimo de 5 caracteres alfanuméricos y no
contener los signos "&". Si la última parte del
ID de instancia no se ajusta a estos requisitos,
no es un número de serie.
ID de
• Plug and Play
proveedor e
• Almacenamiento
ID de
producto USB
extraíble
• Windows
• Mac OS X
El ID de proveedor y el ID de producto
asociados al dispositivo USB. Estos parámetros
se pueden obtener de la cadena de ID de
hardware de los dispositivos físicos.
Ejemplo:
USB\Vid_3538&Pid_0042
Reglas de control de dispositivos
Las reglas de control de dispositivos definen la medida que se debe tomar cuando se utilizan
determinados dispositivos.
104
Regla de control de
dispositivos
Descripción
Se utiliza en
Regla para dispositivos
de almacenamiento
extraíbles
Sirve para bloquear o supervisar dispositivos
de almacenamiento extraíbles o para
configurarlos como de solo lectura. Se puede
notificar al usuario la acción realizada.
McAfee DLP Endpoint
para Windows y
McAfee DLP Endpoint
for Mac
Regla para dispositivos
Plug and Play
Se utiliza para bloquear o supervisar los
McAfee DLP Endpoint
dispositivos Plug and Play. Se puede notificar al para Windows y
usuario la acción realizada.
McAfee DLP Endpoint
for Mac (solo
dispositivos USB)
Regla de acceso a
archivos en dispositivos
de almacenamiento
extraíbles
Sirve para bloquear la ejecución de archivos
ejecutables en dispositivos de complemento.
Regla de disco duro fijo
Sirve para bloquear o supervisar dispositivos
McAfee DLP Endpoint
duros fijos o para configurarlos como de solo
para Windows
lectura. Se puede notificar al usuario la acción
realizada. Las reglas para dispositivos de disco
duro fijo no protegen la partición del sistema ni
el arranque.
McAfee Data Loss Prevention 10.0.100
McAfee DLP Endpoint
para Windows
Guía del producto
5
Protección de medios extraíbles
Reglas de control de dispositivos
Regla de control de
dispositivos
Descripción
Se utiliza en
Regla para dispositivos
Citrix XenApp
Sirve para bloquear los dispositivos Citrix
asignados a sesiones de escritorio
compartidas.
McAfee DLP Endpoint
para Windows
Regla para dispositivos
TrueCrypt
Se usa para proteger los dispositivos
TrueCrypt. Se puede utilizar para bloquear,
supervisar o configurar dispositivos como de
solo lectura. Se puede notificar al usuario la
acción realizada.
McAfee DLP Endpoint
para Windows
Creación de una regla para dispositivos de almacenamiento
extraíbles
Los dispositivos de almacenamiento extraíbles aparecen en el equipo gestionado como unidades.
Utilice las reglas para dispositivos de almacenamiento extraíbles para bloquear el uso de dispositivos
extraíbles o establecerlos como de solo lectura. Se pueden utilizar en McAfee DLP Endpoint para
Windows y McAfee DLP Endpoint for Mac.
Las reglas para dispositivos de almacenamiento extraíbles no requieren una clase de dispositivo
gestionado, debido a la diferencia en la forma en que los dos tipos de reglas de dispositivos utilizan las
clases de dispositivo:
•
Las reglas para dispositivos Plug and Play se activan en el momento en que el dispositivo de
hardware se conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es
necesario que la clase de dispositivo sea gestionado para reconocerlo.
•
Las reglas para dispositivos de almacenamiento extraíbles se activan al montar un nuevo sistema
de archivos. Al montar el sistema de archivos, el software McAfee DLP Endpoint asocia la letra de
unidad con el dispositivo de hardware específico y comprueba sus propiedades. Debido a que la
reacción se debe al funcionamiento de un sistema de archivos, y no a un controlador de dispositivo,
no es necesario que la clase de dispositivo sea gestionado.
Las reglas para dispositivos tienen un parámetro Implementar en que aplica la regla a Windows o OS X, o a
ambos. Las definiciones de dispositivos utilizadas en las reglas de dispositivos tienen un parámetro Se
aplica a que especifica bien Dispositivos Windows bien Dispositivos Mac OSX. Al seleccionar las definiciones de
dispositivos, hágalas coincidir con el sistema operativo de la definición y la regla. Los clientes de McAfee
DLP Endpoint para ambos sistemas operativos ignoran las propiedades que no se aplican a dicho
sistema. Sin embargo, no puede guardar una regla que, por ejemplo, se implementa solo para
Windows, pero que contiene definiciones de dispositivos de Mac OS X.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas.
2
Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente.
3
Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control de
dispositivos.
4
Seleccione Acciones | Nueva regla | Regla para dispositivos de almacenamiento extraíbles.
5
Especifique un Nombre de regla único.
6
(Opcional) Cambie el estado y seleccione una gravedad.
7
Anule la selección de las casillas de verificación de McAfee DLP Endpoint for Windows o McAfee DLP Endpoint
for Mac OS X si la regla se aplica solo a uno de los sistemas operativos.
McAfee Data Loss Prevention 10.0.100
Guía del producto
105
5
Protección de medios extraíbles
Reglas de control de dispositivos
8
En la ficha Condición, seleccione una o varias definiciones de dispositivos de almacenamiento
extraíbles. (Opcional) Asigne grupos de usuarios finales y un Nombre de proceso a la regla.
9
(Opcional) En la ficha Excepciones, seleccione una definición en la lista blanca y rellene los campos
necesarios.
Puede agregar varias excepciones añadiendo más de una definición en lista blanca.
Las opciones Procesos excluidos y Número de serie y pares de usuario excluidos no son compatibles con McAfee
DLP Endpoint for Mac.
10 En la ficha Reacción, seleccione una Acción preventiva. (Opcional) Agregue una Notificación de usuario y
seleccione Notificar incidente.
Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador de
incidentes de DLP.
11 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera de
la red corporativa.
12 Haga clic en Guardar.
Véase también
Caso práctico: Regla para dispositivos de almacenamiento extraíbles con acceso a archivos
mediante proceso en lista blanca en la página 168
Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura en la página
169
Crear una regla para dispositivos Plug and Play
Las reglas para dispositivos Plug and Play se usan para bloquear o supervisar los dispositivos Plug and
Play. Se pueden utilizar en McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac. En el
caso de los equipos OS X, solo se admiten dispositivos USB.
Un dispositivo Plug and Play es un dispositivo que puede agregarse al equipo gestionado sin necesidad
de realizar configuraciones ni instalaciones manuales de DLL o controladores. Con el fin de que las
reglas para dispositivos Plug and Play controlen los dispositivos de hardware de Microsoft Windows, las
clases del dispositivo especificadas en las definiciones de dispositivos que usa la regla deben estar
configuradas con el estado Gestionado.
Las reglas para dispositivos tienen un parámetro Implementar en que aplica la regla a Windows o OS X, o a
ambos. Las definiciones de dispositivos utilizadas en las reglas de dispositivos tienen un parámetro Se
aplica a que especifica bien Dispositivos Windows bien Dispositivos Mac OSX. Al seleccionar las definiciones de
dispositivos, hágalas coincidir con el sistema operativo de la definición y la regla. Los clientes de McAfee
DLP Endpoint para ambos sistemas operativos ignoran las propiedades que no se aplican a dicho
sistema. Sin embargo, no puede guardar una regla que, por ejemplo, se implementa solo para
Windows, pero que contiene definiciones de dispositivos de Mac OS X.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
106
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas.
2
Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente.
3
Para abrir el conjunto de reglas y editarlas, haga clic en el nombre de dicho conjunto. Haga clic en
la ficha Control de dispositivos.
4
Seleccione Acciones | Nueva regla | Regla para dispositivos Plug and Play.
McAfee Data Loss Prevention 10.0.100
Guía del producto
5
Protección de medios extraíbles
Reglas de control de dispositivos
5
Introduzca un nombre de regla único.
6
(Opcional) Cambie el estado y seleccione una gravedad.
7
Anule la selección de las casillas de verificación de McAfee DLP Endpoint for Windows o McAfee DLP Endpoint
for Mac OS X si la regla se aplica solo a uno de los sistemas operativos.
8
En la ficha Condición, seleccione una o varias definiciones de dispositivos Plug and Play.
9
(Opcional) Asigne grupos de usuarios finales a la regla.
10 (Opcional) En la ficha Excepciones, seleccione una definición en lista blanca y rellene los campos
obligatorios.
Puede agregar varias excepciones añadiendo más de una definición en lista blanca.
11 En la ficha Reacción, seleccione una acción preventiva. Opcional: Agregue una Notificación de usuario y
elija la opción Notificar incidente.
Si no selecciona Notificar incidente, no hay ningún registro del incidente en el Administrador de incidentes de
DLP.
12 (Opcional) Seleccione una acción preventiva diferente cuando el usuario final esté trabajando fuera
de la red corporativa o esté conectado mediante VPN.
13 Haga clic en Guardar.
Véase también
Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug and Play
en la página 170
Creación de una regla de dispositivos de acceso a archivos en
dispositivos de almacenamiento extraíbles
Utilice reglas de acceso a archivos en dispositivos de almacenamiento extraíbles para bloquear la
ejecución de archivos ejecutables en dispositivos de complemento.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas.
2
Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente.
3
Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control de
dispositivos.
4
Seleccione Acciones | Nueva regla | Regla de acceso a archivos en dispositivos de almacenamiento extraíbles.
5
Especifique un Nombre de regla único.
6
(Opcional) Cambie el estado y seleccione una gravedad.
7
En la ficha Condición, seleccione una o varias definiciones de dispositivos de almacenamiento
extraíbles. (Opcional) Asigne grupos de usuarios finales a la regla.
8
(Opcional) Cambie las definiciones predeterminadas de Tipo de archivo verdadero o Extensión del archivo
según precise.
McAfee Data Loss Prevention 10.0.100
Guía del producto
107
5
Protección de medios extraíbles
Reglas de control de dispositivos
9
(Opcional) En la ficha Excepciones, seleccione Nombres de archivo en lista blanca y rellene los campos
obligatorios.
La excepción Nombre del archivo sirve para las aplicaciones que tienen que ejecutarse. Un ejemplo son
las aplicaciones de cifrado en las unidades cifradas.
10 En la ficha Reacción, seleccione una Acción preventiva. (Opcional) Agregue una Notificación de usuario y
seleccione Notificar incidente.
Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador de incidentes
de DLP.
11 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera de
la red corporativa.
12 Haga clic en Guardar.
Véase también
Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles en la página 110
Crear una regla de dispositivos de disco duro fijo
Utilice reglas de dispositivo de disco duro fijo para controlar las unidades de disco duro fijo conectadas
al equipo y no marcadas por el sistema operativo como almacenamiento extraíble. Se pueden utilizar
solo en McAfee DLP Endpoint para Windows.
Las reglas de disco duro fijo incluyen una definición de unidad con una acción para bloquearlo o
hacerlo de solo lectura, una definición de usuario final y una notificación de usuario opcional. Estas
reglas no protegen el arranque ni la partición del sistema.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas.
2
Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente.
3
Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control de
dispositivos.
4
Seleccione Acciones | Nueva regla | Regla de disco duro fijo.
5
Especifique un Nombre de regla único.
6
(Opcional) Cambie el estado y seleccione una gravedad.
7
En la ficha Condición, seleccione una o varias definiciones de dispositivo de disco duro fijo.
(Opcional) Asigne grupos de usuarios finales a la regla.
8
(Opcional) En la ficha Excepciones, seleccione una definición en lista blanca y rellene los campos
obligatorios.
Puede agregar varias excepciones añadiendo más de una definición en lista blanca.
9
En la ficha Reacción, seleccione una Acción preventiva. (Opcional) Agregue una Notificación de usuario y
seleccione Notificar incidente.
Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador de incidentes
de DLP.
108
McAfee Data Loss Prevention 10.0.100
Guía del producto
Protección de medios extraíbles
Reglas de control de dispositivos
5
10 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera de
la red corporativa.
11 Haga clic en Guardar.
Crear una regla de dispositivos Citrix
Utilice las reglas de dispositivos Citrix para bloquear los dispositivos Citrix asignados a sesiones de
escritorio compartidas.
Las reglas para dispositivos Citrix XenApp se admiten únicamente en equipos basados en Windows. El
software de McAfee DLP Endpoint puede bloquear los dispositivos Citrix asignados a sesiones de
escritorio compartidas. Se pueden bloquear todas las unidades de disquete, fijas, de CD, extraíbles y
de red, así como el redireccionamiento a impresoras y portapapeles. Puede asignar la regla a usuarios
finales determinados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas.
2
Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente.
3
Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control de
dispositivos.
4
Seleccione Acciones | Nueva regla | Regla para dispositivos Citrix XenApp.
5
Especifique un Nombre de regla único.
6
(Opcional) Cambie el estado y seleccione una gravedad.
7
En la ficha Condición, seleccione uno o varios recursos.
8
(Opcional) Asigne grupos de usuarios finales a la regla.
9
(Opcional) En la ficha Excepciones, rellene los campos obligatorios para los usuarios en lista blanca.
10 Haga clic en Guardar.
Los recursos seleccionados están bloqueados.
La única Acción preventiva para las reglas de Citrix es Bloquear. No necesita definir la acción en el panel
Reacción.
Crear una regla de dispositivos TrueCrypt
Utilice las reglas de dispositivos TrueCrypt para bloquear o supervisar los dispositivos de cifrado
virtuales TrueCrypt o configurarlos como de solo lectura. Se pueden utilizar solo en McAfee DLP
Endpoint para Windows.
Las reglas de dispositivos TrueCrypt son un subconjunto de las reglas para dispositivos de
almacenamiento extraíbles. Los dispositivos virtuales cifrados TrueCrypt pueden protegerse con las
reglas para dispositivos TrueCrypt o con reglas de protección de almacenamiento extraíble.
McAfee Data Loss Prevention 10.0.100
Guía del producto
109
5
Protección de medios extraíbles
Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles
•
Utilice una regla de dispositivos si desea bloquear o supervisar un volumen TrueCrypt o para que
sea de solo lectura.
•
Utilice una regla de protección si desea una protección basada en el contenido para los volúmenes
TrueCrypt.
El software cliente de McAfee DLP Endpoint trata todos los montajes TrueCrypt como de
almacenamiento extraíble, incluso cuando la aplicación TrueCrypt está escribiendo en el disco local.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas.
2
Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente.
3
Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control de
dispositivos.
4
Seleccione Acciones | Nueva regla | Regla para dispositivos TrueCrypt.
5
Especifique un Nombre de regla único.
6
(Opcional) Cambie el estado y seleccione una gravedad.
7
(Opcional) En la ficha Condición, asigne grupos de usuarios finales a la regla.
8
(Opcional) En la ficha Excepciones, rellene los campos obligatorios para los usuarios en lista blanca.
9
En la ficha Reacción, seleccione una Acción preventiva. (Opcional) Agregue una Notificación de usuario y
seleccione Notificar incidente.
Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador de
incidentes de DLP.
10 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera de
la red corporativa.
11 Haga clic en Guardar.
Reglas de acceso a archivos en dispositivos de almacenamiento
extraíbles
Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles se usan para bloquear la
ejecución de archivos ejecutables en dispositivos de complemento. Son compatibles únicamente con
equipos Microsoft Windows.
Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles impiden a los
dispositivos de almacenamiento extraíbles ejecutar las aplicaciones. Puede especificar los dispositivos
incluidos y excluidos en la regla. Dado que debe permitirse la ejecución de algunos ejecutables, como
las aplicaciones de cifrado en los dispositivos cifrados, la regla incluye un parámetro Nombre de archivo |
no es ninguno de para excluir los archivos denominados de la regla de bloqueo.
Las reglas de acceso a archivos utilizan el tipo y la extensión de archivo verdaderos para determinar
qué archivos se deben bloquear. El tipo de archivo verdadero identifica el archivo por su tipo de datos
registrados internamente, proporcionando una identificación precisa incluso si se cambió la extensión.
110
McAfee Data Loss Prevention 10.0.100
Guía del producto
Protección de medios extraíbles
Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles
5
De forma predeterminada, la regla bloquea los archivos comprimidos (.zip, .gz, .jar, .rar y .cab) y los
ejecutables (.bat, .bin, .cgi, .com, .cmd, .dll, .exe, .class, .sys y .msi). Puede personalizar las
definiciones de extensiones de archivos para agregar cualquier tipo de archivo que precise.
Las reglas de acceso a archivos también impiden que los archivos ejecutables se copien en dispositivos
de almacenamiento extraíbles, puesto que el controlador de filtros de archivo no puede diferenciar entre
abrir y crear un ejecutable.
McAfee Data Loss Prevention 10.0.100
Guía del producto
111
5
Protección de medios extraíbles
Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles
112
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial
Clasificaciones para identificar y rastrear archivos y contenido de carácter confidencial.
Contenido
Componentes del módulo Clasificación
Uso de las clasificaciones
Criterios y definiciones de clasificación
Clasificación manual
Documentos registrados
Texto en lista blanca
Creación y configuración de clasificaciones
Configurar los componentes de clasificación para McAfee DLP Endpoint
Creación de las definiciones de clasificación
Caso práctico: Integración del cliente de Titus con etiquetas de terceros
Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación
Componentes del módulo Clasificación
McAfee DLP utiliza dos mecanismos para clasificar contenido de carácter confidencial: clasificaciones
de contenido e identificaciones de contenido por huellas digitales; asimismo, emplea dos modos de
clasificación: automática y manual.
Las clasificaciones automáticas se definen en McAfee DLP y McAfee ePO las distribuye por las
directivas desplegadas en equipos endpoint. A continuación, se aplican al contenido en función de los
criterios que las definen. Los usuarios autorizados aplican las clasificaciones manuales a archivos y
correos electrónicos en sus equipos endpoint. El cuadro de diálogo de clasificación manual solo está
disponible en McAfee DLP Endpoint para Windows. En todos los demás productos de McAfee DLP se
pueden implementar reglas de protección de datos en función de las clasificaciones manuales, pero no
se pueden ver ni configurar.
El módulo Clasificación de McAfee DLP almacena criterios de clasificación e identificación por huellas
digitales de contenido, así como las definiciones utilizadas para configurarlos. También es el lugar para
configurar los repositorios de los documentos registrados, la autorización del usuario para la
clasificación manual y el texto en lista blanca.
El módulo proporciona estas funciones:
•
Clasificación manual: configura los grupos de usuarios finales a quienes se permite identificar por
huellas digitales o clasificar de forma manual el contenido
•
Definiciones: Define el contenido, las propiedades y la ubicación de los archivos para la clasificación.
McAfee Data Loss Prevention 10.0.100
Guía del producto
113
6
Clasificación del contenido confidencial
Uso de las clasificaciones
•
Clasificación: crea clasificaciones y define los criterios de clasificación e identificación por huellas
digitales de contenido
•
Registrar documentos: Carga archivos que contienen contenido de carácter confidencial conocido.
•
Texto en lista blanca: Carga archivos que contienen texto para incluir en lista blanca.
Registrar documentos y Texto en lista blanca solo se encuentran disponibles en McAfee DLP Endpoint
para Windows.
Uso de las clasificaciones
Las clasificaciones identifican y rastrean el contenido de carácter confidencial aplicando huellas
digitales o clasificaciones de contenido en los archivos y su contenido.
McAfee DLP identifica y realiza el seguimiento del contenido de carácter confidencial con clasificaciones
definidas por el usuario. Todos los productos de McAfee DLP admiten clasificaciones de contenido, es
decir, pueden aplicarlas mediante la asignación de reglas de descubrimiento, control de dispositivos o
protección de datos. Todos los productos de McAfee DLP pueden implementar huellas digitales de
contenido, pero solo McAfee DLP Endpointpara Windows puede aplicarlas. Las huellas digitales del
contenido etiquetan la información confidencial; esta etiqueta permanece con el contenido incluso si
se copia a otro documento o se guarda con un formato diferente.
Clasificación del contenido
Las clasificaciones de contenido incluyen condiciones del archivo y datos que definen el contenido de
carácter confidencial. En el caso de la clasificación automática, los criterios de clasificación se
comparan con el contenido cada vez que se activa una regla de protección de datos, de
descubrimiento de endpoint o de McAfee DLP Discover. En cuanto a la clasificación manual, la
clasificación está incrustada como una etiqueta física dentro del archivo o correo electrónico. Las
clasificaciones de contenido manuales son persistentes y permanecen en el archivo cuando se copia al
almacenamiento, se adjunta a un correo electrónico o se carga en un sitio web como SharePoint.
Las clasificaciones de contenido automáticas son compatibles con todos los productos de McAfee DLP.
Las reglas de protección de datos en función de las clasificaciones manuales se implementan en todos
los productos de McAfee DLP, pero únicamente McAfee DLP Endpoint para Windows cuenta con el
cuadro de diálogo de clasificación manual que permite a los usuarios clasificar archivos.
Los criterios de clasificación de contenido identifican patrones de texto confidencial, diccionarios y
palabras clave, ya sean solas o en combinaciones. Las combinaciones pueden ser simplemente varias
propiedades especificadas o con una relación definida que se conoce como proximidad. También
pueden especificar las condiciones del archivo, como el tipo, el cifrado, las propiedades del documento
o la ubicación en el archivo (encabezado/cuerpo/pie de página).
Huellas digitales de contenido
Los criterios de identificación por huellas digitales de contenido se aplican a los archivos o al contenido
en función de uno de los siguientes criterios:
114
•
Aplicación: la aplicación que ha creado o modificado el archivo.
•
Ubicación: el recurso compartido de red o la definición del almacenamiento extraíble donde se
almacena el archivo.
•
Web: las direcciones web que abrieron o descargaron los archivos.
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial
Uso de las clasificaciones
Todas las condiciones de archivos y de datos disponibles para los criterios de clasificación también lo
están para los de identificación por huellas digitales de contenido, lo que permite que estas combinen
la funcionalidad de ambos tipos de criterios.
Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o en los
flujos de datos alternativos (ADS) de un archivo, o en una carpeta oculta (ODB$). Puede seleccionar la
tecnología preferida en la página de configuración del cliente de Windows Seguimiento de contenido. Se
aplican a un archivo cuando se guarda. El mecanismo es el mismo que el de las huellas digitales de
contenido automáticas o manuales. Si un usuario copia o mueve contenido identificado por huellas
digitales a otro archivo, los criterios de identificación por huellas digitales se aplican a ese archivo. Si
el contenido identificado por huellas digitales se elimina del archivo, también lo hacen las firmas de
huellas digitales de contenido correspondientes. Si el archivo se copia en un sistema que no es
compatible con EA o ADS (como SharePoint), los criterios de identificación por huellas digitales se
pierden.
McAfee DLP Endpoint aplica los criterios de identificación por huellas digitales de contenido a los
archivos tras la aplicación de una directiva, independientemente de si se utiliza o no la clasificación en
una regla de protección.
Aplicación de los criterios de clasificación
McAfee DLP aplica los criterios a un archivo, correo electrónico o solicitud web de una de las siguientes
maneras:
•
McAfee DLP Prevent aplica los criterios cuando un correo electrónico o solicitud web coincide con
una clasificación configurada.
•
McAfee DLP Endpoint aplica los criterios en los siguientes supuestos:
•
•
El archivo coincide con una clasificación configurada.
•
El archivo o contenido de carácter confidencial se mueve o se copia a una nueva ubicación.
•
Se encuentra la coincidencia de un archivo durante un análisis de descubrimiento.
•
Un correo electrónico o una solicitud web coinciden con una clasificación configurada.
Un usuario con permisos aplica los criterios a un archivo de forma manual.
Véase también
Creación de los criterios de clasificación en la página 129
Crear criterios de identificación por huellas digitales de contenido en la página 131
Asignar permisos de clasificación manual en la página 132
Clasificación en función del destino de los archivos
Además de clasificar el contenido por su ubicación de procedencia, puede clasificar y controlar su
destino. En la jerga de prevención de fuga de datos, esto se conoce como datos en tránsito.
Las reglas de protección de archivos que controlan los destinos incluyen lo siguiente:
•
Reglas de protección en la nube
•
Reglas de protección de correo electrónico
•
Reglas de Protección de dispositivos móviles
•
Reglas de protección de comunicaciones de la red (saliente)
•
Reglas de protección contra impresión
McAfee Data Loss Prevention 10.0.100
Guía del producto
115
6
Clasificación del contenido confidencial
Uso de las clasificaciones
•
Reglas de protección de almacenamiento extraíble
•
Reglas de Protección web
Uso del correo electrónico
McAfee DLP Endpoint protege los datos confidenciales de los encabezados, el cuerpo o los datos
adjuntos de los correos electrónicos cuando se envían. El descubrimiento de almacenamiento de
correo electrónico detecta correos electrónicos con datos confidenciales en archivos OST o PST, y los
etiqueta o los pone en cuarentena.
McAfee DLP Endpoint protege el contenido de carácter confidencial de los correos electrónicos
añadiendo clasificaciones de contenido y bloqueando el envío de correos electrónicos con contenido de
carácter confidencial. La directiva de protección de correo electrónico puede especificar reglas
diferentes para usuarios y destinos de correo electrónico distintos, o para los correos electrónicos
protegidos con el cifrado o la administración de derechos. Las reglas se pueden habilitar para McAfee
DLP Endpoint para Windows, McAfee DLP Prevent o para ambos. Las clasificaciones manuales
agregadas por McAfee DLP Endpoint para usuarios Windows son compatibles con McAfee DLP Prevent.
McAfee DLP Prevent for Mobile Email aplica clasificaciones para analizar los mensajes de correo
electrónico enviados a los dispositivos móviles. Las reglas pueden guardar pruebas y crear incidentes
que pueden asignarse a los casos.
Véase también
Reglas de protección de correo electrónico en la página 147
Definir parámetros de red
Las definiciones de red funcionan como criterios de filtrado en las reglas de protección de la red.
•
Las Direcciones de red supervisan las conexiones de red entre un origen externo y un equipo
gestionado. La definición puede ser una sola dirección, un intervalo o una subred. Puede incluir y
excluir a direcciones de red definidas en reglas de protección de comunicaciones de la red.
•
Las definiciones de Puerto de red en las reglas de protección de comunicaciones de la red le
permiten excluir servicios específicos según lo definido por los puertos de red. Se integra una lista
de servicios comunes y sus puertos. Puede editar los elementos de la lista o crear sus propias
definiciones.
•
Las definiciones de Recurso compartido de red especifican las carpetas de red compartidas en
las reglas de protección de recurso compartido de red. Puede incluir o excluir los recursos
compartidos definidos.
Uso de las impresoras
Las reglas de protección contra impresión gestionan tanto impresoras locales como de red, y bloquean
o supervisan la impresión de material confidencial.
Las reglas de protección contra impresión de McAfee DLP Endpoint admiten el modo avanzado y las
impresoras V4. Las impresoras y los usuarios finales definidos pueden incluirse en una regla o
excluirse de ella. Las impresoras de imagen y las impresoras PDF pueden incluirse en la regla.
Las reglas de protección contra impresión pueden incluir definiciones de aplicaciones. Puede definir los
procesos en lista blanca que están exentos de las reglas de protección contra impresión en la página
de Protección contra impresión de la Configuración del cliente de Windows.
116
McAfee Data Loss Prevention 10.0.100
Guía del producto
Clasificación del contenido confidencial
Uso de las clasificaciones
6
Control de la información cargada en sitios web
Las direcciones web se utilizan en reglas de protección web.
Puede utilizar las definiciones de direcciones web para evitar que los datos marcados se publiquen en
destinos web definidos (sitios web o páginas concretas de un sitio web), o para impedir que se
publiquen en sitios web no definidos. Generalmente, las definiciones de direcciones web establecen los
sitios web internos y externos en los que se admite la publicación de datos marcados.
Clasificación por ubicación de archivo
El contenido de carácter confidencial se puede definir según el lugar en que esté situado (almacenado)
o según dónde se utilice (aplicación o extensión de archivo).
McAfee DLP Endpoint utiliza varios métodos para ubicar y clasificar el contenido de carácter
confidencial. Datos en reposo es el término utilizado para describir las ubicaciones de los archivos.
Clasifica el contenido planteando preguntas como "¿dónde se encuentra en la red?" o "¿en qué carpeta
se encuentra?" Datos en uso es el término utilizado para definir el contenido por cómo y dónde se
utiliza. Clasifica el contenido planteando preguntas como "¿qué aplicación lo solicitó?" o "¿cuál es la
extensión del archivo?".
Las reglas de descubrimiento de McAfee DLP Endpoint encuentran sus datos en reposo. Pueden buscar
contenido de archivos de equipos endpoint o archivos de almacenamiento de correo electrónico (PST,
PST asignado y OST). En función de las propiedades, las aplicaciones o las ubicaciones en la
clasificación de reglas, la regla puede buscar ubicaciones de almacenamiento concretas y aplicar
directivas de cifrado, cuarentena o administración de derechos. De forma alternativa, los archivos se
pueden etiquetar o clasificar para controlar cómo se utilizan.
Extracción de texto
El extractor de texto analiza el contenido cuando se abren o se copian archivos y los compara con los
patrones de texto y las definiciones de diccionarios de las reglas de clasificación. Cuando se produce
una coincidencia, se aplican los criterios al contenido.
McAfee DLP es compatible con los caracteres acentuados. Cuando un archivo de texto ASCII contiene
una mezcla de caracteres acentuados, como los que existen en francés y español, además de otros
caracteres latinos estándar, es posible que el extractor de texto no identifique correctamente el
conjunto de caracteres. Este problema se produce en todos los programas de extracción de texto. En
este caso, no se conoce ningún método o técnica para identificar la página de código ANSI. Cuando el
extractor de texto no es capaz de identificar la página de código, no se reconocen los patrones de
texto ni las firmas de huella digital en contenido. El documento no se puede clasificar correctamente y,
por tanto, no es posible llevar a cabo las medidas de supervisión o bloqueo correctas. Para solventar
este problema, McAfee DLP utiliza una página de código de respaldo. Como respaldo, actúa el idioma
predeterminado del equipo o bien otro diferente establecido por el administrador.
Extracción de texto con McAfee DLP Endpoint
La extracción de texto se puede utilizar en los equipos Microsoft Windows y Apple OS X.
El extractor de texto puede ejecutar varios procesos en función del número de núcleos del procesador.
•
Un procesador de un núcleo solo ejecuta un proceso.
•
Un procesador de dos núcleos ejecuta hasta dos procesos.
•
Un procesador de varios núcleos ejecuta hasta tres procesos a la vez.
Si varios usuarios han iniciado sesión, cada uno contará con su propio conjunto de procesos. Así pues,
el número de extractores de texto depende del número de núcleos y de sesiones de usuario. Se
pueden consultar los diversos procesos en el Administrador de tareas de Windows. Puede configurar el
uso máximo de la memoria del extractor de texto. El valor predeterminado es 75 MB.
McAfee Data Loss Prevention 10.0.100
Guía del producto
117
6
Clasificación del contenido confidencial
Uso de las clasificaciones
Cómo categoriza aplicaciones McAfee DLP Endpoint
Antes de crear clasificaciones o conjuntos de reglas mediante aplicaciones, debe comprender de qué
modo los categoriza McAfee DLP Endpoint y el efecto que ello tiene en el funcionamiento del sistema.
No se puede utilizar esta clasificación en McAfee DLP Endpoint for Mac.
El software McAfee DLP Endpoint divide las aplicaciones en cuatro categorías llamadas estrategias.
Estas categorías o estrategias afectan el modo en el que el software funciona con las diferentes
aplicaciones. Puede cambiar la estrategia para conseguir un equilibrio entre la seguridad y el
rendimiento del equipo.
Las estrategias, en orden decreciente de seguridad, son las que se indican a continuación.
•
Editor: Cualquier aplicación que pueda modificar contenido de archivos. En esta categoría se
engloban los editores “clásicos”, como Microsoft Word y Microsoft Excel, así como navegadores,
software de edición de gráficos, software de contabilidad, etc. La mayor parte de las aplicaciones
son editores.
•
Explorador: Una aplicación que copia o mueve archivos sin cambiarlos como, por ejemplo,
Microsoft Windows Explorer o determinadas aplicaciones del shell.
•
De confianza: Una aplicación que necesita acceso sin restricciones a los archivos para realizar
análisis. Por ejemplo, el software de creación de copias de seguridad McAfee VirusScan Enterprise
y el software de búsqueda de escritorio Google Desktop.
®
•
®
Archivador: Una aplicación que puede reprocesar archivos. Por ejemplo, software de compresión
de archivos como WinZip y aplicaciones de cifrado como McAfee Endpoint Encryption o PGP.
Cómo trabajar con estrategias de DLP
Cambie la estrategia según sus necesidades para optimizar el rendimiento. Por ejemplo, una aplicación
con estrategia Editor está sometida a un alto nivel de observación, que no resulta apropiado para una
aplicación de búsqueda de escritorio, cuya función es realizar constantes operaciones de indexación.
Los efectos sobre el rendimiento son notables y, sin embargo, el riesgo de fuga de datos desde este
tipo de aplicaciones es bajo. Por lo tanto, para este tipo de aplicaciones, se recomienda utilizar la
estrategia de confianza.
Puede omitir la estrategia predeterminada en Directiva de DLP | Configuración | Estrategia de
aplicaciones. Cree y elimine omisiones según se necesario para experimentar con el ajuste de la
directiva.
También puede crear más de una plantilla para una aplicación y asignarle más de una estrategia.
Utilice plantillas diferentes en clasificaciones distintas y reglas para lograr resultados diversos en
contextos diferentes. No obstante, sea cuidadoso al asignar dichas plantillas a los conjuntos de reglas
para evitar conflictos. McAfee DLP Endpoint resuelve los posibles conflictos conforme a la jerarquía
siguiente: archivador > de confianza > explorador > editor. O lo que es lo mismo, el editor se
encuentra en la posición más baja. Si una aplicación es un editor en una plantilla y cualquier otro
elemento en otra del mismo conjunto de reglas, McAfee DLP Endpoint no trata la aplicación como
editor.
118
McAfee Data Loss Prevention 10.0.100
Guía del producto
Clasificación del contenido confidencial
Criterios y definiciones de clasificación
6
Criterios y definiciones de clasificación
Los criterios y definiciones de clasificación contienen una o varias condiciones que describen las
propiedades del contenido o del archivo.
Tabla 6-1 Condiciones disponibles
Propiedad
Se aplica a
Definición
Productos
Patrón avanzado
Definiciones y
criterios
Frases o expresiones regulares que se utilizan Todos los productos
para ver la coincidencia con datos, como
fechas o números de tarjetas de crédito.
Diccionario
Definiciones y
criterios
Recopilaciones de palabras clave y frases
relacionadas, como terminología médica u
obscenidades.
Palabra clave
Criterios
Un valor alfanumérico.
Puede agregar varias palabras clave a los
criterios de identificación por huellas digitales
o clasificación de contenido. El valor booleano
predeterminado para varias palabras clave es
O, pero se puede cambiar a Y.
Proximidad
Criterios
Se define la semejanza entre dos propiedades
en función de su ubicación con respecto a la
otra.
Se pueden utilizar patrones avanzados,
diccionarios o palabras clave para cualquiera
de las dos propiedades.
El parámetro Cercanía se define como
"inferior a x caracteres", donde el valor
predeterminado es 1. También puede
especificar un parámetro Número de
correspondencias para determinar el número
mínimo de coincidencias que derivarán en un
acierto.
Propiedades del
documento
Definiciones y
criterios
Contiene estas opciones:
• Cualquier
propiedad
• Guardado por
última vez por
• Autor
• Nombre del
administrador
• Categoría
• Seguridad
• Comentarios
• Asunto
• Empresa
• Plantilla
• Palabras clave
• Título
Cualquier propiedad es una propiedad
definida por el usuario.
McAfee Data Loss Prevention 10.0.100
Guía del producto
119
6
Clasificación del contenido confidencial
Criterios y definiciones de clasificación
Tabla 6-1 Condiciones disponibles (continuación)
Propiedad
Se aplica a
Cifrado del archivo Criterios
Definición
Productos
Contiene estas opciones:
• McAfee DLP
Endpoint for
Windows (todas
las opciones)
• Sin cifrar*
• Autoextractor cifrado de McAfee.
• McAfee Endpoint Encryption
• Cifrado de Microsoft Rights Management*
• Cifrado de administración de derechos de
Seclore.
• McAfee DLP
Discover y McAfee
DLP Prevent
(opciones
marcadas con *)
• Tipos de cifrado no compatibles o archivo
protegido con contraseña*
Extensión del
archivo
Definiciones y
criterios
Grupos de tipos de archivo compatibles como
los archivos MP3 y PDF.
Todos los productos
Información del
archivo
Definiciones y
criterios
Contiene estas opciones:
• Todos los
productos
• Fecha de acceso
• Nombre del
archivo*
• Fecha de
creación
• Propietario del
archivo
• Fecha de
modificación
• Tamaño de
archivo*
• McAfee DLP
Prevent (opciones
marcadas con *)
• Extensión del
archivo*
Ubicación en el
archivo
Criterios
La sección del archivo donde se ubican los
datos.
• Documentos de Microsoft Word: El motor de
clasificación puede identificar el
encabezado, el cuerpo y el pie de página.
• Documentos de PowerPoint: WordArt se
considera un encabezado; todo lo demás se
identifica como cuerpo.
• Otros documentos: El encabezado y el pie
de página no son aplicables. Los criterios de
clasificación no contemplarán el documento
si están seleccionados.
Etiquetas de
terceros
Criterios
Se utiliza para especificar los nombres de
campo y valores de Titus.
• McAfee DLP
Endpoint for
Windows
• McAfee DLP
Prevent
Tipo de archivo
verdadero
120
Definiciones y
criterios
McAfee Data Loss Prevention 10.0.100
Grupos de tipos de archivos.
Todos los productos
Por ejemplo, el grupo integrado de Microsoft
Excel incluye archivos Excel XLS, XLSX y XML,
así como Lotus WK1 y FM3, CSV y DIF, Apple
iWork, etc.
Guía del producto
6
Clasificación del contenido confidencial
Criterios y definiciones de clasificación
Tabla 6-1 Condiciones disponibles (continuación)
Propiedad
Se aplica a
Definición
Productos
Plantilla de
aplicación
Definiciones
La aplicación o el ejecutable que accede al
archivo.
Grupo de usuarios
finales
Definiciones
Se utilizan para definir los permisos de
clasificación manual.
• McAfee DLP
Endpoint for
Windows
Recurso
compartido de red
Definiciones
El recurso compartido de red en el que se
almacena el archivo.
Lista de URL
Definiciones
La dirección URL desde la que se accede al
archivo.
• McAfee DLP
Endpoint for Mac
McAfee DLP
Endpoint for
Windows
Véase también
Creación de las definiciones de clasificación en la página 134
Definiciones de diccionario
Un diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignada
una calificación.
Los criterios de clasificación e identificación por huellas digitales de contenido utilizan diccionarios
específicos para clasificar un documento si se supera el umbral definido (calificación total), es decir, si
aparecen en el documento suficientes palabras del diccionario.
La diferencia entre un diccionario y una cadena en una definición de palabra clave es la calificación
asignada.
•
La clasificación de una palabra clave siempre marca el documento si la expresión está presente.
•
Una clasificación de diccionarios le da más flexibilidad, ya que permite establecer un umbral, lo que
hace que la clasificación sea relativa.
Las calificaciones asignadas pueden ser negativas o positivas, lo que le permite buscar palabras o
expresiones en presencia de otras palabras o expresiones.
El software de McAfee DLP incluye varios diccionarios integrados con términos utilizados habitualmente
en los ámbitos de la salud, la banca, las finanzas y otros sectores. Además, puede crear sus propios
diccionarios. Los diccionarios se pueden crear (y editar) de forma manual o mediante la función de
copiar y pegar de otros documentos.
Limitaciones
Existen ciertas limitaciones para utilizarlos. Los diccionarios se guardan en formato Unicode (UTF-8) y
se pueden escribir en cualquier idioma. Las siguientes descripciones se aplican a los diccionarios
escritos en inglés. Las descripciones generalmente se aplican a otros idiomas, pero pueden ocurrir
problemas imprevistos en algunos.
La coincidencia de diccionarios tiene tres características:
•
Solo distingue entre mayúsculas y minúsculas cuando crea entradas de diccionario que distinguen
entre mayúsculas y minúsculas. Los diccionarios integrados, creados antes de que esta función
estuviera disponible, no distinguen entre mayúsculas y minúsculas.
•
Puede buscar coincidencias con subcadenas o frases completas.
•
Hace coincidir las frases, incluidos los espacios.
McAfee Data Loss Prevention 10.0.100
Guía del producto
121
6
Clasificación del contenido confidencial
Criterios y definiciones de clasificación
Si se especifica la coincidencia con subcadenas, tenga cuidado al introducir palabras cortas debido a la
posible aparición de falsos positivos. Por ejemplo, la entrada de "sal" en el diccionario indicaría
"saltar" y "asalto". A fin de evitar falsos positivos de este tipo, utilice la opción de coincidencia con
toda la frase o use frases improbables desde el punto de vista estadístico a fin de obtener los mejores
resultados. Otra fuente de falsos positivos son las entradas similares. Por ejemplo, en algunos listados
de enfermedades de HIPAA (Health Insurance Portability and Accountability Act), "celíaco" y
"enfermedad celíaca" aparecen como entradas independientes. Si el segundo término aparece en un
documento y se especifica la coincidencia con subcadenas, se producen dos resultados (uno para cada
entrada) y se sesga la calificación total.
Véase también
Crear o importar una definición de diccionario en la página 134
Definiciones de patrones avanzados
Los patrones avanzados utilizan expresiones regulares (regex) que permiten una coincidencia con
patrones más complejos, como números de la Seguridad Social o de tarjetas de crédito. Las
definiciones utilizan la sintaxis de expresiones regulares de Google RE2.
Las definiciones de patrones avanzados incluyen una calificación (obligatoria), como con las
definiciones de diccionario. Además, pueden incluir un validador opcional: un algoritmo utilizado para
probar las expresiones regulares. El uso del validador adecuado también puede reducir los falsos
positivos de manera significativa. La definición puede incluir una sección Expresiones ignoradas
opcional para continuar reduciendo los falsos positivos. Las expresiones ignoradas pueden ser
expresiones regex o palabras clave. Puede importar varias palabras clave para agilizar la creación de
expresiones.
Los patrones avanzados indican la presencia de texto confidencial. Los patrones de texto confidencial
se redactan en pruebas con resaltado de coincidencias.
Si se especifica un patrón incluido y otro ignorado, tiene prioridad el patrón ignorado. De esta forma, es
posible especificar una regla general y agregar excepciones sin tener que volver a escribir la regla
general.
Véase también
Crear un patrón avanzado en la página 135
Clasificación de contenido con propiedades de documentos o
información del archivo
Las definiciones de propiedades de documento clasifican el contenido mediante valores de metadatos
predefinidos. Las definiciones de información del archivo clasifican contenido por metadatos del
archivo.
Propiedades del documento
Las propiedades del documento se pueden recuperar de cualquier documento Microsoft Office o PDF, y
se pueden utilizar en definiciones de clasificación. Se admite la coincidencia parcial mediante la
comparación de Contiene.
Existen tres tipos de propiedades de documento:
122
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial
Criterios y definiciones de clasificación
•
Propiedades predefinidas: Propiedades estándar, como el autor y el título.
•
Propiedades personalizadas: Propiedades personalizadas agregadas a los metadatos del
documento admitidas por algunas aplicaciones como Microsoft Word. Una propiedad personalizada
puede hacer referencia a un tipo de documento estándar que no se encuentra en la lista de
propiedades predefinidas, pero no puede duplicar una propiedad que aparece en la lista.
•
Cualquier propiedad: Permite la definición de una propiedad por un valor. Esta función resulta
útil en los casos en los que la palabra clave se ha introducido en el parámetro de propiedad
incorrecto o cuando se desconoce el nombre de la propiedad. Por ejemplo, al agregar el valor
Secreta al parámetro Cualquier propiedad, se clasifican todos los documentos que tienen la palabra
Secreta en al menos una propiedad.
Información del archivo
Las definiciones de información del archivo se utilizan en la protección de datos y las reglas de
descubrimiento, así como en las clasificaciones, para aumentar la granularidad. La información del
archivo incluye la fecha creada, la fecha modificada, el propietario del archivo y el tamaño del archivo.
Las propiedades de la fecha tienen opciones de fecha exactas (antes, después, entre) y relativas (en
los últimos x días, semanas, años). Tipo de archivo (solo extensiones) es una lista de extensiones predefinida
y extensible.
McAfee DLP Prevent no puede detectar las condiciones de archivo Fecha de acceso, Fecha de creación, Fecha de
modificación y Propietario del archivo porque no están incrustadas en el archivo. En consecuencia, las
condiciones se pierden cuando el archivo está en movimiento o al cargarlo en la nube o en un sitio web:
Plantillas de aplicación
Una plantilla de aplicación controla aplicaciones concretas mediante propiedades como el nombre del
producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana.
Una plantilla de aplicación puede definirse para una sola aplicación o para un grupo de aplicaciones
similares. Hay plantillas integradas (predefinidas) para un número de aplicaciones comunes como el
explorador de Windows, los navegadores web, las aplicaciones de cifrado y los clientes de correo
electrónico.
La definición de plantilla de la aplicación incluye un campo con una casilla de verificación para
sistemas operativos. El análisis de archivos asignados a la memoria es una función solo de Windows y
se desactiva de forma automática cuando se seleccionan las aplicaciones OS X.
Las plantillas de aplicaciones para Microsoft Windows pueden utilizar cualquiera de los siguientes
parámetros:
•
Línea de comandos: admite argumentos de línea de comandos, como java-jar, que pueden
controlar aplicaciones que anteriormente no lo permitían.
•
Directorio ejecutable: el directorio en el que se encuentra el archivo ejecutable. Un uso de este
parámetro es controlar las aplicaciones U3.
•
Hash de archivo ejecutable: nombre de visualización de la aplicación con hash SHA2
identificativo.
•
Nombre del archivo ejecutable: por lo general, suele ser el mismo que el nombre de
visualización (menos el hash SHA2), pero puede ser distinto si se cambia el nombre del archivo.
•
Nombre del archivo ejecutable original: idéntico al nombre del archivo ejecutable, a menos
que se haya cambiado el nombre del archivo.
•
Nombre del producto: nombre genérico del producto (por ejemplo, Microsoft Office 2012) si se
incluye en las propiedades del archivo ejecutable.
McAfee Data Loss Prevention 10.0.100
Guía del producto
123
6
Clasificación del contenido confidencial
Clasificación manual
•
Nombre del proveedor: nombre de la empresa, si se incluye en la lista de propiedades del
archivo ejecutable.
•
Título de ventana: valor dinámico al que, en tiempo de ejecución, se le añade el nombre del
archivo activo.
Todos los parámetros, excepto el nombre de aplicación SHA2 y el directorio ejecutable, aceptan las
coincidencias de subcadenas.
Las plantillas de aplicaciones para OS X pueden utilizar cualquiera de los siguientes parámetros:
•
Línea de comandos
•
Directorio ejecutable
•
Hash del archivo ejecutable
•
Nombre del archivo ejecutable
Clasificación manual
Los usuarios finales pueden aplicar o eliminar manualmente clasificaciones o identificaciones por
huellas digitales de contenido a los archivos.
La función de clasificación manual aplica la clasificación de archivos. Es decir, que no es necesario que
las clasificaciones aplicadas estén relacionadas con el contenido. Por ejemplo, un usuario puede
colocar una clasificación de PCI en cualquier archivo. El archivo no tiene que contener números de
tarjeta de crédito. La clasificación manual está incrustada en el archivo. En los archivos de Microsoft
Office, la clasificación se almacena como una propiedad de documento. En los demás archivos
admitidos, se almacena como propiedad XMP. En el caso del correo electrónico, se añade como texto
marcado.
Al configurar la clasificación manual, también puede permitir que un usuario aplique manualmente
huellas digitales de contenido.
La función de clasificación manual funciona con McAfee DLP Endpoint, McAfee DLP Prevent y McAfee
DLP Discover. Las posibilidades en cuanto a la clasificación manual son las siguientes:
•
Los usuarios finales de McAfee DLP Endpoint para Windows pueden clasificar los archivos de forma
manual.
•
Los clientes de McAfee DLP Endpoint (tanto en equipos endpoint Mac como Windows) y McAfee DLP
Prevent pueden detectar de forma manual los archivos clasificados (por ejemplo, datos adjuntos
del correo electrónico) y tomar las medidas adecuadas en función de la clasificación.
•
Con McAfee DLP Discover se pueden detectar las clasificaciones manuales en los análisis de
clasificación y de corrección, así como tomar las medidas adecuadas en los análisis de corrección.
De forma predeterminada, los usuarios finales no tienen permiso para ver, agregar ni quitar
clasificaciones, pero se pueden asignar clasificaciones específicas a grupos de usuarios específicos o a
Todos. De este modo, los usuarios asignados pueden aplicar la clasificación a los archivos mientras
trabajan. La clasificación manual también le permite mantener la directiva de clasificación de su
organización incluso en aquellos casos excepcionales en los que el sistema no procesa
automáticamente la información confidencial o única.
Al configurar el permiso para la clasificación manual, tiene la opción de permitir que las clasificaciones
de contenido, las huellas digitales de contenido o ambas se apliquen de forma manual.
124
McAfee Data Loss Prevention 10.0.100
Guía del producto
Clasificación del contenido confidencial
Clasificación manual
6
Compatibilidad con la clasificación manual
McAfee DLP ofrece dos tipos de compatibilidad con las clasificaciones manuales: compatibilidad con los
archivos de Microsoft Office y compatibilidad con todos los tipos de archivos admitidos.
En lo que respecta a la creación de archivos, se pueden utilizar las aplicaciones de Microsoft Office
(Word, Excel y PowerPoint) y Microsoft Outlook. Los usuarios finales pueden elegir clasificar los
archivos haciendo clic en el icono de clasificación manual. También puede configurar las opciones para
forzar a los usuarios a clasificar los archivos mediante la activación de la ventana emergente de
clasificación manual cuando se guardan los archivos o se envían correos electrónicos de Outlook.
La clasificación manual de un correo electrónico es válida solo en un subproceso específico. Si envía el
mismo correo electrónico dos veces en subprocesos diferentes, deberá clasificarlo dos veces. En el
caso de los mensajes de correo electrónico, la información añadida al encabezado o pie de página
(establecido en la página de clasificación manual Configuración general) se agrega como texto no cifrado.
Todos los tipos de archivo admitidos pueden clasificarse con el menú del botón derecho del explorador
de Windows.
Véase también
Asignar permisos de clasificación manual en la página 132
Propiedades incrustadas
Las propiedades incrustadas cuando se utiliza la clasificación manual permiten que las aplicaciones de
terceros se integren con los documentos clasificados de McAfee DLP.
La siguiente tabla enumera los tipos de archivos admitidos y la tecnología aplicada.
Tipo de documento
Tipo de archivo verdadero
Método
Microsoft Word
DOC, DOCX, DOCM, DOT, DOTX, DOTM
Microsoft PowerPoint
PPT, PPTX, PPS, PPSX, PPSM, PPTM, POT,
POTM, POTX
propiedad del
documento
McAfee Data Loss Prevention 10.0.100
Guía del producto
125
6
Clasificación del contenido confidencial
Clasificación manual
Tipo de documento
Tipo de archivo verdadero
Microsoft Excel
XLS, XLSX, XLSM, XLSB, XLT, XLTX, XLTM
Documento XPS
XPS
Portable Document Format
PDF
Formatos de audio y vídeo
AIF, AIFF, AVI, MOV, MP2, MP3, MP4, MPA,
MPG, MPEG, SWF, WAV, WMA, WMV
Formatos de gráfico e
imagen
PNG, GIF, JPG, JPEG, TIF, TIFF, BMP, DNG,
WMF, PSD
Método
Propiedad XMP
La siguiente tabla enumera las propiedades internas.
Clasificación
Nombre de propiedad
Clasificación manual de archivos
DLPManualFileClassification
Autor de la última modificación de la clasificación de DLPManualFileClassificationLastModifiedBy
archivos
Fecha de última modificación de la clasificación de
archivos
DLPManualFileClassificationLastModificationDate
Versión de la clasificación de archivos
DLPManualFileClassificationVersion
Clasificación automática de descubrimiento de
endpoint
DLPAutomaticFileClassification
Versión de la clasificación automática de
descubrimiento de endpoint
DLPAutomaticFileClassificationVersion
Configuración de clasificaciones manuales
Clasificación manual tiene varias opciones que determinan cómo interactúa la función y qué mensajes
se muestran.
La clasificación manual permite a los usuarios finales de McAfee DLP Endpoint para Windows agregar
clasificaciones a los archivos con el menú del botón derecho en el explorador de Windows. Para
aplicaciones de Microsoft Office y Outlook, se pueden aplicar clasificaciones manuales al guardar
archivos o al enviar correos electrónicos. Todos los productos de McAfee DLP pueden aplicar las reglas
basadas en las clasificaciones manuales.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Haga clic en Clasificación manual.
3
En la lista desplegable Ver, seleccione Configuración general.
4
Seleccione o anule la selección de las opciones para ajustarse a sus necesidades empresariales.
5
(Opcional) Seleccione la información adicional que agregar al correo electrónico haciendo clic en
y seleccionando una definición de notificación o creando una.
Las notificaciones admiten la función Configuraciones regionales para todos los idiomas compatibles. La
compatibilidad con el idioma también se aplica a los comentarios de correo electrónico agregada.
Véase también
Personalización de mensajes del usuario final en la página 157
126
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial
Documentos registrados
Documentos registrados
La función de documentos registrados es una extensión de la identificación por huellas digitales de
contenido basada en la ubicación. Ofrece a los administradores otro modo de definir la información de
carácter confidencial a fin de evitar su distribución de formas no autorizadas.
McAfee DLP Discover y McAfee DLP Endpoint for Mac no admiten documentos registrados.
Los documentos registrados están predefinidos como confidenciales, por ejemplo, las hojas de cálculo
de estimaciones de venta para el siguiente trimestre. El software de McAfee DLP categoriza e identifica
por huellas digitales el contenido de estos archivos. Las firmas creadas son independientes del idioma,
es decir, el proceso funciona para todos los idiomas. Cuando crea un paquete, las firmas se cargan en
la base de datos de McAfee ePO para distribuirlas a todas las estaciones de trabajo de los endpoints.
El cliente de McAfee DLP Endpoint de los equipos gestionados controla la distribución de los
documentos que contienen fragmentos de contenido registro.
Para utilizar los documentos registrados, cargue los archivos en la pestaña Registrar documentos del
módulo Clasificación y asígnelos a una clasificación en ese momento. El cliente del endpoint ignora las
clasificaciones que no son aplicables. Por ejemplo, los paquetes de documentos registrados
clasificados con las propiedades del archivo se ignoran cuando se analiza el correo electrónico en
busca de contenido de carácter confidencial.
Existen dos opciones de vista: Estadísticas y Clasificaciones. La vista de las estadísticas muestra el
número total de archivos, su tamaño, el número de firmas, etc., en el panel de la izquierda y, en el de
la derecha, las estadísticas de cada archivo. Utilice estos datos para eliminar los paquetes menos
importantes si se va a llegar al límite de firmas. La vista de clasificaciones muestra los archivos
cargados por clasificación. En la parte superior derecha figura la información sobre la creación de
paquetes más reciente y los cambios en la lista de archivos.
Cuando crea un paquete, el software procesa todos los archivos de la lista y carga las huellas digitales
en la base de datos de McAfee ePO para su distribución. Cuando agregue o elimine documentos, debe
crear un nuevo paquete. El software no intenta calcular si ya se ha tomado la huella digital de algunos
de los archivos; siempre procesa la lista entera.
El comando Crear paquete funciona en la lista de documentos registrados y en los documentos en lista
blanca a la vez para crear un solo paquete. El número máximo de firmas por paquete es de un millón
para los documentos registrados y los documentos en lista blanca.
Véase también
Cargar documentos registrados en la página 129
Texto en lista blanca
McAfee DLP ignora el texto en lista blanca cuando procesa el contenido del archivo.
McAfee DLP Discover y McAfee DLP Endpoint for Mac no admiten texto en lista blanca.
McAfee Data Loss Prevention 10.0.100
Guía del producto
127
6
Clasificación del contenido confidencial
Creación y configuración de clasificaciones
Puede cargar los archivos que contienen texto a McAfee ePO para incluirlos en una lista blanca. El
texto en lista blanca impedirá que el contenido se clasifique o marque, incluso si hay partes de él que
coinciden con la clasificación o los criterios de identificación por huellas digitales de contenido. Utilice
la lista blanca para texto que aparezca habitualmente en los archivos, como texto repetitivo, avisos
legales e información de copyright.
•
Los archivos que van a incluirse en lista blanca deben contener al menos 400 caracteres.
•
Si un archivo contiene tanto datos categorizados como incluidos en lista blanca, el sistema no lo
ignora. Todos los criterios de clasificación e identificación por huellas digitales de contenido
asociados con el contenido siguen vigentes.
Véase también
Cargar archivos con texto para inclusión en lista blanca en la página 130
Creación y configuración de clasificaciones
Cree clasificaciones y criterios para su uso en reglas o análisis.
Procedimientos
•
Crear una clasificación en la página 128
Las reglas de protección de datos y de descubrimiento requieren definiciones de
clasificación en su configuración.
•
Creación de los criterios de clasificación en la página 129
Aplique los criterios de clasificación a los archivos en función del contenido y las
propiedades del archivo.
•
Cargar documentos registrados en la página 129
Seleccione y clasifique documentos para distribuir en los equipos Endpoint.
•
Cargar archivos con texto para inclusión en lista blanca en la página 130
Cargue los archivos que contienen el texto utilizado habitualmente para la inclusión en
listas blancas.
Crear una clasificación
Las reglas de protección de datos y de descubrimiento requieren definiciones de clasificación en su
configuración.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
128
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Haga clic en Nueva clasificación.
3
Introduzca un nombre y, si lo desea, una descripción.
4
Haga clic en Aceptar.
5
Agregue grupos de usuarios finales a la clasificación manual o documentos registrados a la
clasificación, haciendo clic en Editar para el componente correspondiente.
6
Agregue criterios de identificación por huellas digitales o clasificación de contenido con el control
Acciones.
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial
Creación y configuración de clasificaciones
Creación de los criterios de clasificación
Aplique los criterios de clasificación a los archivos en función del contenido y las propiedades del
archivo.
Los criterios de clasificación de contenido se crean a partir de las Definiciones de los archivos y los datos.
Si no existe una definición requerida, puede crearla cuando defina el criterio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Seleccione la clasificación a la que quiere agregar los criterios y haga clic en Acciones | New Content
Classification Criteria (Nuevos criterios de clasificación de contenido).
3
Introduzca el nombre.
4
Seleccione una o varias propiedades y configure las entradas de comparación y valor.
5
•
Para eliminar una propiedad, haga clic en <.
•
Para algunas propiedades, haga clic en ... para seleccionar una propiedad existente o crear una
nueva.
•
Para agregar valores adicionales a una propiedad, haga clic en +.
•
Para eliminar valores, haga clic en -.
Haga clic en Guardar.
Véase también
Uso de las clasificaciones en la página 114
Cargar documentos registrados
Seleccione y clasifique documentos para distribuir en los equipos Endpoint.
McAfee DLP Discover no admite documentos registrados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Haga clic en la ficha Registrar documentos.
3
Haga clic en Carga de archivo.
4
Busque el archivo, seleccione si desea sobrescribir o no un archivo, si ya existe el nombre de
archivo, y seleccione una clasificación.
Carga de archivo procesa un solo archivo. Para cargar varios documentos, cree un archivo .zip.
5
Haga clic en Aceptar.
El archivo se carga y procesa, y las estadísticas aparecen en la página.
McAfee Data Loss Prevention 10.0.100
Guía del producto
129
6
Clasificación del contenido confidencial
Configurar los componentes de clasificación para McAfee DLP Endpoint
Cuando haya completado la lista de archivos, haga clic en Crear paquete. Se carga un paquete de firma
de todos los documentos registrados y todos los documentos en lista blanca en la base de datos de
McAfee ePO para la distribución en equipos Endpoint.
Puede crear un paquete solo de documentos registrados o en lista blanca dejando una lista vacía.
Cuando se eliminen los archivos, quítelos de la lista y cree un nuevo paquete para aplicar los cambios.
Véase también
Documentos registrados en la página 127
Cargar archivos con texto para inclusión en lista blanca
Cargue los archivos que contienen el texto utilizado habitualmente para la inclusión en listas blancas.
McAfee DLP Discover no admite texto en lista blanca.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Haga clic en la ficha Texto en lista blanca.
3
Haga clic en Carga de archivo.
4
Busque el archivo y seleccione si desea sobrescribir o no un archivo, si ya existe el nombre de
archivo.
5
Haga clic en Aceptar.
Véase también
Texto en lista blanca en la página 127
Configurar los componentes de clasificación para McAfee DLP
Endpoint
McAfee DLP Endpoint es compatible con la clasificación manual y la aplicación de criterios de
identificación por huellas digitales de contenido.
Procedimientos
130
•
Crear criterios de identificación por huellas digitales de contenido en la página 131
Aplique criterios de identificación por huellas digitales a los archivos según la ubicación del
archivo o la aplicación.
•
Caso práctico: Identificación por huellas digitales basada en la aplicación en la página 131
Puede clasificar el contenido como confidencial según la aplicación que lo ha creado.
•
Asignar permisos de clasificación manual en la página 132
Configure a los usuarios con permisos para clasificar los archivos manualmente.
•
Caso práctico: Clasificación manual en la página 133
Se pueden asignar permisos de clasificación manual a aquellos trabajadores cuyas tareas
requieran crear con asiduidad archivos que contienen información confidencial. Pueden
clasificar los archivos a la vez que los crean como parte de su flujo de trabajo habitual.
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial
Configurar los componentes de clasificación para McAfee DLP Endpoint
Crear criterios de identificación por huellas digitales de
contenido
Aplique criterios de identificación por huellas digitales a los archivos según la ubicación del archivo o la
aplicación.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Seleccione la clasificación a la que agregar criterios.
3
Seleccione Acciones | New Content Fingerprinting Criteria (Nuevos criterios de identificación de contenido
por huellas digitales) y, a continuación, elija el tipo de criterio.
4
Introduzca un nombre y especifique información adicional según el tipo de criterios de
identificación por huellas digitales.
5
6
•
Aplicación: Haga clic en ... para seleccionar una o varias aplicaciones.
•
Ubicación: Haga clic en ... para seleccionar uno o varios recursos compartidos de red. Si fuera
necesario, especifique el tipo de medio extraíble.
•
Aplicación web: Haga clic en ... para seleccionar una o varias listas de URL.
(Opcional) Seleccione una o varias propiedades y configure las entradas de valores y comparación.
•
Para eliminar una propiedad, haga clic en <.
•
Para algunas propiedades, haga clic en ... para seleccionar una propiedad existente o crear una
nueva.
•
Para agregar valores adicionales a una propiedad, haga clic en +.
•
Para eliminar valores, haga clic en -.
Haga clic en Guardar.
Véase también
Uso de las clasificaciones en la página 114
Caso práctico: Identificación por huellas digitales basada en la
aplicación
Puede clasificar el contenido como confidencial según la aplicación que lo ha creado.
En algunos casos, el contenido se puede clasificar como confidencial según la aplicación que lo ha
creado. Un ejemplo son los mapas militares de estricta confidencialidad. Estos archivos son JPEG,
normalmente, creados con una aplicación GIS específica de las fuerzas aéreas de un país. Al
seleccionar esta aplicación en la definición de criterios de identificación por huellas digitales de
contenido, todos los archivos JPEG generados con dicha aplicación se etiquetarán como confidenciales.
Los archivos JPEG creados con otras aplicaciones no se etiquetarán.
McAfee Data Loss Prevention 10.0.100
Guía del producto
131
6
Clasificación del contenido confidencial
Configurar los componentes de clasificación para McAfee DLP Endpoint
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
En la ficha Definiciones, seleccione Plantilla de aplicación y, a continuación, seleccione Acciones | Nueva.
3
Introduzca un nombre, por ejemplo, Aplicación GIS y, si lo desea, una descripción. Si utiliza una
o más propiedades de la lista Propiedades disponibles, podrá definir la aplicación GIS. Haga clic en
Guardar.
4
En la ficha Clasificación, haga clic en Nueva clasificación e introduzca un nombre, por ejemplo,
Aplicación GIS y, si lo desea, una descripción. Haga clic en Aceptar.
5
Seleccione Acciones | Nuevos criterios de identificación por huellas digitales de contenido | Aplicación.
Se abre la página de criterios de identificación por huellas digitales de aplicaciones.
6
En el campo Nombre, introduzca un nombre para la etiqueta, por ejemplo, Etiqueta GIS.
7
En el campo Aplicaciones, seleccione la aplicación GIS creada en el paso 1.
8
En la lista Propiedades disponibles | Condiciones del archivo, seleccione Tipos de archivo verdadero. En el campo
Valor, seleccione Graphic files [integrado].
La definición integrada incluye JPEG, así como otros tipos de archivos gráficos. Al seleccionar una
aplicación, así como un tipo de archivo, solo se incluyen en la clasificación los archivos JPEG
creados por la aplicación.
9
Haga clic en Guardar y, a continuación, seleccione Acciones | Guardar clasificación.
La clasificación está lista para utilizarse en reglas de protección.
Asignar permisos de clasificación manual
Configure a los usuarios con permisos para clasificar los archivos manualmente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Haga clic en la ficha Clasificación manual.
3
En la lista desplegable Ver, seleccione Agrupar por clasificaciones o Agrupar por grupos de usuarios finales.
Puede asignar clasificaciones a grupos de usuarios finales o grupos de usuarios finales a
clasificaciones, lo que le resulte más cómodo. La lista Ver determina cómo se ven los elementos.
4
Si agrupa por clasificaciones:
a
Seleccione una clasificación en la lista desplegable.
b
En la sección Clasificaciones, elija el tipo de clasificación.
Si la lista es muy larga, redúzcala escribiendo una cadena en el cuadro de texto Filtrar lista.
132
McAfee Data Loss Prevention 10.0.100
Guía del producto
Clasificación del contenido confidencial
Configurar los componentes de clasificación para McAfee DLP Endpoint
5
c
Seleccione Acciones | Seleccionar grupos de usuarios finales.
d
En la ventana Elegir entre los valores existentes, seleccione grupos de usuarios o haga clic en Nuevo
elemento para crear un nuevo grupo. Haga clic en Aceptar.
6
Si agrupa por grupos de usuarios finales:
a
Seleccione un grupo de usuarios en la lista que aparece.
b
Seleccione Acciones | Seleccionar clasificaciones.
c
En la ventana Elegir entre los valores existentes, seleccione clasificaciones. Haga clic en Aceptar.
Caso práctico: Clasificación manual
Se pueden asignar permisos de clasificación manual a aquellos trabajadores cuyas tareas requieran
crear con asiduidad archivos que contienen información confidencial. Pueden clasificar los archivos a la
vez que los crean como parte de su flujo de trabajo habitual.
La función de clasificación manual funciona con McAfee DLP Endpoint y McAfee DLP Prevent.
En este ejemplo, un trabajador del sector sanitario sabe que todos los historiales de los pacientes
deben considerarse confidenciales según la normativa estadounidense HIPAA. A los trabajadores que
crean y editan estos historiales se les conceden permisos de clasificación manual.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
Cree uno o varios grupos de trabajadores encargados de crear o editar los historiales de los
pacientes.
a
En McAfee ePO, abra el módulo Clasificación (Menú | Protección de datos | Clasificación).
b
En la ficha Definiciones, seleccione Origen/destino | Grupo de usuarios finales.
c
Seleccione Acciones | Nuevo, cambie el nombre predeterminado por uno significativo, como Grupo
de usuarios PHI, y agregue usuarios o grupos a la definición.
d
Haga clic en Guardar.
Cree una clasificación PHI (información sanitaria protegida, "Protected Health Information").
a
Dentro del módulo Clasificación, en la ficha Clasificación, seleccione PHI [muestra] [integrado] en el panel
izquierdo y, a continuación, elija Acciones | Duplicar clasificación.
De esta forma, aparecerá una copia editable de la clasificación de muestra.
b
Cambie el nombre, la descripción y los criterios de clasificación como desee.
c
En el campo Clasificación manual, haga clic en Editar.
d
En la sección Acciones adicionales, seleccione el tipo de clasificación.
De forma predeterminada, solo se selecciona Clasificación manual.
e
Seleccione Acciones | Seleccionar grupos de usuarios finales.
f
En la ventana Elegir entre los valores existentes, seleccione el grupo o los grupos que creó
anteriormente y haga clic en Aceptar.
g
Vuelva a la ficha Clasificación y seleccione Acciones | Guardar clasificación.
McAfee Data Loss Prevention 10.0.100
Guía del producto
133
6
Clasificación del contenido confidencial
Creación de las definiciones de clasificación
Los trabajadores que formen parte de los grupos asignados ya pueden clasificar los registros de
pacientes a la vez que los crean. Para ello, haga clic con el botón derecho en el archivo, seleccione
Protección de datos y elija la opción adecuada.
En el menú, aparecerán únicamente las opciones seleccionadas (paso 2.d).
Creación de las definiciones de clasificación
Puede utilizar definiciones de clasificación predefinidas o crear nuevas definiciones. Las definiciones
predefinidas no se pueden modificar ni eliminar.
Procedimientos
•
Crear una definición de clasificación general en la página 134
Cree y configure definiciones para su uso en las clasificaciones y las reglas.
•
Crear o importar una definición de diccionario en la página 134
Un diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene
asignada una calificación. Las calificaciones tienen en cuenta definiciones de reglas más
detalladas.
•
Crear un patrón avanzado en la página 135
Los patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón
avanzado puede incluir una expresión sencilla o una combinación de expresiones y
definiciones de falsos positivos.
•
Crear una definición de lista de URL en la página 136
Las definiciones de listas de URL se utilizan para definir las reglas de protección web. Se
agregan a las reglas como condiciones de Dirección web (URL).
Véase también
Criterios y definiciones de clasificación en la página 119
Crear una definición de clasificación general
Cree y configure definiciones para su uso en las clasificaciones y las reglas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Seleccione el tipo de definición para configurar y, a continuación, seleccione Acciones | Nuevo.
3
Introduzca un nombre, y configure las opciones y las propiedades de la definición.
Las opciones y las propiedades disponibles varían según el tipo de definición.
4
Haga clic en Guardar.
Crear o importar una definición de diccionario
Un diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignada
una calificación. Las calificaciones tienen en cuenta definiciones de reglas más detalladas.
134
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial
Creación de las definiciones de clasificación
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Haga clic en la ficha Definiciones.
3
En el panel de la izquierda, seleccione Diccionario.
4
Seleccione Acciones | Nuevo.
5
Introduzca un nombre y, si lo desea, una descripción.
6
Agregue entradas al diccionario.
Para importar entradas:
a
Haga clic en Importar entradas.
b
Introduzca palabras o expresiones, o copie y pegue de otro documento.
La ventana de texto está limitada a 20 000 líneas de 50 caracteres cada una.
c
Haga clic en Aceptar.
Todas las entradas se asignan a una calificación predeterminada de 1.
d
Si es necesario, actualice la calificación predeterminada de 1 haciendo clic en Editar en la
entrada.
e
Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea
necesario.
Empieza por y Termina por ofrecen coincidencia con subcadenas.
Para crear entradas manualmente:
7
a
Introduzca la expresión o la calificación.
b
Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea
necesario.
c
Haga clic en Agregar.
Haga clic en Guardar.
Crear un patrón avanzado
Los patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón avanzado
puede incluir una expresión sencilla o una combinación de expresiones y definiciones de falsos
positivos.
Los patrones avanzados se definen con expresiones regulares (regex). La definición de las expresiones
regulares queda fuera del alcance de este documento. Existe una gran cantidad de tutoriales acerca de
las expresiones regulares en Internet en los que puede obtener más información acerca de este tema.
McAfee Data Loss Prevention 10.0.100
Guía del producto
135
6
Clasificación del contenido confidencial
Creación de las definiciones de clasificación
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Seleccione la ficha Definiciones y, a continuación, Patrón avanzado en el panel de la izquierda.
Los patrones disponibles aparecerán en el panel de la derecha.
Para ver solo los patrones avanzados definidos por el usuario, anule la selección de la casilla de
verificación Incluir elementos incorporados. Los patrones definidos por el usuario son los únicos que
pueden editarse.
3
Seleccione Acciones | Nuevo.
Aparece la página de definición de Nuevo patrón avanzado.
4
Introduzca un nombre y, si lo desea, una descripción.
5
En Expresiones coincidentes, haga lo siguiente:
a
Introduzca una expresión en el cuadro de texto. Si lo desea, agregue una descripción.
b
Seleccione un validador en la lista desplegable.
McAfee recomienda utilizar un validador cuando sea posible para minimizar falsos positivos,
aunque no es obligatorio. Si no desea especificar un validador o si la validación no es adecuada
para la expresión, seleccione Sin validaciones.
c
Introduzca un número en el campo Calificación.
Este número indica la ponderación de la expresión comparándola con el umbral. Este campo es
obligatorio.
d
6
Haga clic en Agregar.
En Expresiones ignoradas, haga lo siguiente:
a
Introduzca una expresión en el cuadro de texto.
Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos y
pegarlos en la definición mediante Importar entradas.
7
b
En el campo Tipo, seleccione RegEx en la lista desplegable si la cadena es una expresión regular o
Palabra clave si es texto.
c
Haga clic en Agregar.
Haga clic en Guardar.
Crear una definición de lista de URL
Las definiciones de listas de URL se utilizan para definir las reglas de protección web. Se agregan a las
reglas como condiciones de Dirección web (URL).
136
McAfee Data Loss Prevention 10.0.100
Guía del producto
Clasificación del contenido confidencial
Caso práctico: Integración del cliente de Titus con etiquetas de terceros
6
Procedimiento
Para cada URL requerida, lleve a cabo los pasos del 1 al 4: Para obtener más información sobre
funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Lista de URL y, a continuación, elija Acciones | Nuevo.
3
Introduzca un Nombre único y, si lo desea, una Definición.
4
Siga uno de estos procedimientos:
•
Introduzca información de Protocolo, Host, Puerto y Ruta en los cuadros de texto y, a continuación,
haga clic en Agregar.
•
Pegue una URL en el cuadro de texto Pegar URL, haga clic en Analizar y, a continuación, en Agregar.
El software rellena los campos de URL.
5
Una vez agregadas a la definición todas las URL requeridas, haga clic en Guardar.
Caso práctico: Integración del cliente de Titus con etiquetas de
terceros
Los criterios de clasificación e identificación por huellas digitales de contenido pueden incluir varios
pares de nombres o valores de etiquetas.
Antes de empezar
1
En el Catálogo de directivas, abra la Configuración de cliente de Windows actual. Seleccione
Configuración | Módulos y modo de funcionamiento. Compruebe que la opción Complementos de
Outlook | Integración de complementos de terceros activa esté seleccionada.
2
En Configuración | Protección de correo electrónico, en la sección Integración del complemento de terceros
de Outlook, seleccione Titus en la lista desplegable Nombre del proveedor.
Esta configuración afecta el uso de etiquetas de terceros con el correo electrónico
únicamente. Puede utilizar etiquetas de terceros con los archivos sin tener que modificar la
configuración de cliente.
McAfee DLP Endpoint llama a la API de terceros para identificar los archivos marcados y determinar las
etiquetas. Las clasificaciones creadas con etiquetas de terceros pueden aplicarse a todas las reglas de
protección y descubrimiento que inspeccionan archivos.
Para implementar esta función, el SDK de terceros debe estar instalado en los equipos endpoint.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Haga clic en Nueva clasificación.
3
Escriba un nombre único y, si lo desea, una descripción.
McAfee Data Loss Prevention 10.0.100
Guía del producto
137
6
Clasificación del contenido confidencial
Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación
4
Haga clic en Acciones; a continuación, seleccione New Content Classification Criteria (Nuevos criterios de
clasificación de contenido) o New Content Fingerprinting Criteria (Nuevos criterios de identificación de
contenido por huellas digitales).
5
Seleccione la propiedad Etiquetas de terceros.
6
Introduzca el nombre de campo de Titus y un valor. Seleccione la definición del valor en la lista
desplegable.
La cadena de valor introducida puede definirse como:
•
equivale a uno de
•
es igual a todos de
•
contiene uno de
•
contiene todos de
7
(Opcional) Haga clic en + y agregue otro par de nombres o valores.
8
Haga clic en Guardar.
Caso práctico: Integración de Boldon James Email Classifier con
criterios de clasificación
Cree los criterios de clasificación para integrar Boldon James Email Classifier.
Boldon James Email Classifier es una solución de correo electrónico que etiqueta y clasifica los correos
electrónicos. El software McAfee DLP Endpoint puede integrarse con Boldon James Email Classifier y
bloquear correos electrónicos según las clasificaciones asignadas. Puede elegir qué clasificador de
correo electrónico de la cadena se envía a McAfee DLP Endpoint al configurar el software Email
Classifier. Utilice esta cadena para definir los criterios de clasificación.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
Configure la compatibilidad de Boldon James en McAfee DLP Endpoint:
a
Mediante la consola Classifier Administration de Boldon James, abra Classifier Application Settings | Outlook
Settings. Active la opción McAfee Host DLP scan y configure McAfee Host DLP marking de manera que haga
referencia a un formato de marcado que contenga el valor de clasificación y texto estático
exclusivo del marcado de DLP. A McAfee DLP Endpoint se le transmitirá una cadena con este
formato y los criterios de clasificación.
b
En el Catálogo de directivas, abra la Configuración del cliente actual. Seleccione Configuración |
Módulos y modo de funcionamiento. Compruebe que la opción Complementos de Outlook | Integración de
complementos de terceros activa esté seleccionada.
c
En Configuración | Protección de correo electrónico, en la sección Integración del complemento de
terceros de Outlook, seleccione Boldon James en la lista desplegable Nombre del proveedor.
Cree una clasificación de Boldon James.
Para cada clasificación requerida, lleve a cabo estos pasos:
138
a
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
b
Seleccione la ficha Clasificación y, a continuación, haga clic en Nueva clasificación.
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial
Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación
c
Escriba un nombre único y, si lo desea, una descripción.
d
Haga clic en Acciones | New Content Classification Criteria (Nuevos criterios de clasificación de
contenido).
e
Seleccione la propiedad Palabra clave. En el campo Valor, introduzca la cadena con el formato de
marcado seleccionado en el parámetro Classifier Administration para enviarla a McAfee DLP Endpoint.
[Clasificación de Boldon James] es la cadena que seleccionó en la configuración de Email
Classifier para su envío a McAfee DLP Endpoint.
3
En McAfee ePO, seleccione Menú | Protección de datos | Conjunto de reglas de DLP.
4
En la ficha Conjuntos de reglas, siga uno de estos procedimientos:
5
•
Seleccione Acciones | Nuevo conjunto de reglas.
•
Seleccione un conjunto de reglas existente.
Seleccione Acciones | Nueva regla | Protección de correo electrónico.
Aparece un formulario de definición de Protección de correo electrónico.
6
Introduzca un nombre de regla único.
7
En la ficha Condición, seleccione Cuerpo en la lista desplegable y, a continuación, seleccione la
Clasificación de Boldon James adecuada. Seleccione las opciones Usuario final, Sobre de correo electrónico
y Destinatarios adecuadas.
El cliente de McAfee DLP Endpoint considera la clasificación de Boldon James como parte del cuerpo
del correo electrónico. Limitar la definición para solo analizar el cuerpo del mensaje hace que la
regla sea más eficiente.
8
En la ficha Reacción, seleccione los parámetros Acción preventiva, Notificación de usuario, Notificar incidente y
Gravedad apropiados. Defina el campo Estado en Activado y, a continuación, haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
139
6
Clasificación del contenido confidencial
Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación
140
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter
confidencial
McAfee DLP protege el contenido de carácter confidencial con una mezcla de las directivas de McAfee
DLP Endpoint, McAfee DLP Discover y McAfee DLP Prevent.
McAfee ePO despliega las directivas de McAfee DLP en los equipos endpoint, servidores de
descubrimiento o appliances de McAfee DLP Prevent. El servidor cliente, el appliance o el software
cliente de McAfee DLP Endpoint aplican las directivas para proteger el contenido de carácter
confidencial.
Contenido
Conjuntos de reglas
Crear definiciones de reglas
Reglas
Reglas de protección de datos
Reglas de control de dispositivos
Reglas de descubrimiento
Listas blancas
Personalización de mensajes del usuario final
Reacciones disponibles para los tipos de regla
Creación y configuración de reglas y conjuntos de reglas
Casos de uso de reglas
Conjuntos de reglas
Los conjuntos de reglas definen las directivas de McAfee DLP. Pueden contener una combinación de
reglas de protección de datos, control de dispositivos y descubrimiento.
La página Conjuntos de reglas muestra una lista de conjuntos de reglas definidas y el estado de cada una.
También figura el número de incidentes registrados para cada uno de los conjuntos, de reglas
definidas y de reglas activadas. Los iconos de colores indican el tipo de reglas activadas. El texto de
información sobre las herramientas que aparece al pasar el ratón por encima de estos iconos muestra
el tipo de regla y el número de ellas activadas.
Figura 7-1 Página Conjuntos de reglas con información sobre herramientas
McAfee Data Loss Prevention 10.0.100
Guía del producto
141
7
Protección de contenido de carácter confidencial
Crear definiciones de reglas
En el Conjunto de reglas 1, se definen once reglas de protección de datos, pero solo tres están
activadas. El icono azul muestra qué tipos de reglas se han definido. La información sobre la
herramienta muestra que dos de ellas son reglas del Portapapeles. Para ver qué reglas se han
definido, pero se encuentran desactivadas, abra las reglas para su edición.
Véase también
Protección de los archivos con las reglas de descubrimiento en la página 179
Creación de una regla en la página 162
Crear definiciones de reglas
Las definiciones se utilizan al crear reglas de descubrimiento, control de dispositivos y protección de
datos.
El Administrador de directivas de DLP contiene un gran número de definiciones integradas (predefinidas). Se
pueden utilizar tal cual o duplicar y personalizar según sea necesario.
Procedimientos
•
Crear un nuevo intervalo de puertos de red en la página 142
Los intervalos de puertos de red funcionan como criterios de filtrado en las reglas de
protección de comunicaciones de la red.
•
Creación de un intervalo de direcciones de red en la página 143
Los intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de
protección de comunicaciones de la red.
•
Crear una definición de lista de direcciones de correo electrónico en la página 143
Las definiciones de lista de direcciones de correo electrónico son dominios de correo
electrónico predefinidos o direcciones de correo electrónico específicas que pueden incluirse
en las reglas de protección de correo electrónico.
•
Crear una definición de la impresora de red en la página 144
Utilice definiciones de la impresora de red para crear reglas específicas de protección contra
impresión. Las impresoras definidas pueden incluirse en reglas o excluirse de estas.
Crear un nuevo intervalo de puertos de red
Los intervalos de puertos de red funcionan como criterios de filtrado en las reglas de protección de
comunicaciones de la red.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Puerto de red y, a continuación, haga clic en Acciones | Nuevo.
También puede editar las definiciones integradas.
142
3
Introduzca un nombre único y, si lo desea, una descripción.
4
Introduzca los números de puerto, separados por comas y, si lo desea, una descripción. Haga clic
en Agregar.
5
Cuando haya agregado todos los puertos necesarios, haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Crear definiciones de reglas
Creación de un intervalo de direcciones de red
Los intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección de
comunicaciones de la red.
Procedimiento
Para cada definición requerida, lleve a cabo los pasos del 1 al 4: Para obtener más información sobre
funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Dirección de red (dirección IP) y, a continuación, haga clic en
Acciones | Nuevo.
3
Introduzca un nombre único para la definición y, si lo desea, una descripción.
4
En el cuadro de texto, introduzca una dirección, un intervalo o una subred. Haga clic en Agregar.
Los ejemplos formateados correctamente se mostrarán en la página.
Se admiten únicamente direcciones IPv4. Si introduce una dirección IPv6, el mensaje es Dirección
IP no válida en lugar de indicar que no se admite.
5
Cuando haya introducido todas las definiciones necesarias, haga clic en Guardar.
Crear una definición de lista de direcciones de correo
electrónico
Las definiciones de lista de direcciones de correo electrónico son dominios de correo electrónico
predefinidos o direcciones de correo electrónico específicas que pueden incluirse en las reglas de
protección de correo electrónico.
Para conseguir granularidad en las reglas de protección de correo electrónico, incluya algunas
direcciones de correo electrónico y excluya otras. Asegúrese de crear ambos tipos de definiciones.
Práctica recomendada: Para combinaciones de operadores que utilice con frecuencia, agregue varias
entradas para una definición de lista de direcciones de correo electrónico.
Las definiciones de valores de correo electrónico admiten caracteres comodín y pueden definir
condiciones. Un ejemplo de condición definida con un carácter comodín es *@intel.com. La
combinación de una condición de lista de direcciones con un grupo de usuarios en una regla aumenta
la granularidad.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Lista de direcciones de correo electrónico y, a continuación, Acciones |
Nuevo.
3
Introduzca un Nombre y, si lo desea, una Descripción.
McAfee Data Loss Prevention 10.0.100
Guía del producto
143
7
Protección de contenido de carácter confidencial
Reglas
4
Seleccione un Operador de la lista desplegable.
Los operadores definidos con la opción Direcciones de correo electrónico admiten caracteres comodín en el
campo Valor.
Las reglas de protección de correo electrónico que se implementan en McAfee DLP Prevent no
coinciden en los operadores Nombre para mostrar.
5
Introduzca un valor y, a continuación, haga clic en Agregar.
6
Haga clic en Guardar cuando haya acabado de agregar direcciones de correo electrónico.
Crear una definición de la impresora de red
Utilice definiciones de la impresora de red para crear reglas específicas de protección contra
impresión. Las impresoras definidas pueden incluirse en reglas o excluirse de estas.
Antes de empezar
Obtenga la ruta UNC de la impresora en la red.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Impresora de red y, a continuación, seleccione Acciones | Nuevo.
3
Introduzca un Nombre único y, si lo desea, una Descripción.
4
Introduzca la ruta UNC.
Todos los demás campos son opcionales.
5
Haga clic en Guardar.
Reglas
Las reglas definen la acción que se lleva a cabo cuando se intenta transferir datos de carácter
confidencial.
Los conjuntos de reglas pueden contener tres tipos de reglas: de protección de datos, de control de
dispositivos y de descubrimiento. Una regla consta de tres partes: Condición, Excepciones y Reacción.
Cada una viene definida en una ficha independiente en la definición de la regla. Las reglas se pueden
activar o desactivar, y se les asigna una Gravedad, que se selecciona en la lista desplegable.
Condición
La condición define lo que hace que la regla se active. En el caso de reglas de descubrimiento y
protección de datos, la condición siempre incluye una Clasificación y puede incluir otras condiciones.
Por ejemplo, una regla de protección en la nube contiene campos para definir el usuario final y el
servicio en la nube, además de la clasificación. En el caso de las reglas de control de dispositivos, la
condición siempre especifica el usuario final y puede incluir otras condiciones, como la definición de
dispositivos. Las reglas de control de dispositivos no incluyen clasificaciones.
144
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Reglas de protección de datos
Excepciones
Las excepciones definen los parámetros excluidos de la regla. Por ejemplo, una regla de protección en
la nube puede permitir a clasificaciones y usuarios concretos cargar datos en los servicios en la nube
especificados, mientras bloquea aquellas clasificaciones y usuarios definidos en la sección de
condiciones de la regla. Las excepciones cuentan con un parámetro independiente que permite
activarlas o desactivarlas. Así, se puede habilitar o deshabilitar la excepción al probar las reglas. La
creación de definiciones de excepciones es opcional.
Las definiciones de excepciones de las reglas de protección de datos y descubrimiento son similares a
las definiciones de condiciones. Los parámetros disponibles para la exclusión constituyen un
subconjunto de los parámetros disponibles para definir la condición.
En el caso de las reglas de control de dispositivos, la excepción se define seleccionando en una lista
las definiciones en lista blanca. Las definiciones en lista blanca disponibles dependen del tipo de regla
de dispositivo.
Reacción
La reacción define lo que ocurre cuando se activa la regla. Las acciones disponibles varían según el
tipo de regla, pero el valor predeterminado para todas las reglas es Sin acción. Al seleccionarlo junto
con la opción Notificar incidente, puede supervisar la frecuencia con la que se infringen las reglas. Este
procedimiento resulta útil para ajustar la regla al nivel adecuado con el fin de detectar fugas de datos
sin crear falsos positivos.
La reacción también define si la regla se aplica fuera de la empresa y, en el caso de algunas reglas,
cuando se encuentra conectada a la empresa mediante VPN.
Reglas de protección de datos
Las reglas de protección de datos supervisan y controlan el contenido y la actividad del usuario.
Las reglas de protección de datos deben especificar al menos una clasificación. La clasificación
identifica el contenido como confidencial o no y, como consecuencia, determina lo que se puede hacer
con él. Otras definiciones de la regla actúan como filtros para determinar qué archivos se supervisan.
Las reglas de protección de datos se admiten de forma diferente en las distintas aplicaciones de
McAfee DLP.
•
McAfee DLP Endpoint para Windows es compatible con todas las reglas de protección de datos.
•
McAfee DLP Endpoint for Mac es compatible con las reglas de protección de almacenamiento
extraíble, de recurso compartido de red y de acceso a archivos de la aplicación.
•
McAfee DLP Prevent es compatible con las reglas de protección web y de correo electrónico.
Reglas de protección de acceso a archivos de la aplicación
Las reglas de protección de acceso a archivos supervisan los archivos en función de la aplicación o
aplicaciones que los han creado. Se pueden utilizar en equipos Microsoft Windows y OS X. En McAfee
DLP Endpoint for Mac, solo se pueden utilizar las aplicaciones y navegadores admitidos por OS X.
Seleccione una aplicación o definición de URL para limitar la regla a aplicaciones específicas.
Las definiciones de URL no son compatibles con McAfee DLP Endpoint for Mac
McAfee Data Loss Prevention 10.0.100
Guía del producto
145
7
Protección de contenido de carácter confidencial
Reglas de protección de datos
®
Las reglas de protección de acceso a archivos de la aplicación se comunican con McAfee Data
Exchange Layer (DXL) en McAfee Threat Intelligence Exchange (TIE). Puede usar la información de
TIE para definir la regla en función de la reputación de TIE. Cuando selecciona una aplicación, la lista
desplegable le permite seleccionar una reputación de TIE en lugar de una aplicación o URL de
navegador.
®
A fin de utilizar la reputación de TIE en reglas, el cliente de DXL debe estar instalado en un equipo
endpoint.
También se pueden bloquear las versiones de Chrome no compatibles. Esta opción sirve para bloquear
la posible fuga producida por las reglas de protección web sin bloquear publicaciones de versiones de
Chrome que no son compatibles.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o
identificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales o
grupos de usuarios específicos.
Véase también
Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en disco en la
página 171
Asistencia para la configuración de cliente con reglas de protección de datos en la página 151
Acciones de las reglas de protección de datos en la página 153
Reglas de protección del Portapapeles
Las reglas de protección del Portapapeles gestionan el contenido copiado con el Portapapeles de
Windows. Se pueden utilizar solo en McAfee DLP Endpoint para Windows.
Las reglas de protección del Portapapeles se utilizan para impedir que se copie contenido de carácter
confidencial de una aplicación a otra. La regla puede definir tanto la aplicación desde la que se copia
como la aplicación a la que se copia. También se puede escribir una regla general para especificar
cualquier aplicación de origen o de destino. Los navegadores compatibles pueden especificarse como
aplicaciones. La regla se puede filtrar con una definición de usuario final para limitarla a determinados
usuarios. Al igual que con otras reglas de protección de datos, se definen las excepciones a la regla en
la ficha Excepciones.
De forma predeterminada, se permite copiar contenido de carácter confidencial de una aplicación de
Microsoft Office a otra. Si desea bloquear la opción de copia dentro de Microsoft Office, desactive el
Portapapeles de Microsoft Office en la configuración de cliente de Windows.
Véase también
Asistencia para la configuración de cliente con reglas de protección de datos en la página 151
Acciones de las reglas de protección de datos en la página 153
Reglas de protección en la nube
Las reglas de protección en la nube permiten administrar los archivos cargados en aplicaciones en la
nube. Se pueden utilizar solo en McAfee DLP Endpoint para Windows.
Las aplicaciones en la nube se utilizan para realizar copias de seguridad y compartir archivos cada vez
con mayor frecuencia. Con la mayoría de las aplicaciones en la nube, se crea una carpeta especial en
la unidad de disco que se sincroniza con el servidor de la nube. McAfee DLP Endpoint intercepta la
creación de archivos en la carpeta de la aplicación en la nube, analiza los archivos y aplica las
directivas pertinentes. Si la directiva permite sincronizar el archivo con la carpeta de la aplicación en la
nube y este se modifica más tarde, se vuelve a analizar el archivo y se aplica la directiva de nuevo. Si
el archivo que se ha modificado infringe una directiva, no se puede sincronizar con la nube.
En McAfee DLP Endpoint, la Regla de protección en la nube admite:
146
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Reglas de protección de datos
•
Box
•
OneDrive (personal)
•
Dropbox
•
OneDrive para la empresa (groove.exe)
•
Google Drive
•
Syncplicity
•
iCloud
Para mejorar la velocidad de análisis, puede especificar las subcarpetas de nivel superior incluidas o
excluidas de la regla.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o
identificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales o a
grupos de usuarios específicos, o bien mediante el nombre de la subcarpeta de nivel superior.
Véase también
Asistencia para la configuración de cliente con reglas de protección de datos en la página 151
Acciones de las reglas de protección de datos en la página 153
Reglas de protección de correo electrónico
Las reglas de protección de correo electrónico supervisan o bloquean los correos electrónicos que se
envían a determinados destinos o usuarios. Son compatibles con McAfee DLP Endpoint para Windows y
McAfee DLP Prevent.
Las reglas de protección de correo electrónico pueden bloquear los mensajes de correo electrónico
según los siguientes parámetros:
•
Las definiciones de Clasificación limitan la regla a determinados criterios de clasificación o
identificación por huellas digitales de contenido. Puede aplicar clasificaciones al correo electrónico
completo o simplemente al asunto, al cuerpo, a los encabezados o a los datos adjuntos.
•
Las definiciones de Remitente limitan la regla a determinados grupos de usuarios o listas de
direcciones de correo electrónico. La información sobre el grupo de usuarios puede obtenerse de
los servidores LDAP registrados. También puede limitar la regla a los usuarios locales o a los
usuarios que no hagan uso del servidor LDAP.
•
El campo Sobre de correo electrónico puede especificar que el correo electrónico está protegido por
permisos RMS, cifrado PGP, firma digital o cifrado S/MIME. Esta opción suele utilizarse para definir
excepciones.
•
La lista Destinatario incluye definiciones de lista de direcciones de correo electrónico. Las definiciones
pueden utilizar caracteres comodín en el campo del operador.
Mensajes que no se pueden analizar
Si McAfee DLP Prevent no puede extraer texto de un mensaje para evaluarlo porque, por ejemplo,
dicho mensaje contiene código malicioso, sigue este procedimiento:
•
Rechaza el correo electrónico y lo devuelve al MTA.
•
El MTA continúa intentando entregar el mensaje a McAfee DLP Prevent.
•
Cuando McAfee DLP Prevent detecta que no puede analizar el mensaje, le agrega un encabezado
X-RCIS-Action con el valor SCANFAIL.
•
McAfee DLP Prevent envía el mensaje con el encabezado X-RCIS-Action modificado a uno de los
hosts inteligentes configurados.
McAfee DLP Prevent no realiza ninguna otra modificación en el mensaje.
McAfee Data Loss Prevention 10.0.100
Guía del producto
147
7
Protección de contenido de carácter confidencial
Reglas de protección de datos
Si el mensaje contiene datos adjuntos cifrados, dañados o protegidos con contraseña, se analiza el
mensaje para encontrar desencadenantes de fuga de datos, pero no se analizan los datos adjuntos.
No se agrega el valor SCANFAIL porque el contenido del mensaje se ha analizado de forma parcial.
Véase también
Asistencia para la configuración de cliente con reglas de protección de datos en la página 151
Acciones de las reglas de protección de datos en la página 153
Comportamiento del encabezado X-RCIS-Action en McAfee DLP Prevent
Para McAfee DLP Prevent, la única reacción disponible es Agregar encabezado X-RCIS-Action con uno de los
siguientes valores a un mensaje.
Tabla 7-1 Valores del encabezado X-RCIS-Action
Prioridad Valor
Indica
1
SCANFAIL Mensajes que no se pueden analizar. El valor de encabezado SCANFAIL lo
genera de forma automática el appliance y no se puede configurar como
acción en una regla.
2
BLOCK
El mensaje se debe bloquear.
3
QUART
Se debe poner el mensaje en cuarentena.
4
ENCRYPT
Se debe cifrar el mensaje.
5
BOUNCE
Se debe enviar un mensaje Non-Delivery Receipt (NDR) al remitente.
6
REDIR
Se debe redireccionar el mensaje.
7
NOTIFY
Se debe notificar al personal de supervisión.
8
ALLOW
Se debe permitir el acceso al mensaje. El valor ALLOW se añade
automáticamente a todos los mensajes que no contienen resultados que
coinciden.
Cuando no se supervisa, McAfee DLP Prevent siempre envía un correo electrónico al Host inteligente
que se ha configurado. El Host inteligente implementa la acción indicada en el encabezado
X-RCIS-Action.
Si el mensaje activa varias reglas, se inserta el valor con la prioridad más alta en el encabezado
X-RCIS-Action (la prioridad más alta es 1). Si no se activa ninguna regla, se inserta el valor ALLOW.
Si el mensaje lo analizó previamente otro appliance que añadió un encabezado X-RCIS-Action, McAfee
DLP Prevent sustituye el encabezado existente por el suyo propio.
Reglas de protección de correo electrónico para dispositivos
móviles
Las reglas de protección de correo electrónico para dispositivos móviles implementan las directivas de
McAfee DLP en los mensajes de correo electrónico enviados a dispositivos móviles.
Las reglas se definen con una clasificación (obligatorio), el usuario y definiciones de dispositivo móvil.
La regla está limitada a cualquier usuario. Opcionalmente, puede seleccionar cualquier dispositivo móvil o
agregar una definición de dispositivos móviles.
Las reglas de protección de correo electrónico para dispositivos móviles se aplican en el servidor para
dispositivos móviles de McAfee DLP, que debe configurarse en el Catálogo de directivas como el proxy de
ActiveSync.
Véase también
Acciones de las reglas de protección de datos en la página 153
Configurar ajustes del servidor en la página 64
148
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Reglas de protección de datos
Reglas de protección de comunicaciones de la red
Las reglas de protección de comunicaciones de la red supervisan o bloquean los datos que entran o
salen de su red. Se pueden utilizar solo en McAfee DLP Endpoint para Windows.
Las reglas de protección de comunicaciones de la red controlan el tráfico de red en función de
direcciones de red (requeridas) y puertos concretos (opcionales). También puede especificar las
conexiones entrantes o salientes, o ambas. Puede agregar una definición de dirección de red y una
definición de puerto, pero las definiciones pueden contener varias direcciones o puertos.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de identificación por
huellas digitales de contenido. También puede limitar la regla a usuarios locales o grupos de usuarios
específicos, o bien especificando la aplicación que crea la conexión.
Las reglas de protección de comunicaciones de la red no sirven para comprobar los criterios de
clasificación de contenido. Utilice criterios de identificación por huellas digitales de contenido cuando
defina las clasificaciones que se utilizan con las reglas de protección de comunicaciones de la red.
Véase también
Asistencia para la configuración de cliente con reglas de protección de datos en la página 151
Acciones de las reglas de protección de datos en la página 153
Reglas de protección de recursos compartidos de red
Las reglas de protección de recursos compartidos de red controlan el contenido de carácter
confidencial almacenado en los recursos compartidos de red. Se pueden utilizar en equipos Microsoft
Windows y OS X.
Las reglas de protección de recursos compartidos de red pueden aplicarse a todos los recursos
compartidos de red o solo a algunos en concreto. En la regla puede incluirse una definición de recurso;
dicha definición puede contener varios recursos. Una clasificación incluida (requerida) define qué
contenido de carácter confidencial se protege.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o
identificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales o
grupos de usuarios específicos, o bien por recursos compartidos de red o por la aplicación que copia el
archivo.
Reglas de protección contra impresión
Las reglas de protección contra impresión supervisan o bloquean la posibilidad de imprimir archivos.
Se pueden utilizar solo en McAfee DLP Endpoint para Windows.
Utilice las clasificaciones para limitar la regla. También puede limitar la regla especificando los usuarios
o las impresoras o aplicaciones que imprimen el archivo. La definición de la impresora puede
especificar impresoras locales, de red, de red designadas o de imágenes.
Las impresoras de imagen, que tenían una regla independiente en versiones anteriores, se incluyen
ahora en la regla de impresora general.
Véase también
Asistencia para la configuración de cliente con reglas de protección de datos en la página 151
Acciones de las reglas de protección de datos en la página 153
McAfee Data Loss Prevention 10.0.100
Guía del producto
149
7
Protección de contenido de carácter confidencial
Reglas de protección de datos
Reglas de protección de almacenamiento extraíble
Las reglas de protección de almacenamiento extraíble supervisan o impiden la escritura de datos en
dispositivos de almacenamiento extraíbles. Son compatibles con McAfee DLP Endpoint for Windows y
McAfee DLP Endpoint for Mac. McAfee DLP Endpoint for Mac no admite dispositivos de CD ni DVD.
Las reglas de protección de almacenamiento extraíble controlan los dispositivos de CD y DVD, los
dispositivos de almacenamiento extraíbles o ambos. Limite la regla mediante los criterios de
clasificación o identificación por huellas digitales de contenido en las clasificaciones (obligatorio).
También puede definir la regla con usuarios, aplicaciones o URL web concretos.
Las reglas de protección de almacenamiento extraíble de McAfee DLP Endpoint for Mac solo permiten
controlar dispositivos de almacenamiento extraíbles. No son compatibles con dispositivos de CD/DVD.
Utilice las clasificaciones para limitar la regla. También puede limitar la regla especificando los usuarios
o aplicaciones que copian el archivo.
Véase también
Asistencia para la configuración de cliente con reglas de protección de datos en la página 151
Acciones de las reglas de protección de datos en la página 153
Reglas de protección contra capturas de pantalla
Las reglas de protección contra capturas de pantalla controlan los datos que se copian y pegan en una
pantalla. Se pueden utilizar solo en McAfee DLP Endpoint para Windows.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de identificación por
huellas digitales de contenido. También puede limitar la regla a usuarios locales o grupos de usuarios
específicos, o bien por aplicaciones visibles en la pantalla.
Las reglas de protección contra capturas de pantalla no sirven para comprobar los criterios de
clasificación de contenido. Utilice criterios de identificación por huellas digitales de contenido cuando
defina las clasificaciones utilizadas con las reglas contra capturas de pantalla.
Véase también
Asistencia para la configuración de cliente con reglas de protección de datos en la página 151
Acciones de las reglas de protección de datos en la página 153
Reglas de protección web
Las reglas de protección web supervisan o bloquean la publicación de los datos en sitios web, incluidos
los sitios de correo electrónico web. Son compatibles con McAfee DLP Endpoint para Windows y
McAfee DLP Prevent.
Las reglas de protección web se definen añadiendo direcciones web a la regla.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o
identificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales, a
usuarios que no usen el servidor LDAP o a grupos de usuarios específicos.
Véase también
Asistencia para la configuración de cliente con reglas de protección de datos en la página 151
Acciones de las reglas de protección de datos en la página 153
150
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Reglas de protección de datos
Asistencia para la configuración de cliente con reglas de
protección de datos
Las reglas de protección de datos trabajan con las opciones de configuración de cliente.
Práctica recomendada: Para optimizar las reglas de protección de datos, cree configuraciones de
cliente para que coincidan con los requisitos de distintos conjuntos de reglas.
La siguiente tabla muestra las reglas de protección de datos y las opciones específicas de la
configuración de cliente que les afectan. En la mayoría de los casos, puede aceptar la configuración
predeterminada.
Tabla 7-2 Reglas de protección de datos y opciones de configuración de cliente
Regla de
protección de
datos
Opciones y página de configuración de cliente
Protección de acceso a
archivos de la aplicación
Seguimiento del contenido: agregar o editar procesos en lista blanca.
Protección del
Portapapeles
• Módulos y modo de funcionamiento: activar el servicio de Portapapeles.
• Protección del Portapapeles: agregar o editar procesos en lista blanca. Activar o
desactivar el Portapapeles de Microsoft Office.
El Portapapeles de Microsoft Office está activado de forma predeterminada.
Cuando se activa, no se puede impedir la copia de una aplicación de Office a
otra.
Protección en la nube
Módulos y modo de funcionamiento: seleccionar los administradores para la protección
en la nube.
Protección de correo
electrónico
• Módulos y modo de funcionamiento: activar el software de correo electrónico
disponible (Lotus Notes, Microsoft Outlook...). En Microsoft Outlook,
seleccione los complementos necesarios.
En aquellos sistemas en los que están disponibles tanto Microsoft Exchange
como Lotus Notes, las reglas de correo electrónico no funcionarán si el
nombre del servidor de correo saliente (SMTP) no está configurado para
ambos.
• Protección del correo electrónico: seleccionar complementos de terceros para
Microsoft Outlook (Boldon James o Titus). Establezca la estrategia de tiempo
de espera, el almacenamiento en caché, las API y las notificaciones de
usuario.
Cuando se instala un complemento de terceros y este se encuentra activo, el
complemento de Outlook de McAfee DLP Endpoint se establece
automáticamente en el modo de omisión. McAfee DLP Prevent no funciona con
Boldon James.
Protección de
• Conectividad corporativa: agregar o editar servidores VPN corporativos.
comunicaciones de la red
• Módulos y modo de funcionamiento: activar o desactivar el controlador de
comunicaciones de la red (activado de forma predeterminada).
Protección de recurso
compartido de red
Sin opciones de configuración
McAfee Data Loss Prevention 10.0.100
Guía del producto
151
7
Protección de contenido de carácter confidencial
Reglas de protección de datos
Tabla 7-2 Reglas de protección de datos y opciones de configuración de cliente
(continuación)
Regla de
protección de
datos
Opciones y página de configuración de cliente
Protección contra
impresión
• Conectividad corporativa: agregar o editar servidores VPN corporativos.
• Módulos y modo de funcionamiento: seleccionar los complementos para la aplicación
de la impresora.
• Protección contra impresión: agregar o editar procesos en lista blanca.
Los complementos para la aplicación de la impresora pueden mejorar el
rendimiento de la impresora cuando se utilizan determinadas aplicaciones
comunes. Los complementos solo se instalan cuando se activa una regla de
protección de la impresora en el equipo gestionado.
Protección de
• Módulos y modo de funcionamiento: activar las opciones avanzadas.
almacenamiento extraíble
• Protección de almacenamiento extraíble: establecer el modo de eliminación. El modo
normal elimina el archivo; el modo agresivo hace que el archivo eliminado no
se pueda recuperar.
Protección contra
capturas de pantalla
• Módulos y modo de funcionamiento: activar el servicio de capturas de pantalla. El
servicio consiste en el controlador de la aplicación y en el de la tecla Imprimir
pantalla, que pueden activarse de forma independiente.
• Protección contra capturas de pantalla: agregar, editar o eliminar aplicaciones de
capturas de pantalla protegidas por las reglas de protección contra capturas
de pantalla.
Al desactivar el controlador de la aplicación o el servicio de capturas de
pantalla, se desactivan todas las aplicaciones que aparecen en la página de
protección contra capturas de pantalla.
Protección web
• Módulos y modo de funcionamiento: activar los navegadores admitidos para la
protección web.
• Protección web: agregar o editar las direcciones URL en lista blanca, activar el
procesamiento de solicitudes HTTP GET (deshabilitado de forma
predeterminada porque consume muchos recursos) y definir la estrategia de
tiempo de espera de web.
La página también contiene una lista de las versiones compatibles de Google
Chrome. La lista es necesaria debido a la frecuencia de actualizaciones de
Chrome. La lista se completa al descargar una lista actual de Soporte de
McAfee y utilizar Examinar para instalar el archivo XML.
Información sobre las opciones avanzadas de protección de almacenamiento
extraíble
En las siguientes secciones, se describe la Configuración de cliente de Windows | Módulos y modo de funcionamiento |
Opciones avanzadas de protección de almacenamiento extraíble.
Protección de montajes de discos locales TrueCrypt
Los dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas para dispositivos
TrueCrypt o con reglas de protección de almacenamiento extraíble. No se puede utilizar la protección
TrueCrypt en McAfee DLP Endpoint for Mac.
152
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Reglas de protección de datos
•
Utilice una regla de dispositivos si desea bloquear o supervisar un volumen TrueCrypt o para que
sea de solo lectura.
•
Utilice una regla de protección si desea una protección basada en el contenido para los volúmenes
TrueCrypt.
Las firmas se pierden cuando el contenido identificado por huellas digitales se copia en los volúmenes
de TrueCrypt porque estos no admiten los atributos extendidos de un archivo. Utilice las propiedades de
los documentos, el cifrado de archivos o las definiciones de grupos de tipos de archivo en la definición
de la clasificación para identificar el contenido.
Controlador de dispositivos portátiles (MTP)
El protocolo de transferencia multimedia (MTP) se utiliza para transferir archivos y metadatos
asociados de equipos a dispositivos móviles como los smartphones. Los dispositivos MTP no son
dispositivos extraíbles tradicionales porque implementan el sistema de archivos, no el equipo al que se
conectan. Cuando el cliente se configura para admitir dispositivos MTP, la regla de protección de
almacenamiento extraíble permite interceptar las transferencias MTP y aplicar directivas de seguridad.
Actualmente, solo se admiten las conexiones USB.
El controlador funciona con todas las transferencias de datos realizadas por el Explorador de Windows.
No funciona con los dispositivos iOS, que utilizan iTunes para gestionar las transferencias de datos.
Una estrategia alternativa con dispositivos iOS es utilizar una regla para dispositivos de
almacenamiento extraíbles para configurar los dispositivos como de solo lectura.
Protección de copia de archivos avanzada
La protección de copia de archivos avanzada intercepta las operaciones de copia del Explorador de Windows y
permite que el cliente de McAfee DLP Endpoint inspeccione el archivo en origen antes de copiarlo al
dispositivo extraíble. Está activada de forma predeterminada y debe desactivarse únicamente para
resolver problemas.
Hay casos en los que la protección de copia avanzada no resulta pertinente. Por ejemplo, un archivo
abierto por una aplicación y guardado en un dispositivo extraíble con Guardar como vuelve a la protección
de copia normal. El archivo se copia en el dispositivo y, a continuación, se inspecciona. Si se encuentra
contenido de carácter confidencial, el archivo se elimina inmediatamente.
Acciones de las reglas de protección de datos
La acción realizada por las reglas de protección de datos se introduce en la ficha Reacción.
De forma predeterminada, la acción para todas las reglas de protección de datos es Sin acción. Cuando
se combina con la opción Notificar incidente, se crea una acción de supervisión que se puede utilizar para
ajustar las reglas antes de aplicarlas como reglas de bloqueo. Además de generar un informe, la
mayoría de las reglas permiten almacenar el archivo original que activó la regla como prueba. La
opción de almacenar pruebas es opcional cuando se notifica un incidente.
Práctica recomendada: Establezca el valor predeterminado para todas las reglas en Configuración de DLP
para notificar los incidentes. Esto impide errores accidentales al no especificar ninguna reacción. Puede
cambiar la configuración predeterminada cuando sea necesario.
La opción de notificación al usuario activa la ventana emergente de notificación al usuario en el equipo
endpoint. Seleccione una definición de notificación de usuario para activar la opción.
Se pueden aplicar diferentes acciones cuando el equipo no está conectado a la red corporativa.
Algunas reglas también pueden permitir acciones diferentes cuando está conectado a la red
corporativa mediante VPN.
McAfee Data Loss Prevention 10.0.100
Guía del producto
153
7
Protección de contenido de carácter confidencial
Reglas de protección de datos
La tabla enumera las acciones disponibles distintas a Sin acción, Notificar incidente, Notificación de usuario y
Almacenar archivo original como prueba.
Tabla 7-3 Acciones disponibles para las reglas de protección de datos
Regla de protección Reacciones
de datos
Protección de acceso a
archivos de la aplicación
Bloquear
Protección del Portapapeles
Bloquear
Protección en la nube
• Bloquear
• Solicitar justificación
• Aplicar directiva de
administración de
derechos
Información adicional
Cuando el campo de clasificación se establece
en es cualquier dato (TODO), no se permite realizar la
acción de bloquear. Si trata de guardar la regla
con estas condiciones, se genera un error.
El cifrado es compatible en Box, Dropbox,
GoogleDrive y OneDrive personal. Si se intenta
cargar archivos cifrados en otras aplicaciones de
la nube, se produce un error al guardar el
archivo.
• Cifrar
Protección del correo
electrónico
Acciones de McAfee DLP
Endpoint:
• Bloquear
Admite varias acciones de McAfee DLP Endpoint
cuando el equipo no está conectado a la red
corporativa.
• Solicitar justificación
Para McAfee DLP Prevent,
la única reacción es
Agregar encabezado
X-RCIS-Action.
Protección de dispositivos
móviles
Sin acción
Solo se admite actualmente para la supervisión
(Notificar incidente y Almacenar archivo original como
prueba).
Protección de
comunicaciones de la red
Bloquear
La opción Almacenamiento de pruebas no está
disponible.
Admite varias acciones cuando el equipo está
conectado a la red corporativa mediante VPN.
Protección de recurso
compartido de red
• Solicitar justificación
• Cifrar
Las opciones de cifrado son las siguientes:
McAfee File and Removable Media Protection
(FRP) y el software de cifrado StormShield Data
Security.
®
No se puede utilizar la acción de cifrar en
McAfee DLP Endpoint for Mac.
Protección contra impresión • Bloquear
• Solicitar justificación
Protección de
almacenamiento extraíble
• Bloquear
• Solicitar justificación
Admite varias acciones cuando el equipo está
conectado a la red corporativa mediante VPN.
No se puede utilizar la acción de cifrar en <mrk
mtype="protected" comment="internal text,
i=25">McAfee DLP Endpoint for Mac<mrk>.
• Cifrar
154
McAfee Data Loss Prevention 10.0.100
Guía del producto
Protección de contenido de carácter confidencial
Reglas de control de dispositivos
7
Tabla 7-3 Acciones disponibles para las reglas de protección de datos (continuación)
Regla de protección Reacciones
de datos
Protección contra capturas
de pantalla
Bloquear
Web Protection
Reacciones de McAfee DLP
Endpoint:
Información adicional
La acción Solicitar justificación no está
disponible en McAfee DLP Prevent.
• Bloquear
• Solicitar justificación
Reglas de control de dispositivos
Las reglas de control de dispositivos definen la medida que se debe tomar cuando se utilizan
determinados dispositivos.
Las reglas de control de dispositivos pueden supervisar o bloquear dispositivos conectados a equipos
gestionados por la empresa. McAfee DLP Endpoint para Windows admite los siguientes tipos de reglas:
•
Regla para dispositivos Citrix XenApp
•
Regla de disco duro fijo
•
Regla para dispositivos Plug and Play
•
Regla para dispositivos de almacenamiento extraíbles
•
Regla para dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles
•
Regla para dispositivos TrueCrypt
McAfee DLP Endpoint for Mac es compatible con los tipos de reglas siguientes:
•
Regla para dispositivos Plug and Play (solo para dispositivos USB)
•
Regla para dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles
Las reglas de control de dispositivos se describen con detalles en la sección Protección de medios
extraíbles.
Véase también
Protección de dispositivos en la página 94
Reglas de descubrimiento
McAfee DLP Endpoint y McAfee DLP Discover utilizan reglas de descubrimiento para analizar archivos y
repositorios.
Tabla 7-4
Descripciones de vectores de datos
Producto
Regla de descubrimiento
McAfee DLP Endpoint
Correo electrónico local (OST, PST)
Sistema de archivos local
McAfee DLP Discover
McAfee Data Loss Prevention 10.0.100
Protección de Box
Guía del producto
155
7
Protección de contenido de carácter confidencial
Listas blancas
Tabla 7-4
Descripciones de vectores de datos (continuación)
Producto
Regla de descubrimiento
Protección del servidor de archivos (CIFS)
Protección de SharePoint
Listas blancas
Las listas blancas son recopilaciones de elementos que el sistema debe ignorar.
Puede agregar contenido, dispositivos, procesos y grupos de usuarios a la lista blanca.
Listas blancas de las reglas de protección de datos
Puede especificar los procesos en lista blanca correspondientes a las reglas de protección del
Portapapeles y las reglas de protección contra impresión en la configuración del cliente Windows del
Catálogo de directivas en sus respectivas páginas. Puede especificar las direcciones URL en lista blanca en
la página Protección web. Dado que estas listas blancas se aplican a los clientes, funcionan con todas las
reglas de protección web, del Portapapeles y contra impresión. Las reglas de protección del
Portapapeles y contra impresión ignoran el contenido que producen los procesos en lista blanca. Las
reglas de protección web no se implementan en las direcciones URL en lista blanca.
Puede especificar los procesos en lista blanca para la extracción de texto en la página Rastreo de
contenido. En función de la definición, el extractor de texto analiza o no las huellas digitales de archivos
y contenido abiertos por la aplicación concreta, o crea huellas digitales dinámicas para la carga web.
En la definición se pueden especificar carpetas y extensiones concretas, lo que permite un control
específico de lo que se incluye en lista blanca. Si no se indica ningún nombre de carpeta, el proceso no
se supervisa mediante las reglas de acceso a archivos de la aplicación.
Listas blancas de las reglas para dispositivos
Puede crear definiciones Plug and Play en lista blanca en Definiciones de dispositivos en el Administrador de
directivas de DLP.
Algunos dispositivos Plug and Play no administran los dispositivos de forma correcta. El intento de
gestionarlos puede provocar que el sistema deje de responder u otros problemas graves. Los
dispositivos Plug and Play en lista blanca se excluyen de forma automática cuando se aplica una
directiva.
Las definiciones de dispositivos Plug and Play en lista blanca no son pertinentes en los sistemas
operativos OS X.
La ficha Excepciones de las reglas de control de dispositivos viene definida por las listas blancas
específicas de la regla que las incluye. Las listas blancas excluyen de la regla las definiciones
especificadas.
156
•
Usuarios excluidos: se utiliza en las reglas de todos los dispositivos
•
Definiciones de dispositivos excluidos: se utiliza en las reglas de todos los dispositivos, excepto Citrix y
TrueCrypt
•
Procesos excluidos: se utiliza en las reglas de almacenamientos extraíbles y dispositivos Plug and Play
•
Número de serie y pares de usuario excluidos: se utiliza en las reglas de almacenamientos extraíbles y
dispositivos Plug and Play
•
Nombres de archivos excluidos: se utiliza en las reglas de acceso a archivos en almacenamientos
extraíbles para excluir archivos como aplicaciones antivirus
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Personalización de mensajes del usuario final
Personalización de mensajes del usuario final
McAfee DLP Endpoint envía dos tipos de mensajes para comunicarse con los usuarios finales:
notificaciones y mensajes de justificación del usuario. McAfee DLP Prevent envía una notificación de
usuario para informar al usuario de que ha bloqueado una solicitud web.
Las definiciones de notificación y justificación pueden especificar las Configuraciones regionales (idiomas) y
agregar los marcadores de posición que se sustituyen por sus valores reales. Cuando se definen las
configuraciones regionales, aparecen los mensajes y los botones de opción (para las justificaciones
empresariales) en el idioma predeterminado del equipo endpoint. Se admiten las siguientes
configuraciones regionales:
•
Inglés (Estados Unidos)
•
Japonés
•
Inglés (Reino Unido)
•
Coreano
•
Francés
•
Ruso
•
Alemán
•
Chino (simplificado)
•
Español
•
Chino (tradicional)
Inglés (Estados Unidos) es la configuración regional estándar predefinida, pero se puede establecer
cualquiera compatible como valor predeterminado en la definición. La configuración regional
predeterminada se utiliza cuando las otras definidas no están disponibles como idioma predeterminado
del equipo endpoint. McAfee DLP Prevent intenta detectar el idioma preferido del usuario en los
encabezados de las solicitudes.
McAfee DLP Prevent no es totalmente compatible con las configuraciones regionales para coreano, ruso
y chino (simplificado).
Notificación de usuario
Las notificaciones de usuario de McAfee DLP Endpoint son mensajes emergentes que informan al
usuario de la infracción de una directiva.
Cuando una regla desencadena varios eventos, el mensaje emergente indica: Hay nuevos eventos DLP
en su consola de DLP en lugar de mostrar varios mensajes.
Cuando McAfee DLP Prevent bloquea una solicitud web, envía la notificación de usuario como un
documento HTML que se muestra en el navegador del usuario. El texto de notificación que configure
puede contener etiquetas HTML incrustadas, como <p>, <ul> o <li>. La alerta visualizada por el
usuario también muestra Acceso denegado.
Justificación empresarial
La justificación empresarial es una forma de omisión de la directiva. Cuando se especifica Solicitar
justificación como acción en una regla, el usuario puede introducir la justificación para continuar sin ser
bloqueado.
Los mensajes de justificación empresarial no están disponibles para McAfee DLP Prevent.
McAfee Data Loss Prevention 10.0.100
Guía del producto
157
7
Protección de contenido de carácter confidencial
Reacciones disponibles para los tipos de regla
Marcadores de posición
Los marcadores de posición son una manera de introducir texto variable en los mensajes, según lo
que desencadenara el mensaje del usuario final. Los marcadores de posición disponibles son:
•
%c para las clasificaciones
•
%r para el nombre del conjunto de reglas
•
%v para los vectores (por ejemplo, Protección de correo electrónico, Protección web, DLP Prevent)
•
%a para las acciones (por ejemplo, Bloquear)
•
%s para los valores en contexto (por ejemplo, nombre de archivo, nombre de dispositivo, asunto
del correo electrónico, URI)
En McAfee DLP Prevent, el contenido del token %s se obtiene de la primera linea de la solicitud HTTP.
Según la configuración del servidor proxy web, puede que no incluya el esquema ni el host.
Véase también
Crear una definición de justificación en la página 165
Crear una definición de notificación en la página 166
Reacciones disponibles para los tipos de regla
Las reacciones disponibles para una regla varían en función del tipo de regla.
•
Las reglas de protección de datos están disponibles para McAfee DLP Endpoint. Algunas reglas de
protección de datos están disponibles para McAfee DLP Prevent.
•
Las reglas de control de dispositivos están disponibles para McAfee DLP Endpoint y Device Control.
•
Algunas reglas de descubrimiento están disponibles para McAfee DLP Endpoint, otras lo están para
McAfee DLP Discover.
Tabla 7-5 Reacciones de las reglas
Reacción
Se aplica a las reglas:
Resultado
Sin acción
Todo
Permite la acción.
Add header X-RCIS-Action
(Agregar un
encabezado
X-RCIS-Action)
Protección de correo electrónico
(solo para McAfee DLP
Prevent)
Agrega un valor de acción al encabezado
X-RCIS-Action.
Aplicar directiva de
administración de derechos
• Protección de datos
Aplica una directiva de administración de
derechos al archivo.
• Descubrimiento de red
No se puede usar en
McAfee DLP Endpoint for
Mac.
Bloquear
• Protección de datos
Bloquea la acción.
• Control de dispositivos
158
Clasificar archivo
Descubrimiento de endpoints
Aplica clasificaciones automáticas e incorpora el
ID de la etiqueta de clasificación en el formato
de archivo.
Copiar
Descubrimiento de red
Copia el archivo a la ubicación UNC especificada.
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Reacciones disponibles para los tipos de regla
Tabla 7-5 Reacciones de las reglas (continuación)
Reacción
Se aplica a las reglas:
Resultado
Crear huellas digitales en
contenido
Descubrimiento de endpoints
Aplica identificación por huellas digitales de
contenido al archivo.
Cifrar
• Protección de datos
Se cifra el archivo. El cifrado se puede realizar
mediante FRP o el software de cifrado
StormShield Data Security.
• Descubrimiento de endpoints
No se puede usar en
McAfee DLP Endpoint for
Mac.
Es preciso modificar el
Protección de Box de
recurso compartido anónimo descubrimiento de red
para el inicio de sesión
Elimina recursos compartidos anónimos para el
archivo.
Mover
Descubrimiento de red
Mueve el archivo a la ubicación UNC
especificada. Permite la creación de un archivo
marcador de posición (opcional) para notificar al
usuario que el archivo se ha movido. El archivo
de marcadores de posición se especifica
seleccionando una definición de notificación de
usuario.
Cuarentena
Descubrimiento de endpoints
Pone en cuarentena el archivo.
Solo lectura
Control de dispositivos
Fuerza el acceso solo lectura.
Notificar incidente
Todo
Genera una entrada del incidente de la infracción
en Administrador de incidentes de DLP.
Solicitar justificación
Protección de datos
Genera una ventana emergente en el equipo del
usuario final. El usuario selecciona una
justificación (con valor opcional del usuario) o
selecciona una acción opcional.
Mostrar archivo en la
consola de DLP Endpoint
Descubrimiento de endpoints
Muestra Nombre de archivo y Ruta en la consola del
endpoint. Nombre de archivo es un vínculo para abrir
el archivo, excepto cuando el archivo está en
cuarentena. Ruta abre la carpeta en donde se
ubica el archivo.
Almacenar correo
electrónico original como
prueba
• Protección de datos
Almacena el mensaje original en el recurso
compartido de pruebas. Se aplica únicamente a
las reglas de protección de correo electrónico de
McAfee DLP Endpoint y McAfee DLP Prevent.
Almacenar archivo original
como prueba
• Protección de datos
No se puede usar en
McAfee DLP Endpoint for
Mac.
• Descubrimiento de endpoints
• Descubrimiento de red
Notificación de usuario
• Protección de datos
• Control de dispositivos
• Descubrimiento de endpoints
Guarda el archivo para su visualización a través
del administrador de incidentes.
Requiere una carpeta de pruebas específica y
la activación del servicio de copia de pruebas.
Envía un mensaje al equipo endpoint para
informar al usuario de la infracción de directivas.
Cuando se selecciona Notificación de usuario y se
desencadenan varios eventos, aparece un
mensaje emergente que indica que Hay
nuevos eventos DLP en su consola de DLP, en
lugar de mostrar varios mensajes.
Reconfigure action rules for web content (Volver a configurar las reglas de acción para contenido
web)
McAfee Data Loss Prevention 10.0.100
Guía del producto
159
7
Protección de contenido de carácter confidencial
Reacciones disponibles para los tipos de regla
Debe volver a configurar las reglas de acción de McAfee DLP Prevent para su uso en servidores proxy.
Los servidores proxy solo pueden PERMITIR o BLOQUEAR contenido web.
Tabla 7-6 Reacciones de la regla de protección de datos de McAfee DLP Endpoint
Reglas
Reacciones
Sin
acción
Aplicar
Bloquear Cifrar Notificar Solicitar
directiva de
incidente justificación
administración
de derechos
Almacenar Notificación
archivo
de usuario
original
(correo
electrónico)
como
prueba
Protección de
acceso a
archivos de la
aplicación
X
X
X
X
X
Protección del
Portapapeles
X
X
X
X
X
Protección en la
nube
X
Protección de
correo
electrónico (solo
McAfee DLP
Endpoint para
Windows)
X
X
X
X
X
X
X
X
X
X
X
X
Protección de
dispositivos
móviles
X
X
X
Protección de
comunicaciones
de la red
X
X
X
X
Protección de
recurso
compartido de
red
X
X
X
X
Protección
contra
impresión
X
X
Protección de
almacenamiento
extraíble
X
X
Protección
contra capturas
de pantalla
X
X
X
Protección web
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Tabla 7-7 Reacciones de la regla de control de dispositivos
Reglas
Reacciones
Sin acción Bloquear Solo lectura
Dispositivo Citrix XenApp
160
X
Disco duro fijo
X
X
Dispositivo Plug and Play
X
X
McAfee Data Loss Prevention 10.0.100
X
Guía del producto
7
Protección de contenido de carácter confidencial
Reacciones disponibles para los tipos de regla
Tabla 7-7 Reacciones de la regla de control de dispositivos (continuación)
Reacciones
Reglas
Sin acción Bloquear Solo lectura
Dispositivo de almacenamiento extraíble
X
X
Acceso a archivos en dispositivos de almacenamiento
extraíbles
X
X
Dispositivo TrueCrypt
X
X
X
X
Tabla 7-8 Reacciones de la regla de descubrimiento de McAfee DLP Endpoint
Reacciones
Reglas
Sin
acción
Crear
huellas
Aplicar directiva
Cifrar de administración Cuarentena digitales
de
de derechos
contenido
Clasificar
archivo
Sistema de
archivos de
Endpoint
X
X
X
Protección de
almacenamiento
de correos de
Endpoint
X
X
X
X
X
X
Tabla 7-9 Reacciones de la regla de descubrimiento de McAfee DLP Discover
Reacciones
Reglas
Aplicar directiva de
Sin acción Copiar Mover administración de
derechos
Es preciso modificar el
recurso compartido
anónimo para el inicio de
sesión
Protección de
Box
X
X
X
X
X
Protección del X
servidor de
archivos
(CIFS)
X
X
X
Protección de
SharePoint
X
X
X
X
McAfee Data Loss Prevention 10.0.100
Guía del producto
161
7
Protección de contenido de carácter confidencial
Creación y configuración de reglas y conjuntos de reglas
Creación y configuración de reglas y conjuntos de reglas
Cree y configure reglas para sus directivas de McAfee DLP Endpoint, Device Control, McAfee DLP
Discover, McAfee DLP Prevent y McAfee DLP Prevent for Mobile Email.
Procedimientos
•
Creación de un conjunto de reglas en la página 162
Los conjuntos de reglas combinan la protección de varios dispositivos, la protección de
datos y las reglas de análisis de descubrimiento.
•
Creación de una regla en la página 162
El proceso para crear una regla es similar para todos los tipos de regla.
•
Asignación de conjuntos de reglas a directivas en la página 163
Antes de que se asignen a equipos endpoint, los conjuntos de reglas se asignan a directivas
y estas se aplican a la base de datos de McAfee ePO.
•
Activar, desactivar o eliminar reglas en la página 164
Puede eliminar o cambiar el estado de varias reglas simultáneamente.
•
Directiva para crear una copia de seguridad y restaurar en la página 164
Puede crear copias de seguridad de las directivas, incluso de las reglas y clasificaciones,
desde un servidor de McAfee ePO y restaurarlas en otro servidor de McAfee ePO.
•
Configuración de las columnas de reglas o de conjuntos de reglas en la página 165
Mueva, agregue o elimine las columnas que se muestran para reglas o conjuntos de reglas.
•
Crear una definición de justificación en la página 165
En McAfee DLP Endpoint, las definiciones de justificación empresarial definen los
parámetros para la acción preventiva de justificación en las reglas.
•
Crear una definición de notificación en la página 166
Con McAfee DLP Endpoint, las notificaciones de usuario aparecen en las ventanas
emergentes o la consola del usuario final cuando las acciones de los usuarios infringen las
directivas.
Creación de un conjunto de reglas
Los conjuntos de reglas combinan la protección de varios dispositivos, la protección de datos y las
reglas de análisis de descubrimiento.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
Haga clic en la ficha Conjuntos de reglas.
3
Seleccione Acciones | Nuevo conjunto de reglas.
4
Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar.
Creación de una regla
El proceso para crear una regla es similar para todos los tipos de regla.
162
McAfee Data Loss Prevention 10.0.100
Guía del producto
Protección de contenido de carácter confidencial
Creación y configuración de reglas y conjuntos de reglas
7
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
Haga clic en la ficha Conjuntos de reglas.
3
Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la ficha apropiada
para las reglas de Protección de datos, Control de dispositivos o Descubrimiento.
4
Seleccione Acciones | Nueva regla y, a continuación, elija el tipo de regla.
5
En la ficha Condición, introduzca la información.
6
•
Con algunas condiciones, como las clasificaciones o las definiciones de dispositivos, haga clic
en ... para seleccionar una existente o crear un nuevo elemento.
•
Para agregar criterios adicionales, haga clic en +.
•
Para eliminar criterios, haga clic en -.
(Opcional) Para agregar excepciones a la regla, haga clic en la ficha Excepciones.
a
Seleccione Acciones | Agregar excepción de regla.
No se muestra ningún botón Acciones para las reglas de dispositivos. Para agregar excepciones a
reglas de dispositivos, seleccione una entrada de la lista que se muestra.
b
7
Rellene los campos según sea necesario.
En la ficha Reacción, configure las opciones Acción, Notificación de usuario y Notificar incidente.
Las reglas pueden tener diferentes acciones, dependiendo de si el equipo endpoint se encuentra en
la red corporativa o no. Algunas reglas también pueden tener una acción diferente cuando están
conectadas a la red corporativa mediante VPN.
8
Haga clic en Guardar para guardar la regla o Cerrar para salir sin guardar.
Véase también
Conjuntos de reglas en la página 141
Asignación de conjuntos de reglas a directivas
Antes de que se asignen a equipos endpoint, los conjuntos de reglas se asignan a directivas y estas se
aplican a la base de datos de McAfee ePO.
Antes de empezar
En la página Conjuntos de reglas | Administrador de directivas de DLP, cree uno o más conjuntos de
reglas y agregue en ellos las reglas precisas.
McAfee Data Loss Prevention 10.0.100
Guía del producto
163
7
Protección de contenido de carácter confidencial
Creación y configuración de reglas y conjuntos de reglas
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En la página Asignación de directiva | Administrador de directivas de DLP, siga uno de estos procedimientos:
•
Seleccione Acciones | Asignar un conjunto de reglas a directivas. En la ventana de asignación, seleccione
un conjunto de reglas de la lista desplegable y, a continuación, escoja las directivas a las que se
asignará. Haga clic en Aceptar.
•
Seleccione Acciones | Asignar conjuntos de reglas a una directiva. En la ventana de asignación, seleccione
una directiva de la lista desplegable y, a continuación, escoja los conjuntos de reglas a los que
se asignará. Haga clic en Aceptar.
Si elimina la selección de un conjunto de reglas o directiva seleccionados con anterioridad, el
conjunto de reglas se elimina de la directiva.
2
Seleccione Acciones | Aplicar directivas seleccionadas. En la ventana de asignación, seleccione las
directivas que se aplicarán a la base de datos de McAfee ePO. Haga clic en Aceptar.
Solo las directivas que aún no se han aplicado a la base de datos aparecen en la ventana de
selección. Si cambia una asignación de conjunto de reglas, o bien una regla en un conjunto de
reglas asignado, la directiva aparece y la directiva revisada se aplica en lugar de la anterior.
Activar, desactivar o eliminar reglas
Puede eliminar o cambiar el estado de varias reglas simultáneamente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
Haga clic en la ficha Conjuntos de reglas.
3
Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, haga clic en la ficha
apropiada para las reglas de Protección de datos, Control de dispositivos o Descubrimiento.
4
Seleccione una o varias reglas.
5
Actualice o elimine las reglas seleccionadas.
•
Para activar las reglas, seleccione Acciones | Cambiar estado | Activar.
•
Para desactivar las reglas, seleccione Acciones | Cambiar estado | Desactivar.
•
Para eliminar las reglas, seleccione Acciones | Eliminar regla de protección.
Directiva para crear una copia de seguridad y restaurar
Puede crear copias de seguridad de las directivas, incluso de las reglas y clasificaciones, desde un
servidor de McAfee ePO y restaurarlas en otro servidor de McAfee ePO.
Al restaurar desde un archivo, tenga en cuenta las siguientes cuestiones:
164
•
Asegúrese de que se ha agregado una clave de licencia antes de restaurar el archivo. Si restaura el
archivo sin una licencia, se desactivarán todas las reglas y deberá activarlas antes de aplicar la
directiva.
•
Para McAfee DLP Discover, debe reasignar servidores Discover para los análisis antes de aplicar la
directiva.
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Creación y configuración de reglas y conjuntos de reglas
Procedimiento
1
En McAfee ePO, seleccione Protección de datos | Configuración de DLP | Crear una copia de seguridad y restaurar.
2
Haga clic en Copia de seguridad en archivo y guarde el archivo en un lugar como una unidad USB o una
carpeta compartida.
3
En otro servidor de McAfee ePO, seleccione Protección de datos | Configuración de DLP | Crear una copia de
seguridad y restaurar.
4
Haga clic en Restaurar desde archivo y seleccione el archivo que guardó antes.
Configuración de las columnas de reglas o de conjuntos de
reglas
Mueva, agregue o elimine las columnas que se muestran para reglas o conjuntos de reglas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
Haga clic en la ficha Conjuntos de reglas.
3
Acceda a la página Seleccione las columnas que se van a mostrar.
4
5
•
Conjuntos de reglas: Seleccione Acciones | Elegir columnas.
•
Reglas: Seleccione un conjunto de reglas y, después, Acciones | Elegir columnas.
Modifique las columnas.
•
En el panel Columnas disponibles, haga clic en los elementos para añadir columnas.
•
En el panel Columnas seleccionadas, haga clic en las flechas o en x para mover o eliminar columnas.
•
Haga clic en Utilizar valores predeterminados para restaurar las columnas a su configuración
predeterminada.
Haga clic en Guardar.
Crear una definición de justificación
En McAfee DLP Endpoint, las definiciones de justificación empresarial definen los parámetros para la
acción preventiva de justificación en las reglas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
Haga clic en la ficha Definiciones y, a continuación, seleccione Notificación | Justificación.
3
Seleccione Acciones | Nuevo.
4
Introduzca un nombre único y, si lo desea, una descripción.
McAfee Data Loss Prevention 10.0.100
Guía del producto
165
7
Protección de contenido de carácter confidencial
Creación y configuración de reglas y conjuntos de reglas
5
Para crear definiciones de justificación en varios idiomas, seleccione Acciones de configuración regional |
Nueva configuración regional. Para cada configuración regional requerida, seleccione una configuración de
la lista desplegable.
Las configuraciones regionales seleccionadas se agregan a la lista.
6
Para cada configuración regional, haga lo siguiente:
a
En el panel de la izquierda, seleccione la configuración regional que desea editar. Escriba texto
en los cuadros de texto y seleccione las casillas de verificación según sea necesario.
Mostrar cadenas coincidentes proporciona un vínculo en la ventana emergente para que se muestre el
contenido resaltado de coincidencias. Más información proporciona un vínculo a un documento o
página de la intranet para obtener información.
Al introducir una definición de la configuración regional, las casillas de verificación y las acciones
no están disponibles. Solo puede introducir etiquetas de botones, descripciones y títulos. En la
sección Opciones de justificación, puede sustituir las definiciones predeterminadas por la versión de la
configuración regional mediante la función Editar en la columna Acciones.
b
Introduzca una Descripción general de justificación y, si lo desea, un Título de cuadro de diálogo.
La descripción es una instrucción general para el usuario, por ejemplo: Esta acción requiere una
justificación empresarial. La longitud máxima de la entrada es de 500 caracteres.
c
Escriba texto para las etiquetas de botones y seleccione las acciones de estos. Marque la casilla
de verificación Ocultar botón para crear una definición de dos botones.
Las acciones de los botones tienen que coincidir con las acciones preventivas disponibles para el
tipo de regla que utiliza la definición. Por ejemplo, para las acciones preventivas, las reglas de
protección de recurso compartido de red solo se pueden definir en Sin acción, Cifrar o Solicitar
justificación. Si selecciona Bloquear para una de las acciones de botón e intenta utilizar la definición
en una definición de regla de protección de recurso compartido de red, aparecerá un mensaje
de error.
d
Escriba texto en el cuadro de texto y haga clic en Agregar para añadirlo a la lista de Opciones de
justificación. Seleccione la casilla de verificación Mostrar opciones de justificación si desea que el usuario
final vea la lista.
Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que se
activara el mensaje emergente.
7
Cuando termine con todas, haga clic en Guardar.
Véase también
Personalización de mensajes del usuario final en la página 157
Crear una definición de notificación
Con McAfee DLP Endpoint, las notificaciones de usuario aparecen en las ventanas emergentes o la
consola del usuario final cuando las acciones de los usuarios infringen las directivas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
166
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
Haga clic en la ficha Definiciones y, a continuación, seleccione Notificación | Notificación de usuario.
3
Seleccione Acciones | Nuevo.
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
4
Introduzca un nombre único y, si lo desea, una descripción.
5
Para crear definiciones de notificación de usuario en varios idiomas, seleccione Acciones de
configuración regional | Nueva configuración regional. Para cada configuración regional requerida, seleccione
una configuración de la lista desplegable.
Las configuraciones regionales seleccionadas se agregan a la lista.
6
Para cada configuración regional, haga lo siguiente:
a
En el panel de la izquierda, seleccione la configuración regional que desea editar.
Puede definir cualquier configuración regional como valor predeterminado mediante la selección
de la casilla de verificación Configuración regional predeterminada.
b
Introduzca texto en el cuadro de texto.
Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que se
activara el mensaje emergente.
c
(Opcional) Seleccione la casilla de verificación Mostrar vínculo a más información e introduzca una URL
para proporcionar información más detallada.
Solo disponible en la configuración regional predeterminada.
7
Cuando termine con todas, haga clic en Guardar.
Véase también
Personalización de mensajes del usuario final en la página 157
Casos de uso de reglas
Los siguientes casos de uso son ejemplos del uso de las reglas de protección de datos y dispositivos.
McAfee Data Loss Prevention 10.0.100
Guía del producto
167
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
Procedimientos
•
Caso práctico: Regla para dispositivos de almacenamiento extraíbles con acceso a archivos
mediante proceso en lista blanca en la página 168
Puede agregar a la lista blanca nombres de archivos como excepción a una regla de
bloqueo de almacenamiento extraíble.
•
Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura en la página
169
Las reglas de protección de dispositivos de almacenamiento extraíble, a diferencia de las
reglas para dispositivos Plug and Play, disponen de una opción de solo lectura.
•
Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug and
Play en la página 170
Puede bloquearse el uso de iPhones de Apple como dispositivos de almacenamiento
mientras se cargan desde el equipo.
•
Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en disco
en la página 171
Las reglas de protección de acceso a archivos de la aplicación pueden utilizarse con el fin
de bloquear el uso de grabadoras de CD y DVD para la copia de información clasificada.
•
Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a
menos que se envíen a un dominio especificado en la página 172
Los mensajes salientes se bloquean si contienen la palabra Confidencial, a menos que la
regla no se aplique al destinatario.
•
Caso práctico: Permiso para que un grupo de usuarios específico envíe información de
crédito en la página 173
Permite a personas del grupo de usuarios de recursos humanos enviar mensajes que
contienen información personal de crédito, mediante la obtención de la información a
través de Active Directory.
•
Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destino
en la página 175
Cree clasificaciones que permitan el envío de datos adjuntos del tipo NEED-TO-SHARE a los
empleados de Estados Unidos, Alemania e Israel.
Caso práctico: Regla para dispositivos de almacenamiento
extraíbles con acceso a archivos mediante proceso en lista
blanca
Puede agregar a la lista blanca nombres de archivos como excepción a una regla de bloqueo de
almacenamiento extraíble.
Las reglas para dispositivos de almacenamiento extraíbles con acceso a archivos se utilizan para
impedir que las aplicaciones actúen en los dispositivos extraíbles. Los nombres de archivos en lista
blanca son procesos que no se bloquean. En este ejemplo, bloqueamos los dispositivos de
almacenamiento extraíbles Sandisk, pero permitimos que el software antivirus analice el dispositivo
para eliminar los archivos infectados.
Solo los equipos basados en Windows admiten esta función.
168
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
En la ficha Definiciones, ubique la definición de dispositivos integrada para All Sandisk removable storage
devices (Todos los dispositivos extraíbles Sandisk [Windows]) a continuación, haga clic en Duplicar.
La definición utiliza el ID de proveedor de Sandisk 0781.
Práctica recomendada: Duplique las definiciones integradas para personalizar una definición. Por
ejemplo, puede agregar otros ID de proveedores a la definición de Sandisk duplicada para agregar
otras marcas de dispositivos extraíbles.
3
En la ficha Conjuntos de reglas, seleccione o cree un conjunto de reglas.
4
En la ficha del conjunto de reglas Control de dispositivos, seleccione Acciones | Nueva regla | Regla para
dispositivos de almacenamiento extraíbles con acceso a archivos.
5
Introduzca un nombre para la regla y seleccione Estado | Activado.
6
En la ficha Condiciones, seleccione un Usuario final o deje el valor predeterminado (es cualquier usuario). En
el campo Almacenamiento extraíble, seleccione la definición de dispositivos que creó en el paso 2. Deje
los valores predeterminados de Tipo de archivo verdadero y Extensión del archivo.
7
En la ficha Excepciones, seleccione Nombres de archivo en lista blanca.
8
En el campo Nombre del archivo, agregue la definición integrada de McAfee AV.
Puede duplicar y personalizar esta definición, al igual que sucede con la de dispositivos de
almacenamiento extraíbles.
9
En la ficha Reacción, seleccione Acción | Bloquear. Opcionalmente, puede agregar una notificación de
usuario y seleccionar la opción Notificar incidente.
10 Haga clic en Guardar y, a continuación, en Cerrar.
Caso práctico: Establecimiento de un dispositivo extraíble como
de solo lectura
Las reglas de protección de dispositivos de almacenamiento extraíble, a diferencia de las reglas para
dispositivos Plug and Play, disponen de una opción de solo lectura.
Al configurar los dispositivos extraíbles como de solo lectura, puede permitir que los usuarios utilicen
sus dispositivos personales como reproductores de MP3 al tiempo que evita su uso como dispositivos
de almacenamiento.
McAfee Data Loss Prevention 10.0.100
Guía del producto
169
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
En la ficha Definiciones, en la página Definiciones de dispositivos, cree una definición de dispositivos de
almacenamiento extraíbles.
Las definiciones de dispositivos de almacenamiento extraíbles deben categorizarse como definiciones
de Windows o Mac. Puede comenzar por duplicar una de las definiciones integradas para Windows o
Mac y personalizarla. El Tipo de bus puede incluir USB, Bluetooth y cualquier otro tipo de bus que
espere utilizar. Identifique los dispositivos con ID de proveedores o nombres de dispositivo.
3
En la ficha Conjuntos de reglas, seleccione o cree un conjunto de reglas.
4
En la ficha Device Control, seleccione Acciones | Nueva regla | Regla para dispositivos de almacenamiento extraíbles.
5
Introduzca un nombre para la regla y seleccione Estado | Activado. En la sección Condiciones, en el
campo Almacenamiento extraíble, seleccione la definición de dispositivos que creó en el paso 2.
6
En la ficha Reacción, seleccione Acción | Solo lectura. Opcionalmente, puede agregar una notificación de
usuario y seleccionar la opción Notificar incidente.
7
Haga clic en Guardar y, a continuación, en Cerrar.
Caso práctico: Bloqueo y carga de un iPhone mediante una
regla de dispositivos Plug and Play
Puede bloquearse el uso de iPhones de Apple como dispositivos de almacenamiento mientras se
cargan desde el equipo.
En este caso práctico se crea una regla que impide que el usuario utilice el iPhone como dispositivo de
almacenamiento masivo. Se utiliza una regla de protección de dispositivos Plug and Play, ya que
permite que los iPhones se carguen con independencia de cómo se especifique la regla. Esta función
no se puede utilizar en otros smartphones ni otros dispositivos móviles de Apple. No evita que un
iPhone se cargue desde el equipo.
Para definir una regla de dispositivos Plug and Play para dispositivos concretos, puede crear una
definición de dispositivos con los códigos de ID de proveedor y producto (ID prov./ID prod.). Puede
encontrar esta información en el Administrador de dispositivos de Windows cuando el dispositivo esté
conectado. Dado que en este ejemplo solo se requiere un ID prov., puede utilizar la definición de
dispositivos integrada Todos los dispositivos de Apple en lugar de buscar la información.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
170
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
En la ficha Conjuntos de reglas, seleccione (o cree) un conjunto de reglas. Haga clic en la ficha Control de
dispositivos y cree una regla de dispositivos Plug and Play. Utilice la definición de dispositivos
integrada Todos los dispositivos de Apple como la definición incluida (es uno de [O]).
3
En la ficha Reacción, configure la Acción de Bloquear.
4
Haga clic en Guardar y, a continuación, en Cerrar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
Caso práctico: Evitar que la información de carácter
confidencial pueda grabarse en disco
Las reglas de protección de acceso a archivos de la aplicación pueden utilizarse con el fin de bloquear
el uso de grabadoras de CD y DVD para la copia de información clasificada.
Antes de empezar
Cree una clasificación para identificar el contenido clasificado. Utilice parámetros relevantes
para su entorno (teclado, patrón de texto, información de archivos, etc.).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
En la ficha Conjuntos de reglas, seleccione un conjunto de reglas actual, o bien Acciones | Nuevo conjunto de
reglas y defina un conjunto de reglas.
3
En la ficha Protección de datos, seleccione Acciones | Nueva regla | Protección de acceso a archivos de la aplicación.
4
(Opcional) Introduzca un nombre en el campo Nombre de regla (obligatorio). Seleccione las opciones
de los campos Estado y Gravedad.
5
En la ficha Condición, en el campo Clasificación, seleccione la clasificación que creó para su contenido
de carácter confidencial.
6
En el campo Usuario final, seleccione los grupos de usuarios (opcional).
La adición de usuarios o grupos a la regla limita dicha regla a usuarios específicos.
7
En el campo Aplicaciones, seleccione Media Burner Application [integrado] de la lista de definiciones de
aplicaciones disponibles.
Puede crear su propia definición de grabadora de medios si edita la definición integrada. La edición
de una definición integrada crea automáticamente una copia de la definición original.
8
(Opcional) En la ficha Excepciones, cree excepciones a la regla.
Las definiciones de excepciones pueden incluir cualquier campo que esté en una definición de
condición. Puede definir varias excepciones que se utilizarán en distintas situaciones. Un ejemplo
es definir "usuarios privilegiados" a quienes no se aplica la regla.
9
En la ficha Reacción, configure la Acción de Bloquear. Seleccione una Notificación de usuario (opcional).
Haga clic en Guardar y, a continuación, en Cerrar.
Otra alternativa es cambiar la opción predeterminada de notificación de incidentes y evitar la
acción cuando el equipo esté desconectado de la red.
10 En la ficha Asignación de directivas, asigne el conjunto de reglas a una o varias directivas:
a
Seleccione Acciones | Asignar un conjunto de reglas a directivas.
b
Seleccione un conjunto de reglas apropiado en la lista desplegable.
c
Seleccione la directiva o directivas a que se asignará.
11 Seleccione Acciones | Aplicar directivas seleccionadas. Seleccione las directivas que se aplicarán a la base
de datos de McAfee ePO y haga clic en Aceptar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
171
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
Caso práctico: Bloqueo de mensajes salientes con contenido de
carácter confidencial a menos que se envíen a un dominio
especificado
Los mensajes salientes se bloquean si contienen la palabra Confidencial, a menos que la regla no se
aplique al destinatario.
Siga estos pasos de alto nivel:
•
Crear una definición de lista de direcciones de correo electrónico.
•
Cree un conjunto de reglas y una regla que se aplique a mensajes que contengan la palabra
Confidencial.
•
Especifique los destinatarios a los que no se les aplica dicha regla.
•
Especifique la reacción a los mensajes que contengan la palabra Confidencial.
Tabla 7-10 Comportamiento esperado
Contenido del
correo electrónico
Destinatario
Cuerpo: Confidencial
usuario_externo@externo.com El mensaje está bloqueado porque contiene
la palabra "Confidencial".
Cuerpo: Confidencial
usuario_interno@ejemplo.com El mensaje no se bloquea porque la
configuración de la excepción indica que se
puede enviar material confidencial a
personas del dominio "ejemplo.com".
Cuerpo:
usuario_externo@externo.com El mensaje se bloquea debido a que uno de
usuario_interno@ejemplo.com los destinatarios no tiene permiso para
recibirlo.
Datos adjuntos:
Confidencial
Resultado esperado
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
2
172
Cree una definición de lista de direcciones de correo electrónico para un dominio al que no se le
aplica la regla.
a
En la sección Protección de datos de McAfee ePO, seleccione Administrador de directivas de DLP y haga clic
en Definiciones.
b
Seleccione la definición Lista de direcciones de correo electrónico y cree otra copia de El dominio de correo
electrónico de mi organización integrado.
c
Seleccione la definición de lista de direcciones de correo electrónico que ha creado y haga clic
en Editar.
d
En Operador, seleccione El nombre de dominio es y defina el valor como ejemplo.com.
e
Haga clic en Guardar.
Cree un conjunto de reglas con una regla de Protección de correo electrónico.
a
Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones | Nuevo conjunto de reglas.
b
Asigne al conjunto de reglas el nombre Bloquear si aparece "Confidencial" en el correo
electrónico.
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
c
Cree una copia de la clasificación Confidencial integrada.
Aparecerá una copia editable de la clasificación.
d
Haga clic en Acciones | Nueva regla | Regla de protección de correo electrónico.
e
Asigne a la nueva regla el nombre Bloquear si aparece "Confidencial" y actívela.
f
Aplique la regla a DLP Endpoint para Windows y DLP Prevent.
g
Seleccione la clasificación que ha creado y añádala a la regla.
h
Defina la opción Destinatario como cualquier destinatario (TODOS).
Deje los demás ajustes de la ficha Condición con los valores predeterminados.
3
4
5
Agregue excepciones a la regla.
a
Haga clic en Excepciones y, a continuación, seleccione Acciones | Agregar excepción de regla.
b
Escriba un nombre para la excepción y actívela.
c
Defina la clasificación como Confidencial.
d
Defina el Destinatario como al menos un destinatario pertenece a todos los grupos (Y) y, a continuación,
seleccione la definición de lista de direcciones de correo electrónico que ha creado.
Configure la reacción a los mensajes que contengan la palabra Confidencial.
a
Haga clic en Reacción.
b
En DLP Endpoint, defina Acción como Bloquear para los equipos conectados y desconectados de la
red corporativa.
c
En DLP Prevent, seleccione la opción Agregar encabezado X-RCIS-Action y haga clic en el valor Bloquear.
Guarde la directiva y aplíquela.
Caso práctico: Permiso para que un grupo de usuarios
específico envíe información de crédito
Permite a personas del grupo de usuarios de recursos humanos enviar mensajes que contienen
información personal de crédito, mediante la obtención de la información a través de Active Directory.
Antes de empezar
Registre un servidor de Active Directory con McAfee ePO. Utilice las funciones de los
Servidores registrados en McAfee ePO para agregar los detalles del servidor. Para
obtener más información sobre el registro de servidores, consulte la Guía del producto
McAfee ePolicy Orchestrator.
Siga estos pasos de alto nivel:
1
(Opcional solo para McAfee DLP Prevent) Seleccione un servidor LDAP del que obtener el grupo de
usuarios.
2
Cree una clasificación de la información personal de crédito.
3
Cree un conjunto de reglas y una regla que actúe en la nueva clasificación.
4
Defina al grupo de usuarios de recursos humanos a los que no se les aplica la regla.
McAfee Data Loss Prevention 10.0.100
Guía del producto
173
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
5
Bloquee mensajes que contengan información personal de crédito.
6
Aplique la directiva.
Práctica recomendada: Para asegurarse de que sus reglas identifican posibles incidentes relacionados
con la pérdida de datos con el mínimo número de resultados falsos positivos, créelas utilizando la
configuración Sin acción. Supervise el Administrador de incidentes de DLP hasta que esté seguro de que la regla
identifica correctamente los incidentes y, a continuación, cambie la Acción a Bloquear.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
a
En McAfee ePO, abra el Catálogo de directivas.
b
Seleccione la directiva del Servidor de McAfee DLP Prevent.
c
Abra la categoría Usuarios y grupos y la directiva que desee editar.
d
Seleccione los servidores de Active Directory que desea utilizar.
e
Haga clic en Guardar.
2
En el menú McAfee ePO, seleccione Clasificación y cree una clasificación PCI duplicada.
3
Cree el conjunto de reglas y las excepciones a estas.
4
5
174
Seleccione el servidor LDAP del que desea obtener el grupo de usuarios.
a
Abra el Administrador de directivas de DLP.
b
En Conjuntos de reglas, cree un conjunto de reglas llamado Bloquear PCI para DLP Prevent y
DLP Endpoint.
c
Abra el conjunto de reglas creado, elija Acción | Nueva regla | Protección de correo electrónico y escriba
un nombre para la regla.
d
En Implementar en, seleccione DLP Endpoint para Windows y DLP Prevent.
e
En Clasificación, seleccione la clasificación que ha creado.
f
Deje los campos Remitente, Sobre de correo electrónico y Destinatario con los ajustes predeterminados.
Especifique el grupo de usuarios que desea excluir de la regla.
a
Seleccione Excepciones, haga clic en Acciones | Agregar excepción de regla y asígnele el nombre
Excepción para el grupo de recursos humanos.
b
Defina el valor Estado como Activado.
c
En Clasificación, seleccione contiene cualquier dato (TODO).
d
En Remitente, seleccione Pertenece a uno de los grupos de usuarios finales (O).
e
Seleccione Nuevo elemento y cree un grupo de usuarios finales llamado RR. HH.
f
Haga clic en Agregar grupos, seleccione el grupo y haga clic en Aceptar.
Defina la acción que desea realizar si se activa la regla.
a
Seleccione el grupo creado y haga clic en Aceptar.
b
Seleccione la ficha Reacción.
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
c
En la sección DLP Endpoint, defina Acción como Bloquear.
Si se selecciona DLP Endpoint, deberá definir una reacción.
d
En la sección DLP Prevent, establezca el valor de encabezado X-RCIS-Action como Bloquear.
Si desea comprobar la regla, puede mantener la Acción como Sin acción hasta que esté seguro de
que se activa de la forma esperada.
6
e
Seleccione Notificar incidente.
f
Guarde la regla y haga clic en Cerrar.
Aplique la regla.
a
En el Administrador de directivas de DLP, seleccione Asignación de directivas.
La opción Cambios pendientes indica Sí.
b
Seleccione Acciones | Asignar conjuntos de reglas a una directiva.
c
Seleccione la regla que ha creado.
d
Seleccione Acciones | Aplicar directivas seleccionadas.
e
Haga clic en Aplicar directiva.
La opción Cambios pendientes indica No.
Caso práctico: Clasificar los datos adjuntos como NEED-TOSHARE en función de su destino
Cree clasificaciones que permitan el envío de datos adjuntos del tipo NEED-TO-SHARE a los empleados
de Estados Unidos, Alemania e Israel.
Antes de empezar
1
Utilice las funciones de los Servidores registrados en McAfee ePO para agregar los detalles
de los servidores LDAP. Para obtener más información sobre el registro de servidores,
consulte la Guía del producto McAfee ePolicy Orchestrator.
2
Utilice la función Configuración de LDAP de la categoría de directivas Usuarios y grupos para
insertar información de grupo en el appliance de McAfee DLP Prevent.
Siga estos pasos de alto nivel:
•
Cree una clasificación NEED-TO-SHARE.
•
Cree una clasificación de Estados Unidos.
•
Cree una clasificación de Israel.
•
Cree definiciones de lista de direcciones de correo electrónico.
•
Cree un conjunto de reglas y una regla que clasifique los datos adjuntos como NEED-TO-SHARE.
•
Especifique excepciones a la regla.
Las clasificaciones de ejemplo en la tabla muestran cómo se comportan con destinatarios y
desencadenadores de clasificación diferentes.
McAfee Data Loss Prevention 10.0.100
Guía del producto
175
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
Tabla 7-11 Comportamiento esperado
Clasificación
Destinatario
Datos adjuntos 1: NEED-TO-SHARE,
Israel (.il) y Estados Unidos (.us)
usuarioejemplo1@ejemplo1.com Permitir: ejemplo1.com
puede recibir todos los
datos adjuntos del tipo
NEED-TO-SHARE
Datos adjuntos 2: NEED-TO-SHARE,
Israel (.il) y Alemania (.de)
Datos adjuntos 1: NEED-TO-SHARE,
Israel (.il) y Estados Unidos (.us)
Datos adjuntos 2: NEED-TO-SHARE,
Israel (.il) y Alemania (.de)
Datos adjuntos 1: NEED-TO-SHARE,
Israel (.il) y Estados Unidos (.us)
Datos adjuntos 2: NEED-TO-SHARE,
Israel (.il) y Alemania (.de)
Datos adjuntos 1: NEED-TO-SHARE,
Israel (.il) y Estados Unidos (.us)
usuarioejemplo2@ejemplo2.com Permitir: ejemplo2.com
puede recibir todos los
datos adjuntos del tipo
NEED-TO-SHARE
usuarioejemplo2@ejemplo2.com Permitir: ejemplo1.com y
usuarioejemplo1@ejemplo1.com ejemplo2.com pueden
recibir ambos datos
adjuntos
usuarioejemplo3@gov.il
Permitir: gov.il puede
recibir ambos datos
adjuntos
usuarioejemplo4@gov.us
Bloquear: usuarioejemplo4
no puede recibir Datos
adjuntos 2
usuarioejemplo3@gov.il
Bloquear: usuarioejemplo4
no puede recibir Datos
adjuntos 2
Datos adjuntos 2: NEED-TO-SHARE,
Israel (.il) y Alemania (.de)
Datos adjuntos 1: NEED-TO-SHARE,
Israel (.il) y Estados Unidos (.us)
Datos adjuntos 2: NEED-TO-SHARE,
Israel (.il) y Alemania (.de)
Datos adjuntos 1: NEED-TO-SHARE,
Israel (.il) y Estados Unidos (.us)
Datos adjuntos 2: NEED-TO-SHARE,
Israel (.il) y Alemania (.de)
Datos adjuntos 1: NEED-TO-SHARE,
Israel (.il) y Estados Unidos (.us)
Datos adjuntos 2: NEED-TO-SHARE,
Israel (.il) y Alemania (.de)
Datos adjuntos 1: NEED-TO-SHARE,
Israel (.il) y Estados Unidos (.us)
Datos adjuntos 2: NEED-TO-SHARE,
Israel (.il) y Alemania (.de)
Datos adjuntos 1: NEED-TO-SHARE,
Israel (.il) y Estados Unidos (.us)
Datos adjuntos 2: NEED-TO-SHARE,
Israel (.il) y Alemania (.de)
Resultado esperado
usuarioejemplo4@gov.us
usuarioejemplo1@ejemplo1.com Bloquear: usuarioejemplo4
no puede recibir Datos
usuarioejemplo4@gov.us
adjuntos 2
usuarioejemplo3@gov.il
Permitir: usuarioejemplo1
usuarioejemplo1@ejemplo1.com y usuarioejemplo3 pueden
recibir ambos datos
adjuntos
usuarioejemplo2@ejemplo2.com Bloquear: usuarioejemplo4
usuarioejemplo1@ejemplo1.com no puede recibir Datos
adjuntos 2
usuarioejemplo4@gov.us
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
176
Cree una definición de lista de direcciones de correo electrónico para los dominios a los que no se
les aplica la regla.
a
En la sección Protección de datos de McAfee ePO, seleccione Administrador de directivas de DLP y haga clic
en Definiciones.
b
Seleccione la definición Lista de direcciones de correo electrónico y cree otra copia de El dominio de correo
electrónico de mi organización integrado.
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
2
3
4
c
Seleccione la definición de lista de direcciones de correo electrónico que ha creado y haga clic
en Editar.
d
En Operador, seleccione El nombre de dominio es y defina el valor como ejemplo1.com.
e
Cree una entrada para ejemplo2.com.
f
Haga clic en Guardar.
g
Repita estos pasos para crear una definición para gov.il.
h
Repita los pasos para crear una definición para gov.us.
Cree un conjunto de reglas que incluya una regla de Protección de correo electrónico.
a
Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones | Nuevo conjunto de reglas.
b
Asigne un nombre al conjunto de reglas Permitir correo electrónico del tipo
NEED-TO-SHARE a Israel y Estados Unidos.
Cree una regla y agregue el criterio de clasificación NEED-TO-SHARE.
a
Haga clic en Acciones | Nueva regla | Regla de protección de correo electrónico.
b
Asigne un nombre a la regla NEED-TO-SHARE, actívela e impleméntela en DLP Endpoint para Windows
y DLP Prevent.
c
Defina Clasificación de como uno de los adjuntos (*).
d
Seleccione contiene uno de (O) y elija el criterio de clasificación NEED-TO-SHARE.
e
Defina la opción Destinatario como cualquier destinatario (TODOS).
f
Deje los demás ajustes de la ficha Condición con los valores predeterminados.
Agregue excepciones a la regla y active cada una de ellas.
•
•
•
Excepción 1
1
Defina Clasificación de como adjunto coincidente.
2
Seleccione contiene uno de (O) y elija el criterio de clasificación NEED-TO-SHARE.
3
Defina Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y elija la definición de
dirección de correo electrónico que incluye ejemplo.com y ejemplo2.com que ha creado.
Excepción 2
1
Defina Clasificación de como adjunto coincidente.
2
Seleccione contiene todos de (Y) y elija los criterios de clasificación NEED-TO-SHARE y .il (Israel).
3
Defina Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y elija gov.il.
Excepción 3
1
Defina Clasificación de como adjunto coincidente.
2
Seleccione contiene todos de (Y) y elija los criterios de clasificación NEED-TO-SHARE y .us (Estados
Unidos).
3
Defina Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y elija gov.us.
McAfee Data Loss Prevention 10.0.100
Guía del producto
177
7
Protección de contenido de carácter confidencial
Casos de uso de reglas
5
178
Defina la reacción que desea realizar si se activa la regla.
a
En DLP Endpoint, defina Acción como Bloquear.
b
En DLP Prevent, defina la Acción como Agregar encabezado X-RCIS-Action y seleccione el valor Bloquear.
6
Haga clic en Guardar.
7
Aplique la directiva.
McAfee Data Loss Prevention 10.0.100
Guía del producto
8
Análisis de datos con descubrimiento de
McAfee DLP Endpoint
Descubrimiento es un rastreador que se ejecuta en los equipos Endpoint. Busca archivos del sistema
de archivos local y de almacenamiento de correo electrónico, y aplica reglas para proteger contenido
de carácter confidencial.
Contenido
Protección de los archivos con las reglas de descubrimiento
Modo de funcionamiento del análisis de descubrimiento
Encontrar contenido con el rastreador de descubrimiento de Endpoint
Protección de los archivos con las reglas de descubrimiento
Las reglas de descubrimiento definen el contenido que McAfee DLP busca al analizar repositorios y
determinan la acción que se debe llevar a cabo cuando se encuentra contenido coincidente. Se pueden
definir reglas de descubrimiento para McAfee DLP Discover o para descubrimiento de McAfee DLP
Endpoint.
En función del tipo de regla, los archivos que coinciden con un análisis se pueden copiar, mover,
clasificar, cifrar, poner en cuarentena, identificar su contenido por huellas digitales o se les puede
aplicar una directiva de administración de derechos. Todas las condiciones de la regla de
descubrimiento incluyen una clasificación.
Cuando utilice las reglas descubrimiento de almacenamiento de correo electrónico con la acción
preventiva Cuarentena, verifique que los complementos de Outlook están activados (Catálogo de
directivas | Data Loss Prevention 10 | Configuración del cliente | Módulos y modos de funcionamiento).
No puede liberar correos electrónicos de la cuarentena si los complementos de Outlook están
desactivados.
Tabla 8-1 Reglas de descubrimiento disponibles
Tipo de regla
Producto
Controla los archivos descubiertos de...
Sistema de archivos local
McAfee DLP Endpoint Análisis del sistema de archivos local.
Correo electrónico local (OST,
PST)
McAfee DLP Endpoint Análisis de sistemas de almacenamiento de
correo electrónico.
Protección del servidor de
archivos (CIFS)
McAfee DLP Discover Análisis del servidor de archivos.
Protección de SharePoint
McAfee DLP Discover Análisis del servidor de SharePoint.
Las reglas de McAfee DLP Discover también requieren un repositorio. Consulte el capítulo Análisis de
datos con McAfee DLP Discover para obtener más información sobre cómo configurar las reglas y
análisis.
McAfee Data Loss Prevention 10.0.100
Guía del producto
179
8
Análisis de datos con descubrimiento de McAfee DLP Endpoint
Modo de funcionamiento del análisis de descubrimiento
Análisis iniciados por el usuario final
Cuando se activa en la configuración de análisis del sistema de archivos locales de directivas de DLP,
los usuarios finales pueden ejecutar los análisis activados y ver las acciones de autocorrección. Cada
análisis debe disponer de una planificación asignada y este se ejecuta conforme a dicha planificación,
tanto si el usuario decide ejecutarla como si no, aunque si la opción de interacción del usuario está
activada, los usuarios finales también pueden ejecutar análisis según les convenga. Si, además, se
selecciona la opción de autocorrección, los usuarios finales también realizan acciones de corrección.
Clasificación automática del sistema de archivos local
Cuando selecciona la acción Clasificar archivos para las reglas de descubrimiento del sistema de archivos
local, la regla se aplica automáticamente a la clasificación e incorpora el ID de la etiqueta de
clasificación en el formato de archivo. El ID se agrega a todos los archivos de Microsoft Office y PDF,
así como a los formatos de archivo de imagen, vídeo y audio. El ID de clasificación puede ser
detectado por todos los productos de McAfee DLP y por productos de terceros.
Limitación:
En la versión 10.0.100 de McAfee DLP, solo McAfee DLP Discover y McAfee DLP Endpoint para
Windows pueden detectar automáticamente la clasificación incorporada.
Véase también
Componentes del módulo Clasificación en la página 113
Modo de funcionamiento del análisis de descubrimiento
Utilice los análisis de descubrimiento del endpoint para localizar el sistema de archivos local o los
archivos de almacenamiento de correo electrónico con contenido de carácter confidencial, y
etiquételos o póngalos en cuarentena.
El descubrimiento de McAfee DLP Endpoint es un rastreador que se ejecuta en los equipos cliente.
Cuando encuentra contenido predefinido, puede supervisar, poner en cuarentena, etiquetar, cifrar o
aplicar una directiva de administración de derechos a los archivos que contienen dicho contenido. El
descubrimiento de Endpoint puede analizar los archivos del equipo o los del almacenamiento de correo
electrónico (PST, PST asignado y OST). Los archivos de almacenamiento de correo electrónico se
almacenan en caché de forma individual para cada usuario.
Para utilizar el descubrimiento de endpoint, tiene que activar los módulos de Descubrimiento
en Catálogo de directivas | Configuración del cliente | Módulos y modo de funcionamiento.
Al final de cada análisis de descubrimiento, el cliente de McAfee DLP Endpoint envía un evento de
resumen del descubrimiento a la consola Administrador de incidentes de DLP de McAfee ePO para
registrar los detalles del análisis. En el evento se incluye un archivo de pruebas en el que se indican
los archivos que no se pudieron analizar y el motivo por el que no se analizaron dichos archivos. Hay
también un archivo de pruebas con los archivos que coinciden con la clasificación y la acción realizada.
En McAfee DLP Endpoint 9.4.0, el evento de resumen era un evento operativo. Para actualizar eventos
de resumen antiguos al Administrador de incidentes de DLP, utilice la tarea servidor Migración de
eventos de incidentes DLP de 9.4 a 9.4.1 de McAfee ePO.
180
McAfee Data Loss Prevention 10.0.100
Guía del producto
Análisis de datos con descubrimiento de McAfee DLP Endpoint
Encontrar contenido con el rastreador de descubrimiento de Endpoint
8
¿Cuándo se pueden realizar búsquedas?
Análisis de descubrimiento de planificación en el Catálogo de directivas | Directiva de DLP |
Descubrimiento de Endpoint. Puede realizar un análisis diario a una hora específica o en días
determinados de la semana o del mes. Puede especificar las fechas de inicio y fin, o realizar un
análisis cuando se implemente la configuración de McAfee DLP Endpoint. Puede suspender un análisis
cuando la CPU o la memoria RAM del equipo superen el límite especificado.
Si cambia la directiva de descubrimiento cuando se está realizando el análisis de un endpoint, las
reglas y parámetros de planificación cambiarán de forma inmediata. Los cambios para los que se han
activado o desactivado los parámetros surtirán efecto en el siguiente análisis. Si se ha reiniciado el
equipo mientras se estaba realizando un análisis, este continúa por donde se quedó.
¿Qué tipo de contenido se puede descubrir?
Puede definir las reglas de descubrimiento con una clasificación. Cualquier propiedad de los archivos o
condición de los datos que se puedan agregar a los criterios de clasificación se pueden utilizar para
descubrir contenido.
¿Qué sucede con los archivos descubiertos con contenido de carácter confidencial?
Puede poner en cuarentena o etiquetar archivos de correo electrónico. Puede cifrar, poner en
cuarentena, etiquetar o aplicar una directiva de administración de derechos a los archivos del sistema
de archivos local. Puede almacenar las pruebas de ambos tipos de archivo.
Encontrar contenido con el rastreador de descubrimiento de
Endpoint
La ejecución del rastreador de descubrimiento conlleva cuatro pasos.
1
Cree y defina clasificaciones para identificar contenido de carácter confidencial.
2
Cree y defina una regla de descubrimiento. La regla de descubrimiento incluye la clasificación como
parte de la definición.
3
Cree una definición de planificación.
4
Configure los parámetros de análisis. La definición del análisis incluye la planificación como uno de
los parámetros.
McAfee Data Loss Prevention 10.0.100
Guía del producto
181
8
Análisis de datos con descubrimiento de McAfee DLP Endpoint
Encontrar contenido con el rastreador de descubrimiento de Endpoint
Procedimientos
•
Creación y definición de una regla de descubrimiento en la página 182
Las reglas de descubrimiento definen el contenido que busca el rastreador y qué hacer
cuando este se encuentra.
•
Creación de una definición de planificador en la página 183
El planificador determina cuándo y con qué frecuencia se ejecuta un análisis de
descubrimiento.
•
Configurar un análisis en la página 183
Los análisis de descubrimiento rastrean el sistema de archivos local o los buzones de correo
en busca de contenido de carácter confidencial.
•
Caso práctico: Restauración de elementos de correo electrónico o archivos en cuarentena
en la página 184
Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de
carácter confidencial, mueve los archivos o los elementos de correo electrónico afectados a
una carpeta de cuarentena y, a continuación, los sustituye por marcadores de posición que
notifican a los usuarios que sus archivos o correos electrónicos están en cuarentena.
Además, los archivos y los elementos de correo electrónico en cuarentena se cifran para
evitar el uso no autorizado.
Creación y definición de una regla de descubrimiento
Las reglas de descubrimiento definen el contenido que busca el rastreador y qué hacer cuando este se
encuentra.
Las reglas de descubrimiento pueden definir las reglas de descubrimiento del endpoint (correo
electrónico local, sistema de archivos local...) o de la red (Box, CIFS, SharePoint....).
Los cambios en una regla de descubrimiento se aplican cuando se implementa la directiva. Aunque
esté en curso un análisis, la nueva regla entra en vigor inmediatamente.
Para los análisis de almacenamiento de correo electrónico (PST, PST asignado, y OST), el rastreador
analiza los elementos de correo electrónico (cuerpo y datos adjuntos), los elementos de calendario y
las tareas. No busca en carpetas públicas ni en notas rápidas.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
En la página Conjuntos de reglas, seleccione Acciones | Nuevo conjunto de reglas. Introduzca un nombre y
haga clic en Aceptar.
También puede agregar reglas de descubrimiento a un conjunto de reglas existente.
3
En la ficha Descubrimiento, seleccione Acciones | Nueva regla de descubrimiento de endpoint y, a continuación,
elija Correo electrónico local o Sistema de archivos local.
Aparecerá la página apropiada.
182
4
Introduzca un nombre de regla y seleccione una clasificación.
5
Haga clic en Reacción. En la lista desplegable, seleccione una Acción.
6
(Opcional) Seleccione las opciones de Notificar incidente, defina el valor Estado en Activado y seleccione
una designación de Gravedad en la lista desplegable.
7
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Análisis de datos con descubrimiento de McAfee DLP Endpoint
Encontrar contenido con el rastreador de descubrimiento de Endpoint
8
Creación de una definición de planificador
El planificador determina cuándo y con qué frecuencia se ejecuta un análisis de descubrimiento.
Se proporcionan cinco tipos de planificación:
•
Ejecutar inmediatamente
•
Semanal
•
Una vez
•
Mensual
•
Diariamente
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
Haga clic en la ficha Definiciones.
3
En el panel de la izquierda, haga clic en Planificador.
Si se han instalado McAfee DLP Discover y McAfee DLP Endpoint, la lista de planificaciones
existentes que se muestra incluye planificaciones para ambos.
4
Seleccione Acciones | Nuevo.
Aparecerá la página Nuevo planificador.
5
Introduzca un Nombre único y seleccione el Tipo de planificación en la lista desplegable.
La visualización cambia cuando selecciona el tipo de planificación con el fin de proporcionar los
campos necesarios para ese tipo.
6
Rellene las opciones necesarias y haga clic en Guardar.
Configurar un análisis
Los análisis de descubrimiento rastrean el sistema de archivos local o los buzones de correo en busca
de contenido de carácter confidencial.
Antes de empezar
Compruebe que los conjuntos de reglas que desea aplicar a los análisis se hayan aplicado a
la Directiva de DLP. Esta información aparece en Directiva de DLP | Conjuntos de reglas.
Los cambios de parámetros de configuración de descubrimientos tienen efecto en el siguiente análisis.
No se aplican a análisis que ya estén en curso.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.
2
Seleccione Producto | Data Loss Prevention 10 y, a continuación, seleccione la directiva de DLP activa.
3
En la ficha Descubrimiento de endpoints, seleccione Acciones | Nuevo Análisis de endpoints y, después,
seleccione Correo electrónico local o Sistema de archivos local.
4
Introduzca un nombre para el análisis y, a continuación, seleccione una planificación en la lista
desplegable.
McAfee Data Loss Prevention 10.0.100
Guía del producto
183
8
Análisis de datos con descubrimiento de McAfee DLP Endpoint
Encontrar contenido con el rastreador de descubrimiento de Endpoint
5
(Opcional) Cambie los valores predeterminados Administración de incidentes y Administración de errores.
Defina el valor Estado en Activado.
La administración de errores hace referencia a cuando no puede extraerse el texto.
6
(Opcional) Para análisis del sistema de archivos local, seleccione la casilla de verificación en el
campo Interacción del usuario para dejar que este pueda ejecutar los análisis activados antes de que se
planifiquen. También puede permitir al usuario llevar a cabo las acciones de corrección desde la
consola del cliente de McAfee DLP Endpoint.
7
En la ficha Carpetas, siga uno de estos procedimientos:
8
•
Para los análisis del sistema de archivos, seleccione Acciones | Seleccionar carpetas. Seleccione una
definición de carpeta definida o haga clic en Nuevo elemento para crear una. Defina la carpeta
como Incluir o Excluir.
•
Para los análisis de correo electrónico, seleccione los tipos de archivo (OST, PST) y los buzones
de correo que se van a analizar.
(Opcional) En la ficha Filtros (solo análisis del sistema de archivos), seleccione Acciones | Seleccionar
filtros. Seleccione una definición de información del archivo o haga clic en Nuevo elemento para crear
una. Defina la carpeta como Incluir o Excluir. Haga clic en Aceptar.
El valor predeterminado es Todos los archivos. Definir un filtro hace que el análisis sea más eficiente.
9
En la ficha Reglas, compruebe las reglas que se aplican.
Se ejecutan todas las reglas de descubrimiento de los grupos de reglas aplicados a la directiva.
Caso práctico: Restauración de elementos de correo electrónico
o archivos en cuarentena
Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de carácter
confidencial, mueve los archivos o los elementos de correo electrónico afectados a una carpeta de
cuarentena y, a continuación, los sustituye por marcadores de posición que notifican a los usuarios
que sus archivos o correos electrónicos están en cuarentena. Además, los archivos y los elementos de
correo electrónico en cuarentena se cifran para evitar el uso no autorizado.
Antes de empezar
Para mostrar el icono de McAfee DLP en Microsoft Outlook, debe activarse la opción Mostrar
controles para levantar la cuarentena en Outlook en Catálogo de directivas | Directiva de cliente | Módulos y modo
de funcionamiento. Si se desactiva, el icono y la opción de hacer clic con el botón secundario
del ratón para ver los correos electrónicos en cuarentena están bloqueados, y no puede
liberar los correos electrónicos de la cuarentena.
Cuando se configura una regla de descubrimiento del sistema de archivos con la acción Cuarentena y el
robot de rastreo (crawler) encuentra contenido de carácter confidencial, mueve los archivos implicados
a una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a los usuarios
que sus archivos están en cuarentena. Los archivos en cuarentena se cifran para evitar el uso no
autorizado.
En el caso de los elementos de correo electrónico en cuarentena, el descubrimiento de McAfee DLP
Endpoint adjunta un prefijo al Asunto en Outlook para indicar a los usuarios que sus correos
electrónicos se han puesto en cuarentena. El cuerpo y los datos adjuntos del correo electrónico se
ponen en cuarentena.
El mecanismo se ha cambiado de las versiones anteriores de McAfee DLP Endpoint, que podían cifrar el
cuerpo o los datos adjuntos, para evitar daños en la firma al trabajar con el sistema de firmas de correo
electrónico.
184
McAfee Data Loss Prevention 10.0.100
Guía del producto
8
Análisis de datos con descubrimiento de McAfee DLP Endpoint
Encontrar contenido con el rastreador de descubrimiento de Endpoint
Las tareas y los elementos del calendario de Microsoft Outlook también se pueden poner en
cuarentena.
Figura 8-1 Ejemplo de correo electrónico en cuarentena
Procedimiento
1
Para restaurar los archivos en cuarentena:
a
En la bandeja del sistema del equipo gestionado, haga clic en el icono de McAfee Agent y
seleccione Administrar funciones | Consola de DLP Endpoint.
Se abre la consola de DLP Endpoint.
b
En la ficha Tareas, seleccione Abrir carpeta de cuarentena.
Se abre la carpeta de cuarentena.
c
Seleccione los archivos que se van a restaurar. Haga clic con el botón derecho del ratón y
seleccione Liberar de la cuarentena.
El elemento del menú contextual Liberar de la cuarentena solo aparece cuando se seleccionan
archivos de tipo *.dlpenc (cifrado con DLP).
Aparece la ventana emergente Código de autorización.
2
Para restaurar elementos de correo electrónico en cuarentena: Haga clic en el icono de McAfee DLP, o
haga clic con el botón secundario del ratón y seleccione Liberar de cuarentena.
a
En Microsoft Outlook, seleccione los correos electrónicos (u otros elementos) que desee
restaurar.
b
Haga clic en el icono de McAfee DLP.
Aparece la ventana emergente Código de autorización.
3
Copie el código del ID de desafío de la ventana emergente y envíelo al administrador de DLP.
4
El administrador genera un código de respuesta y lo envía al usuario, lo que también crea un
evento operativo que registra todos los detalles.
5
El usuario introduce el código de autorización en la ventana emergente Código de autorización y hace
clic en Aceptar.
Los archivos descifrados se restauran a su ubicación original. Si está activada la directiva de
bloqueo de código de autorización (en la ficha Configuración de los agentes | Servicio de notificación) e
introduce un código incorrecto tres veces, la ventana emergente deja de aparecer durante 30
minutos (configuración predeterminada).
En el caso de los archivos, si se ha cambiado o eliminado la ruta de acceso, se restaura la ruta
original. Si ya existe un archivo con el mismo nombre en la ubicación, el archivo se restaura como
xxx-copy.abc.
McAfee Data Loss Prevention 10.0.100
Guía del producto
185
8
Análisis de datos con descubrimiento de McAfee DLP Endpoint
Encontrar contenido con el rastreador de descubrimiento de Endpoint
186
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Análisis de datos con McAfee DLP
Discover
Configure los análisis y las directivas de McAfee DLP Discover para detectar y proteger sus archivos.
Contenido
Elección del tipo de análisis
Consideraciones y limitaciones de los análisis
Repositorios y credenciales para análisis
Uso de definiciones y clasificaciones con análisis
Uso de reglas en análisis
Configurar directivas para los análisis
Configurar un análisis
Realizar operaciones de análisis
Comportamiento de análisis
Análisis de los datos analizados
Elección del tipo de análisis
El tipo de análisis que configure determina la cantidad de información recuperada en un análisis, las
medidas tomadas durante el proceso y la configuración que se requiere para llevarlo a cabo.
•
Con los análisis de inventario se recuperan solamente los metadatos, lo que sirve como base para
configurar los análisis de clasificación y corrección.
•
Los análisis de clasificación recuperan los metadatos, examinan los archivos y se adaptan a las
clasificaciones de directivas que defina.
•
Los análisis de corrección incluyen exámenes de los análisis de clasificación y pueden conllevar
acciones en los archivos que coincidan con las reglas configuradas.
Los componentes de la directiva que debe configurar dependen del tipo de análisis.
Tabla 9-1 Componentes de la directiva requeridos
Tipo de análisis
Definiciones
Clasificaciones
Inventario
X
Clasificación
X
X
Corrección
X
X
Reglas
X
Los resultados de los análisis se muestran en la ficha Inventario de datos. La ficha Inventario de datos muestra
el inventario de archivos de los análisis que tienen activada la opción Lista de archivos.
McAfee Data Loss Prevention 10.0.100
Guía del producto
187
9
Análisis de datos con McAfee DLP Discover
Elección del tipo de análisis
Funcionamiento de los análisis de inventario
Los análisis de inventario son los más rápidos y solo recuperan los metadatos. Por este motivo, un
análisis de este tipo es un buen punto de inicio para planificar una estrategia de prevención de fuga de
datos.
También puede utilizar los análisis de inventario para ayudar a automatizar tareas de TI, como
encontrar archivos vacíos o archivos que llevan mucho tiempo sin modificarse.
Un análisis de inventario realiza lo siguiente:
•
Recopila metadatos, pero no descarga ningún archivo.
•
Devuelve los contadores y el inventario de datos de OLAP (lista de archivos analizados).
•
Restaura la última hora de acceso de los archivos analizados
Todos los análisis recopilan metadatos como el tipo de archivo, el tamaño, la fecha de creación y la
fecha de modificación. El tipo de metadatos disponibles depende del tipo de repositorio. Por ejemplo,
los análisis de Box recuperan los metadatos de uso compartido, colaboración y nombre de la cuenta.
Los resultados de los análisis de inventario se muestran en las fichas Inventario de datos y Análisis de datos.
Funcionamiento de los análisis de clasificación
Utilice los resultados de los análisis de inventario para crear los de clasificación.
Un análisis de clasificación realiza lo siguiente:
•
Recopila los mismos metadatos que un análisis de inventario.
•
Analiza el tipo de archivo verdadero en función del contenido del archivo, en vez de la extensión.
•
Recopila los datos de los archivos que coincidan con la clasificación configurada.
•
Restaura la última hora de acceso de los archivos analizados
Los análisis de clasificación son más lentos que los de inventario porque el extractor de texto accede a
los archivo y los analiza y examina para establecer coincidencias con las definiciones de las
especificaciones de la clasificación. Las clasificaciones constan de definiciones que pueden incluir
palabras clave, diccionarios, patrones de texto y propiedades del documento. Estas definiciones
ayudan a identificar contenido de carácter confidencial que puede requerir protección adicional. Al
utilizar las herramientas OLAP para visualizar los patrones multidimensionales de esos parámetros,
puede crear análisis de corrección optimizados.
Los resultados de los análisis de clasificación se muestran en las pestañas Inventario de datos y Análisis de
datos.
Detección de archivos cifrados
Mediante los análisis de clasificación se detectan archivos con los siguientes tipos de cifrado:
•
Cifrado de Microsoft Rights Management
•
Cifrado de administración de derechos de Seclore
•
Tipos de cifrado o protección con contraseña no compatibles
•
Sin cifrar
Considere lo siguiente cuando analice archivos cifrados:
188
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Análisis de datos con McAfee DLP Discover
Consideraciones y limitaciones de los análisis
•
McAfee DLP Discover puede extraer y analizar archivos cifrados con Microsoft RMS siempre que
McAfee DLP Discover tenga configuradas las credenciales. Otros archivos cifrados no se pueden
extraer, analizar ni adaptar a las clasificaciones.
•
Los archivos cifrados con la función de administración de derechos digitales (DRM) de Adobe
Primetime y McAfee File and Removable Media Protection (FRP) se detectan como No cifrado.
®
•
McAfee DLP Discover admite opciones de criterios de clasificación para Cifrado de Microsoft Rights
Management y Sin cifrar.
Funcionamiento de los análisis de corrección
Utilice los resultados de los análisis de inventario y clasificación para crear los de corrección.
Los análisis de corrección aplican las reglas para proteger el contenido de carácter confidencial en el
repositorio analizado. Cuando un archivo coincide con la clasificación en un análisis de corrección,
McAfee DLP Discover puede llevar a cabo las siguientes acciones:
•
Generar un incidente.
•
Almacenar el archivo original en el recurso compartido de pruebas
•
Copiar el archivo.
•
Mover el archivo
Los análisis de Box y SharePoint permiten mover archivos solo a recursos compartidos de CIFS.
•
Aplicar directivas de administración de derechos al archivo.
•
Modificar el recurso compartido anónimo para el inicio de sesión necesario (solo en el caso de
análisis de Box)
McAfee DLP Discover no puede evitar que los usuarios de Box vuelvan a activar el recurso
compartido externo en sus archivos.
•
No llevar a cabo ninguna acción
Mover archivos o aplicar la directiva de administración de derechos a los archivos no son acciones
compatibles con las listas de SharePoint. Estas acciones son compatibles para aquellos archivos
adjuntados a las listas de SharePoint o almacenados en bibliotecas de documentos. Algunos tipos de
archivos utilizados para crear páginas de SharePoint, por ejemplo, .aspx o .js, no se pueden mover ni
eliminar.
Un análisis de corrección también lleva a cabo las mismas tareas que los de clasificación e inventario.
Los análisis de corrección requieren clasificaciones y reglas para determinar qué medidas tomar en los
archivos coincidentes.
Los resultados de los análisis de corrección se muestran en las pestañas Inventario de datos y Análisis de
datos. Los análisis de corrección también pueden generar los incidentes que se muestran en el
Administrador de incidentes.
Consideraciones y limitaciones de los análisis
Cuando planifique y configure sus análisis, tenga en cuenta estos elementos.
Exclusión de directorios
Para evitar impactos negativos en el rendimiento, excluya los directorios y procesos de McAfee DLP
Discover de estas aplicaciones:
McAfee Data Loss Prevention 10.0.100
Guía del producto
189
9
Análisis de datos con McAfee DLP Discover
Consideraciones y limitaciones de los análisis
•
Software antivirus, incluido McAfee VirusScan Enterprise.
•
McAfee Host Intrusion Prevention y otros software de McAfee.
•
Firewalls.
•
Software de protección de acceso.
•
Análisis en tiempo real.
®
®
®
Tabla 9-2 Elementos de McAfee DLP Discover que excluir
Tipo
Excluir
Procesos
• dscrawler.exe
• dssvc.exe
• dstex.exe
• dsrms.exe
• dseng.exe
• dsmbroker.exe
• dsreport.exe
Directorios
• c:\ProgramData\mcafee\discoverserver
• c:\Archivos de programa\mcafee\discoverserver
Claves de registro • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\DiscoverServer
• HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DiscoverServer
• HKEY_LOCAL_MACHINE\SOFTWARE\ODBC.INI\McAfeeDSPostgres
Definiciones del repositorio
Configurar las ubicaciones del repositorio en McAfee ePO tiene estas limitaciones.
•
Los intervalos de direcciones IP son compatibles solo para las direcciones de clase C.
•
Los intervalos de direcciones IP no pueden incluir las direcciones que acaban en 0 o en 255.
Solo puede definir una dirección IP que termine en 0 o en 255.
•
No se admite IPv6.
Análisis de SharePoint
Los análisis de SharePoint no rastrean los catálogos del sistema, las listas ocultas o las listas
señaladas como NoCrawl. Como las listas de SharePoint son muy personalizables, puede que haya otras
listas sin analizar.
La mayoría de las listas disponibles de forma preestablecida con SharePoint 2010 o 2013 se pueden
rastrear, por ejemplo, las siguientes:
•
Anuncios
•
Rastreadores de problemas
•
Contactos
•
Vínculos
•
Paneles de discusión
•
Reuniones
•
Eventos
•
Tareas
•
Listas genéricas
Los elementos individuales de una lista se combinan y agrupan en una estructura XML y se analizan
como un archivo XML único. Los archivos adjuntados a los elementos de la lista se analizan tal cual.
190
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Análisis de datos con McAfee DLP Discover
Repositorios y credenciales para análisis
Análisis de Box
No se admite la configuración del mismo repositorio de Box en varios servidores de descubrimiento.
La funcionalidad de análisis varía según la cuenta utilizada. Para analizar otras cuentas, póngase en
contacto con el soporte técnico de Box para activar la funcionalidad como usuario.
•
La cuenta del administrador puede analizar todas las cuentas.
•
Una cuenta de coadministrador puede analizar la suya propia y las de los usuarios.
•
Una cuenta de usuario solo puede analizar su propia cuenta.
Establecimiento del ancho de banda para un análisis
Los análisis de mayor tamaño pueden requerir una importante cantidad de ancho de banda, sobre
todo en redes con poca capacidad de transmisión. De forma predeterminada, McAfee DLP Discover no
regula el ancho de banda durante el análisis.
Cuando se activa la regulación del ancho de banda, McAfee DLP Discover la aplica a los archivos
individuales que se obtienen, en vez de a todo el análisis de media. Un análisis puede sobrepasar o no
llegar al límite de regulación configurado. Sin embargo, el rendimiento medio calculado en todo el
análisis permanece muy cerca del límite establecido. Cuando se activa, el valor predeterminado de
regulación es de 2000 kBps.
Repositorios y credenciales para análisis
McAfee DLP Discover admite repositorios de SharePoint, Box y CIFS.
Repositorios de SharePoint y CIFS
Al definir un repositorio de CIFS, la ruta UNC puede ser el nombre de dominio completo (FQDN) (\
\miservidor1.midominio.com) o el nombre del equipo local (\\miservidor1). Puede agregar ambas
convenciones a una única definición.
Al definir un repositorio de SharePoint, el nombre de host es la URL del servidor a menos que se haya
configurado una asignación alternativa de acceso (AAM) en el servidor. Para obtener información sobre
las AAM, consulte la documentación de SharePoint de Microsoft.
Las definiciones de credenciales son específicas de las definiciones de repositorio de CIFS o
SharePoint. En la definición de credenciales, si el usuario es usuario de dominio, utilice el nombre de
dominio completo (FQDN) en el campo Nombre de dominio. Si el usuario es usuario de grupo de trabajo,
utilice el nombre del equipo local. Si la definición de repositorio solo contiene una versión UNC, por
ejemplo, FQDN, debe utilizar dicha versión en la definición de credenciales.
Para los repositorios de dominios de AD, haga clic en Probar credenciales para comprobar el nombre de
usuario y la contraseña. El uso de credenciales incorrectas crea un evento que indica el motivo por el
que falló el análisis. Consulte el evento en la página Lista de eventos operativos para obtener más detalles.
Repositorios de Box
Cuando defina un repositorio de Box, obtenga el ID y la clave secreta del cliente del sitio web de Box.
Utilice el sitio web de Box para configurar la aplicación de McAfee DLP Discover, la empresa de gestión
y la funcionalidad como usuario. Si no utiliza una cuenta de administrador, póngase en contacto con el
soporte técnico de Box para obtener más información sobre cómo configurar esta funcionalidad.
McAfee Data Loss Prevention 10.0.100
Guía del producto
191
9
Análisis de datos con McAfee DLP Discover
Uso de definiciones y clasificaciones con análisis
Uso de definiciones y clasificaciones con análisis
Utilice las definiciones y clasificaciones para configurar reglas, criterios de clasificación y análisis.
Todos los tipos de análisis requieren definiciones.
Se utilizan dos tipos de definiciones para McAfee DLP Discover.
•
Las que se utilizan en los análisis especifican las planificaciones, los repositorios y las credenciales
para repositorios.
•
Las definiciones que se utilizan en las clasificaciones especifican las coincidencias que deben existir
al rastrear archivos, como las propiedades o los datos de un archivo.
Tabla 9-3 Definiciones disponibles según sus funciones
Definición
Se utilizan para
Patrón avanzado*
Clasificaciones
Diccionario*
Propiedades del documento
Tipo de archivo verdadero*
Extensión del archivo*
Clasificaciones y análisis
Información del archivo
Credenciales
Análisis
Planificador
Box
Servidor de archivos (CIFS)
SharePoint
* Indica que hay disponibles definiciones predefinidas (integradas)
Los análisis de clasificación y corrección utilizan las clasificaciones para identificar los archivos y datos
confidenciales.
Las clasificaciones utilizan una o más definiciones para que las propiedades del archivo coincidan con
el contenido del archivo. Puede utilizar análisis de clasificación para examinar los patrones de datos de
los archivos. Utilice los resultados de estos análisis para ajustar sus clasificaciones, que después se
podrán utilizar en los análisis de corrección.
Los documentos registrados y criterios de identificación por huellas digitales de contenido no se utilizan
en McAfee DLP Discover. Los análisis de clasificación y corrección pueden detectar archivos clasificados
manualmente, pero McAfee DLP Discover no puede aplicar las clasificaciones manuales a los archivos.
McAfee DLP Discover puede detectar e identificar clasificaciones automáticas en los archivos que
determina McAfee DLP Endpoint. Puede ver las clasificaciones automáticas en la página de detalles de
los incidentes o en la ficha Inventario de datos.
Véase también
Uso de las clasificaciones en la página 114
Criterios y definiciones de clasificación en la página 119
192
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Análisis de datos con McAfee DLP Discover
Uso de reglas en análisis
Uso de reglas en análisis
Los análisis de corrección utilizan reglas para detectar archivos confidenciales y tomar medidas
relacionadas con ellos.
Los archivos rastreados en un análisis de corrección se comparan con las reglas de descubrimiento
activas. Si el archivo coincide con el repositorio y con las clasificaciones definidas en una regla, McAfee
DLP Discover puede tomar medidas respecto al archivo. Están disponibles las siguientes opciones:
•
No llevar a cabo ninguna acción
•
Crear un incidente
•
Almacenar el archivo original como prueba
•
Copiar el archivo
•
Mover el archivo
•
Aplicar una directiva de administración de derechos al archivo
•
Quitar del archivo la opción de compartir de forma anónima (análisis de Box únicamente)
En el caso de las listas de SharePoint, no se pueden mover archivos ni aplicar directivas de
administración de derechos a archivos. Estas acciones son compatibles para aquellos archivos
adjuntados a las listas de SharePoint o almacenados en bibliotecas de documentos. Algunos tipos de
archivo utilizados para crear páginas de SharePoint, por ejemplo, .aspx o .js, no se pueden mover ni
eliminar.
En el caso de los análisis de Box, se pueden mover archivos solo a recursos compartidos CIFS.
Véase también
Conjuntos de reglas en la página 141
Reglas en la página 144
Configurar directivas para los análisis
Antes de configurar un análisis, cree las definiciones, las clasificaciones y las reglas para su directiva
de McAfee DLP Discover.
Procedimientos
•
Crear definiciones para los análisis en la página 194
Configure las credenciales, repositorios y planificadores utilizados para los análisis.
•
Crea reglas para análisis de corrección en la página 199
Utilice las reglas para definir la acción que aplicar cuando un análisis de corrección detecta
archivos que coinciden con las clasificaciones.
Véase también
Creación y configuración de clasificaciones en la página 128
Creación de las definiciones de clasificación en la página 134
McAfee Data Loss Prevention 10.0.100
Guía del producto
193
9
Análisis de datos con McAfee DLP Discover
Configurar directivas para los análisis
Crear definiciones para los análisis
Configure las credenciales, repositorios y planificadores utilizados para los análisis.
Procedimientos
•
Crear definiciones de clasificación en la página 194
Todos los análisis requieren una definición para especificar el repositorio, las credenciales y
la planificación.
•
Crear una definición de las credenciales en la página 195
Se requieren credenciales para leer y cambiar los archivos en la mayoría de los
repositorios. Si sus repositorios tienen las mismas credenciales, puede utilizar una única
definición de las credenciales para dichos repositorios.
•
Crear una definición de repositorio de CIFS o SharePoint en la página 196
Configure un repositorio de CIFS o SharePoint para los análisis.
•
Crear una definición del repositorio de Box en la página 197
Configure un repositorio de Box para los análisis.
•
Exportar o importar definiciones de repositorio en la página 198
Si tiene un gran número de repositorios, es posible que sea más fácil administrarlos como
un archivo XML que añadirlos y editarlos de uno en uno en McAfee ePO.
•
Crear una definición de planificador en la página 198
El planificador de análisis determina cuándo y con qué frecuencia se ejecuta un análisis.
Crear definiciones de clasificación
Todos los análisis requieren una definición para especificar el repositorio, las credenciales y la
planificación.
Antes de empezar
Tiene que tener el nombre de usuario, la contraseña y la ruta para el repositorio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
Haga clic en la ficha Definiciones.
3
Cree una definición de las credenciales.
Para los análisis de corrección, las credenciales deben tener permisos de lectura y escritura. Para los
análisis de corrección que aplican la directiva de administración de derechos o mueven los archivos,
se requieren permisos de control total.
194
a
En el panel de la izquierda, seleccione Otros | Credenciales.
b
Seleccione Acciones | Nuevo y sustituya el nombre predeterminado por un nombre único para la
definición.
c
Rellene los parámetros de las credenciales. Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Análisis de datos con McAfee DLP Discover
Configurar directivas para los análisis
4
Cree una definición de repositorio.
a
En el panel de la izquierda, en Repositorios, seleccione el tipo de repositorio nuevo que desea
crear.
b
Seleccione Acciones | Nuevo, escriba un nombre de repositorio único en el campo Nombre, y rellene
la información restante de Tipo y Definiciones.
Los parámetros de Excluir son opcionales. Se requiere al menos una definición Incluir.
5
Cree una definición de planificador.
a
En el panel de la izquierda, seleccione Otros | Planificador.
b
Seleccione Acciones | Nuevo y rellene los parámetros del planificador. Haga clic en Guardar.
Las opciones de los parámetros dependen del Tipo de planificación seleccionado.
6
Cree una definición de información del archivo.
Las definiciones de información de los archivos se utilizan para definir los filtros del análisis. Los
filtros le permiten analizar los repositorios de una manera más específica definiendo qué archivos se
incluyen y cuáles se excluyen. Las definiciones de información de los archivos son opcionales, pero
se recomiendan.
a
En el panel de la izquierda, seleccione Datos | Información del archivo.
b
Seleccione Acciones | Nuevo y sustituya el nombre predeterminado por un nombre único para la
definición.
c
Seleccione las propiedades que utilizar como filtros, y rellene los detalles de Comparación y Valor.
Haga clic en Guardar.
Crear una definición de las credenciales
Se requieren credenciales para leer y cambiar los archivos en la mayoría de los repositorios. Si sus
repositorios tienen las mismas credenciales, puede utilizar una única definición de las credenciales
para dichos repositorios.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
Haga clic en la ficha Definiciones.
3
En el panel de la izquierda, seleccione Credenciales.
4
Seleccione Acciones | Nuevo.
McAfee Data Loss Prevention 10.0.100
Guía del producto
195
9
Análisis de datos con McAfee DLP Discover
Configurar directivas para los análisis
5
Introduzca un nombre único para la definición. Los campos Descripción y Nombre de dominio son
opcionales. Todos los demás son obligatorios.
Si el usuario es usuario de dominio, utilice el sufijo de dominio para el campo Nombre de dominio. Si el
usuario es usuario de grupo de trabajo, utilice el nombre del equipo local.
Para buscar en todas las colecciones de una aplicación web de SharePoint, utilice unas credenciales
que tengan permiso de Acceso completo de lectura en la aplicación web entera.
6
Para los repositorios de dominios de Windows, haga clic en Probar credenciales para comprobar el
nombre de usuario y la contraseña de McAfee ePO.
Esta acción no prueba las credenciales del servidor de descubrimiento.
No hay verificación para las credenciales que no forman parte de un dominio de Windows. Si un
análisis falla debido a que las credenciales son incorrectas, se crea un evento en la página Lista de
eventos operativos.
Crear una definición de repositorio de CIFS o SharePoint
Configure un repositorio de CIFS o SharePoint para los análisis.
Puede utilizar una expresión regular con sintaxis de Perl al especificar los parámetros de inclusión o
exclusión de las carpetas, en lugar de utilizar una ruta específica completa.
•
Para las entradas de inclusión, especifique el prefijo de la ruta, por ejemplo, \\server o \\server
\share\folder. La expresión regular tiene que ser exactamente igual que el sufijo de la ruta.
•
Para las entradas de exclusión, las carpetas que coincidan con la ruta se omitirán totalmente del
análisis.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
Haga clic en la ficha Definiciones.
3
En el panel de la izquierda, en Repositorios, seleccione el tipo de repositorio.
4
Seleccione Acciones | Nuevo.
5
Introduzca un nombre, seleccione las credenciales que utilizar y configure al menos una definición
Incluir.
6
(Repositorios de CIFS) Configure al menos una entrada Incluir.
a
Seleccione el Tipo de prefijo.
b
En el campo Prefijo, introduzca la ruta UNC, la dirección IP individual o el intervalo de direcciones
IP.
La ruta UNC puede ser el nombre de dominio completo (FQDN) (\\myserver1.mydomain.com) o
el nombre del equipo local (\\myserver1). Puede agregar ambas versiones a una única
definición. Se analizan varias entradas como operador lógico O.
196
c
(Opcional) Introduzca una expresión regular para buscar carpetas coincidentes que analizar.
d
Haga clic en Agregar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Análisis de datos con McAfee DLP Discover
Configurar directivas para los análisis
7
(Repositorios de SharePoint) Configure al menos una entrada Incluir.
a
Seleccione el tipo Incluir.
b
Configure una o varias URL.
La opción SharePoint Server solo utiliza una URL. El nombre de host es el nombre NetBIOS del
servidor a menos que se haya configurado una asignación alternativa de acceso (AAM) en el
servidor. Para obtener información sobre las AAM, consulte la documentación de SharePoint de
Microsoft.
•
Para especificar un sitio: Termine la URL con una barra diagonal (http://SPServer/sites/
DLP/).
•
Para especificar un subsitio: Termine la URL del subsitio con una barra diagonal (http://
SPserver/sites/DLP/Discover/).
•
Para especificar una aplicación web: Utilice únicamente el nombre y el puerto de la
aplicación web en la URL (http://SPServer:port).
•
Para especificar una lista o una biblioteca de documentos: Utilice la URL completa
hasta la vista predeterminada de la lista (http://SPServer/sites/DLP/Share%20Documents/
Default.aspx).
Puede buscar la URL de la vista predeterminada en la página de configuración de la biblioteca
o la lista. Si no tiene privilegios para verla, póngase en contacto con el administrador de
SharePoint.
c
Si configuró una URL en Lista de sitios, haga clic en Agregar.
8
(Opcional) Configure los parámetros de Excluir para excluir las carpetas del análisis.
9
Haga clic en Guardar.
Crear una definición del repositorio de Box
Configure un repositorio de Box para los análisis.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
Haga clic en la ficha Definiciones.
3
En el panel izquierdo, en Repositorios, seleccione Box.
4
Seleccione Acciones | Nuevo.
5
Introduzca un nombre y, si lo desea, una descripción.
6
Haga clic en el vínculo del sitio web de Box. Siga las instrucciones en el sitio web para definir la
aplicación Box y obtener el ID y la clave secreta de cliente.
7
•
Al definir la aplicación, seleccione la opción de empresa de gestión.
•
Para el URI de redirección, introduzca la dirección IP del servidor de McAfee ePO.
•
Para analizar otras cuentas, póngase en contacto con el servicio de soporte de Box para activar
la funcionalidad como usuario.
Introduzca el ID de cliente y la clave secreta de cliente y, a continuación, haga clic en Obtener token.
McAfee Data Loss Prevention 10.0.100
Guía del producto
197
9
Análisis de datos con McAfee DLP Discover
Configurar directivas para los análisis
8
Cuando se le solicite en el sitio web de Box, otorgue acceso al servidor de descubrimiento.
9
Especifique si desea analizar todas las cuentas de usuario o solo algunas específicas.
10 Haga clic en Guardar.
Exportar o importar definiciones de repositorio
Si tiene un gran número de repositorios, es posible que sea más fácil administrarlos como un archivo
XML que añadirlos y editarlos de uno en uno en McAfee ePO.
Utilice la función de exportación para guardar las definiciones de repositorios existentes y las
credenciales asociadas en un archivo XML. Use este archivo como base para añadir y configurar sus
repositorios en formato XML.
Al importar un archivo XML, las definiciones de repositorios y credenciales se validan y se agregan a la
lista de entradas. Si existe una definición de repositorio en McAfee ePO y el archivo XML, se
sobrescribe la definición con la información del archivo XML. Las definiciones se identifican de manera
exclusiva mediante el valor id del archivo XML.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
Haga clic en la ficha Definiciones.
3
Seleccione Servidor de archivos (CIFS) o SharePoint.
4
Realice una de estas tareas.
•
•
Para exportar repositorios:
1
Seleccione Acciones | Exportar.
2
Seleccione si desea abrir o guardar el archivo y haga clic en Aceptar.
Para importar repositorios:
1
Seleccione Acciones | Importar.
2
Vaya al archivo y haga clic en Aceptar.
Crear una definición de planificador
El planificador de análisis determina cuándo y con qué frecuencia se ejecuta un análisis.
Se proporcionan estos tipos de planificación:
•
Ejecutar inmediatamente
•
Semanal
•
Una vez
•
Mensual
•
Diariamente
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
198
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
Haga clic en la ficha Definiciones.
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Análisis de datos con McAfee DLP Discover
Configurar directivas para los análisis
3
En el panel de la izquierda, haga clic en Planificador.
4
Seleccione Acciones | Nuevo.
5
Introduzca un nombre único y seleccione el tipo de planificación.
La visualización cambia cuando selecciona el tipo de planificación con el fin de proporcionar los
campos necesarios para ese tipo.
6
Rellene las opciones necesarias y haga clic en Guardar.
Crea reglas para análisis de corrección
Utilice las reglas para definir la acción que aplicar cuando un análisis de corrección detecta archivos
que coinciden con las clasificaciones.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
Haga clic en la ficha Conjuntos de reglas.
3
Si no hay conjuntos de reglas configurados, cree uno.
a
Seleccione Acciones | Nuevo conjunto de reglas.
b
Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar.
4
Haga clic en el nombre de un conjunto de reglas y, a continuación, si fuera necesario, haga clic en
la ficha Descubrimiento.
5
Seleccione Acciones | Nueva regla de descubrimiento de red y, a continuación, seleccione el tipo de regla.
6
En la ficha Condición, configure una o varias clasificaciones y repositorios.
•
Crear un nuevo elemento: Haga clic en ....
•
Agregar criterios adicionales: Haga clic en +.
•
Eliminar criterios: Haga clic en -.
7
(Opcional) En la ficha Excepciones, especifique cualquier exclusión de la activación de la regla.
8
En la ficha Reacción, configure la reacción.
Las reacciones disponibles dependen del tipo de repositorio.
9
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
199
9
Análisis de datos con McAfee DLP Discover
Configurar un análisis
Configurar un análisis
La cantidad y el tipo de datos que McAfee DLP Discover recopila dependen del tipo de análisis
configurado.
Procedimientos
•
Configurar un análisis de inventario en la página 200
Los análisis de inventario solo recopilan metadatos. Son los análisis más rápidos y, por
tanto, el punto de inicio habitual en la determinación de qué análisis son necesarios.
•
Configurar un análisis de clasificación en la página 201
Los análisis de clasificación recopilan datos del archivo en función de clasificaciones
definidas. Se utilizan para analizar los sistemas de archivos para que los datos
confidenciales estén protegidos con un análisis de corrección.
•
Configurar un análisis de corrección en la página 202
Los análisis de corrección aplican las reglas para proteger el contenido de carácter
confidencial en el repositorio analizado.
Configurar un análisis de inventario
Los análisis de inventario solo recopilan metadatos. Son los análisis más rápidos y, por tanto, el punto
de inicio habitual en la determinación de qué análisis son necesarios.
Utilice análisis de inventario para planificar la estrategia de protección de datos. Puede crear análisis o
editar y reutilizar los existentes según sea necesario.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
En la ficha Servidores Discover, seleccione Acciones | Detectar servidores para actualizar la lista.
Si la lista es larga, puede definir un filtro para que se muestre una lista más corta.
3
En la ficha Operaciones de análisis, seleccione Acciones | Nuevo análisis y elija el tipo de repositorio.
4
Escriba un nombre único y seleccione Tipo de análisis: Inventario. Seleccione una plataforma de servidor
y una planificación.
Los servidores de descubrimiento tienen que estar predefinidos. Puede seleccionar una planificación
definida o crear una.
5
(Opcional) Defina valores para Lista de archivos o Administración de errores en lugar de los valores
predeterminados.
6
Seleccione los repositorios que analizar.
a
En la ficha Repositorios, haga clic en Acciones | Seleccionar repositorios.
b
Si fuera necesario, especifique las credenciales para cada repositorio de la lista desplegable.
Las credenciales tomarán de forma predeterminada el valor configurado para dicho repositorio.
Puede crear definiciones del repositorio y las credenciales, si fuera necesario, en la ventana de
selección.
200
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Análisis de datos con McAfee DLP Discover
Configurar un análisis
7
(Opcional) En la ficha Filtros, seleccione Acciones | Seleccionar filtros para especificar los archivos que
incluir o excluir.
De forma predeterminada, se analizan todos los archivos.
8
Haga clic en Guardar.
9
Haga clic en Aplicar directiva.
Configurar un análisis de clasificación
Los análisis de clasificación recopilan datos del archivo en función de clasificaciones definidas. Se
utilizan para analizar los sistemas de archivos para que los datos confidenciales estén protegidos con
un análisis de corrección.
Antes de empezar
•
Ejecute un análisis de inventario. Utilice los datos del inventario para definir
clasificaciones.
•
Cree las definiciones de clasificación necesarias antes de configurar un análisis de
clasificación. No hay ninguna opción para crear una clasificación en los ajustes de
configuración.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
En la ficha Servidores Discover, seleccione Acciones | Detectar servidores para actualizar la lista.
Si la lista es larga, puede definir un filtro para que se muestre una lista más corta.
3
En la ficha Operaciones de análisis, seleccione Acciones | Nuevo análisis y elija el tipo de repositorio.
4
Escriba un nombre único y seleccione Tipo de análisis: Clasificación. Seleccione una plataforma de
servidor y una planificación.
Los servidores de descubrimiento tienen que estar predefinidos. Puede seleccionar una planificación
definida o crear una.
5
(Opcional) Defina valores para Regulación, Lista de archivos o Administración de errores en lugar de los
valores predeterminados.
6
Seleccione los repositorios que analizar.
a
En la ficha Repositorios, haga clic en Acciones | Seleccionar repositorios.
b
Si fuera necesario, especifique las credenciales para cada repositorio de la lista desplegable.
Las credenciales tomarán de forma predeterminada el valor configurado para dicho repositorio.
Puede crear definiciones del repositorio y las credenciales, si fuera necesario, en la ventana de
selección.
7
(Opcional) En la ficha Filtros, seleccione Acciones | Seleccionar filtros para especificar los archivos que
incluir o excluir.
De forma predeterminada, se analizan todos los archivos.
McAfee Data Loss Prevention 10.0.100
Guía del producto
201
9
Análisis de datos con McAfee DLP Discover
Configurar un análisis
8
9
Seleccione las clasificaciones para el análisis.
a
En la ficha Clasificaciones, haga clic en Acciones | Seleccionar clasificaciones.
b
Seleccione una o varias clasificaciones de la lista.
Haga clic en Guardar.
10 Haga clic en Aplicar directiva.
Configurar un análisis de corrección
Los análisis de corrección aplican las reglas para proteger el contenido de carácter confidencial en el
repositorio analizado.
Antes de empezar
•
Si el análisis está configurado para aplicar la directiva de administración de derechos o
para mover los archivos, asegúrese de que las credenciales para el repositorio tienen
permisos de control total.
•
Cree las clasificaciones y las reglas para el análisis.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
En la ficha Servidores Discover, seleccione Acciones | Detectar servidores para actualizar la lista.
Si la lista es larga, puede definir un filtro para que se muestre una lista más corta.
3
En la ficha Operaciones de análisis, seleccione Acciones | Nuevo análisis y elija el tipo de repositorio.
4
Escriba un nombre único y seleccione Tipo de análisis: Corrección. Seleccione una plataforma de servidor
y una planificación.
Los servidores de descubrimiento tienen que estar predefinidos. Puede seleccionar una planificación
definida o crear una.
5
(Opcional) Defina valores para Regulación, Lista de archivos, Administración de incidentes o Administración de
errores en lugar de los valores predeterminados.
6
Seleccione los repositorios que analizar.
a
En la ficha Repositorios, haga clic en Acciones | Seleccionar repositorios.
b
Si fuera necesario, especifique las credenciales para cada repositorio de la lista desplegable.
Las credenciales tomarán de forma predeterminada el valor configurado para dicho repositorio.
Puede crear definiciones del repositorio y las credenciales, si fuera necesario, en la ventana de
selección.
7
(Opcional) En la ficha Filtros, seleccione Acciones | Seleccionar filtros para especificar los archivos que
incluir o excluir.
De forma predeterminada, se analizan todos los archivos.
202
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Análisis de datos con McAfee DLP Discover
Realizar operaciones de análisis
8
9
Seleccione las reglas para el análisis.
a
En la ficha Reglas, haga clic en Acciones | Seleccionar conjunto de reglas.
b
Seleccione uno o varios conjuntos de reglas de la lista.
Haga clic en Guardar.
10 Haga clic en Aplicar directiva.
Realizar operaciones de análisis
Gestione y consulte información sobre los análisis configurados.
La aplicación de la directiva inicia los análisis planificados para ejecutarse inmediatamente. Los análisis
que se estén ejecutando en ese momento no se verán afectados.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
Haga clic en la ficha Operaciones de análisis.
La ficha muestra información sobre los análisis configurados, como el nombre, el tipo, el estado y
la descripción de los resultados.
3
Para actualizar la configuración de todos los análisis, haga clic en Aplicar directiva.
4
Para aplicar un filtro a la lista de análisis, seleccione un filtro en la lista desplegable Filtro.
5
Para activar o desactivar un análisis:
a
Seleccione la casilla de verificación de los análisis que desea activar o desactivar.
El icono de la columna Estado muestra si el análisis está activado o desactivado.
6
•
Icono azul fijo: Activado
•
Icono azul y blanco: Desactivado
b
Seleccione Acciones | Cambiar estado y, a continuación, seleccione Activado o Desactivado.
c
Haga clic en Aplicar directiva.
Para cambiar al estado de ejecución del análisis, haga clic en los botones de inicio, pausa o
detención de la columna Comandos.
La disponibilidad de estas opciones depende del estado del análisis, y de si este se está ejecutando
o está inactivo.
7
Para clonar, eliminar o editar un análisis:
a
Seleccione la casilla de verificación del análisis.
b
Seleccione Acciones y, a continuación, seleccione Clonar análisis, Eliminar análisis o Editar análisis.
Para modificar el servidor de descubrimiento asignado al análisis, debe desactivar el análisis. No
puede modificar el tipo de análisis asignado a un análisis. Para cambiarlo, clone el análisis.
8
Para actualizar la ficha, seleccione Acciones | Sincronizar datos.
McAfee Data Loss Prevention 10.0.100
Guía del producto
203
9
Análisis de datos con McAfee DLP Discover
Comportamiento de análisis
Comportamiento de análisis
Cambiar las propiedades de un análisis en curso puede afectar al comportamiento de este.
Tabla 9-4 Efecto de cambiar propiedades durante un análisis
Cambio
Efecto
Desactivar análisis
El análisis se detiene.
Eliminar análisis
El análisis se detiene y se elimina.
Cambiar el nombre de análisis
Solo afecta a los registros en la siguiente ejecución
de análisis.
Cambiar planificación
Solo afecta a la siguiente ejecución de análisis.
Cambiar la regulación
Solo afecta a la siguiente ejecución de análisis*.
Cambiar la lista del archivo
Solo afecta a la siguiente ejecución de análisis*.
Cambiar el repositorio
Solo afecta a la siguiente ejecución de análisis.
Cambiar los filtros
Solo afecta a la siguiente ejecución de análisis.
Cambiar las reglas
Solo afecta a la siguiente ejecución de análisis*.
Cambiar la clasificación
Solo afecta a la siguiente ejecución de análisis*.
Cambiar el recurso compartido de prueba
Afecta al análisis actual*.
Cambiar las credenciales de usuario de
prueba
Afecta al análisis actual*.
Cambiar las credenciales de usuario de
corrección
Solo afecta a la siguiente ejecución de análisis*.
Ampliación o desinstalación del servidor de
descubrimiento
El análisis se detiene.
* El efecto se produce después de que ocurra un intervalo de comunicación agente-servidor (ASCI).
Análisis de los datos analizados
Puede examinar la información recopilada a partir de los datos analizados de varias formas.
El análisis de inventario básico (recopilación de metadatos) forma parte de toda clase de análisis. Los
análisis de clasificación también analizan datos en función de clasificaciones definidas. El extractor de
texto analiza el contenido de los archivos y agrega información adicional a los metadatos
almacenados.
Uso de OLAP por parte de McAfee DLP Discover
McAfee DLP Discover utiliza el Procesamiento analítico en línea (OLAP), un modelo de datos que
permite procesar rápidamente los metadatos desde diferentes puntos de vista.
Utilice las herramientas OLAP de McAfee DLP Discover para ver las relaciones multidimensionales entre
los datos recopilados de los análisis. A estas relaciones se las conoce como hipercubos o cubos de
OLAP.
Puede ordenar y organizar los resultados del análisis basándose en condiciones como la clasificación,
el tipo de archivo, el repositorio y más. Al utilizar los patrones de datos para calcular las posibles
infracciones, podrá optimizar los análisis de clasificación y corrección para identificar y proteger los
datos de forma rápida y más eficaz.
204
McAfee Data Loss Prevention 10.0.100
Guía del producto
Análisis de datos con McAfee DLP Discover
Análisis de los datos analizados
9
Ver resultados de análisis
Las fichas Análisis de datos e Inventario de datos muestran resultados de análisis.
Estas fichas muestran los resultados recopilados la última vez que se ejecutó el análisis.
Ficha Análisis de datos
La ficha Análisis de datos le permite analizar archivos de los análisis. La ficha utiliza un modelo de datos
OLAP para mostrar hasta tres categorías que expongan patrones de datos multidimensionales. Utilice
estos patrones para optimizar sus análisis de clasificación y corrección.
Figura 9-1
Configuración de análisis de datos
McAfee Data Loss Prevention 10.0.100
Guía del producto
205
9
Análisis de datos con McAfee DLP Discover
Análisis de los datos analizados
1 Nombre de análisis: La lista desplegable muestra los análisis disponibles para todos los tipos. El análisis
solo se puede realizar en un único análisis.
2 Tipo analítico: Seleccione de Archivos o Clasificaciones. Para los análisis de inventario, solo está
disponible la opción Archivos. El tipo analítico determina las categorías disponibles.
3 Mostrar: Controla el número de entradas que aparecen.
4 Ampliar tabla/Contraer tabla: Amplía toda la página. También puede ampliar o contraer grupos
individuales.
5 Selector de categorías: Lista desplegable que muestra todas las categorías disponibles. Puede
seleccionar una opción de las categorías restantes en los selectores segundo y tercero para crear
un análisis tridimensional de los patrones de datos.
6 Extensión del elemento: El icono de flecha controla la expansión/contracción de los grupos
individuales para limpiar la pantalla.
7 Recuento: Número de archivos (o clasificaciones) en cada grupo. Haga clic en el número para ir a
la ficha Inventario de datos y mostrar los detalles de ese grupo.
Si el Tipo analítico se define en Clasificaciones y los archivos tienen más de una clasificación asociada, este
número puede ser superior al número total de archivos.
Ficha Inventario de datos
La ficha Inventario de datos muestra el inventario de archivos de los análisis que tienen activada la opción
Lista de archivos. Puede definir y usar filtros para ajustar la información mostrada, la cual puede revelar
patrones o posibles infracciones de directivas.
Las opciones Clasificación y Tipo de archivo no están disponibles para los análisis de inventario.
Véase también
Funcionamiento de los análisis de inventario en la página 188
Analizar resultados de análisis
Utilice el modelo de datos OLAP para organizar y ver las relaciones que existen entre los archivos de
los análisis.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
206
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
Haga clic en la ficha Análisis de datos.
3
En la lista desplegable Nombre de análisis, seleccione el análisis que desea examinar.
4
En la lista desplegable Tipo analítico, seleccione Archivo o Clasificación.
5
En la lista desplegable Mostrar, seleccione el número de entradas principales que mostrar.
6
Utilice las listas desplegables de categorías para mostrar los archivos de hasta tres categorías.
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Análisis de datos con McAfee DLP Discover
Análisis de los datos analizados
7
Utilice las opciones Ampliar tabla y Contraer tabla para ampliar o contraer la cantidad de información
mostrada.
8
Para ver los resultados de inventario de los archivos que pertenecen a una categoría, haga clic en
el vínculo que muestra el número de archivos entre paréntesis.
El vínculo solo está disponible si se seleccionó la opción Lista de archivos en la configuración del
análisis. El vínculo muestra la página Inventario de datos.
Ver resultados de inventario
Consulte el inventario de archivos de todos los tipos de análisis.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2
Haga clic en la ficha Inventario de datos.
3
Realice una de estas tareas:
•
Para ver los resultados de un análisis concreto, selecciónelo en la lista desplegable Analizar.
•
Para filtrar los archivos mostrados, seleccione un filtro en la lista desplegable Filtro.
Haga clic en Editar para modificar y crear filtros.
•
Para agrupar archivos en función de una propiedad determinada:
1
En la lista desplegable Agrupar por, seleccione una categoría.
Las propiedades disponibles aparecerán en el panel de la izquierda.
2
•
Seleccione la propiedad para agrupar archivos.
Para configurar las columnas mostradas:
1
Seleccione Acciones | Elegir columnas.
2
En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnas
seleccionadas.
3
En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario.
4
•
Para eliminar una columna, haga clic en x.
•
Para mover una columna, haga clic en los botones de flecha, o arrastre y suelte la
columna.
Haga clic en Actualizar vista.
McAfee Data Loss Prevention 10.0.100
Guía del producto
207
9
Análisis de datos con McAfee DLP Discover
Análisis de los datos analizados
208
McAfee Data Loss Prevention 10.0.100
Guía del producto
Supervisión y generación de
informes
Puede utilizar los componentes de la extensión de McAfee DLP para rastrear
y revisar las infracciones de directivas (Administrador de incidentes de DLP)
y para rastrear los eventos administrativos (Operaciones de DLP).
Capítulo 10
Capítulo 11
Capítulo 12
Incidentes y eventos operativos
Recopilación y administración de datos
Registro y supervisión en McAfee DLP Prevent
McAfee Data Loss Prevention 10.0.100
Guía del producto
209
Supervisión y generación de informes
210
McAfee Data Loss Prevention 10.0.100
Guía del producto
10
Incidentes y eventos operativos
McAfee DLP ofrece otras herramientas para ver incidentes y eventos operativos.
•
Incidentes: la página Administrador de incidentes de DLP muestra los incidentes generados a partir de
las reglas.
•
Eventos operativos: La página Operaciones de DLP muestra errores y datos administrativos.
•
Casos: La página Administración de casos de DLP contiene casos que se han creado para agrupar y
gestionar incidentes relacionados.
Cuando se instalan varios productos de McAfee DLP, las consolas muestran incidentes y eventos de
todos los productos.
La visualización de Administrador de incidentes de DLP y Operaciones de DLP puede incluir información sobre el
equipo y el usuario registrado que han generado el incidente/evento, la versión del cliente, el sistema
operativo y otros detalles.
Contenido
Supervisión y generación de informes
Administrador de incidentes de DLP
Visualización de los incidentes
Gestión de incidentes
Trabajo en casos
Gestión de casos
Supervisión y generación de informes
McAfee DLP divide los eventos en dos clases: incidentes (es decir, infracciones de directivas) y eventos
administrativos. Estos eventos se ven en las dos consolas, Administrador de incidentes de DLP y Operaciones de
DLP.
Cuando McAfee DLP determina que se ha producido una infracción de directivas, genera un evento y lo
envía al Analizador de eventos de McAfee ePO. Estos eventos se pueden ver, filtrar y clasificar en la
consola Administrador de incidentes de DLP, lo que permite a los responsables de la seguridad o a los
administradores ver los eventos y responder inmediatamente. En caso necesario, se adjunta el
contenido sospechoso como prueba del evento.
Como McAfee DLP es fundamental en la estrategia de una empresa para cumplir todas las normativas
y la legislación que protege los datos confidenciales, el Administrador de incidentes de DLP presenta la
información sobre la transmisión de información confidencial de forma precisa y flexible. Los auditores,
responsables de firmas, administradores de información confidencial y otros empleados relevantes
pueden utilizar el Administrador de incidentes de DLP para observar actividades sospechosas o no
autorizadas, y actuar conforme a la política de privacidad de la empresa, a las normativas
correspondientes y a otras leyes aplicables.
McAfee Data Loss Prevention 10.0.100
Guía del producto
211
10
Incidentes y eventos operativos
Administrador de incidentes de DLP
El administrador del sistema o el responsable de la seguridad pueden seguir los eventos
administrativos relativos a los agentes y al estado de distribución de directivas.
En función de los productos de McAfee DLP que utilice, la consola de Operaciones de DLP puede mostrar
errores, cambios de directivas, omisiones de agentes y otros eventos administrativos.
Puede configurar el envío de una notificación por correo electrónico a las direcciones especificadas
cada vez que se actualicen los incidentes, los casos y los eventos operativos.
Administrador de incidentes de DLP
Utilice la página Administrador de incidentes de DLP en McAfee ePO para ver los eventos de seguridad
de las infracciones de directivas.
El administrador de incidentes tiene tres secciones con fichas:
•
Lista de incidentes: La lista actual de eventos de infracciones de directivas.
•
Tareas de incidentes: Una lista de acciones que puede realizar en la lista o las partes seleccionadas de
esta. Incluyen la asignación de revisores a los incidentes, la configuración de notificación por correo
electrónico automáticas y la purga de toda la lista o parte de esta.
•
Historial de incidentes: Una lista que contiene todos los incidentes históricos. Purgar la lista del
incidente no afecta al historial.
Utilice el módulo Eventos operativos de DLP para ver eventos administrativos como despliegues de
agentes. El módulo se organiza de forma idéntica, con tres páginas con fichas: Lista de eventos
operativos, Tareas de eventos operativos e Historial de eventos operativos.
Funcionamiento del administrador de incidentes
La ficha Lista de incidentes del Administrador de incidentes de DLP tiene todas las funciones necesarias para
revisar los incidentes relacionados con infracciones de directivas. Los detalles del evento se pueden
ver al hacer clic en el evento en cuestión. Puede crear y guardar los filtros para modificar la vista o
utilizar los filtros predefinidos del panel izquierdo. También puede modificar la vista al seleccionar y
ordenar las columnas. Los iconos de color y las calificaciones numéricas de gravedad facilitan un
análisis visual rápido de los eventos.
La ficha Lista de incidentes se utiliza con la función Consultas e informes de McAfee ePO para crear informes
de McAfee DLP Endpoint y mostrar datos en los paneles de McAfee ePO.
Puede realizar las siguientes operaciones en los eventos:
212
•
Administración de casos: Cree casos y agregue incidentes seleccionados a un caso.
•
Comentarios: Agregue comentarios a incidentes seleccionados.
•
Eventos de correo electrónico: Envíe eventos seleccionados.
•
Exportar parámetros del dispositivo: Exporte los parámetros del dispositivo a un archivo CSV
(lista de datos en uso/movimiento únicamente).
•
Etiquetas: Defina una etiqueta para filtrar por ella.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Incidentes y eventos operativos
Administrador de incidentes de DLP
10
•
Liberar redacción: Elimine la redacción para ver los campos protegidos (requiere el permiso
correcto).
•
Definir propiedades: Edite la gravedad, el estado o la resolución; asigne un usuario o un grupo
para la revisión de incidentes.
Figura 10-1
Administrador de incidentes de DLP
La página Operaciones de DLP se utiliza de forma idéntica con los eventos administrativos. Los eventos
contienen información como, por ejemplo, el motivo por el que se generó el evento y el producto de
McAfee DLP que lo notificó. También puede incluir información del usuario relacionada con el evento,
por ejemplo, el nombre de inicio de sesión del usuario, el nombre principal de este
(nombredeusuario@xyz), o el administrador de usuarios, el departamento o la unidad de negocio. Los
eventos operativos se pueden filtrar por cualquiera de las opciones siguientes, así como por otros
parámetros, por ejemplo, la gravedad, el estado, la versión de cliente o el nombre de directiva, entre
otros.
Figura 10-2 Operaciones de DLP
Tareas de incidentes/Tareas de eventos operativos
Utilice la ficha Tareas de incidentes o Tareas de eventos operativos para definir los criterios de las tareas
planificadas. La configuración de tareas en las páginas funciona con la función de tareas servidor de
McAfee ePO para planificar tareas.
Las fichas de ambas tareas se organizan por tipo de tarea (en el panel izquierdo). La ficha Tareas de
incidentes también se organiza por tipo de incidente, de modo que es en realidad una matriz 4 x 3, y la
información que se muestra depende de los dos parámetros que seleccione.
McAfee Data Loss Prevention 10.0.100
Guía del producto
213
10
Incidentes y eventos operativos
Administrador de incidentes de DLP
Datos en uso/
movimiento
Datos en reposo
(Endpoint)
Datos en
reposo (red)
Definir revisor
X
X
X
Notificación de
correo automática
X
X
X
Purgar eventos
X
X
X
Datos en uso/
movimiento
(Historial)
X
Caso práctico: Configuración de propiedades
Las propiedades son datos que se añaden a un incidente que requiere un seguimiento.
Puede agregar las propiedades desde el panel de detalles del incidente o seleccionando
Acciones | Definir propiedades. Las propiedades son:
•
Gravedad
•
Grupo revisor
•
Estado
•
Usuario revisor
•
Solución
El revisor puede ser cualquier usuario de McAfee ePO. El motivo por el cual es posible
cambiar la gravedad es que, en caso de que el administrador determine que el estado es
un falso positivo, la gravedad original dejará de tener sentido.
Caso práctico: Cambio de la vista
Además de utilizar los filtros para modificar la vista, también puede personalizar los
campos y el orden de visualización. Las vistas personalizadas se pueden guardar y utilizar
de nuevo.
Crear un filtro implica las siguientes tareas:
1
Para abrir la ventana de edición de la vista, haga clic en Acciones | Vista | Elegir columnas.
2
Para mover las columnas a la izquierda o a la derecha, use el icono x para eliminar
columnas y los iconos de flechas.
3
Para aplicar la vista personalizada, haga clic en Actualizar vista.
4
Para guardarla para usarla en el futuro, haga clic en Acciones | Vista | Guardar vista.
Al guardar la vista también puede guardar la hora y los filtros personalizados. En la
lista desplegable de la parte superior de la página, puede seleccionar las vistas
guardadas.
Trabajar con incidentes
Cuando McAfee DLP recibe datos que coinciden con los parámetros definidos en una regla, se
desencadena una infracción y McAfee DLP genera un incidente.
Con el administrador de incidentes de McAfee ePO, puede consultar, ordenar, agrupar y filtrar
incidentes para encontrar infracciones importantes. Puede ver los detalles de los incidentes o eliminar
los que no son útiles.
214
McAfee Data Loss Prevention 10.0.100
Guía del producto
Incidentes y eventos operativos
Visualización de los incidentes
10
Visualización de los incidentes
El Administrador de incidentes de DLP muestra todos los incidentes de los que han informado las
aplicaciones de McAfee DLP. Puede alterar la apariencia de los incidentes para que le ayude a ubicar
las infracciones importantes de forma más eficaz.
El campo Presente del Administrador de incidentes de DLP muestra los incidentes en función de la
aplicación que los generó:
•
Datos en uso/movimiento
•
McAfee DLP Endpoint
•
Device Control
•
McAfee DLP Prevent
•
McAfee DLP Prevent for Mobile Email
•
Datos en reposo (endpoint): descubrimiento de McAfee DLP Endpoint
•
Datos en reposo (red): McAfee DLP Discover
Cuando McAfee DLP procesa un objeto (como un mensaje de correo electrónico) que activa varias
reglas, el Administrador de incidentes de DLP reúne y muestra las infracciones como un incidente, en
lugar de como varios independientes.
Procedimientos
•
Ordenar y filtrar incidentes en la página 215
Ordene la manera en la que aparecen los incidentes basándose en atributos como el
tiempo, la ubicación, el usuario o la gravedad.
•
Configurar vistas de columna en la página 216
Utilice las vistas para organizar el tipo y el orden de las columnas que se muestran en el
administrador de incidentes.
•
Configurar filtros de incidentes en la página 217
Utilice los filtros para mostrar los incidentes que coinciden con los criterios especificados.
•
Ver detalles del incidente en la página 217
Consulte la información relacionada con un incidente.
Ordenar y filtrar incidentes
Ordene la manera en la que aparecen los incidentes basándose en atributos como el tiempo, la
ubicación, el usuario o la gravedad.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Administrador de incidentes de DLP.
2
En la lista desplegable Presente, seleccione la opción para su producto.
3
Lleve a cabo una de estas tareas.
•
Para ordenar por columna, haga clic en el encabezado de una columna.
•
Para cambiar las columnas a una vista personalizada, en la lista desplegable Vista, seleccione
una vista personalizada.
•
Para filtrar por tiempo, en la lista desplegable Hora, seleccione un espacio de tiempo.
McAfee Data Loss Prevention 10.0.100
Guía del producto
215
10
Incidentes y eventos operativos
Visualización de los incidentes
•
Para aplicar un filtro personalizado, en la lista desplegable Filtro, seleccione un filtro
personalizado.
•
Para agrupar por atributo:
1
En la lista desplegable Agrupar por, seleccione un atributo.
Aparecerá una lista de opciones disponibles. La lista contiene hasta 250 de las opciones más
frecuentes.
2
En la lista desplegable, seleccione una opción. Aparecerán los incidentes que coincidan con la
selección.
Ejemplo
Si trabaja con incidentes de McAfee DLP Endpoint, seleccione ID de usuario para mostrar los
nombres de los usuarios que han desencadenado las infracciones. Seleccione un nombre de
usuario para mostrar todos los incidentes para ese usuario.
Configurar vistas de columna
Utilice las vistas para organizar el tipo y el orden de las columnas que se muestran en el administrador
de incidentes.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Administrador de incidentes de DLP.
2
En la lista desplegable Presente, seleccione la opción para su producto.
3
En la lista desplegable Vista, seleccione Predeterminado y haga clic en Editar.
4
Configure las columnas.
a
En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnas seleccionadas.
b
En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario.
c
5
Para eliminar una columna, haga clic en x.
•
Para mover una columna, haga clic en los botones de flecha, o arrastre y suelte la columna.
Haga clic en Actualizar vista.
Configure los ajustes de la vista.
a
Junto a la lista desplegable Vista, haga clic en Guardar.
b
Seleccione una de estas opciones:
c
216
•
•
Guardar como vista nueva: Especifique un nombre para la vista.
•
Omitir la vista existente: Seleccione la vista que desea guardar.
Seleccione quién puede utilizar la vista.
•
Público: Cualquier usuario puede utilizar la vista.
•
Privado: Solo el usuario que creó la vista puede utilizarla.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Incidentes y eventos operativos
Visualización de los incidentes
d
Especifique si desea que se apliquen los filtros o las agrupaciones actuales a la vista.
e
Haga clic en Aceptar.
10
También puede gestionar las vistas en el administrador de incidentes seleccionando Acciones | Vista.
Configurar filtros de incidentes
Utilice los filtros para mostrar los incidentes que coinciden con los criterios especificados.
McAfee DLP Endpoint Ejemplo: Sospecha que un usuario concreto ha estado enviando conexiones que
contenían datos confidenciales a un intervalo de direcciones IP fuera de la empresa. Puede crear un
filtro para mostrar los incidentes que coinciden con el nombre de usuario y el intervalo de direcciones
IP.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Administrador de incidentes de DLP.
2
En la lista desplegable Presente, seleccione la opción para su producto.
3
En la lista desplegable Filtro, seleccione (sin filtro personalizado) y haga clic en Editar.
4
Configure los parámetros de filtros.
a
En la lista Propiedades disponibles, seleccione una propiedad.
b
Introduzca el valor para la propiedad.
Para agregar valores adicionales a la misma propiedad, haga clic en +.
c
Seleccione más propiedades según sea necesario.
Para eliminar una entrada de propiedad, haga clic en <.
d
5
Haga clic en Actualizar filtro.
Configure los ajustes de filtros.
a
Junto a la lista desplegable Filtro, haga clic en Guardar.
b
Seleccione una de estas opciones:
c
d
•
Guardar como filtro nuevo: Especifique un nombre para el filtro.
•
Omitir filtro existente: Seleccione el filtro que desea guardar.
Seleccione quién puede utilizar el filtro.
•
Público: Cualquier usuario puede utilizar el filtro.
•
Privado: Solo el usuario que creó el filtro puede utilizarlo.
Haga clic en Aceptar.
También puede gestionar los filtros en el administrador de incidentes seleccionando Acciones | Filtro.
Ver detalles del incidente
Consulte la información relacionada con un incidente.
McAfee Data Loss Prevention 10.0.100
Guía del producto
217
10
Incidentes y eventos operativos
Gestión de incidentes
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Administrador de incidentes de DLP.
2
En la lista desplegable Presente, seleccione la opción para su producto.
3
Haga clic en un ID de incidente.
Para los incidentes de McAfee DLP Endpoint y McAfee DLP Prevent, la página muestra detalles
generales e información de origen. Según el tipo de incidente, aparecen los detalles del destino o
del dispositivo. Para los incidentes de McAfee DLP Discover, la página muestra detalles generales
sobre el incidente.
4
Para ver información adicional, lleve a cabo una de estas tareas.
•
Para ver información del usuario, en incidentes de McAfee DLP Endpoint, haga clic en el nombre
del usuario en el campo Origen.
•
Para ver los archivos de pruebas:
1
Haga clic en la ficha Pruebas.
2
Haga clic en el nombre de un archivo para abrirlo con un programa apropiado.
La ficha Prueba también muestra la Cadena coincidente breve, que incluye hasta tres elementos
destacados como única cadena.
•
Para ver las reglas que desencadenaron el incidente, haga clic en la ficha Reglas.
•
Para ver las clasificaciones, haga clic en la ficha Clasificaciones.
En incidentes de McAfee DLP Endpoint, la ficha Clasificaciones no aparece para algunos tipos de
incidente.
•
Para ver el historial de incidentes, haga clic en la ficha Registros de auditoría.
•
Para ver los comentarios agregados al incidente, haga clic en la ficha Comentarios.
•
Para enviar por correo electrónico los detalles de los incidentes, incluidas las pruebas
descifradas y los archivos de elementos destacados, seleccione Acciones | Enviar por correo electrónico
los eventos seleccionados.
•
Para volver al administrador de incidentes, haga clic en Aceptar.
Gestión de incidentes
Utilice el Administrador de incidentes de DLP para actualizar y gestionar los incidentes.
Si ha configurado las notificaciones de correo electrónico, se enviará un correo electrónico cada vez
que se actualice un incidente.
Para eliminar los incidentes, configure una tarea que permita purgar eventos.
218
McAfee Data Loss Prevention 10.0.100
Guía del producto
Incidentes y eventos operativos
Gestión de incidentes
10
Procedimientos
•
Actualizar un solo incidente en la página 219
Actualice información del incidente como la gravedad, el estado y el revisor.
•
Actualizar varios incidentes en la página 219
Actualice varios incidentes con la misma información simultáneamente.
•
Enviar por correo electrónico los eventos seleccionados en la página 220
Las siguientes tablas proporcionan algunos detalles sobre las opciones de correo electrónico
y exportación de eventos seleccionados.
•
Administrar etiquetas en la página 221
Una etiqueta es un atributo personalizado que se utiliza para identificar los incidentes que
comparten rasgos similares.
Actualizar un solo incidente
Actualice información del incidente como la gravedad, el estado y el revisor.
La ficha Registros de auditoría informa de todas las actualizaciones y modificaciones realizadas en un
incidente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Administrador de incidentes de DLP.
2
En la lista desplegable Presente, seleccione la opción para su producto.
3
Haga clic en un incidente.
Se abrirá la ventana de detalles del incidente.
4
En el panel Detalles generales, realice cualquiera de estas tareas.
•
•
•
Para actualizar la gravedad, el estado o la resolución:
1
En las listas desplegables Gravedad, Estado o Solución, seleccione una opción.
2
Haga clic en Guardar.
Para actualizar el revisor:
1
Junto al campo Revisor, haga clic en ....
2
Seleccione el grupo o el usuario, y haga clic en Aceptar.
3
Haga clic en Guardar.
Para agregar un comentario:
1
Seleccione Acciones | Agregar comentario.
2
Introduzca un comentario y, a continuación, haga clic en Aceptar.
Actualizar varios incidentes
Actualice varios incidentes con la misma información simultáneamente.
Ejemplo: Ha aplicado un filtro para mostrar todos los incidentes de un usuario o análisis concreto, y
desea cambiar la gravedad de estos incidentes a Grave.
McAfee Data Loss Prevention 10.0.100
Guía del producto
219
10
Incidentes y eventos operativos
Gestión de incidentes
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Administrador de incidentes de DLP.
2
En la lista desplegable Presente, seleccione la opción para su producto.
3
Seleccione las casillas de verificación de los incidentes que desea actualizar.
Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta
página.
4
Lleve a cabo una de estas tareas.
•
Para agregar un comentario, seleccione Acciones | Agregar comentario, introduzca un comentario y, a
continuación, haga clic en Aceptar.
•
Para enviar los incidentes en un correo electrónico, seleccione Acciones | Enviar por correo electrónico
los eventos seleccionados, introduzca la información y, a continuación, haga clic en Aceptar.
Puede seleccionar una plantilla o crear una introduciendo la información y haciendo clic en
Guardar.
•
Para exportar los incidentes, seleccione Acciones | Exportar eventos seleccionados, introduzca la
información y, a continuación, haga clic en Aceptar.
•
Para liberar la redacción de los incidentes, seleccione Acciones | Liberar redacción, introduzca un
nombre de usuario y contraseña y, a continuación, haga clic en Aceptar.
Debe tener permiso de redacción de datos para eliminar la redacción.
•
Para cambiar las propiedades, seleccione Acciones | Definir propiedades, cambie las opciones y, a
continuación, haga clic en Aceptar.
Véase también
Enviar por correo electrónico los eventos seleccionados en la página 220
Enviar por correo electrónico los eventos seleccionados
Las siguientes tablas proporcionan algunos detalles sobre las opciones de correo electrónico y
exportación de eventos seleccionados.
Tabla 10-1
220
Enviar por correo electrónico los eventos seleccionados
Parámetro
Valor
Número máximo de eventos que enviar por correo
100
Tamaño máximo de cada evento
Sin límite
Tamaño máximo del archivo comprimido (ZIP)
20 MB
De
Limitado a 100 caracteres
Para, CC
Limitado a 500 caracteres
Asunto
Limitado a 150 caracteres
Cuerpo
Limitado a 1000 caracteres
McAfee Data Loss Prevention 10.0.100
Guía del producto
10
Incidentes y eventos operativos
Gestión de incidentes
Tabla 10-2
Exportar eventos seleccionados
Parámetro
Valor
Número máximo de eventos que exportar
1000
Tamaño máximo de cada evento
Sin límite
Tamaño máximo del archivo de exportación comprimido (ZIP)
Sin límite
Administrar etiquetas
Una etiqueta es un atributo personalizado que se utiliza para identificar los incidentes que comparten
rasgos similares.
Puede asignar varias etiquetas a un incidente y puede reutilizar una etiqueta para varios incidentes.
Por ejemplo: Tiene incidentes que se relacionan con varios proyectos que su empresa está
desarrollando. Puede crear etiquetas con el nombre de cada proyecto y asignarlas a los incidentes
correspondientes.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Administrador de incidentes de DLP.
2
En la lista desplegable Presente, seleccione la opción para su producto.
3
Seleccione las casillas de verificación de uno o varios incidentes.
Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta
página.
4
Lleve a cabo una de estas tareas.
•
•
•
Para agregar etiquetas:
1
Seleccione Acciones | Etiquetas | Adjuntar.
2
Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar.
3
Seleccione una o varias etiquetas.
4
Haga clic en Aceptar.
Para eliminar etiquetas de un incidente:
1
Seleccione Acciones | Etiquetas | Separar.
2
Seleccione las etiquetas que desea eliminar del incidente.
3
Haga clic en Aceptar.
Para eliminar etiquetas:
1
Seleccione Acciones | Etiquetas | Eliminar etiquetas.
2
Seleccione las etiquetas que eliminar.
3
Haga clic en Aceptar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
221
10
Incidentes y eventos operativos
Trabajo en casos
Trabajo en casos
Los casos permiten a los administradores colaborar para llegar a la solución de incidentes
relacionados.
En muchos casos, un único incidente no es un evento aislado. Debe ir al Administrador de incidentes
de DLP para consultar otros que tengan propiedades comunes o que se relacionen entre sí. Puede
asignar estos incidentes relacionados a un caso. Diversos administradores pueden supervisar y
gestionar un caso en función de sus roles dentro de la organización.
McAfee DLP Endpoint Situación: Se percata de que un usuario concreto a menudo genera varios
incidentes al finalizar el horario laboral. Esta situación podría indicar que el usuario está involucrado en
actividades sospechosas o que su sistema se ha puesto en peligro. Asigne estos incidentes a un caso
para realizar un seguimiento de cuándo y con qué frecuencia se producen tales infracciones.
McAfee DLP Discover Situación: Los incidentes generados a partir de un análisis de corrección indican
que se han añadido recientemente numerosos archivos confidenciales a un repositorio con acceso
público. Otro análisis de corrección indica que dichos archivos también se han añadido a un repositorio
público distinto.
En función de cuál sea la naturaleza de tales infracciones, tendrá que informar al respecto a los
equipos de RR. HH. o de asuntos legales. También puede permitir a los miembros de estos equipos
que trabajen en el caso, por ejemplo, añadiendo comentarios, cambiando la prioridad o informando a
las partes interesadas más relevantes.
Gestión de casos
Cree casos y realice labores de mantenimiento para solucionar incidentes.
Procedimientos
•
Creación de casos en la página 222
Cree un caso para agrupar y examinar los incidentes relacionados.
•
Visualización de información del caso en la página 223
Puede ver los registros de auditoría, los comentarios de los usuarios y los incidentes
asignados a un caso.
•
Asignación de incidentes a un caso en la página 223
Agregue incidentes relacionados a un caso nuevo o a uno existente.
•
Transferencia o eliminación de incidentes de un caso en la página 224
Si un incidente deja de ser pertinente en un caso, puede eliminarlo o moverlo a otro
distinto.
•
Actualización de casos en la página 224
Información sobre la actualización de los casos, como el cambio de propietario, el envío de
notificaciones o la adición de comentarios.
•
Adición o eliminación de etiquetas de un caso en la página 225
Sírvase de las etiquetas para distinguir los casos por un atributo personalizado.
•
Eliminación de casos en la página 226
Elimine los casos que ya no necesite.
Creación de casos
Cree un caso para agrupar y examinar los incidentes relacionados.
222
McAfee Data Loss Prevention 10.0.100
Guía del producto
Incidentes y eventos operativos
Gestión de casos
10
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.
2
Seleccione Acciones | Nuevo.
3
Introduzca un nombre y configure las opciones.
4
Haga clic en Aceptar.
Visualización de información del caso
Puede ver los registros de auditoría, los comentarios de los usuarios y los incidentes asignados a un
caso.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.
2
Haga clic en un ID de caso.
3
Realice una de estas tareas:
4
•
Para ver los incidentes asignados al caso, haga clic en la ficha Incidentes.
•
Para ver los comentarios de los usuarios, haga clic en la ficha Comentarios.
•
Para ver los registros de auditoría, haga clic en la ficha Registro de auditoría.
Haga clic en Aceptar.
Asignación de incidentes a un caso
Agregue incidentes relacionados a un caso nuevo o a uno existente.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP.
2
En la lista desplegable Presente, seleccione un tipo de incidente. Para Datos en reposo (red) haga clic en
el vínculo Analizar para definir el análisis si es necesario.
3
Seleccione las casillas de verificación de uno o varios incidentes.
Utilice las opciones como Filtro o Agrupar por para ver los incidentes relacionados. Para actualizar todos
los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.
McAfee Data Loss Prevention 10.0.100
Guía del producto
223
10
Incidentes y eventos operativos
Gestión de casos
4
5
Asigne los incidentes a un caso.
•
Para agregarlos a un caso nuevo, seleccione Acciones | Administración de casos | Agregar a un nuevo caso,
introduzca un nombre y configure las opciones.
•
Para agregarlos a un caso existente, seleccione Acciones | Administración de casos | Agregar a un caso
existente, filtre por el nombre o el ID del caso, y seleccione dicho caso.
Haga clic en Aceptar.
Transferencia o eliminación de incidentes de un caso
Si un incidente deja de ser pertinente en un caso, puede eliminarlo o moverlo a otro distinto.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.
2
Haga clic en un ID de caso.
3
Realice una de estas tareas:
•
•
4
Para mover un incidente de un caso a otro:
1
haga clic en la ficha Incidentes y seleccione los incidentes;
2
seleccione Acciones | Mover y, a continuación, seleccione si desea moverlo a un caso nuevo o a
uno existente; y
3
seleccione un caso existente o configure las opciones de uno nuevo. A continuación, haga clic
en Aceptar.
Si desea eliminar del caso un incidente:
1
haga clic en la ficha Incidentes y seleccione los incidentes;
2
seleccione Acciones | Eliminar y, a continuación, haga clic en Sí.
Haga clic en Aceptar.
También puede mover o eliminar un incidente de la ficha Incidentes haciendo clic en Mover o Eliminar en la
columna Acciones.
Actualización de casos
Información sobre la actualización de los casos, como el cambio de propietario, el envío de
notificaciones o la adición de comentarios.
Las notificaciones se envían al creador y al responsable del caso, así como a los usuarios
seleccionados, cuando:
224
•
se agrega o se modifica un correo
electrónico;
•
se modifica la prioridad;
•
se agregan incidentes al caso o se
eliminan;
•
se modifica la resolución.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Incidentes y eventos operativos
Gestión de casos
•
se modifica el nombre del caso;
•
se agregan comentarios.
•
se modifican los detalles del responsable;
•
Se agregan datos adjuntos.
10
Puede desactivar las notificaciones por correo electrónico automáticas al creador y al responsable del
caso en Menú | Configuración | Configuración del servidor | Data Loss Prevention.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.
2
Haga clic en un ID de caso.
3
Realice una de estas tareas:
•
Para actualizar el nombre del caso, en el campo Título, introduzca uno nuevo y haga clic en
Guardar.
•
Para actualizar el responsable, realice lo siguiente:
1
Haga clic en la opción ... situada junto al campo Propietario.
2
Seleccione el grupo o el usuario.
3
Haga clic en Aceptar.
4
Haga clic en Guardar.
•
Para actualizar las opciones Prioridad, Estado y Solución, sírvase de las listas desplegables para
seleccionar elementos y haga clic en Guardar.
•
Para enviar notificaciones de correo electrónico, siga estos pasos:
1
Haga clic en la opción ... situada junto al campo Enviar notificaciones a.
2
Seleccione los usuarios a los que enviar notificaciones.
Si no se muestra ningún contacto, especifique un servidor de correo electrónico para McAfee
ePO y agregue las direcciones de correo electrónico de los usuarios. Configure el servidor de
correo electrónico en Menú | Configuración | Configuración del servidor | Servidor de correo electrónico.
Configure los usuarios en Menú | Administración de usuarios | Usuarios.
3
•
4
Haga clic en Guardar.
Para agregar comentarios al caso, realice lo siguiente:
1
Haga clic en la ficha Comentarios.
2
Introduzca el comentario en el campo de texto.
3
Haga clic en Agregar comentario.
Haga clic en Aceptar.
Adición o eliminación de etiquetas de un caso
Sírvase de las etiquetas para distinguir los casos por un atributo personalizado.
McAfee Data Loss Prevention 10.0.100
Guía del producto
225
10
Incidentes y eventos operativos
Gestión de casos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.
2
Seleccione las casillas de verificación de uno o varios casos.
Para actualizar todos los incidentes mostrados con el filtro actual, haga clic en Seleccionar todo en esta
página.
3
Realice una de estas acciones:
•
•
Para añadir etiquetas a los casos seleccionados:
1
Seleccione Acciones | Administrar etiquetas | Adjuntar.
2
Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar.
3
Seleccione una o varias etiquetas.
4
Haga clic en Aceptar.
Para eliminar etiquetas de los casos seleccionados:
1
Seleccione Acciones | Administrar etiquetas | Separar.
2
Seleccione las etiquetas que desea eliminar.
3
Haga clic en Aceptar.
Eliminación de casos
Elimine los casos que ya no necesite.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.
2
Seleccione las casillas de verificación de uno o varios casos.
Para eliminar todos los casos mostrados con el filtro actual, haga clic en Seleccionar todo en esta página.
3
226
Seleccione Acciones | Eliminar y, a continuación, haga clic en Sí.
McAfee Data Loss Prevention 10.0.100
Guía del producto
11
Recopilación y administración de datos
La supervisión del sistema incluye la recopilación y la revisión de pruebas y eventos, así como la
generación de informes. Los datos de incidentes y eventos de las tablas de DLP de la base de datos de
McAfee ePO se pueden ver en las páginas Administrador de incidentes de DLP y Operaciones de DLP, o
se pueden intercalar en los informes y paneles.
La revisión de los eventos y las pruebas registradas permite a los administradores determinar si las
reglas son demasiado restrictivas, lo que provoca retrasos innecesarios en el trabajo, o si son poco
estrictas, lo que facilita la fuga de datos.
Contenido
Edición de tareas servidor
Supervisar resultados de la tarea
Creación de informes
Edición de tareas servidor
McAfee DLP utiliza las Tareas servidor de McAfee ePO para ejecutar tareas para McAfee DLP Discover,
McAfee DLP Prevent, Administrador de incidentes de DLP, Operaciones de DLP y Administración de casos de
DLP.
Todas las tareas de incidentes y eventos operativos se predefinen en la lista de tareas servidor. Las
únicas opciones disponibles son activar o desactivar las tareas, o bien cambiar la planificación. Las
tareas servidor de McAfee DLP disponibles para incidentes y eventos son:
•
Conversión de eventos de DLP 9.4 y versiones superiores
•
Migración de incidentes de DLP de la versión 9.3.x a la 9.4.1 y superiores
•
Migración de eventos operativos de DLP de la versión 9.3.x a la 9.4.1 y superiores
•
Conversión de directivas de DLP
•
Purga del historial de eventos e incidentes operativos de DLP
•
Purga de eventos e incidentes operativos de DLP
•
Envío de correo electrónico para eventos e incidentes operativos de DLP
•
Definición de revisor para eventos e incidentes operativos de DLP
Las tareas servidor de McAfee DLP para McAfee DLP Discover y McAfee DLP Prevent son:
•
Detectar servidores de descubrimiento
•
LdapSync: sincronizar los usuarios de LDAP
McAfee Data Loss Prevention 10.0.100
Guía del producto
227
11
Recopilación y administración de datos
Edición de tareas servidor
Además, la tarea Acumular datos (servidor de ePO local) puede utilizarse para acumular incidentes, eventos
operativos o datos de descubrimiento de endpoints de McAfee DLP desde los servidores de McAfee ePO
seleccionados para generar un único informe.
Si está ampliando y tiene McAfee DLP Endpoint instalado en McAfee ePO, también verá las siguientes
tareas:
•
Ejecutor de tareas de incidentes de DLP
•
Tarea de informe de propiedades DLP MA
•
Tarea de inserción de directiva de DLP
Para obtener más información sobre estas tareas, vea la Guía de producto 9.3 de McAfee Data Loss
Prevention Endpoint.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Automatización | Tareas servidor.
2
Seleccione la tarea que desea editar.
Práctica recomendada: Introduzca DLP en el campo Búsqueda rápida para filtrar la lista.
3
Seleccione Acciones | Editar y, a continuación, haga clic en Planificación.
4
Edite la planificación según sea necesario y, a continuación, haga clic en Guardar.
Procedimientos
•
Creación de una tarea de purga de eventos en la página 228
Crea tareas de purga de incidentes y eventos para eliminar de la base de datos la
información que ya no es necesaria.
•
Creación de una tarea Notificación de correo automática en la página 229
Puede establecer notificaciones por correo electrónico automáticas de incidentes y eventos
operativos para los administradores, gestores o usuarios.
•
Creación una tarea de definición de revisor en la página 230
Puede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir
la carga de trabajo en organizaciones grandes.
Véase también
Creación una tarea de definición de revisor en la página 230
Creación de una tarea Notificación de correo automática en la página 229
Creación de una tarea de purga de eventos en la página 228
Creación de una tarea de purga de eventos
Crea tareas de purga de incidentes y eventos para eliminar de la base de datos la información que ya
no es necesaria.
Se pueden crear tareas de purga para la Lista de incidentes, los incidentes de datos en uso en la lista
Historial o la Lista de eventos operativos.
228
McAfee Data Loss Prevention 10.0.100
Guía del producto
Recopilación y administración de datos
Edición de tareas servidor
11
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección de
datos | Operaciones de DLP.
2
Haga clic en Tareas de incidentes o en la ficha Tareas de eventos operativos.
3
Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Purgar eventos
en el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.
La opción Datos en uso/movimiento (archivo) permite purgar eventos del historial.
4
Introduzca un nombre y una descripción opcional y, a continuación, haga clic en Siguiente.
Las reglas se activan de forma predeterminada. Puede cambiar este ajuste para retrasar la
ejecución de la regla.
5
Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación y
Valor. Cuando haya acabado de definir los criterios, haga clic en Guardar.
La tarea se ejecuta a diario en el caso de los datos actuales y cada viernes a las 22:00 en el de los
datos históricos.
Véase también
Edición de tareas servidor en la página 227
Creación de una tarea Notificación de correo automática
Puede establecer notificaciones por correo electrónico automáticas de incidentes y eventos operativos
para los administradores, gestores o usuarios.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección de
datos | Operaciones de DLP.
2
Haga clic en las fichas Tareas de incidentes o Tareas de eventos operativos.
3
Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Notificación de
correo automática en el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.
4
Introduzca un nombre y, si lo desea, una descripción.
Las reglas se activan de forma predeterminada. Puede cambiar este ajuste para retrasar la
ejecución de la regla.
5
6
Seleccione los eventos que desea procesar.
•
Procese todos los incidentes/eventos (del tipo de incidente seleccionado).
•
Procese los incidentes/eventos desde la última notificación de correo ejecutada.
Seleccione Destinatarios.
Este campo es obligatorio. Debe seleccionar al menos un destinatario.
McAfee Data Loss Prevention 10.0.100
Guía del producto
229
11
Recopilación y administración de datos
Edición de tareas servidor
7
Introduzca un asunto para el correo electrónico.
Este campo es obligatorio.
Puede introducir variables de la lista desplegable según sea necesario.
8
Introduzca el texto del cuerpo del correo electrónico.
Puede introducir variables de la lista desplegable según sea necesario.
9
(Opcional) Seleccione la casilla de verificación para adjuntar información de pruebas al correo
electrónico. Haga clic en Siguiente.
10 Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación y
Valor. Cuando haya acabado de definir los criterios, haga clic en Guardar.
La tarea se ejecuta cada hora.
Véase también
Edición de tareas servidor en la página 227
Creación una tarea de definición de revisor
Puede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir la carga
de trabajo en organizaciones grandes.
Antes de empezar
En McAfee ePO Administración de usuarios | Conjuntos de permisos, cree un revisor o designe un
revisor de grupo, con permisos Definir revisor para Administrador de incidentes de DLP y
Operaciones de DLP.
La tarea Definir revisor asigna un revisor a los incidentes o eventos según los criterios de la regla. La
tarea solo se ejecuta en los incidentes donde no se ha asignado un revisor. No puede utilizarla para
reasignar incidentes a otro revisor.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección de
datos | Operaciones de DLP.
2
Haga clic en Tareas de incidentes o en la ficha Tareas de eventos operativos.
3
Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Definir revisor
en el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.
4
Introduzca un nombre y, si lo desea, una descripción. Seleccione un revisor o un grupo y, a
continuación, haga clic en Siguiente.
Las reglas se activan de forma predeterminada. Puede cambiar este ajuste para retrasar la
ejecución de la regla.
5
Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación y
Valor. Cuando haya acabado de definir los criterios, haga clic en Guardar.
Práctica recomendada: Si hay varias reglas de Definir revisor, puede volver a ordenarlas en la
lista.
230
McAfee Data Loss Prevention 10.0.100
Guía del producto
Recopilación y administración de datos
Supervisar resultados de la tarea
11
La tarea se ejecuta cada hora.
Tras definir un revisor, no se le puede omitir a través de la tarea Definir revisor.
Véase también
Edición de tareas servidor en la página 227
Supervisar resultados de la tarea
Supervise los resultados de las tareas de incidentes y de eventos operativos.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Automatización | Registro de tareas servidor.
2
Localice las tareas de McAfee DLP completadas.
Práctica recomendada: Introduzca DLP en el campo Búsqueda rápida o defina un filtro personalizado.
3
Haga clic en el nombre de la tarea.
Aparecen los detalles de la tarea, incluidos todos los errores si la tarea falló.
Creación de informes
McAfee DLP utiliza funciones de generación de informes de McAfee ePO. Hay disponibles varios
informes preprogramados, así como la opción de diseñar informes personalizados.
Consulte el capítulo Consultas de la base de datos de la Guía del producto de McAfee ePolicy
Orchestrator para obtener más información.
Tipos de informes
Utilice las funciones de generación de informes de McAfee ePO para supervisar el rendimiento de
McAfee DLP Endpoint.
Se admiten cuatro tipos de informes en los paneles de McAfee ePO:
•
Resumen de incidentes de DLP
•
Resumen de descubrimiento de DLP Endpoint
•
Resumen de directivas de DLP
•
Resumen de operaciones de DLP
Los paneles proporcionan un total de 22 informes, basándose en las 28 consultas encontradas en
Menú | Informes | Consultas e informes | Grupos de McAfee | Data Loss Prevention en la consola de
McAfee ePO.
McAfee Data Loss Prevention 10.0.100
Guía del producto
231
11
Recopilación y administración de datos
Creación de informes
Opciones de informes
El software McAfee DLP utiliza informes de McAfee ePO para revisar eventos. Asimismo, puede ver
información sobre las propiedades del producto en el panel de McAfee ePO.
Informes de McAfee ePO
El software McAfee DLP Endpoint integra la generación de informes con el servicio de generación de
informes de McAfee ePO. Para obtener información sobre el uso del servicio de generación de informes
de McAfee ePO, consulte la Guía del producto de McAfee ePolicy Orchestrator.
Se admiten las consultas y los informes de datos acumulados de McAfee ePO, que resumen los datos
procedentes de varias bases de datos de McAfee ePO.
Se admiten las notificaciones de McAfee ePO. Consulte el capítulo Envío de notificaciones de la Guía
del producto de McAfee ePolicy Orchestrator para obtener más información.
Paneles de ePO
Puede ver información sobre las propiedades del producto de McAfee DLP en Menú | Paneles de McAfee
ePO. Hay cuatro paneles predefinidos:
•
Resumen de incidentes de DLP
•
Resumen de descubrimiento de DLP Endpoint
•
Resumen de directivas de DLP
•
Resumen de operaciones de DLP
Los paneles se pueden editar y personalizar. Asimismo, se pueden crear nuevos monitores. Consulte la
documentación de McAfee ePO para conocer las instrucciones.
Las consultas predefinidas resumidas en los paneles están disponibles al seleccionar Menú | Consultas e
informes. Se enumeran en Grupos de McAfee.
Paneles predefinidos
La siguiente tabla describe los paneles predefinidos de McAfee DLP.
Tabla 11-1 Paneles de DLP predefinidos
Categoría
DLP: Resumen de
incidentes
Opción
Descripción
Número de incidentes al día
Estos gráficos muestran el número de incidentes
totales y proporcionan diferentes desgloses con el
fin de ayudar a analizar problemas específicos.
Número de incidentes por
gravedad
Número de incidentes por tipo
Número de incidentes por
conjunto de reglas
DLP: Resumen de
operaciones
232
Número de eventos operativos al
día
Muestra todos los eventos administrativos.
Versión del agente
Muestra la distribución de los equipos Endpoint en
la empresa. Se utiliza para supervisar el progreso
del despliegue de agentes.
Distribución de productos DLP en
equipos endpoint
Muestra un gráfico circular que representa el
número de equipos endpoint de Windows y Mac,
así como el número de equipos endpoint donde no
hay instalado ningún cliente.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Recopilación y administración de datos
Creación de informes
11
Tabla 11-1 Paneles de DLP predefinidos (continuación)
Categoría
Opción
Descripción
Descubrimiento de DLP (endpoint): Muestra un gráfico circular que muestra el número
Estado de análisis del sistema de de propiedades de análisis de descubrimiento del
archivos local
sistema de archivos local y sus estados
(completada, en funcionamiento, sin definir).
Estado del agente
Muestra todos los agentes y su estado.
Modo de funcionamiento del
agente
Muestra un gráfico circular de agentes por modos
de funcionamiento de DLP. Los modos de
funcionamiento son:
• Modo de solo control de dispositivos
• Modo de protección de contenido completo y
control de dispositivos
• Modo de protección de almacenamiento
extraíble basada en contenido y control de
dispositivos
• Desconocido
DLP: Resumen de
directivas
DLP: Resumen de
descubrimiento de
endpoints
Descubrimiento de DLP (endpoint):
Estado de análisis de
almacenamiento de correo
electrónico local
Muestra un gráfico circular que muestra el número
de propiedades de análisis de descubrimiento del
almacenamiento de correo electrónico local y sus
estados (completada, en funcionamiento, sin
definir).
Distribución de directivas
Muestra la distribución de directivas de DLP en la
empresa. Se utiliza para supervisar el progreso al
desplegar una nueva directiva.
Conjuntos de reglas
implementados por equipos
endpoint
Muestra un gráfico de barras que muestra el
nombre del conjunto de reglas y el número de
directivas aplicadas.
Usuarios omitidos
Muestra el nombre del sistema o del usuario y el
número de propiedades de la sesión de usuario.
Clases de dispositivos no
definidas (para dispositivos
Windows)
Muestra las clases de dispositivo no definidas para
dispositivos Windows.
Usuarios con privilegios
Muestra el nombre del sistema o del usuario y el
número de propiedades de la sesión de usuario.
Distribución de revisión de
directivas
Similar a la distribución de directivas, pero
muestra revisiones, es decir, actualizaciones de
una versión existente.
Descubrimiento de DLP
Muestra un gráfico circular con el estado de
(Endpoint): Estado de análisis más ejecución de todos los análisis del sistema de
reciente del sistema de archivos
archivos local.
local
Descubrimiento de DLP
(Endpoint): Archivos
confidenciales más recientes del
análisis del sistema de archivos
Muestra un gráfico de barras con el intervalo de
archivos confidenciales encontrados en los
archivos del sistema.
Descubrimiento de DLP
Muestra un gráfico de barras con el intervalo de
(Endpoint): Errores más recientes errores encontrados en los archivos del sistema.
de análisis del sistema de archivos
local
McAfee Data Loss Prevention 10.0.100
Guía del producto
233
11
Recopilación y administración de datos
Creación de informes
Tabla 11-1 Paneles de DLP predefinidos (continuación)
Categoría
Opción
Descripción
Descubrimiento de DLP
(Endpoint): Clasificaciones más
recientes de análisis del sistema
de archivos local
Muestra un gráfico de barras con las
clasificaciones aplicadas a los archivos del
sistema.
Descubrimiento de DLP
Muestra un gráfico circular con el estado de
(Endpoint): Estado más reciente de ejecución de todas las carpetas de correo
los análisis de correo electrónico
electrónico local.
local
Descubrimiento de DLP
(Endpoint): Correos electrónicos
confidenciales más recientes del
análisis del correo electrónico
local
Muestra un gráfico de barras con el intervalo de
correos electrónicos de carácter confidencial
encontrados en las carpetas de correo electrónico
local.
Descubrimiento de DLP
Muestra un gráfico de barras con el intervalo de
(Endpoint): Últimos errores de
errores encontrados en las carpetas de correo
análisis de correo electrónico local electrónico local.
Descubrimiento de DLP
(Endpoint): Clasificaciones más
recientes del análisis de correo
electrónico local
Muestra un gráfico de barras con las
clasificaciones aplicadas a los correos electrónicos
locales.
Creación de una tarea servidor de acumulación de datos
Las tareas de acumulación de McAfee ePO extraen datos de varios servidores para generar un único
informe. Puede crear informes de acumulación para los eventos e incidentes operativos de McAfee
DLP.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
En McAfee ePO, seleccione Menú | Automatización | Tareas servidor.
2
Haga clic en Nueva tarea.
3
En el Generador de tareas servidor, introduzca un nombre y una nota opcional; a continuación, haga clic
en Siguiente.
4
En la lista desplegable Acciones, seleccione Acumular datos.
Aparece el formulario de datos acumulados.
234
5
(Opcional) Seleccione servidores en el campo Acumular los datos de la tabla desde.
6
En la lista desplegable Tipos de datos, seleccione Incidentes de DLP, Eventos operativos de DLP o McAfee DLP
Endpoint Discovery, según sea necesario.
7
(Opcional) Configure las opciones Purgar, Filtro o Método de acumulación. Haga clic en Siguiente.
8
Introduzca el tipo de planificación, la fecha de inicio, la fecha de finalización y la hora de
planificación. Haga clic en Siguiente.
9
Revise la información de Resumen y haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
12
Registro y supervisión en McAfee DLP
Prevent
McAfee DLP Prevent incluye opciones de registro y supervisión que proporcionan información sobre el
mantenimiento del sistema y estadísticas del tráfico web y de correo electrónico, y pueden ayudarle a
resolver problemas.
Contenido
Generación de informes de eventos
Supervisión del estado y el mantenimiento del sistema
Generación de informes de eventos
En McAfee ePO hay disponibles varios eventos de McAfee DLP Prevent desde el registro de Eventos de
clientes y el registro de Operaciones de DLP. Puede obtener información adicional desde el syslog local y
desde un servidor de registro remoto, en caso de tener uno activado.
El registro de Eventos de clientes también muestra los eventos de Administración de appliances. Para
obtener más información sobre estos eventos, vea la Ayuda en línea para la Administración de
appliances.
Eventos de McAfee DLP Prevent
McAfee DLP Prevent envía eventos al registro de Eventos de clientes o al registro de Operaciones de DLP.
Eventos de registro de Eventos de cliente
Práctica recomendada: Asegúrese de purgar el registro de Eventos de clientes de forma regular.
ID de
evento
Texto del evento
de UI
Descripción
15001
Error de consulta LDAP
Error en la consulta. Se indican los motivos en las descripciones de
eventos
15007
Sincronización del
directorio LDAP
Estado de la sincronización del directorio
210003
El uso de los recursos
ha alcanzado el nivel
crítico
McAfee DLP Prevent no puede analizar un mensaje porque el
directorio ha alcanzado un nivel crítico
McAfee Data Loss Prevention 10.0.100
Guía del producto
235
12
Registro y supervisión en McAfee DLP Prevent
Generación de informes de eventos
ID de
evento
Texto del evento
de UI
Descripción
220000
Inicio de sesión de
usuario
Un usuario ha iniciado sesión en McAfee DLP Prevent:
• 354: Se ha iniciado sesión en la GUI correctamente
• 355: No se ha podido iniciar sesión en la GUI
• 424: Se ha iniciado sesión en SSH correctamente
• 425: No se ha podido iniciar sesión en SSH
• 426: Se ha iniciado sesión en la consola del appliance
correctamente
• 427: No se ha podido iniciar sesión en la consola del appliance
• 430: Se ha cambiado el usuario correctamente
• 431: No se ha podido cambiar el usuario
220001
Cierre de sesión de
usuario
Un usuario ha cerrado sesión en McAfee DLP Prevent:
• 356: El usuario de la GUI ha cerrado sesión
• 357: La sesión ha caducado
• 428: El usuario de SSH ha cerrado sesión
• 429: El usuario de la consola del appliance ha cerrado sesión
• 432: El usuario ha cerrado sesión
220900
Instalación del
certificado
• El certificado se ha instalado correctamente
• Error en la instalación del certificado: <motivo>
No puede instalarse un certificado por uno de los motivos siguientes:
• Frase de contraseña
incorrecta
• Firma incorrecta
• Falta la clave privada
• Certificado de CA incorrecto
• Error de cadena
• Cadena demasiado larga
• Certificado incorrecto
• Objetivo incorrecto
• Certificado caducado
• Revocado
• Ya no es válido
• CRL incorrecto o inexistente
El motivo también se notifica en el syslog. Si el motivo no coincide
con ninguno de los disponibles, se devuelve el evento de error de
instalación de certificado por defecto.
Eventos de registro de Operaciones de DLP
236
ID de
evento
Texto del evento de
UI
Descripción
19100
Cambio de directiva
Administración de appliances ha insertado una directiva al
appliance correctamente
19500
Error al insertar directiva
Administración de appliances no ha podido insertar una
directiva al appliance
McAfee Data Loss Prevention 10.0.100
Guía del producto
Registro y supervisión en McAfee DLP Prevent
Generación de informes de eventos
ID de
evento
Texto del evento de
UI
Descripción
19105
Error de replicación de
pruebas
• No se ha podido cifrar un archivo de pruebas
Error al analizar
• Posible ataque de denegación de servicio
19501
12
• No se ha podido copiar un archivo de pruebas al servidor
de pruebas
• No se ha podido descomponer el contenido para analizarlo
19502
DLP Prevent registrado
El appliance se ha registrado correctamente con McAfee ePO
Uso del syslog con McAfee DLP Prevent
McAfee DLP Prevent envía información de registro de SMTP y hardware al syslog local, y uno o más
servidores de registro remoto si los tiene activados. Se envían mensajes informativos con detalles
sobre eventos, como, por ejemplo, el estado de la instalación de certificados, a /var/log/messages.
Utilice la configuración de la categoría General de la directiva Ajustes generales del appliance para configurar los
servidores de registro remotos.
McAfee DLP Prevent envía información al syslog en el formato de evento común (CEF). CEF es un
estándar de administración de registros abierto que mejora la interoperabilidad de la información
sobre seguridad desde distintos dispositivos y aplicaciones de seguridad y red. Para simplificar la
integración, el formato de mensaje del syslog se utiliza como mecanismo de transporte. Esto aplica un
prefijo común a cada mensaje que contiene la fecha y el nombre de host.
Para obtener más información sobre CEF y los campos de datos de eventos de McAfee DLP Prevent, vea
la Guía del formato de evento común de McAfee DLP Prevent, disponible en la base de conocimiento de
McAfee.
Práctica recomendada: Seleccione el protocolo TCP para enviar los datos de eventos de McAfee DLP
Prevent a un servidor de registro remoto. UDP tiene un límite de 1024 bytes por paquete, por lo que los
eventos que superan esta cantidad quedan truncados.
Las entradas de syslog contienen información sobre el propio dispositivo (el proveedor, el nombre de
producto y la versión), la gravedad del evento y la fecha en la que el evento se ha producido. La tabla
proporciona información sobre algunos de los campos más comunes de McAfee DLP Prevent que
aparecen en las entradas del syslog.
Los eventos de mensaje SMTP pueden incluir el remitente y el destinatario, el asunto y las direcciones
IP de origen y destino. Cada intento de enviar un mensaje genera al menos una entrada en el registro.
Si el mensaje incluye contenido que infringe una directiva de prevención de fuga de datos, se agrega
otra entrada al registro. En caso de introducirse dos entradas al registro, ambas contienen el número de
McAfeeDLPOriginalMessageID correspondiente.
Tabla 12-1 Definiciones de entrada de registro de syslog
Campo
Definición
act
Acción de McAfee DLP tomada a raíz del evento
app
Nombre del proceso que generó el evento
msg
Mensaje descriptivo del evento, por ejemplo, El disco RAID está en
estado de reconstrucción
dvc
Host en el que ha ocurrido el evento
dst
Dirección IP de destino si la conexión está disponible
dhost
Nombre de host de destino si la conexión está disponible
McAfee Data Loss Prevention 10.0.100
Guía del producto
237
12
Registro y supervisión en McAfee DLP Prevent
Generación de informes de eventos
Tabla 12-1 Definiciones de entrada de registro de syslog (continuación)
Campo
Definición
src
Dirección IP de origen del host que realiza la conexión
shost
Nombre de host de origen del host que realiza la conexión
suser
Remitente del correo electrónico
duser
Lista de las direcciones de correo electrónico de los destinatarios
sourceServiceName
Nombre de la directiva activa
filePath
Nombre del archivo en el que se ha producido la detección
Campo
ID único asignado a cada mensaje de correo electrónico
rt
Hora en la que se produjo el evento en milisegundos desde el Epoch
flexNumber1
ID asignado al motivo del evento
McAfeeDLPOriginalSubject
Línea de asunto original del mensaje
McAfeeDLPOriginalMessageId
Número de ID original asignado al mensaje
McAfeeDLPProduct
Nombre del producto de McAfee DLP que detectó el evento
McAfeeDLPHardwareComponent Nombre del appliance de hardware de McAfee DLP que detectó el
evento
McAfeeEvidenceCopyError
Ha habido un problema al copiar la prueba
McAfeeDLPClassificationText
Información sobre las clasificaciones de McAfee DLP
campos cs
Las entradas cs del syslog se comportan según el valor del campo cs5:
Valor
Definición
cs1
Si cs5 es 'DL' o 'DPA': el archivo que activó la regla de DLP
Si cs5 es 'AR': la regla de bloqueo de retransmisión que activó el evento
cs2
Si cs5 es 'DP' o 'DPA': las categorías DLP que se activaron
cs3
Si cs5 es 'DP': las categorías DLP que se activaron
cs4
Datos adjuntos del correo electrónico (si están disponibles)
cs5
Para un evento de detección, el analizador que activó el evento: 'DL' - Data Loss Prevention
cs6
Asunto del correo electrónico
cs1Label Si cs5 es 'DP' o 'DPA': 'dlpfile'
Si cs5 es 'AR': 'antirelay-rule'
cs2Label Si cs5 es 'DP' o 'DPA': 'dlp-rules'
cs3Label Si cs5 es 'DP': dlpclassification'
cs4Label email-attachments
cs5Label master-scan-type
cs6Label email-subject
238
McAfee Data Loss Prevention 10.0.100
Guía del producto
Registro y supervisión en McAfee DLP Prevent
Supervisión del estado y el mantenimiento del sistema
12
Supervisión del estado y el mantenimiento del sistema
Utilice el panel Administración de appliances de McAfee ePO para gestionar sus appliances, ver el estado de
mantenimiento del sistema y obtener información detallada sobre las alertas.
Panel de Administración de appliances
El panel de Administración de appliances combina la vista de árbol de los Appliances, las tarjetas de
Mantenimiento del sistema, las Alertas y los paneles de Detalles.
El panel muestra la siguiente información para todos los appliances administrados.
•
Una lista de los appliances de McAfee DLP Prevent
•
Indicadores que muestran si un appliance necesita atención
•
Información detallada sobre cualquier problema detectado
La barra de información incluye el nombre del appliance, el número de alertas notificadas actualmente
y otra información específica del appliance sobre el que se ha informado.
Tarjetas de mantenimiento del sistema
Las tarjetas de mantenimiento del sistema muestran el estado, las alertas y las notificaciones que le
ayudan a administrar todos los appliances de McAfee virtuales y físicos que tiene en su red.
Las tarjetas de mantenimiento del sistema de los appliances de McAfee DLP Prevent muestran la
siguiente información.
Panel
Información
Estado del • Pruebas en espera: número de archivos que se encuentra a la espera de ser copiados en el
sistema
almacén de pruebas. El tamaño de la cola se actualiza en tiempo real.
• Mensajes de correo electrónico: número de mensajes que han sido entregados, rechazados
permanente o temporalmente, o que no se han podido analizar. Los contadores muestran
datos de los 60 segundos anteriores.
• Solicitudes web: número de solicitudes web recibidas y número de solicitudes web que no se
han podido analizar. Los contadores muestran datos de los 60 segundos anteriores.
• Uso de la CPU: uso total de la CPU.
• Memoria: índice de intercambio de memoria.
• Disco: porcentaje de uso del disco.
• Red: interfaces de red del appliance que muestran información sobre los datos recibidos y
transmitidos. Los contadores muestran datos de los 60 segundos anteriores.
Alertas
Muestra errores o advertencias relacionados con:
• Estos del mantenimiento del sistema
• Tamaño de cola de pruebas
• Implementación de directivas
• Comunicación entre McAfee ePO y McAfee DLP Prevent
Puede obtener más información sobre una alerta en el panel Detalles.
McAfee Data Loss Prevention 10.0.100
Guía del producto
239
12
Registro y supervisión en McAfee DLP Prevent
Supervisión del estado y el mantenimiento del sistema
Ver el estado de un appliance
Puede averiguar si un appliance está funcionando correctamente o necesita atención viendo la
información de Administración de appliances.
Procedimiento
1
Inicie sesión en McAfee ePO.
2
En el menú, seleccione Administración de appliances de la sección Sistemas.
3
Desde la vista de árbol Appliances, expanda la lista de appliances hasta que encuentre el appliance
que desea ver.
La información sobre los estados y alertas está disponible en la Ayuda en línea para la
Administración de appliances.
Descargar archivos MIB y SMI
Descargar los archivos MIB y SMI para ver las capturas y los contadores SNMP que están disponibles
en el appliance.
Para obtener más información sobre el funcionamiento del appliance con SNMP, consulte la Ayuda en
línea de la Extensión de administración de appliances de McAfee.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
240
1
Vaya a https://<APPLIANCE>:10443/mibs.
2
Descargue los archivos MCAFEE-SMI.txt y MCAFEE-DLP-PREVENT-MIB.txt en el idioma en el que
desee ver la información.
3
Importe los archivos MIB y SMI a su software de supervisión de red.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de
problemas
Utilice la herramienta de diagnóstico de McAfee DLP para solucionar
problemas con McAfee DLP Endpoint para clientes Windows. Utilice la
consola del appliance de McAfee DLP Prevent para acceder a las opciones de
solución de problemas y mantenimiento.
Capítulo 13
Capítulo 14
Diagnóstico de McAfee DLP Endpoint
Mantenimiento y resolución de problemas en McAfee DLP Prevent
McAfee Data Loss Prevention 10.0.100
Guía del producto
241
Mantenimiento y resolución de problemas
242
McAfee Data Loss Prevention 10.0.100
Guía del producto
13
Diagnóstico de McAfee DLP Endpoint
Utilice la herramienta de diagnóstico de McAfee DLP Endpoint para solucionar problemas y supervisar
el estado del sistema.
Herramienta de diagnóstico
La herramienta de diagnóstico está diseñada para facilitar la resolución de problemas de McAfee DLP
Endpoint en equipos endpoint de Microsoft Windows. No se admitirá en los equipos Mac OS X.
La herramienta de diagnóstico reúne información sobre el rendimiento del software cliente. El equipo
de TI utiliza esta información para solucionar problemas y ajustar directivas. Cuando existen
problemas graves, se puede utilizar para recopilar datos para que los analice el equipo de desarrollo
de McAfee DLP.
La herramienta se distribuye como una utilidad que se instala en equipos con problemas. Consta de
siete páginas con fichas, cada una destinada a un aspecto diferente del funcionamiento del software
McAfee DLP Endpoint.
En todas las páginas que muestran información en tablas (todas excepto General information
[Información general] y Tools [Herramientas]), puede ordenar las tablas por cualquier columna,
haciendo clic en el encabezado de la columna deseada.
General information
(Información general)
Recopila datos como, por ejemplo, si se están ejecutando los procesos y
controladores del agente, así como la directiva general, el agente e
información de registro. Cuando se detecta un error, se muestra información
sobre este.
DLPE Modules (Módulos
de DLPE)
Muestra la configuración del agente (como en la consola de directivas de
McAfee DLP Endpoint, igual que en Configuración de los agentes | Varios).
Muestra el ajuste y el estado de configuración de cada módulo,
complemento y controlador. Al seleccionar un módulo, se muestran detalles
que pueden ayudarle a determinar los problemas.
Data Flow (Flujo de
datos)
Muestra el número de eventos y la memoria utilizada por el cliente de
McAfee DLP Endpoint, así como información de los eventos cuando se
selecciona uno específico.
Tools (Herramientas)
Permite llevar a cabo varias pruebas y muestra los resultados. En caso
necesario, se realiza un volcado de datos para su posterior análisis.
Process list (Lista de
procesos)
Muestra todos los procesos que se están ejecutando actualmente en el
equipo. Al seleccionar un proceso, se muestran detalles y los títulos de
ventana y definiciones de aplicaciones relacionados.
McAfee Data Loss Prevention 10.0.100
Guía del producto
243
13
Diagnóstico de McAfee DLP Endpoint
Herramienta de diagnóstico
Devices (Dispositivos)
Muestra todos los dispositivos Plug and Play y extraíbles actualmente
conectados al equipo. Al seleccionar un dispositivo, se muestran detalles del
dispositivo y las definiciones de dispositivos relacionadas.
Muestra todas las reglas de control de dispositivos activos y las definiciones
importantes de las definiciones de dispositivos.
Active policy (Directiva
activa)
Muestra todas las reglas incluidas en la directiva activa y las definiciones de
directivas relevantes. Al seleccionar una regla o definición, se muestran los
detalles.
Comprobación del estado del agente
Utilice la ficha de información general para obtener una descripción general del estado del agente.
La información en la ficha de información general está diseñada para confirmar las expectativas y
responder a preguntas básicas. ¿Se están ejecutando los procesos y controladores del agente? ¿Qué
versiones de productos están instaladas? ¿Cuáles son el modo de funcionamiento y la directiva
actuales?
Procesos y controladores del agente
Una de las cuestiones más importantes en la solución de problemas es: "¿Funciona todo como
debería?" Las secciones Procesos y controladores del agente responden a esto de un vistazo. Las
casillas de verificación muestran si el proceso está activado; el punto de color muestra si se está
ejecutando. Si el proceso o controlador están desactivados, el cuadro de texto proporciona
información sobre cuál es el problema.
La memoria máxima predeterminada es 150 MB. Un valor alto para este parámetro puede indicar
problemas.
Tabla 13-1 Procesos del agente
Término Proceso
Estado esperado
Fcag
Agente de McAfee DLP Endpoint (cliente)
activado; en ejecución
Fcags
Servicio de agente McAfee DLP Endpoint
activado; en ejecución
Fcagte
Extractor de texto de McAfee DLP Endpoint
activado; en ejecución
Fcagwd
Vigilancia del servicio de McAfee DLP Endpoint
activado; en ejecución
Fcagd
Agente de McAfee DLP Endpoint con volcado
automático
solo activado para solucionar
problemas
Tabla 13-2 Controladores
244
Término Proceso
Estado esperado
Hdlpflt
activado; en ejecución
Controlador de minifiltro de McAfee DLP Endpoint
(implementa reglas de dispositivos de almacenamiento
extraíbles)
Hdlpevnt Evento de McAfee DLP Endpoint
activado; en ejecución
Hdlpdbk
Controlador de filtro de dispositivos de McAfee DLP
Endpoint (implementa reglas de dispositivos Plug and
Play)
se puede desactivar en la
configuración
Hdlpctrl
Control de McAfee DLP Endpoint
activado; en ejecución
Hdlhook
Controlador de interceptación de McAfee DLP Endpoint
activado; en ejecución
McAfee Data Loss Prevention 10.0.100
Guía del producto
Diagnóstico de McAfee DLP Endpoint
Herramienta de diagnóstico
13
Sección de información del agente
Las opciones Modo de funcionamiento y Estado del agente deben coincidir. El indicador Conectividad
del agente, junto con la dirección de EPO, pueden resultar útiles para solucionar problemas.
Conectividad del agente tiene tres opciones: en línea, fuera de línea o con conexión por VPN.
Ejecutar la herramienta de diagnóstico
La herramienta de diagnóstico proporciona a los equipos de TI información detallada sobre el estado
del agente.
Antes de empezar
®
La herramienta de diagnóstico requiere autenticación con McAfee Help Desk.
Procedimiento
1
Haga doble clic en el archivo hdlpDiag.exe.
Se abre una ventana de autenticación.
2
Copie el código de identificación en el cuadro de texto Código de identificación de Help Desk en la
página Generar clave de omisión de cliente de DLP. Complete el resto de la información y cree un código de
autorización.
3
Copie el código de autorización en el cuadro de texto Código de validación de la ventana de
autenticación y haga clic en Aceptar.
Se abre la herramienta de diagnóstico.
Las fichas General Information (Información general), DLPE Modules (Módulos de DLPE) y Process List
(Lista de procesos) disponen de un botón Refresh (Actualizar) en la esquina inferior derecha. Los
cambios que se producen cuando hay una ficha abierta no actualizan la información de dichas fichas
automáticamente. Haga clic en el botón Refresh (Actualizar) con frecuencia para asegurarse de que está
visualizando los datos más actuales.
Ajuste de directivas
La herramienta de diagnóstico puede utilizarse para solucionar problemas o ajustar las directivas.
Caso práctico: Uso alto de la CPU
En ocasiones, los usuarios pueden verse afectados por un rendimiento lento cuando se
implementa una directiva nueva. Una posible causa es el uso alto de la CPU. Para
determinarlo, vaya a la ficha Process List (Lista de procesos). Si ve más eventos de lo
normal para un proceso, podría ser el problema. Por ejemplo, una comprobación reciente
detectó que taskmgr.exe se clasificó como Editor y contaba con el segundo mayor número
total de eventos. Es muy poco probable que esta aplicación esté perdiendo datos y el
cliente de McAfee DLP Endpoint no tiene que supervisarla tan de cerca.
Para probar la teoría, cree una plantilla de aplicación. En el catálogo de directivas, vaya a
Directiva de DLP | Configuración y defina una omisión para el valor De confianza. Aplique
la directiva y pruebe si el rendimiento ha mejorado.
McAfee Data Loss Prevention 10.0.100
Guía del producto
245
13
Diagnóstico de McAfee DLP Endpoint
Herramienta de diagnóstico
Caso práctico: Creación de una clasificación de contenido eficaz y de criterios de
identificación por huellas digitales de contenido
El marcado de datos confidenciales constituye el aspecto central de una directiva de
protección de datos. La herramienta de diagnóstico muestra información que le ayudara a
diseñar una clasificación de contenido y criterios de identificación por huellas digitales de
contenido eficaces. Las etiquetas pueden demasiado estrictas, lo que omitiría datos que
también deberían etiquetarse, o demasiado dispersa, lo que generaría falsos positivos.
La página Active Policy (Directiva activa) enumera las clasificaciones, así como los criterios
de clasificación de contenido y de identificación por huellas digitales de contenido. La
página Data Flow (Flujo de datos) enumera todas las etiquetas aplicadas por la directiva, y
el recuento de cada una. Cuando los recuentos son superiores a lo esperado, puede que
existan falsos positivos. En un caso particular, un recuento extremadamente alto permitió
descubrir que el texto de renuncia activó la clasificación. Al agregar la renuncia a la lista
blanca se eliminaron los falsos positivos. En la misma línea, si un recuento es muy inferior
a lo esperado, se puede deducir que existe una clasificación demasiado estricta.
Si se etiqueta un archivo nuevo mientras la herramienta de diagnóstico está en
funcionamiento, se muestra la ruta del archivo en el panel de detalles. Utilice esta
información para localizar los archivos para realizar pruebas.
246
McAfee Data Loss Prevention 10.0.100
Guía del producto
14
Mantenimiento y resolución de
problemas en McAfee DLP Prevent
Utilice la consola del appliance para las tareas de mantenimiento general, como cambiar la
configuración de red y la realización de actualizaciones de software.
Se encuentran disponibles opciones de solución de problemas, comprobaciones de integridad y
mensajes de error para ayudarle a identificar y resolver los problemas con los appliances de McAfee
DLP Prevent.
Contenido
Administrar con la consola del appliance de McAfee DLP Prevent
Acceso a la consola del appliance
Cambiar la configuración original de la red
Modificar la velocidad y la configuración del dúplex para appliances de hardware
Administración de appliances de hardware con el RMM
Actualizar o reinstalar desde la imagen de instalación interna
Reinicie el appliance
Restablecer los valores predeterminados de fábrica del appliance
Cerrar sesión en el appliance
McAfee DLP Prevent no acepta correos electrónicos
Sustitución del certificado por defecto
Mensajes de error
Crear un informe de escalación mínima (MER)
Administrar con la consola del appliance de McAfee DLP
Prevent
Utilice credenciales de administrador para abrir la consola del appliance y editar la configuración de
red que haya introducido en el Asistente de instalación y llevar a cabo otras tareas de mantenimiento
y solución de problemas.
Tabla 14-1 Opciones de menú de la consola del appliance
Opción
Definición
Graphical configuration wizard Abre el asistente de configuración gráfica.
Si inicia sesión mediante SSH, la opción del asistente de configuración
gráfica no estará disponible.
Shell
Abre el shell del appliance.
Enable/Disable SSH
Activa o desactiva el SSH como método de conexión al appliance.
McAfee Data Loss Prevention 10.0.100
Guía del producto
247
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Acceso a la consola del appliance
Tabla 14-1 Opciones de menú de la consola del appliance (continuación)
Opción
Definición
Generate MER
Crea un informe de escalación mínima (MER) que enviará al soporte técnico
de McAfee para que diagnostique los problemas del appliance.
Power down
Cierra el appliance.
Reboot
Reinicia el appliance.
Rescue Image
Crea una imagen de rescate desde la cual se puede arrancar el appliance.
Reset to factory defaults
Restablece los valores predeterminados de fábrica del appliance.
Change password
Cambia la contraseña de la cuenta de administrador.
Logout
Cierra sesión en el appliance principal.
Acceso a la consola del appliance
La consola del appliance permite realizar varias tareas de mantenimiento. Existen distintas formas de
acceder a la consola según el tipo de appliance que tenga.
Tabla 14-2 Métodos de acceso a la consola
Método
Appliance virtual
Appliance de hardware
SSH
X
X
Cliente de vSphere
X
KVM local (teclado, monitor y ratón)
X
RMM
X
Puerto serie
X
Cambiar la configuración original de la red
Puede utilizar el asistente de configuración gráfica para cambiar la configuración de la red que
especificó durante el proceso de instalación.
Procedimiento
1
Inicie sesión en el appliance con credenciales de administrador.
Si inicia sesión mediante SSH, la opción del asistente de configuración gráfica no estará disponible.
248
2
Abra el asistente de configuración gráfica.
3
Edite la configuración del Programa de instalación de red básica que desee cambiar.
4
Haga clic en Finalizar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Modificar la velocidad y la configuración del dúplex para appliances de hardware
14
Modificar la velocidad y la configuración del dúplex para
appliances de hardware
De forma predeterminada, las interfaces de red están configuradas para la negociación automática.
Utilice la línea de comandos para cambiar la velocidad y la configuración del dúplex.
Procedimiento
1
Mediante una sesión de línea de comandos, inicie sesión en el appliance.
2
En el menú Opciones, seleccione la opción Shell.
3
Consulte la ayuda sobre la formación del comando.
$ /opt/NETAwss/mgmt/nic_options -?
4
•
Utilice lan1 para la interfaz del cliente y mgmt para la interfaz de administración.
•
--(no)autoneg activa o desactiva la negociación automática. De forma predeterminada, esta
opción está activada.
•
--duplex especifica el dúplex (medio o completo). El valor predeterminado es completo.
•
--speed especifica la velocidad de la red en Mb/s (0, 100 o 1000). El valor predeterminado es
1000.
•
--mtu especifica el tamaño de la unidad de transmisión máxima (MTU) en bytes (valor entre
576 y 1500). El valor predeterminado es 1500.
Escriba el comando para cambiar la configuración. Ejemplos:
•
Para desactivar la negociación automática y establecer una velocidad de red de 100 Mb/s en la
interfaz del cliente:
$ sudo /opt/NETAwss/mgmt/nic_options --noautoneg --speed 100 lan1
•
Para restaurar el comportamiento predeterminado del puerto de administración:
$ sudo /opt/NETAwss/mgmt/nic_options mgmt
Administración de appliances de hardware con el RMM
Utilice el RMM, también conocido como "controlador de administración de placa base" (BMC), para
administrar un appliance de hardware de forma remota. El RMM no está disponible en los appliances
virtuales.
Utilice la consola del appliance para activar y realizar la configuración básica del RMM. Tras configurar
los ajustes de red del RMM, también puede acceder a la consola del appliance mediante el servidor
web integrado. En la interfaz web, puede comprobar el estado del hardware, realizar una configuración
adicional y gestionar el appliance de forma remota. Vaya a:
https://<dirección IP del RMM>
Utilice las credenciales de administrador del appliance para acceder a la interfaz de usuario. Puede
configurar el RMM para utilizar el LDAP para la autenticación en lugar de la cuenta de administrador.
De forma predeterminada, están activados todos los protocolos utilizados para acceder al RMM:
•
HTTP/HTTPS
•
SSH
McAfee Data Loss Prevention 10.0.100
Guía del producto
249
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Administración de appliances de hardware con el RMM
•
IPMI a través de LAN
•
KVM remota
Configuración del RMM
Configure los ajustes de red y protocolos que utiliza el RMM.
Procedimiento
1
Inicie sesión en el appliance con la consola.
2
En el menú de consola, seleccione Configure the BMC (Configurar el BMC).
3
Lleve a cabo una de estas tareas.
•
•
Para configurar la información de red:
1
Seleccione Configure the address (Configurar la dirección).
2
Escriba la dirección IP, la máscara de red y la gateway opcional. Use las flechas de arriba y
abajo para desplazarse por las opciones.
3
Pulse Intro o seleccione OK (Aceptar) para guardar los cambios.
Para configurar los protocolos admitidos:
1
Seleccione Configure remote protocols (Configurar protocolos remotos).
2
Pulse la barra espaciadora para activar o desactivar una opción. Use las flechas de arriba y
abajo para desplazarse por las opciones.
3
Pulse Intro o seleccione OK (Aceptar) para guardar los cambios.
Utilice la cuenta y la contraseña de administrador para iniciar sesión en el appliance utilizando el RMM.
Ejecutar al Asistente de instalación mediante el servicio de KVM
remoto
Si no dispone de acceso local al teclado, el monitor y el ratón para ejecutar al Asistente de instalación,
puede hacerlo mediante la interfaz web RMM.
Procedimiento
1
Utilice un navegador web e inicie sesión en https://<RMM dirección IP>.
2
Haga clic en la ficha Control remoto.
3
Haga clic en Iniciar consola.
4
Con algunos navegadores, puede que tenga que descargarse la aplicación de consola remota. En
este caso, descargue y abra el archivo jviewer.jnlp.
5
Desde el shell de administración, seleccione Asistente de configuración gráfica.
Práctica recomendada: proteger el RMM
Proteja su entorno RMM para evitar que usuarios no autorizados accedan al appliance.
250
•
Asegúrese de que el firmware RMM está actualizado.
•
Conecte el puerto RMM a una VLAN o red física específica y protegida.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Actualizar o reinstalar desde la imagen de instalación interna
14
•
Desactive los protocolos que no se utilicen. Únicamente HTTP/HTTPS y el servicio de KVM remoto
deben configurar de forma remota el appliance.
•
Si los appliances utilizan RMM4, asegúrese de que están configurados para forzar el uso de HTTPS.
La interfaz web y la consola del appliance muestran el tipo de RMM que utiliza el appliance: RMM3 o
RMM4.
Desde la interfaz web, haga clic en la ficha Configuration (Configuración), seleccione Security Settings
(Configuración de seguridad) y, a continuación, seleccione la opción Force HTTPS (Forzar HTTPS).
•
Cambie de forma periódica la contraseña de administrador.
Actualizar o reinstalar desde la imagen de instalación interna
McAfee DLP Prevent contiene una partición con una imagen de instalación interna que puede utilizar
para actualizar o reinstalar el appliance.
Utilice la opción de ampliar en el menú de la consola para realizar estas acciones.
•
actualizar, utilizar una versión anterior o volver a instalar el appliance desde la imagen de
instalación.
Si se utiliza una versión anterior, no se conservará la configuración ni el registro de McAfee ePO.
•
Actualice la imagen de instalación con una versión anterior o posterior del software de McAfee DLP
Prevent mediante medios externos. Estos métodos son compatibles con el archivo de imagen ISO
de McAfee DLP Prevent.
•
Unidad USB: Cree una unidad USB de arranque o copie el archivo ISO en la unidad.
Es posible utilizar unidades USB con formato Windows o Linux.
No se admite el formato de sistema de archivos exFAT de Windows.
•
•
CD: Grabe un CD de arranque y utilice una unidad de CD con USB. Para los dispositivos 4400,
puede utilizar la unidad de CD incorporada.
•
CD virtual: Enlace el archivo ISO con el CD virtual en un entorno ESX o utilice el RMM para
dispositivos de hardware.
•
SCP: Utilice la copia protegida para copiar el archivo ISO y actualice la imagen de instalación
interna.
Cree una unidad USB que contenga la imagen de instalación actual.
Al crear la imagen USB, se eliminan todos los datos de la unidad USB.
•
Vea la versión o el estado de la imagen de instalación.
Procedimiento
1
Mediante una sesión de línea de comandos, inicie sesión en el appliance.
2
En el menú de la consola, seleccione Actualizar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
251
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Reinicie el appliance
3
Realice una de estas tareas.
•
Ampliar o reinstalar:
1
Seleccione Arranque a partir de la imagen de instalación interna.
2
Seleccione una de estas opciones:
•
Completo: Mantiene todas las opciones de configuración, incluidos los archivos de pruebas y
el resaltado de coincidencias que se van a copiar en el recurso compartido de
almacenamiento de pruebas.
•
Config: Mantiene todas las opciones de configuración, pero no conserva los archivos de
pruebas o el resaltado de coincidencias que se van a copiar.
•
Básica: Mantiene solo las opciones de configuración de red y el registro de McAfee ePO.
•
Reinstalar: Vuelve a instalar sin conservar ninguna opción de configuración. Debe utilizar el
Asistente de instalación para registrarse con McAfee ePO.
Si va a instalar una versión anterior a la que está instalada actualmente, se mostrará una
advertencia de que solo puede llevar a cabo la reinstalación.
3
Seleccione Sí.
El appliance se reiniciará e instalará.
•
Para actualizar la imagen de instalación desde una unidad de CD o USB:
1
Inserte el dispositivo en el appliance.
2
Seleccione Actualizar la imagen de instalación interno desde un dispositivo externo.
3
Compruebe que el dispositivo externo se ha identificado correctamente en la lista.
Si se detectan varios archivos ISO, deben seleccionarse todos los archivos de la lista.
4
Seleccione la imagen y el dispositivo ISO y, a continuación, seleccione Sí.
•
Para actualizar la imagen de instalación mediante SCP, utilice una sesión de línea de comandos
o una utilidad como WinSCP para copiar el archivo en /inicio/admin/subir/iso.
•
Para crear una unidad USB que contenga la imagen de instalación:
•
1
Inserte la unidad USB en el appliance.
2
Seleccione Copiar la imagen de instalación interna en un dispositivo de memoria flash USB.
3
Seleccione Sí.
Para ver información sobre la última vez que se utilizó la imagen de instalación y la versión
cargada actualmente en la imagen de instalación, seleccione Mostrar detalles de la imagen de instalación
interna.
Reinicie el appliance
Apague y reinicie McAfee DLP Prevent.
Procedimiento
252
1
Inicie sesión en el appliance con credenciales de administrador.
2
En el menú general de la consola, seleccione Reiniciar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Restablecer los valores predeterminados de fábrica del appliance
14
Restablecer los valores predeterminados de fábrica del
appliance
Restablezca la configuración original del appliance.
Tendrá que volver a configurar los valores de configuración de red.
Procedimiento
1
Inicie sesión en el appliance con credenciales de administrador.
Se abrirá el menú general de la consola.
2
En el menú general de la consola, pulse la opción Restablecer valores predeterminados de
fábrica.
Cerrar sesión en el appliance
Cierre la sesión iniciada y vuelva al mensaje de inicio de sesión.
Procedimiento
1
Inicie sesión en el appliance con credenciales de administrador.
Se abrirá el menú general de la consola.
2
En el menú general de la consola, pulse la opción Cerrar sesión.
Puede que se cierre la sesión SSH o que la consola vuelva al mensaje de inicio de sesión.
McAfee DLP Prevent no acepta correos electrónicos
Si no está configurado un Host inteligente, McAfee DLP Prevent no puede aceptar mensajes de correo
electrónico porque no tiene ningún lugar al que pueda enviarlos.
McAfee DLP Prevent presenta el error Problema del sistema 451: Vuelva a intentarlo más tarde. (no se
ha configurado ningún Host inteligente) y cierra la conexión.
Puede comprobar si McAfee DLP Prevent puede aceptar correos electrónicos usando telnet. Si el
appliance está configurado correctamente, aparece un mensaje de bienvenida 220:
220 host.dominio.ejemplo PVA/SMTP listo
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
•
Para resolver un problema de conexión, debe:
a
Instalar las extensiones necesarias en McAfee ePO.
b
Registrar el appliance con un servidor de McAfee ePO.
Siga los pasos de la Ayuda del Asistente de instalación de McAfee DLP Prevent.
c
Configure al menos un servidor DNS en la directiva Ajustes generales de administración de appliances.
Consulte la sección Configuración de la configuración general de la Ayuda en línea de la
Extensión de administración de appliances.
McAfee Data Loss Prevention 10.0.100
Guía del producto
253
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Sustitución del certificado por defecto
d
Configure un Host inteligente en la categoría de directiva Configuración de correo electrónico de McAfee
DLP Prevent.
e
Aplique una directiva de McAfee Data Loss Prevention.
Consulte la sección de asignación de directivas de la ayuda en línea de McAfee ePolicy
Orchestrator.
Véase también
Uso de las directivas de McAfee DLP Prevent en la página 80
Sustitución del certificado por defecto
Si su configuración de Email Gateway no acepta el certificado autofirmado por defecto, puede sustituir
el certificado para TLS con otro certificado firmado.
Los formatos de certificado admitidos para los certificados firmados de PKI son:
•
PKCS#12(.p12/.pfx)
•
Certificados de cadena con codificación PEM
Utilice los siguientes pasos para instalar un certificado firmado de PKI.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Mediante una sesión de línea de comandos, inicie sesión en el appliance.
2
Active SSH si todavía no lo está.
3
Copie el certificado al appliance:
•
Utilice una utilidad como WinSCP para copiar un certificado descifrado a /inicio/admin/subir/
cert. El certificado se instala automáticamente.
•
En el shell del appliance, escriba el siguiente comando para instalar un certificado cifrado en
cualquier ubicación con acceso de escritura para el usuario (que no sea /inicio/admin/subir/
cert).
/opt/NETAwss/mgmt/import_ssl_cert "--file" <encrypted-certificate> --passphrase
<passphrase>
4
En McAfee ePO, seleccione Catálogo de directivas | Producto | Servidor de DLP Prevent | Configuración de correo
electrónico y active TLS.
Si el certificado no se ha podido instalar, se indicará el motivo detallado en el syslog y se mostrará una
descripción breve en el registro de eventos de clientes de McAfee ePO.
Véase también
Eventos de McAfee DLP Prevent en la página 235
Uso del syslog con McAfee DLP Prevent en la página 237
254
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Mensajes de error
14
Mensajes de error
Si el appliance no está configurado correctamente, trata de identificar el problema y envía un mensaje
de error temporal o permanente.
El texto entre paréntesis del mensaje de error proporciona información adicional sobre el problema.
Algunos mensajes de error retransmiten la respuesta del Host inteligente, de manera que la respuesta
de McAfee DLP Prevent contiene la dirección IP, que viene indicada por x.x.x.x.
Por ejemplo, el error 442 192.168.0.1: Conexión rechazada indica que el Host inteligente con la
dirección 192.168.0.1 no ha aceptado la conexión SMTP.
Tabla 14-3 Mensajes de errores temporales
Texto
Causa
Acción recomendada
451 (el sistema no se
ha registrado con un
servidor de ePO)
No se ha completado la instalación
inicial.
Registre el appliance con un servidor
de McAfee ePO mediante la opción
Asistente de configuración gráfica de la
consola del appliance.
451 (no se ha
configurado ningún
servidor DNS)
La configuración aplicada desde
McAfee ePO no ha especificado
ningún servidor DNS.
Configure al menos un servidor DNS
en la categoría General de la directiva
Ajustes generales del appliance.
451 (no se ha
configurado ningún
Host inteligente)
La configuración aplicada desde
McAfee ePO no ha especificado
ningún Host inteligente.
Configure un Host inteligente en la
categoría de directiva Configuración de
correo electrónico.
451 (el archivo de
directivas OPG no se
encuentra en la
ubicación configurada)
La configuración aplicada desde
McAfee ePO estaba incompleta.
• Asegúrese de que se instala la
extensión de Data Loss Prevention.
• Configure una directiva de Data Loss
Prevention.
• Póngase en contacto con el
representante del soporte técnico. El
archivo de configuración OPG debe
aplicarse con el archivo de directivas
OPG.
451 (el archivo de
configuración OPG no
se encuentra en la
ubicación configurada)
La configuración aplicada desde
McAfee ePO estaba incompleta.
• Asegúrese de que se instala la
extensión de Data Loss Prevention.
• Configure una directiva de Data Loss
Prevention.
• Póngase en contacto con el
representante del soporte técnico. El
archivo de configuración OPG debe
aplicarse con el archivo de directivas
OPG.
McAfee Data Loss Prevention 10.0.100
Guía del producto
255
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Mensajes de error
Tabla 14-3 Mensajes de errores temporales (continuación)
Texto
Causa
451 (falta configuración Este error se produce cuando se
del servidor LDAP)
cumplen estas dos condiciones:
• McAfee DLP Prevent contiene una
regla que especifica un remitente
como miembro de un grupo de
usuarios LDAP.
Acción recomendada
Compruebe que el servidor LDAP está
seleccionado en la categoría de
directiva Usuarios y grupos.
• McAfee DLP Prevent no está
configurado para recibir
información de grupo desde el
servidor LDAP que contiene ese
grupo de usuarios.
451 (error al resolver
la directiva basada en
el remitente)
Una directiva contiene condiciones
del remitente LDAP, pero no puede
obtener la información del servidor
LDAP porque:
Compruebe que el servidor LDAP está
disponible.
• McAfee DLP Prevent y el servidor
LDAP no se han sincronizado.
• El servidor LDAP no responde.
442 x.x.x.x: Conexión
rechazada
McAfee DLP Prevent no pudo
Compruebe que el Host inteligente
conectarse al Host inteligente para
puede recibir correos electrónicos.
enviar el mensaje o se pierde la
conexión al Host inteligente durante
una conversación.
Tabla 14-4 Mensajes de errores permanentes
Error
Causa
Acción
550 (el host/dominio no
está permitido)
McAfee DLP Prevent ha rechazado la
conexión del MTA de origen.
Compruebe que el MTA se
encuentra en la lista de hosts
permitidos en la categoría de
directiva Configuración de correo
electrónico.
550 x.x.x.x: Denegado por El Host inteligente no ha aceptado un Compruebe la configuración de
la directiva. Conversación comando STARTTLS, pero McAfee DLP TLS en el host.
TLS requerida
Prevent está configurado para enviar
el correo electrónico en todo
momento a través de una conexión
TLS.
256
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Crear un informe de escalación mínima (MER)
14
Tabla 14-5 Mensajes de error de ICAP
Error
Causa
Acción
500 (falta
configuración del
servidor LDAP)
Este error se produce cuando se cumplen estas dos Compruebe que el
condiciones:
servidor LDAP está
seleccionado en la
• McAfee DLP Prevent contiene una regla que
categoría de directiva
especifica un usuario final como miembro de un
Usuarios y grupos.
grupo de usuarios LDAP.
• McAfee DLP Prevent no está configurado para
recibir información de grupo desde el servidor
LDAP que contiene ese grupo de usuarios.
500 (error al resolver
la directiva basada en
el usuario final)
Una directiva contiene condiciones del remitente
LDAP, pero no puede obtener la información del
servidor LDAP porque:
Compruebe que el
servidor LDAP está
disponible.
• McAfee DLP Prevent y el servidor LDAP no se han
sincronizado.
• El servidor LDAP no responde.
Crear un informe de escalación mínima (MER)
Cree un informe de escalación mínima para facilitar al servicio técnico de McAfee la información
necesaria para diagnosticar un problema con McAfee DLP Prevent.
El informe de escalación mínima está disponible en una dirección URL del servidor de McAfee DLP
Prevent. Hasta cinco informes pueden estar disponibles al mismo tiempo. Cada uno de ellos se
eliminará después de 24 horas. Puede tardar varios minutos para generar un informe de escalación
mínima, cuyo tamaño será de varios megabytes.
En ocasiones, podría tardar más tiempo en generar un informe.
El informe contiene información, como registros de hardware, versiones de software, uso de memoria
y espacio en disco, información del sistema y la red, archivos abiertos, procesos activos, IPC, archivos
binarios, informes, imágenes de rescate y pruebas del sistema.
El informe no contiene información de la prueba ni del resaltado de coincidencias.
Práctica recomendada: Cuando cree un informe de escalación mínima, especifique una contraseña
para proteger el informe. No olvide incluir la contraseña cuando envíe el informe al servicio técnico de
McAfee.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1
Inicie sesión en el appliance con credenciales de administrador.
Se abrirá el menú general de la consola.
2
Utilice la tecla de la flecha hacia abajo para seleccionar Generate MER (Generar MER).
3
Escriba una contraseña que puede utilizar el servicio de soporte técnico de McAfee para abrir el
MER y utilice la tecla de la flecha para pasar al campo de confirmación de la contraseña.
McAfee Data Loss Prevention 10.0.100
Guía del producto
257
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Crear un informe de escalación mínima (MER)
4
Pulse INTRO para empezar a generar el informe.
Cuando el informe esté listo, recibirá una notificación con la dirección URL (https://<APPLIANCE>:
10443/mer) desde la que se podrá descargar el informe.
5
Vaya a la dirección URL y seleccione el informe de escalación mínima que desea descargar.
Hasta cinco informes están disponibles al mismo tiempo. Si se genera otro informe, se elimina el
informe más antiguo.
6
Siga las instrucciones del servicio de soporte técnico de McAfee para enviar el informe.
Si ha establecido una contraseña, no olvide incluirla.
258
McAfee Data Loss Prevention 10.0.100
Guía del producto
A
Glosario
Tabla A-1
Terminología de McAfee DLP
Plazo
Definición
Productos
Acción
Lo que hace una regla cuando el contenido coincide
con la definición de la regla. Algunos ejemplos
comunes de acciones son bloquear, cifrar o poner en
cuarentena.
Todo
Rastreo
Recuperar archivos e información de repositorios,
sistemas de archivos y correo electrónico.
• McAfee DLP Endpoint
(Discovery)
• McAfee DLP Discover
Clasificación
Se utiliza para identificar y rastrear archivos y
contenido de carácter confidencial. Puede incluir
clasificaciones de contenido, huellas digitales de
contenido, documentos registrados y texto en lista
blanca.
Todo
Clasificación del
contenido
Mecanismo para identificar contenido de carácter
confidencial a partir de condiciones de datos, como
diccionarios y patrones de texto, y condiciones de
archivos como propiedades de documentos o
extensiones de archivos.
Todo
Identificación por Mecanismo para clasificar y rastrear contenido de
McAfee DLP Endpoint
huellas digitales
carácter confidencial. Los criterios de identificación por para Windows
de contenido
huellas digitales de contenido especifican aplicaciones
o ubicaciones y pueden incluir condiciones de archivos
y datos. Las firmas de huella digital mantienen el
contenido de carácter confidencial cuando este se
copia o mueve.
Vector de datos
Definición del uso o el estado del contenido. McAfee
DLP protege los datos confidenciales cuando se
almacenan (datos en reposo), cuando se utilizan
(datos en uso) y cuando se transfieren (datos en
movimiento).
Todo
Definición
Componente de la configuración que crea una
clasificación o directiva de análisis de McAfee DLP
Discover.
Todo
Clase de
dispositivo
Recopilación de dispositivos con características
• Device Control
parecidas que se pueden gestionar de un modo similar.
• McAfee DLP Endpoint
Las clases de dispositivos se aplican únicamente en
equipos con Windows y su estado puede ser
para Windows
Gestionado, No gestionado o En lista blanca.
Servidor Discover
El servidor Windows donde se instala el software de
McAfee DLP Discover.
McAfee DLP Discover
Puede instalar varios servidores Discover en su red.
McAfee Data Loss Prevention 10.0.100
Guía del producto
259
A
Glosario
Tabla A-1
Terminología de McAfee DLP (continuación)
Plazo
Definición
Productos
Información del
archivo
Una definición que puede incluir el nombre del archivo, Todos los productos
el propietario, el tamaño, la extensión y las fechas de
creación, modificación o acceso.
Utilice las definiciones de información del archivo de
los filtros para incluir o excluir los archivos que se va a
analizar.
Identificación por Procedimiento de extracción de texto que utiliza un
• McAfee DLP Endpoint
huellas digitales
algoritmo para asignar un documento a cadenas de
para Windows
bits o firmas. Se utiliza para crear documentos
registrados y para la identificación por huellas digitales • McAfee DLP Prevent
de contenido.
Dispositivos
gestionados
Estado de una clase de dispositivos que indica que los
dispositivos de dicha clase son gestionados por Device
Control.
• Device Control
Cadena
coincidente
Contenido encontrado que coincide con una regla.
Todos los productos
MTA
Agente de transferencia de mensajes
McAfee DLP Prevent
Ruta
Un nombre UNC, una dirección IP o una dirección web. • McAfee DLP Endpoint
(Discovery)
• McAfee DLP Endpoint
• McAfee DLP Discover
• McAfee DLP Prevent
Directiva
Conjunto de definiciones, clasificaciones y reglas que
definen cómo el software de McAfee DLP protege los
datos.
Todos los productos
Revisor de
redacción
Permite redactar información confidencial en las
consolas Administrador de incidentes de DLP y Operaciones de
DLP para impedir visualizaciones no autorizadas.
Todos los productos
Documentos
registrados
Archivos analizados previamente de repositorios
• McAfee DLP Endpoint
especificados. Las firmas de los archivos se distribuyen
para Windows
a todos los equipos endpoint gestionados y se utilizan
para rastrear y clasificar el contenido copiado de estos • McAfee DLP Prevent
archivos.
Repositorio
Carpeta, servidor o cuenta que contiene archivos
compartidos.
• McAfee DLP Endpoint
(Discovery)
La definición de repositorio incluye las rutas y las
credenciales para analizar los datos.
• McAfee DLP Discover
Regla
Define la acción que se lleva a cabo cuando se intenta
transferir o transmitir datos de carácter confidencial.
Todos los productos
Conjunto de
reglas
Combinación de las reglas.
Todos los productos
Planificador
Una definición que especifica los detalles de análisis y
el tipo de planificación: diaria, semanal, mensual, una
vez o inmediata.
• McAfee DLP Endpoint
(Discovery)
McAfee DLP Endpoint divide las aplicaciones en cuatro
categorías denominadas estrategias que afectan al
modo en el que funciona el software con distintas
aplicaciones. En orden decreciente de seguridad, las
estrategias son Editor, Explorador, De confianza y
Archivador.
McAfee DLP Endpoint
Estrategia
260
McAfee Data Loss Prevention 10.0.100
• McAfee DLP Discover
Guía del producto
Glosario
Tabla A-1
A
Terminología de McAfee DLP (continuación)
Plazo
Definición
Productos
Dispositivos no
gestionados
Estado de una clase de dispositivos que indica que los
dispositivos de dicha clase no son gestionados por
Device Control. Algunos equipos endpoint utilizan
dispositivos que tienen problemas de compatibilidad
con los controladores de dispositivos de McAfee DLP
Endpoint. Para evitar problemas operativos, estos
dispositivos se definen como no gestionados.
• Device Control
Dispositivos en
lista blanca
Estado de una clase de dispositivos que indica que
Device Control no intenta controlar los dispositivos de
dicha clase. Algunos ejemplos son los procesadores y
dispositivos de baterías.
Device Control McAfee
DLP Endpoint para
Windows
McAfee Data Loss Prevention 10.0.100
• McAfee DLP Endpoint
para Windows
Guía del producto
261
A
Glosario
262
McAfee Data Loss Prevention 10.0.100
Guía del producto
Índice
A
acerca de esta guía 9
Activar agentes 49
acumulación de datos 234
administración de derechos 66, 68
administrador de incidentes 212
Administrador de incidentes de DLP 212
respuesta a eventos 211
Ajustes generales de administración de appliances 88
Almacenamiento de pruebas 70
ampliación 47
análisis
clasificación 188, 201
corrección 189, 202
credenciales 195
inventario 188, 200
planificador 198
repositorios 196, 197
resultados 205
tipos de 19
análisis de clasificación
acerca de 188
configuración 201
análisis de corrección
acerca de 189
configuración 202
análisis de inventario
acerca de 188
configuración 200
análisis iniciados por el usuario 179
analizador de eventos 15
ancho de banda 189
archivo, acceso
reglas, acerca de 104
archivos OST 116
archivos PST 116
ataque de denegación de servicio
evitar 81
autenticación de protección web 84
autorreparación del usuario 179
B
Boldon James 138
McAfee Data Loss Prevention 10.0.100
Boldon James, integración 137
Box 146
C
caracteres comodín, en las definiciones de dirección de correo
electrónico 147
carpeta de pruebas 71
casos
actualización 224
adición de comentarios 224
asignación de incidentes 223
creación 222
eliminación 226
envío de notificaciones 224
etiquetas 225
información 222
registros de auditoría 223
catálogo de directivas 60
certificados 254
Chrome, versiones compatibles 150
clases de dispositivos 95
clasificación 113
correo electrónico 138
criterios 129
manual 124
clasificación de correo electrónico 138
clasificación del contenido
criterios 114
clasificación manual 126, 132
clasificación manual, persistencia 114
clasificaciones 128
acerca de 113
compatibilidad con JAWS 16
compatibilidad con OS X 17, 93, 97, 104–106, 113, 117, 123, 145,
150
compatibilidad con versiones anteriores 43
componentes, Data Loss Prevention (diagrama) 26
configuración de bloqueo de retransmisión 83
Configuración de DLP 41
configuración del agente
compatibilidad con Mac OS 63
configuración del cliente 61
árbol de sistemas 60
Configuración del tiempo de espera 81
Guía del producto
263
Índice
conjuntos de permisos 74
Administración de appliances 79
McAfee DLP Prevent 79
conjuntos de permisos, definición 76
conjuntos de permisos, filtrado del Árbol de sistemas 73
conjuntos de reglas
acerca de 141
creación 162
Consola de directivas de DLP, instalación 40
consola de endpoint 15–17
control de acceso basado en funciones 76
controladores
protección en la nube 146
convenciones tipográficas e iconos utilizados en esta guía 9
conversión 45
correo electrónico 116
dispositivos móviles 21
red 20
correo electrónico de la red 20
correo electrónico para dispositivos móviles 21
credenciales 195
criterio de identificación por huellas digitales de contenido 31
criterios de identificación por huellas digitales 131
cuarentena
restauración de archivos o elementos de correo electrónico
de 184
D
datos
clasificación 121
datos en tránsito 117
datos de DLP, clasificación 122
datos en reposo 180
definiciones
credenciales 195
destino web 117
diccionarios 121
documentos registrados 127
extensión del archivo 122
información del archivo 194
McAfee DLP Discover 192
para análisis 194
patrón de texto 122
planificador 198
propiedades de documento 122
red 116
repositorios 196, 197
definiciones de aplicaciones
estrategia 118
definiciones de dispositivos 97
almacenamiento extraíble 100
definiciones de propiedades de documento 122
definiciones de red
acerca de 116
intervalo de direcciones 143
264
McAfee Data Loss Prevention 10.0.100
definiciones de red (continuación)
intervalo de puertos 142
Definiciones para reglas
Definiciones de reglas 142
desafío/respuesta 184
descubrimiento
acerca de 180
configuración 183
creación de una regla de descubrimiento del sistema de
archivos 182
descubrimiento de endpoints 179
destinos web
acerca de 117
diccionarios
acerca de 121
creación 134
importación de entradas 134
direcciones de correo electrónico
creación 143
Directiva del servidor de DLP Prevent 80
directiva, configuración 193
directivas
definición 32
DLP Prevent 80
directivas, ajuste 245
dispositivos
listas, agregar definiciones de dispositivos Plug and Play 99
dispositivos Plug and Play
definición en lista blanca, creación 99
DLP Discover 180
DLP Endpoint
incorporar en McAfee ePO 46
DLP Prevent
activar TLS 83
bloqueo de retransmisión 83
con McAfee Web Gateway 90
Configuración del tiempo de espera 81
Configurar MTA adicionales 82
directiva
seleccione LDAP 86
Entrega por turnos 82
evita los ataques de denegación de servicio 81
hosts permitidos 83
McAfee Logon Collector 84, 87
notificaciones de usuario 157
protección de correo electrónico 20
protección web 20
reacciones de regla 148
servidores LDAP 84
sustituir el certificado por defecto 254
y McAfee Email Gateway 88
DLP Prevent for Mobile Email, instalación 55
documentación
convenciones tipográficas e iconos 9
destinatarios de esta guía 9
Guía del producto
Índice
J
documentación (continuación)
específica de producto, buscar 10
documentos registrados 31, 127
Dropbox 146
justificación empresarial, personalización 157
E
LDAP 86
limitaciones 189
Encabezado X-RCIS-Action 148
Entrega de mensajes por turnos 82
estrategia, véase definiciones de aplicaciones
Estrategia de tiempo de espera, publicación web 150
etiquetas incrustadas 124, 125
eventos
supervisión 211
eventos operativos 212
excepciones de reglas 162
extensiones de archivo
definiciones 122
extractor de texto 117
F
filtros 194
definiciones de red 116
funcionamiento con conexión/sin conexión 15
funciones de McAfee ePO 91
funciones y permisos 71
G
Google Chrome, versiones compatibles 150
Google Drive 146
grupos de asignación
definición 32
GUID, véase GUID del dispositivo
GUID del dispositivo 96
L
listas blancas 32
definiciones de dispositivos Plug and Play, crear 99
listas de direcciones de correo electrónico 147
listas de URL
creación 136
M
manual, clasificación 132
marcado 113
acerca de 114
marcadores de posición 157
McAfee Agent 27
McAfee DLP Prevent
Asistente de instalación 54, 250
Consola serie 53
instalación 50
Requisitos del servidor MTA 27
McAfee Email Gateway
con McAfee DLP Prevent 88
McAfee Logon Collector 84
McAfee ServicePortal, acceso 10
McAfee Web Gateway
con McAfee DLP Prevent 90
migración 45
MTA
Agregar más 82
N
H
herramienta de diagnóstico 245
Herramienta de diagnóstico 243
I
identificación por huellas digitales de contenido
criterios 114
Imagen de instalación interna 251
incidentes
actualización 219
detalles 217
etiquetas 221
filtrado 215, 217
orden 215
vistas 216
informes de datos acumulados 232
informes de ePO 232
instalación 46
McAfee Data Loss Prevention 10.0.100
notificación de usuario, personalización 157
notificaciones de ePO 232
notificaciones, ePolicy Orchestrator 232
O
OLAP 204
OneDrive 146
P
paneles, opciones de informe 232
patrones avanzados
creación 135
patrones de texto
acerca de 122
planificador 198
plantillas de aplicación
acerca de 123
Portapapeles
Microsoft Office 146
Guía del producto
265
Índice
prácticas recomendadas 31, 41, 45, 73, 97, 99, 168
propiedades del dispositivo 101
proximidad 114
prueba
almacenamiento para contenido cifrado 69
eventos de Endpoint 211
puerto de administración, conexión 52
puertos predeterminados 35
R
reacciones 158
reacciones de regla 148
redacción 73
reglas 144
acerca de 193
Citrix XenApp 104
crear 162
excepciones 162
protección de correo electrónico 147
protección en la nube 146
reacciones 158
reglas de almacenamiento de pruebas 71
reglas de clasificación 30
reglas de descubrimiento de endpoint 162
reglas de dispositivos
acerca de 104
Reglas de dispositivos Citrix XenApp 104
Reglas de dispositivos TrueCrypt 104
reglas de DLP
clasificación 30
dispositivo 32
protección 32
reglas de protección 162
definición 32
Reglas de protección contra impresión 116
reglas de protección de correo electrónico 147
Reglas de protección del Portapapeles 146
reglas de protección en la nube 146
Reglas de protección web 150
reglas para
para análisis de corrección 199
266
McAfee Data Loss Prevention 10.0.100
reglas para dispositivos 162
definición 32
regulación 189
repositorios 196, 197
Resaltado de coincidencias, eventos 70
RMM 249, 250
S
ServicePortal, buscar documentación del producto 10
servicio de vigilancia 61
servidores de Active Directory 84
servidores de autenticación 84
servidores OpenLDAP 84
sesiones de usuarios 104
soporte técnico, encontrar información de productos 10
soporte TIE 145
supervisión 212
Syncplicity 146
T
tareas de eventos operativos 227
tareas de incidentes 212, 227
tareas servidor 45, 227
tareas servidor, acumulación 234
texto en lista blanca 130
Titus, integración 137
TLS
activar 83
Transport Layer Security
ver TLS 83
U
ubicación, clasificación por 117
V
validadores 122
Versiones de Chrome no compatibles con 145
vigilancia del servicio cliente 61
Guía del producto
0A02
Descargar