Guía del producto Revisión A McAfee Data Loss Prevention 10.0.100 Para uso con McAfee ePolicy Orchestrator COPYRIGHT © 2016 Intel Corporation ATRIBUCIONES DE MARCAS COMERCIALES Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2 McAfee Data Loss Prevention 10.0.100 Guía del producto Contenido Prefacio 9 Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 10 1 Descripción general del producto 11 ¿Qué es McAfee DLP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funciones clave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funcionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles . . . Funcionamiento del software cliente . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP Endpoint en la plataforma Microsoft Windows . . . . . . . . . . . . . . McAfee DLP Endpoint en la plataforma OS X . . . . . . . . . . . . . . . . . . . . McAfee DLP Discover: análisis de archivos y repositorios . . . . . . . . . . . . . . . . . . Repositorios compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP Prevent: protección del tráfico web y de correo electrónico . . . . . . . . . . . . Protección del tráfico de correo electrónico . . . . . . . . . . . . . . . . . . . . Protección del tráfico web . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles . . Interacción con otros productos McAfee . . . . . . . . . . . . . . . . . . . . . . . . . 11 12 12 14 15 16 17 18 19 19 20 20 20 21 22 Despliegue e instalación 2 Planificación del despliegue 25 Opciones de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Opciones de McAfee DLP Endpoint y Device Control . . . . . . . . . . . . . . . . . Opciones de McAfee DLP Discover . . . . . . . . . . . . . . . . . . . . . . . . Opciones de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . Escenarios de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . Planificación de la directiva DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . Flujo de trabajo de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . El proceso de protección de McAfee DLP . . . . . . . . . . . . . . . . . . . . . Flujo de trabajo de directiva . . . . . . . . . . . . . . . . . . . . . . . . . . Práctica recomendada: flujo de trabajo de McAfee DLP Discover . . . . . . . . . . . . Componentes compartidos de las directivas . . . . . . . . . . . . . . . . . . . . Requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Puertos predeterminados utilizados por McAfee DLP . . . . . . . . . . . . . . . . . . . . Lista de comprobación de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Instale McAfee DLP 26 26 27 27 28 29 29 30 33 34 35 35 35 37 39 Descargar archivos de instalación y de las extensiones de productos . . . . . . . . . . . . . 39 Instale y añada la licencia a la extensión de McAfee DLP. . . . . . . . . . . . . . . . . . . 40 Instalar la extensión con el Administrador de software . . . . . . . . . . . . . . . . 40 McAfee Data Loss Prevention 10.0.100 Guía del producto 3 Contenido Instalar la extensión de forma manual . . . . . . . . . . . . . . . . . . . . . . Activar la licencia de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . Aplicación de compatibilidad con versiones anteriores . . . . . . . . . . . . . . . . Conversión de directivas y migración de datos . . . . . . . . . . . . . . . . . . . Instale McAfee DLP Endpoint y el software cliente Device Control. . . . . . . . . . . . . . . Instale el paquete del servidor de McAfee DLP Discover . . . . . . . . . . . . . . . . . . Consideraciones de la ampliación de McAfee DLP Discover . . . . . . . . . . . . . . Instale o amplíe el paquete del servidor con McAfee ePO. . . . . . . . . . . . . . . Instale o amplíe el paquete del servidor manualmente . . . . . . . . . . . . . . . . Verificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . Instale McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalación de las extensiones . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la información de red . . . . . . . . . . . . . . . . . . . . . . Instalación del software en un appliance virtual . . . . . . . . . . . . . . . . . . Instalación del software en un appliance de hardware . . . . . . . . . . . . . . . . Ejecutar el Asistente de instalación y registrarse con McAfee ePO . . . . . . . . . . . Instalar el paquete del servidor de McAfee DLP Prevent for Mobile Email . . . . . . . . Realización de las tareas posteriores a la instalación . . . . . . . . . . . . . . . . . . . 41 41 43 45 46 46 47 48 48 49 50 50 51 51 52 54 55 55 Configuración y uso 4 Configuración de los componentes del sistema 59 Configuración de McAfee DLP en el catálogo de directivas . . . . . . . . . . . . . . . . . 60 Importar o exportar la configuración de McAfee DLP Endpoint . . . . . . . . . . . . . 60 Configuración del cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Compatibilidad con los parámetros de configuración del cliente . . . . . . . . . . . . 63 Configuración de ajustes del cliente . . . . . . . . . . . . . . . . . . . . . . . 64 Configurar ajustes del servidor . . . . . . . . . . . . . . . . . . . . . . . . . 64 Protección de archivos mediante la gestión de derechos . . . . . . . . . . . . . . . . . . 66 Funcionamiento de McAfee DLP con la administración de derechos . . . . . . . . . . . 67 Servidores de administración de derechos compatibles . . . . . . . . . . . . . . . 67 Definir un servidor de administración de derechos . . . . . . . . . . . . . . . . . 68 Documentación de eventos mediante pruebas . . . . . . . . . . . . . . . . . . . . . . 69 Uso de pruebas y del almacenamiento de pruebas . . . . . . . . . . . . . . . . . 69 Creación de carpetas de pruebas . . . . . . . . . . . . . . . . . . . . . . . . 71 Definir las opciones de configuración de las carpetas de pruebas . . . . . . . . . . . . 72 Control de asignaciones con usuarios y conjuntos de permisos . . . . . . . . . . . . . . . 73 Cree definiciones de usuarios finales . . . . . . . . . . . . . . . . . . . . . . . 74 Asignar conjuntos de permisos de McAfee DLP . . . . . . . . . . . . . . . . . . . 74 Creación de un conjunto de permisos de McAfee DLP . . . . . . . . . . . . . . . . 76 Control de acceso a las funciones de McAfee DLP Prevent . . . . . . . . . . . . . . . . . 79 Restricción de la visualización de appliances por parte de los usuarios en el Árbol de sistemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Permitir que los usuarios editen la directiva . . . . . . . . . . . . . . . . . . . . 79 Control de acceso a las funciones de Administración de appliances . . . . . . . . . . . 79 Uso de las directivas de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . 80 Establecer la configuración del tiempo de espera de conexión . . . . . . . . . . . . . 81 Especifique un nivel máximo de anidación de datos adjuntos archivados . . . . . . . . 81 Agregar MTA adicionales que puedan entregar el correo electrónico . . . . . . . . . . 82 Entregar correos electrónicos mediante un enfoque de operación por turnos . . . . . . . 82 Limitar las conexiones a las redes o los sistemas host especificados . . . . . . . . . . 83 Activar TLS en los mensajes entrantes o salientes . . . . . . . . . . . . . . . . . 83 Uso de servidores de autenticación externos . . . . . . . . . . . . . . . . . . . . 84 Directiva de Ajustes generales de administración de appliances . . . . . . . . . . . . 88 Editar la directiva de Email Gateway para trabajar con McAfee DLP Prevent . . . . . . . 88 Integrar McAfee DLP Prevent en un entorno web . . . . . . . . . . . . . . . . . . 90 4 McAfee Data Loss Prevention 10.0.100 Guía del producto Contenido Funciones de McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Protección de medios extraíbles 91 93 Protección de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Gestión de dispositivos con clases de dispositivos . . . . . . . . . . . . . . . . . . . . . 95 Definir una clase de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Obtención de un GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Crear una clase de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 97 Organización de dispositivos con definiciones de dispositivos . . . . . . . . . . . . . . . . 97 Uso de las definiciones de dispositivos . . . . . . . . . . . . . . . . . . . . . . 98 Propiedades del dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Reglas de control de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Creación de una regla para dispositivos de almacenamiento extraíbles . . . . . . . . . 105 Crear una regla para dispositivos Plug and Play . . . . . . . . . . . . . . . . . . 106 Creación de una regla de dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Crear una regla de dispositivos de disco duro fijo . . . . . . . . . . . . . . . . . 108 Crear una regla de dispositivos Citrix . . . . . . . . . . . . . . . . . . . . . . 109 Crear una regla de dispositivos TrueCrypt . . . . . . . . . . . . . . . . . . . . 109 Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles . . . . . . . . . . 110 6 Clasificación del contenido confidencial 113 Componentes del módulo Clasificación . . . . . . . . . . . . . . . . . . . . . . . . . Uso de las clasificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Clasificación en función del destino de los archivos . . . . . . . . . . . . . . . . . Clasificación por ubicación de archivo . . . . . . . . . . . . . . . . . . . . . . Extracción de texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cómo categoriza aplicaciones McAfee DLP Endpoint . . . . . . . . . . . . . . . . Criterios y definiciones de clasificación . . . . . . . . . . . . . . . . . . . . . . . . . Definiciones de diccionario . . . . . . . . . . . . . . . . . . . . . . . . . . Definiciones de patrones avanzados . . . . . . . . . . . . . . . . . . . . . . . Clasificación de contenido con propiedades de documentos o información del archivo . . . Plantillas de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . Clasificación manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Propiedades incrustadas . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de clasificaciones manuales . . . . . . . . . . . . . . . . . . . . Documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Texto en lista blanca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación y configuración de clasificaciones . . . . . . . . . . . . . . . . . . . . . . . Crear una clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de los criterios de clasificación . . . . . . . . . . . . . . . . . . . . . Cargar documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . Cargar archivos con texto para inclusión en lista blanca . . . . . . . . . . . . . . . Configurar los componentes de clasificación para McAfee DLP Endpoint . . . . . . . . . . . Crear criterios de identificación por huellas digitales de contenido . . . . . . . . . . . Caso práctico: Identificación por huellas digitales basada en la aplicación . . . . . . . Asignar permisos de clasificación manual . . . . . . . . . . . . . . . . . . . . Caso práctico: Clasificación manual . . . . . . . . . . . . . . . . . . . . . . . Creación de las definiciones de clasificación . . . . . . . . . . . . . . . . . . . . . . Crear una definición de clasificación general . . . . . . . . . . . . . . . . . . . Crear o importar una definición de diccionario . . . . . . . . . . . . . . . . . . . Crear un patrón avanzado . . . . . . . . . . . . . . . . . . . . . . . . . . . Crear una definición de lista de URL . . . . . . . . . . . . . . . . . . . . . . . Caso práctico: Integración del cliente de Titus con etiquetas de terceros . . . . . . . . . . . Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación . . . . McAfee Data Loss Prevention 10.0.100 113 114 115 117 117 118 119 121 122 122 123 124 125 126 127 127 128 128 129 129 130 130 131 131 132 133 134 134 134 135 136 137 138 Guía del producto 5 Contenido 7 Protección de contenido de carácter confidencial 141 Conjuntos de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Crear definiciones de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Crear un nuevo intervalo de puertos de red . . . . . . . . . . . . . . . . . . . . 142 Creación de un intervalo de direcciones de red . . . . . . . . . . . . . . . . . . 143 Crear una definición de lista de direcciones de correo electrónico . . . . . . . . . . . 143 Crear una definición de la impresora de red . . . . . . . . . . . . . . . . . . . 144 Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Reglas de protección de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Reglas de protección de acceso a archivos de la aplicación . . . . . . . . . . . . . 145 Reglas de protección del Portapapeles . . . . . . . . . . . . . . . . . . . . . . 146 Reglas de protección en la nube . . . . . . . . . . . . . . . . . . . . . . . . 146 Reglas de protección de correo electrónico . . . . . . . . . . . . . . . . . . . . 147 Reglas de protección de correo electrónico para dispositivos móviles . . . . . . . . . 148 Reglas de protección de comunicaciones de la red . . . . . . . . . . . . . . . . . 149 Reglas de protección de recursos compartidos de red . . . . . . . . . . . . . . . . 149 Reglas de protección contra impresión . . . . . . . . . . . . . . . . . . . . . . 149 Reglas de protección de almacenamiento extraíble . . . . . . . . . . . . . . . . . 150 Reglas de protección contra capturas de pantalla . . . . . . . . . . . . . . . . . 150 Reglas de protección web . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Asistencia para la configuración de cliente con reglas de protección de datos . . . . . . 151 Acciones de las reglas de protección de datos . . . . . . . . . . . . . . . . . . . 153 Reglas de control de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Reglas de descubrimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Listas blancas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Personalización de mensajes del usuario final . . . . . . . . . . . . . . . . . . . . . . 157 Reacciones disponibles para los tipos de regla . . . . . . . . . . . . . . . . . . . . . . 158 Creación y configuración de reglas y conjuntos de reglas . . . . . . . . . . . . . . . . . 162 Creación de un conjunto de reglas . . . . . . . . . . . . . . . . . . . . . . . 162 Creación de una regla . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 Asignación de conjuntos de reglas a directivas . . . . . . . . . . . . . . . . . . 163 Activar, desactivar o eliminar reglas . . . . . . . . . . . . . . . . . . . . . . . 164 Directiva para crear una copia de seguridad y restaurar . . . . . . . . . . . . . . . 164 Configuración de las columnas de reglas o de conjuntos de reglas . . . . . . . . . . 165 Crear una definición de justificación . . . . . . . . . . . . . . . . . . . . . . . 165 Crear una definición de notificación . . . . . . . . . . . . . . . . . . . . . . . 166 Casos de uso de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Caso práctico: Regla para dispositivos de almacenamiento extraíbles con acceso a archivos mediante proceso en lista blanca . . . . . . . . . . . . . . . . . . . . . . . . 168 Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura . . . . . 169 Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug and Play . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en disco 171 Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen a un dominio especificado . . . . . . . . . . . . . . . . . . . . . 172 Caso práctico: Permiso para que un grupo de usuarios específico envíe información de crédito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 8 Análisis de datos con descubrimiento de McAfee DLP Endpoint 179 Protección de los archivos con las reglas de descubrimiento . . . . . . . . . . . . . . . . Modo de funcionamiento del análisis de descubrimiento . . . . . . . . . . . . . . . . . . Encontrar contenido con el rastreador de descubrimiento de Endpoint . . . . . . . . . . . . Creación y definición de una regla de descubrimiento . . . . . . . . . . . . . . . . Creación de una definición de planificador . . . . . . . . . . . . . . . . . . . . Configurar un análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 McAfee Data Loss Prevention 10.0.100 179 180 181 182 183 183 Guía del producto Contenido Caso práctico: Restauración de elementos de correo electrónico o archivos en cuarentena 9 Análisis de datos con McAfee DLP Discover 184 187 Elección del tipo de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funcionamiento de los análisis de inventario . . . . . . . . . . . . . . . . . . . Funcionamiento de los análisis de clasificación . . . . . . . . . . . . . . . . . . Funcionamiento de los análisis de corrección . . . . . . . . . . . . . . . . . . . Consideraciones y limitaciones de los análisis . . . . . . . . . . . . . . . . . . . . . . Repositorios y credenciales para análisis . . . . . . . . . . . . . . . . . . . . . . . . Uso de definiciones y clasificaciones con análisis . . . . . . . . . . . . . . . . . . . . . Uso de reglas en análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurar directivas para los análisis . . . . . . . . . . . . . . . . . . . . . . . . . Crear definiciones para los análisis . . . . . . . . . . . . . . . . . . . . . . . Crea reglas para análisis de corrección . . . . . . . . . . . . . . . . . . . . . Configurar un análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurar un análisis de inventario . . . . . . . . . . . . . . . . . . . . . . . Configurar un análisis de clasificación . . . . . . . . . . . . . . . . . . . . . . Configurar un análisis de corrección . . . . . . . . . . . . . . . . . . . . . . . Realizar operaciones de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . Comportamiento de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Análisis de los datos analizados . . . . . . . . . . . . . . . . . . . . . . . . . . . Uso de OLAP por parte de McAfee DLP Discover . . . . . . . . . . . . . . . . . . Ver resultados de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . Analizar resultados de análisis . . . . . . . . . . . . . . . . . . . . . . . . . Ver resultados de inventario . . . . . . . . . . . . . . . . . . . . . . . . . . 187 188 188 189 189 191 192 193 193 194 199 200 200 201 202 203 204 204 204 205 206 207 Supervisión y generación de informes 10 Incidentes y eventos operativos 211 Supervisión y generación de informes . . . . . . . . . . . . . . . . . . . . . . . . . Administrador de incidentes de DLP . . . . . . . . . . . . . . . . . . . . . . . . . . Funcionamiento del administrador de incidentes . . . . . . . . . . . . . . . . . . Trabajar con incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de los incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ordenar y filtrar incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . Configurar vistas de columna . . . . . . . . . . . . . . . . . . . . . . . . . Configurar filtros de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . Ver detalles del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestión de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Actualizar un solo incidente . . . . . . . . . . . . . . . . . . . . . . . . . . Actualizar varios incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . Enviar por correo electrónico los eventos seleccionados . . . . . . . . . . . . . . . Administrar etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . Trabajo en casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestión de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de información del caso . . . . . . . . . . . . . . . . . . . . . . Asignación de incidentes a un caso . . . . . . . . . . . . . . . . . . . . . . . Transferencia o eliminación de incidentes de un caso . . . . . . . . . . . . . . . . Actualización de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adición o eliminación de etiquetas de un caso . . . . . . . . . . . . . . . . . . . Eliminación de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Recopilación y administración de datos 211 212 212 214 215 215 216 217 217 218 219 219 220 221 222 222 222 223 223 224 224 225 226 227 Edición de tareas servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Creación de una tarea de purga de eventos . . . . . . . . . . . . . . . . . . . 228 McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Contenido Creación de una tarea Notificación de correo automática . . . . . . . . . . . . . . Creación una tarea de definición de revisor . . . . . . . . . . . . . . . . . . . . Supervisar resultados de la tarea . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Opciones de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . Paneles predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de una tarea servidor de acumulación de datos . . . . . . . . . . . . . . 12 Registro y supervisión en McAfee DLP Prevent 229 230 231 231 231 232 232 234 235 Generación de informes de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . Eventos de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . Uso del syslog con McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . Supervisión del estado y el mantenimiento del sistema . . . . . . . . . . . . . . . . . . Panel de Administración de appliances . . . . . . . . . . . . . . . . . . . . . . Tarjetas de mantenimiento del sistema . . . . . . . . . . . . . . . . . . . . . Ver el estado de un appliance . . . . . . . . . . . . . . . . . . . . . . . . . Descargar archivos MIB y SMI . . . . . . . . . . . . . . . . . . . . . . . . . 235 235 237 239 239 239 240 240 Mantenimiento y resolución de problemas 13 Diagnóstico de McAfee DLP Endpoint Herramienta de diagnóstico . . . . . . . . Comprobación del estado del agente . Ejecutar la herramienta de diagnóstico Ajuste de directivas . . . . . . . . 14 243 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mantenimiento y resolución de problemas en McAfee DLP Prevent 247 Administrar con la consola del appliance de McAfee DLP Prevent . . . . . . . . . . . . . . Acceso a la consola del appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . Cambiar la configuración original de la red . . . . . . . . . . . . . . . . . . . . . . . Modificar la velocidad y la configuración del dúplex para appliances de hardware . . . . . . . . Administración de appliances de hardware con el RMM . . . . . . . . . . . . . . . . . . Configuración del RMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejecutar al Asistente de instalación mediante el servicio de KVM remoto . . . . . . . . Práctica recomendada: proteger el RMM . . . . . . . . . . . . . . . . . . . . . Actualizar o reinstalar desde la imagen de instalación interna . . . . . . . . . . . . . . . Reinicie el appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Restablecer los valores predeterminados de fábrica del appliance . . . . . . . . . . . . . . Cerrar sesión en el appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP Prevent no acepta correos electrónicos . . . . . . . . . . . . . . . . . . . Sustitución del certificado por defecto . . . . . . . . . . . . . . . . . . . . . . . . Mensajes de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Crear un informe de escalación mínima (MER) . . . . . . . . . . . . . . . . . . . . . A 8 243 244 245 245 247 248 248 249 249 250 250 250 251 252 253 253 253 254 255 257 Glosario 259 Índice 263 McAfee Data Loss Prevention 10.0.100 Guía del producto Prefacio Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee. Contenido Acerca de esta guía Búsqueda de documentación de productos Acerca de esta guía Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos utilizados, además de cómo está organizada. Destinatarios La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va destinada. La información de esta guía está dirigida principalmente a: • Administradores: personas que implementan y aplican el programa de seguridad de la empresa. Convenciones En esta guía se utilizan los siguientes iconos y convenciones tipográficas. Cursiva Título de un manual, capítulo o tema; un nuevo término; énfasis Negrita Texto que se enfatiza Tipo de letra monoespacio Comandos y texto de otra índole que escribe el usuario; un ejemplo de código; un mensaje que se presenta en pantalla Tipo de letra estrecho en negrita Palabras de la interfaz del producto, como opciones, menús, botones y cuadros de diálogo Azul hipertexto Un vínculo a un tema o a un sitio web externo Nota: Información adicional para enfatizar una cuestión, recordarle algo al lector o proporcionar un método alternativo Sugerencia: Información sobre prácticas recomendadas Precaución: Consejos importantes para proteger su sistema informático, instalación de software, red, empresa o sus datos Advertencia: Consejos fundamentales para impedir lesiones personales al utilizar un producto de hardware McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Prefacio Búsqueda de documentación de productos Búsqueda de documentación de productos En el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplo documentación de los productos, artículos técnicos, etc. Procedimiento 10 1 Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento. 2 En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos. 3 Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos. McAfee Data Loss Prevention 10.0.100 Guía del producto 1 Descripción general del producto La fuga de datos se produce cuando sale información confidencial o privada de la empresa como resultado de comunicaciones no autorizadas a través de canales tales como aplicaciones, dispositivos físicos y protocolos de red. ® McAfee Data Loss Prevention (McAfee DLP) identifica y protege los datos dentro de su red. McAfee DLP le ayuda a comprender los tipos de datos en su red, cómo se accede a ellos, cómo se transmiten y si contienen información confidencial. Use McAfee DLP con el fin de crear e implementar directivas de protección eficaces mientras disminuye la necesidad de errores y versiones de prueba amplias. Contenido ¿Qué es McAfee DLP? Funciones clave Funcionamiento McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles McAfee DLP Discover: análisis de archivos y repositorios McAfee DLP Prevent: protección del tráfico web y de correo electrónico McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles Interacción con otros productos McAfee ¿Qué es McAfee DLP? McAfee DLP es uns suite de productos, cada uno de los cuales protege distintos tipos de datos dentro de su red. • McAfee Data Loss Prevention Endpoint (McAfee DLP Endpoint): supervisa y controla contenido y acciones de los usuarios en equipos endpoint. • McAfee Device Control: controla el uso de medios extraíbles en equipos endpoint. • McAfee Data Loss Prevention Discover (McAfee DLP Discover): analiza los repositorios de archivos para identificar y proteger los datos confidenciales. • McAfee Data Loss Prevention Prevent (McAfee DLP Prevent): trabaja con su servidor MTA o proxy web para proteger el tráfico web y de correo electrónico. • McAfee Data Loss Prevention Prevent for Mobile Email (McAfee DLP Prevent for Mobile Email): Funciona con MobileIron para supervisar las solicitudes de ActiveSync de Microsoft Exchange o de Microsoft Office 365 ® ® ® ® ® McAfee Data Loss Prevention 10.0.100 Guía del producto 11 1 Descripción general del producto Funciones clave Funciones clave McAfee DLP incluye estas funciones. Protección avanzada: Aproveche la identificación por huellas digitales, la clasificación y el marcado de archivos para proteger datos no estructurados de carácter confidencial, como la propiedad intelectual o los secretos comerciales. McAfee DLP proporciona protección exhaustiva para todos los posibles canales de fuga, incluidos los dispositivos de almacenamiento extraíbles, la nube, las aplicaciones de uso compartido de archivos, correo electrónico, mensajería instantánea, web, impresión, portapapeles y captura de pantalla. Implementación de conformidad: Garantice la conformidad atendiendo las acciones cotidianas de los usuarios finales, como el envío de correos electrónicos, la publicación en la nube y las descargas en dispositivos multimedia extraíbles. Descubrimiento y análisis de archivos: Analice archivos almacenados en equipos endpoint locales, repositorios compartidos o la nube para identificar datos de carácter confidencial. Formación del usuario final: Ofrezca información en tiempo real a través de mensajes emergentes instructivos que contribuyen a forjar una cultura y conciencia corporativa en relación con la seguridad. ® Administración centralizada: Intégrese de forma nativa con el software de McAfee ePolicy Orchestrator (McAfee ePO ) para simplificar la administración de directivas e incidentes. ® ™ Funcionamiento Todos los productos de McAfee DLP detectan la actividad del usuario o datos de carácter confidencial, toman medidas contra las infracciones de directivas y crean incidentes de infracciones. Detección e identificación McAfee DLP identifica los datos de su red cuando: • un usuario los usa o accede a ellos; • se encuentran en tránsito en su red o fuera de ella; y • se ubican en un sistema de archivos local o en un repositorio compartido. Reacción y protección El software puede tomar diferentes medidas en cuanto a los datos de carácter confidencial, como: • notificar un incidente; • bloquear el acceso del usuario; • mover o cifrar archivos; y • poner en cuarentena los correos electrónicos que contienen esos datos. Supervisión y generación de informes Cuando se descubren infracciones de directivas, McAfee DLP crea un incidente con los detalles de dichas infracciones. 12 McAfee Data Loss Prevention 10.0.100 Guía del producto Descripción general del producto Funcionamiento 1 Categorización de datos McAfee DLP recopila datos y los categoriza por vectores: datos en movimiento, datos en reposo y datos en uso. Vector de datos Descripción Productos Datos en uso Las acciones que llevan cabo los usuarios en los • McAfee DLP Endpoint equipos endpoint, como la copia de datos y • Device Control archivos en medios extraíbles, la impresión de archivos en una impresora local y la realización de capturas de pantalla. Datos en movimiento El tráfico activo de su red. El tráfico se analiza, clasifica y almacena en la base de datos de McAfee DLP. • McAfee DLP Prevent Datos en reposo Los datos que residen en los repositorios y recursos compartidos de archivos. McAfee DLP puede analizar y rastrear los datos en reposo, así como llevar a cabo las acciones correctivas necesarias con ellos. • McAfee DLP Discover • McAfee DLP Prevent for Mobile Email • Descubrimiento de McAfee DLP Endpoint Cómo interactúan los productos de McAfee DLP La instalación de todos los productos de McAfee DLP permite utilizar todas las funciones de la suite de productos. Este diagrama muestra una red simplificada en la que se despliegan todos los productos de McAfee DLP y McAfee ePO. McAfee Data Loss Prevention 10.0.100 Guía del producto 13 1 Descripción general del producto McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles Referencia Descripción Vector de datos 1 McAfee ePO gestiona la configuración de directivas y de incidentes en todos los productos de McAfee DLP. No aplicable 2 McAfee DLP Endpoint y Device Control supervisan y limitan el uso que los usuarios pueden hacer de los datos. McAfee DLP Endpoint también analiza el correo electrónico y los sistemas de archivos de los equipos endpoint. • Datos en uso • Datos en reposo 3 McAfee DLP Discover analiza archivos de los repositorios locales o en Datos en reposo la nube con el fin de encontrar datos de carácter confidencial. 4 • McAfee DLP Prevent recibe correo electrónico de los servidores MTA. Analiza los mensajes, agrega los encabezados apropiados según la directiva configurada y envía los mensajes a un único servidor MTA, que también se conoce como Host inteligente. Datos en movimiento • McAfee DLP Prevent recibe tráfico web de los servidores proxy web. Analiza el tráfico web, determina si se debe permitir o bloquear y lo remite al servidor proxy web apropiado. • McAfee DLP Prevent for Mobile Email recibe correo electrónico de un servidor de MobileIron Sentry. Analiza el correo electrónico y datos adjuntos y crea los incidentes o guarda las pruebas, en función de las reglas de protección de dispositivos móviles. McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles McAfee DLP Endpoint supervisa las acciones que los usuarios de la empresa llevan a cabo con contenido de carácter confidencial en sus equipos. McAfee Device Control evita el uso no autorizado de dispositivos multimedia extraíbles. McAfee DLP Endpoint incluye todas las funciones de Device Control y, además, protege contra la fuga de datos en un amplio conjunto de canales en los que puede producirse. Funciones principales McAfee Device Control: • Controla qué datos se pueden copiar en dispositivos extraíbles o controla los propios dispositivos. Puede bloquear completamente los dispositivos o hacer que sean de solo lectura. • Bloquea la ejecución de ejecutables en medios extraíbles. Pueden hacerse excepciones para ejecutables requeridos, como la protección antivirus. • Protege las unidades USB, smartphones, dispositivos Bluetooth y demás medios extraíbles. McAfee DLP Endpoint protege contra la fuga de datos desde: 14 • Software de portapapeles • Aplicaciones de nube • Correo electrónico (incluido el correo electrónico enviado a los dispositivos móviles) • Recursos compartidos de red • Impresoras • Capturas de pantalla McAfee Data Loss Prevention 10.0.100 Guía del producto Descripción general del producto McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles • Aplicaciones y navegadores especificados • Publicaciones web 1 El motor de clasificación de McAfee DLP aplica las definiciones y los criterios de clasificación que definen el contenido que debe protegerse, así como dónde y cuándo se debe aplicar la protección. Las reglas de protección aplican los criterios de clasificación y otras definiciones para proteger el contenido de carácter confidencial. Reglas Compatibilidad con Protección de datos • McAfee DLP Endpoint • Device Control (solo reglas de protección de almacenamiento extraíble) • McAfee DLP Prevent (reglas de protección web y de correo electrónico) Device Control • McAfee DLP Endpoint • Device Control Descubrimiento • McAfee DLP Endpoint (descubrimiento de endpoint) • McAfee DLP Discover El rastreador de descubrimientos de McAfee DLP Endpoint se ejecuta en el equipo endpoint local, realiza búsquedas en archivos de almacenamiento de correo electrónico y el sistema de archivos local, y aplica directivas para proteger el contenido de carácter confidencial. Funcionamiento McAfee DLP Endpoint protege la información confidencial de la empresa: • aplica directivas formadas por definiciones, clasificaciones, conjuntos de reglas, configuraciones de cliente de endpoint y planificaciones de descubrimiento de endpoint. • Supervisa las directivas y bloquea las acciones con contenido de carácter confidencial, según corresponda. • Cifra contenido de carácter confidencial para permitir la acción. • Crea informes para revisar y controlar el proceso, y puede almacenar el contenido de carácter confidencial como prueba. Funcionamiento del software cliente El software cliente McAfee DLP Endpoint se despliega como un complemento de McAfee Agent e implementa las directivas definidas en la directiva de McAfee DLP. El software cliente McAfee DLP Endpoint audita las actividades de los usuarios para supervisar, controlar e impedir que los usuarios no autorizados copien o transfieran información confidencial. A continuación, genera eventos que se registran mediante el Analizador de eventos de McAfee ePO. Analizador de eventos Los eventos generados por el software cliente McAfee DLP Endpoint se envían al Analizador de eventos de McAfee ePO y se registran en tablas de la base de datos de McAfee ePO. Estos eventos se almacenan en la base de datos para su posterior análisis y se utilizan en otros componentes del sistema. McAfee Data Loss Prevention 10.0.100 Guía del producto 15 1 Descripción general del producto McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles Funcionamiento con conexión/sin conexión Puede aplicar diferentes reglas de dispositivos y protección, en función de si el equipo gestionado dispone de conexión (es decir, está conectado a la red de la empresa) o se trata de un equipo sin conexión (desconectado de la red). Algunas reglas también le permiten diferenciar entre equipos que se encuentran dentro de la red y los que se conectan a esta mediante VPN. McAfee DLP Endpoint en la plataforma Microsoft Windows Los equipos basados en Microsoft Windows se pueden proteger con McAfee Device Control o McAfee DLP Endpoint. El software cliente McAfee DLP Endpoint utiliza tecnología de descubrimiento avanzada, reconocimiento de patrón de texto y diccionarios predefinidos. Identifica contenido de carácter confidencial e incorpora la administración de dispositivos y el cifrado de capas de control añadidas. El software Information Rights Management (IRM) protege archivos confidenciales mediante el cifrado y la administración de los permisos de acceso. McAfee DLP Endpoint admite Microsoft Rights Management Service (RMS) y Seclore FileSecure como métodos complementarios para la protección de datos. Un uso típico consiste en evitar la copia de archivos que no están protegidos con IRM. El software de clasificación verifica que los correos electrónicos y otros archivos se clasifiquen uniformemente y se etiqueten con marcado de protección. McAfee DLP Endpoint se integra con Titus Message Classification y Boldon James Email Classifier for Microsoft Outlook para crear reglas de protección de correo electrónico en función de las clasificaciones aplicadas. Se integra con otros clientes de clasificación de Titus mediante la SDK de Titus para crear otras reglas de protección basadas en las clasificaciones aplicadas. Compatibilidad con lectores de pantalla Job Access With Sound (JAWS), el software lector de pantalla muy utilizado por invidentes, es compatible con equipos endpoint. Son compatibles las siguientes funciones de McAfee DLP Endpoint: • Ventana emergente de notificación al usuario final: Si el cuadro de diálogo emergente está definido para que se cierre manualmente (en Administrador de directivas de DLP), el texto del cuadro se lee permitiendo a las personas invidentes navegar por los botones y enlaces. • Cuadro de diálogo de justificación de usuario final: Es posible acceder al cuadro combinado con la tecla de tabulación y seleccionarse la justificación con las teclas de flecha. • Consola de usuario final Historial de notificaciones: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se ha seleccionado la ficha Historial de notificaciones". No hay contenido que permita realizar acciones. Se lee toda la información en el panel de la derecha. • Consola de usuario final Descubrimiento: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se ha seleccionado la ficha Descubrimiento". No hay contenido que permita realizar acciones. Se lee toda la información en el panel de la derecha. • Consola de usuario final Tareas: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se ha seleccionado la ficha Tareas". Se puede acceder a todos los pasos con la tecla de tabulación y se leen las instrucciones apropiadas. • Consola de usuario final Acerca de: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se ha seleccionado la ficha Acerca de". No hay contenido que permita realizar acciones. Se lee toda la información en el panel de la derecha. Múltiples sesiones de usuarios El software cliente McAfee DLP Endpoint admite un cambio rápido de usuario (FUS) con sesiones de varios usuarios en aquellas versiones del sistema operativo Windows que admiten FUS. La compatibilidad con equipos de sobremesa virtuales puede dar lugar a múltiples sesiones de usuarios desde un único equipo host. 16 McAfee Data Loss Prevention 10.0.100 Guía del producto 1 Descripción general del producto McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles Consola de Endpoint La consola de Endpoint se ha diseñado para compartir información con el usuario y facilitar la autocorrección de problemas. Se configura en Configuración del cliente | Servicio de interfaz de usuario. En los equipos basados en Microsoft Windows, la consola se activa desde el icono de la bandeja de entrada mediante la selección de Administrar funciones | Consola de DLP Endpoint. Una vez configurada por completo, tiene cuatro páginas con fichas: • Historial de notificaciones: Muestra eventos, incluidos los detalles de los eventos agregados. • Descubrimiento: Muestra los detalles de los análisis de descubrimiento. • Tareas: Genera códigos de ID e introduce códigos de autorización para la omisión de agente y la cuarentena. • Acerca de: Muestra información sobre el estado del agente, la directiva activa, la configuración y el grupo de asignación de equipos, incluidos los números de ID de revisión. McAfee DLP Endpoint en la plataforma OS X McAfee DLP Endpoint for Mac impide el uso no autorizado de dispositivos extraíbles y proporciona protección del contenido de carácter confidencial en equipos endpoint y recursos compartidos de red. McAfee DLP Endpoint for Mac admite reglas de dispositivos de almacenamiento extraíbles y Plug and Play. Asimismo, admite las siguientes reglas de protección de datos: • Reglas de protección de recursos compartidos de red • Reglas de protección de almacenamiento extraíble • Reglas de protección de acceso a archivos de la aplicación Puede identificar contenido de carácter confidencial con las clasificaciones, como en los equipos con Windows, pero no se admiten los documentos registrados ni el marcado. Se reconocen las clasificaciones manuales, pero no hay ninguna opción de establecerlas ni verlas en la interfaz de usuario. Se admite la extracción de texto, así como el cifrado de pruebas y las definiciones de justificación empresarial. McAfee Data Loss Prevention 10.0.100 Guía del producto 17 1 Descripción general del producto McAfee DLP Discover: análisis de archivos y repositorios Consola de endpoint En los equipos endpoint basados en Mac, la consola se activa desde la opción de menú de McAfee en la barra de estado. El Panel se integra con otros software de McAfee instalados, como McAfee VirusScan for Mac, y muestra una descripción general del estado de todos los software de McAfee instalados. La página Registro de eventos muestra los eventos recientes del software de McAfee. Haga clic en una entrada para ver los detalles. ® ® Figura 1-1 Pantalla de endpoint de McAfee DLP Endpoint for Mac Para activar la pantalla de omisión de agente, seleccione Preferencias de la opción de menú. McAfee DLP Discover: análisis de archivos y repositorios McAfee DLP Discover se ejecuta en los servidores de Microsoft Windows y analiza los sistemas de archivos de red para identificar y proteger los archivos y datos de carácter confidencial. McAfee DLP Discover es un sistema de software extensible y escalable que puede cumplir los requisitos de cualquier red, independientemente de su tamaño. Despliegue el software de McAfee DLP Discover en tantos servidores de la red como necesite. Funciones clave Utilice McAfee DLP Discover para las siguientes acciones: • Detectar y clasificar contenido de carácter confidencial. • Mover o copiar contenido de carácter confidencial. • Hacer la integración con Microsoft Rights Management Service para proteger los archivos. • Automatizar tareas de TI, como encontrar archivos vacíos, determinar los permisos y hacer una lista de los archivos que han cambiado en un período de tiempo específico. Funcionamiento ® McAfee ePO utiliza McAfee Agent para instalar y desplegar el software de McAfee DLP Discover en un Servidor de descubrimiento, es decir, un servidor Windows designado. 18 McAfee Data Loss Prevention 10.0.100 Guía del producto Descripción general del producto McAfee DLP Discover: análisis de archivos y repositorios 1 McAfee ePO aplica en los servidores de descubrimiento la directiva de análisis, que analiza el repositorio a la hora planificada. Los datos recopilados y las acciones que se realizan con los archivos dependen del tipo y la configuración de análisis. Utilice McAfee ePO para llevar a cabo tareas de configuración y análisis como las siguientes: • Mostrar los servidores de descubrimiento disponibles. • Configurar y planificar los análisis. • Configurar elementos de directivas como las definiciones, las clasificaciones y las reglas. • Revisar los análisis de datos y los resultados de inventario. • Revisar los incidentes generados a partir de los análisis de corrección. Repositorios compatibles McAfee DLP Discover admite repositorios locales y en la nube. • Box • Sistema de archivos de Internet común (CIFS) • SharePoint 2010 y 2013 Los sitios web del centro de búsqueda Enterprise (ESS) de SharePoint no son compatibles. Son consolidaciones sin archivos; solo tienen vínculos a los archivos originales. En los sitios web del ESS, puede analizar las colecciones de sitios reales o toda la aplicación web. Tipos de análisis McAfee DLP Discover es compatible con tres tipos de análisis: inventario, clasificación y corrección. Análisis de inventario Los análisis de inventario le aportan una vista de alto nivel de los tipos de archivos que existen en el repositorio. Este análisis recopila solamente los metadatos; no se obtienen los archivos. McAfee DLP Discover ordena los metadatos analizados en diferentes tipos de contenido y examina atributos como el tamaño, la ubicación y la extensión del archivo. Utilice este análisis para crear una descripción general de su repositorio o para tareas de TI como la ubicación de archivos que se utilizan con poca frecuencia. Análisis de clasificación Los análisis de clasificación le ayudan a entender los datos existentes en el repositorio objetivo. Al hacer coincidir el contenido analizado con clasificaciones como los patrones de texto o los diccionarios, puede analizar los patrones de datos para crear análisis de corrección optimizados. Análisis de corrección Los análisis de corrección encuentran los datos que infringen una directiva. Puede supervisar, aplicar una directiva de administración de derechos, copiar o mover archivos a una ubicación para exportar. Todas las acciones pueden provocar incidentes que se notifican al Administrador de incidentes de McAfee ePO. McAfee Data Loss Prevention 10.0.100 Guía del producto 19 1 Descripción general del producto McAfee DLP Prevent: protección del tráfico web y de correo electrónico McAfee DLP Prevent: protección del tráfico web y de correo electrónico McAfee DLP Prevent se integra con un proxy web o servidor MTA para supervisar el tráfico web y de correo electrónico y evitar posibles incidentes de fuga de datos. Protección del tráfico de correo electrónico McAfee DLP Prevent se integra con cualquier MTA que admita la inspección de encabezados. Funciones clave McAfee DLP Prevent interactúa con el tráfico de correo electrónico, genera incidentes y registra los incidentes en McAfee ePO para su posterior revisión de casos. Funcionamiento Figura 1-2 Flujo de tráfico de correo electrónico de McAfee DLP Prevent 1 Usuarios: Los mensajes de correo electrónico entrantes o salientes van al servidor MTA. 2 Servidor MTA: Reenvía los mensajes de correo electrónico a McAfee DLP Prevent. 3 McAfee DLP Prevent: Recibe conexiones SMTP recibe desde el servidor MTA y: • descompone el mensaje de correo electrónico en sus distintos componentes, • extrae el texto para la identificación por huellas digitales y el análisis de reglas, • analiza el mensaje de correo electrónico para detectar infracciones de directivas, • agrega un encabezado X-RCIS-Action, • envía el mensaje al Host inteligente configurado. En este ejemplo, el Host inteligente configurado es el MTA original. 4 Servidor MTA: El servidor MTA actúa en el mensaje de correo electrónico en función de la información que obtenga del encabezado X-RCIS-Action. Protección del tráfico web Funciones clave McAfee DLP Prevent recibe conexiones ICAP de un servidor proxy web, analiza el contenido y determina si se debe permitir o bloquear el tráfico. 20 McAfee Data Loss Prevention 10.0.100 Guía del producto Descripción general del producto McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles 1 Funcionamiento Figura 1-3 Flujo de tráfico web de McAfee DLP Prevent Paso Descripción 1 Los usuarios envían tráfico web al servidor proxy web. 2 El servidor proxy web reenvía el tráfico web a McAfee DLP Prevent. 3 McAfee DLP Prevent inspecciona el tráfico web y devuelve una respuesta al servidor proxy web para permitir el tráfico hasta el servidor de destino o denegar el acceso. El servidor proxy web envía el tráfico web inspeccionado a los destinos correspondientes. McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles McAfee DLP Prevent for Mobile Email se integra con los servidores Mobile Device Management (MDM) de MobileIron para analizar los correos electrónicos enviados a dispositivos móviles. Funciones clave McAfee DLP Prevent for Mobile Email analiza el tráfico de correo electrónico de ActiveSync de Microsoft Exchange o de Microsoft Office 365, genera incidentes y registra los incidentes y pruebas en McAfee ePO para su posterior revisión de casos. Funcionamiento Mediante la función de ActiveSync de Microsoft Exchange, las aplicaciones de correo electrónico de los dispositivos móviles pueden conectarse directamente a Exchange para enviar y recibir mensajes de correo electrónico. Este tráfico de correo electrónico no utiliza SMTP, por lo que no puede ser detectado por la protección de correo electrónico de McAfee DLP Prevent. El servidor MDM de MobileIron Sentry actúa como un proxy frontal de ActiveSync que intercepta el tráfico de correo electrónico de los dispositivos móviles. Reenvía el correo electrónico al servidor de McAfee DLP para dispositivos móviles, donde el correo electrónico y sus datos adjuntos se analizan según las reglas de protección de dispositivos móviles del Administrador de directivas de DLP. El contenido de carácter confidencial activa un evento en el Administrador de incidentes de DLP para su posterior revisión de casos. McAfee Data Loss Prevention 10.0.100 Guía del producto 21 1 Descripción general del producto Interacción con otros productos McAfee Interacción con otros productos McAfee McAfee DLP se integra con otros productos McAfee para aumentar la funcionalidad de la suite de productos. Producto Descripción McAfee ePO Todos los productos McAfee DLP se integran con McAfee ePO para la configuración, administración y supervisión. McAfee Email Gateway Se integra con McAfee DLP Prevent para proporcionar protección de correo electrónico. McAfee File and Removable Media Protection (FRP) Se integra con McAfee DLP Endpoint para cifrar los archivos confidenciales. No se puede usar en McAfee DLP Endpoint for Mac. McAfee Logon Collector Se integra con McAfee DLP Prevent para obtener información de autenticación de usuario. McAfee Web Gateway Se integra con McAfee DLP Prevent para proporcionar protección web. ® ® ® ® 22 McAfee Data Loss Prevention 10.0.100 Guía del producto Despliegue e instalación Determine la opción de despliegue que mejor se adapte a su entorno y, a continuación, instale la extensión. En función de sus productos de McAfee DLP, instale los clientes de endpoint de McAfee DLP Endpoint, el paquete de servidor de McAfee DLP Discover o la extensión y el appliance de McAfee DLP Prevent. Capítulo 2 Capítulo 3 Planificación del despliegue Instale McAfee DLP McAfee Data Loss Prevention 10.0.100 Guía del producto 23 Despliegue e instalación 24 McAfee Data Loss Prevention 10.0.100 Guía del producto 2 Planificación del despliegue Prepare su entorno para la instalación. Contenido Opciones de despliegue Planificación de la directiva DLP Requisitos del sistema Puertos predeterminados utilizados por McAfee DLP Lista de comprobación de despliegue McAfee Data Loss Prevention 10.0.100 Guía del producto 25 2 Planificación del despliegue Opciones de despliegue Opciones de despliegue La suite de productos McAfee DLP ofrece varias opciones de integración en su red. Opciones de McAfee DLP Endpoint y Device Control La instalación recomendada para una implementación sencilla de McAfee DLP Endpoint está en el servidor de McAfee ePO. Para ver las recomendaciones sobre si se debe utilizar un servidor independiente para la base de datos de McAfee ePO en instalaciones más complejas, consulte la Hardware Sizing and Bandwidth Usage Guide (Guía sobre el uso del ancho de banda y el tamaño del hardware) para McAfee ePolicy Orchestrator. Figura 2-1 Componentes y relaciones de McAfee DLP Endpoint La arquitectura recomendada incluye: • • 26 Servidor de McAfee ePO: Alberga las consolas de McAfee DLP Endpoint, Administrador de incidentes y Operaciones, y se comunica con el software McAfee Agent en los equipos endpoint. • Analizador de eventos de McAfee ePO: Se comunica con McAfee Agent y almacena información de eventos en una base de datos. • Analizador de eventos de DLP: Recopila eventos de McAfee DLP Endpoint procedentes del Analizador de eventos de McAfee ePO y los almacena en tablas de DLP en la base de datos de SQL. • Base de datos de ePO: Se comunica con el Distribuidor de directivas de McAfee ePO para distribuir directivas y con el Analizador de eventos de DLP para recopilar eventos y pruebas. Estación de trabajo del administrador: Accede a McAfee ePO y a la consola de directivas de McAfee DLP Endpoint en un navegador. McAfee Data Loss Prevention 10.0.100 Guía del producto Planificación del despliegue Opciones de despliegue • 2 Endpoint gestionado: aplica las directivas de seguridad mediante el software siguiente: • Cliente de McAfee DLP Endpoint: Un complemento de McAfee Agent que proporciona las directivas y procesos de McAfee DLP Endpoint. • McAfee Agent: Proporciona el canal de comunicación entre el servidor de McAfee ePO y el software cliente McAfee DLP Endpoint. Opciones de McAfee DLP Discover McAfee DLP Discover puede ejecutarse en servidores virtuales o físicos. Puede instalar uno o varios servidores de descubrimiento en su red mediante McAfee ePO (recomendado) o de forma manual. Asegúrese de que todos los servidores que usa para McAfee DLP Discover cumplen los siguientes requisitos: • El servidor tiene McAfee Agent instalado y en funcionamiento. • El servidor se comunica con McAfee ePO. • El servidor se agrega al Árbol de sistemas de McAfee ePO. Para obtener más información sobre la instalación y el funcionamiento de McAfee Agent, consulte la Guía del producto de McAfee Agent. Opciones de McAfee DLP Prevent McAfee DLP Prevent puede ejecutarse en un appliance de hardware virtual o físico. • Los dispositivos virtuales pueden ejecutar en su propio servidor VMware ESX o ESXi. • Puede instalar McAfee DLP Prevent en los modelos de appliances 4400 o 5500. • También puede instalar un servidor VMWare ESX o ESXi en los modelos de appliances 4400 o 5500. Requisitos del MTA Un servidor MTA debe reunir estos requisitos para integrarse con McAfee DLP Prevent. • El MTA debe enviar todo o una parte del tráfico de correo electrónico a McAfee DLP Prevent. Ejemplo: En algunos entornos, puede ser preferible para McAfee DLP Prevent procesar solo el correo que va hacia o desde sitios públicos, como Gmail, en lugar de procesar cada correo electrónico enviado y recibido en la red. • El MTA debe ser capaz de inspeccionar los encabezados de correo electrónico para poder distinguir el correo electrónico procedente de McAfee DLP Prevent y actuar en las cadenas de encabezados que McAfee DLP Prevent agrega a los mensajes de correo electrónico. Si no se admiten determinadas acciones en el servidor MTA, no configure reglas en McAfee DLP Prevent para usar estas acciones. • El MTA debe garantizar que los mensajes de correo electrónico recibidos desde McAfee DLP Prevent se dirigen hacia el destino deseado y no vuelvan a McAfee DLP Prevent. Ejemplo: El enrutamiento puede definirse con una dirección IP de origen o el número de puerto, o comprobando si existen encabezados X-RCIS-Action. Requisitos de McAfee DLP Prevent for Mobile Email El software de McAfee DLP Prevent for Mobile Email puede ejecutarse en servidores físicos o virtuales. Los requisitos son los mismos que para el software del servidor de McAfee DLP Discover. No ejecute ambos productos desde el mismo servidor. McAfee Data Loss Prevention 10.0.100 Guía del producto 27 2 Planificación del despliegue Opciones de despliegue Escenarios de despliegue Debido al número de productos de McAfee DLP y a la forma de implementarlos, las implementaciones difieren generalmente de red a red. Implementación de McAfee DLP Endpoint en entornos Citrix McAfee DLP Endpoint para Windows puede instalarse en los controladores de Citrix XenApp y XenDesktop. El uso de McAfee DLP Endpoint para Windows en entornos de Citrix tiene los siguientes requisitos: • Citrix XenApp 6.5 FP2 o 7.8 • Citrix XenDesktop 7.0, 7.5 o 7.8 Implemente McAfee Agent y McAfee DLP Endpoint en los controladores de Citrix, como en cualquier equipo endpoint. Implemente una directiva de McAfee DLP Endpoint para Windows en los controladores de Citrix. McAfee DLP Endpoint no tiene que implementarse en los equipos endpoint para funcionar con Citrix. Solo se requiere Citrix Receiver 4.4.1000. Cuando el endpoint de Windows se conecta al controlador de Citrix y abre archivos o correos electrónicos, se aplican las reglas. Funcionamiento Las reglas de protección de Citrix se diferencian de McAfee DLP Endpoint instalado en un equipo de la empresa en lo siguiente: • Las reglas para dispositivos Citrix no se admiten cuando se utiliza un servidor controlador independiente con XenApp 7.8. • No se admiten las reglas de protección contra capturas de pantalla. Esto se debe a que la captura de pantalla se activa desde el equipo endpoint donde la regla no surte efecto. Para obtener protección contra capturas de pantalla, instale McAfee DLP Endpoint en el equipo endpoint. • Se admiten reglas de protección del Portapapeles, pero sin eventos ni notificaciones emergentes. Esto se debe a que el intento de acción de copiar se lleva a cabo en el controlador de Citrix, donde las reglas son compatibles, pero el intento de acción de pegar se lleva a cabo en el endpoint, y no se puede activar la ventana emergente ni generar un evento. Estas limitaciones no se aplican si utiliza RDP para conectarse al controlador de Citrix. Ejecutar McAfee Device Control en equipos aislados Device Control puede utilizarse para controlar el uso de dispositivos extraíbles conectados a sistemas aislados. La seguridad de los sistemas aislados incluye limitar los dispositivos extraíbles que se utilizan normalmente con estos sistemas a dispositivos reconocidos y usos autorizados. Podemos distinguir tres tipos de sistemas aislados, con pequeñas diferencias entre ellos. La configuración de cada uno de ellos para Device Control se realiza de forma diferente. 28 1 Equipos conectados a la intranet de la empresa, pero aislados de Internet 2 Red de equipos aislados que incluye un servidor de McAfee ePO 3 Equipos aislados, en los que la única forma de obtener información de entrada o salida es utilizando dispositivos de almacenamiento extraíbles McAfee Data Loss Prevention 10.0.100 Guía del producto Planificación del despliegue Planificación de la directiva DLP 2 Funcionamiento En el caso 1, McAfee Agent se despliega en los equipos aislados. El sistema funciona, por tanto, de forma normal, recibiendo directivas desde McAfee ePO y enviando incidentes al servidor de McAfee ePO. Todas las comunicaciones permanecen en la intranet. En el caso 2, se pueden crear directivas y opciones de configuración en el servidor principal de McAfee ePO. Crear una copia de seguridad y guárdelo en un dispositivo de almacenamiento extraíble. Lleve la copia de seguridad al servidor aislado de McAfee ePO y cópiela mediante el botón Restaurar en Configuración de DLP. Escenario 3 utiliza el modo de inserción de directiva de funcionamiento. El cliente de Device Control está configurado para obtener directivas de la carpeta especificada. Las directivas creadas con un servidor externo de McAfee ePO se copian manualmente en dicha carpeta. En este modo de funcionamiento, los eventos de McAfee Agent se almacenan en una carpeta local y deben copiarse manualmente en el servidor de McAfee ePO a intervalos regulares. Si Device Control está configurado con reglas de protección de almacenamiento extraíble, los eventos del agente incluyen pruebas, incidentes y eventos operativos. Planificación de la directiva DLP Para ayudarle a planificar su estrategia DLP, conozca los flujos de trabajo y componentes de la directiva. Flujo de trabajo de McAfee DLP Utilice este flujo de trabajo como guía general para trabajar con los productos de McAfee DLP. • • • • Comprender los datos: Detecte e identifique los datos que están en su red. 1 Utilice McAfee DLP para supervisar de forma pasiva las acciones de los usuarios y los datos de la red. Puede utilizar las reglas predefinidas o crear una directiva básica. 2 Revise los incidentes y examine los resultados de los análisis en busca de posibles infracciones de directivas. Utilice esta información para comenzar a crear una directiva efectiva. Configurar las directivas: Utilice las reglas para reaccionar ante las infracciones y proteger los datos. 1 Clasifique y defina los datos confidenciales mediante la configuración de las clasificaciones y definiciones. 2 Realice un seguimiento de los datos de carácter confidencial y archivos que contengan identificación por huellas digitales de contenido y documentos registrados. 3 Proteja los datos con los análisis y las reglas. Configure la acción que se realizará cuando se descubran, acceda o transmitan datos confidenciales. Supervisar resultados: Controle incidentes y cree informes. 1 Revise los incidentes de falsos positivos e infracciones de directivas originales. 2 Agrupe los incidentes relacionados en casos que pueden escalarse a otros departamentos, como asesoramiento jurídico o recursos humanos. Perfeccione las directivas: Ajuste las directivas según las necesidades. Continúe con la supervisión de incidentes, analice los resultados y ajuste las directivas en función de los tipos de infracciones y falsos positivos que encuentre. McAfee Data Loss Prevention 10.0.100 Guía del producto 29 2 Planificación del despliegue Planificación de la directiva DLP El proceso de protección de McAfee DLP Las funciones y componentes de las directivas de McAfee DLP conforman un proceso de protección que se ajusta al flujo de trabajo general. Figura 2-2 El proceso de protección de McAfee DLP Clasificar Para proteger el contenido de carácter confidencial, defina y clasifique primero la información confidencial que se debe proteger. El contenido se clasifica mediante la definición de clasificaciones y de criterios de clasificación. Los criterios de clasificación definen las condiciones sobre cómo se han clasificado los datos. Entre los métodos para definir criterios se incluyen los siguientes: • Patrones avanzados: expresiones regulares combinadas con algoritmos de validación, utilizados para buscar coincidencias de patrones como números de tarjetas de crédito. • Diccionarios: listas de palabras o términos concretos, por ejemplo, del ámbito médico para detectar posibles infracciones de la HIPAA. • Tipos de archivos verdaderos: propiedades del documento, información del archivo o la aplicación que creó el archivo. • Ubicación de origen o de destino: direcciones URL, recursos compartidos de red, o la aplicación o el usuario que creó o recibió el contenido. McAfee DLP Endpoint admite software de clasificación de terceros. Puede clasificar el correo electrónico con el clasificador del correo electrónico de Boldon James. Puede clasificar correos electrónicos u otros archivos con los clientes de clasificación Titus, como Titus Message Classification, Titus Classification for Desktop y Titus Classification Suite. Para implementar el soporte de Titus, la SDK de Titus debe estar instalada en los equipos endpoint. McAfee DLP Prevent admite clasificaciones de Titus. No admite clasificaciones de Boldon James. 30 McAfee Data Loss Prevention 10.0.100 Guía del producto Planificación del despliegue Planificación de la directiva DLP 2 Seguimiento McAfee DLP puede rastrear el contenido en función de la ubicación en la que se almacena o la aplicación utilizada para crearlo. McAfee DLP Endpoint para usuarios de Windows también puede crear clasificaciones manuales que se pueden utilizar para rastrear cualquier archivo. Los mecanismos utilizados para rastrear contenido son: • Identificación por huellas digitales de contenido: compatible con McAfee DLP Endpoint • Documentos registrados: compatible con McAfee DLP Endpoint para Windows y McAfee DLP Prevent • Clasificaciones manuales: creado solo con McAfee DLP Endpoint para usuarios de Windows, pero se admite en todos los productos de McAfee DLP Identificación por huellas digitales de contenido La identificación por huellas digitales de contenido es una técnica de rastreo de contenido exclusiva de McAfee DLP Endpoint. El administrador crea un conjunto de criterios de identificación por huellas digitales de contenido que define la ubicación del archivo o la aplicación utilizada para acceder a este y la clasificación que aplicar al archivo. El cliente de McAfee DLP Endpoint rastrea cualquier archivo abierto desde las ubicaciones o aplicaciones definidas en los criterios de identificación por huellas digitales de contenido y crea firmas por huella digital de esos archivos en tiempo real al acceder a ellos. A continuación, utiliza las firmas para rastrear los archivos o los fragmentos de estos. Criterios de identificación por huellas digitales de contenido puede definirse por aplicación, ruta de acceso UNC (ubicación) o URL (aplicación web). Compatibilidad con información de huellas digitales persistente Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o los flujos alternativos de datos (ADS) de un archivo. Al acceder a estos archivos, el software McAfee DLP Endpoint rastrea la transformación de los datos y mantiene la clasificación del contenido de carácter confidencial de forma permanente, con independencia de cómo se utiliza. Si, por ejemplo, un usuario abre un documento de Word con identificación por huella digital, copia unos párrafos del documento en un archivo de texto y adjunta dicho archivo a un mensaje de correo electrónico, el mensaje saliente tendría la misma firma que el documento original. En el caso de sistemas de archivos que no sean compatibles con EA o ADS, el software McAfee DLP Endpoint almacena información de firma en el disco en forma de metarchivo. Los metarchivos se almacenan en una carpeta oculta cuyo nombre es ODB$, que el software cliente McAfee DLP Endpoint crea automáticamente. Las firmas y los criterios de identificación por huellas digitales de contenido no son compatibles con McAfee Device Control. Documentos registrados La función de documentos registrados se basa en el análisis previo de todos los archivos de los repositorios especificados (por ejemplo, el sitio de SharePoint) y en la creación de firmas de fragmentos de cada archivo en estos repositorios. Estas firmas se distribuyen entonces a todos los endpoints gestionados. El cliente de McAfee DLP Endpoint puede entonces rastrear cualquier párrafo copiado desde uno de esos documentos y clasificarlo según la clasificación de la firma del documento registrado. McAfee Data Loss Prevention 10.0.100 Guía del producto 31 2 Planificación del despliegue Planificación de la directiva DLP Los documentos registrados hacen un amplio uso de memoria lo que podría afectar al rendimiento, ya que cada documento que el cliente de McAfee DLP Endpoint inspecciona se compara con todas las firmas de documento registrado para identificar su origen. Práctica recomendada: Para reducir el número de firmas y los problemas de rendimiento que supone esta técnica, utilice documentos registrados únicamente para rastrear los documentos más delicados. Clasificación manual Los usuarios que realizan clasificaciones manuales tienen la opción de aplicar las huellas digitales o las clasificaciones de contenido a los archivos. La identificación por huellas digitales de contenido aplicada manualmente es idéntica a la identificación por huellas digitales aplicada automáticamente descrita anteriormente. Las clasificaciones de contenido aplicadas manualmente incrustan una etiqueta física en el archivo que se puede utilizar para rastrear el archivo cada vez que se copie, pero no crean firmas, por lo que no se puede realizar un seguimiento del contenido de estos archivos que ha sido copiado en otros archivos. Proteger Cree reglas para identificar datos de carácter confidencial y lleve a cabo las acciones adecuadas. Las reglas se componen de condiciones, excepciones y acciones. Las condiciones incluyen varios parámetros (por ejemplo, las clasificaciones) para definir los datos o la acción del usuario que identificar. Las excepciones especifican los parámetros que excluir de la activación de la regla. Las acciones especifican cómo se comporta la regla cuando se activa, por ejemplo, bloqueando el acceso del usuario, cifrando un archivo y creando un incidente. Reglas de protección de datos McAfee DLP Endpoint, Device Control y McAfee DLP Prevent utilizan reglas de protección de datos para evitar la distribución no autorizada de datos clasificados. Cuando un usuario intenta copiar o adjuntar datos clasificados, McAfee DLP intercepta el intento y utiliza las reglas de protección de datos para determinar qué acción llevar a cabo. Por ejemplo, McAfee DLP Endpoint puede detener el intento y mostrar un cuadro de diálogo al usuario final. El usuario introduce la justificación del intento y continúa el procesamiento. McAfee DLP Prevent utiliza reglas de protección de correo electrónico y la Web para supervisar y realizar acciones en las comunicaciones procedentes de un servidor MTA o servidor proxy web. McAfee Device Control solo utiliza reglas de protección de datos de almacenamiento extraíble. Reglas de control de dispositivos Las reglas de Device Control supervisan y, en caso necesario, impiden que el sistema cargue dispositivos físicos como dispositivos de almacenamiento extraíbles, Bluetooth, Wi-Fi y otros dispositivos Plug and Play. Las reglas de control de dispositivos constan de definiciones de dispositivos y especificaciones de reacción, y pueden asignarse a grupos de usuarios finales mediante el filtrado de la regla con definiciones de grupos de usuarios finales. Reglas de descubrimiento McAfee DLP Endpoint y McAfee DLP Discover utilizan las reglas de descubrimiento para el análisis de archivos y datos. Descubrimiento de Endpoint es un rastreador que se ejecuta en los equipos gestionados. Analiza el sistema de archivos local del endpoint, la bandeja de entrada (en caché) de correo electrónico local y los archivos PST. El sistema de archivos local y las reglas de descubrimiento de almacenamiento de 32 McAfee Data Loss Prevention 10.0.100 Guía del producto Planificación del despliegue Planificación de la directiva DLP 2 correo electrónico definen si el contenido debe ponerse en cuarentena, marcarse o cifrarse. Estas también pueden definir si debe informarse de los archivos o correos electrónicos clasificados como un incidente, y de si deben almacenarse los archivos o correos electrónicos como prueba del incidente. Los análisis del sistema de archivos no son compatibles en los sistemas operativos del servidor. McAfee DLP Discover analiza los repositorios y puede mover o copiar archivos, aplicar directivas de gestión de derechos a los archivos y crear incidentes. Conjuntos de reglas Las reglas se organizan en conjuntos de reglas. Un conjunto de reglas puede contener cualquier combinación de tipos de reglas. Directivas Las directivas contienen conjuntos de reglas activos y se implementan desde McAfee ePO al software cliente de McAfee DLP Endpoint, al servidor de descubrimiento o al appliance de McAfee DLP Prevent. Las directivas de McAfee DLP Endpoint también contienen información de asignación de directivas y definiciones. Supervisar Revise los incidentes por infracciones de directiva que se hayan producido. Entre las funciones de supervisión se incluyen las siguientes: • Administración de incidentes: Los incidentes se envían al analizador de eventos de McAfee ePO y se almacenan en una base de datos. Los incidentes contienen los detalles sobre la infracción y pueden, opcionalmente, incluir información de pruebas. Puede ver los incidentes y pruebas tal y como se reciben en la consola Administrador de incidentes de DLP. • Administración de casos: Agrupe incidentes relacionados en casos para una revisión exhaustiva en la consola Administración de casos de DLP. • Eventos operativos: Consulte errores y eventos administrativos en la consola Operaciones de DLP. • Recopilación de pruebas: Si hay reglas configuradas para la recopilación de pruebas, se guardará una copia de los datos o archivos y se vinculará a un incidente específico. Esta información ayuda a determinar la gravedad o la exposición del evento. La prueba se cifra mediante el algoritmo AES antes de que se guarde. • Subrayado de coincidencias: Se pueden guardar pruebas resaltando el texto que ha provocado el incidente. La prueba resaltada se guarda como un archivo HTML cifrado independiente. • Informes: McAfee DLP Endpoint puede crear informes, gráficos y tendencias para su visualización en los paneles de McAfee ePO. Flujo de trabajo de directiva Los productos de McAfee DLP utilizan un flujo de trabajo similar para la creación de directivas. Una directiva está compuesta de reglas, que se agrupan en conjuntos de reglas. Las reglas utilizan clasificaciones y definiciones para especificar lo que McAfee DLP detecta. Las reacciones de las reglas determinan la acción que se realizará cuando existen datos que coinciden con una regla. Utilice el siguiente flujo de trabajo para la creación de directivas. 1 Cree clasificaciones y definiciones. 2 Cree reglas de descubrimiento, dispositivos y protección de datos. Todas las reglas deben incluir clasificaciones o definiciones. McAfee Data Loss Prevention 10.0.100 Guía del producto 33 2 Planificación del despliegue Planificación de la directiva DLP 3 Asignar conjuntos de reglas a las directivas de DLP. Para McAfee DLP Discover, cree definiciones de análisis. 4 Asigne y despliegue las directivas en el Árbol de sistemas. Para McAfee DLP Discover, aplique directivas a los servidores de Discover. Figura 2-3 Cómo conforman una directiva los componentes de las directivas Las opciones y la disponibilidad de estos componentes puede variar dependiendo de qué McAfee DLP utilice. Véase también Componentes compartidos de las directivas en la página 35 Práctica recomendada: flujo de trabajo de McAfee DLP Discover Utilice este flujo de trabajo como guía al implementar McAfee DLP Discover, especialmente en entornos nuevos. 34 1 Ejecute un análisis de inventario para recopilar los metadatos de los archivos de los repositorios de su organización. Los resultados del análisis le ayudarán a comprender los tipos de archivos que se encuentran en los repositorios. 2 Configure clasificaciones para detectar información confidencial o sensible. Utilice estas clasificaciones para definir y ejecutar un análisis de clasificación. 3 Utilice los resultados del análisis de clasificación para ver dónde se encuentra la información confidencial. McAfee Data Loss Prevention 10.0.100 Guía del producto 2 Planificación del despliegue Requisitos del sistema 4 Configure un análisis de corrección para cifrar los archivos confidenciales o para moverlos a un repositorio más seguro. 5 Continúe ejecutando análisis de forma regular y supervise los resultados de los análisis y las incidencias generadas. Perfeccione el análisis en función de los resultados o cambios en la directiva de su organización. Componentes compartidos de las directivas Los productos de McAfee DLP comparten muchos componentes de configuración de directivas. Componente Definiciones Device Control McAfee DLP Endpoint McAfee DLP Discover McAfee DLP Prevent X X X X Clasificaciones X* X X X Criterios de clasificación de contenido X* X X X X** X** Criterios de identificación por huellas digitales de contenido X Clasificaciones manuales X Documentos registrados X X Texto en lista blanca X X Reglas y conjuntos de reglas X X X X Configuración del cliente X X X X X X X X X Configuración del servidor Prueba X* Gestión de derechos * Device Control utiliza clasificaciones, criterios de clasificación de contenido y pruebas únicamente en las reglas de protección de almacenamiento extraíble. ** McAfee DLP Discover y McAfee DLP Prevent pueden analizar archivos de clasificaciones manuales, pero no pueden asignarlas. Requisitos del sistema Todos los productos de McAfee DLP tienen sus propios requisitos. Para ver una lista con los requisitos del sistema para los productos de McAfee DLP, consulte las Notas de la versión de McAfee Data Loss Prevention. Puertos predeterminados utilizados por McAfee DLP McAfee DLP utiliza varios puertos para las comunicaciones de la red. Configure cualquier firewall intermediario o dispositivos de implementación de directivas para permitir esos puertos donde sea necesario. Todos los protocolos que aparecen en la lista utilizan solo TCP, a menos que se indique lo contrario. Para obtener más información acerca de los puertos que se comunican con McAfee ePO, consulte el artículo KB66797. McAfee Data Loss Prevention 10.0.100 Guía del producto 35 2 Planificación del despliegue Puertos predeterminados utilizados por McAfee DLP Tabla 2-1 Puertos predeterminados de McAfee DLP Discover Puerto, protocolo Utilizar • 137, 138, 139: NetBIOS Análisis CIFS • 445: SMB Análisis de Box y SharePoint • 80: HTTP Los servidores de SharePoint pueden estar configurados para utilizar puertos SSL o HTTP no estándar. Si lo necesita, configure los firewall para permitir los puertos no estándar. • 443: SSL 53: DNS (UDP) Consultas DNS • 1801: TCP Microsoft Message Queuing (MSMQ) • 135, 2101*, 2103*, 2105: RPC • 1801, 3527: UDP * Indica que los números de puerto pueden aumentar en 11 dependiendo de los puertos disponibles en la inicialización. Para obtener más información, consulte el artículo de Microsoft Knowledge Base https://support.microsoft.com/ en-us/kb/178517#/en-us/kb/178517. Tabla 2-2 Puertos predeterminados de McAfee DLP Prevent Puerto Utilizar 22: SSH SSH (cuando está activado) 25: SMTP Tráfico SMTP con el MTA 161: SNMP SNMP (cuando está activado) 1344: ICAP Tráfico ICAP con el proxy web 8081: ePO Servicio de agente de ePO 10443: HTTPS Tráfico HTTPS para descargar, por ejemplo, el informe de escalación mínima (MER) y los archivos MIB 11344: ICAP ICAP a través de SSL 53: DNS (UDP) Consultas DNS 123: NTP 36 Solicitudes NTP McAfee Data Loss Prevention 10.0.100 Guía del producto Planificación del despliegue Lista de comprobación de despliegue 2 Lista de comprobación de despliegue Antes de instalar productos de McAfee DLP, compruebe que dispone de la información necesaria para un correcto despliegue. Tabla 2-3 Consideraciones sobre McAfee DLP Endpoint y Device Control Determinar Consideración Impacto en el trabajo Pruebe las nuevas instalaciones o actualizaciones en una subred de la red de producción. Establezca nuevas reglas para Sin acción y supervise los resultados en el Administrador de incidentes de DLP para medir el impacto. Ajuste los parámetros de las reglas para que coincidan con los requisitos antes de la implementación en la red de producción. En organizaciones grandes, el despliegue a gran escala suele hacerse en fases para minimizar el impacto y dejar tiempo para la resolución de problemas. Tipo de despliegue (físico o virtual) Los despliegues virtuales tienen limitaciones adicionales. Consulte la Sizing Guide (guía de dimensionamiento) correspondiente para obtener más información. Tabla 2-4 Consideraciones sobre McAfee DLP Discover Determinar Consideración Servidores de Discover Determine el número y los servidores de Windows para instalar el software de servidor de McAfee DLP Discover. Método de instalación del servidor Determine si va a instalar el software de McAfee DLP Discover a través de McAfee ePO o de forma manual. Repositorios Cree una lista de los repositorios que se van a analizar. Recopile las rutas y las credenciales para estos repositorios y compruebe que estos tipos de repositorios son compatibles con McAfee DLP Discover. McAfee Data Loss Prevention 10.0.100 Guía del producto 37 2 Planificación del despliegue Lista de comprobación de despliegue Tabla 2-5 Consideraciones sobre McAfee DLP Prevent Determinar Consideración Seguridad Al preparar el entorno, tenga en cuenta estos aspectos: • Utilice la administración fuera de banda de una red a la que McAfee ePO pueda tener acceso para aislar la administración y el tráfico de red. • El tráfico de LAN1 no debe ser accesible desde fuera de su organización. • Conecte cualquier interfaz de Baseboard Management Controller, controlador de administración de placa base, (BMC) a una red de administración segura específica. • Controle quién puede acceder a la consola del appliance físico o virtual. Información de red Al preparar el entorno de red, tenga en cuenta estos aspectos: • Interfaces de red: Compruebe que son direcciones IP estáticas en lugar de direcciones IP dinámicas. • Dirección IP para el tráfico de cliente: El nombre de dominio completo (nombre del host.nombre de dominio) debe llevar a esta dirección IP cuando se consulta el servidor DNS. La dirección IP debe llevar al FQDN en una búsqueda inversa. • Cuenta de inicio de sesión: El appliance tiene una cuenta de inicio de sesión de administrador local para el registro en el shell de la máquina virtual. Para que la cuenta sea segura, debe cambiar la contraseña predeterminada. • (Opcional) Dirección IP de la interfaz de administración: Puede utilizar la interfaz fuera de banda (OOB) para el tráfico de administración. De lo contrario, el tráfico de administración y de cliente utiliza la interfaz de LAN1. Módulo de administración remota (RMM) 38 (Solo para appliances de hardware) Si tiene intención de utilizar el RMM para la administración de appliances, utilice una red segura o cerrada para conectarse al RMM. McAfee Data Loss Prevention 10.0.100 Guía del producto 3 Instale McAfee DLP Instale las extensiones y paquetes que necesite para sus productos y realice cualquier configuración inicial. Todos los productos de McAfee DLP utilizan la extensión de McAfee DLP para McAfee ePO. Instálela como su punto inicial. Contenido Descargar archivos de instalación y de las extensiones de productos Instale y añada la licencia a la extensión de McAfee DLP. Instale McAfee DLP Endpoint y el software cliente Device Control. Instale el paquete del servidor de McAfee DLP Discover Instale McAfee DLP Prevent Realización de las tareas posteriores a la instalación Descargar archivos de instalación y de las extensiones de productos Descargue los archivos de la instalación. Antes de empezar Busque el número de concesión que recibió al adquirir el producto. También puede utilizar el Administrador de software de McAfee ePO (Menú | Software | Administrador de software) para ver, descargar e instalar el software. Procedimiento 1 En un navegador web, vaya a www.mcafee.com/us/downloads/downloads.aspx. 2 Introduzca su número de concesión y, a continuación, seleccione el producto y la versión. 3 En la ficha Descargas de software, seleccione y guarde el archivo que corresponda. Producto Descripción del archivo Nombre del archivo Todos los productos Extensión de McAfee Data Loss Prevention DLP_Mgmt_version_Package.zip McAfee DLP Endpoint, Device Control Software cliente • Device Control: HDLP_Agent_Device_Control_version_x.zip • Microsoft Windows: HDLP_Agent_version_x.zip • Mac OS X: DLPAgentInstaller.zip McAfee Data Loss Prevention 10.0.100 Guía del producto 39 3 Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP. Producto Descripción del archivo Nombre del archivo McAfee DLP Discover Paquete de servidor McAfeeDLPDiscoverversionLicensed.zip McAfee DLP Prevent Extensión de McAfee DLP Prevent dlp-prevent-server-package-version-extensions.zip Extensión AME appliance-management-package-version-extensions.zip Extensión de Common commonui-core-package-version-extensions.zip UI Imagen de instalación • Appliance virtual: McAfee-PS-version.ps.hw8.hdd.ova de McAfee DLP • Appliance de hardware: McAfee-PS-version.iso Prevent McAfee DLP Prevent for Mobile Email Ninguno (parte de la extensión de McAfee Data Loss Prevention). La activación del componente de McAfee DLP Prevent for Mobile Email requiere una licencia de McAfee DLP Prevent. N/D Instale y añada la licencia a la extensión de McAfee DLP. La extensión proporciona la interfaz de usuario para configurar McAfee DLP en McAfee ePO. Antes de empezar Compruebe que el nombre del servidor de McAfee ePO aparece en la lista Sitios de confianza en la configuración de seguridad de Internet Explorer. Procedimientos • Instalar la extensión con el Administrador de software en la página 40 Puede utilizar el Administrador de software para instalar, actualizar y eliminar extensiones. • Instalar la extensión de forma manual en la página 41 Instale la extensión con la página de Extensiones. • Activar la licencia de McAfee DLP en la página 41 Proporcione la licencia para tener acceso a las consolas de McAfee DLP. • Aplicación de compatibilidad con versiones anteriores en la página 43 Las directivas compatibles con versiones anteriores permiten utilizar la nueva extensión con versiones anteriores del cliente, lo que proporciona a las grandes empresas una ruta de ampliación ordenada. • Conversión de directivas y migración de datos en la página 45 Ampliar a McAfee DLP 10.0 desde versiones anteriores a 9.4.100 requiere la migración o conversión de los incidentes, los eventos operativos o las directivas. Las tareas servidor de McAfee ePO se utilizan para la conversión/migración. Instalar la extensión con el Administrador de software Puede utilizar el Administrador de software para instalar, actualizar y eliminar extensiones. 40 McAfee Data Loss Prevention 10.0.100 Guía del producto Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP. 3 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Software | Administrador de software. 2 En el panel izquierdo, expanda Software (por etiqueta) y seleccione Data Loss Prevention. 3 Seleccione su producto de McAfee DLP. Si va a instalar McAfee DLP Prevent como uno de sus productos, seleccione la entrada para McAfee DLP Prevent, que instala todas las extensiones necesarias: • McAfee DLP • Common UI • Extensión de administración de appliances • McAfee DLP Prevent 4 Para todo el software disponible, haga clic en Incorporar. 5 Seleccione la casilla de verificación para aceptar el acuerdo de y, a continuación, haga clic en Aceptar. Se instalará la extensión. Aparecerán las extensiones incorporadas en la lista de Software incorporado. A medida que se publican nuevas versiones del software, puede utilizar la opción Actualizar para actualizar las extensiones. Instalar la extensión de forma manual Instale la extensión con la página de Extensiones. Antes de empezar Descargue la extensión de McAfee DLP del sitio web de descargas de McAfee. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Software | Extensionesy, a continuación, haga clic en Instalar extensión. 2 Vaya al archivo con extensión .zip y haga clic en Aceptar. El cuadro de diálogo de instalación muestra los parámetros de archivo para verificar que está instalando la extensión correcta. 3 Haga clic en Aceptar para instalar la extensión. Activar la licencia de McAfee DLP Proporcione la licencia para tener acceso a las consolas de McAfee DLP. Debe introducir al menos una clave de licencia (más de una si dispone de varios productos de McAfee DLP). Las licencias introducidas determinan las opciones de configuración de McAfee ePO disponibles. Puede introducir una licencia tanto para McAfee DLP Endpoint como para Device Control en el campo McAfee DLP Endpoint. Si se reemplaza un tipo de licencia por otro, cambia la configuración. McAfee Data Loss Prevention 10.0.100 Guía del producto 41 3 Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP. Puede introducir las claves de estos productos: • McAfee DLP Endpoint o Device Control • McAfee DLP Discover • McAfee DLP Prevent (especificado en el campo McAfee Network DLP) Esta licencia también activa el servidor de McAfee DLP de software para dispositivos móviles. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Instale licencias y componentes en Configuración de DLP para personalizar la instalación. El módulo Configuración de DLP tiene tres páginas con fichas. En la ficha General, se requiere información. Puede utilizar los valores predeterminados para el resto de opciones de configuración si no tiene requisitos especiales. a Seleccione Menú | Protección de datos | Configuración de DLP. b Para cada licencia que desee agregar, en el campo Claves de licencia | Clave, introduzca la licencia y luego haga clic en Agregar. La instalación de la licencia activa los componentes relacionados de McAfee ePO y las directivas del catálogo de directivas de McAfee ePO. c En el campo Almacenamiento de pruebas predeterminado, introduzca la ruta. La ruta de almacenamiento de pruebas debe ser una ruta de red, es decir, \\[servidor]\[recurso compartido]. Este paso es necesario para guardar la configuración y activar el software. d Establezca la contraseña compartida. Práctica recomendada: Si desea mejorar la seguridad, cambie la contraseña. e Establezca la compatibilidad con versiones anteriores. Para disfrutar de compatibilidad con antiguos clientes, seleccione la compatibilidad con 9.4.0.0 o 9.4.200.0. Este ajuste limita la posibilidad de utilizar nuevas funciones. Existen dos modos de compatibilidad disponibles: el estricto y el no estricto. En el modo estricto, no se puede aplicar una directiva con errores de compatibilidad con versiones anteriores. En el modo no estricto, el propietario de la directiva (o un usuario con permisos de administrador) puede optar por aplicar una directiva con errores de compatibilidad con versiones anteriores. La compatibilidad con versiones anteriores se aplica a las directivas de McAfee DLP Endpoint y McAfee DLP Discover. No se aplica a las directivas de McAfee DLP Prevent. 2 (Opcional) En la ficha Avanzada, edite las opciones de configuración. Las demás opciones tienen valores predeterminados. Puede aceptar los valores predeterminados y guardar la página, o bien editarlos según sea necesario. a Establezca la longitud de la clave desafío/respuesta. Las opciones son claves de 8 y 16 caracteres. b Establezca los permisos del Árbol de sistemas. Con el permiso de acceso al Árbol de sistemas se puede filtrar información de incidentes, eventos, consultas y paneles. 42 McAfee Data Loss Prevention 10.0.100 Guía del producto Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP. c Seleccione la opción de visualización del producto en eventos de Administración de incidentes. d Seleccione las opciones de correo electrónico de Administración de casos. e Establezca la zona horaria personalizada de los eventos. 3 Con ella, los administradores pueden ordenar los eventos según su zona horaria local. Este valor es la diferencia de la zona horaria con respecto a la hora UTC. f Establezca el estado predeterminado de las reglas del Administrador de directivas. De forma predeterminada, el Administrador de directivas puede crear reglas que estén activadas o desactivadas y notificar incidentes con y sin almacenamiento de pruebas. Si activa la opción de generación de informes, todas las reglas supervisarán de forma predeterminada y solo tendrá que definir la reacción de las reglas cuando desee omitir el valor predeterminado. Esta configuración predeterminada se aplica a todas las reglas (para McAfee DLP Endpoint, McAfee DLP Discover o McAfee DLP Prevent). 3 Haga clic en Guardar. 4 Para crear una copia de seguridad de la configuración, seleccione la ficha Crear una copia de seguridad y restaurar y, a continuación, haga clic en Copia de seguridad en archivo. Los módulos de McAfee DLP aparecen en Menú | Protección de datos según la licencia. Véase también Configuración del cliente en la página 61 Configurar ajustes del servidor en la página 64 Aplicación de compatibilidad con versiones anteriores Las directivas compatibles con versiones anteriores permiten utilizar la nueva extensión con versiones anteriores del cliente, lo que proporciona a las grandes empresas una ruta de ampliación ordenada. La compatibilidad con versiones anteriores está disponible para las directivas de McAfee DLP 10.0.0, 9.4.0 y 9.4.200. Las opciones aparecen en la página Configuración de DLP (Menú | Protección de datos | Configuración de DLP). La compatibilidad con versiones anteriores no está disponible para las directivas de McAfee DLP 9.3. Las directivas de versiones anteriores a la 9.4.0 se deben migrar al esquema 9.4. Cuando se trabaja en un modo compatible con versiones anteriores, la extensión de McAfee DLP no transfiere las directivas a los endpoints si contienen condiciones que pueden causar que las versiones de cliente anteriores interpreten incorrectamente la directiva. Más del 90% de las directivas de la versión 10.0.100 son funciones obsoletas o funciones que los clientes de la versión 9.4 pueden ignorar sin que se produzca ningún problema. La compatibilidad con versiones anteriores evita que se aplique el <10% restante de las directivas. Si bien esto resulta muy útil en redes con clientes anteriores de McAfee DLP Endpoint, también conlleva que algunas funciones nuevas no estén disponibles para cualquier endpoint, incluso para aquellos con la última versión de cliente. McAfee Data Loss Prevention 10.0.100 Guía del producto 43 3 Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP. Modo de compatibilidad Elementos no admitidos (elementos que producen errores) 9.4.0 • Una clasificación contiene una definición de patrón avanzado para el número Luhn10 con Bin. • Una clasificación contiene una definición de patrón avanzado para el número de identificación personal de Croacia. • Una directiva utiliza el validador de contraseñas para definir la longitud y el formato de las contraseñas válidas. • Una regla de protección de acceso a los archivos de la aplicación utiliza la opción de versión de Google Chrome no compatible. • Una regla de protección de correo electrónico utiliza una definición de sobre de correo electrónico firmado digitalmente, cifrado S/MIME o cifrado PGP. 9.4.200 • Una clasificación contiene una definición de patrón avanzado del número de identificación de Japón. • Una clasificación contiene una definición de patrón avanzado del número de tarjeta Medicare de Australia. 10.0 • No se ha seleccionado ninguna reacción. • Se ha utilizado una justificación empresarial con una acción no admitida. • Una regla de McAfee DLP Discover contiene una definición de Box. La tabla es acumulativa, es decir, para la compatibilidad con la versión 9.4.0, cualquiera de los elementos de la tabla causa un error. Para la compatibilidad con la versión 9.4.200, los errores se deben a los elementos de las dos últimas filas. Para la compatibilidad con la versión 10.0, solo la última fila es relevante. La compatibilidad con versiones anteriores se puede aplicar mediante dos modos: • Modo no estricto: Los errores de compatibilidad de la directiva muestran una advertencia. Un administrador que tenga permisos de administración de la directiva puede aplicar la directiva. • Modo estricto: Las directivas con errores no se pueden aplicar a la base de datos de McAfee ePO. Cuando se aplica una directiva con errores de compatibilidad con versiones anteriores a la base de datos, los errores se muestran en la Directiva de DLP--> página de Validación de directivas. La columna Detalles de la página incluye una descripción de lo que puede ocurrir si aplica la regla a los clientes de endpoint que no admiten esta función. McAfee DLP Prevent puede utilizar las directivas con advertencias creadas en modo no estricto. Cuando se aplica la compatibilidad con versiones anteriores en modo estricto, las directivas con errores no se pueden aplicar a la base de datos de McAfee ePO y, por tanto, no son detectados por McAfee DLP Prevent. Ejemplo: Descripciones de dispositivos Las definiciones de los dispositivos en las versiones 9.4.200 y 10.0 de McAfee DLP pueden incluir un parámetro opcional llamado Descripción del dispositivo no disponible en versiones anteriores. Utilizar una descripción del dispositivo para definir una definición de dispositivos e incluir dicha definición en una regla de Device Control crea un conjunto de reglas que no se puede aplicar a clientes con la versión 9.4.0. Si acepta la directiva a pesar de la advertencia, aparece el error en la página Validación de directivas. El campo Detalles explica el error "hará coincidir y realizará reacciones para dispositivos que no deseaba hacer coincidir...". Puede hacer clic en Editar para reparar el error. 44 McAfee Data Loss Prevention 10.0.100 Guía del producto Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP. 3 Conversión de directivas y migración de datos Ampliar a McAfee DLP 10.0 desde versiones anteriores a 9.4.100 requiere la migración o conversión de los incidentes, los eventos operativos o las directivas. Las tareas servidor de McAfee ePO se utilizan para la conversión/migración. Antes de empezar Esta tarea describe la ampliación desde McAfee DLP Endpoint 9.3.x. Puede ampliar desde McAfee DLP Endpoint 9.4.0 directamente. Puede definir la compatibilidad con versiones anteriores para dar soporte a clientes de 9.4.0, pero debe ejecutar la tarea servidor Conversión de eventos de incidentes de DLP de la versión 9.4 a la 9.4.1 y superiores si desea mostrar incidentes y eventos operativos antiguos en la versión 10.0 de las consolas Administrador de incidentes de DLP y Operaciones de DLP. Amplíe la extensión de McAfee DLP Endpoint a la versión 9.3.600 (9.3 parche 6) o posterior y, después, instale McAfee DLP 9.4.100 o una extensión posterior en McAfee ePO. La tarea de conversión de directivas solo convierte las reglas que están activadas y aplicadas a la base de datos. Para comprobar el estado de las reglas que desea convertir, revise su directiva de McAfee DLP Endpoint 9.3 antes de la conversión. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Automatización | Tareas servidor. 2 Seleccione Conversión de directivas de DLP y, a continuación, haga clic en Acciones | Ejecutar. Se abre la página Registro de tareas servidor y le permite verificar que la tarea se está ejecutando. La directiva convertida es compatible con la versión 9.4.100 y con directivas posteriores. La tarea falla si se ha ejecutado con anterioridad. Si hace cambios en la directiva McAfee DLP 9.3 y desea volver a ejecutar la conversión, edite la tarea servidor eliminando la selección de la opción No ejecutar la conversión de directivas si existe el 'Conjunto de reglas de conversión de directivas [9.3]' en la página Acciones. El conjunto de reglas anterior se borra y sustituye. 3 Vuelva a la página Tareas servidor, seleccione Migración de incidentes de DLP y, a continuación, haga clic en Acciones | Editar. La opción Migración de eventos operativos de DLP se lleva a cabo de la misma forma. 4 Seleccione Estado de planificación | Activado y, a continuación, Siguiente dos veces. La migración está preprogramada, de modo que puede omitir la página Acciones. McAfee Data Loss Prevention 10.0.100 Guía del producto 45 3 Instale McAfee DLP Instale McAfee DLP Endpoint y el software cliente Device Control. 5 Seleccione un tipo de planificación y la repetición de esta. Práctica recomendada: Planificar las tareas de migración para que se realicen los fines de semana o en horario no laborable debido a la carga que suponen para el procesador. a Establezca la fecha de inicio y fecha de fin para definir un período de tiempo y programar la tarea para cada hora. b Planifique la repetición de la tarea según el tamaño de la base de datos de incidentes que vaya a migrar. Los incidentes se migran en grupos de 200 000. 6 Haga clic en Siguiente para revisar la configuración; a continuación, haga clic en Guardar. Instale McAfee DLP Endpoint y el software cliente Device Control. Use McAfee ePO para desplegar el software cliente en equipos endpoint. Para llevar a cabo una instalación limpia del software cliente 10.0 de McAfee DLP Endpoint, no es necesario volver a iniciar el equipo endpoint. Sin embargo, si amplía el software desde una versión anterior, se debe reiniciar el equipo endpoint tras la instalación. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Software | Repositorio principal. 2 En el repositorio principal, haga clic en Incorporar paquete. 3 Seleccione el tipo de paquete Producto o actualización (.ZIP). Haga clic en Examinar. En el caso de cliente de Microsoft Windows, vaya a ...\HDLP_Agent_10_0_0_xxx.zip. En el caso de cliente de Mac, vaya a ...\DlpAgentInstaller.zip. 4 Haga clic en Siguiente. 5 Revise los detalles en la pantalla Incorporar paquete y, a continuación, haga clic en Guardar. El paquete se agrega al repositorio principal. Instale el paquete del servidor de McAfee DLP Discover El paquete de servidor se despliega en los servidores de descubrimiento e instala McAfee DLP Discover y los componentes necesarios, como los archivos redistribuibles .NET, postgreSQL, AD RMS client 2.1 y C++. 46 McAfee Data Loss Prevention 10.0.100 Guía del producto Instale McAfee DLP Instale el paquete del servidor de McAfee DLP Discover 3 Procedimientos • Instale o amplíe el paquete del servidor con McAfee ePO. en la página 48 Se recomienda utilizar McAfee ePO para instalar el paquete del servidor. • Instale o amplíe el paquete del servidor manualmente en la página 48 Si no puede instalar el paquete del servidor a través de McAfee ePO por problemas como la conectividad de la red, puede instalar manualmente McAfee DLP Discover en el servidor de descubrimiento. • Verificación de la instalación en la página 49 Asegúrese de que McAfee DLP Discover se ha instalado correctamente y se ha establecido comunicación con McAfee ePO. Consideraciones de la ampliación de McAfee DLP Discover Los pasos para ampliar McAfee DLP Discover son prácticamente idénticos a los necesarios para instalar la extensión y el paquete del servidor. 1 Amplíe la extensión al instalarla sobre la versión ya existente. 2 Amplíe el servidor Discover mediante una de estas opciones. • Utilice McAfee ePO para desplegar el paquete del servidor. • Instale el paquete manualmente en el servidor. 3 Cuando amplíe desde la versión 9.4.0, vuelva a aplicar la directiva debido a los cambios en la configuración de directivas. 4 Si planea utilizar funciones nuevas de la versión 10.x, por ejemplo, los análisis de Box, debe seleccionar la opción de compatibilidad adecuada. En McAfee ePO, seleccione Menú | Protección de datos | Configuración de DLP y, a continuación, en Compatibilidad con versiones anteriores, seleccione 10.0.0.0 y versiones posteriores. Debe ampliar la extensión en McAfee ePO antes de hacerlo con el servidor Discover. McAfee DLP Discover admite el uso de una extensión de versión posterior para administrar un servidor con una versión anterior. No puede gestionar un servidor de versión posterior haciendo uso de una extensión de versión anterior. No tiene que volver a agregar la licencia del software ni introducir de nuevo la ruta del servidor de prueba. Es posible que necesite reiniciar el servidor de descubrimiento si no se activa MSMQ tras la ampliación o si no se eliminan las claves de registro o las carpetas de programas de datos antiguas. Si tiene que reiniciar el servidor, McAfee DLP Discover genera un evento operativo. • Si ha instalado el paquete de servidor manualmente, el servidor le solicitará que reinicie. • Si ha utilizado McAfee ePO, el mensaje puede mostrarse según los parámetros de configuración de McAfee Agent. En algunos casos, es posible que no se active MSMQ incluso después de reiniciar, por lo que el servidor de descubrimiento enviará un evento operativo. Si sucede esto, tendrá que activar MSMQ manualmente y poner en marcha el servidor Discover. Para obtener más información sobre las rutas de ampliación compatibles, consulte las Notas de la versión de McAfee Data Loss Prevention Discover. No instale el software sobre una instalación ya existente de la misma versión. McAfee Data Loss Prevention 10.0.100 Guía del producto 47 3 Instale McAfee DLP Instale el paquete del servidor de McAfee DLP Discover Instale o amplíe el paquete del servidor con McAfee ePO. Se recomienda utilizar McAfee ePO para instalar el paquete del servidor. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 3 4 Incorpore el paquete del servidor. a En McAfee ePO, seleccione Menú | Software | Repositorio principal. b Haga clic en Incorporar paquete. c Vaya al archivo .zip del paquete del servidor y haga clic en Siguiente. d Haga clic en Guardar. Cree una tarea cliente. a Seleccione Menú | Árbol de sistemas. b Seleccione el servidor de descubrimiento y, después, seleccione Acciones | Agente | Modificar tareas en un solo sistema. c Seleccione Acciones | Nueva asignación de tarea cliente. Configure la asignación de tarea. a En el área Producto, seleccione McAfee Agent. b En el área Tipo de tarea, seleccione Despliegue de productos. c En el área Nombre de tarea, haga clic en Crear nueva tarea. Configure la tarea. a En el área Plataformas de destino, seleccione Windows. b En el menú de Productos y componentes, seleccione McAfee Discover Server. c En el menú Acción, seleccione Instalar. d Haga clic en Guardar. 5 Seleccione el nombre de la nueva tarea y, a continuación, haga clic en Siguiente. 6 Configure cuándo ejecutar la tarea y después haga clic en Siguiente. 7 Haga clic en Guardar. Instale o amplíe el paquete del servidor manualmente Si no puede instalar el paquete del servidor a través de McAfee ePO por problemas como la conectividad de la red, puede instalar manualmente McAfee DLP Discover en el servidor de descubrimiento. Procedimiento 48 1 Descargue o transfiera el archivo DiscoverServerInstallx64.exe al servidor de descubrimiento. 2 Haga doble clic en el archivo y siga las instrucciones que aparecen en la pantalla. McAfee Data Loss Prevention 10.0.100 Guía del producto Instale McAfee DLP Instale el paquete del servidor de McAfee DLP Discover 3 Verificación de la instalación Asegúrese de que McAfee DLP Discover se ha instalado correctamente y se ha establecido comunicación con McAfee ePO. En caso de que se produzca un fallo en la instalación, McAfee DLP Discover genera un evento operativo. Para ver los eventos, seleccione Menú | Protección de datos | Operaciones de DLP. Procedimiento 1 Si no se activa MSMQ tras la instalación o si no se eliminan las claves de registro o las carpetas de programas de datos antiguas, debe reiniciar el servidor de descubrimiento. Si tiene que reiniciar el servidor, McAfee DLP Discover genera un evento operativo. • Si ha instalado el paquete de servidor manualmente, se le solicitará reiniciar el servidor. • Si ha utilizado McAfee ePO, el mensaje puede mostrarse según los parámetros de configuración de McAfee Agent. En algunos casos, es posible que no se active MSMQ incluso después de reiniciar, por lo que el servidor de descubrimiento enviará un evento operativo. Si sucede esto, tendrá que activar MSMQ manualmente y poner en marcha el servidor Discover. Para obtener más información acerca de cómo habilitar MSMQ, consulte el artículo KB87274. 2 3 En el sistema operativo del servidor, compruebe que los procesos y servicios de McAfee DLP Discover se encuentran en funcionamiento: • McAfee Discover Service • Servicio de Postgres del servidor de McAfee Discover Active los agentes de McAfee ePO o recopile y envíe las propiedades desde el servidor de descubrimiento. • En McAfee ePO, seleccione Menú | Árbol de sistemas, elija el servidor y haga clic en Activar agentes. • En la bandeja del sistema del servidor de descubrimiento, haga clic en el icono de McAfee, seleccione Monitor de estado de McAfee Agent y haga clic en Recopilar y enviar propiedades. La columna Estado muestra Implementando directivas para DISCOVERxxxx. 4 Asegúrese de que se detecta el servidor de descubrimiento. a En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. b Haga clic en la ficha Servidores de descubrimiento. Aparecerá una lista de los servidores detectados. Si el servidor no figura, seleccione Acciones | Detectar servidores. Esta tarea se ejecuta cada 10 minutos de forma predeterminada. 5 Práctica recomendada: Cambie el intervalo de comunicación agente-servidor de McAfee Agent para garantizar que los datos analíticos están actualizados. a Seleccione Menú | Directiva | Catálogo de directivas. b En la lista desplegable Producto, seleccione McAfee Agent. McAfee Data Loss Prevention 10.0.100 Guía del producto 49 3 Instale McAfee DLP Instale McAfee DLP Prevent c En la columna Categoría, localice la directiva predeterminada que figura como General y ábrala. d En la ficha General, en el área Puerto de comunicación agente-servidor, cambie el intervalo a 5. Para desinstalar el servidor de descubrimiento, vaya a Panel de control | Programas y características del servidor Windows. Instale McAfee DLP Prevent Instale el appliance y regístrelo con McAfee ePO. Procedimientos • Instalación de las extensiones en la página 50 Si ha instalado manualmente la extensión de McAfee DLP en lugar de utilizar el Administrador de software, también debe instalar las extensiones necesarias para McAfee DLP Prevent. • Configuración de la información de red en la página 51 Configure el servidor DNS, el servidor NTP y el Host inteligente en McAfee ePO. • Instalación del software en un appliance virtual en la página 51 Utilice el archivo OVA para instalar el software en su entorno virtual. • Instalación del software en un appliance de hardware en la página 52 Instale McAfee DLP Prevent en un appliance modelo 4400 o 5500. • Ejecutar el Asistente de instalación y registrarse con McAfee ePO en la página 54 Utilice el Asistente de instalación para configurar las opciones de red y registre el appliance con McAfee ePO. • Instalar el paquete del servidor de McAfee DLP Prevent for Mobile Email en la página 55 Instalación de las extensiones Si ha instalado manualmente la extensión de McAfee DLP en lugar de utilizar el Administrador de software, también debe instalar las extensiones necesarias para McAfee DLP Prevent. Antes de empezar • Descargue las extensiones. • Instale la extensión de McAfee DLP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 50 1 En McAfee ePO, seleccione Menú | Software | Extensionesy, a continuación, haga clic en Instalar extensión. 2 Siga estos pasos para cada una de las extensiones. Instale las extensiones en este orden: • Paquete de Common UI • Extensión de administración de appliances • McAfee DLP Prevent a Busque el archivo con extensión .zip. b Haga clic dos veces en Aceptar. McAfee Data Loss Prevention 10.0.100 Guía del producto Instale McAfee DLP Instale McAfee DLP Prevent 3 Configuración de la información de red Configure el servidor DNS, el servidor NTP y el Host inteligente en McAfee ePO. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas. 2 En la lista desplegable Producto, seleccione Ajustes generales de administración de appliances. 3 Seleccione la directiva My Default. 4 Agregue el servidor DNS y el servidor NTP y, a continuación, haga clic en Guardar. 5 En la lista desplegable Producto, seleccione Servidor de DLP Prevent. 6 Seleccione la directiva My Default para la Configuración de correo electrónico. 7 Introduzca la dirección IP del Host inteligente y, a continuación, haga clic en Guardar. Instalación del software en un appliance virtual Utilice el archivo OVA para instalar el software en su entorno virtual. Procedimiento 1 Inicie VMware vSphere Client e inicie sesión en VMware vCenter Server. 2 Haga clic en Actions | Deploy OVF Template (Acciones | Desplegar plantilla OVF). Aparecerá el cuadro de diálogo Deploy OVF Template (Desplegar plantilla OVF). 3 Seleccione Local file | Browse (Archivo local | Examinar) y abra el archivo OVA que ha descargado del sitio web de descargas de McAfee. 4 Siga las instrucciones que aparecen en pantalla y haga clic en Next (Siguiente) para avanzar en la instalación. a Valide el paquete y seleccione Accept extra configuration options (Aceptar opciones de configuración adicionales). b Introduzca un nombre para el appliance y, a continuación, especifique el centro de datos y la carpeta en la que desplegarlo. c Seleccione el clúster y un grupo de recursos opcional. d Seleccione el almacén de datos para el appliance. Práctica recomendada: Seleccione la opción Thick Provision Lazy Zeroed (Aprovisionamiento pesado sin puesta a cero diferido) como formato del disco virtual. El rendimiento inicial podría verse afectado junto con otras opciones. La opción Thick Eager (Pesado con puesta a cero) puede llevar algún tiempo en finalizar. McAfee Data Loss Prevention 10.0.100 Guía del producto 51 3 Instale McAfee DLP Instale McAfee DLP Prevent e Seleccione las redes virtuales. De forma predeterminada, se configuran estas direcciones IP: • LAN_1: 10.1.1.108/24 Utilice la red LAN_1 para el tráfico SMTP o ICAP. También se puede utilizar para el tráfico de administración. • OOB: 10.1.3.108/24 (Opcional) Utilice la red fuera de banda (OOB) para el tráfico de administración, incluida la comunicación con McAfee ePO. Si la red utiliza DHCP, se utilizará en su lugar la primera dirección IP que el servidor DHCP asigna al appliance. Puede configurar la dirección IP de forma manual con el asistente de instalación. El appliance no admite el uso de una configuración de DHCP continua. La gateway predeterminada del appliance utiliza la red LAN1. Configure cualquier enrutamiento necesario en la interfaz OOB mediante rutas estáticas. f 5 Revise el resumen. Haga clic en Finish (Finalizar). Utilice la información de Recent Tasks (Tareas recientes) para comprobar si se crea la máquina virtual. 6 Vaya a la máquina virtual y enciéndala. Instalación del software en un appliance de hardware Instale McAfee DLP Prevent en un appliance modelo 4400 o 5500. Procedimientos • Conexión del appliance en la página 52 Prepare el appliance para la instalación. • Instalar una nueva imagen en los appliances de hardware en la página 53 Instalar McAfee DLP Prevent en el appliance. Conexión del appliance Prepare el appliance para la instalación. De forma predeterminada, se configura cada appliance con estas direcciones IP: • LAN1: 10.1.1.108/24 Utilice la red LAN1 para el tráfico SMTP o ICAP. También se puede utilizar para el tráfico de administración. • OOB: 10.1.3.108/24 (Opcional) Utilice la red fuera de banda (OOB) para el tráfico de administración, incluida la comunicación con McAfee ePO. Si la red utiliza DHCP, se utilizará en su lugar la primera dirección IP que el servidor DHCP asigna al appliance. Puede configurar la dirección IP de forma manual con el asistente de instalación. El appliance no admite el uso de una configuración de DHCP continua. La gateway predeterminada del appliance utiliza la red LAN1. Configure cualquier enrutamiento necesario en la interfaz OOB mediante rutas estáticas. El appliance también tiene un módulo de administración remota (RMM) que ofrece la funcionalidad de administración desasistida, como el acceso remoto a KVM y al BIOS del appliance. 52 McAfee Data Loss Prevention 10.0.100 Guía del producto Instale McAfee DLP Instale McAfee DLP Prevent 3 Para obtener más información acerca de cómo identificar los puertos de red de su appliance, consulte la Guía del hardware de McAfee Data Loss Prevention. Procedimiento 1 Conecte al appliance un monitor, un teclado y un ratón. 2 Conecte la interfaz LAN1 del appliance a su red. 3 (Opcional) Conecte la interfaz OOB a una red distinta. 4 (Opcional) Conecte la interfaz RMM a una red de administración. Práctica recomendada: Utilice una red protegida o cerrada para el RMM. Configuración de la consola serie Puede utilizar la consola serie para instalar únicamente el software de McAfee DLP Prevent. Debe utilizar otro método, como el RMM, para configurar la red y registrarse con McAfee ePO. Puede activar la RMM a través de la consola serie. El progreso de la instalación no aparece cuando se utiliza la consola serie. Tabla 3-1 Parámetros de conexión en serie Configuración de puerto Valor Velocidad de transmisión en baudios 115200 Bits de datos 8 Bits de parada 1 Paridad Ninguno Control de flujo Ninguno Véase también Configuración del RMM en la página 250 Instalar una nueva imagen en los appliances de hardware Instalar McAfee DLP Prevent en el appliance. Puede realizar la instalación inicial mediante los siguientes métodos: • Unidad USB Utilizar software de escritura de imagen, como Image Writer de Launchpad, para escribir la imagen en la unidad USB. Para obtener más información, consulte el artículo KB87321. • Unidad de CD con USB • (solo dispositivos 4400) Unidad de CD integrada • Unidad de CD virtual que utiliza el módulo de administración remota (RMM) Procedimiento 1 Al utilizar el archivo ISO de instalación, se crean o configuran los medios gráficos externos. 2 Inserte o conecte los medios al appliance. 3 Encienda o reinicie el appliance. McAfee Data Loss Prevention 10.0.100 Guía del producto 53 3 Instale McAfee DLP Instale McAfee DLP Prevent 4 Antes de que se inicie el sistema operativo, pulse F6 para ver el menú de arranque y seleccione los medios externos. R3c0n3x es la contraseña del BIOS para dispositivos 4400. 5 Siga las instrucciones que aparecen en pantalla. 6 Lea el acuerdo de licencia para el usuario final y, a continuación, pulse Y para aceptarlo. 7 En el menú de instalación, pulse A para una instalación completa y, a continuación, pulse Y para continuar. Una vez completada la secuencia de instalación, se reiniciará el appliance. Si se produce un error en la instalación, llame al soporte técnico de McAfee. No intente realizar la instalación de nuevo. Ejecutar el Asistente de instalación y registrarse con McAfee ePO Utilice el Asistente de instalación para configurar las opciones de red y registre el appliance con McAfee ePO. Después de que se instale y reinicie el appliance, el Asistente de instalación se iniciará automáticamente. Si ha instalado el software mediante la consola serie en un appliance de hardware, utilice otro método, como el RMM, para completar al Asistente de instalación. Procedimiento 1 Elija el idioma del Asistente de instalación y, a continuación, configure las opciones de red básicas. El asistente contiene información que le ayudará a establecer la configuración. a En la página de Bienvenida, seleccione Configuración de red básica y haga clic en Siguiente. b Complete las opciones en la página Configuración básica y, a continuación, haga clic en Siguiente. Se recomienda cambiar la contraseña predeterminada la primera vez que ejecute el Asistente de instalación. La nueva contraseña debe tener al menos ocho caracteres. La contraseña predeterminada es contraseña. c Complete las opciones en la página Servicios de red y, a continuación, haga clic en Siguiente. d Revise la información de la página Resumen y realice las correcciones necesarias. e Haga clic en Finish (Finalizar). Se aplicará la configuración de red inicial. El asistente se reiniciará después de que se aplique la configuración de red la primera vez finalice el Asistente de instalación o de que se haya registrado con un nuevo McAfee ePO en caso necesario. 2 54 Regístrese en McAfee ePO. a Seleccione Registro de ePO y haga clic en Siguiente. b Complete las opciones en la página Registro de ePO. c Haga clic en Finish (Finalizar). McAfee Data Loss Prevention 10.0.100 Guía del producto Instale McAfee DLP Realización de las tareas posteriores a la instalación 3 3 Inicie sesión en McAfee ePO. El producto aparecerá en el Árbol de sistemas. Si es necesario, mueva la entrada a la ubicación correcta de la jerarquía. Instalar el paquete del servidor de McAfee DLP Prevent for Mobile Email El paquete del servidor de McAfee DLP Prevent for Mobile Email puede implementarse en servidores de forma manual o con McAfee ePO. La instalación es idéntica a la del paquete del servidor de McAfee DLP Discover. No instale ambos paquetes de servidor en el mismo servidor. Véase también Instale o amplíe el paquete del servidor con McAfee ePO. en la página 48 Instale o amplíe el paquete del servidor manualmente en la página 48 Realización de las tareas posteriores a la instalación Tras la instalación, establezca opciones de configuración y directivas para sus productos. Las tareas incluyen: • Crear y configurar carpetas de pruebas. • Definir las opciones de configuración de cliente y del servidor. • Crear clasificaciones, definiciones y reglas. • Asignar las opciones de configuración y directivas en el árbol de sistemas. • (McAfee DLP Discover y McAfee DLP Endpoint) Crear análisis. • (McAfee DLP Prevent) Integrar con un servidor MTA o proxy web. Véase también Documentación de eventos mediante pruebas en la página 69 Criterios y definiciones de clasificación en la página 119 Reglas en la página 144 Protección de los archivos con las reglas de descubrimiento en la página 179 Uso de las directivas de McAfee DLP Prevent en la página 80 Configuración de ajustes del cliente en la página 64 Configurar ajustes del servidor en la página 64 Configurar directivas para los análisis en la página 193 Descargar archivos de instalación y de las extensiones de productos en la página 39 McAfee Data Loss Prevention 10.0.100 Guía del producto 55 3 Instale McAfee DLP Realización de las tareas posteriores a la instalación 56 McAfee Data Loss Prevention 10.0.100 Guía del producto Configuración y uso Configure el software para lograr un uso optimizado en el entorno empresarial según las decisiones de gestión sobre qué contenido debe protegerse y cuál es el mejor modo de protegerlo. Capítulo Capítulo Capítulo Capítulo Capítulo Capítulo 4 5 6 7 8 9 Configuración de los componentes del sistema Protección de medios extraíbles Clasificación del contenido confidencial Protección de contenido de carácter confidencial Análisis de datos con descubrimiento de McAfee DLP Endpoint Análisis de datos con McAfee DLP Discover McAfee Data Loss Prevention 10.0.100 Guía del producto 57 Configuración y uso 58 McAfee Data Loss Prevention 10.0.100 Guía del producto 4 Configuración de los componentes del sistema Los componentes del sistema se pueden personalizar para dar respuesta a las necesidades de su empresa. La configuración de las opciones del sistema y de los agentes permite optimizar el sistema para proteger la información confidencial de la empresa de forma eficaz. Contenido Configuración de McAfee DLP en el catálogo de directivas Protección de archivos mediante la gestión de derechos Documentación de eventos mediante pruebas Control de asignaciones con usuarios y conjuntos de permisos Control de acceso a las funciones de McAfee DLP Prevent Uso de las directivas de McAfee DLP Prevent Funciones de McAfee ePO McAfee Data Loss Prevention 10.0.100 Guía del producto 59 4 Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas Configuración de McAfee DLP en el catálogo de directivas McAfee DLP utiliza el catálogo de directivas de McAfee ePO para almacenar directivas y configuraciones de cliente. McAfee DLP crea directivas en el catálogo de directivas de McAfee ePO. Las directivas se asignan a equipos endpoint en el Árbol de sistemas de McAfee ePO. • Directiva de DLP: contiene los conjuntos de reglas activos asignados a la directiva, los análisis de descubrimiento de endpoint planificados y la configuración de la estrategia de aplicaciones, las omisiones de clases de dispositivos y los usuarios con privilegios, así como la validación de directivas. • Configuración del servidor: Contiene las configuraciones de McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Prevent for Mobile Email. Le permite definir las opciones de servicio de copia de pruebas y de registro, los ajustes de administración de derechos y de SharePoint y las opciones de extractor de texto. La configuración de servidor solo se muestra si se ha registrado una licencia de McAfee DLP Discover o de McAfee DLP Prevent. Práctica recomendada: Cree configuraciones de servidor independientes para McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Prevent for Mobile Email. McAfee DLP Prevent solo utiliza la sección Servicio de copia de pruebas de la configuración de servidor, McAfee DLP Prevent for Mobile Email solo utiliza el Proxy de ActiveSync. McAfee DLP Discover utiliza todas las secciones, excepto el Proxy de ActiveSync. • Configuraciones del cliente: Las configuraciones independientes de los equipos Microsoft Windows y OS X contienen los ajustes de configuración para los clientes de McAfee DLP Endpoint. Los ajustes determinan cómo aplican los clientes las directivas de McAfee DLP en los equipos endpoint. Las configuraciones del cliente solo se muestran si se ha registrado una licencia de McAfee DLP Endpoint. La Directiva de DLP incluye Conjuntos de reglas activos, la configuración de Descubrimiento de endpoint, Configuración y la Validación de directivas. Las directivas de configuración del cliente (Windows, OS X) contienen los ajustes que determinan cómo funcionan los equipos endpoint con las directivas. Son donde se activa el Servicio de copia de pruebas para McAfee DLP Endpoint. Utilice las directivas de configuración de servidor para McAfee Data Loss Prevention Discover y McAfee DLP Prevent. Configure ajustes como el Servicio de copia de pruebas y los parámetros de registro. Importar o exportar la configuración de McAfee DLP Endpoint Las configuraciones de directivas de endpoint pueden guardarse en formato HTML como copia de seguridad o transferir las directivas a otros servidores de McAfee ePO. No utilice este procedimiento para guardar configuraciones de directivas de DLP. Mientras que la opción Exportar guarda el archivo, la opción Importar no puede importarlo. Para guardar las directivas de DLP, utilice la página Copia de seguridad y restauración en Configuración de DLP. 60 McAfee Data Loss Prevention 10.0.100 Guía del producto 4 Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Catálogo de directivas | Producto | Data Loss Prevention. 2 Siga uno de estos procedimientos: • Para exportar, haga clic en Exportar. En la ventana Exportar, haga clic con el botón derecho en el vínculo del archivo y seleccione Guardar vínculo como para guardar la directiva como un archivo XML. El botón Exportar exporta todas las directivas. Puede exportar una directiva individual, seleccionando Exportar en la columna Acciones en la fila de nombre de directiva. • Para importar una directiva guardada, haga clic en Importar. En la ventana Importar directivas, vaya a una directiva guardada, haga clic en Abrir y, a continuación, en Aceptar. La ventana de importación se abre, mostrando las directivas que está a punto de importar y si hay un conflicto de nombre. Puede anular la selección de cualquier directiva en conflicto y no importarla. Si decide importar una directiva con un conflicto de nombre, esta sobrescribirá la directiva existente y asumirá sus asignaciones. Configuración del cliente El software cliente McAfee DLP Endpoint para McAfee Agent reside en los equipos de la empresa y ejecuta la directiva definida. Asimismo, el software supervisa las actividades del usuario que afectan al contenido de carácter confidencial. La configuración del cliente se almacena en la directiva, que se despliega en los equipos gestionados. El Catálogo de directivas viene con las directivas predeterminadas de McAfee para las configuraciones de endpoint OS X y Windows y la directiva de DLP. Haga clic en Duplicar (en la columna Acciones) para crear una copia editable como base de su directiva. La configuración del cliente se almacena en la directiva, que se despliega en los equipos gestionados mediante McAfee ePO. Si se actualiza la configuración, debe volver a desplegar la directiva. Vigilancia del servicio del cliente La vigilancia del servicio del cliente no se puede utilizar en McAfee DLP Endpoint for Mac. Para mantener el funcionamiento normal del software McAfee DLP Endpoint, incluso en caso de interferencia malintencionada, McAfee DLP Endpoint ejecuta un servicio de protección denominado Vigilancia del servicio del cliente. Este servicio supervisa el software McAfee DLP Endpoint y lo reinicia si se interrumpe su ejecución por cualquier motivo. El servicio está activado de forma predeterminada. Si desea comprobar que se está ejecutando, busque en los procesos del Administrador de tareas de Windows un servicio denominado fcagswd.exe. Opciones de configuración del cliente Las opciones de configuración del cliente determinan cómo funciona el software del endpoint. La mayor parte de las opciones de configuración del cliente tienen valores predeterminados razonables que se pueden utilizar para la configuración y las pruebas iniciales sin alteración. Práctica recomendada: Para comprobar que las opciones de configuración del cliente siguen cumpliendo sus requisitos, revíselas periódicamente. La siguiente tabla incluye algunos de los ajustes más importantes que debe comprobar. McAfee Data Loss Prevention 10.0.100 Guía del producto 61 4 Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas Tabla 4-1 Configuración del endpoint Ajuste Detalles Configuración avanzada Ejecutar el cliente de DLP en modo seguro Esta opción está desactivada de forma predeterminada. Al activar esta opción, McAfee Se aplica únicamente DLP Endpoint es completamente funcional cuando el equipo se inicia en modo seguro. Existe un a los clientes de mecanismo de recuperación en caso de que el Windows. cliente de McAfee DLP Endpoint provoque un fallo de arranque. Omisión de agente Se aplica a los clientes de Windows y Mac OS X. Rastreo de contenido Se aplica a los clientes de Windows y Mac OS X. Conectividad corporativa Se aplica a los clientes de Windows y Mac OS X. Protección del correo electrónico Se aplica únicamente a los clientes de Windows. Servicio de copia de pruebas Se aplica a los clientes de Windows y Mac OS X. Módulos y modo de funcionamiento Se aplica a los clientes de Windows y Mac OS X. 62 Descripción La omisión de agente se detiene cuando se carga una nueva configuración de cliente. Esta opción está desactivada de forma predeterminada. Utilizar la siguiente página de código ANSI de respaldo Si no se define ningún idioma, el respaldo es el idioma predeterminado del equipo endpoint. Procesos en lista blanca Se agregan procesos y extensiones a la lista blanca. Detección de red corporativa Se pueden aplicar diferentes acciones preventivas a equipos endpoint dentro de la red corporativa o fuera de la red. En el caso de algunas reglas, pueden aplicarse distintas acciones preventivas cuando se está conectado a una VPN. Para usar la opción de VPN o determinar la conectividad de la red por servidor corporativo y no por conexión a McAfee ePO, defina la dirección IP del servidor en la sección pertinente. Detección de VPN corporativa Almacenamiento en caché de correos electrónicos Almacena las firmas de etiqueta de correos electrónicos en el disco para eliminar los que se han vuelto a analizar. API de administración de correo electrónico El correo electrónico saliente lo gestiona tanto el modelo de objetos de Outlook (OOM) como la interfaz de programación de aplicaciones de mensajería (MAPI). OOM es la API predeterminada, aunque algunas configuraciones requieren MAPI. Integración del complemento de terceros de Outlook Se admiten dos aplicaciones de clasificación de terceros: Titus y Boldon James. Estrategia de tiempo de espera de correo electrónico Establece el tiempo máximo permitido para analizar un correo electrónico y la acción aplicable si se supera dicho tiempo. Recurso compartido de almacenamiento de pruebas (UNC) Sustituya el texto de ejemplo por el recurso compartido de almacenamiento de pruebas. Configuración de cliente Se puede modificar la manera en que se muestra el subrayado de coincidencias definiendo las coincidencias de clasificación de forma que aparezcan todas o solo los resultados abreviados. Modo de funcionamiento Defina Device Control o el modelo completo de McAfee DLP Endpoint. Restablezca este parámetro para ampliar o reducir su licencia. McAfee Data Loss Prevention 10.0.100 Guía del producto Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas Tabla 4-1 4 Configuración del endpoint (continuación) Ajuste Detalles Descripción Módulos de protección de datos Active los módulos necesarios. Práctica recomendada: Para mejorar el rendimiento, anule la selección de los módulos que no utilice. Web Protection Se aplica únicamente a los clientes de Windows. Evaluación de la protección Seleccione entradas para la evaluación de la web solicitud web al que coinciden con las reglas de protección web. Esta configuración permitir bloquear solicitudes enviadas por AJAX a otra dirección URL desde la que se muestra en la barra de direcciones. Debe seleccionar al menos una opción. Procesar solicitudes HTTP GET Las solicitudes GET están desactivadas de forma predeterminada porque consumen muchos recursos. Utilice esta opción con precaución. Versiones de Chrome compatibles Si utiliza Google Chrome, haga clic en Examinar para agregar la lista actual de versiones compatibles. La lista es un archivo XML que descarga del Soporte de McAfee. Estrategia de tiempo de espera de Web Establece el tiempo de espera de análisis de publicación web, la acción que realizar si se sobrepasa el tiempo de espera y un mensaje de usuario opcional. Direcciones URL en lista blanca Enumera las direcciones URL excluidas de las reglas de protección web. Compatibilidad con los parámetros de configuración del cliente McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac están configurados de forma similar en directivas del cliente distintas. Tabla 4-2 Página de depuración y registro Parámetro Compatibilidad con sistemas operativos Eventos administrativos comunicados por los clientes Las opciones de configuración de filtro que se pueden aplicar en McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac son: • Cliente entra en el modo de omisión • Cliente sale del modo de omisión • Cliente instalado Todos los demás ajustes corresponden solo a McAfee DLP Endpoint para Windows. Registro Se puede utilizar en McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac. Tabla 4-3 Página Componentes de la interfaz de usuario Sección Parámetro Interfaz de usuario cliente Mostrar consola de DLP (todas las McAfee DLP Endpoint para Windows únicamente opciones) Activar ventana emergente de notificación al usuario final McAfee Data Loss Prevention 10.0.100 Compatibilidad con sistemas operativos McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac Guía del producto 63 4 Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas Tabla 4-3 Página Componentes de la interfaz de usuario (continuación) Sección Parámetro Compatibilidad con sistemas operativos Mostrar cuadro de diálogo de solicitud de justificación McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac Desafío y respuesta Todas las opciones McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac Directiva de bloqueo de código de autorización Todas las opciones McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac Imagen de banner de cliente Todas las opciones McAfee DLP Endpoint para Windows únicamente Configuración de ajustes del cliente Configure los ajustes para McAfee DLP Endpoint. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas. 2 En la lista desplegable Producto, seleccione Data Loss Prevention 10. 3 (Opcional) En la lista desplegable Categoría, seleccione Configuración del cliente Windows o Configuración del cliente Mac OS X. 4 Seleccione una configuración para editarla o haga clic en Duplicar para la configuración de McAfee Default. 5 En la página Servicio de copia de pruebas, introduzca el recurso compartido de almacenamiento y las credenciales. 6 Actualice los ajustes en el resto de páginas según sea necesario. 7 Haga clic en Aplicar directiva. Configurar ajustes del servidor Establecer las opciones de configuración del servidor de McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP para dispositivos móviles. Antes de empezar Para la configuración del servidor de McAfee DLP Discover: • Si está utilizando un servidor de administración de derechos, obtenga el nombre de dominio, el nombre de usuario y la contraseña. • Si tiene pensado ejecutar análisis de corrección en los servidores de SharePoint, determine si los servidores de SharePoint de su empresa utilizan la papelera de reciclaje. No combinar correctamente este ajuste puede ocasionar errores o comportamientos inesperados durante el análisis de corrección. Para el servidor de McAfee DLP para dispositivos móviles, establezca la Configuración de ActiveSync del servidor de MobileIron Sentry de la siguiente forma: 64 McAfee Data Loss Prevention 10.0.100 Guía del producto 4 Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas • Autenticación del servidor: de paso • Servidor(es) ActiveSync: [Dirección del proxy de DLP ActiveSync] McAfee DLP Server para dispositivos móviles requiere certificación. Consulte KBxxxxx para obtener más información sobre cómo obtener e instalar certificados. • El servidor de McAfee DLP para dispositivos móviles utiliza únicamente la configuración del Proxy de ActiveSync. • McAfee DLP Prevent utiliza únicamente la configuración del Servicio de copia de pruebas. • McAfee DLP Discover puede utilizar todas las opciones de configuración del servidor, excepto el Proxy de ActiveSync, aunque algunas son opcionales. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas. 2 En la lista desplegable Producto, seleccione Data Loss Prevention 10. 3 (Opcional) En la lista desplegable Categoría, seleccione Configuración del servidor. 4 Siga uno de estos procedimientos: • Seleccione una configuración del servidor que editar. • Haga clic en Duplicar para la configuración de McAfee Default. 5 (Opcional, solo para McAfee DLP Discover) En la página de Box, compruebe las opciones del historial de versiones y de la papelera. 6 En la página Servicio de copia de pruebas, introduzca el recurso compartido de almacenamiento y las credenciales. Para McAfee DLP Prevent, especifique un nombre de usuario y una contraseña. No utilice la opción de la cuenta de sistema local. Práctica recomendada: Utilice los valores predeterminados para la Configuración del servidor. (McAfee DLP Prevent ignora la configuración del ancho de banda de transmisión.) 7 (Opcional, solo para McAfee DLP Discover) En la página Registro, defina el tipo de resultado del registro y el nivel de registro. Práctica recomendada: Utilice los valores predeterminados. 8 (Solo para el servidor de McAfee DLP para dispositivos móviles) En la página del Proxy de ActiveSync, introduzca el nombre DNS del servidor de ActiveSync. 9 (Solo para McAfee DLP Discover) En la página Gestión de derechos, defina las credenciales del servicio de gestión de derechos. 10 (Solo para McAfee DLP Discover) En la página SharePoint, seleccione o anule la selección de Utilizar papelera de reciclaje al eliminar un archivo. Si activa esta opción y el servidor SharePoint no utiliza la papelera de reciclaje, cualquier acción de Mover llevada a cabo en los archivos fallará y tomará de forma predeterminada el valor Copiar. El valor predeterminado en SharePoint es activar la papelera de reciclaje. McAfee Data Loss Prevention 10.0.100 Guía del producto 65 4 Configuración de los componentes del sistema Protección de archivos mediante la gestión de derechos 11 (Opcional, solo para McAfee DLP Discover) En la página Extractor de texto, establezca las opciones de configuración del extractor de texto. Práctica recomendada: Utilice los valores predeterminados. a Defina la página de códigos de respaldo ANSI. El valor predeterminado utiliza el idioma predeterminado del servidor Discover. b Defina el tamaño máximo del archivo de entrada y de salida, y los tiempos de espera. 12 Haga clic en Aplicar directiva. Véase también Protección de archivos mediante la gestión de derechos en la página 66 Documentación de eventos mediante pruebas en la página 69 Acciones de las reglas de protección de datos en la página 153 Protección de archivos mediante la gestión de derechos McAfee DLP Endpoint y McAfee DLP Discover pueden integrarse con los servidores de administración de derechos (RM) para aplicar la protección a los archivos que coincidan con las clasificaciones de la regla. Con la versión 10.x de McAfee DLP Endpoint, debe instalar Active Directory Rights Management Services Client 2.1, compilación 1.0.2004.0, en todos los equipos endpoint con servicios de administración de derechos. El comando Aplicar directiva de administración de derechos no funciona sin esta versión del cliente de administración de derechos. McAfee DLP Prevent puede reconocer si un correo electrónico dispone de protección de administración de derechos. Sin embargo, McAfee DLP Prevent no permite aplicar directivas de administración de derechos a correos electrónicos. Puede aplicar una reacción de la directiva de administración de derechos a la protección de datos y a las reglas de descubrimiento: • Protección en la nube • Protección del servidor de archivos (CIFS) • Sistema de archivos de Endpoint • Protección de SharePoint • Protección de Box Las directivas de administración de derechos no se pueden utilizar con las reglas de Device Control. McAfee DLP puede reconocer los archivos protegidos con administración de derechos añadiendo una propiedad de cifrado de archivos a los criterios de clasificación o identificación por huellas digitales de contenido. Dichos archivos pueden incluirse o excluirse de la clasificación. 66 McAfee Data Loss Prevention 10.0.100 Guía del producto 4 Configuración de los componentes del sistema Protección de archivos mediante la gestión de derechos Funcionamiento de McAfee DLP con la administración de derechos McAfee DLP sigue un flujo de trabajo para aplicar las directivas de administración de derechos a los archivos. Flujo de trabajo de la administración de derechos 1 Cree y aplique una protección de datos o una regla de descubrimiento con una reacción para aplicar la directiva de administración de derechos. La reacción requiere un servidor de administración de derechos y la introducción de una directiva de administración de derechos. 2 Cuando un archivo activa la regla, McAfee DLP envía el archivo al servidor de administración de derechos. 3 El servidor de administración de derechos aplica las protecciones en función de la directiva especificada, como el cifrado del archivo, la limitación de los usuarios con permiso para acceder a él o descifrarlo y la limitación de las condiciones en las que se puede acceder al archivo. 4 El servidor de administración de derechos envía el archivo de vuelta al origen con las protecciones aplicadas. 5 Si ha configurado una clasificación para el archivo, McAfee DLP puede supervisar dicho archivo. Limitaciones El software de McAfee DLP Endpoint no inspecciona los archivos protegidos por la administración de derechos en relación con el contenido. Cuando se aplica al archivo una clasificación protegida por la administración de derechos, únicamente se mantienen los criterios de identificación de contenido por huellas digitales (ubicación, aplicación o aplicación web). Si un usuario modifica el archivo, todas las firmas de huella digital se pierden al guardar el archivo. Servidores de administración de derechos compatibles McAfee DLP Endpoint es compatible con Microsoft Windows Rights Management Services (Microsoft RMS) y con Seclore FileSecure™ Information Rights Management (IRM). McAfee DLP Discover es compatible con Microsoft RMS. Microsoft RMS McAfee DLP es compatible con Microsoft RMS en Windows Server 2003 y Active Directory RMS (AD-RMS) en Windows Server 2008 y 2012. Puede aplicar la protección de Windows Rights Management Services a los siguientes appliances: Tipo de documento Versión Microsoft Word 2010, 2013 y 2016 Microsoft Excel Microsoft PowerPoint SharePoint 2007 Exchange Server Con Microsoft RMS, McAfee DLP puede inspeccionar el contenido de los archivos protegidos si el usuario actual cuenta con permisos de visualización. Para obtener más información sobre Microsoft RMS, visite http://technet.microsoft.com/es-es/library/ cc772403.aspx. McAfee Data Loss Prevention 10.0.100 Guía del producto 67 4 Configuración de los componentes del sistema Protección de archivos mediante la gestión de derechos Seclore IRM McAfee DLP Endpoint es compatible con Seclore FileSecure RM, que admite más de 140 formatos de archivo, entre los que se incluyen los formatos de documento más usados: • Documentos de Microsoft Office. • Documentos de Open Office. • Archivos PDF. • Formatos de texto y basados en texto, incluidos: CSV, XML y HTML. • Formatos de imagen, incluidos: JPEG, BMP, GIF, etc. • Formato de diseño de ingeniería, incluidos: DWG, DXF y DWF. El cliente de McAfee DLP Endpoint trabaja con FileSecure Desktop Client para ofrecer integración tanto en línea como fuera de línea. Para obtener más información sobre Seclore IRM, visite http://seclore.com/ seclorefilesecure_overview.html. Definir un servidor de administración de derechos McAfee DLP Endpoint admite dos sistemas de administración de derechos: Microsoft Windows Rights Management Services (RMS) y Seclore FileSecure™. Para utilizar estos sistemas, configure el servidor proporcionando las directivas de administración de derechos en McAfee ePO. Antes de empezar • Configure los servidores de administración de derechos, y cree usuarios y directivas. Obtenga la URL y la contraseña para todos los servidores: plantilla de directiva, certificación y licencias. Para Seclore, necesita el ID de Hot Folder Cabinet y la frase de contraseña, así como información sobre licencias avanzadas si las hubiera. • Compruebe que tenga permiso para ver, crear y editar los servidores de Microsoft RMS y Seclore. En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos y compruebe que pertenece a un grupo que tiene los permisos requeridos en Servidores registrados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Servidores registrados. 2 Haga clic en Nuevo servidor. Se abre la página de descripción de Servidores registrados. 68 3 En la lista desplegable Tipo de servidor, seleccione el tipo de servidor que desea configurar: Servidor Microsoft RMS o Servidor Seclore. 4 Escriba un nombre para la configuración del servidor y, a continuación, haga clic en Siguiente. McAfee Data Loss Prevention 10.0.100 Guía del producto Configuración de los componentes del sistema Documentación de eventos mediante pruebas 5 6 4 Introduzca los detalles necesarios. Cuando haya introducido los campos necesarios, haga clic en Probar conectividad para verificar los datos introducidos. • Los ajustes de RMS también incluyen una sección Configuración de implementación de DLP. El campo Ruta local a la plantilla de RMS es opcional, pero los campos de URL para la certificación y las licencias son obligatorios a menos que elija la opción de descubrimiento de servicios automático con Active Directory. • Seclore requiere información de HotFolder Cabinet, pero la información de licencias adicional es opcional. Haga clic en Guardar cuando haya terminado la configuración. Documentación de eventos mediante pruebas La prueba es una copia de los datos que han provocado la publicación de un evento de seguridad en el Administrador de incidentes de DLP. En caso de ser posible, se crean varios archivos de pruebas para un evento. Por ejemplo, si se activa una regla de protección de correo electrónico, el correo electrónico, el texto del cuerpo y los datos adjuntos se guardan como archivos de pruebas. Si se produce una clasificación en los encabezados de correo electrónico, no se escribirá ninguna prueba independiente porque puede encontrarse en el propio mensaje. El texto coincidente se incluye en el resaltado de coincidencias de las pruebas del cuerpo. Uso de pruebas y del almacenamiento de pruebas La mayoría de las reglas permiten almacenar pruebas. Cuando esta opción está seleccionada, se almacena una copia cifrada del contenido bloqueado o supervisado en la carpeta de pruebas predefinida. McAfee DLP Endpoint almacena la prueba en una ubicación temporal del cliente entre los intervalos de comunicación agente-servidor. Cuando McAfee Agent pasa información al servidor, la carpeta se purga y la prueba se almacena en la carpeta de pruebas del servidor. Puede especificar el tamaño máximo y la antigüedad del almacenamiento local de pruebas cuando el equipo está fuera de línea. Requisitos previos para almacenamiento de pruebas El almacenamiento de pruebas está activado de manera predeterminada en McAfee DLP. Si no desea guardar pruebas, puede aumentar el rendimiento desactivando el servicio de pruebas. A continuación se indican las opciones obligatorias o los valores predeterminados a la hora de configurar el software: • Carpeta de almacenamiento de pruebas: Crear una carpeta de almacenamiento de pruebas de red y especificar la ruta UNC a la carpeta son requisitos para la aplicación de una directiva en McAfee ePO. Especifique la ruta en la página Configuración de DLP. La ruta UNC predeterminada se copia en las páginas del Servicio de copia de pruebas de la configuración del servidor (McAfee DLP Discover, McAfee DLP Prevent) y de la configuración de los clientes (McAfee DLP Endpoint) del Catálogo de directivas. Puede editar el valor predeterminado para especificar varias carpetas de almacenamiento de pruebas en las opciones de configuración. • Servicio de copia de pruebas: El servicio de copia de pruebas de McAfee DLP Endpoint se activa en la página Módulos y modo de funcionamiento de la directiva de configuración del cliente. Para recopilar pruebas, también debe activarse la opción Servicio de generación de informes, en la que consta como entrada secundaria. Para McAfee DLP Discover y McAfee DLP Prevent, el servicio se activa en la directiva de configuración del servidor. Véase también Configuración de ajustes del cliente en la página 64 Configurar ajustes del servidor en la página 64 McAfee Data Loss Prevention 10.0.100 Guía del producto 69 4 Configuración de los componentes del sistema Documentación de eventos mediante pruebas Memoria y almacenamiento de pruebas El número de archivos de pruebas almacenados por evento influye en el volumen de almacenamiento, el rendimiento del analizador de eventos y la presentación en pantalla (y, por tanto, la experiencia del usuario) de las páginas Administrador de incidentes de DLP y Operaciones de DLP. Para cumplir con requisitos de pruebas diferentes, el software McAfee DLP realiza lo siguiente: • El número máximo de archivos de pruebas que almacenar por evento se define en la página Servicio de copia de pruebas. • Cuando un gran número de archivos de pruebas se vinculan a un solo evento, solo los primeros 100 nombres de archivo se almacenan en la base de datos y se muestran en la página de detalles Administrador de incidentes de DLP. Los archivos de pruebas restantes (hasta el máximo definido) se almacenan en recurso compartido de almacenamiento de pruebas, pero no se asocian al evento. En el caso de los informes y las consultas, para los que se filtran las pruebas en función del nombre de archivo, solo se tiene acceso a los 100 primeros nombres de archivo. • El campo Número de correspondencias total del Administrador de incidentes de DLP muestra el número total de pruebas. • Si el almacenamiento de pruebas alcanza un nivel crítico, McAfee DLP Prevent rechaza el mensaje de forma temporal y se genera un error de SMTP. A continuación, se crear un evento en el historial de Eventos de clientes y aparece un mensaje de alerta en el panel de Administración de appliances. Resaltado de coincidencias La opción de resaltado de coincidencias permite a los administradores identificar exactamente el contenido de carácter confidencial que ha provocado un evento. Cuando se selecciona, se guarda un archivo de pruebas HTML cifrado que contiene el texto extraído. El archivo de pruebas se compone de fragmentos; un fragmento de huellas digitales y clasificaciones de contenido contiene normalmente el texto confidencial, con 100 delante y 100 detrás (por contexto) organizados por la huella digital o la clasificación de contenido que activó el evento. Además, incluye un recuento del número de eventos por huella digital o clasificación de contenido. Si hay varias coincidencias entre los 100 caracteres de la anterior coincidencia, se subrayan dichas coincidencias, y el texto resaltado y los siguientes 100 caracteres se agregan al fragmento. Si la coincidencia se encuentra en el encabezado o pie de página de un documento, el fragmento contiene el texto resaltado sin el prefijo o sufijo de 100 caracteres. Las opciones de visualización se definen en la página del Servicio de copia de pruebas de la directiva de configuración servidor o del cliente en el campo Archivo de coincidencias de clasificación: • Crear resultados abreviados (predeterminada) • Crear todas las coincidencias • Desactivado: desactiva la función de subrayado de coincidencias. Los resultados abreviados pueden contener hasta 20 fragmentos. Un archivo de resaltado de todas las coincidencias puede contener una cantidad ilimitada de fragmentos, pero existe un límite en el número de coincidencias por clasificación. En el caso de las clasificaciones Patrón avanzado y Palabra clave, el límite de coincidencias es 100. En el caso de clasificaciones Diccionario, el límite de coincidencias por entrada de diccionario es 250. Si hay varias clasificaciones en un archivo de resaltado de coincidencias, los nombres de dichas clasificaciones y los números de coincidencias se muestran al comienzo del archivo, antes de los fragmentos. 70 McAfee Data Loss Prevention 10.0.100 Guía del producto Configuración de los componentes del sistema Documentación de eventos mediante pruebas 4 Reglas que permiten el almacenamiento de pruebas Estas reglas pueden almacenar pruebas. Tabla 4-4 Pruebas guardadas por las reglas Regla Elemento que se guarda Producto Regla de protección de acceso a archivos de la aplicación Copia del archivo McAfee DLP Endpoint Regla de protección del Portapapeles Copia del Portapapeles Regla de protección en la nube Copia del archivo Regla de protección de correo electrónico Copia del correo electrónico • McAfee DLP Endpoint • McAfee DLP Prevent Regla de protección de dispositivos móviles Copia del correo electrónico McAfee DLP Prevent for Mobile Email Regla de protección de recursos compartidos de red Copia del archivo Regla de protección contra impresión Copia del archivo Regla de protección de almacenamiento extraíble Copia del archivo Regla de protección contra capturas de pantalla JPEG de la pantalla Regla de protección web Copia de la publicación web Regla de descubrimiento del sistema de archivos Copia del archivo Regla de descubrimiento de almacenamiento de correo electrónico Copia del archivo .msg Regla de protección de Box Copia del archivo McAfee DLP Endpoint McAfee DLP Discover Regla de Protección del servidor de archivos (CIFS) Copia del archivo Regla de protección de SharePoint Copia del archivo Creación de carpetas de pruebas Las carpetas de pruebas contienen información que utilizan todos los productos de software de McAfee DLP para la creación de directivas y la generación de informes. Según cuál sea su instalación de McAfee DLP, deben crearse algunas carpetas y recursos compartidos de red, y establecerse sus propiedades y la configuración de seguridad correspondiente. Las rutas de las carpetas de las pruebas están definidas en ubicaciones distintas en los diferentes productos de McAfee DLP. Cuando se instala más de un producto de McAfee DLP en McAfee ePO, las rutas UNC de las carpetas de las pruebas se sincronizan. No es necesario que las carpetas estén en el mismo equipo que el servidor de bases de datos de McAfee DLP, pero suele ser recomendable que así sea. La ruta de almacenamiento de pruebas debe ser un recurso compartido de red, es decir, debe incluir el nombre del servidor. • Carpeta de pruebas: Determinadas reglas permiten almacenar pruebas, por lo que debe designar, con antelación, dónde situarlas. Por ejemplo, cuando se bloquea un archivo, se puede incluir una copia de este en la carpeta de pruebas. • Copiar y mover carpetas: McAfee DLP Discover utiliza esta opción para procesar archivos. Proponemos las siguientes rutas y nombres de carpetas, y los siguientes nombres de recursos compartidos, pero puede crear otros según las necesidades de su propio entorno. McAfee Data Loss Prevention 10.0.100 Guía del producto 71 4 Configuración de los componentes del sistema Documentación de eventos mediante pruebas • c:\dlp_resources\ • c:\dlp_resources\Pruebas • c:\dlp_resources\copy • c:\dlp_resources\move Véase también Definir las opciones de configuración de las carpetas de pruebas en la página 72 Definir las opciones de configuración de las carpetas de pruebas Las carpetas de pruebas almacenan información de las pruebas cuando los archivos coinciden con una regla. Según cuál sea su instalación de McAfee DLP, deben crearse algunas carpetas y recursos compartidos de red, y establecerse sus propiedades y la configuración de seguridad correspondiente. El campo Almacenamiento de pruebas predeterminado de Configuración de DLP cumple el requisito básico, pero se recomienda configurar los recursos compartidos de pruebas independientes para cada producto de McAfee DLP. La configuración de los recursos compartidos de prueba que se describe a continuación anula la configuración predeterminada. Debe configurar el permiso de escritura para la cuenta del usuario que escribe en la carpeta de pruebas como, por ejemplo, la cuenta del sistema local del servidor. Para ver las pruebas de McAfee ePO, debe conceder acceso de lectura a la cuenta del sistema local del servidor de McAfee ePO. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas. 2 En la lista desplegable Producto, seleccione Data Loss Prevention 10. 3 Desde la lista desplegable Categoría, seleccione una de estas opciones según el producto que desea configurar. • Configuración de cliente de Windows: McAfee DLP Endpoint para Windows • Configuración de cliente de Mac OS X: McAfee DLP Endpoint for Mac • Configuración del servidor: McAfee DLP Discover y McAfee DLP Prevent 4 Seleccione una configuración para editarla o haga clic en Duplicar para la configuración de McAfee Default. 5 En la página Servicio de copia de pruebas: a Seleccione si el servicio está activado o desactivado. El servicio de copia de pruebas permite almacenar pruebas cuando se activan las reglas. Si está desactivado, las pruebas no se recopilan y solo se generan los incidentes. 72 McAfee Data Loss Prevention 10.0.100 Guía del producto 4 Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos b En caso necesario, introduzca el recurso compartido de almacenamiento de pruebas (UNC). Si no desea utilizar la cuenta del sistema local, introduzca un nombre de usuario y una contraseña para almacenar las pruebas. Para McAfee DLP Prevent, debe especificar un nombre de usuario y una contraseña. De forma predeterminada, se introduce la ruta UNC en la página Configuración de DLP al configurar la licencia. Puede cambiar la ruta UNC para cada directiva de trabajo que cree o mantener la predeterminada. c (Opcional) Restablezca los filtros de Tamaño máximo del archivo de pruebas y Ancho de banda de transmisión de pruebas máximo predeterminados. McAfee DLP Prevent ignora la configuración del ancho de banda de transmisión. d Seleccione si el almacenamiento del archivo original está activado o desactivado. Al seleccionar Desactivado, se omite la configuración de Almacenar archivo original en las reglas individuales. e 6 Defina la coincidencia de clasificación con los resultados abreviados o todas las coincidencias. También puede desactivar la coincidencia con este control. Haga clic en Aplicar directiva. Véase también Uso de pruebas y del almacenamiento de pruebas en la página 69 Control de asignaciones con usuarios y conjuntos de permisos McAfee DLP utiliza Usuarios y Conjuntos de permisos de McAfee ePO para asignar diferentes partes de la administración de McAfee DLP a grupos o usuarios distintos. Práctica recomendada: Cree conjuntos de permisos, usuarios y grupos de McAfee DLP específicos. Cree distintas funciones mediante la asignación de permisos de administrador y revisor diferentes para los módulos de McAfee DLP diferentes de McAfee ePO. Compatibilidad de permisos de filtrado del árbol de sistemas McAfee DLP admite los permisos de filtrado del Árbol de sistemas de McAfee ePO en Administrador de incidentes de DLP y Operaciones de DLP. Cuando se activa el filtrado del Árbol de sistemas, los operadores de McAfee ePO solo pueden ver los incidentes de los equipos de su sección permitida del Árbol de sistemas. De forma predeterminada, los administradores de grupos no tienen permisos en el Árbol de sistemas de McAfee ePO. Independientemente de los permisos asignados en el conjunto de permisos de Data Loss Prevention, no pueden ver ningún incidente en las consolas Administrador de incidentes de DLP ni Operaciones de DLP. El filtrado del Árbol de sistemas está desactivado de forma predeterminada, pero puede activarse en Configuración de DLP. Práctica recomendada: Para los clientes que han utilizado Administradores de grupos en los conjuntos de permisos de Data Loss Prevention, asigne Administradores de grupo. Permiso Ver la ficha "Árbol de sistemas" (en Sistemas) Permisos Acceso al Árbol de sistemas al nivel adecuado Redacción de información confidencial y conjuntos de permisos de McAfee ePO Para cumplir las exigencias legales de algunos mercados sobre la protección de información confidencial bajo cualquier circunstancia, el software McAfee DLP ofrece una función de redacción de McAfee Data Loss Prevention 10.0.100 Guía del producto 73 4 Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos datos. Los campos de las consolas Administrador de incidentes de DLP y Operaciones de DLP que contienen información de carácter confidencial se pueden redactar para impedir visualizaciones no autorizadas. Los vínculos a pruebas de carácter confidencial se ocultan. La función se ha diseñado con una "clave doble" de desbloqueo. Por tanto, para utilizar la función, debe crear dos conjuntos de permisos: uno para ver los incidentes y eventos, y otro para ver los campos redactados (permiso de supervisor). Ambas funciones pueden asignarse al mismo usuario. Cree definiciones de usuarios finales McAfee DLP tiene acceso a los servidores de Active Directory (AD) o de protocolo ligero de acceso a directorios (LDAP) para crear definiciones de usuarios finales. Los grupos de usuarios finales se utilizan para los permisos y asignaciones de administrador, así como en las reglas de dispositivos y protección. Pueden componerse de usuarios, grupos de usuarios o unidades organizativas (OU). Por tanto, permiten al administrador elegir un modelo adecuado. Las empresas organizadas en un modelo OU pueden continuar utilizando ese modelo, mientras otras pueden emplear grupos o usuarios individuales, según se requiera. Los objetos LDAP se identifican por el nombre o ID de seguridad (SID). Los SID son más seguros y los permisos pueden conservarse incluso si se les asigna un nuevo nombre a las cuentas. No obstante, se almacenan en formato hexadecimal y deben codificarse para convertirlos a un formato legible. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 Haga clic en la ficha Definiciones. 3 Seleccione Origen/destino | Grupo de usuarios finales y, a continuación, Acciones | Nuevo. 4 En la página Nuevo grupo de usuarios finales, introduzca un nombre único y, si lo desea, una descripción. 5 Seleccione el método para identificar objetos (mediante el SID o el nombre). 6 Haga clic en uno de los botones Agregar: Agregar usuarios, Agregar grupos o Agregar OU. La ventana de selección se abre y muestra el tipo de información seleccionado. Si la lista es larga, es posible que tarde unos segundos en mostrarse. Si no aparece ningún tipo de información, seleccione Contenedor y elementos secundarios en el menú desplegable Valor predeterminado. 7 Seleccione los nombres y haga clic en Aceptar para agregarlos a la definición. Repita la operación según sea necesario para agregar usuarios, grupos o usuarios organizativos adicionales. 8 Haga clic en Guardar. Asignar conjuntos de permisos de McAfee DLP Los conjuntos de permisos de McAfee DLP asignan permisos para ver y guardar las directivas, y para ver los campos redactados. También se utilizan para asignar el control de acceso según funciones (RBAC). Al instalar el software del servidor de McAfee DLP, se agrega el conjunto de permisos de McAfee ePO Data Loss Prevention. Si hay una versión anterior de McAfee DLP instalada en el mismo servidor de McAfee ePO, aparecerá también dicho conjunto de permisos. 74 McAfee Data Loss Prevention 10.0.100 Guía del producto 4 Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos Los conjuntos de permisos abarcan todas las secciones de la consola de administración. Existen tres niveles de permisos: • Utilizar: El usuario solo puede ver los nombres de los objetos (definiciones, clasificaciones, etc.), no los detalles. Para las directivas, el permiso mínimo es ningún permiso. • Ver y utilizar: El usuario puede ver los detalles de los objetos, pero no puede editarlos. • Permisos totales: El usuario puede crear y cambiar los objetos. Puede definir permisos para distintas secciones de la consola de administración, otorgando a los administradores y revisores permisos diferentes según sea necesario. Las secciones se agrupan por jerarquía lógica, por ejemplo, al seleccionar Clasificaciones se seleccionan automáticamente las Definiciones, ya que la configuración de los criterios de clasificación requiere el uso de definiciones. Los grupos de permisos de McAfee DLP Endpoint son: Grupo I Grupo II Grupo III • Catálogo de directivas • Administrador de directivas de DLP • Clasificaciones • Administrador de directivas de DLP • Clasificaciones • Definiciones • Clasificaciones • Definiciones • Definiciones El grupo de permisos de McAfee DLP Discover es: • DLP Discover • Administrador de directivas de DLP • Clasificaciones • Definiciones Administración de incidentes, Eventos operativos y Administración de casos se pueden seleccionar por separado. Los permisos de Acciones de Data Loss Prevention se han movido al conjunto de permisos de Acciones de Help Desk. Estos permisos permiten a los administradores generar claves de desinstalación y omisión de cliente, claves de liberación de cuarentena y claves principales. McAfee Data Loss Prevention 10.0.100 Guía del producto 75 4 Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos Además del permiso predeterminado de la sección, puede definir una omisión para cada objeto. La omisión puede aumentar o disminuir el nivel de permisos. Por ejemplo, en los permisos de Administrador de directivas de DLP, se enumeran todos los conjuntos de reglas existentes cuando se crea el conjunto de permisos. Puede definir una omisión diferente para cada uno. Cuando se crean nuevos conjuntos de reglas, estos reciben el nivel de permisos predeterminado. Figura 4-1 Conjuntos de permisos de McAfee DLP Creación de un conjunto de permisos de McAfee DLP Los conjuntos de permisos se utilizan para definir distintas funciones administrativas y del revisor en el software McAfee DLP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos. 2 Seleccione un conjunto de permisos predefinido o haga clic en Nuevo para crear uno. 3 a Escriba un nombre para el conjunto y seleccione los usuarios. b Haga clic en Guardar. Seleccione un conjunto de permisos y haga clic en la opción Editar de la sección Data Loss Prevention. a En el panel de la izquierda, seleccione un módulo de protección de datos. Administración de incidentes, Eventos operativos y Administración de casos se pueden seleccionar por separado. Otras opciones crean automáticamente los grupos predefinidos. b Edite las opciones y omita permisos según precise. Catálogo de directivas no dispone de opciones que editar. Si va a asignar Catálogo de directivas a un conjunto de permisos, puede editar los submódulos del grupo Catálogo de directivas. c 76 Haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos 4 Procedimientos • Caso práctico: Permisos de administrador de DLP en la página 77 Puede separar las tareas de administrador según sea necesario para, por ejemplo, crear un administrador de directivas sin responsabilidades de revisión de eventos. • Caso práctico: Limitar la visualización del Administrador de incidentes de DLP con permisos de redacción en la página 77 Para proteger la información confidencial y cumplir los requisitos legales que se establecen en algunos mercados, McAfee DLP Endpoint ofrece una función de redacción de datos. Caso práctico: Permisos de administrador de DLP Puede separar las tareas de administrador según sea necesario para, por ejemplo, crear un administrador de directivas sin responsabilidades de revisión de eventos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Conjuntos de permisos. 2 Haga clic en Nuevo para crear un conjunto de permisos. a Escriba un nombre para el conjunto y seleccione los usuarios. Para editar una directiva, el usuario debe ser propietario de esta o bien miembro del conjunto de permisos de administrador global. b 3 Haga clic en Guardar. En el conjunto de permisos de Data Loss Prevention, seleccione Catálogo de directivas. Administrador de directivas de DLP, Clasificaciones y Definiciones se seleccionan automáticamente. 4 En cada uno de los tres submódulos, compruebe que el usuario dispone de permisos y acceso totales. El valor predeterminado es Permisos totales. El administrador puede ahora crear y cambiar las directivas, las reglas, las clasificaciones y las definiciones. Caso práctico: Limitar la visualización del Administrador de incidentes de DLP con permisos de redacción Para proteger la información confidencial y cumplir los requisitos legales que se establecen en algunos mercados, McAfee DLP Endpoint ofrece una función de redacción de datos. Al utilizar la redacción de datos, ciertos campos del Administrador de incidentes de DLP y de Operaciones de DLP con información confidencial se cifran para evitar la visualización no autorizada y se ocultan los vínculos a las pruebas. Los campos nombre del equipo y nombre de usuario están predefinidos como confidenciales. En este ejemplo, se indica cómo configurar los permisos del Administrador de incidentes de DLP para un revisor de redacción, es decir, un único administrador que no puede ver los incidentes reales, pero sí revelar campos cifrados cuando así lo precise otro revisor que esté viendo el incidente. McAfee Data Loss Prevention 10.0.100 Guía del producto 77 4 Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos. 2 Cree conjuntos de permisos para revisores habituales y para el revisor de redacción. a Haga clic en Nuevo (o en Acciones | Nuevo). b Introduzca el nombre del grupo, como Revisor de incidentes de DLPE o Revisor de redacción. Podrá asignar distintos tipos de incidentes a los distintos grupos de revisores. Deberá crear los grupos en Conjuntos de permisos para asignarles incidentes. c Asigne usuarios al grupo; elíjalos de entre los usuarios de McAfee ePO disponibles o asigne usuarios de Active Directory o grupos al conjunto de permisos. Haga clic en Guardar. El grupo aparecerá en la lista Conjuntos de permisos del panel izquierdo. 3 Seleccione un conjunto de permisos de revisor estándar y haga clic en la opción Editar de la sección Data Loss Prevention. a En el panel de la izquierda, seleccione Administración de incidentes. b En la sección Revisor de incidentes, seleccione El usuario puede ver los incidentes que se han asignado a los siguientes conjuntos de permisos, haga clic en el icono de selección y elija el conjunto o los conjuntos de permisos pertinentes. c En la sección Redacción de datos de incidentes, anule la selección del campo Permiso de supervisor predeterminado y seleccione la opción Ocultar datos confidenciales de incidentes. Al seleccionarla, se activa la función de redacción. Si se deja sin seleccionar, se muestran todos los campos de datos en texto no cifrado. 4 d En la sección Tareas de incidentes, seleccione o anule la selección de las tareas como precise. e Haga clic en Guardar. Seleccione el conjunto de permisos de revisor de redacción y haga clic en la opción Editar de la sección Data Loss Prevention. a En el panel de la izquierda, seleccione Administración de incidentes. b En la sección Revisor de incidentes, seleccione El usuario puede ver todos los incidentes. En este ejemplo, se presupone que existe un único revisor de redacción para todos los incidentes. También puede asignar varios revisores de redacción a distintos conjuntos de incidentes. c En la sección Redacción de datos de incidentes, seleccione las opciones Permiso de supervisor y Ocultar datos confidenciales de incidentes. d En la sección Tareas de incidentes, anule la selección de todas las tareas. Los revisores de redacción, normalmente, no tienen otras tareas de revisor. Este aspecto es opcional y dependerá de sus necesidades específicas. e 78 Haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto Configuración de los componentes del sistema Control de acceso a las funciones de McAfee DLP Prevent 4 Control de acceso a las funciones de McAfee DLP Prevent Utilice los Conjuntos de permisos de McAfee ePO para controlar qué funciones de su organización tienen acceso a McAfee DLP Prevent y a las directivas y la configuración de Administración de appliances. Restricción de la visualización de appliances por parte de los usuarios en el Árbol de sistemas Utilice la opción Ningún permiso para restringir la visualización de appliances por parte de los usuarios en el Árbol de sistemas, así como la visualización o edición de las directivas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Conjuntos de permisos en la sección Administración de usuarios del menú. 2 Seleccione el conjunto de permisos para el cual desee editar las funciones. 3 Busque la función Directiva de DLP Prevent y haga clic en Editar. 4 Seleccione Ningún permiso y haga clic en Guardar. Permitir que los usuarios editen la directiva Configure la función para que permitir que los usuarios vean y cambien la configuración de directivas y tareas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Conjuntos de permisos en la sección Administración de usuarios del menú. 2 Seleccione el conjunto de permisos para el cual desee editar las funciones. 3 Busque la función Directiva de DLP Prevent y haga clic en Editar. 4 Seleccione Ver y modificar la configuración de directivas y tareas y haga clic en Guardar. Control de acceso a las funciones de Administración de appliances Para McAfee DLP Prevent, puede aplicar dos funciones a las funciones de Administración de appliances. • Directiva común de Administración de Appliances: Controla quién puede ver o cambiar la directiva de Ajustes generales de administración de appliances en el Catálogo de directivas. • Administración de appliances: Controla quién puede ver las estadísticas y tareas de la administración de appliances y quién puede crear y ejecutar las tareas de la base de datos. Para obtener más información sobre los permisos para las funciones de Administración de appliances, consulte los temas de la Extensión de ayuda de la administración de appliances. Permitir que los usuarios vean las estadísticas de Administración de appliances Permita que los usuarios de un conjunto de permisos seleccionado vean el estado y las estadísticas del sistema en el panel Administración de appliances. McAfee Data Loss Prevention 10.0.100 Guía del producto 79 4 Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, abra el menú y seleccione Conjuntos de permisos en la sección Administración de usuarios. 2 Seleccione el conjunto de permisos para el cual desee editar las funciones. 3 Seleccione la función Administración de appliances y haga clic en Editar. 4 En Estado y estadísticas del appliance, seleccione Ver estado y estadísticas y haga clic en Guardar. Restricción de la visualización de la configuración de Ajustes generales de administración de appliances por parte de los usuarios La configuración de directiva de Ajustes generales de administración de appliances permite que los usuarios definan la fecha y la hora del appliance, agreguen servidores DNS y rutas estáticas, permitan el inicio de sesión remoto mediante SSH y agreguen uno o más servidores de registro remoto. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, abra el menú y seleccione Conjuntos de permisos. 2 Seleccione el conjunto de permisos para el cual desee editar las funciones. 3 Haga clic en Editar junto a la Directiva común de Administración de Appliances. 4 Seleccione Ningún permiso y haga clic en Guardar. Uso de las directivas de McAfee DLP Prevent La configuración de las directivas está disponible en el Catálogo de directivas: Servidor de DLP Prevent • Utilice la categoría Configuración de correo electrónico para definir los Hosts inteligentes, los hosts permitidos y las opciones de configuración de Transport Layer Security (TLS). • Utilice la categoría General para especificar la configuración del tiempo de espera de conexión y proteger el appliance frente a ataques de denegación de servicio. • Utilice la categoría Usuarios y grupos para seleccionar un servidor LDAP desde el que obtener información de usuario y configurar McAfee Logon Collector. Data Loss Prevention Edite las opciones de configuración del Servicio de copia de pruebas en la categoría de directiva Configuración del servidor de McAfee Data Loss Prevention para trabajar con McAfee DLP Prevent. Las siguientes opciones de la sección Servicio de copia de pruebas de la categoría de directiva Configuración del servidor no se aplican a McAfee DLP Prevent. 80 • El espacio libre en el disco duro debe ser superior a (MB): • Ancho de banda de transmisión de pruebas máximo (kBps) McAfee Data Loss Prevention 10.0.100 Guía del producto Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent 4 Ajustes generales de administración de appliances Edite la categoría General para: • Especificar la configuración del DNS. • Configurar servidores de registro remoto. • Editar la fecha y la hora del appliance. • Permitir la supervisión y alertas de SNMP. • Agregar ajustes de enrutamiento estático. Para obtener más información sobre la configuración de la directiva Ajustes generales del appliance , consulte los temas de la Extensión de ayuda de la administración de appliances. Establecer la configuración del tiempo de espera de conexión Cambie el número de segundos durante los cuales McAfee DLP Prevent intentará conectarse con un MTA. De forma predeterminada, McAfee DLP Prevent intenta conectarse durante veinte segundos. Si en ese tiempo es imposible establecer la conexión, existe un problema con la red o con el MTA que debería investigarse. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, abra el Catálogo de directivas. 2 Seleccione el producto Servidor de DLP Prevent, elija la categoría General y abra la directiva que desee editar. 3 En Conexión en curso, escriba el número de segundos que McAfee DLP Prevent puede dedicar a intentar conectarse a un MTA. 4 Haga clic en Guardar. Especifique un nivel máximo de anidación de datos adjuntos archivados Para proteger el appliance frente a ataques de denegación de servicio, establezca el nivel máximo de anidación de datos adjuntos archivados que McAfee DLP Prevent intente analizar antes de que se agote el tiempo. Un ejemplo de archivo adjunto anidado es un archivo .zip dentro de otro archivo zip. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, abra el Catálogo de directivas. 2 Seleccione el producto Servidor de DLP Prevent, elija la categoría General y abra la directiva que desee editar. 3 En Nivel máximo de anidamiento, establezca el nivel máximo de anidamiento de datos adjuntos archivados. 4 Haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto 81 4 Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent Agregar MTA adicionales que puedan entregar el correo electrónico McAfee DLP Prevent entrega mensajes de correo electrónico mediante el Host inteligente configurado. Además del Host inteligente, puede agregar más MTA a los que McAfee DLP Prevent puede entregar mensajes de correo electrónico. Antes de empezar Asegúrese de que tiene las direcciones IP o nombres de los Hosts inteligentes. McAfee DLP Prevent puede aceptar mensajes de correo electrónico de más de un MTA, pero reenvía los mensajes de correo electrónico inspeccionados únicamente a uno de los Hosts inteligentes configurados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, abra el Catálogo de directivas. 2 Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la directiva que desee editar. 3 Agregue los detalles de los MTA que desee utilizar. 4 Haga clic en Actualizar. 5 Haga clic en Guardar. Entregar correos electrónicos mediante un enfoque de operación por turnos Configurar McAfee DLP Prevent para entregar a varios servidores de correo electrónico mediante la distribución de los mensajes de correo electrónico entre ellos. Antes de empezar Asegúrese de que tiene las direcciones IP o nombres de los Hosts inteligentes. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 82 1 En McAfee ePO, abra el Catálogo de directivas. 2 Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la directiva que desee editar. 3 Seleccione la casilla de verificación Turnos y añada los detalles de los agentes de transferencia de mensajes (MTA) que desee utilizar. 4 Haga clic en Actualizar. 5 Haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto 4 Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent Limitar las conexiones a las redes o los sistemas host especificados De forma predeterminada, McAfee DLP Prevent acepta mensajes procedentes de cualquier host. Especifique los hosts que pueden enviar mensajes a McAfee DLP Prevent para que solo los MTA de origen legítimos puedan retransmitir correos electrónicos a través del appliance. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, abra el Catálogo de directivas. 2 Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la directiva que desee editar. 3 Seleccione Aceptar solo correo de estos hosts. 4 Escriba los detalles de un host desde el que el appliance de McAfee DLP Prevent pueda recibir mensajes. Agregue la información del host mediante su dirección IP y subred, nombres de dominio o nombre de dominio con caracteres comodín. 5 Haga clic en Actualizar para agregar los detalles a la lista de hosts permitidos. Puede crear grupos de hosts de retransmisión mediante subredes o dominios con caracteres comodín. Para agregar más de una subred, debe crear entradas independientes para cada una. Activar TLS en los mensajes entrantes o salientes Puede especificar si McAfee DLP Prevent utiliza TLS para proteger en todo momento los mensajes entrantes y salientes o si solo lo utiliza cuando está disponible (conocido como Oportunista). TLS funciona mediante la comunicación con un conjunto de parámetros, conocido como negociación inicial, al comienzo de una conexión entre los servidores participantes. Cuando se definen estos parámetros, las comunicaciones entre los servidores se convierten en seguras, por lo que no pueden ser descodificadas por servidores que no hayan participado en la negociación inicial. El proceso de negociación inicial • El appliance solicita una conexión segura al servidor de correo electrónico receptor y le presenta una lista de suites de cifrado. • El servidor receptor selecciona el cifrado admitido más potente de la lista y proporciona los detalles para el appliance. • Los servidores utilizan la infraestructura de clave pública (PKI) para establecer la autenticidad mediante el intercambio de certificados digitales. • Al usar la clave pública del servidor, el appliance genera un número aleatorio como clave de sesión y lo envía al servidor de correo electrónico receptor. El servidor receptor descifra la clave mediante la clave privada. • Tanto el appliance como el servidor de correo electrónico receptor utilizan la clave cifrada para establecer la comunicación y completar el proceso de negociación inicial. McAfee Data Loss Prevention 10.0.100 Guía del producto 83 4 Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent Una vez finalizada la negociación inicial, la conexión segura se utiliza para transferir los mensajes de correo electrónico. La conexión sigue siendo segura hasta que se cierra la conexión. Si selecciona la opción Siempre para las comunicaciones salientes, pero el Host inteligente no está configurado para usar TLS, McAfee DLP Prevent envía un error 550 x.x.x.x: Denegado por la directiva. Conversación TLS requerida. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, abra el Catálogo de directivas. 2 Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la directiva que desee editar. 3 En Transport Layer Security, seleccione Siempre, Nunca u Oportunista para comunicaciones entrantes. Oportunista es la configuración predeterminada. 4 Seleccione Siempre, Nunca u Oportunista para las comunicaciones salientes. Oportunista es la configuración predeterminada. 5 Haga clic en Guardar. Uso de servidores de autenticación externos McAfee DLP Prevent puede funcionar con servidores LDAP registrados y con McAfee Logon Collector. Recupera información de usuario y datos de inicio de sesión para ayudar a identificar a los usuarios responsables de incidentes de fuga de datos mediante su nombre, grupo, departamento, ciudad o país. McAfee DLP Prevent puede: • Obtener información de los servidores de Active Directory y de los servidores de directorio OpenLDAP que están registrados con McAfee ePO. • Comunicarse con un servidor LDAP registrado mediante SSL. • Actuar en las reglas de protección del correo electrónico y protección web que se aplican a usuarios y grupos específicos. • Conectarse a los puertos del Catálogo global en lugar de a los puertos LDAP estándar para recuperar información sobre usuarios y grupos al consultar Active Directory. • Incluir información del usuario en los incidentes para que pueda ver todos los incidentes generados por un usuario, independientemente del producto de McAfee DLP que los haya detectado. McAfee Logon Collector registra los eventos de inicio de sesión de usuarios de Windows y comunica la información a McAfee DLP Prevent. McAfee DLP Prevent puede asignar una dirección IP a un nombre de usuario de Windows si no hay más información de autenticación disponible. ¿Qué sucede si el servidor LDAP no está disponible? McAfee DLP Prevent almacena la información LDAP en caché. La caché se actualiza cada 24 horas, por lo que la no disponibilidad temporal del servidor LDAP no afecta a la disponibilidad del servicio de McAfee DLP Prevent. Si se produce un error en la actualización de la caché, McAfee DLP Prevent utiliza la caché anterior. Si la caché anterior no está disponible, realiza una búsqueda LDAP para obtener la información. 84 McAfee Data Loss Prevention 10.0.100 Guía del producto Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent 4 En caso de que McAfee DLP Prevent necesite información de grupos LDAP para evaluar las reglas para una solicitud o un mensaje y LDAP no esté configurado o el servidor no esté disponible: • Para tráfico SMTP: se devuelve un código de error temporal (451), de forma que el mensaje se pone en cola en el servidor de envío y se produce un reintento. • Para tráfico ICAP: se devuelve un código 500 de estado ICAP, el cual indica que el servidor ha encontrado un error y no ha podido analizar la solicitud. Puede configurar su gateway web para que se abra o se cierre en caso de recibir un error del servidor de McAfee DLP Prevent. Servidores OpenLDAP y Active Directory • OpenLDAP y Active Directory producen esquemas de usuario distintos. Active Directory dispone de un conjunto de parámetros restringido, mientras que OpenLDAP es personalizable. • Los servidores de OpenLDAP y Active Directory identifican a los usuarios mediante distintos métodos de identificación. Active Directory utiliza sAMAccountName, mientras que OpenLDAP utiliza UID. Las consultas LDAP para sAMAccountName se controlan mediante la propiedad UID en los sistemas OpenLDAP. • Los servidores OpenLDAP y Active Directory también identifican clases de usuario mediante distintos atributos de usuario. En lugar de clases de objetos de usuario, OpenLDAP utiliza inetOrgPerson, que no admite atributos de país o memberOf. Autenticación de protección web adicional Al aplicar reglas de protección web, McAfee DLP Prevent puede obtener información de usuario de: • Encabezado de solicitud de ICAP X-Authenticated-User enviado desde la gateway web. • McAfee Logon Collector Si se indica un nombre de usuario en el encabezado de ICAP X-Authenticated-User, este se utiliza con preferencia a los datos de McAfee Logon Collector. Práctica recomendada: Se recomienda utilizar el encabezado X-Authenticated-User como método de autenticación porque indica que la gateway web ha autenticado al usuario final de forma positiva. Para configurarlo, debe realizar varias configuraciones adicionales en la gateway web. Para obtener más información, vea la documentación de producto de su gateway web. Si el encabezado X-Authenticated-User no está disponible, puede configurar McAfee Logon Collector para que ofrezca autenticación adicional. McAfee Logon Collector es otro producto de McAfee que supervisa los eventos de inicio de sesión de Windows y asigna una dirección IP a un identificador de seguridad (SID). Para utilizar McAfee Logon Collector, debe tener al menos un servidor LDAP configurado: McAfee DLP Prevent puede consultar a este servidor para convertir un SID en un nombre de usuario. Al aplicar reglas de protección web, McAfee DLP Prevent evalúa la información de grupo a partir de la información de usuario. Ignora cualquier valor del encabezado X-Authenticated-Groups de la gateway web. Para obtener información de usuarios o grupos al aplicar reglas de protección web, debe tener al menos un servidor LDAP configurado. McAfee DLP Prevent consulta a los servidores LDAP para obtener los atributos requeridos. Por ejemplo, para McAfee Logon Collector, McAfee DLP Prevent utiliza el servidor LDAP para convertir el SID en un DN de usuario. Esquemas de autenticación admitidos McAfee DLP Prevent admite los esquemas de autenticación LDAP y NTLM para procesar el encabezado X-Authenticated-User desde la gateway web. McAfee Data Loss Prevention 10.0.100 Guía del producto 85 4 Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent Con NTLM, McAfee DLP Prevent espera que el formato del encabezado X-Authenticated-User sea NTLM://<NetBIOS_name/sAMAccountName> para Active Directory. No se admite NTLM con OpenLDAP. Con LDAP, McAfee DLP Prevent espera que el formato del encabezado X-Authenticated-User sea LDAP://<LDAP_servername/distinguished-name> para Active Directory y OpenLDAP. McAfee DLP Prevent utiliza el atributo LDAP distinguishedName para recuperar los detalles de usuario para las reglas de protección web. Compruebe que su servidor LDAP expone este atributo para asegurarse de que el esquema de autenticación LDAP funciona correctamente. Caso práctico Quiere configurar una regla de protección web que bloquee las cargas de datos PCI para todos los usuarios de un departamento excepto uno. 1 Registre un servidor de Active Directory con McAfee ePO que contenga la cuenta de usuario del empleado del que sospecha. 2 Configure McAfee Logon Collector. 3 Cree una regla de protección web que busque solicitudes web de usuarios en el grupo NOMBRE DEL GRUPO coincidentes con una clasificación. 4 Cree una excepción para el usuario NOMBRE DE USUARIO. 5 Defina la reacción como Bloquear. 6 Compruebe en el Administrador de incidentes de DLP si hay incidentes enviados por el usuario que contengan el nombre de componente. Recuperar información de los servidores LDAP registrados McAfee DLP Prevent puede obtener información de usuarios y grupos de servidores LDAP registrados con McAfee ePO. Seleccione los servidores LDAP registrados de los que desee que los appliances de McAfee DLP Prevent obtengan información. Antes de empezar Se han registrado los servidores LDAP con McAfee ePO. Para obtener más información sobre el registro de servidores LDAP con McAfee ePO, consulte la Guía de producto de McAfee ePolicy Orchestrator. Los detalles de los usuarios y grupos se utilizan al evaluar la información del Remitente en una regla de Protección de correo electrónico. McAfee DLP Prevent puede: • Conectarse a los servidores OpenLDAP y Active Directory. • Comunicarse con un servidor LDAP registrado mediante SSL. • Conectarse a los puertos del Catálogo global en lugar de a los puertos LDAP estándar para recuperar información sobre usuarios y grupos al consultar Active Directory. Si ha configurado Active Directory para utilizar los puertos del Catálogo global, asegúrese de que al menos uno de estos atributos se replique en el servidor del Catálogo global desde los dominios del bosque: 86 • proxyAddresses • mail McAfee Data Loss Prevention 10.0.100 Guía del producto 4 Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent Si McAfee DLP Prevent necesita utilizar la autenticación NTLM para el tráfico ICAP, también deberán replicarse los siguientes atributos de LDAP: • configurationNamingContext • netbiosname • msDS-PrincipalName Los mensajes se rechazan temporalmente con un código de estado 451 cuando se cumplen estas dos condiciones: • McAfee DLP Prevent utiliza reglas que especifican que el remitente es un miembro de un determinado grupo de usuarios LDAP. • McAfee DLP Prevent no está configurado para recibir información del servidor LDAP que contiene ese grupo de usuarios. Los eventos se envían al informe Eventos de clientes si se produce un error de sincronización con el servidor LDAP o de una consulta LDAP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, abra el Catálogo de directivas. 2 Seleccione el producto Servidor de DLP Prevent, elija la categoría Usuarios y grupos y abra la directiva que desee editar. 3 En Servidores LDAP, seleccione los servidores LDAP que desee utilizar. 4 Haga clic en Guardar. Agregar un certificado y un servidor de Logon Collector en McAfee DLP Prevent Agregue un certificado de McAfee Logon Collector en McAfee DLP Prevent y agregue un certificado de McAfee Data Loss Prevention Prevent en McAfee Logon Collector. Antes de empezar Al menos un servidor de McAfee Logon Collector debe estar configurado. Para obtener más información, consulte la Guía de administración de McAfee Logon Collector. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Para descargar el certificado del appliance de McAfee DLP Prevent, vaya a https://<APPLIANCE>: 10443/certificados y, a continuación seleccione [host.dominio.crt] 2 En McAfee Logon Collector, seleccione Menú | CA de confianza | Nueva autoridad | Elegir archivo, seleccione el certificado que se ha descargado y haga clic en Guardar. 3 En McAfee ePO, abra el Catálogo de directivas. 4 Seleccione el producto Servidor de DLP Prevent, elija la categoría Usuarios y grupos y abra la directiva que desee editar. McAfee Data Loss Prevention 10.0.100 Guía del producto 87 4 Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent 5 6 Agregue los detalles del servidor de McAfee Logon Collector en McAfee DLP Prevent. a En la sección de McAfee Logon Collector, seleccione Identificar a los usuarios que realizan solicitudes web. b Haga clic en + para abrir el cuadro de diálogo Agregar. c Introduzca la dirección IPv4 o un nombre de host de un servidor de McAfee Logon Collector al que desee conectarse. d Edite el puerto de McAfee Logon Collector en caso de que sea necesario. Obtenga el texto del certificado de McAfee Logon Collector. a En McAfee Logon Collector, seleccione Menú | Configuración del servidor. b Haga clic en Certificado de duplicación de identidad. c Seleccione el texto del certificado en el campo Base 64 y cópielo en el Portapapeles o en un archivo. 7 Vuelva al cuadro de diálogo Agregar y seleccione Importar desde archivo o Pegar desde el Portapapeles para agregar el texto del certificado. 8 Haga clic en Aceptar para completar la autenticación de McAfee Logon Collector. [Opcional] Agregue más servidores de McAfee Logon Collector. El servidor de McAfee Logon Collector se agrega a la lista de servidores. Directiva de Ajustes generales de administración de appliances La categoría de directivas Ajustes generales de administración de appliances se instala como parte de la extensión de administración de appliances. Los ajustes generales se aplican a appliances nuevos o en los que se ha restablecido la imagen inicial. • Información sobre fecha y hora, y zona horaria • Listas de servidores DNS • Información de enrutamiento estático • Configuración de inicio de sesión remoto de Secure Shell (SSH) • Configuración de registro remoto • Supervisión y alertas de SNMP En la Ayuda de administración de appliances, se encuentra disponible información acerca de estas opciones. Editar la directiva de Email Gateway para trabajar con McAfee DLP Prevent Para redireccionar el correo electrónico desde el appliance de Email Gateway a McAfee DLP Prevent para su análisis y emprender acciones sobre los posibles incidentes de fuga de datos, edite la directiva de configuración de Email Gateway. Para configurar McAfee DLP Prevent para enviar mensajes de correo electrónico a la puerta de enlace de correo electrónico para que puedan ser procesados, edite la directiva Configuración de correo electrónico. 88 McAfee Data Loss Prevention 10.0.100 Guía del producto Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent 4 Caso práctico: Configurar Email Gateway para procesar los resultados del análisis Configure la directiva de configuración de correo electrónico para realizar acciones ante posibles incidentes de fuga de datos. Antes de empezar Configure y ejecute un appliance de Email Gateway administrado por McAfee ePO. Procedimiento En este ejemplo, se supone que McAfee DLP Prevent ha detectado un posible incidente de fuga de datos enviado en un mensaje de correo electrónico desde un appliance de Email Gateway. También se supone que desea bloquear la salida del correo electrónico de su organización e informar al remitente de la acción realizada. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, abra el Catálogo de directivas. 2 Seleccione McAfee Email Gateway desde la lista Productos y seleccione la directiva de configuración de correo electrónico. 3 Seleccione Agregar directiva y haga clic en Agregar regla. a En Tipo de regla, seleccione Encabezado de correo electrónico. b En Nombre de encabezado, seleccione X-RCIS-Action. c En el campo Valor, seleccione ^BLOCK$. d Haga clic en Aceptar y, a continuación, Aceptar otra vez. 4 En Opciones de directivas, seleccione Acción basada en directivas. 5 Seleccione Aceptar y soltar los datos y, a continuación, seleccione Enviar uno o más correos electrónicos de notificación. 6 Haga clic en Entregar un correo electrónico de notificación al remitente y en Aceptar. 7 Guarde la directiva. Redirigir el correo electrónico a McAfee DLP Prevent Redirija el correo electrónico de Email Gateway a McAfee DLP Prevent para su análisis. Antes de empezar Deje que McAfee ePO gestione un appliance de Email Gateway o un appliance virtual. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, abra el Catálogo de directivas. 2 Seleccione McAfee Email Gateway en la lista de Productos y seleccione la categoría de configuración de correo electrónico. McAfee Data Loss Prevention 10.0.100 Guía del producto 89 4 Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent 3 Haga clic en Agregar directiva y en Agregar regla. a En Tipo de regla, seleccione Encabezado de correo electrónico. b En Nombre de encabezado, seleccione X-MFE-Encrypt y defina la Coincidencia como "no está presente". c Haga clic en Aceptar y en Aceptar de nuevo. 4 En Opciones de directivas, seleccione Acción basada en directivas. 5 Seleccione Ruta a una retransmisión alternativa. 6 Seleccione la retransmisión para el servidor de McAfee DLP Prevent y haga clic en Aceptar. Consulte la Ayuda en línea de McAfee ePO para obtener información sobre las retransmisiones. 7 Guarde la directiva. Integrar McAfee DLP Prevent en un entorno web McAfee DLP Prevent trabaja con el proxy web para proteger el tráfico web. McAfee DLP Prevent utiliza ICAP o ICAPS (ICAP a través de TLS) para procesar el tráfico web, que utiliza estos puertos: • ICAP: 1344 • ICAPS: 11344 Utilice estos pasos de alto nivel para configurar el entorno y obtener protección web. 1 Configure los clientes de endpoint para enviar el tráfico web para el proxy web. 2 Configure el proxy web para reenviar el tráfico HTTP a McAfee DLP Prevent a través de ICAP. 3 Configurar la directiva de McAfee DLP Prevent para especificar la acción que se desea realizar en función del contenido del tráfico. Ejemplo: Configurar una regla para permitir o bloquear el tráfico de determinados usuarios que contenga números de tarjetas de crédito. Después de que McAfee DLP Prevent analice el tráfico, realiza una de estas acciones: • Permite el tráfico e informa al proxy web. • Se deniega el tráfico y muestra una página de bloqueo al usuario. Véase también Protección del tráfico web en la página 20 Caso práctico: Permiso para que un grupo de usuarios específico envíe información de crédito en la página 173 Integrar con Web Gateway Configurar Web Gateway para reenviar el tráfico ICAP a McAfee DLP Prevent para su análisis. McAfee DLP Prevent devuelve una respuesta a Web Gateway para permitir o denegar la página. 90 McAfee Data Loss Prevention 10.0.100 Guía del producto Configuración de los componentes del sistema Funciones de McAfee ePO 4 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En Web Gateway, seleccione Directiva y, a continuación, haga clic en la ficha Configuración. 2 Siga estos pasos para crear al cliente ICAP REQMOD. 3 4 5 6 a Haga clic con el botón derecho en Cliente ICAP y, a continuación, haga clic en Agregar. b Introduzca un nombre como, por ejemplo, ICAP-REQMOD-Client. c En el panel Configuración de, seleccione Cliente ICAP. d En el panel Servicio ICAP, haga clic en Agregar. e Introduzca un nombre y, a continuación, haga clic en Aceptar y editar. f Haga clic en el signo más de color verde (Agregar servidor ICAP) y, a continuación, escriba la dirección IP y el puerto del appliance de McAfee DLP Prevent. g Haga clic en Aceptar tres veces. Agregue el conjunto de reglas. a Haga clic en la ficha Conjuntos de reglas. b Seleccione Agregar | Conjunto de reglas de la biblioteca. c Seleccione el conjunto de reglas Cliente ICAP y, a continuación, haga clic en Aceptar. Edite la configuración de REQMOD. a En la ficha Conjuntos de reglas expanda el conjunto de reglas Cliente ICAP y seleccione ReqMod. b Seleccione Llamar al servidor de ReqMod y, a continuación, haga clic en Editar. c Seleccione el paso Criterios de la regla. d Seleccione Si se encuentran coincidencias con los siguientes criterios. e Seleccione la entrada de los criterios y haga clic en Editar. f Desde la lista desplegable Configuración, seleccione el cliente ICAP REQMOD que ha creado. g Haga clic en Aceptar y, a continuación, haga clic en Finalizar. Active la regla. a En la ficha Conjuntos de reglas, seleccione la regla Cliente ICAP. b Seleccione Activar. Haga clic en Guardar cambios. Funciones de McAfee ePO McAfee DLP utiliza las siguientes funciones de McAfee ePO. Debe disponer de los permisos apropiados para acceder a la mayoría de funciones. McAfee Data Loss Prevention 10.0.100 Guía del producto 91 4 Configuración de los componentes del sistema Funciones de McAfee ePO Función de McAfee Elementos agregados ePO Acciones Acciones que puede realizar desde el Árbol de sistemas o utilizar para personalizar las respuestas automáticas. Tareas cliente Tareas cliente que puede usar para automatizar la administración y el mantenimiento en los sistemas cliente. Paneles Paneles y monitores que puede usar para realizar un seguimiento de su entorno. Eventos y respuestas • Eventos para los que se pueden configurar respuestas automáticas. Propiedades de sistema gestionado Propiedades que puede revisar en el Árbol de sistemas o utilizar para personalizar las consultas. Conjuntos de permisos • Conjuntos de permisos. Directivas Categorías de directiva Directiva de DLP, Configuración del cliente Windows y Configuración del cliente Mac OS para McAfee DLP Endpoint y Configuración del servidor para McAfee DLP Discover en el grupo de productos Data Loss Prevention 10. • Grupos de evento y tipos de evento que puede usar para personalizar las respuestas automáticas. • Categoría de permisos de Data Loss Prevention disponible en todos los conjuntos de permisos existentes. Consultas e informes • Consultas predeterminadas que puede usar para ejecutar informes. • Grupos de propiedades personalizados basados en propiedades de sistemas gestionados que puede usar para crear sus propios informes y consultas. Tareas servidor Se utiliza para las tareas de Administrador de incidentes de DLP y Operaciones de DLP. Protección de datos Se utiliza para configurar, gestionar y supervisar McAfee DLP. Help Desk Se utiliza para emitir claves de desafío/respuesta para desinstalar aplicaciones protegidas, liberar archivos de la cuarentena y omitir directivas de seguridad temporalmente cuando hay una necesidad empresarial legítima. Si desea obtener información adicional acerca de estas funciones, consulte la documentación de McAfee ePO. 92 McAfee Data Loss Prevention 10.0.100 Guía del producto 5 Protección de medios extraíbles ® McAfee Device Control protege a las empresas de los riesgos asociados con la transferencia no autorizada de contenido de carácter confidencial siempre que se utilizan dispositivos de almacenamiento. Device Control puede supervisar o bloquear dispositivos conectados a equipos gestionados por la empresa, lo que le permite controlar su uso en lo que respecta a la distribución de información confidencial. Teléfonos inteligentes, dispositivos de almacenamiento extraíbles, dispositivos Bluetooth, reproductores de MP3 o dispositivos Plug and Play: todos se pueden controlar. McAfee Device Control es un componente de McAfee DLP Endpoint que se vende por separado. Aunque se utilice el término "Device Control" en esta sección, todas las funciones y descripciones también están disponibles en McAfee DLP Endpoint. La implementación de las reglas de Device Control en los equipos Microsoft Windows y OS X es parecida, pero no idéntica. En la siguiente tabla, se exponen algunas de las diferencias. Tabla 5-1 Terminología de Device Control Término Sistemas operativos Definición Clase de dispositivo Windows Grupo de dispositivos que tienen características parecidas y que se pueden gestionar de un modo similar. Las clases de dispositivo tienen los estados Gestionada, No gestionada o En lista blanca. Definición del dispositivo Windows y Mac OS Lista de propiedades de dispositivo que se emplea X para identificar o agrupar dispositivos. Propiedad del dispositivo Windows y Mac OS Propiedad, como tipo de bus, ID de proveedor o ID X de producto, que se puede usar para definir un dispositivo. Regla de dispositivo Windows y Mac OS Determina la acción que se debe llevar a cabo X cuando un usuario intenta utilizar un dispositivo cuya definición coincide con la de la directiva. La regla se aplica al hardware y afecta tanto al controlador del dispositivo como al sistema de archivos. Las reglas de dispositivos se pueden asignar a usuarios finales concretos. Dispositivo gestionado Windows Estado de clase de dispositivo que indica que los dispositivos incluidos en ella los gestiona Device Control. Regla para dispositivos Windows y Mac OS Sirve para bloquear o supervisar un dispositivo, o de almacenamiento X configurarlo como de solo lectura. extraíbles Regla de protección de almacenamiento extraíble McAfee Data Loss Prevention 10.0.100 Windows y Mac OS Determina la acción que se debe llevar a cabo X cuando un usuario intenta copiar contenido establecido como confidencial en un dispositivo gestionado. Guía del producto 93 5 Protección de medios extraíbles Protección de dispositivos Tabla 5-1 Terminología de Device Control (continuación) Término Sistemas operativos Definición Dispositivo no gestionado Windows Estado de clase de dispositivo que indica que los dispositivos incluidos en ella no los gestiona Device Control. Dispositivo en lista blanca Windows Estado de clase de dispositivo que indica que los dispositivos incluidos en ella no los puede gestionar Device Control, ya que intentar gestionarlos puede afectar al equipo gestionado, al mantenimiento del sistema o a la eficiencia. Contenido Protección de dispositivos Gestión de dispositivos con clases de dispositivos Definir una clase de dispositivo Organización de dispositivos con definiciones de dispositivos Propiedades del dispositivo Reglas de control de dispositivos Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles Protección de dispositivos Las unidades USB, los pequeños discos duros externos, los smartphones y demás dispositivos extraíbles sirven para eliminar de la empresa datos de carácter confidencial. Las unidades USB son un método sencillo, barato y apenas rastreable a la hora de descargar grandes cantidades de datos. A menudo, se consideran el "arma preferida" para las transferencias de datos no autorizadas. El software de Device Control supervisa y controla las unidades USB y demás dispositivos externos, incluidos smartphones, dispositivos Bluetooth, dispositivos Plug and Play, reproductores de audio y discos duros que no pertenecen al sistema. Device Control se ejecuta en la mayoría de los sistemas operativos Windows y OS X, incluidos los servidores. Consulte la página de requisitos del sistema de esta guía para obtener más información. La protección de McAfee Device Control se construye en tres capas: • Clases de dispositivos: Recopilaciones de dispositivos que cuentan con características parecidas y que se pueden gestionar de un modo similar. Las clases de dispositivo son solo pertinentes para las definiciones y reglas de dispositivos Plug and Play, y no para los sistemas operativos OS X. • Definiciones de dispositivos: Identificación y agrupación de dispositivos en función de las propiedades que tienen en común. • Reglas para dispositivos: Control del comportamiento de los dispositivos. Una regla de dispositivos se compone de una lista de las definiciones de dispositivos incluidas o excluidas de la regla, y la acción realizada cuando el uso del dispositivo activa la regla. Además, puede especificar los usuarios finales incluidos o excluidos de la regla. De forma opcional, pueden incluir una definición de aplicaciones para filtrar la regla conforme al origen del contenido de carácter confidencial. 94 McAfee Data Loss Prevention 10.0.100 Guía del producto Protección de medios extraíbles Gestión de dispositivos con clases de dispositivos 5 Reglas de protección de almacenamiento extraíble Además de las reglas para dispositivos, Device Control incluye un tipo de regla de protección de datos. Las reglas de protección de almacenamiento extraíble incluyen una o más clasificaciones para definir el contenido de carácter confidencial que activa la regla. De forma opcional, pueden incluir una definición de aplicaciones o URL de navegador Web, así como incluir o excluir a usuarios finales. No se pueden utilizar URL de navegadores web en McAfee DLP Endpoint for Mac. Gestión de dispositivos con clases de dispositivos La Clase de dispositivos es una recopilación de dispositivos que tienen características parecidas y que se pueden gestionar de modo similar. Las clases de dispositivo asignan un nombre e identifican los dispositivos utilizados por el sistema. Cada definición de clase de dispositivo incluye un nombre, y uno o varios identificadores únicos globales (GUID). Por ejemplo, Intel® PRO/1000 PL Network Connection y Dell wireless 1490 Dual Band WLAN Mini-Card son dos dispositivos que pertenecen a la clase Adaptador de red. Las clases de dispositivos no se aplican a los dispositivos OS X. Organización de las clases de dispositivo El Administrador de directivas de DLP muestra las clases de dispositivos (integradas) predefinidas dentro de la ficha Definiciones de Control de dispositivos. Las clases de dispositivos se clasifican por estado: • Los dispositivos de tipo Gestionado son dispositivos Plug and Play específicos o de almacenamiento extraíbles gestionados por McAfee DLP Endpoint. • Los dispositivos de tipo No gestionado no los gestiona Device Control según la configuración predeterminada. • Los dispositivos de tipo En lista blanca son dispositivos que Device Control no trata de controlar, como los procesadores o los dispositivos de baterías. Para evitar que el sistema operativo o el sistema en sí funcionen indebidamente, las clases de dispositivo no pueden editarse, pero sí duplicarse y cambiarse para añadir a la lista clases definidas por el usuario. Práctica recomendada: No agregue una clase de dispositivo a la lista sin probar qué consecuencias puede tener. En el Catálogo de directivas, use la ficha Directiva de DLP | Clases de dispositivos | Configuración para crear anulaciones temporales de estados de clases de dispositivos y de la configuración del tipo de filtro. Las anulaciones se pueden utilizar para probar los cambios definidos por el usuario antes de crear una clase definitiva, así como para solucionar problemas relacionados con el control de dispositivos. Device Control emplea definiciones de dispositivos y reglas de control de dispositivos Plug and Play para supervisar el comportamiento de las clases de dispositivo gestionados y dispositivos concretos pertenecientes a una clase de dispositivo gestionado. Por otra parte, las reglas para dispositivos de almacenamiento extraíbles no requieren una clase de dispositivo gestionado. El motivo tiene que ver con que los dos tipos de reglas de dispositivos emplean las clases de dispositivo de manera diferente: McAfee Data Loss Prevention 10.0.100 Guía del producto 95 5 Protección de medios extraíbles Definir una clase de dispositivo • Las reglas para dispositivos Plug and Play se activan en el momento en que el dispositivo de hardware se conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es necesario que la clase de dispositivo sea gestionado para reconocerlo. • Las reglas de dispositivos de almacenamiento extraíbles se activan al montar un nuevo sistema de archivos. Cuando esto sucede, el cliente de Device Control asocia la letra de la unidad con el dispositivo de hardware concreto y comprueba las propiedades del dispositivo. Debido a que la reacción se debe al funcionamiento de un sistema de archivos (es decir, se produce al montarlo), no es necesario gestionar la clase de dispositivo. Véase también Crear una clase de dispositivos en la página 97 Definir una clase de dispositivo Si en la lista predefinida no existe una clase de dispositivo adecuada o si no se crea automáticamente al instalar hardware nuevo, puede crear una nueva clase de dispositivo en la consola del administrador de directivas de McAfee DLP Endpoint. Obtención de un GUID Las definiciones de la clase de dispositivos requieren un nombre y uno o varios identificadores únicos globales (GUID). Algunos dispositivos de hardware instalan su propia clase de dispositivos nueva. Para controlar el comportamiento de los dispositivos de hardware Plug and Play que definen su propia clase de dispositivos, primero debe agregar una nueva clase de dispositivos en el estado Gestionado en la lista Clases de dispositivos. La clase de dispositivos se define con dos propiedades: un nombre y un GUID. El nombre del nuevo dispositivo se muestra en el administrador de dispositivos, pero el GUID solo se muestra en el registro de Windows y no es fácil obtenerlo. Con el fin de facilitar la recuperación de los GUID y nombres de los nuevos dispositivos, el cliente de Device Control informa del evento Nueva clase de dispositivos encontrada al Administrador de incidentes de DLP cuando un dispositivo de hardware que no pertenece a una clase de dispositivos reconocida se conecta al equipo host. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP | Lista de incidentes. 2 Haga clic en Editar junto a la lista desplegable Filtro para editar los criterios de filtrado. 3 En la lista Propiedades disponibles (panel izquierdo), seleccione Tipo de incidente. 4 Compruebe que el valor de la lista desplegable Comparación sea Igual a. 5 En la lista desplegable Valores, seleccione Se ha encontrado una clase nueva de dispositivo. 6 Haga clic en Actualizar filtro. En la Lista de incidentes aparecen las nuevas clases de dispositivos encontradas en todos los equipos Endpoint. 7 96 Para ver el nombre y el GUID de un dispositivo determinado, haga doble clic en el elemento para mostrar los detalles del incidente. McAfee Data Loss Prevention 10.0.100 Guía del producto Protección de medios extraíbles Organización de dispositivos con definiciones de dispositivos 5 Crear una clase de dispositivos Cree una clase de dispositivos si no existe una clase de dispositivos adecuada en la lista predefinida o si no se ha creado automáticamente al instalar el nuevo hardware. Antes de empezar Obtenga el identificador único global (GUID) del dispositivo antes de empezar la tarea. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones. 2 En el panel de la izquierda, seleccione Control de dispositivos | Clase de dispositivos. 3 Siga uno de estos procedimientos: • Seleccione Acciones | Nuevo. • Busque una clase de dispositivo similar en la lista de clases de dispositivo integrada y haga clic en la opción Duplicar de la columna Acciones. Haga clic en Editar en la clase de dispositivo duplicada. 4 Introduzca un Nombre único y, si lo desea, una Descripción. 5 Compruebe el Estado y el Tipo de filtro requeridos. 6 Introduzca el GUID y, a continuación, haga clic en Aceptar. El GUID debe tener el formato correcto. Este se le solicitará si lo ha introducido de forma incorrecta. 7 Haga clic en Guardar. Véase también Gestión de dispositivos con clases de dispositivos en la página 95 Organización de dispositivos con definiciones de dispositivos en la página 97 Organización de dispositivos con definiciones de dispositivos Una definición de dispositivo es una lista de propiedades como el tipo de bus, la clase de dispositivo, el ID del proveedor y el ID del producto. Las definiciones de dispositivos sirven para identificar y agrupar dispositivos según sus propiedades comunes. Algunas propiedades de dispositivo se pueden aplicar a cualquier definición y otras son exclusivas de un tipo de dispositivo concreto o de varios tipos. Los tipos de definiciones de dispositivos disponibles son los siguientes: • Los dispositivos de disco duro fijo se conectan al equipo y el sistema operativo no los marca como almacenamiento extraíble. Device Control puede supervisar las unidades de disco duro fijo que no son unidades de arranque. • Los dispositivos Plug and Play se agregan al equipo gestionado sin necesidad de realizar configuraciones ni instalaciones manuales de DLL o controladores. Entre los dispositivos Plug and Play se incluye la mayoría de los dispositivos de Microsoft Windows. Los dispositivos de Apple OS X solo son compatibles como USB. McAfee Data Loss Prevention 10.0.100 Guía del producto 97 5 Protección de medios extraíbles Organización de dispositivos con definiciones de dispositivos • Los dispositivos de almacenamiento extraíbles son dispositivos externos con un sistema de archivos que aparecen en el equipo gestionado como unidades. Las definiciones de dispositivos de almacenamiento extraíbles admiten sistemas operativos Microsoft Windows o Apple OS X. • Los dispositivos Plug and Play en lista blanca no interactúan correctamente con la función de administración de dispositivos y pueden hacer que el sistema deje de responder o causar otros problemas graves. Solo son compatibles los dispositivos con Microsoft Windows. Las definiciones de dispositivos Plug and Play en lista blanca se agregan automáticamente a la lista de excluidos en todas las reglas de control de dispositivos Plug and Play. Nunca serán dispositivos gestionados, aunque la clase de dispositivo principal a la que pertenecen sea gestionado. Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles e incluyen propiedades adicionales relativas a los dispositivos de almacenamiento extraíbles. Práctica recomendada: Utilice las reglas y definiciones de dispositivos de almacenamiento extraíbles para controlar los dispositivos que se pueden clasificar de cualquiera de las dos formas, como pueden ser los dispositivos de almacenamiento masivo USB. Véase también Crear una clase de dispositivos en la página 97 Uso de las definiciones de dispositivos Varios parámetros se agregan a las definiciones de dispositivos como operador lógico O (valor predeterminado) u operador lógico Y. Siempre se agregan varios tipos de parámetro como operador lógico Y. Por ejemplo, la siguiente selección de parámetros: Crea esta definición: • El tipo de bus es: Firewire (IEEE 1394) O USB • La clase de dispositivos Y es uno de los dispositivos de memoria O de los dispositivos portátiles de Windows Crear una definición de dispositivos Las definiciones de dispositivos especifican las propiedades de un dispositivo para activar la regla. Práctica recomendada: Cree las definiciones de dispositivos Plug and Play en lista blanca para los dispositivos que no controlan de un modo claro la gestión, lo que podría ocasionar que el sistema dejase de responder o crear otros problemas graves. No se aplicarán otras acciones en estos dispositivos incluso si se activa una regla. 98 McAfee Data Loss Prevention 10.0.100 Guía del producto Protección de medios extraíbles Organización de dispositivos con definiciones de dispositivos 5 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones. 2 En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos. 3 Seleccione Acciones | Nuevo y, a continuación, elija el tipo de definición. 4 Introduzca un Nombre único y, si lo desea, una Descripción. 5 (Solo para dispositivos Plug and Play y dispositivos de almacenamiento extraíbles) Seleccione la opción Se aplica a para los dispositivos Microsoft Windows u OS X. La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativo seleccionado. 6 Seleccione las propiedades para el dispositivo. La lista de propiedades disponibles varía según el tipo de dispositivo. • Para agregar una propiedad, haga clic en >. • Para eliminar una propiedad, haga clic en <. • Para agregar valores adicionales a la propiedad, haga clic en +. Los valores se agregan de forma predeterminada como el operador lógico O. Haga clic en el botón Y/O para cambiarlo a Y. • 7 Para eliminar propiedades, haga clic en -. Haga clic en Guardar. Creación de una definición de dispositivos Plug and Play en lista blanca El objetivo de los dispositivos Plug and Play en lista blanca consiste en gestionar aquellos dispositivos que no llevan a cabo la administración de dispositivos de forma correcta. Si no están en lista blanca, el sistema puede dejar de responder o pueden producirse otros problemas graves. Las definiciones de Plug and Play no incluidas en lista blanca no son compatibles con McAfee DLP Endpoint for Mac. Los dispositivos Plug and Play incluidos en lista blanca se agregan a las reglas de dispositivos Plug and Play de la ficha Excepciones. Nunca serán dispositivos gestionados, aunque la clase de dispositivos a la que pertenecen sea gestionada. Práctica recomendada: Para evitar problemas de compatibilidad, agregue a la lista de dispositivos en lista blanca aquellos que no lleven a cabo correctamente la administración de dispositivos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones. 2 En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos y, a continuación, elija Acciones | Nuevo | Definición de dispositivos Plug and Play en lista blanca. 3 Introduzca un Nombre único y, si lo desea, una Descripción. McAfee Data Loss Prevention 10.0.100 Guía del producto 99 5 Protección de medios extraíbles Organización de dispositivos con definiciones de dispositivos 4 Seleccione las propiedades para el dispositivo. • Para agregar una propiedad, haga clic en >. • Para eliminar una propiedad, haga clic en <. • Para agregar valores adicionales a la propiedad, haga clic en +. Los valores se agregan de forma predeterminada como el operador lógico O. Haga clic en el botón Y/O para cambiarlo a Y. • 5 Para eliminar propiedades, haga clic en -. Haga clic en Guardar. Creación de una definición de dispositivos de almacenamiento extraíbles Un dispositivo de almacenamiento extraíble es un dispositivo externo que contiene un sistema de archivos que aparece en el equipo gestionado como una unidad. Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles que las definiciones de dispositivos Plug and Play e incluyen propiedades adicionales relacionadas con los dispositivos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones. 2 En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos y, a continuación, elija Acciones | Nuevo | Definición de dispositivos de almacenamiento extraíbles. 3 Introduzca un Nombre único y, si lo desea, una Descripción. 4 Seleccione la opción Se aplica a para los dispositivos Microsoft Windows u OS X. La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativo seleccionado. 5 Seleccione las propiedades para el dispositivo. • Para agregar una propiedad, haga clic en >. • Para eliminar una propiedad, haga clic en <. • Para agregar valores adicionales a la propiedad, haga clic en +. Los valores se agregan de forma predeterminada como el operador lógico O. Haga clic en el botón Y/O para cambiarlo a Y. • 6 100 Para eliminar propiedades, haga clic en -. Haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto 5 Protección de medios extraíbles Propiedades del dispositivo Crear una definición de par de número de serie y usuario Puede crear excepciones para reglas de dispositivos de almacenamiento extraíbles y Plug and Play basadas en identidades de usuario y números de serie de dispositivo emparejadas. Al vincular el dispositivo al usuario que ha iniciado sesión, se adquiere un mayor nivel de seguridad. Antes de empezar Obtenga los números de serie de los dispositivos que va a agregar a la definición. Las definiciones de número de serie y de par de usuario final no son compatibles con McAfee DLP Endpoint for Mac. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones. 2 En el panel de la izquierda, seleccione Control de dispositivos | Número de serie y par de usuario final. 3 Seleccione Acciones | Nuevo. 4 Introduzca un nombre único y una descripción opcional. 5 Introduzca la información requerida en los cuadros de texto de la parte inferior de la página y, a continuación, haga clic en Agregar. Repita la acción según corresponda para agregar pares de usuarios finales y números de serie adicionales. En Tipo de usuario | Todos, deje en blanco el campo Usuario final. Si va a especificar un usuario, utilice el formato usuario@nombre.dominio. 6 Haga clic en Guardar. Véase también Propiedades del dispositivo en la página 101 Propiedades del dispositivo Las propiedades del dispositivo especifican las características del dispositivo, por ejemplo, el nombre de dispositivo, el tipo de bus o el tipo de sistema de archivos. La tabla proporciona definiciones de propiedades del dispositivo, los tipos de definición que utiliza la propiedad y el sistema operativo a las que se aplican. McAfee Data Loss Prevention 10.0.100 Guía del producto 101 5 Protección de medios extraíbles Propiedades del dispositivo Tabla 5-2 Tipos de propiedades de dispositivo Nombre de propiedad Definición de dispositivo Se aplica a los sistemas operativos: Descripción Tipo de bus Todo • Windows: Bluetooth, Firewire (IEEE1394), IDE/SATA, PCI, PCMIA, SCSI, USB Selecciona el tipo de BUS del dispositivo de la lista disponible. Para las reglas de dispositivos Plug and Play, McAfee DLP Endpoint for Mac solo admite el tipo de bus USB. • Mac OS X: Firewire (IEEE1394), IDE/SATA, SD, Thunderbolt, USB Unidades de CD/DVD Almacenamiento extraíble • Windows Contenido cifrado por Endpoint Encryption Almacenamiento extraíble Windows Dispositivos protegidos con Endpoint Encryption. Clase de dispositivos Plug and Play Windows Selecciona la clase de dispositivo de la lista gestionada disponible. ID compatibles con dispositivos Todo Windows Una lista de descripciones de dispositivos físicos. Resulta especialmente útil con tipos de dispositivos que no son USB ni PCI, ya que estos últimos se identifican más fácilmente mediante los ID de proveedor o de dispositivo de PCI o el ID prov./ID prod. de USB. ID de instancia del dispositivo (Microsoft Windows XP) Todo Windows Cadena generada por Windows que identifica de forma exclusiva el dispositivo en el sistema. • Mac OS X Se selecciona para indicar cualquier unidad de CD o DVD. Ejemplo: USB\VID_0930&PID_6533\5&26450FC&0&6. Ruta a la instancia del dispositivo (Windows Vista y sistemas operativos posteriores de Microsoft Windows, incluidos los servidores) Nombre descriptivo del dispositivo 102 Todo McAfee Data Loss Prevention 10.0.100 • Windows • Mac OS X El nombre asociado a un dispositivo de hardware, que representa su dirección física. Guía del producto 5 Protección de medios extraíbles Propiedades del dispositivo Tabla 5-2 Tipos de propiedades de dispositivo (continuación) Nombre de propiedad Definición de dispositivo Se aplica a los sistemas operativos: Tipo de sistema de archivos • Disco duro fijo El tipo de sistema de archivos. • Windows: CDFS, exFAT, • Para discos duros, seleccione una opción de FAT16, FAT32, exFAT, FAT16, FAT32 o NTFS. NTFS, UDFS • Para los dispositivos de almacenamiento • Mac OS X: extraíbles, cualquiera de los anteriores CDFS, exFAT, además de CDFS o UDFS. FAT16, FAT32, HFS/HFS+, NTFS, UDFS • Almacenamiento extraíble Descripción Mac OS X solo admite FAT en los discos que no sean disco de arranque. Mac OS X admite NTFS como solo lectura. Acceso al sistema de archivos Almacenamiento extraíble • Windows Etiqueta de volumen del sistema de archivos • Disco duro fijo • Windows • Almacenamiento extraíble • Mac OS X Número de serie del volumen del sistema de archivos • Disco duro fijo Windows Número de 32 bits generado automáticamente cuando se crea un sistema de archivos en el dispositivo. Se puede ver si se ejecuta el comando en la línea de comandos dir x:, donde la x: es la letra de la unidad. ID de proveedor e ID de dispositivo PCI Todo Windows El ID de proveedor y el ID de dispositivo asociados al dispositivo PCI. Estos parámetros se pueden obtener de la cadena de ID de hardware de los dispositivos físicos. • Mac OS X • Almacenamiento extraíble El acceso al sistema de archivos: solo lectura, o de lectura y escritura. Etiqueta de volumen definida por el usuario que se muestra en el Explorador de Windows. Se permite la coincidencia parcial. Ejemplo: PCI\VEN_8086&DEV_2580&SUBSYS_00000000 &REV_04 Dispositivos TrueCrypt Almacenamiento extraíble Windows Se selecciona para especificar un dispositivo TrueCrypt. Código de clase USB Plug and Play Windows Identifica un dispositivo USB físico por su funcionalidad general. Seleccione el código de clase en la lista disponible. McAfee Data Loss Prevention 10.0.100 Guía del producto 103 5 Protección de medios extraíbles Reglas de control de dispositivos Tabla 5-2 Tipos de propiedades de dispositivo (continuación) Nombre de propiedad Definición de dispositivo Se aplica a los sistemas operativos: Descripción Número de serie del dispositivo USB • Plug and Play • Windows • Almacenamiento extraíble • Mac OS X Una cadena alfanumérica exclusiva asignada por el fabricante del dispositivo USB, generalmente para dispositivos de almacenamiento extraíbles. El número de serie es la última parte del ID de instancia. Ejemplo: USB\VID_3538&PID_0042\00000000002CD8 Un número de serie válido tiene que tener un mínimo de 5 caracteres alfanuméricos y no contener los signos "&". Si la última parte del ID de instancia no se ajusta a estos requisitos, no es un número de serie. ID de • Plug and Play proveedor e • Almacenamiento ID de producto USB extraíble • Windows • Mac OS X El ID de proveedor y el ID de producto asociados al dispositivo USB. Estos parámetros se pueden obtener de la cadena de ID de hardware de los dispositivos físicos. Ejemplo: USB\Vid_3538&Pid_0042 Reglas de control de dispositivos Las reglas de control de dispositivos definen la medida que se debe tomar cuando se utilizan determinados dispositivos. 104 Regla de control de dispositivos Descripción Se utiliza en Regla para dispositivos de almacenamiento extraíbles Sirve para bloquear o supervisar dispositivos de almacenamiento extraíbles o para configurarlos como de solo lectura. Se puede notificar al usuario la acción realizada. McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac Regla para dispositivos Plug and Play Se utiliza para bloquear o supervisar los McAfee DLP Endpoint dispositivos Plug and Play. Se puede notificar al para Windows y usuario la acción realizada. McAfee DLP Endpoint for Mac (solo dispositivos USB) Regla de acceso a archivos en dispositivos de almacenamiento extraíbles Sirve para bloquear la ejecución de archivos ejecutables en dispositivos de complemento. Regla de disco duro fijo Sirve para bloquear o supervisar dispositivos McAfee DLP Endpoint duros fijos o para configurarlos como de solo para Windows lectura. Se puede notificar al usuario la acción realizada. Las reglas para dispositivos de disco duro fijo no protegen la partición del sistema ni el arranque. McAfee Data Loss Prevention 10.0.100 McAfee DLP Endpoint para Windows Guía del producto 5 Protección de medios extraíbles Reglas de control de dispositivos Regla de control de dispositivos Descripción Se utiliza en Regla para dispositivos Citrix XenApp Sirve para bloquear los dispositivos Citrix asignados a sesiones de escritorio compartidas. McAfee DLP Endpoint para Windows Regla para dispositivos TrueCrypt Se usa para proteger los dispositivos TrueCrypt. Se puede utilizar para bloquear, supervisar o configurar dispositivos como de solo lectura. Se puede notificar al usuario la acción realizada. McAfee DLP Endpoint para Windows Creación de una regla para dispositivos de almacenamiento extraíbles Los dispositivos de almacenamiento extraíbles aparecen en el equipo gestionado como unidades. Utilice las reglas para dispositivos de almacenamiento extraíbles para bloquear el uso de dispositivos extraíbles o establecerlos como de solo lectura. Se pueden utilizar en McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac. Las reglas para dispositivos de almacenamiento extraíbles no requieren una clase de dispositivo gestionado, debido a la diferencia en la forma en que los dos tipos de reglas de dispositivos utilizan las clases de dispositivo: • Las reglas para dispositivos Plug and Play se activan en el momento en que el dispositivo de hardware se conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es necesario que la clase de dispositivo sea gestionado para reconocerlo. • Las reglas para dispositivos de almacenamiento extraíbles se activan al montar un nuevo sistema de archivos. Al montar el sistema de archivos, el software McAfee DLP Endpoint asocia la letra de unidad con el dispositivo de hardware específico y comprueba sus propiedades. Debido a que la reacción se debe al funcionamiento de un sistema de archivos, y no a un controlador de dispositivo, no es necesario que la clase de dispositivo sea gestionado. Las reglas para dispositivos tienen un parámetro Implementar en que aplica la regla a Windows o OS X, o a ambos. Las definiciones de dispositivos utilizadas en las reglas de dispositivos tienen un parámetro Se aplica a que especifica bien Dispositivos Windows bien Dispositivos Mac OSX. Al seleccionar las definiciones de dispositivos, hágalas coincidir con el sistema operativo de la definición y la regla. Los clientes de McAfee DLP Endpoint para ambos sistemas operativos ignoran las propiedades que no se aplican a dicho sistema. Sin embargo, no puede guardar una regla que, por ejemplo, se implementa solo para Windows, pero que contiene definiciones de dispositivos de Mac OS X. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas. 2 Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente. 3 Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control de dispositivos. 4 Seleccione Acciones | Nueva regla | Regla para dispositivos de almacenamiento extraíbles. 5 Especifique un Nombre de regla único. 6 (Opcional) Cambie el estado y seleccione una gravedad. 7 Anule la selección de las casillas de verificación de McAfee DLP Endpoint for Windows o McAfee DLP Endpoint for Mac OS X si la regla se aplica solo a uno de los sistemas operativos. McAfee Data Loss Prevention 10.0.100 Guía del producto 105 5 Protección de medios extraíbles Reglas de control de dispositivos 8 En la ficha Condición, seleccione una o varias definiciones de dispositivos de almacenamiento extraíbles. (Opcional) Asigne grupos de usuarios finales y un Nombre de proceso a la regla. 9 (Opcional) En la ficha Excepciones, seleccione una definición en la lista blanca y rellene los campos necesarios. Puede agregar varias excepciones añadiendo más de una definición en lista blanca. Las opciones Procesos excluidos y Número de serie y pares de usuario excluidos no son compatibles con McAfee DLP Endpoint for Mac. 10 En la ficha Reacción, seleccione una Acción preventiva. (Opcional) Agregue una Notificación de usuario y seleccione Notificar incidente. Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador de incidentes de DLP. 11 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera de la red corporativa. 12 Haga clic en Guardar. Véase también Caso práctico: Regla para dispositivos de almacenamiento extraíbles con acceso a archivos mediante proceso en lista blanca en la página 168 Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura en la página 169 Crear una regla para dispositivos Plug and Play Las reglas para dispositivos Plug and Play se usan para bloquear o supervisar los dispositivos Plug and Play. Se pueden utilizar en McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac. En el caso de los equipos OS X, solo se admiten dispositivos USB. Un dispositivo Plug and Play es un dispositivo que puede agregarse al equipo gestionado sin necesidad de realizar configuraciones ni instalaciones manuales de DLL o controladores. Con el fin de que las reglas para dispositivos Plug and Play controlen los dispositivos de hardware de Microsoft Windows, las clases del dispositivo especificadas en las definiciones de dispositivos que usa la regla deben estar configuradas con el estado Gestionado. Las reglas para dispositivos tienen un parámetro Implementar en que aplica la regla a Windows o OS X, o a ambos. Las definiciones de dispositivos utilizadas en las reglas de dispositivos tienen un parámetro Se aplica a que especifica bien Dispositivos Windows bien Dispositivos Mac OSX. Al seleccionar las definiciones de dispositivos, hágalas coincidir con el sistema operativo de la definición y la regla. Los clientes de McAfee DLP Endpoint para ambos sistemas operativos ignoran las propiedades que no se aplican a dicho sistema. Sin embargo, no puede guardar una regla que, por ejemplo, se implementa solo para Windows, pero que contiene definiciones de dispositivos de Mac OS X. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 106 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas. 2 Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente. 3 Para abrir el conjunto de reglas y editarlas, haga clic en el nombre de dicho conjunto. Haga clic en la ficha Control de dispositivos. 4 Seleccione Acciones | Nueva regla | Regla para dispositivos Plug and Play. McAfee Data Loss Prevention 10.0.100 Guía del producto 5 Protección de medios extraíbles Reglas de control de dispositivos 5 Introduzca un nombre de regla único. 6 (Opcional) Cambie el estado y seleccione una gravedad. 7 Anule la selección de las casillas de verificación de McAfee DLP Endpoint for Windows o McAfee DLP Endpoint for Mac OS X si la regla se aplica solo a uno de los sistemas operativos. 8 En la ficha Condición, seleccione una o varias definiciones de dispositivos Plug and Play. 9 (Opcional) Asigne grupos de usuarios finales a la regla. 10 (Opcional) En la ficha Excepciones, seleccione una definición en lista blanca y rellene los campos obligatorios. Puede agregar varias excepciones añadiendo más de una definición en lista blanca. 11 En la ficha Reacción, seleccione una acción preventiva. Opcional: Agregue una Notificación de usuario y elija la opción Notificar incidente. Si no selecciona Notificar incidente, no hay ningún registro del incidente en el Administrador de incidentes de DLP. 12 (Opcional) Seleccione una acción preventiva diferente cuando el usuario final esté trabajando fuera de la red corporativa o esté conectado mediante VPN. 13 Haga clic en Guardar. Véase también Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug and Play en la página 170 Creación de una regla de dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles Utilice reglas de acceso a archivos en dispositivos de almacenamiento extraíbles para bloquear la ejecución de archivos ejecutables en dispositivos de complemento. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas. 2 Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente. 3 Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control de dispositivos. 4 Seleccione Acciones | Nueva regla | Regla de acceso a archivos en dispositivos de almacenamiento extraíbles. 5 Especifique un Nombre de regla único. 6 (Opcional) Cambie el estado y seleccione una gravedad. 7 En la ficha Condición, seleccione una o varias definiciones de dispositivos de almacenamiento extraíbles. (Opcional) Asigne grupos de usuarios finales a la regla. 8 (Opcional) Cambie las definiciones predeterminadas de Tipo de archivo verdadero o Extensión del archivo según precise. McAfee Data Loss Prevention 10.0.100 Guía del producto 107 5 Protección de medios extraíbles Reglas de control de dispositivos 9 (Opcional) En la ficha Excepciones, seleccione Nombres de archivo en lista blanca y rellene los campos obligatorios. La excepción Nombre del archivo sirve para las aplicaciones que tienen que ejecutarse. Un ejemplo son las aplicaciones de cifrado en las unidades cifradas. 10 En la ficha Reacción, seleccione una Acción preventiva. (Opcional) Agregue una Notificación de usuario y seleccione Notificar incidente. Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador de incidentes de DLP. 11 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera de la red corporativa. 12 Haga clic en Guardar. Véase también Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles en la página 110 Crear una regla de dispositivos de disco duro fijo Utilice reglas de dispositivo de disco duro fijo para controlar las unidades de disco duro fijo conectadas al equipo y no marcadas por el sistema operativo como almacenamiento extraíble. Se pueden utilizar solo en McAfee DLP Endpoint para Windows. Las reglas de disco duro fijo incluyen una definición de unidad con una acción para bloquearlo o hacerlo de solo lectura, una definición de usuario final y una notificación de usuario opcional. Estas reglas no protegen el arranque ni la partición del sistema. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas. 2 Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente. 3 Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control de dispositivos. 4 Seleccione Acciones | Nueva regla | Regla de disco duro fijo. 5 Especifique un Nombre de regla único. 6 (Opcional) Cambie el estado y seleccione una gravedad. 7 En la ficha Condición, seleccione una o varias definiciones de dispositivo de disco duro fijo. (Opcional) Asigne grupos de usuarios finales a la regla. 8 (Opcional) En la ficha Excepciones, seleccione una definición en lista blanca y rellene los campos obligatorios. Puede agregar varias excepciones añadiendo más de una definición en lista blanca. 9 En la ficha Reacción, seleccione una Acción preventiva. (Opcional) Agregue una Notificación de usuario y seleccione Notificar incidente. Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador de incidentes de DLP. 108 McAfee Data Loss Prevention 10.0.100 Guía del producto Protección de medios extraíbles Reglas de control de dispositivos 5 10 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera de la red corporativa. 11 Haga clic en Guardar. Crear una regla de dispositivos Citrix Utilice las reglas de dispositivos Citrix para bloquear los dispositivos Citrix asignados a sesiones de escritorio compartidas. Las reglas para dispositivos Citrix XenApp se admiten únicamente en equipos basados en Windows. El software de McAfee DLP Endpoint puede bloquear los dispositivos Citrix asignados a sesiones de escritorio compartidas. Se pueden bloquear todas las unidades de disquete, fijas, de CD, extraíbles y de red, así como el redireccionamiento a impresoras y portapapeles. Puede asignar la regla a usuarios finales determinados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas. 2 Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente. 3 Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control de dispositivos. 4 Seleccione Acciones | Nueva regla | Regla para dispositivos Citrix XenApp. 5 Especifique un Nombre de regla único. 6 (Opcional) Cambie el estado y seleccione una gravedad. 7 En la ficha Condición, seleccione uno o varios recursos. 8 (Opcional) Asigne grupos de usuarios finales a la regla. 9 (Opcional) En la ficha Excepciones, rellene los campos obligatorios para los usuarios en lista blanca. 10 Haga clic en Guardar. Los recursos seleccionados están bloqueados. La única Acción preventiva para las reglas de Citrix es Bloquear. No necesita definir la acción en el panel Reacción. Crear una regla de dispositivos TrueCrypt Utilice las reglas de dispositivos TrueCrypt para bloquear o supervisar los dispositivos de cifrado virtuales TrueCrypt o configurarlos como de solo lectura. Se pueden utilizar solo en McAfee DLP Endpoint para Windows. Las reglas de dispositivos TrueCrypt son un subconjunto de las reglas para dispositivos de almacenamiento extraíbles. Los dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas para dispositivos TrueCrypt o con reglas de protección de almacenamiento extraíble. McAfee Data Loss Prevention 10.0.100 Guía del producto 109 5 Protección de medios extraíbles Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles • Utilice una regla de dispositivos si desea bloquear o supervisar un volumen TrueCrypt o para que sea de solo lectura. • Utilice una regla de protección si desea una protección basada en el contenido para los volúmenes TrueCrypt. El software cliente de McAfee DLP Endpoint trata todos los montajes TrueCrypt como de almacenamiento extraíble, incluso cuando la aplicación TrueCrypt está escribiendo en el disco local. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas. 2 Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente. 3 Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control de dispositivos. 4 Seleccione Acciones | Nueva regla | Regla para dispositivos TrueCrypt. 5 Especifique un Nombre de regla único. 6 (Opcional) Cambie el estado y seleccione una gravedad. 7 (Opcional) En la ficha Condición, asigne grupos de usuarios finales a la regla. 8 (Opcional) En la ficha Excepciones, rellene los campos obligatorios para los usuarios en lista blanca. 9 En la ficha Reacción, seleccione una Acción preventiva. (Opcional) Agregue una Notificación de usuario y seleccione Notificar incidente. Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador de incidentes de DLP. 10 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera de la red corporativa. 11 Haga clic en Guardar. Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles se usan para bloquear la ejecución de archivos ejecutables en dispositivos de complemento. Son compatibles únicamente con equipos Microsoft Windows. Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles impiden a los dispositivos de almacenamiento extraíbles ejecutar las aplicaciones. Puede especificar los dispositivos incluidos y excluidos en la regla. Dado que debe permitirse la ejecución de algunos ejecutables, como las aplicaciones de cifrado en los dispositivos cifrados, la regla incluye un parámetro Nombre de archivo | no es ninguno de para excluir los archivos denominados de la regla de bloqueo. Las reglas de acceso a archivos utilizan el tipo y la extensión de archivo verdaderos para determinar qué archivos se deben bloquear. El tipo de archivo verdadero identifica el archivo por su tipo de datos registrados internamente, proporcionando una identificación precisa incluso si se cambió la extensión. 110 McAfee Data Loss Prevention 10.0.100 Guía del producto Protección de medios extraíbles Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles 5 De forma predeterminada, la regla bloquea los archivos comprimidos (.zip, .gz, .jar, .rar y .cab) y los ejecutables (.bat, .bin, .cgi, .com, .cmd, .dll, .exe, .class, .sys y .msi). Puede personalizar las definiciones de extensiones de archivos para agregar cualquier tipo de archivo que precise. Las reglas de acceso a archivos también impiden que los archivos ejecutables se copien en dispositivos de almacenamiento extraíbles, puesto que el controlador de filtros de archivo no puede diferenciar entre abrir y crear un ejecutable. McAfee Data Loss Prevention 10.0.100 Guía del producto 111 5 Protección de medios extraíbles Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles 112 McAfee Data Loss Prevention 10.0.100 Guía del producto 6 Clasificación del contenido confidencial Clasificaciones para identificar y rastrear archivos y contenido de carácter confidencial. Contenido Componentes del módulo Clasificación Uso de las clasificaciones Criterios y definiciones de clasificación Clasificación manual Documentos registrados Texto en lista blanca Creación y configuración de clasificaciones Configurar los componentes de clasificación para McAfee DLP Endpoint Creación de las definiciones de clasificación Caso práctico: Integración del cliente de Titus con etiquetas de terceros Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación Componentes del módulo Clasificación McAfee DLP utiliza dos mecanismos para clasificar contenido de carácter confidencial: clasificaciones de contenido e identificaciones de contenido por huellas digitales; asimismo, emplea dos modos de clasificación: automática y manual. Las clasificaciones automáticas se definen en McAfee DLP y McAfee ePO las distribuye por las directivas desplegadas en equipos endpoint. A continuación, se aplican al contenido en función de los criterios que las definen. Los usuarios autorizados aplican las clasificaciones manuales a archivos y correos electrónicos en sus equipos endpoint. El cuadro de diálogo de clasificación manual solo está disponible en McAfee DLP Endpoint para Windows. En todos los demás productos de McAfee DLP se pueden implementar reglas de protección de datos en función de las clasificaciones manuales, pero no se pueden ver ni configurar. El módulo Clasificación de McAfee DLP almacena criterios de clasificación e identificación por huellas digitales de contenido, así como las definiciones utilizadas para configurarlos. También es el lugar para configurar los repositorios de los documentos registrados, la autorización del usuario para la clasificación manual y el texto en lista blanca. El módulo proporciona estas funciones: • Clasificación manual: configura los grupos de usuarios finales a quienes se permite identificar por huellas digitales o clasificar de forma manual el contenido • Definiciones: Define el contenido, las propiedades y la ubicación de los archivos para la clasificación. McAfee Data Loss Prevention 10.0.100 Guía del producto 113 6 Clasificación del contenido confidencial Uso de las clasificaciones • Clasificación: crea clasificaciones y define los criterios de clasificación e identificación por huellas digitales de contenido • Registrar documentos: Carga archivos que contienen contenido de carácter confidencial conocido. • Texto en lista blanca: Carga archivos que contienen texto para incluir en lista blanca. Registrar documentos y Texto en lista blanca solo se encuentran disponibles en McAfee DLP Endpoint para Windows. Uso de las clasificaciones Las clasificaciones identifican y rastrean el contenido de carácter confidencial aplicando huellas digitales o clasificaciones de contenido en los archivos y su contenido. McAfee DLP identifica y realiza el seguimiento del contenido de carácter confidencial con clasificaciones definidas por el usuario. Todos los productos de McAfee DLP admiten clasificaciones de contenido, es decir, pueden aplicarlas mediante la asignación de reglas de descubrimiento, control de dispositivos o protección de datos. Todos los productos de McAfee DLP pueden implementar huellas digitales de contenido, pero solo McAfee DLP Endpointpara Windows puede aplicarlas. Las huellas digitales del contenido etiquetan la información confidencial; esta etiqueta permanece con el contenido incluso si se copia a otro documento o se guarda con un formato diferente. Clasificación del contenido Las clasificaciones de contenido incluyen condiciones del archivo y datos que definen el contenido de carácter confidencial. En el caso de la clasificación automática, los criterios de clasificación se comparan con el contenido cada vez que se activa una regla de protección de datos, de descubrimiento de endpoint o de McAfee DLP Discover. En cuanto a la clasificación manual, la clasificación está incrustada como una etiqueta física dentro del archivo o correo electrónico. Las clasificaciones de contenido manuales son persistentes y permanecen en el archivo cuando se copia al almacenamiento, se adjunta a un correo electrónico o se carga en un sitio web como SharePoint. Las clasificaciones de contenido automáticas son compatibles con todos los productos de McAfee DLP. Las reglas de protección de datos en función de las clasificaciones manuales se implementan en todos los productos de McAfee DLP, pero únicamente McAfee DLP Endpoint para Windows cuenta con el cuadro de diálogo de clasificación manual que permite a los usuarios clasificar archivos. Los criterios de clasificación de contenido identifican patrones de texto confidencial, diccionarios y palabras clave, ya sean solas o en combinaciones. Las combinaciones pueden ser simplemente varias propiedades especificadas o con una relación definida que se conoce como proximidad. También pueden especificar las condiciones del archivo, como el tipo, el cifrado, las propiedades del documento o la ubicación en el archivo (encabezado/cuerpo/pie de página). Huellas digitales de contenido Los criterios de identificación por huellas digitales de contenido se aplican a los archivos o al contenido en función de uno de los siguientes criterios: 114 • Aplicación: la aplicación que ha creado o modificado el archivo. • Ubicación: el recurso compartido de red o la definición del almacenamiento extraíble donde se almacena el archivo. • Web: las direcciones web que abrieron o descargaron los archivos. McAfee Data Loss Prevention 10.0.100 Guía del producto 6 Clasificación del contenido confidencial Uso de las clasificaciones Todas las condiciones de archivos y de datos disponibles para los criterios de clasificación también lo están para los de identificación por huellas digitales de contenido, lo que permite que estas combinen la funcionalidad de ambos tipos de criterios. Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o en los flujos de datos alternativos (ADS) de un archivo, o en una carpeta oculta (ODB$). Puede seleccionar la tecnología preferida en la página de configuración del cliente de Windows Seguimiento de contenido. Se aplican a un archivo cuando se guarda. El mecanismo es el mismo que el de las huellas digitales de contenido automáticas o manuales. Si un usuario copia o mueve contenido identificado por huellas digitales a otro archivo, los criterios de identificación por huellas digitales se aplican a ese archivo. Si el contenido identificado por huellas digitales se elimina del archivo, también lo hacen las firmas de huellas digitales de contenido correspondientes. Si el archivo se copia en un sistema que no es compatible con EA o ADS (como SharePoint), los criterios de identificación por huellas digitales se pierden. McAfee DLP Endpoint aplica los criterios de identificación por huellas digitales de contenido a los archivos tras la aplicación de una directiva, independientemente de si se utiliza o no la clasificación en una regla de protección. Aplicación de los criterios de clasificación McAfee DLP aplica los criterios a un archivo, correo electrónico o solicitud web de una de las siguientes maneras: • McAfee DLP Prevent aplica los criterios cuando un correo electrónico o solicitud web coincide con una clasificación configurada. • McAfee DLP Endpoint aplica los criterios en los siguientes supuestos: • • El archivo coincide con una clasificación configurada. • El archivo o contenido de carácter confidencial se mueve o se copia a una nueva ubicación. • Se encuentra la coincidencia de un archivo durante un análisis de descubrimiento. • Un correo electrónico o una solicitud web coinciden con una clasificación configurada. Un usuario con permisos aplica los criterios a un archivo de forma manual. Véase también Creación de los criterios de clasificación en la página 129 Crear criterios de identificación por huellas digitales de contenido en la página 131 Asignar permisos de clasificación manual en la página 132 Clasificación en función del destino de los archivos Además de clasificar el contenido por su ubicación de procedencia, puede clasificar y controlar su destino. En la jerga de prevención de fuga de datos, esto se conoce como datos en tránsito. Las reglas de protección de archivos que controlan los destinos incluyen lo siguiente: • Reglas de protección en la nube • Reglas de protección de correo electrónico • Reglas de Protección de dispositivos móviles • Reglas de protección de comunicaciones de la red (saliente) • Reglas de protección contra impresión McAfee Data Loss Prevention 10.0.100 Guía del producto 115 6 Clasificación del contenido confidencial Uso de las clasificaciones • Reglas de protección de almacenamiento extraíble • Reglas de Protección web Uso del correo electrónico McAfee DLP Endpoint protege los datos confidenciales de los encabezados, el cuerpo o los datos adjuntos de los correos electrónicos cuando se envían. El descubrimiento de almacenamiento de correo electrónico detecta correos electrónicos con datos confidenciales en archivos OST o PST, y los etiqueta o los pone en cuarentena. McAfee DLP Endpoint protege el contenido de carácter confidencial de los correos electrónicos añadiendo clasificaciones de contenido y bloqueando el envío de correos electrónicos con contenido de carácter confidencial. La directiva de protección de correo electrónico puede especificar reglas diferentes para usuarios y destinos de correo electrónico distintos, o para los correos electrónicos protegidos con el cifrado o la administración de derechos. Las reglas se pueden habilitar para McAfee DLP Endpoint para Windows, McAfee DLP Prevent o para ambos. Las clasificaciones manuales agregadas por McAfee DLP Endpoint para usuarios Windows son compatibles con McAfee DLP Prevent. McAfee DLP Prevent for Mobile Email aplica clasificaciones para analizar los mensajes de correo electrónico enviados a los dispositivos móviles. Las reglas pueden guardar pruebas y crear incidentes que pueden asignarse a los casos. Véase también Reglas de protección de correo electrónico en la página 147 Definir parámetros de red Las definiciones de red funcionan como criterios de filtrado en las reglas de protección de la red. • Las Direcciones de red supervisan las conexiones de red entre un origen externo y un equipo gestionado. La definición puede ser una sola dirección, un intervalo o una subred. Puede incluir y excluir a direcciones de red definidas en reglas de protección de comunicaciones de la red. • Las definiciones de Puerto de red en las reglas de protección de comunicaciones de la red le permiten excluir servicios específicos según lo definido por los puertos de red. Se integra una lista de servicios comunes y sus puertos. Puede editar los elementos de la lista o crear sus propias definiciones. • Las definiciones de Recurso compartido de red especifican las carpetas de red compartidas en las reglas de protección de recurso compartido de red. Puede incluir o excluir los recursos compartidos definidos. Uso de las impresoras Las reglas de protección contra impresión gestionan tanto impresoras locales como de red, y bloquean o supervisan la impresión de material confidencial. Las reglas de protección contra impresión de McAfee DLP Endpoint admiten el modo avanzado y las impresoras V4. Las impresoras y los usuarios finales definidos pueden incluirse en una regla o excluirse de ella. Las impresoras de imagen y las impresoras PDF pueden incluirse en la regla. Las reglas de protección contra impresión pueden incluir definiciones de aplicaciones. Puede definir los procesos en lista blanca que están exentos de las reglas de protección contra impresión en la página de Protección contra impresión de la Configuración del cliente de Windows. 116 McAfee Data Loss Prevention 10.0.100 Guía del producto Clasificación del contenido confidencial Uso de las clasificaciones 6 Control de la información cargada en sitios web Las direcciones web se utilizan en reglas de protección web. Puede utilizar las definiciones de direcciones web para evitar que los datos marcados se publiquen en destinos web definidos (sitios web o páginas concretas de un sitio web), o para impedir que se publiquen en sitios web no definidos. Generalmente, las definiciones de direcciones web establecen los sitios web internos y externos en los que se admite la publicación de datos marcados. Clasificación por ubicación de archivo El contenido de carácter confidencial se puede definir según el lugar en que esté situado (almacenado) o según dónde se utilice (aplicación o extensión de archivo). McAfee DLP Endpoint utiliza varios métodos para ubicar y clasificar el contenido de carácter confidencial. Datos en reposo es el término utilizado para describir las ubicaciones de los archivos. Clasifica el contenido planteando preguntas como "¿dónde se encuentra en la red?" o "¿en qué carpeta se encuentra?" Datos en uso es el término utilizado para definir el contenido por cómo y dónde se utiliza. Clasifica el contenido planteando preguntas como "¿qué aplicación lo solicitó?" o "¿cuál es la extensión del archivo?". Las reglas de descubrimiento de McAfee DLP Endpoint encuentran sus datos en reposo. Pueden buscar contenido de archivos de equipos endpoint o archivos de almacenamiento de correo electrónico (PST, PST asignado y OST). En función de las propiedades, las aplicaciones o las ubicaciones en la clasificación de reglas, la regla puede buscar ubicaciones de almacenamiento concretas y aplicar directivas de cifrado, cuarentena o administración de derechos. De forma alternativa, los archivos se pueden etiquetar o clasificar para controlar cómo se utilizan. Extracción de texto El extractor de texto analiza el contenido cuando se abren o se copian archivos y los compara con los patrones de texto y las definiciones de diccionarios de las reglas de clasificación. Cuando se produce una coincidencia, se aplican los criterios al contenido. McAfee DLP es compatible con los caracteres acentuados. Cuando un archivo de texto ASCII contiene una mezcla de caracteres acentuados, como los que existen en francés y español, además de otros caracteres latinos estándar, es posible que el extractor de texto no identifique correctamente el conjunto de caracteres. Este problema se produce en todos los programas de extracción de texto. En este caso, no se conoce ningún método o técnica para identificar la página de código ANSI. Cuando el extractor de texto no es capaz de identificar la página de código, no se reconocen los patrones de texto ni las firmas de huella digital en contenido. El documento no se puede clasificar correctamente y, por tanto, no es posible llevar a cabo las medidas de supervisión o bloqueo correctas. Para solventar este problema, McAfee DLP utiliza una página de código de respaldo. Como respaldo, actúa el idioma predeterminado del equipo o bien otro diferente establecido por el administrador. Extracción de texto con McAfee DLP Endpoint La extracción de texto se puede utilizar en los equipos Microsoft Windows y Apple OS X. El extractor de texto puede ejecutar varios procesos en función del número de núcleos del procesador. • Un procesador de un núcleo solo ejecuta un proceso. • Un procesador de dos núcleos ejecuta hasta dos procesos. • Un procesador de varios núcleos ejecuta hasta tres procesos a la vez. Si varios usuarios han iniciado sesión, cada uno contará con su propio conjunto de procesos. Así pues, el número de extractores de texto depende del número de núcleos y de sesiones de usuario. Se pueden consultar los diversos procesos en el Administrador de tareas de Windows. Puede configurar el uso máximo de la memoria del extractor de texto. El valor predeterminado es 75 MB. McAfee Data Loss Prevention 10.0.100 Guía del producto 117 6 Clasificación del contenido confidencial Uso de las clasificaciones Cómo categoriza aplicaciones McAfee DLP Endpoint Antes de crear clasificaciones o conjuntos de reglas mediante aplicaciones, debe comprender de qué modo los categoriza McAfee DLP Endpoint y el efecto que ello tiene en el funcionamiento del sistema. No se puede utilizar esta clasificación en McAfee DLP Endpoint for Mac. El software McAfee DLP Endpoint divide las aplicaciones en cuatro categorías llamadas estrategias. Estas categorías o estrategias afectan el modo en el que el software funciona con las diferentes aplicaciones. Puede cambiar la estrategia para conseguir un equilibrio entre la seguridad y el rendimiento del equipo. Las estrategias, en orden decreciente de seguridad, son las que se indican a continuación. • Editor: Cualquier aplicación que pueda modificar contenido de archivos. En esta categoría se engloban los editores “clásicos”, como Microsoft Word y Microsoft Excel, así como navegadores, software de edición de gráficos, software de contabilidad, etc. La mayor parte de las aplicaciones son editores. • Explorador: Una aplicación que copia o mueve archivos sin cambiarlos como, por ejemplo, Microsoft Windows Explorer o determinadas aplicaciones del shell. • De confianza: Una aplicación que necesita acceso sin restricciones a los archivos para realizar análisis. Por ejemplo, el software de creación de copias de seguridad McAfee VirusScan Enterprise y el software de búsqueda de escritorio Google Desktop. ® • ® Archivador: Una aplicación que puede reprocesar archivos. Por ejemplo, software de compresión de archivos como WinZip y aplicaciones de cifrado como McAfee Endpoint Encryption o PGP. Cómo trabajar con estrategias de DLP Cambie la estrategia según sus necesidades para optimizar el rendimiento. Por ejemplo, una aplicación con estrategia Editor está sometida a un alto nivel de observación, que no resulta apropiado para una aplicación de búsqueda de escritorio, cuya función es realizar constantes operaciones de indexación. Los efectos sobre el rendimiento son notables y, sin embargo, el riesgo de fuga de datos desde este tipo de aplicaciones es bajo. Por lo tanto, para este tipo de aplicaciones, se recomienda utilizar la estrategia de confianza. Puede omitir la estrategia predeterminada en Directiva de DLP | Configuración | Estrategia de aplicaciones. Cree y elimine omisiones según se necesario para experimentar con el ajuste de la directiva. También puede crear más de una plantilla para una aplicación y asignarle más de una estrategia. Utilice plantillas diferentes en clasificaciones distintas y reglas para lograr resultados diversos en contextos diferentes. No obstante, sea cuidadoso al asignar dichas plantillas a los conjuntos de reglas para evitar conflictos. McAfee DLP Endpoint resuelve los posibles conflictos conforme a la jerarquía siguiente: archivador > de confianza > explorador > editor. O lo que es lo mismo, el editor se encuentra en la posición más baja. Si una aplicación es un editor en una plantilla y cualquier otro elemento en otra del mismo conjunto de reglas, McAfee DLP Endpoint no trata la aplicación como editor. 118 McAfee Data Loss Prevention 10.0.100 Guía del producto Clasificación del contenido confidencial Criterios y definiciones de clasificación 6 Criterios y definiciones de clasificación Los criterios y definiciones de clasificación contienen una o varias condiciones que describen las propiedades del contenido o del archivo. Tabla 6-1 Condiciones disponibles Propiedad Se aplica a Definición Productos Patrón avanzado Definiciones y criterios Frases o expresiones regulares que se utilizan Todos los productos para ver la coincidencia con datos, como fechas o números de tarjetas de crédito. Diccionario Definiciones y criterios Recopilaciones de palabras clave y frases relacionadas, como terminología médica u obscenidades. Palabra clave Criterios Un valor alfanumérico. Puede agregar varias palabras clave a los criterios de identificación por huellas digitales o clasificación de contenido. El valor booleano predeterminado para varias palabras clave es O, pero se puede cambiar a Y. Proximidad Criterios Se define la semejanza entre dos propiedades en función de su ubicación con respecto a la otra. Se pueden utilizar patrones avanzados, diccionarios o palabras clave para cualquiera de las dos propiedades. El parámetro Cercanía se define como "inferior a x caracteres", donde el valor predeterminado es 1. También puede especificar un parámetro Número de correspondencias para determinar el número mínimo de coincidencias que derivarán en un acierto. Propiedades del documento Definiciones y criterios Contiene estas opciones: • Cualquier propiedad • Guardado por última vez por • Autor • Nombre del administrador • Categoría • Seguridad • Comentarios • Asunto • Empresa • Plantilla • Palabras clave • Título Cualquier propiedad es una propiedad definida por el usuario. McAfee Data Loss Prevention 10.0.100 Guía del producto 119 6 Clasificación del contenido confidencial Criterios y definiciones de clasificación Tabla 6-1 Condiciones disponibles (continuación) Propiedad Se aplica a Cifrado del archivo Criterios Definición Productos Contiene estas opciones: • McAfee DLP Endpoint for Windows (todas las opciones) • Sin cifrar* • Autoextractor cifrado de McAfee. • McAfee Endpoint Encryption • Cifrado de Microsoft Rights Management* • Cifrado de administración de derechos de Seclore. • McAfee DLP Discover y McAfee DLP Prevent (opciones marcadas con *) • Tipos de cifrado no compatibles o archivo protegido con contraseña* Extensión del archivo Definiciones y criterios Grupos de tipos de archivo compatibles como los archivos MP3 y PDF. Todos los productos Información del archivo Definiciones y criterios Contiene estas opciones: • Todos los productos • Fecha de acceso • Nombre del archivo* • Fecha de creación • Propietario del archivo • Fecha de modificación • Tamaño de archivo* • McAfee DLP Prevent (opciones marcadas con *) • Extensión del archivo* Ubicación en el archivo Criterios La sección del archivo donde se ubican los datos. • Documentos de Microsoft Word: El motor de clasificación puede identificar el encabezado, el cuerpo y el pie de página. • Documentos de PowerPoint: WordArt se considera un encabezado; todo lo demás se identifica como cuerpo. • Otros documentos: El encabezado y el pie de página no son aplicables. Los criterios de clasificación no contemplarán el documento si están seleccionados. Etiquetas de terceros Criterios Se utiliza para especificar los nombres de campo y valores de Titus. • McAfee DLP Endpoint for Windows • McAfee DLP Prevent Tipo de archivo verdadero 120 Definiciones y criterios McAfee Data Loss Prevention 10.0.100 Grupos de tipos de archivos. Todos los productos Por ejemplo, el grupo integrado de Microsoft Excel incluye archivos Excel XLS, XLSX y XML, así como Lotus WK1 y FM3, CSV y DIF, Apple iWork, etc. Guía del producto 6 Clasificación del contenido confidencial Criterios y definiciones de clasificación Tabla 6-1 Condiciones disponibles (continuación) Propiedad Se aplica a Definición Productos Plantilla de aplicación Definiciones La aplicación o el ejecutable que accede al archivo. Grupo de usuarios finales Definiciones Se utilizan para definir los permisos de clasificación manual. • McAfee DLP Endpoint for Windows Recurso compartido de red Definiciones El recurso compartido de red en el que se almacena el archivo. Lista de URL Definiciones La dirección URL desde la que se accede al archivo. • McAfee DLP Endpoint for Mac McAfee DLP Endpoint for Windows Véase también Creación de las definiciones de clasificación en la página 134 Definiciones de diccionario Un diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignada una calificación. Los criterios de clasificación e identificación por huellas digitales de contenido utilizan diccionarios específicos para clasificar un documento si se supera el umbral definido (calificación total), es decir, si aparecen en el documento suficientes palabras del diccionario. La diferencia entre un diccionario y una cadena en una definición de palabra clave es la calificación asignada. • La clasificación de una palabra clave siempre marca el documento si la expresión está presente. • Una clasificación de diccionarios le da más flexibilidad, ya que permite establecer un umbral, lo que hace que la clasificación sea relativa. Las calificaciones asignadas pueden ser negativas o positivas, lo que le permite buscar palabras o expresiones en presencia de otras palabras o expresiones. El software de McAfee DLP incluye varios diccionarios integrados con términos utilizados habitualmente en los ámbitos de la salud, la banca, las finanzas y otros sectores. Además, puede crear sus propios diccionarios. Los diccionarios se pueden crear (y editar) de forma manual o mediante la función de copiar y pegar de otros documentos. Limitaciones Existen ciertas limitaciones para utilizarlos. Los diccionarios se guardan en formato Unicode (UTF-8) y se pueden escribir en cualquier idioma. Las siguientes descripciones se aplican a los diccionarios escritos en inglés. Las descripciones generalmente se aplican a otros idiomas, pero pueden ocurrir problemas imprevistos en algunos. La coincidencia de diccionarios tiene tres características: • Solo distingue entre mayúsculas y minúsculas cuando crea entradas de diccionario que distinguen entre mayúsculas y minúsculas. Los diccionarios integrados, creados antes de que esta función estuviera disponible, no distinguen entre mayúsculas y minúsculas. • Puede buscar coincidencias con subcadenas o frases completas. • Hace coincidir las frases, incluidos los espacios. McAfee Data Loss Prevention 10.0.100 Guía del producto 121 6 Clasificación del contenido confidencial Criterios y definiciones de clasificación Si se especifica la coincidencia con subcadenas, tenga cuidado al introducir palabras cortas debido a la posible aparición de falsos positivos. Por ejemplo, la entrada de "sal" en el diccionario indicaría "saltar" y "asalto". A fin de evitar falsos positivos de este tipo, utilice la opción de coincidencia con toda la frase o use frases improbables desde el punto de vista estadístico a fin de obtener los mejores resultados. Otra fuente de falsos positivos son las entradas similares. Por ejemplo, en algunos listados de enfermedades de HIPAA (Health Insurance Portability and Accountability Act), "celíaco" y "enfermedad celíaca" aparecen como entradas independientes. Si el segundo término aparece en un documento y se especifica la coincidencia con subcadenas, se producen dos resultados (uno para cada entrada) y se sesga la calificación total. Véase también Crear o importar una definición de diccionario en la página 134 Definiciones de patrones avanzados Los patrones avanzados utilizan expresiones regulares (regex) que permiten una coincidencia con patrones más complejos, como números de la Seguridad Social o de tarjetas de crédito. Las definiciones utilizan la sintaxis de expresiones regulares de Google RE2. Las definiciones de patrones avanzados incluyen una calificación (obligatoria), como con las definiciones de diccionario. Además, pueden incluir un validador opcional: un algoritmo utilizado para probar las expresiones regulares. El uso del validador adecuado también puede reducir los falsos positivos de manera significativa. La definición puede incluir una sección Expresiones ignoradas opcional para continuar reduciendo los falsos positivos. Las expresiones ignoradas pueden ser expresiones regex o palabras clave. Puede importar varias palabras clave para agilizar la creación de expresiones. Los patrones avanzados indican la presencia de texto confidencial. Los patrones de texto confidencial se redactan en pruebas con resaltado de coincidencias. Si se especifica un patrón incluido y otro ignorado, tiene prioridad el patrón ignorado. De esta forma, es posible especificar una regla general y agregar excepciones sin tener que volver a escribir la regla general. Véase también Crear un patrón avanzado en la página 135 Clasificación de contenido con propiedades de documentos o información del archivo Las definiciones de propiedades de documento clasifican el contenido mediante valores de metadatos predefinidos. Las definiciones de información del archivo clasifican contenido por metadatos del archivo. Propiedades del documento Las propiedades del documento se pueden recuperar de cualquier documento Microsoft Office o PDF, y se pueden utilizar en definiciones de clasificación. Se admite la coincidencia parcial mediante la comparación de Contiene. Existen tres tipos de propiedades de documento: 122 McAfee Data Loss Prevention 10.0.100 Guía del producto 6 Clasificación del contenido confidencial Criterios y definiciones de clasificación • Propiedades predefinidas: Propiedades estándar, como el autor y el título. • Propiedades personalizadas: Propiedades personalizadas agregadas a los metadatos del documento admitidas por algunas aplicaciones como Microsoft Word. Una propiedad personalizada puede hacer referencia a un tipo de documento estándar que no se encuentra en la lista de propiedades predefinidas, pero no puede duplicar una propiedad que aparece en la lista. • Cualquier propiedad: Permite la definición de una propiedad por un valor. Esta función resulta útil en los casos en los que la palabra clave se ha introducido en el parámetro de propiedad incorrecto o cuando se desconoce el nombre de la propiedad. Por ejemplo, al agregar el valor Secreta al parámetro Cualquier propiedad, se clasifican todos los documentos que tienen la palabra Secreta en al menos una propiedad. Información del archivo Las definiciones de información del archivo se utilizan en la protección de datos y las reglas de descubrimiento, así como en las clasificaciones, para aumentar la granularidad. La información del archivo incluye la fecha creada, la fecha modificada, el propietario del archivo y el tamaño del archivo. Las propiedades de la fecha tienen opciones de fecha exactas (antes, después, entre) y relativas (en los últimos x días, semanas, años). Tipo de archivo (solo extensiones) es una lista de extensiones predefinida y extensible. McAfee DLP Prevent no puede detectar las condiciones de archivo Fecha de acceso, Fecha de creación, Fecha de modificación y Propietario del archivo porque no están incrustadas en el archivo. En consecuencia, las condiciones se pierden cuando el archivo está en movimiento o al cargarlo en la nube o en un sitio web: Plantillas de aplicación Una plantilla de aplicación controla aplicaciones concretas mediante propiedades como el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana. Una plantilla de aplicación puede definirse para una sola aplicación o para un grupo de aplicaciones similares. Hay plantillas integradas (predefinidas) para un número de aplicaciones comunes como el explorador de Windows, los navegadores web, las aplicaciones de cifrado y los clientes de correo electrónico. La definición de plantilla de la aplicación incluye un campo con una casilla de verificación para sistemas operativos. El análisis de archivos asignados a la memoria es una función solo de Windows y se desactiva de forma automática cuando se seleccionan las aplicaciones OS X. Las plantillas de aplicaciones para Microsoft Windows pueden utilizar cualquiera de los siguientes parámetros: • Línea de comandos: admite argumentos de línea de comandos, como java-jar, que pueden controlar aplicaciones que anteriormente no lo permitían. • Directorio ejecutable: el directorio en el que se encuentra el archivo ejecutable. Un uso de este parámetro es controlar las aplicaciones U3. • Hash de archivo ejecutable: nombre de visualización de la aplicación con hash SHA2 identificativo. • Nombre del archivo ejecutable: por lo general, suele ser el mismo que el nombre de visualización (menos el hash SHA2), pero puede ser distinto si se cambia el nombre del archivo. • Nombre del archivo ejecutable original: idéntico al nombre del archivo ejecutable, a menos que se haya cambiado el nombre del archivo. • Nombre del producto: nombre genérico del producto (por ejemplo, Microsoft Office 2012) si se incluye en las propiedades del archivo ejecutable. McAfee Data Loss Prevention 10.0.100 Guía del producto 123 6 Clasificación del contenido confidencial Clasificación manual • Nombre del proveedor: nombre de la empresa, si se incluye en la lista de propiedades del archivo ejecutable. • Título de ventana: valor dinámico al que, en tiempo de ejecución, se le añade el nombre del archivo activo. Todos los parámetros, excepto el nombre de aplicación SHA2 y el directorio ejecutable, aceptan las coincidencias de subcadenas. Las plantillas de aplicaciones para OS X pueden utilizar cualquiera de los siguientes parámetros: • Línea de comandos • Directorio ejecutable • Hash del archivo ejecutable • Nombre del archivo ejecutable Clasificación manual Los usuarios finales pueden aplicar o eliminar manualmente clasificaciones o identificaciones por huellas digitales de contenido a los archivos. La función de clasificación manual aplica la clasificación de archivos. Es decir, que no es necesario que las clasificaciones aplicadas estén relacionadas con el contenido. Por ejemplo, un usuario puede colocar una clasificación de PCI en cualquier archivo. El archivo no tiene que contener números de tarjeta de crédito. La clasificación manual está incrustada en el archivo. En los archivos de Microsoft Office, la clasificación se almacena como una propiedad de documento. En los demás archivos admitidos, se almacena como propiedad XMP. En el caso del correo electrónico, se añade como texto marcado. Al configurar la clasificación manual, también puede permitir que un usuario aplique manualmente huellas digitales de contenido. La función de clasificación manual funciona con McAfee DLP Endpoint, McAfee DLP Prevent y McAfee DLP Discover. Las posibilidades en cuanto a la clasificación manual son las siguientes: • Los usuarios finales de McAfee DLP Endpoint para Windows pueden clasificar los archivos de forma manual. • Los clientes de McAfee DLP Endpoint (tanto en equipos endpoint Mac como Windows) y McAfee DLP Prevent pueden detectar de forma manual los archivos clasificados (por ejemplo, datos adjuntos del correo electrónico) y tomar las medidas adecuadas en función de la clasificación. • Con McAfee DLP Discover se pueden detectar las clasificaciones manuales en los análisis de clasificación y de corrección, así como tomar las medidas adecuadas en los análisis de corrección. De forma predeterminada, los usuarios finales no tienen permiso para ver, agregar ni quitar clasificaciones, pero se pueden asignar clasificaciones específicas a grupos de usuarios específicos o a Todos. De este modo, los usuarios asignados pueden aplicar la clasificación a los archivos mientras trabajan. La clasificación manual también le permite mantener la directiva de clasificación de su organización incluso en aquellos casos excepcionales en los que el sistema no procesa automáticamente la información confidencial o única. Al configurar el permiso para la clasificación manual, tiene la opción de permitir que las clasificaciones de contenido, las huellas digitales de contenido o ambas se apliquen de forma manual. 124 McAfee Data Loss Prevention 10.0.100 Guía del producto Clasificación del contenido confidencial Clasificación manual 6 Compatibilidad con la clasificación manual McAfee DLP ofrece dos tipos de compatibilidad con las clasificaciones manuales: compatibilidad con los archivos de Microsoft Office y compatibilidad con todos los tipos de archivos admitidos. En lo que respecta a la creación de archivos, se pueden utilizar las aplicaciones de Microsoft Office (Word, Excel y PowerPoint) y Microsoft Outlook. Los usuarios finales pueden elegir clasificar los archivos haciendo clic en el icono de clasificación manual. También puede configurar las opciones para forzar a los usuarios a clasificar los archivos mediante la activación de la ventana emergente de clasificación manual cuando se guardan los archivos o se envían correos electrónicos de Outlook. La clasificación manual de un correo electrónico es válida solo en un subproceso específico. Si envía el mismo correo electrónico dos veces en subprocesos diferentes, deberá clasificarlo dos veces. En el caso de los mensajes de correo electrónico, la información añadida al encabezado o pie de página (establecido en la página de clasificación manual Configuración general) se agrega como texto no cifrado. Todos los tipos de archivo admitidos pueden clasificarse con el menú del botón derecho del explorador de Windows. Véase también Asignar permisos de clasificación manual en la página 132 Propiedades incrustadas Las propiedades incrustadas cuando se utiliza la clasificación manual permiten que las aplicaciones de terceros se integren con los documentos clasificados de McAfee DLP. La siguiente tabla enumera los tipos de archivos admitidos y la tecnología aplicada. Tipo de documento Tipo de archivo verdadero Método Microsoft Word DOC, DOCX, DOCM, DOT, DOTX, DOTM Microsoft PowerPoint PPT, PPTX, PPS, PPSX, PPSM, PPTM, POT, POTM, POTX propiedad del documento McAfee Data Loss Prevention 10.0.100 Guía del producto 125 6 Clasificación del contenido confidencial Clasificación manual Tipo de documento Tipo de archivo verdadero Microsoft Excel XLS, XLSX, XLSM, XLSB, XLT, XLTX, XLTM Documento XPS XPS Portable Document Format PDF Formatos de audio y vídeo AIF, AIFF, AVI, MOV, MP2, MP3, MP4, MPA, MPG, MPEG, SWF, WAV, WMA, WMV Formatos de gráfico e imagen PNG, GIF, JPG, JPEG, TIF, TIFF, BMP, DNG, WMF, PSD Método Propiedad XMP La siguiente tabla enumera las propiedades internas. Clasificación Nombre de propiedad Clasificación manual de archivos DLPManualFileClassification Autor de la última modificación de la clasificación de DLPManualFileClassificationLastModifiedBy archivos Fecha de última modificación de la clasificación de archivos DLPManualFileClassificationLastModificationDate Versión de la clasificación de archivos DLPManualFileClassificationVersion Clasificación automática de descubrimiento de endpoint DLPAutomaticFileClassification Versión de la clasificación automática de descubrimiento de endpoint DLPAutomaticFileClassificationVersion Configuración de clasificaciones manuales Clasificación manual tiene varias opciones que determinan cómo interactúa la función y qué mensajes se muestran. La clasificación manual permite a los usuarios finales de McAfee DLP Endpoint para Windows agregar clasificaciones a los archivos con el menú del botón derecho en el explorador de Windows. Para aplicaciones de Microsoft Office y Outlook, se pueden aplicar clasificaciones manuales al guardar archivos o al enviar correos electrónicos. Todos los productos de McAfee DLP pueden aplicar las reglas basadas en las clasificaciones manuales. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Haga clic en Clasificación manual. 3 En la lista desplegable Ver, seleccione Configuración general. 4 Seleccione o anule la selección de las opciones para ajustarse a sus necesidades empresariales. 5 (Opcional) Seleccione la información adicional que agregar al correo electrónico haciendo clic en y seleccionando una definición de notificación o creando una. Las notificaciones admiten la función Configuraciones regionales para todos los idiomas compatibles. La compatibilidad con el idioma también se aplica a los comentarios de correo electrónico agregada. Véase también Personalización de mensajes del usuario final en la página 157 126 McAfee Data Loss Prevention 10.0.100 Guía del producto 6 Clasificación del contenido confidencial Documentos registrados Documentos registrados La función de documentos registrados es una extensión de la identificación por huellas digitales de contenido basada en la ubicación. Ofrece a los administradores otro modo de definir la información de carácter confidencial a fin de evitar su distribución de formas no autorizadas. McAfee DLP Discover y McAfee DLP Endpoint for Mac no admiten documentos registrados. Los documentos registrados están predefinidos como confidenciales, por ejemplo, las hojas de cálculo de estimaciones de venta para el siguiente trimestre. El software de McAfee DLP categoriza e identifica por huellas digitales el contenido de estos archivos. Las firmas creadas son independientes del idioma, es decir, el proceso funciona para todos los idiomas. Cuando crea un paquete, las firmas se cargan en la base de datos de McAfee ePO para distribuirlas a todas las estaciones de trabajo de los endpoints. El cliente de McAfee DLP Endpoint de los equipos gestionados controla la distribución de los documentos que contienen fragmentos de contenido registro. Para utilizar los documentos registrados, cargue los archivos en la pestaña Registrar documentos del módulo Clasificación y asígnelos a una clasificación en ese momento. El cliente del endpoint ignora las clasificaciones que no son aplicables. Por ejemplo, los paquetes de documentos registrados clasificados con las propiedades del archivo se ignoran cuando se analiza el correo electrónico en busca de contenido de carácter confidencial. Existen dos opciones de vista: Estadísticas y Clasificaciones. La vista de las estadísticas muestra el número total de archivos, su tamaño, el número de firmas, etc., en el panel de la izquierda y, en el de la derecha, las estadísticas de cada archivo. Utilice estos datos para eliminar los paquetes menos importantes si se va a llegar al límite de firmas. La vista de clasificaciones muestra los archivos cargados por clasificación. En la parte superior derecha figura la información sobre la creación de paquetes más reciente y los cambios en la lista de archivos. Cuando crea un paquete, el software procesa todos los archivos de la lista y carga las huellas digitales en la base de datos de McAfee ePO para su distribución. Cuando agregue o elimine documentos, debe crear un nuevo paquete. El software no intenta calcular si ya se ha tomado la huella digital de algunos de los archivos; siempre procesa la lista entera. El comando Crear paquete funciona en la lista de documentos registrados y en los documentos en lista blanca a la vez para crear un solo paquete. El número máximo de firmas por paquete es de un millón para los documentos registrados y los documentos en lista blanca. Véase también Cargar documentos registrados en la página 129 Texto en lista blanca McAfee DLP ignora el texto en lista blanca cuando procesa el contenido del archivo. McAfee DLP Discover y McAfee DLP Endpoint for Mac no admiten texto en lista blanca. McAfee Data Loss Prevention 10.0.100 Guía del producto 127 6 Clasificación del contenido confidencial Creación y configuración de clasificaciones Puede cargar los archivos que contienen texto a McAfee ePO para incluirlos en una lista blanca. El texto en lista blanca impedirá que el contenido se clasifique o marque, incluso si hay partes de él que coinciden con la clasificación o los criterios de identificación por huellas digitales de contenido. Utilice la lista blanca para texto que aparezca habitualmente en los archivos, como texto repetitivo, avisos legales e información de copyright. • Los archivos que van a incluirse en lista blanca deben contener al menos 400 caracteres. • Si un archivo contiene tanto datos categorizados como incluidos en lista blanca, el sistema no lo ignora. Todos los criterios de clasificación e identificación por huellas digitales de contenido asociados con el contenido siguen vigentes. Véase también Cargar archivos con texto para inclusión en lista blanca en la página 130 Creación y configuración de clasificaciones Cree clasificaciones y criterios para su uso en reglas o análisis. Procedimientos • Crear una clasificación en la página 128 Las reglas de protección de datos y de descubrimiento requieren definiciones de clasificación en su configuración. • Creación de los criterios de clasificación en la página 129 Aplique los criterios de clasificación a los archivos en función del contenido y las propiedades del archivo. • Cargar documentos registrados en la página 129 Seleccione y clasifique documentos para distribuir en los equipos Endpoint. • Cargar archivos con texto para inclusión en lista blanca en la página 130 Cargue los archivos que contienen el texto utilizado habitualmente para la inclusión en listas blancas. Crear una clasificación Las reglas de protección de datos y de descubrimiento requieren definiciones de clasificación en su configuración. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 128 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Haga clic en Nueva clasificación. 3 Introduzca un nombre y, si lo desea, una descripción. 4 Haga clic en Aceptar. 5 Agregue grupos de usuarios finales a la clasificación manual o documentos registrados a la clasificación, haciendo clic en Editar para el componente correspondiente. 6 Agregue criterios de identificación por huellas digitales o clasificación de contenido con el control Acciones. McAfee Data Loss Prevention 10.0.100 Guía del producto 6 Clasificación del contenido confidencial Creación y configuración de clasificaciones Creación de los criterios de clasificación Aplique los criterios de clasificación a los archivos en función del contenido y las propiedades del archivo. Los criterios de clasificación de contenido se crean a partir de las Definiciones de los archivos y los datos. Si no existe una definición requerida, puede crearla cuando defina el criterio. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Seleccione la clasificación a la que quiere agregar los criterios y haga clic en Acciones | New Content Classification Criteria (Nuevos criterios de clasificación de contenido). 3 Introduzca el nombre. 4 Seleccione una o varias propiedades y configure las entradas de comparación y valor. 5 • Para eliminar una propiedad, haga clic en <. • Para algunas propiedades, haga clic en ... para seleccionar una propiedad existente o crear una nueva. • Para agregar valores adicionales a una propiedad, haga clic en +. • Para eliminar valores, haga clic en -. Haga clic en Guardar. Véase también Uso de las clasificaciones en la página 114 Cargar documentos registrados Seleccione y clasifique documentos para distribuir en los equipos Endpoint. McAfee DLP Discover no admite documentos registrados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Haga clic en la ficha Registrar documentos. 3 Haga clic en Carga de archivo. 4 Busque el archivo, seleccione si desea sobrescribir o no un archivo, si ya existe el nombre de archivo, y seleccione una clasificación. Carga de archivo procesa un solo archivo. Para cargar varios documentos, cree un archivo .zip. 5 Haga clic en Aceptar. El archivo se carga y procesa, y las estadísticas aparecen en la página. McAfee Data Loss Prevention 10.0.100 Guía del producto 129 6 Clasificación del contenido confidencial Configurar los componentes de clasificación para McAfee DLP Endpoint Cuando haya completado la lista de archivos, haga clic en Crear paquete. Se carga un paquete de firma de todos los documentos registrados y todos los documentos en lista blanca en la base de datos de McAfee ePO para la distribución en equipos Endpoint. Puede crear un paquete solo de documentos registrados o en lista blanca dejando una lista vacía. Cuando se eliminen los archivos, quítelos de la lista y cree un nuevo paquete para aplicar los cambios. Véase también Documentos registrados en la página 127 Cargar archivos con texto para inclusión en lista blanca Cargue los archivos que contienen el texto utilizado habitualmente para la inclusión en listas blancas. McAfee DLP Discover no admite texto en lista blanca. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Haga clic en la ficha Texto en lista blanca. 3 Haga clic en Carga de archivo. 4 Busque el archivo y seleccione si desea sobrescribir o no un archivo, si ya existe el nombre de archivo. 5 Haga clic en Aceptar. Véase también Texto en lista blanca en la página 127 Configurar los componentes de clasificación para McAfee DLP Endpoint McAfee DLP Endpoint es compatible con la clasificación manual y la aplicación de criterios de identificación por huellas digitales de contenido. Procedimientos 130 • Crear criterios de identificación por huellas digitales de contenido en la página 131 Aplique criterios de identificación por huellas digitales a los archivos según la ubicación del archivo o la aplicación. • Caso práctico: Identificación por huellas digitales basada en la aplicación en la página 131 Puede clasificar el contenido como confidencial según la aplicación que lo ha creado. • Asignar permisos de clasificación manual en la página 132 Configure a los usuarios con permisos para clasificar los archivos manualmente. • Caso práctico: Clasificación manual en la página 133 Se pueden asignar permisos de clasificación manual a aquellos trabajadores cuyas tareas requieran crear con asiduidad archivos que contienen información confidencial. Pueden clasificar los archivos a la vez que los crean como parte de su flujo de trabajo habitual. McAfee Data Loss Prevention 10.0.100 Guía del producto 6 Clasificación del contenido confidencial Configurar los componentes de clasificación para McAfee DLP Endpoint Crear criterios de identificación por huellas digitales de contenido Aplique criterios de identificación por huellas digitales a los archivos según la ubicación del archivo o la aplicación. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Seleccione la clasificación a la que agregar criterios. 3 Seleccione Acciones | New Content Fingerprinting Criteria (Nuevos criterios de identificación de contenido por huellas digitales) y, a continuación, elija el tipo de criterio. 4 Introduzca un nombre y especifique información adicional según el tipo de criterios de identificación por huellas digitales. 5 6 • Aplicación: Haga clic en ... para seleccionar una o varias aplicaciones. • Ubicación: Haga clic en ... para seleccionar uno o varios recursos compartidos de red. Si fuera necesario, especifique el tipo de medio extraíble. • Aplicación web: Haga clic en ... para seleccionar una o varias listas de URL. (Opcional) Seleccione una o varias propiedades y configure las entradas de valores y comparación. • Para eliminar una propiedad, haga clic en <. • Para algunas propiedades, haga clic en ... para seleccionar una propiedad existente o crear una nueva. • Para agregar valores adicionales a una propiedad, haga clic en +. • Para eliminar valores, haga clic en -. Haga clic en Guardar. Véase también Uso de las clasificaciones en la página 114 Caso práctico: Identificación por huellas digitales basada en la aplicación Puede clasificar el contenido como confidencial según la aplicación que lo ha creado. En algunos casos, el contenido se puede clasificar como confidencial según la aplicación que lo ha creado. Un ejemplo son los mapas militares de estricta confidencialidad. Estos archivos son JPEG, normalmente, creados con una aplicación GIS específica de las fuerzas aéreas de un país. Al seleccionar esta aplicación en la definición de criterios de identificación por huellas digitales de contenido, todos los archivos JPEG generados con dicha aplicación se etiquetarán como confidenciales. Los archivos JPEG creados con otras aplicaciones no se etiquetarán. McAfee Data Loss Prevention 10.0.100 Guía del producto 131 6 Clasificación del contenido confidencial Configurar los componentes de clasificación para McAfee DLP Endpoint Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 En la ficha Definiciones, seleccione Plantilla de aplicación y, a continuación, seleccione Acciones | Nueva. 3 Introduzca un nombre, por ejemplo, Aplicación GIS y, si lo desea, una descripción. Si utiliza una o más propiedades de la lista Propiedades disponibles, podrá definir la aplicación GIS. Haga clic en Guardar. 4 En la ficha Clasificación, haga clic en Nueva clasificación e introduzca un nombre, por ejemplo, Aplicación GIS y, si lo desea, una descripción. Haga clic en Aceptar. 5 Seleccione Acciones | Nuevos criterios de identificación por huellas digitales de contenido | Aplicación. Se abre la página de criterios de identificación por huellas digitales de aplicaciones. 6 En el campo Nombre, introduzca un nombre para la etiqueta, por ejemplo, Etiqueta GIS. 7 En el campo Aplicaciones, seleccione la aplicación GIS creada en el paso 1. 8 En la lista Propiedades disponibles | Condiciones del archivo, seleccione Tipos de archivo verdadero. En el campo Valor, seleccione Graphic files [integrado]. La definición integrada incluye JPEG, así como otros tipos de archivos gráficos. Al seleccionar una aplicación, así como un tipo de archivo, solo se incluyen en la clasificación los archivos JPEG creados por la aplicación. 9 Haga clic en Guardar y, a continuación, seleccione Acciones | Guardar clasificación. La clasificación está lista para utilizarse en reglas de protección. Asignar permisos de clasificación manual Configure a los usuarios con permisos para clasificar los archivos manualmente. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Haga clic en la ficha Clasificación manual. 3 En la lista desplegable Ver, seleccione Agrupar por clasificaciones o Agrupar por grupos de usuarios finales. Puede asignar clasificaciones a grupos de usuarios finales o grupos de usuarios finales a clasificaciones, lo que le resulte más cómodo. La lista Ver determina cómo se ven los elementos. 4 Si agrupa por clasificaciones: a Seleccione una clasificación en la lista desplegable. b En la sección Clasificaciones, elija el tipo de clasificación. Si la lista es muy larga, redúzcala escribiendo una cadena en el cuadro de texto Filtrar lista. 132 McAfee Data Loss Prevention 10.0.100 Guía del producto Clasificación del contenido confidencial Configurar los componentes de clasificación para McAfee DLP Endpoint 5 c Seleccione Acciones | Seleccionar grupos de usuarios finales. d En la ventana Elegir entre los valores existentes, seleccione grupos de usuarios o haga clic en Nuevo elemento para crear un nuevo grupo. Haga clic en Aceptar. 6 Si agrupa por grupos de usuarios finales: a Seleccione un grupo de usuarios en la lista que aparece. b Seleccione Acciones | Seleccionar clasificaciones. c En la ventana Elegir entre los valores existentes, seleccione clasificaciones. Haga clic en Aceptar. Caso práctico: Clasificación manual Se pueden asignar permisos de clasificación manual a aquellos trabajadores cuyas tareas requieran crear con asiduidad archivos que contienen información confidencial. Pueden clasificar los archivos a la vez que los crean como parte de su flujo de trabajo habitual. La función de clasificación manual funciona con McAfee DLP Endpoint y McAfee DLP Prevent. En este ejemplo, un trabajador del sector sanitario sabe que todos los historiales de los pacientes deben considerarse confidenciales según la normativa estadounidense HIPAA. A los trabajadores que crean y editan estos historiales se les conceden permisos de clasificación manual. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 Cree uno o varios grupos de trabajadores encargados de crear o editar los historiales de los pacientes. a En McAfee ePO, abra el módulo Clasificación (Menú | Protección de datos | Clasificación). b En la ficha Definiciones, seleccione Origen/destino | Grupo de usuarios finales. c Seleccione Acciones | Nuevo, cambie el nombre predeterminado por uno significativo, como Grupo de usuarios PHI, y agregue usuarios o grupos a la definición. d Haga clic en Guardar. Cree una clasificación PHI (información sanitaria protegida, "Protected Health Information"). a Dentro del módulo Clasificación, en la ficha Clasificación, seleccione PHI [muestra] [integrado] en el panel izquierdo y, a continuación, elija Acciones | Duplicar clasificación. De esta forma, aparecerá una copia editable de la clasificación de muestra. b Cambie el nombre, la descripción y los criterios de clasificación como desee. c En el campo Clasificación manual, haga clic en Editar. d En la sección Acciones adicionales, seleccione el tipo de clasificación. De forma predeterminada, solo se selecciona Clasificación manual. e Seleccione Acciones | Seleccionar grupos de usuarios finales. f En la ventana Elegir entre los valores existentes, seleccione el grupo o los grupos que creó anteriormente y haga clic en Aceptar. g Vuelva a la ficha Clasificación y seleccione Acciones | Guardar clasificación. McAfee Data Loss Prevention 10.0.100 Guía del producto 133 6 Clasificación del contenido confidencial Creación de las definiciones de clasificación Los trabajadores que formen parte de los grupos asignados ya pueden clasificar los registros de pacientes a la vez que los crean. Para ello, haga clic con el botón derecho en el archivo, seleccione Protección de datos y elija la opción adecuada. En el menú, aparecerán únicamente las opciones seleccionadas (paso 2.d). Creación de las definiciones de clasificación Puede utilizar definiciones de clasificación predefinidas o crear nuevas definiciones. Las definiciones predefinidas no se pueden modificar ni eliminar. Procedimientos • Crear una definición de clasificación general en la página 134 Cree y configure definiciones para su uso en las clasificaciones y las reglas. • Crear o importar una definición de diccionario en la página 134 Un diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignada una calificación. Las calificaciones tienen en cuenta definiciones de reglas más detalladas. • Crear un patrón avanzado en la página 135 Los patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón avanzado puede incluir una expresión sencilla o una combinación de expresiones y definiciones de falsos positivos. • Crear una definición de lista de URL en la página 136 Las definiciones de listas de URL se utilizan para definir las reglas de protección web. Se agregan a las reglas como condiciones de Dirección web (URL). Véase también Criterios y definiciones de clasificación en la página 119 Crear una definición de clasificación general Cree y configure definiciones para su uso en las clasificaciones y las reglas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Seleccione el tipo de definición para configurar y, a continuación, seleccione Acciones | Nuevo. 3 Introduzca un nombre, y configure las opciones y las propiedades de la definición. Las opciones y las propiedades disponibles varían según el tipo de definición. 4 Haga clic en Guardar. Crear o importar una definición de diccionario Un diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignada una calificación. Las calificaciones tienen en cuenta definiciones de reglas más detalladas. 134 McAfee Data Loss Prevention 10.0.100 Guía del producto 6 Clasificación del contenido confidencial Creación de las definiciones de clasificación Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Haga clic en la ficha Definiciones. 3 En el panel de la izquierda, seleccione Diccionario. 4 Seleccione Acciones | Nuevo. 5 Introduzca un nombre y, si lo desea, una descripción. 6 Agregue entradas al diccionario. Para importar entradas: a Haga clic en Importar entradas. b Introduzca palabras o expresiones, o copie y pegue de otro documento. La ventana de texto está limitada a 20 000 líneas de 50 caracteres cada una. c Haga clic en Aceptar. Todas las entradas se asignan a una calificación predeterminada de 1. d Si es necesario, actualice la calificación predeterminada de 1 haciendo clic en Editar en la entrada. e Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea necesario. Empieza por y Termina por ofrecen coincidencia con subcadenas. Para crear entradas manualmente: 7 a Introduzca la expresión o la calificación. b Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea necesario. c Haga clic en Agregar. Haga clic en Guardar. Crear un patrón avanzado Los patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón avanzado puede incluir una expresión sencilla o una combinación de expresiones y definiciones de falsos positivos. Los patrones avanzados se definen con expresiones regulares (regex). La definición de las expresiones regulares queda fuera del alcance de este documento. Existe una gran cantidad de tutoriales acerca de las expresiones regulares en Internet en los que puede obtener más información acerca de este tema. McAfee Data Loss Prevention 10.0.100 Guía del producto 135 6 Clasificación del contenido confidencial Creación de las definiciones de clasificación Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Seleccione la ficha Definiciones y, a continuación, Patrón avanzado en el panel de la izquierda. Los patrones disponibles aparecerán en el panel de la derecha. Para ver solo los patrones avanzados definidos por el usuario, anule la selección de la casilla de verificación Incluir elementos incorporados. Los patrones definidos por el usuario son los únicos que pueden editarse. 3 Seleccione Acciones | Nuevo. Aparece la página de definición de Nuevo patrón avanzado. 4 Introduzca un nombre y, si lo desea, una descripción. 5 En Expresiones coincidentes, haga lo siguiente: a Introduzca una expresión en el cuadro de texto. Si lo desea, agregue una descripción. b Seleccione un validador en la lista desplegable. McAfee recomienda utilizar un validador cuando sea posible para minimizar falsos positivos, aunque no es obligatorio. Si no desea especificar un validador o si la validación no es adecuada para la expresión, seleccione Sin validaciones. c Introduzca un número en el campo Calificación. Este número indica la ponderación de la expresión comparándola con el umbral. Este campo es obligatorio. d 6 Haga clic en Agregar. En Expresiones ignoradas, haga lo siguiente: a Introduzca una expresión en el cuadro de texto. Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos y pegarlos en la definición mediante Importar entradas. 7 b En el campo Tipo, seleccione RegEx en la lista desplegable si la cadena es una expresión regular o Palabra clave si es texto. c Haga clic en Agregar. Haga clic en Guardar. Crear una definición de lista de URL Las definiciones de listas de URL se utilizan para definir las reglas de protección web. Se agregan a las reglas como condiciones de Dirección web (URL). 136 McAfee Data Loss Prevention 10.0.100 Guía del producto Clasificación del contenido confidencial Caso práctico: Integración del cliente de Titus con etiquetas de terceros 6 Procedimiento Para cada URL requerida, lleve a cabo los pasos del 1 al 4: Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones. 2 En el panel de la izquierda, seleccione Lista de URL y, a continuación, elija Acciones | Nuevo. 3 Introduzca un Nombre único y, si lo desea, una Definición. 4 Siga uno de estos procedimientos: • Introduzca información de Protocolo, Host, Puerto y Ruta en los cuadros de texto y, a continuación, haga clic en Agregar. • Pegue una URL en el cuadro de texto Pegar URL, haga clic en Analizar y, a continuación, en Agregar. El software rellena los campos de URL. 5 Una vez agregadas a la definición todas las URL requeridas, haga clic en Guardar. Caso práctico: Integración del cliente de Titus con etiquetas de terceros Los criterios de clasificación e identificación por huellas digitales de contenido pueden incluir varios pares de nombres o valores de etiquetas. Antes de empezar 1 En el Catálogo de directivas, abra la Configuración de cliente de Windows actual. Seleccione Configuración | Módulos y modo de funcionamiento. Compruebe que la opción Complementos de Outlook | Integración de complementos de terceros activa esté seleccionada. 2 En Configuración | Protección de correo electrónico, en la sección Integración del complemento de terceros de Outlook, seleccione Titus en la lista desplegable Nombre del proveedor. Esta configuración afecta el uso de etiquetas de terceros con el correo electrónico únicamente. Puede utilizar etiquetas de terceros con los archivos sin tener que modificar la configuración de cliente. McAfee DLP Endpoint llama a la API de terceros para identificar los archivos marcados y determinar las etiquetas. Las clasificaciones creadas con etiquetas de terceros pueden aplicarse a todas las reglas de protección y descubrimiento que inspeccionan archivos. Para implementar esta función, el SDK de terceros debe estar instalado en los equipos endpoint. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. 2 Haga clic en Nueva clasificación. 3 Escriba un nombre único y, si lo desea, una descripción. McAfee Data Loss Prevention 10.0.100 Guía del producto 137 6 Clasificación del contenido confidencial Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación 4 Haga clic en Acciones; a continuación, seleccione New Content Classification Criteria (Nuevos criterios de clasificación de contenido) o New Content Fingerprinting Criteria (Nuevos criterios de identificación de contenido por huellas digitales). 5 Seleccione la propiedad Etiquetas de terceros. 6 Introduzca el nombre de campo de Titus y un valor. Seleccione la definición del valor en la lista desplegable. La cadena de valor introducida puede definirse como: • equivale a uno de • es igual a todos de • contiene uno de • contiene todos de 7 (Opcional) Haga clic en + y agregue otro par de nombres o valores. 8 Haga clic en Guardar. Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación Cree los criterios de clasificación para integrar Boldon James Email Classifier. Boldon James Email Classifier es una solución de correo electrónico que etiqueta y clasifica los correos electrónicos. El software McAfee DLP Endpoint puede integrarse con Boldon James Email Classifier y bloquear correos electrónicos según las clasificaciones asignadas. Puede elegir qué clasificador de correo electrónico de la cadena se envía a McAfee DLP Endpoint al configurar el software Email Classifier. Utilice esta cadena para definir los criterios de clasificación. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 Configure la compatibilidad de Boldon James en McAfee DLP Endpoint: a Mediante la consola Classifier Administration de Boldon James, abra Classifier Application Settings | Outlook Settings. Active la opción McAfee Host DLP scan y configure McAfee Host DLP marking de manera que haga referencia a un formato de marcado que contenga el valor de clasificación y texto estático exclusivo del marcado de DLP. A McAfee DLP Endpoint se le transmitirá una cadena con este formato y los criterios de clasificación. b En el Catálogo de directivas, abra la Configuración del cliente actual. Seleccione Configuración | Módulos y modo de funcionamiento. Compruebe que la opción Complementos de Outlook | Integración de complementos de terceros activa esté seleccionada. c En Configuración | Protección de correo electrónico, en la sección Integración del complemento de terceros de Outlook, seleccione Boldon James en la lista desplegable Nombre del proveedor. Cree una clasificación de Boldon James. Para cada clasificación requerida, lleve a cabo estos pasos: 138 a En McAfee ePO, seleccione Menú | Protección de datos | Clasificación. b Seleccione la ficha Clasificación y, a continuación, haga clic en Nueva clasificación. McAfee Data Loss Prevention 10.0.100 Guía del producto 6 Clasificación del contenido confidencial Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación c Escriba un nombre único y, si lo desea, una descripción. d Haga clic en Acciones | New Content Classification Criteria (Nuevos criterios de clasificación de contenido). e Seleccione la propiedad Palabra clave. En el campo Valor, introduzca la cadena con el formato de marcado seleccionado en el parámetro Classifier Administration para enviarla a McAfee DLP Endpoint. [Clasificación de Boldon James] es la cadena que seleccionó en la configuración de Email Classifier para su envío a McAfee DLP Endpoint. 3 En McAfee ePO, seleccione Menú | Protección de datos | Conjunto de reglas de DLP. 4 En la ficha Conjuntos de reglas, siga uno de estos procedimientos: 5 • Seleccione Acciones | Nuevo conjunto de reglas. • Seleccione un conjunto de reglas existente. Seleccione Acciones | Nueva regla | Protección de correo electrónico. Aparece un formulario de definición de Protección de correo electrónico. 6 Introduzca un nombre de regla único. 7 En la ficha Condición, seleccione Cuerpo en la lista desplegable y, a continuación, seleccione la Clasificación de Boldon James adecuada. Seleccione las opciones Usuario final, Sobre de correo electrónico y Destinatarios adecuadas. El cliente de McAfee DLP Endpoint considera la clasificación de Boldon James como parte del cuerpo del correo electrónico. Limitar la definición para solo analizar el cuerpo del mensaje hace que la regla sea más eficiente. 8 En la ficha Reacción, seleccione los parámetros Acción preventiva, Notificación de usuario, Notificar incidente y Gravedad apropiados. Defina el campo Estado en Activado y, a continuación, haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto 139 6 Clasificación del contenido confidencial Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación 140 McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial McAfee DLP protege el contenido de carácter confidencial con una mezcla de las directivas de McAfee DLP Endpoint, McAfee DLP Discover y McAfee DLP Prevent. McAfee ePO despliega las directivas de McAfee DLP en los equipos endpoint, servidores de descubrimiento o appliances de McAfee DLP Prevent. El servidor cliente, el appliance o el software cliente de McAfee DLP Endpoint aplican las directivas para proteger el contenido de carácter confidencial. Contenido Conjuntos de reglas Crear definiciones de reglas Reglas Reglas de protección de datos Reglas de control de dispositivos Reglas de descubrimiento Listas blancas Personalización de mensajes del usuario final Reacciones disponibles para los tipos de regla Creación y configuración de reglas y conjuntos de reglas Casos de uso de reglas Conjuntos de reglas Los conjuntos de reglas definen las directivas de McAfee DLP. Pueden contener una combinación de reglas de protección de datos, control de dispositivos y descubrimiento. La página Conjuntos de reglas muestra una lista de conjuntos de reglas definidas y el estado de cada una. También figura el número de incidentes registrados para cada uno de los conjuntos, de reglas definidas y de reglas activadas. Los iconos de colores indican el tipo de reglas activadas. El texto de información sobre las herramientas que aparece al pasar el ratón por encima de estos iconos muestra el tipo de regla y el número de ellas activadas. Figura 7-1 Página Conjuntos de reglas con información sobre herramientas McAfee Data Loss Prevention 10.0.100 Guía del producto 141 7 Protección de contenido de carácter confidencial Crear definiciones de reglas En el Conjunto de reglas 1, se definen once reglas de protección de datos, pero solo tres están activadas. El icono azul muestra qué tipos de reglas se han definido. La información sobre la herramienta muestra que dos de ellas son reglas del Portapapeles. Para ver qué reglas se han definido, pero se encuentran desactivadas, abra las reglas para su edición. Véase también Protección de los archivos con las reglas de descubrimiento en la página 179 Creación de una regla en la página 162 Crear definiciones de reglas Las definiciones se utilizan al crear reglas de descubrimiento, control de dispositivos y protección de datos. El Administrador de directivas de DLP contiene un gran número de definiciones integradas (predefinidas). Se pueden utilizar tal cual o duplicar y personalizar según sea necesario. Procedimientos • Crear un nuevo intervalo de puertos de red en la página 142 Los intervalos de puertos de red funcionan como criterios de filtrado en las reglas de protección de comunicaciones de la red. • Creación de un intervalo de direcciones de red en la página 143 Los intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección de comunicaciones de la red. • Crear una definición de lista de direcciones de correo electrónico en la página 143 Las definiciones de lista de direcciones de correo electrónico son dominios de correo electrónico predefinidos o direcciones de correo electrónico específicas que pueden incluirse en las reglas de protección de correo electrónico. • Crear una definición de la impresora de red en la página 144 Utilice definiciones de la impresora de red para crear reglas específicas de protección contra impresión. Las impresoras definidas pueden incluirse en reglas o excluirse de estas. Crear un nuevo intervalo de puertos de red Los intervalos de puertos de red funcionan como criterios de filtrado en las reglas de protección de comunicaciones de la red. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones. 2 En el panel de la izquierda, seleccione Puerto de red y, a continuación, haga clic en Acciones | Nuevo. También puede editar las definiciones integradas. 142 3 Introduzca un nombre único y, si lo desea, una descripción. 4 Introduzca los números de puerto, separados por comas y, si lo desea, una descripción. Haga clic en Agregar. 5 Cuando haya agregado todos los puertos necesarios, haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Crear definiciones de reglas Creación de un intervalo de direcciones de red Los intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección de comunicaciones de la red. Procedimiento Para cada definición requerida, lleve a cabo los pasos del 1 al 4: Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones. 2 En el panel de la izquierda, seleccione Dirección de red (dirección IP) y, a continuación, haga clic en Acciones | Nuevo. 3 Introduzca un nombre único para la definición y, si lo desea, una descripción. 4 En el cuadro de texto, introduzca una dirección, un intervalo o una subred. Haga clic en Agregar. Los ejemplos formateados correctamente se mostrarán en la página. Se admiten únicamente direcciones IPv4. Si introduce una dirección IPv6, el mensaje es Dirección IP no válida en lugar de indicar que no se admite. 5 Cuando haya introducido todas las definiciones necesarias, haga clic en Guardar. Crear una definición de lista de direcciones de correo electrónico Las definiciones de lista de direcciones de correo electrónico son dominios de correo electrónico predefinidos o direcciones de correo electrónico específicas que pueden incluirse en las reglas de protección de correo electrónico. Para conseguir granularidad en las reglas de protección de correo electrónico, incluya algunas direcciones de correo electrónico y excluya otras. Asegúrese de crear ambos tipos de definiciones. Práctica recomendada: Para combinaciones de operadores que utilice con frecuencia, agregue varias entradas para una definición de lista de direcciones de correo electrónico. Las definiciones de valores de correo electrónico admiten caracteres comodín y pueden definir condiciones. Un ejemplo de condición definida con un carácter comodín es *@intel.com. La combinación de una condición de lista de direcciones con un grupo de usuarios en una regla aumenta la granularidad. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones. 2 En el panel de la izquierda, seleccione Lista de direcciones de correo electrónico y, a continuación, Acciones | Nuevo. 3 Introduzca un Nombre y, si lo desea, una Descripción. McAfee Data Loss Prevention 10.0.100 Guía del producto 143 7 Protección de contenido de carácter confidencial Reglas 4 Seleccione un Operador de la lista desplegable. Los operadores definidos con la opción Direcciones de correo electrónico admiten caracteres comodín en el campo Valor. Las reglas de protección de correo electrónico que se implementan en McAfee DLP Prevent no coinciden en los operadores Nombre para mostrar. 5 Introduzca un valor y, a continuación, haga clic en Agregar. 6 Haga clic en Guardar cuando haya acabado de agregar direcciones de correo electrónico. Crear una definición de la impresora de red Utilice definiciones de la impresora de red para crear reglas específicas de protección contra impresión. Las impresoras definidas pueden incluirse en reglas o excluirse de estas. Antes de empezar Obtenga la ruta UNC de la impresora en la red. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones. 2 En el panel de la izquierda, seleccione Impresora de red y, a continuación, seleccione Acciones | Nuevo. 3 Introduzca un Nombre único y, si lo desea, una Descripción. 4 Introduzca la ruta UNC. Todos los demás campos son opcionales. 5 Haga clic en Guardar. Reglas Las reglas definen la acción que se lleva a cabo cuando se intenta transferir datos de carácter confidencial. Los conjuntos de reglas pueden contener tres tipos de reglas: de protección de datos, de control de dispositivos y de descubrimiento. Una regla consta de tres partes: Condición, Excepciones y Reacción. Cada una viene definida en una ficha independiente en la definición de la regla. Las reglas se pueden activar o desactivar, y se les asigna una Gravedad, que se selecciona en la lista desplegable. Condición La condición define lo que hace que la regla se active. En el caso de reglas de descubrimiento y protección de datos, la condición siempre incluye una Clasificación y puede incluir otras condiciones. Por ejemplo, una regla de protección en la nube contiene campos para definir el usuario final y el servicio en la nube, además de la clasificación. En el caso de las reglas de control de dispositivos, la condición siempre especifica el usuario final y puede incluir otras condiciones, como la definición de dispositivos. Las reglas de control de dispositivos no incluyen clasificaciones. 144 McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Reglas de protección de datos Excepciones Las excepciones definen los parámetros excluidos de la regla. Por ejemplo, una regla de protección en la nube puede permitir a clasificaciones y usuarios concretos cargar datos en los servicios en la nube especificados, mientras bloquea aquellas clasificaciones y usuarios definidos en la sección de condiciones de la regla. Las excepciones cuentan con un parámetro independiente que permite activarlas o desactivarlas. Así, se puede habilitar o deshabilitar la excepción al probar las reglas. La creación de definiciones de excepciones es opcional. Las definiciones de excepciones de las reglas de protección de datos y descubrimiento son similares a las definiciones de condiciones. Los parámetros disponibles para la exclusión constituyen un subconjunto de los parámetros disponibles para definir la condición. En el caso de las reglas de control de dispositivos, la excepción se define seleccionando en una lista las definiciones en lista blanca. Las definiciones en lista blanca disponibles dependen del tipo de regla de dispositivo. Reacción La reacción define lo que ocurre cuando se activa la regla. Las acciones disponibles varían según el tipo de regla, pero el valor predeterminado para todas las reglas es Sin acción. Al seleccionarlo junto con la opción Notificar incidente, puede supervisar la frecuencia con la que se infringen las reglas. Este procedimiento resulta útil para ajustar la regla al nivel adecuado con el fin de detectar fugas de datos sin crear falsos positivos. La reacción también define si la regla se aplica fuera de la empresa y, en el caso de algunas reglas, cuando se encuentra conectada a la empresa mediante VPN. Reglas de protección de datos Las reglas de protección de datos supervisan y controlan el contenido y la actividad del usuario. Las reglas de protección de datos deben especificar al menos una clasificación. La clasificación identifica el contenido como confidencial o no y, como consecuencia, determina lo que se puede hacer con él. Otras definiciones de la regla actúan como filtros para determinar qué archivos se supervisan. Las reglas de protección de datos se admiten de forma diferente en las distintas aplicaciones de McAfee DLP. • McAfee DLP Endpoint para Windows es compatible con todas las reglas de protección de datos. • McAfee DLP Endpoint for Mac es compatible con las reglas de protección de almacenamiento extraíble, de recurso compartido de red y de acceso a archivos de la aplicación. • McAfee DLP Prevent es compatible con las reglas de protección web y de correo electrónico. Reglas de protección de acceso a archivos de la aplicación Las reglas de protección de acceso a archivos supervisan los archivos en función de la aplicación o aplicaciones que los han creado. Se pueden utilizar en equipos Microsoft Windows y OS X. En McAfee DLP Endpoint for Mac, solo se pueden utilizar las aplicaciones y navegadores admitidos por OS X. Seleccione una aplicación o definición de URL para limitar la regla a aplicaciones específicas. Las definiciones de URL no son compatibles con McAfee DLP Endpoint for Mac McAfee Data Loss Prevention 10.0.100 Guía del producto 145 7 Protección de contenido de carácter confidencial Reglas de protección de datos ® Las reglas de protección de acceso a archivos de la aplicación se comunican con McAfee Data Exchange Layer (DXL) en McAfee Threat Intelligence Exchange (TIE). Puede usar la información de TIE para definir la regla en función de la reputación de TIE. Cuando selecciona una aplicación, la lista desplegable le permite seleccionar una reputación de TIE en lugar de una aplicación o URL de navegador. ® A fin de utilizar la reputación de TIE en reglas, el cliente de DXL debe estar instalado en un equipo endpoint. También se pueden bloquear las versiones de Chrome no compatibles. Esta opción sirve para bloquear la posible fuga producida por las reglas de protección web sin bloquear publicaciones de versiones de Chrome que no son compatibles. Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o identificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales o grupos de usuarios específicos. Véase también Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en disco en la página 171 Asistencia para la configuración de cliente con reglas de protección de datos en la página 151 Acciones de las reglas de protección de datos en la página 153 Reglas de protección del Portapapeles Las reglas de protección del Portapapeles gestionan el contenido copiado con el Portapapeles de Windows. Se pueden utilizar solo en McAfee DLP Endpoint para Windows. Las reglas de protección del Portapapeles se utilizan para impedir que se copie contenido de carácter confidencial de una aplicación a otra. La regla puede definir tanto la aplicación desde la que se copia como la aplicación a la que se copia. También se puede escribir una regla general para especificar cualquier aplicación de origen o de destino. Los navegadores compatibles pueden especificarse como aplicaciones. La regla se puede filtrar con una definición de usuario final para limitarla a determinados usuarios. Al igual que con otras reglas de protección de datos, se definen las excepciones a la regla en la ficha Excepciones. De forma predeterminada, se permite copiar contenido de carácter confidencial de una aplicación de Microsoft Office a otra. Si desea bloquear la opción de copia dentro de Microsoft Office, desactive el Portapapeles de Microsoft Office en la configuración de cliente de Windows. Véase también Asistencia para la configuración de cliente con reglas de protección de datos en la página 151 Acciones de las reglas de protección de datos en la página 153 Reglas de protección en la nube Las reglas de protección en la nube permiten administrar los archivos cargados en aplicaciones en la nube. Se pueden utilizar solo en McAfee DLP Endpoint para Windows. Las aplicaciones en la nube se utilizan para realizar copias de seguridad y compartir archivos cada vez con mayor frecuencia. Con la mayoría de las aplicaciones en la nube, se crea una carpeta especial en la unidad de disco que se sincroniza con el servidor de la nube. McAfee DLP Endpoint intercepta la creación de archivos en la carpeta de la aplicación en la nube, analiza los archivos y aplica las directivas pertinentes. Si la directiva permite sincronizar el archivo con la carpeta de la aplicación en la nube y este se modifica más tarde, se vuelve a analizar el archivo y se aplica la directiva de nuevo. Si el archivo que se ha modificado infringe una directiva, no se puede sincronizar con la nube. En McAfee DLP Endpoint, la Regla de protección en la nube admite: 146 McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Reglas de protección de datos • Box • OneDrive (personal) • Dropbox • OneDrive para la empresa (groove.exe) • Google Drive • Syncplicity • iCloud Para mejorar la velocidad de análisis, puede especificar las subcarpetas de nivel superior incluidas o excluidas de la regla. Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o identificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales o a grupos de usuarios específicos, o bien mediante el nombre de la subcarpeta de nivel superior. Véase también Asistencia para la configuración de cliente con reglas de protección de datos en la página 151 Acciones de las reglas de protección de datos en la página 153 Reglas de protección de correo electrónico Las reglas de protección de correo electrónico supervisan o bloquean los correos electrónicos que se envían a determinados destinos o usuarios. Son compatibles con McAfee DLP Endpoint para Windows y McAfee DLP Prevent. Las reglas de protección de correo electrónico pueden bloquear los mensajes de correo electrónico según los siguientes parámetros: • Las definiciones de Clasificación limitan la regla a determinados criterios de clasificación o identificación por huellas digitales de contenido. Puede aplicar clasificaciones al correo electrónico completo o simplemente al asunto, al cuerpo, a los encabezados o a los datos adjuntos. • Las definiciones de Remitente limitan la regla a determinados grupos de usuarios o listas de direcciones de correo electrónico. La información sobre el grupo de usuarios puede obtenerse de los servidores LDAP registrados. También puede limitar la regla a los usuarios locales o a los usuarios que no hagan uso del servidor LDAP. • El campo Sobre de correo electrónico puede especificar que el correo electrónico está protegido por permisos RMS, cifrado PGP, firma digital o cifrado S/MIME. Esta opción suele utilizarse para definir excepciones. • La lista Destinatario incluye definiciones de lista de direcciones de correo electrónico. Las definiciones pueden utilizar caracteres comodín en el campo del operador. Mensajes que no se pueden analizar Si McAfee DLP Prevent no puede extraer texto de un mensaje para evaluarlo porque, por ejemplo, dicho mensaje contiene código malicioso, sigue este procedimiento: • Rechaza el correo electrónico y lo devuelve al MTA. • El MTA continúa intentando entregar el mensaje a McAfee DLP Prevent. • Cuando McAfee DLP Prevent detecta que no puede analizar el mensaje, le agrega un encabezado X-RCIS-Action con el valor SCANFAIL. • McAfee DLP Prevent envía el mensaje con el encabezado X-RCIS-Action modificado a uno de los hosts inteligentes configurados. McAfee DLP Prevent no realiza ninguna otra modificación en el mensaje. McAfee Data Loss Prevention 10.0.100 Guía del producto 147 7 Protección de contenido de carácter confidencial Reglas de protección de datos Si el mensaje contiene datos adjuntos cifrados, dañados o protegidos con contraseña, se analiza el mensaje para encontrar desencadenantes de fuga de datos, pero no se analizan los datos adjuntos. No se agrega el valor SCANFAIL porque el contenido del mensaje se ha analizado de forma parcial. Véase también Asistencia para la configuración de cliente con reglas de protección de datos en la página 151 Acciones de las reglas de protección de datos en la página 153 Comportamiento del encabezado X-RCIS-Action en McAfee DLP Prevent Para McAfee DLP Prevent, la única reacción disponible es Agregar encabezado X-RCIS-Action con uno de los siguientes valores a un mensaje. Tabla 7-1 Valores del encabezado X-RCIS-Action Prioridad Valor Indica 1 SCANFAIL Mensajes que no se pueden analizar. El valor de encabezado SCANFAIL lo genera de forma automática el appliance y no se puede configurar como acción en una regla. 2 BLOCK El mensaje se debe bloquear. 3 QUART Se debe poner el mensaje en cuarentena. 4 ENCRYPT Se debe cifrar el mensaje. 5 BOUNCE Se debe enviar un mensaje Non-Delivery Receipt (NDR) al remitente. 6 REDIR Se debe redireccionar el mensaje. 7 NOTIFY Se debe notificar al personal de supervisión. 8 ALLOW Se debe permitir el acceso al mensaje. El valor ALLOW se añade automáticamente a todos los mensajes que no contienen resultados que coinciden. Cuando no se supervisa, McAfee DLP Prevent siempre envía un correo electrónico al Host inteligente que se ha configurado. El Host inteligente implementa la acción indicada en el encabezado X-RCIS-Action. Si el mensaje activa varias reglas, se inserta el valor con la prioridad más alta en el encabezado X-RCIS-Action (la prioridad más alta es 1). Si no se activa ninguna regla, se inserta el valor ALLOW. Si el mensaje lo analizó previamente otro appliance que añadió un encabezado X-RCIS-Action, McAfee DLP Prevent sustituye el encabezado existente por el suyo propio. Reglas de protección de correo electrónico para dispositivos móviles Las reglas de protección de correo electrónico para dispositivos móviles implementan las directivas de McAfee DLP en los mensajes de correo electrónico enviados a dispositivos móviles. Las reglas se definen con una clasificación (obligatorio), el usuario y definiciones de dispositivo móvil. La regla está limitada a cualquier usuario. Opcionalmente, puede seleccionar cualquier dispositivo móvil o agregar una definición de dispositivos móviles. Las reglas de protección de correo electrónico para dispositivos móviles se aplican en el servidor para dispositivos móviles de McAfee DLP, que debe configurarse en el Catálogo de directivas como el proxy de ActiveSync. Véase también Acciones de las reglas de protección de datos en la página 153 Configurar ajustes del servidor en la página 64 148 McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Reglas de protección de datos Reglas de protección de comunicaciones de la red Las reglas de protección de comunicaciones de la red supervisan o bloquean los datos que entran o salen de su red. Se pueden utilizar solo en McAfee DLP Endpoint para Windows. Las reglas de protección de comunicaciones de la red controlan el tráfico de red en función de direcciones de red (requeridas) y puertos concretos (opcionales). También puede especificar las conexiones entrantes o salientes, o ambas. Puede agregar una definición de dirección de red y una definición de puerto, pero las definiciones pueden contener varias direcciones o puertos. Utilice definiciones de clasificación para limitar la regla a criterios concretos de identificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales o grupos de usuarios específicos, o bien especificando la aplicación que crea la conexión. Las reglas de protección de comunicaciones de la red no sirven para comprobar los criterios de clasificación de contenido. Utilice criterios de identificación por huellas digitales de contenido cuando defina las clasificaciones que se utilizan con las reglas de protección de comunicaciones de la red. Véase también Asistencia para la configuración de cliente con reglas de protección de datos en la página 151 Acciones de las reglas de protección de datos en la página 153 Reglas de protección de recursos compartidos de red Las reglas de protección de recursos compartidos de red controlan el contenido de carácter confidencial almacenado en los recursos compartidos de red. Se pueden utilizar en equipos Microsoft Windows y OS X. Las reglas de protección de recursos compartidos de red pueden aplicarse a todos los recursos compartidos de red o solo a algunos en concreto. En la regla puede incluirse una definición de recurso; dicha definición puede contener varios recursos. Una clasificación incluida (requerida) define qué contenido de carácter confidencial se protege. Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o identificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales o grupos de usuarios específicos, o bien por recursos compartidos de red o por la aplicación que copia el archivo. Reglas de protección contra impresión Las reglas de protección contra impresión supervisan o bloquean la posibilidad de imprimir archivos. Se pueden utilizar solo en McAfee DLP Endpoint para Windows. Utilice las clasificaciones para limitar la regla. También puede limitar la regla especificando los usuarios o las impresoras o aplicaciones que imprimen el archivo. La definición de la impresora puede especificar impresoras locales, de red, de red designadas o de imágenes. Las impresoras de imagen, que tenían una regla independiente en versiones anteriores, se incluyen ahora en la regla de impresora general. Véase también Asistencia para la configuración de cliente con reglas de protección de datos en la página 151 Acciones de las reglas de protección de datos en la página 153 McAfee Data Loss Prevention 10.0.100 Guía del producto 149 7 Protección de contenido de carácter confidencial Reglas de protección de datos Reglas de protección de almacenamiento extraíble Las reglas de protección de almacenamiento extraíble supervisan o impiden la escritura de datos en dispositivos de almacenamiento extraíbles. Son compatibles con McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac. McAfee DLP Endpoint for Mac no admite dispositivos de CD ni DVD. Las reglas de protección de almacenamiento extraíble controlan los dispositivos de CD y DVD, los dispositivos de almacenamiento extraíbles o ambos. Limite la regla mediante los criterios de clasificación o identificación por huellas digitales de contenido en las clasificaciones (obligatorio). También puede definir la regla con usuarios, aplicaciones o URL web concretos. Las reglas de protección de almacenamiento extraíble de McAfee DLP Endpoint for Mac solo permiten controlar dispositivos de almacenamiento extraíbles. No son compatibles con dispositivos de CD/DVD. Utilice las clasificaciones para limitar la regla. También puede limitar la regla especificando los usuarios o aplicaciones que copian el archivo. Véase también Asistencia para la configuración de cliente con reglas de protección de datos en la página 151 Acciones de las reglas de protección de datos en la página 153 Reglas de protección contra capturas de pantalla Las reglas de protección contra capturas de pantalla controlan los datos que se copian y pegan en una pantalla. Se pueden utilizar solo en McAfee DLP Endpoint para Windows. Utilice definiciones de clasificación para limitar la regla a criterios concretos de identificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales o grupos de usuarios específicos, o bien por aplicaciones visibles en la pantalla. Las reglas de protección contra capturas de pantalla no sirven para comprobar los criterios de clasificación de contenido. Utilice criterios de identificación por huellas digitales de contenido cuando defina las clasificaciones utilizadas con las reglas contra capturas de pantalla. Véase también Asistencia para la configuración de cliente con reglas de protección de datos en la página 151 Acciones de las reglas de protección de datos en la página 153 Reglas de protección web Las reglas de protección web supervisan o bloquean la publicación de los datos en sitios web, incluidos los sitios de correo electrónico web. Son compatibles con McAfee DLP Endpoint para Windows y McAfee DLP Prevent. Las reglas de protección web se definen añadiendo direcciones web a la regla. Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o identificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales, a usuarios que no usen el servidor LDAP o a grupos de usuarios específicos. Véase también Asistencia para la configuración de cliente con reglas de protección de datos en la página 151 Acciones de las reglas de protección de datos en la página 153 150 McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Reglas de protección de datos Asistencia para la configuración de cliente con reglas de protección de datos Las reglas de protección de datos trabajan con las opciones de configuración de cliente. Práctica recomendada: Para optimizar las reglas de protección de datos, cree configuraciones de cliente para que coincidan con los requisitos de distintos conjuntos de reglas. La siguiente tabla muestra las reglas de protección de datos y las opciones específicas de la configuración de cliente que les afectan. En la mayoría de los casos, puede aceptar la configuración predeterminada. Tabla 7-2 Reglas de protección de datos y opciones de configuración de cliente Regla de protección de datos Opciones y página de configuración de cliente Protección de acceso a archivos de la aplicación Seguimiento del contenido: agregar o editar procesos en lista blanca. Protección del Portapapeles • Módulos y modo de funcionamiento: activar el servicio de Portapapeles. • Protección del Portapapeles: agregar o editar procesos en lista blanca. Activar o desactivar el Portapapeles de Microsoft Office. El Portapapeles de Microsoft Office está activado de forma predeterminada. Cuando se activa, no se puede impedir la copia de una aplicación de Office a otra. Protección en la nube Módulos y modo de funcionamiento: seleccionar los administradores para la protección en la nube. Protección de correo electrónico • Módulos y modo de funcionamiento: activar el software de correo electrónico disponible (Lotus Notes, Microsoft Outlook...). En Microsoft Outlook, seleccione los complementos necesarios. En aquellos sistemas en los que están disponibles tanto Microsoft Exchange como Lotus Notes, las reglas de correo electrónico no funcionarán si el nombre del servidor de correo saliente (SMTP) no está configurado para ambos. • Protección del correo electrónico: seleccionar complementos de terceros para Microsoft Outlook (Boldon James o Titus). Establezca la estrategia de tiempo de espera, el almacenamiento en caché, las API y las notificaciones de usuario. Cuando se instala un complemento de terceros y este se encuentra activo, el complemento de Outlook de McAfee DLP Endpoint se establece automáticamente en el modo de omisión. McAfee DLP Prevent no funciona con Boldon James. Protección de • Conectividad corporativa: agregar o editar servidores VPN corporativos. comunicaciones de la red • Módulos y modo de funcionamiento: activar o desactivar el controlador de comunicaciones de la red (activado de forma predeterminada). Protección de recurso compartido de red Sin opciones de configuración McAfee Data Loss Prevention 10.0.100 Guía del producto 151 7 Protección de contenido de carácter confidencial Reglas de protección de datos Tabla 7-2 Reglas de protección de datos y opciones de configuración de cliente (continuación) Regla de protección de datos Opciones y página de configuración de cliente Protección contra impresión • Conectividad corporativa: agregar o editar servidores VPN corporativos. • Módulos y modo de funcionamiento: seleccionar los complementos para la aplicación de la impresora. • Protección contra impresión: agregar o editar procesos en lista blanca. Los complementos para la aplicación de la impresora pueden mejorar el rendimiento de la impresora cuando se utilizan determinadas aplicaciones comunes. Los complementos solo se instalan cuando se activa una regla de protección de la impresora en el equipo gestionado. Protección de • Módulos y modo de funcionamiento: activar las opciones avanzadas. almacenamiento extraíble • Protección de almacenamiento extraíble: establecer el modo de eliminación. El modo normal elimina el archivo; el modo agresivo hace que el archivo eliminado no se pueda recuperar. Protección contra capturas de pantalla • Módulos y modo de funcionamiento: activar el servicio de capturas de pantalla. El servicio consiste en el controlador de la aplicación y en el de la tecla Imprimir pantalla, que pueden activarse de forma independiente. • Protección contra capturas de pantalla: agregar, editar o eliminar aplicaciones de capturas de pantalla protegidas por las reglas de protección contra capturas de pantalla. Al desactivar el controlador de la aplicación o el servicio de capturas de pantalla, se desactivan todas las aplicaciones que aparecen en la página de protección contra capturas de pantalla. Protección web • Módulos y modo de funcionamiento: activar los navegadores admitidos para la protección web. • Protección web: agregar o editar las direcciones URL en lista blanca, activar el procesamiento de solicitudes HTTP GET (deshabilitado de forma predeterminada porque consume muchos recursos) y definir la estrategia de tiempo de espera de web. La página también contiene una lista de las versiones compatibles de Google Chrome. La lista es necesaria debido a la frecuencia de actualizaciones de Chrome. La lista se completa al descargar una lista actual de Soporte de McAfee y utilizar Examinar para instalar el archivo XML. Información sobre las opciones avanzadas de protección de almacenamiento extraíble En las siguientes secciones, se describe la Configuración de cliente de Windows | Módulos y modo de funcionamiento | Opciones avanzadas de protección de almacenamiento extraíble. Protección de montajes de discos locales TrueCrypt Los dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas para dispositivos TrueCrypt o con reglas de protección de almacenamiento extraíble. No se puede utilizar la protección TrueCrypt en McAfee DLP Endpoint for Mac. 152 McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Reglas de protección de datos • Utilice una regla de dispositivos si desea bloquear o supervisar un volumen TrueCrypt o para que sea de solo lectura. • Utilice una regla de protección si desea una protección basada en el contenido para los volúmenes TrueCrypt. Las firmas se pierden cuando el contenido identificado por huellas digitales se copia en los volúmenes de TrueCrypt porque estos no admiten los atributos extendidos de un archivo. Utilice las propiedades de los documentos, el cifrado de archivos o las definiciones de grupos de tipos de archivo en la definición de la clasificación para identificar el contenido. Controlador de dispositivos portátiles (MTP) El protocolo de transferencia multimedia (MTP) se utiliza para transferir archivos y metadatos asociados de equipos a dispositivos móviles como los smartphones. Los dispositivos MTP no son dispositivos extraíbles tradicionales porque implementan el sistema de archivos, no el equipo al que se conectan. Cuando el cliente se configura para admitir dispositivos MTP, la regla de protección de almacenamiento extraíble permite interceptar las transferencias MTP y aplicar directivas de seguridad. Actualmente, solo se admiten las conexiones USB. El controlador funciona con todas las transferencias de datos realizadas por el Explorador de Windows. No funciona con los dispositivos iOS, que utilizan iTunes para gestionar las transferencias de datos. Una estrategia alternativa con dispositivos iOS es utilizar una regla para dispositivos de almacenamiento extraíbles para configurar los dispositivos como de solo lectura. Protección de copia de archivos avanzada La protección de copia de archivos avanzada intercepta las operaciones de copia del Explorador de Windows y permite que el cliente de McAfee DLP Endpoint inspeccione el archivo en origen antes de copiarlo al dispositivo extraíble. Está activada de forma predeterminada y debe desactivarse únicamente para resolver problemas. Hay casos en los que la protección de copia avanzada no resulta pertinente. Por ejemplo, un archivo abierto por una aplicación y guardado en un dispositivo extraíble con Guardar como vuelve a la protección de copia normal. El archivo se copia en el dispositivo y, a continuación, se inspecciona. Si se encuentra contenido de carácter confidencial, el archivo se elimina inmediatamente. Acciones de las reglas de protección de datos La acción realizada por las reglas de protección de datos se introduce en la ficha Reacción. De forma predeterminada, la acción para todas las reglas de protección de datos es Sin acción. Cuando se combina con la opción Notificar incidente, se crea una acción de supervisión que se puede utilizar para ajustar las reglas antes de aplicarlas como reglas de bloqueo. Además de generar un informe, la mayoría de las reglas permiten almacenar el archivo original que activó la regla como prueba. La opción de almacenar pruebas es opcional cuando se notifica un incidente. Práctica recomendada: Establezca el valor predeterminado para todas las reglas en Configuración de DLP para notificar los incidentes. Esto impide errores accidentales al no especificar ninguna reacción. Puede cambiar la configuración predeterminada cuando sea necesario. La opción de notificación al usuario activa la ventana emergente de notificación al usuario en el equipo endpoint. Seleccione una definición de notificación de usuario para activar la opción. Se pueden aplicar diferentes acciones cuando el equipo no está conectado a la red corporativa. Algunas reglas también pueden permitir acciones diferentes cuando está conectado a la red corporativa mediante VPN. McAfee Data Loss Prevention 10.0.100 Guía del producto 153 7 Protección de contenido de carácter confidencial Reglas de protección de datos La tabla enumera las acciones disponibles distintas a Sin acción, Notificar incidente, Notificación de usuario y Almacenar archivo original como prueba. Tabla 7-3 Acciones disponibles para las reglas de protección de datos Regla de protección Reacciones de datos Protección de acceso a archivos de la aplicación Bloquear Protección del Portapapeles Bloquear Protección en la nube • Bloquear • Solicitar justificación • Aplicar directiva de administración de derechos Información adicional Cuando el campo de clasificación se establece en es cualquier dato (TODO), no se permite realizar la acción de bloquear. Si trata de guardar la regla con estas condiciones, se genera un error. El cifrado es compatible en Box, Dropbox, GoogleDrive y OneDrive personal. Si se intenta cargar archivos cifrados en otras aplicaciones de la nube, se produce un error al guardar el archivo. • Cifrar Protección del correo electrónico Acciones de McAfee DLP Endpoint: • Bloquear Admite varias acciones de McAfee DLP Endpoint cuando el equipo no está conectado a la red corporativa. • Solicitar justificación Para McAfee DLP Prevent, la única reacción es Agregar encabezado X-RCIS-Action. Protección de dispositivos móviles Sin acción Solo se admite actualmente para la supervisión (Notificar incidente y Almacenar archivo original como prueba). Protección de comunicaciones de la red Bloquear La opción Almacenamiento de pruebas no está disponible. Admite varias acciones cuando el equipo está conectado a la red corporativa mediante VPN. Protección de recurso compartido de red • Solicitar justificación • Cifrar Las opciones de cifrado son las siguientes: McAfee File and Removable Media Protection (FRP) y el software de cifrado StormShield Data Security. ® No se puede utilizar la acción de cifrar en McAfee DLP Endpoint for Mac. Protección contra impresión • Bloquear • Solicitar justificación Protección de almacenamiento extraíble • Bloquear • Solicitar justificación Admite varias acciones cuando el equipo está conectado a la red corporativa mediante VPN. No se puede utilizar la acción de cifrar en <mrk mtype="protected" comment="internal text, i=25">McAfee DLP Endpoint for Mac<mrk>. • Cifrar 154 McAfee Data Loss Prevention 10.0.100 Guía del producto Protección de contenido de carácter confidencial Reglas de control de dispositivos 7 Tabla 7-3 Acciones disponibles para las reglas de protección de datos (continuación) Regla de protección Reacciones de datos Protección contra capturas de pantalla Bloquear Web Protection Reacciones de McAfee DLP Endpoint: Información adicional La acción Solicitar justificación no está disponible en McAfee DLP Prevent. • Bloquear • Solicitar justificación Reglas de control de dispositivos Las reglas de control de dispositivos definen la medida que se debe tomar cuando se utilizan determinados dispositivos. Las reglas de control de dispositivos pueden supervisar o bloquear dispositivos conectados a equipos gestionados por la empresa. McAfee DLP Endpoint para Windows admite los siguientes tipos de reglas: • Regla para dispositivos Citrix XenApp • Regla de disco duro fijo • Regla para dispositivos Plug and Play • Regla para dispositivos de almacenamiento extraíbles • Regla para dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles • Regla para dispositivos TrueCrypt McAfee DLP Endpoint for Mac es compatible con los tipos de reglas siguientes: • Regla para dispositivos Plug and Play (solo para dispositivos USB) • Regla para dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles Las reglas de control de dispositivos se describen con detalles en la sección Protección de medios extraíbles. Véase también Protección de dispositivos en la página 94 Reglas de descubrimiento McAfee DLP Endpoint y McAfee DLP Discover utilizan reglas de descubrimiento para analizar archivos y repositorios. Tabla 7-4 Descripciones de vectores de datos Producto Regla de descubrimiento McAfee DLP Endpoint Correo electrónico local (OST, PST) Sistema de archivos local McAfee DLP Discover McAfee Data Loss Prevention 10.0.100 Protección de Box Guía del producto 155 7 Protección de contenido de carácter confidencial Listas blancas Tabla 7-4 Descripciones de vectores de datos (continuación) Producto Regla de descubrimiento Protección del servidor de archivos (CIFS) Protección de SharePoint Listas blancas Las listas blancas son recopilaciones de elementos que el sistema debe ignorar. Puede agregar contenido, dispositivos, procesos y grupos de usuarios a la lista blanca. Listas blancas de las reglas de protección de datos Puede especificar los procesos en lista blanca correspondientes a las reglas de protección del Portapapeles y las reglas de protección contra impresión en la configuración del cliente Windows del Catálogo de directivas en sus respectivas páginas. Puede especificar las direcciones URL en lista blanca en la página Protección web. Dado que estas listas blancas se aplican a los clientes, funcionan con todas las reglas de protección web, del Portapapeles y contra impresión. Las reglas de protección del Portapapeles y contra impresión ignoran el contenido que producen los procesos en lista blanca. Las reglas de protección web no se implementan en las direcciones URL en lista blanca. Puede especificar los procesos en lista blanca para la extracción de texto en la página Rastreo de contenido. En función de la definición, el extractor de texto analiza o no las huellas digitales de archivos y contenido abiertos por la aplicación concreta, o crea huellas digitales dinámicas para la carga web. En la definición se pueden especificar carpetas y extensiones concretas, lo que permite un control específico de lo que se incluye en lista blanca. Si no se indica ningún nombre de carpeta, el proceso no se supervisa mediante las reglas de acceso a archivos de la aplicación. Listas blancas de las reglas para dispositivos Puede crear definiciones Plug and Play en lista blanca en Definiciones de dispositivos en el Administrador de directivas de DLP. Algunos dispositivos Plug and Play no administran los dispositivos de forma correcta. El intento de gestionarlos puede provocar que el sistema deje de responder u otros problemas graves. Los dispositivos Plug and Play en lista blanca se excluyen de forma automática cuando se aplica una directiva. Las definiciones de dispositivos Plug and Play en lista blanca no son pertinentes en los sistemas operativos OS X. La ficha Excepciones de las reglas de control de dispositivos viene definida por las listas blancas específicas de la regla que las incluye. Las listas blancas excluyen de la regla las definiciones especificadas. 156 • Usuarios excluidos: se utiliza en las reglas de todos los dispositivos • Definiciones de dispositivos excluidos: se utiliza en las reglas de todos los dispositivos, excepto Citrix y TrueCrypt • Procesos excluidos: se utiliza en las reglas de almacenamientos extraíbles y dispositivos Plug and Play • Número de serie y pares de usuario excluidos: se utiliza en las reglas de almacenamientos extraíbles y dispositivos Plug and Play • Nombres de archivos excluidos: se utiliza en las reglas de acceso a archivos en almacenamientos extraíbles para excluir archivos como aplicaciones antivirus McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Personalización de mensajes del usuario final Personalización de mensajes del usuario final McAfee DLP Endpoint envía dos tipos de mensajes para comunicarse con los usuarios finales: notificaciones y mensajes de justificación del usuario. McAfee DLP Prevent envía una notificación de usuario para informar al usuario de que ha bloqueado una solicitud web. Las definiciones de notificación y justificación pueden especificar las Configuraciones regionales (idiomas) y agregar los marcadores de posición que se sustituyen por sus valores reales. Cuando se definen las configuraciones regionales, aparecen los mensajes y los botones de opción (para las justificaciones empresariales) en el idioma predeterminado del equipo endpoint. Se admiten las siguientes configuraciones regionales: • Inglés (Estados Unidos) • Japonés • Inglés (Reino Unido) • Coreano • Francés • Ruso • Alemán • Chino (simplificado) • Español • Chino (tradicional) Inglés (Estados Unidos) es la configuración regional estándar predefinida, pero se puede establecer cualquiera compatible como valor predeterminado en la definición. La configuración regional predeterminada se utiliza cuando las otras definidas no están disponibles como idioma predeterminado del equipo endpoint. McAfee DLP Prevent intenta detectar el idioma preferido del usuario en los encabezados de las solicitudes. McAfee DLP Prevent no es totalmente compatible con las configuraciones regionales para coreano, ruso y chino (simplificado). Notificación de usuario Las notificaciones de usuario de McAfee DLP Endpoint son mensajes emergentes que informan al usuario de la infracción de una directiva. Cuando una regla desencadena varios eventos, el mensaje emergente indica: Hay nuevos eventos DLP en su consola de DLP en lugar de mostrar varios mensajes. Cuando McAfee DLP Prevent bloquea una solicitud web, envía la notificación de usuario como un documento HTML que se muestra en el navegador del usuario. El texto de notificación que configure puede contener etiquetas HTML incrustadas, como <p>, <ul> o <li>. La alerta visualizada por el usuario también muestra Acceso denegado. Justificación empresarial La justificación empresarial es una forma de omisión de la directiva. Cuando se especifica Solicitar justificación como acción en una regla, el usuario puede introducir la justificación para continuar sin ser bloqueado. Los mensajes de justificación empresarial no están disponibles para McAfee DLP Prevent. McAfee Data Loss Prevention 10.0.100 Guía del producto 157 7 Protección de contenido de carácter confidencial Reacciones disponibles para los tipos de regla Marcadores de posición Los marcadores de posición son una manera de introducir texto variable en los mensajes, según lo que desencadenara el mensaje del usuario final. Los marcadores de posición disponibles son: • %c para las clasificaciones • %r para el nombre del conjunto de reglas • %v para los vectores (por ejemplo, Protección de correo electrónico, Protección web, DLP Prevent) • %a para las acciones (por ejemplo, Bloquear) • %s para los valores en contexto (por ejemplo, nombre de archivo, nombre de dispositivo, asunto del correo electrónico, URI) En McAfee DLP Prevent, el contenido del token %s se obtiene de la primera linea de la solicitud HTTP. Según la configuración del servidor proxy web, puede que no incluya el esquema ni el host. Véase también Crear una definición de justificación en la página 165 Crear una definición de notificación en la página 166 Reacciones disponibles para los tipos de regla Las reacciones disponibles para una regla varían en función del tipo de regla. • Las reglas de protección de datos están disponibles para McAfee DLP Endpoint. Algunas reglas de protección de datos están disponibles para McAfee DLP Prevent. • Las reglas de control de dispositivos están disponibles para McAfee DLP Endpoint y Device Control. • Algunas reglas de descubrimiento están disponibles para McAfee DLP Endpoint, otras lo están para McAfee DLP Discover. Tabla 7-5 Reacciones de las reglas Reacción Se aplica a las reglas: Resultado Sin acción Todo Permite la acción. Add header X-RCIS-Action (Agregar un encabezado X-RCIS-Action) Protección de correo electrónico (solo para McAfee DLP Prevent) Agrega un valor de acción al encabezado X-RCIS-Action. Aplicar directiva de administración de derechos • Protección de datos Aplica una directiva de administración de derechos al archivo. • Descubrimiento de red No se puede usar en McAfee DLP Endpoint for Mac. Bloquear • Protección de datos Bloquea la acción. • Control de dispositivos 158 Clasificar archivo Descubrimiento de endpoints Aplica clasificaciones automáticas e incorpora el ID de la etiqueta de clasificación en el formato de archivo. Copiar Descubrimiento de red Copia el archivo a la ubicación UNC especificada. McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Reacciones disponibles para los tipos de regla Tabla 7-5 Reacciones de las reglas (continuación) Reacción Se aplica a las reglas: Resultado Crear huellas digitales en contenido Descubrimiento de endpoints Aplica identificación por huellas digitales de contenido al archivo. Cifrar • Protección de datos Se cifra el archivo. El cifrado se puede realizar mediante FRP o el software de cifrado StormShield Data Security. • Descubrimiento de endpoints No se puede usar en McAfee DLP Endpoint for Mac. Es preciso modificar el Protección de Box de recurso compartido anónimo descubrimiento de red para el inicio de sesión Elimina recursos compartidos anónimos para el archivo. Mover Descubrimiento de red Mueve el archivo a la ubicación UNC especificada. Permite la creación de un archivo marcador de posición (opcional) para notificar al usuario que el archivo se ha movido. El archivo de marcadores de posición se especifica seleccionando una definición de notificación de usuario. Cuarentena Descubrimiento de endpoints Pone en cuarentena el archivo. Solo lectura Control de dispositivos Fuerza el acceso solo lectura. Notificar incidente Todo Genera una entrada del incidente de la infracción en Administrador de incidentes de DLP. Solicitar justificación Protección de datos Genera una ventana emergente en el equipo del usuario final. El usuario selecciona una justificación (con valor opcional del usuario) o selecciona una acción opcional. Mostrar archivo en la consola de DLP Endpoint Descubrimiento de endpoints Muestra Nombre de archivo y Ruta en la consola del endpoint. Nombre de archivo es un vínculo para abrir el archivo, excepto cuando el archivo está en cuarentena. Ruta abre la carpeta en donde se ubica el archivo. Almacenar correo electrónico original como prueba • Protección de datos Almacena el mensaje original en el recurso compartido de pruebas. Se aplica únicamente a las reglas de protección de correo electrónico de McAfee DLP Endpoint y McAfee DLP Prevent. Almacenar archivo original como prueba • Protección de datos No se puede usar en McAfee DLP Endpoint for Mac. • Descubrimiento de endpoints • Descubrimiento de red Notificación de usuario • Protección de datos • Control de dispositivos • Descubrimiento de endpoints Guarda el archivo para su visualización a través del administrador de incidentes. Requiere una carpeta de pruebas específica y la activación del servicio de copia de pruebas. Envía un mensaje al equipo endpoint para informar al usuario de la infracción de directivas. Cuando se selecciona Notificación de usuario y se desencadenan varios eventos, aparece un mensaje emergente que indica que Hay nuevos eventos DLP en su consola de DLP, en lugar de mostrar varios mensajes. Reconfigure action rules for web content (Volver a configurar las reglas de acción para contenido web) McAfee Data Loss Prevention 10.0.100 Guía del producto 159 7 Protección de contenido de carácter confidencial Reacciones disponibles para los tipos de regla Debe volver a configurar las reglas de acción de McAfee DLP Prevent para su uso en servidores proxy. Los servidores proxy solo pueden PERMITIR o BLOQUEAR contenido web. Tabla 7-6 Reacciones de la regla de protección de datos de McAfee DLP Endpoint Reglas Reacciones Sin acción Aplicar Bloquear Cifrar Notificar Solicitar directiva de incidente justificación administración de derechos Almacenar Notificación archivo de usuario original (correo electrónico) como prueba Protección de acceso a archivos de la aplicación X X X X X Protección del Portapapeles X X X X X Protección en la nube X Protección de correo electrónico (solo McAfee DLP Endpoint para Windows) X X X X X X X X X X X X Protección de dispositivos móviles X X X Protección de comunicaciones de la red X X X X Protección de recurso compartido de red X X X X Protección contra impresión X X Protección de almacenamiento extraíble X X Protección contra capturas de pantalla X X X Protección web X X X X X X X X X X X X X X X X X Tabla 7-7 Reacciones de la regla de control de dispositivos Reglas Reacciones Sin acción Bloquear Solo lectura Dispositivo Citrix XenApp 160 X Disco duro fijo X X Dispositivo Plug and Play X X McAfee Data Loss Prevention 10.0.100 X Guía del producto 7 Protección de contenido de carácter confidencial Reacciones disponibles para los tipos de regla Tabla 7-7 Reacciones de la regla de control de dispositivos (continuación) Reacciones Reglas Sin acción Bloquear Solo lectura Dispositivo de almacenamiento extraíble X X Acceso a archivos en dispositivos de almacenamiento extraíbles X X Dispositivo TrueCrypt X X X X Tabla 7-8 Reacciones de la regla de descubrimiento de McAfee DLP Endpoint Reacciones Reglas Sin acción Crear huellas Aplicar directiva Cifrar de administración Cuarentena digitales de de derechos contenido Clasificar archivo Sistema de archivos de Endpoint X X X Protección de almacenamiento de correos de Endpoint X X X X X X Tabla 7-9 Reacciones de la regla de descubrimiento de McAfee DLP Discover Reacciones Reglas Aplicar directiva de Sin acción Copiar Mover administración de derechos Es preciso modificar el recurso compartido anónimo para el inicio de sesión Protección de Box X X X X X Protección del X servidor de archivos (CIFS) X X X Protección de SharePoint X X X X McAfee Data Loss Prevention 10.0.100 Guía del producto 161 7 Protección de contenido de carácter confidencial Creación y configuración de reglas y conjuntos de reglas Creación y configuración de reglas y conjuntos de reglas Cree y configure reglas para sus directivas de McAfee DLP Endpoint, Device Control, McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Prevent for Mobile Email. Procedimientos • Creación de un conjunto de reglas en la página 162 Los conjuntos de reglas combinan la protección de varios dispositivos, la protección de datos y las reglas de análisis de descubrimiento. • Creación de una regla en la página 162 El proceso para crear una regla es similar para todos los tipos de regla. • Asignación de conjuntos de reglas a directivas en la página 163 Antes de que se asignen a equipos endpoint, los conjuntos de reglas se asignan a directivas y estas se aplican a la base de datos de McAfee ePO. • Activar, desactivar o eliminar reglas en la página 164 Puede eliminar o cambiar el estado de varias reglas simultáneamente. • Directiva para crear una copia de seguridad y restaurar en la página 164 Puede crear copias de seguridad de las directivas, incluso de las reglas y clasificaciones, desde un servidor de McAfee ePO y restaurarlas en otro servidor de McAfee ePO. • Configuración de las columnas de reglas o de conjuntos de reglas en la página 165 Mueva, agregue o elimine las columnas que se muestran para reglas o conjuntos de reglas. • Crear una definición de justificación en la página 165 En McAfee DLP Endpoint, las definiciones de justificación empresarial definen los parámetros para la acción preventiva de justificación en las reglas. • Crear una definición de notificación en la página 166 Con McAfee DLP Endpoint, las notificaciones de usuario aparecen en las ventanas emergentes o la consola del usuario final cuando las acciones de los usuarios infringen las directivas. Creación de un conjunto de reglas Los conjuntos de reglas combinan la protección de varios dispositivos, la protección de datos y las reglas de análisis de descubrimiento. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 Haga clic en la ficha Conjuntos de reglas. 3 Seleccione Acciones | Nuevo conjunto de reglas. 4 Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar. Creación de una regla El proceso para crear una regla es similar para todos los tipos de regla. 162 McAfee Data Loss Prevention 10.0.100 Guía del producto Protección de contenido de carácter confidencial Creación y configuración de reglas y conjuntos de reglas 7 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 Haga clic en la ficha Conjuntos de reglas. 3 Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la ficha apropiada para las reglas de Protección de datos, Control de dispositivos o Descubrimiento. 4 Seleccione Acciones | Nueva regla y, a continuación, elija el tipo de regla. 5 En la ficha Condición, introduzca la información. 6 • Con algunas condiciones, como las clasificaciones o las definiciones de dispositivos, haga clic en ... para seleccionar una existente o crear un nuevo elemento. • Para agregar criterios adicionales, haga clic en +. • Para eliminar criterios, haga clic en -. (Opcional) Para agregar excepciones a la regla, haga clic en la ficha Excepciones. a Seleccione Acciones | Agregar excepción de regla. No se muestra ningún botón Acciones para las reglas de dispositivos. Para agregar excepciones a reglas de dispositivos, seleccione una entrada de la lista que se muestra. b 7 Rellene los campos según sea necesario. En la ficha Reacción, configure las opciones Acción, Notificación de usuario y Notificar incidente. Las reglas pueden tener diferentes acciones, dependiendo de si el equipo endpoint se encuentra en la red corporativa o no. Algunas reglas también pueden tener una acción diferente cuando están conectadas a la red corporativa mediante VPN. 8 Haga clic en Guardar para guardar la regla o Cerrar para salir sin guardar. Véase también Conjuntos de reglas en la página 141 Asignación de conjuntos de reglas a directivas Antes de que se asignen a equipos endpoint, los conjuntos de reglas se asignan a directivas y estas se aplican a la base de datos de McAfee ePO. Antes de empezar En la página Conjuntos de reglas | Administrador de directivas de DLP, cree uno o más conjuntos de reglas y agregue en ellos las reglas precisas. McAfee Data Loss Prevention 10.0.100 Guía del producto 163 7 Protección de contenido de carácter confidencial Creación y configuración de reglas y conjuntos de reglas Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En la página Asignación de directiva | Administrador de directivas de DLP, siga uno de estos procedimientos: • Seleccione Acciones | Asignar un conjunto de reglas a directivas. En la ventana de asignación, seleccione un conjunto de reglas de la lista desplegable y, a continuación, escoja las directivas a las que se asignará. Haga clic en Aceptar. • Seleccione Acciones | Asignar conjuntos de reglas a una directiva. En la ventana de asignación, seleccione una directiva de la lista desplegable y, a continuación, escoja los conjuntos de reglas a los que se asignará. Haga clic en Aceptar. Si elimina la selección de un conjunto de reglas o directiva seleccionados con anterioridad, el conjunto de reglas se elimina de la directiva. 2 Seleccione Acciones | Aplicar directivas seleccionadas. En la ventana de asignación, seleccione las directivas que se aplicarán a la base de datos de McAfee ePO. Haga clic en Aceptar. Solo las directivas que aún no se han aplicado a la base de datos aparecen en la ventana de selección. Si cambia una asignación de conjunto de reglas, o bien una regla en un conjunto de reglas asignado, la directiva aparece y la directiva revisada se aplica en lugar de la anterior. Activar, desactivar o eliminar reglas Puede eliminar o cambiar el estado de varias reglas simultáneamente. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 Haga clic en la ficha Conjuntos de reglas. 3 Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, haga clic en la ficha apropiada para las reglas de Protección de datos, Control de dispositivos o Descubrimiento. 4 Seleccione una o varias reglas. 5 Actualice o elimine las reglas seleccionadas. • Para activar las reglas, seleccione Acciones | Cambiar estado | Activar. • Para desactivar las reglas, seleccione Acciones | Cambiar estado | Desactivar. • Para eliminar las reglas, seleccione Acciones | Eliminar regla de protección. Directiva para crear una copia de seguridad y restaurar Puede crear copias de seguridad de las directivas, incluso de las reglas y clasificaciones, desde un servidor de McAfee ePO y restaurarlas en otro servidor de McAfee ePO. Al restaurar desde un archivo, tenga en cuenta las siguientes cuestiones: 164 • Asegúrese de que se ha agregado una clave de licencia antes de restaurar el archivo. Si restaura el archivo sin una licencia, se desactivarán todas las reglas y deberá activarlas antes de aplicar la directiva. • Para McAfee DLP Discover, debe reasignar servidores Discover para los análisis antes de aplicar la directiva. McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Creación y configuración de reglas y conjuntos de reglas Procedimiento 1 En McAfee ePO, seleccione Protección de datos | Configuración de DLP | Crear una copia de seguridad y restaurar. 2 Haga clic en Copia de seguridad en archivo y guarde el archivo en un lugar como una unidad USB o una carpeta compartida. 3 En otro servidor de McAfee ePO, seleccione Protección de datos | Configuración de DLP | Crear una copia de seguridad y restaurar. 4 Haga clic en Restaurar desde archivo y seleccione el archivo que guardó antes. Configuración de las columnas de reglas o de conjuntos de reglas Mueva, agregue o elimine las columnas que se muestran para reglas o conjuntos de reglas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 Haga clic en la ficha Conjuntos de reglas. 3 Acceda a la página Seleccione las columnas que se van a mostrar. 4 5 • Conjuntos de reglas: Seleccione Acciones | Elegir columnas. • Reglas: Seleccione un conjunto de reglas y, después, Acciones | Elegir columnas. Modifique las columnas. • En el panel Columnas disponibles, haga clic en los elementos para añadir columnas. • En el panel Columnas seleccionadas, haga clic en las flechas o en x para mover o eliminar columnas. • Haga clic en Utilizar valores predeterminados para restaurar las columnas a su configuración predeterminada. Haga clic en Guardar. Crear una definición de justificación En McAfee DLP Endpoint, las definiciones de justificación empresarial definen los parámetros para la acción preventiva de justificación en las reglas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 Haga clic en la ficha Definiciones y, a continuación, seleccione Notificación | Justificación. 3 Seleccione Acciones | Nuevo. 4 Introduzca un nombre único y, si lo desea, una descripción. McAfee Data Loss Prevention 10.0.100 Guía del producto 165 7 Protección de contenido de carácter confidencial Creación y configuración de reglas y conjuntos de reglas 5 Para crear definiciones de justificación en varios idiomas, seleccione Acciones de configuración regional | Nueva configuración regional. Para cada configuración regional requerida, seleccione una configuración de la lista desplegable. Las configuraciones regionales seleccionadas se agregan a la lista. 6 Para cada configuración regional, haga lo siguiente: a En el panel de la izquierda, seleccione la configuración regional que desea editar. Escriba texto en los cuadros de texto y seleccione las casillas de verificación según sea necesario. Mostrar cadenas coincidentes proporciona un vínculo en la ventana emergente para que se muestre el contenido resaltado de coincidencias. Más información proporciona un vínculo a un documento o página de la intranet para obtener información. Al introducir una definición de la configuración regional, las casillas de verificación y las acciones no están disponibles. Solo puede introducir etiquetas de botones, descripciones y títulos. En la sección Opciones de justificación, puede sustituir las definiciones predeterminadas por la versión de la configuración regional mediante la función Editar en la columna Acciones. b Introduzca una Descripción general de justificación y, si lo desea, un Título de cuadro de diálogo. La descripción es una instrucción general para el usuario, por ejemplo: Esta acción requiere una justificación empresarial. La longitud máxima de la entrada es de 500 caracteres. c Escriba texto para las etiquetas de botones y seleccione las acciones de estos. Marque la casilla de verificación Ocultar botón para crear una definición de dos botones. Las acciones de los botones tienen que coincidir con las acciones preventivas disponibles para el tipo de regla que utiliza la definición. Por ejemplo, para las acciones preventivas, las reglas de protección de recurso compartido de red solo se pueden definir en Sin acción, Cifrar o Solicitar justificación. Si selecciona Bloquear para una de las acciones de botón e intenta utilizar la definición en una definición de regla de protección de recurso compartido de red, aparecerá un mensaje de error. d Escriba texto en el cuadro de texto y haga clic en Agregar para añadirlo a la lista de Opciones de justificación. Seleccione la casilla de verificación Mostrar opciones de justificación si desea que el usuario final vea la lista. Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que se activara el mensaje emergente. 7 Cuando termine con todas, haga clic en Guardar. Véase también Personalización de mensajes del usuario final en la página 157 Crear una definición de notificación Con McAfee DLP Endpoint, las notificaciones de usuario aparecen en las ventanas emergentes o la consola del usuario final cuando las acciones de los usuarios infringen las directivas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 166 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 Haga clic en la ficha Definiciones y, a continuación, seleccione Notificación | Notificación de usuario. 3 Seleccione Acciones | Nuevo. McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Casos de uso de reglas 4 Introduzca un nombre único y, si lo desea, una descripción. 5 Para crear definiciones de notificación de usuario en varios idiomas, seleccione Acciones de configuración regional | Nueva configuración regional. Para cada configuración regional requerida, seleccione una configuración de la lista desplegable. Las configuraciones regionales seleccionadas se agregan a la lista. 6 Para cada configuración regional, haga lo siguiente: a En el panel de la izquierda, seleccione la configuración regional que desea editar. Puede definir cualquier configuración regional como valor predeterminado mediante la selección de la casilla de verificación Configuración regional predeterminada. b Introduzca texto en el cuadro de texto. Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que se activara el mensaje emergente. c (Opcional) Seleccione la casilla de verificación Mostrar vínculo a más información e introduzca una URL para proporcionar información más detallada. Solo disponible en la configuración regional predeterminada. 7 Cuando termine con todas, haga clic en Guardar. Véase también Personalización de mensajes del usuario final en la página 157 Casos de uso de reglas Los siguientes casos de uso son ejemplos del uso de las reglas de protección de datos y dispositivos. McAfee Data Loss Prevention 10.0.100 Guía del producto 167 7 Protección de contenido de carácter confidencial Casos de uso de reglas Procedimientos • Caso práctico: Regla para dispositivos de almacenamiento extraíbles con acceso a archivos mediante proceso en lista blanca en la página 168 Puede agregar a la lista blanca nombres de archivos como excepción a una regla de bloqueo de almacenamiento extraíble. • Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura en la página 169 Las reglas de protección de dispositivos de almacenamiento extraíble, a diferencia de las reglas para dispositivos Plug and Play, disponen de una opción de solo lectura. • Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug and Play en la página 170 Puede bloquearse el uso de iPhones de Apple como dispositivos de almacenamiento mientras se cargan desde el equipo. • Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en disco en la página 171 Las reglas de protección de acceso a archivos de la aplicación pueden utilizarse con el fin de bloquear el uso de grabadoras de CD y DVD para la copia de información clasificada. • Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen a un dominio especificado en la página 172 Los mensajes salientes se bloquean si contienen la palabra Confidencial, a menos que la regla no se aplique al destinatario. • Caso práctico: Permiso para que un grupo de usuarios específico envíe información de crédito en la página 173 Permite a personas del grupo de usuarios de recursos humanos enviar mensajes que contienen información personal de crédito, mediante la obtención de la información a través de Active Directory. • Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destino en la página 175 Cree clasificaciones que permitan el envío de datos adjuntos del tipo NEED-TO-SHARE a los empleados de Estados Unidos, Alemania e Israel. Caso práctico: Regla para dispositivos de almacenamiento extraíbles con acceso a archivos mediante proceso en lista blanca Puede agregar a la lista blanca nombres de archivos como excepción a una regla de bloqueo de almacenamiento extraíble. Las reglas para dispositivos de almacenamiento extraíbles con acceso a archivos se utilizan para impedir que las aplicaciones actúen en los dispositivos extraíbles. Los nombres de archivos en lista blanca son procesos que no se bloquean. En este ejemplo, bloqueamos los dispositivos de almacenamiento extraíbles Sandisk, pero permitimos que el software antivirus analice el dispositivo para eliminar los archivos infectados. Solo los equipos basados en Windows admiten esta función. 168 McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Casos de uso de reglas Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 En la ficha Definiciones, ubique la definición de dispositivos integrada para All Sandisk removable storage devices (Todos los dispositivos extraíbles Sandisk [Windows]) a continuación, haga clic en Duplicar. La definición utiliza el ID de proveedor de Sandisk 0781. Práctica recomendada: Duplique las definiciones integradas para personalizar una definición. Por ejemplo, puede agregar otros ID de proveedores a la definición de Sandisk duplicada para agregar otras marcas de dispositivos extraíbles. 3 En la ficha Conjuntos de reglas, seleccione o cree un conjunto de reglas. 4 En la ficha del conjunto de reglas Control de dispositivos, seleccione Acciones | Nueva regla | Regla para dispositivos de almacenamiento extraíbles con acceso a archivos. 5 Introduzca un nombre para la regla y seleccione Estado | Activado. 6 En la ficha Condiciones, seleccione un Usuario final o deje el valor predeterminado (es cualquier usuario). En el campo Almacenamiento extraíble, seleccione la definición de dispositivos que creó en el paso 2. Deje los valores predeterminados de Tipo de archivo verdadero y Extensión del archivo. 7 En la ficha Excepciones, seleccione Nombres de archivo en lista blanca. 8 En el campo Nombre del archivo, agregue la definición integrada de McAfee AV. Puede duplicar y personalizar esta definición, al igual que sucede con la de dispositivos de almacenamiento extraíbles. 9 En la ficha Reacción, seleccione Acción | Bloquear. Opcionalmente, puede agregar una notificación de usuario y seleccionar la opción Notificar incidente. 10 Haga clic en Guardar y, a continuación, en Cerrar. Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura Las reglas de protección de dispositivos de almacenamiento extraíble, a diferencia de las reglas para dispositivos Plug and Play, disponen de una opción de solo lectura. Al configurar los dispositivos extraíbles como de solo lectura, puede permitir que los usuarios utilicen sus dispositivos personales como reproductores de MP3 al tiempo que evita su uso como dispositivos de almacenamiento. McAfee Data Loss Prevention 10.0.100 Guía del producto 169 7 Protección de contenido de carácter confidencial Casos de uso de reglas Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 En la ficha Definiciones, en la página Definiciones de dispositivos, cree una definición de dispositivos de almacenamiento extraíbles. Las definiciones de dispositivos de almacenamiento extraíbles deben categorizarse como definiciones de Windows o Mac. Puede comenzar por duplicar una de las definiciones integradas para Windows o Mac y personalizarla. El Tipo de bus puede incluir USB, Bluetooth y cualquier otro tipo de bus que espere utilizar. Identifique los dispositivos con ID de proveedores o nombres de dispositivo. 3 En la ficha Conjuntos de reglas, seleccione o cree un conjunto de reglas. 4 En la ficha Device Control, seleccione Acciones | Nueva regla | Regla para dispositivos de almacenamiento extraíbles. 5 Introduzca un nombre para la regla y seleccione Estado | Activado. En la sección Condiciones, en el campo Almacenamiento extraíble, seleccione la definición de dispositivos que creó en el paso 2. 6 En la ficha Reacción, seleccione Acción | Solo lectura. Opcionalmente, puede agregar una notificación de usuario y seleccionar la opción Notificar incidente. 7 Haga clic en Guardar y, a continuación, en Cerrar. Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug and Play Puede bloquearse el uso de iPhones de Apple como dispositivos de almacenamiento mientras se cargan desde el equipo. En este caso práctico se crea una regla que impide que el usuario utilice el iPhone como dispositivo de almacenamiento masivo. Se utiliza una regla de protección de dispositivos Plug and Play, ya que permite que los iPhones se carguen con independencia de cómo se especifique la regla. Esta función no se puede utilizar en otros smartphones ni otros dispositivos móviles de Apple. No evita que un iPhone se cargue desde el equipo. Para definir una regla de dispositivos Plug and Play para dispositivos concretos, puede crear una definición de dispositivos con los códigos de ID de proveedor y producto (ID prov./ID prod.). Puede encontrar esta información en el Administrador de dispositivos de Windows cuando el dispositivo esté conectado. Dado que en este ejemplo solo se requiere un ID prov., puede utilizar la definición de dispositivos integrada Todos los dispositivos de Apple en lugar de buscar la información. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 170 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 En la ficha Conjuntos de reglas, seleccione (o cree) un conjunto de reglas. Haga clic en la ficha Control de dispositivos y cree una regla de dispositivos Plug and Play. Utilice la definición de dispositivos integrada Todos los dispositivos de Apple como la definición incluida (es uno de [O]). 3 En la ficha Reacción, configure la Acción de Bloquear. 4 Haga clic en Guardar y, a continuación, en Cerrar. McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Casos de uso de reglas Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en disco Las reglas de protección de acceso a archivos de la aplicación pueden utilizarse con el fin de bloquear el uso de grabadoras de CD y DVD para la copia de información clasificada. Antes de empezar Cree una clasificación para identificar el contenido clasificado. Utilice parámetros relevantes para su entorno (teclado, patrón de texto, información de archivos, etc.). Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 En la ficha Conjuntos de reglas, seleccione un conjunto de reglas actual, o bien Acciones | Nuevo conjunto de reglas y defina un conjunto de reglas. 3 En la ficha Protección de datos, seleccione Acciones | Nueva regla | Protección de acceso a archivos de la aplicación. 4 (Opcional) Introduzca un nombre en el campo Nombre de regla (obligatorio). Seleccione las opciones de los campos Estado y Gravedad. 5 En la ficha Condición, en el campo Clasificación, seleccione la clasificación que creó para su contenido de carácter confidencial. 6 En el campo Usuario final, seleccione los grupos de usuarios (opcional). La adición de usuarios o grupos a la regla limita dicha regla a usuarios específicos. 7 En el campo Aplicaciones, seleccione Media Burner Application [integrado] de la lista de definiciones de aplicaciones disponibles. Puede crear su propia definición de grabadora de medios si edita la definición integrada. La edición de una definición integrada crea automáticamente una copia de la definición original. 8 (Opcional) En la ficha Excepciones, cree excepciones a la regla. Las definiciones de excepciones pueden incluir cualquier campo que esté en una definición de condición. Puede definir varias excepciones que se utilizarán en distintas situaciones. Un ejemplo es definir "usuarios privilegiados" a quienes no se aplica la regla. 9 En la ficha Reacción, configure la Acción de Bloquear. Seleccione una Notificación de usuario (opcional). Haga clic en Guardar y, a continuación, en Cerrar. Otra alternativa es cambiar la opción predeterminada de notificación de incidentes y evitar la acción cuando el equipo esté desconectado de la red. 10 En la ficha Asignación de directivas, asigne el conjunto de reglas a una o varias directivas: a Seleccione Acciones | Asignar un conjunto de reglas a directivas. b Seleccione un conjunto de reglas apropiado en la lista desplegable. c Seleccione la directiva o directivas a que se asignará. 11 Seleccione Acciones | Aplicar directivas seleccionadas. Seleccione las directivas que se aplicarán a la base de datos de McAfee ePO y haga clic en Aceptar. McAfee Data Loss Prevention 10.0.100 Guía del producto 171 7 Protección de contenido de carácter confidencial Casos de uso de reglas Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen a un dominio especificado Los mensajes salientes se bloquean si contienen la palabra Confidencial, a menos que la regla no se aplique al destinatario. Siga estos pasos de alto nivel: • Crear una definición de lista de direcciones de correo electrónico. • Cree un conjunto de reglas y una regla que se aplique a mensajes que contengan la palabra Confidencial. • Especifique los destinatarios a los que no se les aplica dicha regla. • Especifique la reacción a los mensajes que contengan la palabra Confidencial. Tabla 7-10 Comportamiento esperado Contenido del correo electrónico Destinatario Cuerpo: Confidencial usuario_externo@externo.com El mensaje está bloqueado porque contiene la palabra "Confidencial". Cuerpo: Confidencial usuario_interno@ejemplo.com El mensaje no se bloquea porque la configuración de la excepción indica que se puede enviar material confidencial a personas del dominio "ejemplo.com". Cuerpo: usuario_externo@externo.com El mensaje se bloquea debido a que uno de usuario_interno@ejemplo.com los destinatarios no tiene permiso para recibirlo. Datos adjuntos: Confidencial Resultado esperado Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 2 172 Cree una definición de lista de direcciones de correo electrónico para un dominio al que no se le aplica la regla. a En la sección Protección de datos de McAfee ePO, seleccione Administrador de directivas de DLP y haga clic en Definiciones. b Seleccione la definición Lista de direcciones de correo electrónico y cree otra copia de El dominio de correo electrónico de mi organización integrado. c Seleccione la definición de lista de direcciones de correo electrónico que ha creado y haga clic en Editar. d En Operador, seleccione El nombre de dominio es y defina el valor como ejemplo.com. e Haga clic en Guardar. Cree un conjunto de reglas con una regla de Protección de correo electrónico. a Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones | Nuevo conjunto de reglas. b Asigne al conjunto de reglas el nombre Bloquear si aparece "Confidencial" en el correo electrónico. McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Casos de uso de reglas c Cree una copia de la clasificación Confidencial integrada. Aparecerá una copia editable de la clasificación. d Haga clic en Acciones | Nueva regla | Regla de protección de correo electrónico. e Asigne a la nueva regla el nombre Bloquear si aparece "Confidencial" y actívela. f Aplique la regla a DLP Endpoint para Windows y DLP Prevent. g Seleccione la clasificación que ha creado y añádala a la regla. h Defina la opción Destinatario como cualquier destinatario (TODOS). Deje los demás ajustes de la ficha Condición con los valores predeterminados. 3 4 5 Agregue excepciones a la regla. a Haga clic en Excepciones y, a continuación, seleccione Acciones | Agregar excepción de regla. b Escriba un nombre para la excepción y actívela. c Defina la clasificación como Confidencial. d Defina el Destinatario como al menos un destinatario pertenece a todos los grupos (Y) y, a continuación, seleccione la definición de lista de direcciones de correo electrónico que ha creado. Configure la reacción a los mensajes que contengan la palabra Confidencial. a Haga clic en Reacción. b En DLP Endpoint, defina Acción como Bloquear para los equipos conectados y desconectados de la red corporativa. c En DLP Prevent, seleccione la opción Agregar encabezado X-RCIS-Action y haga clic en el valor Bloquear. Guarde la directiva y aplíquela. Caso práctico: Permiso para que un grupo de usuarios específico envíe información de crédito Permite a personas del grupo de usuarios de recursos humanos enviar mensajes que contienen información personal de crédito, mediante la obtención de la información a través de Active Directory. Antes de empezar Registre un servidor de Active Directory con McAfee ePO. Utilice las funciones de los Servidores registrados en McAfee ePO para agregar los detalles del servidor. Para obtener más información sobre el registro de servidores, consulte la Guía del producto McAfee ePolicy Orchestrator. Siga estos pasos de alto nivel: 1 (Opcional solo para McAfee DLP Prevent) Seleccione un servidor LDAP del que obtener el grupo de usuarios. 2 Cree una clasificación de la información personal de crédito. 3 Cree un conjunto de reglas y una regla que actúe en la nueva clasificación. 4 Defina al grupo de usuarios de recursos humanos a los que no se les aplica la regla. McAfee Data Loss Prevention 10.0.100 Guía del producto 173 7 Protección de contenido de carácter confidencial Casos de uso de reglas 5 Bloquee mensajes que contengan información personal de crédito. 6 Aplique la directiva. Práctica recomendada: Para asegurarse de que sus reglas identifican posibles incidentes relacionados con la pérdida de datos con el mínimo número de resultados falsos positivos, créelas utilizando la configuración Sin acción. Supervise el Administrador de incidentes de DLP hasta que esté seguro de que la regla identifica correctamente los incidentes y, a continuación, cambie la Acción a Bloquear. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 a En McAfee ePO, abra el Catálogo de directivas. b Seleccione la directiva del Servidor de McAfee DLP Prevent. c Abra la categoría Usuarios y grupos y la directiva que desee editar. d Seleccione los servidores de Active Directory que desea utilizar. e Haga clic en Guardar. 2 En el menú McAfee ePO, seleccione Clasificación y cree una clasificación PCI duplicada. 3 Cree el conjunto de reglas y las excepciones a estas. 4 5 174 Seleccione el servidor LDAP del que desea obtener el grupo de usuarios. a Abra el Administrador de directivas de DLP. b En Conjuntos de reglas, cree un conjunto de reglas llamado Bloquear PCI para DLP Prevent y DLP Endpoint. c Abra el conjunto de reglas creado, elija Acción | Nueva regla | Protección de correo electrónico y escriba un nombre para la regla. d En Implementar en, seleccione DLP Endpoint para Windows y DLP Prevent. e En Clasificación, seleccione la clasificación que ha creado. f Deje los campos Remitente, Sobre de correo electrónico y Destinatario con los ajustes predeterminados. Especifique el grupo de usuarios que desea excluir de la regla. a Seleccione Excepciones, haga clic en Acciones | Agregar excepción de regla y asígnele el nombre Excepción para el grupo de recursos humanos. b Defina el valor Estado como Activado. c En Clasificación, seleccione contiene cualquier dato (TODO). d En Remitente, seleccione Pertenece a uno de los grupos de usuarios finales (O). e Seleccione Nuevo elemento y cree un grupo de usuarios finales llamado RR. HH. f Haga clic en Agregar grupos, seleccione el grupo y haga clic en Aceptar. Defina la acción que desea realizar si se activa la regla. a Seleccione el grupo creado y haga clic en Aceptar. b Seleccione la ficha Reacción. McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Casos de uso de reglas c En la sección DLP Endpoint, defina Acción como Bloquear. Si se selecciona DLP Endpoint, deberá definir una reacción. d En la sección DLP Prevent, establezca el valor de encabezado X-RCIS-Action como Bloquear. Si desea comprobar la regla, puede mantener la Acción como Sin acción hasta que esté seguro de que se activa de la forma esperada. 6 e Seleccione Notificar incidente. f Guarde la regla y haga clic en Cerrar. Aplique la regla. a En el Administrador de directivas de DLP, seleccione Asignación de directivas. La opción Cambios pendientes indica Sí. b Seleccione Acciones | Asignar conjuntos de reglas a una directiva. c Seleccione la regla que ha creado. d Seleccione Acciones | Aplicar directivas seleccionadas. e Haga clic en Aplicar directiva. La opción Cambios pendientes indica No. Caso práctico: Clasificar los datos adjuntos como NEED-TOSHARE en función de su destino Cree clasificaciones que permitan el envío de datos adjuntos del tipo NEED-TO-SHARE a los empleados de Estados Unidos, Alemania e Israel. Antes de empezar 1 Utilice las funciones de los Servidores registrados en McAfee ePO para agregar los detalles de los servidores LDAP. Para obtener más información sobre el registro de servidores, consulte la Guía del producto McAfee ePolicy Orchestrator. 2 Utilice la función Configuración de LDAP de la categoría de directivas Usuarios y grupos para insertar información de grupo en el appliance de McAfee DLP Prevent. Siga estos pasos de alto nivel: • Cree una clasificación NEED-TO-SHARE. • Cree una clasificación de Estados Unidos. • Cree una clasificación de Israel. • Cree definiciones de lista de direcciones de correo electrónico. • Cree un conjunto de reglas y una regla que clasifique los datos adjuntos como NEED-TO-SHARE. • Especifique excepciones a la regla. Las clasificaciones de ejemplo en la tabla muestran cómo se comportan con destinatarios y desencadenadores de clasificación diferentes. McAfee Data Loss Prevention 10.0.100 Guía del producto 175 7 Protección de contenido de carácter confidencial Casos de uso de reglas Tabla 7-11 Comportamiento esperado Clasificación Destinatario Datos adjuntos 1: NEED-TO-SHARE, Israel (.il) y Estados Unidos (.us) usuarioejemplo1@ejemplo1.com Permitir: ejemplo1.com puede recibir todos los datos adjuntos del tipo NEED-TO-SHARE Datos adjuntos 2: NEED-TO-SHARE, Israel (.il) y Alemania (.de) Datos adjuntos 1: NEED-TO-SHARE, Israel (.il) y Estados Unidos (.us) Datos adjuntos 2: NEED-TO-SHARE, Israel (.il) y Alemania (.de) Datos adjuntos 1: NEED-TO-SHARE, Israel (.il) y Estados Unidos (.us) Datos adjuntos 2: NEED-TO-SHARE, Israel (.il) y Alemania (.de) Datos adjuntos 1: NEED-TO-SHARE, Israel (.il) y Estados Unidos (.us) usuarioejemplo2@ejemplo2.com Permitir: ejemplo2.com puede recibir todos los datos adjuntos del tipo NEED-TO-SHARE usuarioejemplo2@ejemplo2.com Permitir: ejemplo1.com y usuarioejemplo1@ejemplo1.com ejemplo2.com pueden recibir ambos datos adjuntos usuarioejemplo3@gov.il Permitir: gov.il puede recibir ambos datos adjuntos usuarioejemplo4@gov.us Bloquear: usuarioejemplo4 no puede recibir Datos adjuntos 2 usuarioejemplo3@gov.il Bloquear: usuarioejemplo4 no puede recibir Datos adjuntos 2 Datos adjuntos 2: NEED-TO-SHARE, Israel (.il) y Alemania (.de) Datos adjuntos 1: NEED-TO-SHARE, Israel (.il) y Estados Unidos (.us) Datos adjuntos 2: NEED-TO-SHARE, Israel (.il) y Alemania (.de) Datos adjuntos 1: NEED-TO-SHARE, Israel (.il) y Estados Unidos (.us) Datos adjuntos 2: NEED-TO-SHARE, Israel (.il) y Alemania (.de) Datos adjuntos 1: NEED-TO-SHARE, Israel (.il) y Estados Unidos (.us) Datos adjuntos 2: NEED-TO-SHARE, Israel (.il) y Alemania (.de) Datos adjuntos 1: NEED-TO-SHARE, Israel (.il) y Estados Unidos (.us) Datos adjuntos 2: NEED-TO-SHARE, Israel (.il) y Alemania (.de) Datos adjuntos 1: NEED-TO-SHARE, Israel (.il) y Estados Unidos (.us) Datos adjuntos 2: NEED-TO-SHARE, Israel (.il) y Alemania (.de) Resultado esperado usuarioejemplo4@gov.us usuarioejemplo1@ejemplo1.com Bloquear: usuarioejemplo4 no puede recibir Datos usuarioejemplo4@gov.us adjuntos 2 usuarioejemplo3@gov.il Permitir: usuarioejemplo1 usuarioejemplo1@ejemplo1.com y usuarioejemplo3 pueden recibir ambos datos adjuntos usuarioejemplo2@ejemplo2.com Bloquear: usuarioejemplo4 usuarioejemplo1@ejemplo1.com no puede recibir Datos adjuntos 2 usuarioejemplo4@gov.us Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 176 Cree una definición de lista de direcciones de correo electrónico para los dominios a los que no se les aplica la regla. a En la sección Protección de datos de McAfee ePO, seleccione Administrador de directivas de DLP y haga clic en Definiciones. b Seleccione la definición Lista de direcciones de correo electrónico y cree otra copia de El dominio de correo electrónico de mi organización integrado. McAfee Data Loss Prevention 10.0.100 Guía del producto 7 Protección de contenido de carácter confidencial Casos de uso de reglas 2 3 4 c Seleccione la definición de lista de direcciones de correo electrónico que ha creado y haga clic en Editar. d En Operador, seleccione El nombre de dominio es y defina el valor como ejemplo1.com. e Cree una entrada para ejemplo2.com. f Haga clic en Guardar. g Repita estos pasos para crear una definición para gov.il. h Repita los pasos para crear una definición para gov.us. Cree un conjunto de reglas que incluya una regla de Protección de correo electrónico. a Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones | Nuevo conjunto de reglas. b Asigne un nombre al conjunto de reglas Permitir correo electrónico del tipo NEED-TO-SHARE a Israel y Estados Unidos. Cree una regla y agregue el criterio de clasificación NEED-TO-SHARE. a Haga clic en Acciones | Nueva regla | Regla de protección de correo electrónico. b Asigne un nombre a la regla NEED-TO-SHARE, actívela e impleméntela en DLP Endpoint para Windows y DLP Prevent. c Defina Clasificación de como uno de los adjuntos (*). d Seleccione contiene uno de (O) y elija el criterio de clasificación NEED-TO-SHARE. e Defina la opción Destinatario como cualquier destinatario (TODOS). f Deje los demás ajustes de la ficha Condición con los valores predeterminados. Agregue excepciones a la regla y active cada una de ellas. • • • Excepción 1 1 Defina Clasificación de como adjunto coincidente. 2 Seleccione contiene uno de (O) y elija el criterio de clasificación NEED-TO-SHARE. 3 Defina Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y elija la definición de dirección de correo electrónico que incluye ejemplo.com y ejemplo2.com que ha creado. Excepción 2 1 Defina Clasificación de como adjunto coincidente. 2 Seleccione contiene todos de (Y) y elija los criterios de clasificación NEED-TO-SHARE y .il (Israel). 3 Defina Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y elija gov.il. Excepción 3 1 Defina Clasificación de como adjunto coincidente. 2 Seleccione contiene todos de (Y) y elija los criterios de clasificación NEED-TO-SHARE y .us (Estados Unidos). 3 Defina Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y elija gov.us. McAfee Data Loss Prevention 10.0.100 Guía del producto 177 7 Protección de contenido de carácter confidencial Casos de uso de reglas 5 178 Defina la reacción que desea realizar si se activa la regla. a En DLP Endpoint, defina Acción como Bloquear. b En DLP Prevent, defina la Acción como Agregar encabezado X-RCIS-Action y seleccione el valor Bloquear. 6 Haga clic en Guardar. 7 Aplique la directiva. McAfee Data Loss Prevention 10.0.100 Guía del producto 8 Análisis de datos con descubrimiento de McAfee DLP Endpoint Descubrimiento es un rastreador que se ejecuta en los equipos Endpoint. Busca archivos del sistema de archivos local y de almacenamiento de correo electrónico, y aplica reglas para proteger contenido de carácter confidencial. Contenido Protección de los archivos con las reglas de descubrimiento Modo de funcionamiento del análisis de descubrimiento Encontrar contenido con el rastreador de descubrimiento de Endpoint Protección de los archivos con las reglas de descubrimiento Las reglas de descubrimiento definen el contenido que McAfee DLP busca al analizar repositorios y determinan la acción que se debe llevar a cabo cuando se encuentra contenido coincidente. Se pueden definir reglas de descubrimiento para McAfee DLP Discover o para descubrimiento de McAfee DLP Endpoint. En función del tipo de regla, los archivos que coinciden con un análisis se pueden copiar, mover, clasificar, cifrar, poner en cuarentena, identificar su contenido por huellas digitales o se les puede aplicar una directiva de administración de derechos. Todas las condiciones de la regla de descubrimiento incluyen una clasificación. Cuando utilice las reglas descubrimiento de almacenamiento de correo electrónico con la acción preventiva Cuarentena, verifique que los complementos de Outlook están activados (Catálogo de directivas | Data Loss Prevention 10 | Configuración del cliente | Módulos y modos de funcionamiento). No puede liberar correos electrónicos de la cuarentena si los complementos de Outlook están desactivados. Tabla 8-1 Reglas de descubrimiento disponibles Tipo de regla Producto Controla los archivos descubiertos de... Sistema de archivos local McAfee DLP Endpoint Análisis del sistema de archivos local. Correo electrónico local (OST, PST) McAfee DLP Endpoint Análisis de sistemas de almacenamiento de correo electrónico. Protección del servidor de archivos (CIFS) McAfee DLP Discover Análisis del servidor de archivos. Protección de SharePoint McAfee DLP Discover Análisis del servidor de SharePoint. Las reglas de McAfee DLP Discover también requieren un repositorio. Consulte el capítulo Análisis de datos con McAfee DLP Discover para obtener más información sobre cómo configurar las reglas y análisis. McAfee Data Loss Prevention 10.0.100 Guía del producto 179 8 Análisis de datos con descubrimiento de McAfee DLP Endpoint Modo de funcionamiento del análisis de descubrimiento Análisis iniciados por el usuario final Cuando se activa en la configuración de análisis del sistema de archivos locales de directivas de DLP, los usuarios finales pueden ejecutar los análisis activados y ver las acciones de autocorrección. Cada análisis debe disponer de una planificación asignada y este se ejecuta conforme a dicha planificación, tanto si el usuario decide ejecutarla como si no, aunque si la opción de interacción del usuario está activada, los usuarios finales también pueden ejecutar análisis según les convenga. Si, además, se selecciona la opción de autocorrección, los usuarios finales también realizan acciones de corrección. Clasificación automática del sistema de archivos local Cuando selecciona la acción Clasificar archivos para las reglas de descubrimiento del sistema de archivos local, la regla se aplica automáticamente a la clasificación e incorpora el ID de la etiqueta de clasificación en el formato de archivo. El ID se agrega a todos los archivos de Microsoft Office y PDF, así como a los formatos de archivo de imagen, vídeo y audio. El ID de clasificación puede ser detectado por todos los productos de McAfee DLP y por productos de terceros. Limitación: En la versión 10.0.100 de McAfee DLP, solo McAfee DLP Discover y McAfee DLP Endpoint para Windows pueden detectar automáticamente la clasificación incorporada. Véase también Componentes del módulo Clasificación en la página 113 Modo de funcionamiento del análisis de descubrimiento Utilice los análisis de descubrimiento del endpoint para localizar el sistema de archivos local o los archivos de almacenamiento de correo electrónico con contenido de carácter confidencial, y etiquételos o póngalos en cuarentena. El descubrimiento de McAfee DLP Endpoint es un rastreador que se ejecuta en los equipos cliente. Cuando encuentra contenido predefinido, puede supervisar, poner en cuarentena, etiquetar, cifrar o aplicar una directiva de administración de derechos a los archivos que contienen dicho contenido. El descubrimiento de Endpoint puede analizar los archivos del equipo o los del almacenamiento de correo electrónico (PST, PST asignado y OST). Los archivos de almacenamiento de correo electrónico se almacenan en caché de forma individual para cada usuario. Para utilizar el descubrimiento de endpoint, tiene que activar los módulos de Descubrimiento en Catálogo de directivas | Configuración del cliente | Módulos y modo de funcionamiento. Al final de cada análisis de descubrimiento, el cliente de McAfee DLP Endpoint envía un evento de resumen del descubrimiento a la consola Administrador de incidentes de DLP de McAfee ePO para registrar los detalles del análisis. En el evento se incluye un archivo de pruebas en el que se indican los archivos que no se pudieron analizar y el motivo por el que no se analizaron dichos archivos. Hay también un archivo de pruebas con los archivos que coinciden con la clasificación y la acción realizada. En McAfee DLP Endpoint 9.4.0, el evento de resumen era un evento operativo. Para actualizar eventos de resumen antiguos al Administrador de incidentes de DLP, utilice la tarea servidor Migración de eventos de incidentes DLP de 9.4 a 9.4.1 de McAfee ePO. 180 McAfee Data Loss Prevention 10.0.100 Guía del producto Análisis de datos con descubrimiento de McAfee DLP Endpoint Encontrar contenido con el rastreador de descubrimiento de Endpoint 8 ¿Cuándo se pueden realizar búsquedas? Análisis de descubrimiento de planificación en el Catálogo de directivas | Directiva de DLP | Descubrimiento de Endpoint. Puede realizar un análisis diario a una hora específica o en días determinados de la semana o del mes. Puede especificar las fechas de inicio y fin, o realizar un análisis cuando se implemente la configuración de McAfee DLP Endpoint. Puede suspender un análisis cuando la CPU o la memoria RAM del equipo superen el límite especificado. Si cambia la directiva de descubrimiento cuando se está realizando el análisis de un endpoint, las reglas y parámetros de planificación cambiarán de forma inmediata. Los cambios para los que se han activado o desactivado los parámetros surtirán efecto en el siguiente análisis. Si se ha reiniciado el equipo mientras se estaba realizando un análisis, este continúa por donde se quedó. ¿Qué tipo de contenido se puede descubrir? Puede definir las reglas de descubrimiento con una clasificación. Cualquier propiedad de los archivos o condición de los datos que se puedan agregar a los criterios de clasificación se pueden utilizar para descubrir contenido. ¿Qué sucede con los archivos descubiertos con contenido de carácter confidencial? Puede poner en cuarentena o etiquetar archivos de correo electrónico. Puede cifrar, poner en cuarentena, etiquetar o aplicar una directiva de administración de derechos a los archivos del sistema de archivos local. Puede almacenar las pruebas de ambos tipos de archivo. Encontrar contenido con el rastreador de descubrimiento de Endpoint La ejecución del rastreador de descubrimiento conlleva cuatro pasos. 1 Cree y defina clasificaciones para identificar contenido de carácter confidencial. 2 Cree y defina una regla de descubrimiento. La regla de descubrimiento incluye la clasificación como parte de la definición. 3 Cree una definición de planificación. 4 Configure los parámetros de análisis. La definición del análisis incluye la planificación como uno de los parámetros. McAfee Data Loss Prevention 10.0.100 Guía del producto 181 8 Análisis de datos con descubrimiento de McAfee DLP Endpoint Encontrar contenido con el rastreador de descubrimiento de Endpoint Procedimientos • Creación y definición de una regla de descubrimiento en la página 182 Las reglas de descubrimiento definen el contenido que busca el rastreador y qué hacer cuando este se encuentra. • Creación de una definición de planificador en la página 183 El planificador determina cuándo y con qué frecuencia se ejecuta un análisis de descubrimiento. • Configurar un análisis en la página 183 Los análisis de descubrimiento rastrean el sistema de archivos local o los buzones de correo en busca de contenido de carácter confidencial. • Caso práctico: Restauración de elementos de correo electrónico o archivos en cuarentena en la página 184 Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de carácter confidencial, mueve los archivos o los elementos de correo electrónico afectados a una carpeta de cuarentena y, a continuación, los sustituye por marcadores de posición que notifican a los usuarios que sus archivos o correos electrónicos están en cuarentena. Además, los archivos y los elementos de correo electrónico en cuarentena se cifran para evitar el uso no autorizado. Creación y definición de una regla de descubrimiento Las reglas de descubrimiento definen el contenido que busca el rastreador y qué hacer cuando este se encuentra. Las reglas de descubrimiento pueden definir las reglas de descubrimiento del endpoint (correo electrónico local, sistema de archivos local...) o de la red (Box, CIFS, SharePoint....). Los cambios en una regla de descubrimiento se aplican cuando se implementa la directiva. Aunque esté en curso un análisis, la nueva regla entra en vigor inmediatamente. Para los análisis de almacenamiento de correo electrónico (PST, PST asignado, y OST), el rastreador analiza los elementos de correo electrónico (cuerpo y datos adjuntos), los elementos de calendario y las tareas. No busca en carpetas públicas ni en notas rápidas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 En la página Conjuntos de reglas, seleccione Acciones | Nuevo conjunto de reglas. Introduzca un nombre y haga clic en Aceptar. También puede agregar reglas de descubrimiento a un conjunto de reglas existente. 3 En la ficha Descubrimiento, seleccione Acciones | Nueva regla de descubrimiento de endpoint y, a continuación, elija Correo electrónico local o Sistema de archivos local. Aparecerá la página apropiada. 182 4 Introduzca un nombre de regla y seleccione una clasificación. 5 Haga clic en Reacción. En la lista desplegable, seleccione una Acción. 6 (Opcional) Seleccione las opciones de Notificar incidente, defina el valor Estado en Activado y seleccione una designación de Gravedad en la lista desplegable. 7 Haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto Análisis de datos con descubrimiento de McAfee DLP Endpoint Encontrar contenido con el rastreador de descubrimiento de Endpoint 8 Creación de una definición de planificador El planificador determina cuándo y con qué frecuencia se ejecuta un análisis de descubrimiento. Se proporcionan cinco tipos de planificación: • Ejecutar inmediatamente • Semanal • Una vez • Mensual • Diariamente Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 Haga clic en la ficha Definiciones. 3 En el panel de la izquierda, haga clic en Planificador. Si se han instalado McAfee DLP Discover y McAfee DLP Endpoint, la lista de planificaciones existentes que se muestra incluye planificaciones para ambos. 4 Seleccione Acciones | Nuevo. Aparecerá la página Nuevo planificador. 5 Introduzca un Nombre único y seleccione el Tipo de planificación en la lista desplegable. La visualización cambia cuando selecciona el tipo de planificación con el fin de proporcionar los campos necesarios para ese tipo. 6 Rellene las opciones necesarias y haga clic en Guardar. Configurar un análisis Los análisis de descubrimiento rastrean el sistema de archivos local o los buzones de correo en busca de contenido de carácter confidencial. Antes de empezar Compruebe que los conjuntos de reglas que desea aplicar a los análisis se hayan aplicado a la Directiva de DLP. Esta información aparece en Directiva de DLP | Conjuntos de reglas. Los cambios de parámetros de configuración de descubrimientos tienen efecto en el siguiente análisis. No se aplican a análisis que ya estén en curso. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas. 2 Seleccione Producto | Data Loss Prevention 10 y, a continuación, seleccione la directiva de DLP activa. 3 En la ficha Descubrimiento de endpoints, seleccione Acciones | Nuevo Análisis de endpoints y, después, seleccione Correo electrónico local o Sistema de archivos local. 4 Introduzca un nombre para el análisis y, a continuación, seleccione una planificación en la lista desplegable. McAfee Data Loss Prevention 10.0.100 Guía del producto 183 8 Análisis de datos con descubrimiento de McAfee DLP Endpoint Encontrar contenido con el rastreador de descubrimiento de Endpoint 5 (Opcional) Cambie los valores predeterminados Administración de incidentes y Administración de errores. Defina el valor Estado en Activado. La administración de errores hace referencia a cuando no puede extraerse el texto. 6 (Opcional) Para análisis del sistema de archivos local, seleccione la casilla de verificación en el campo Interacción del usuario para dejar que este pueda ejecutar los análisis activados antes de que se planifiquen. También puede permitir al usuario llevar a cabo las acciones de corrección desde la consola del cliente de McAfee DLP Endpoint. 7 En la ficha Carpetas, siga uno de estos procedimientos: 8 • Para los análisis del sistema de archivos, seleccione Acciones | Seleccionar carpetas. Seleccione una definición de carpeta definida o haga clic en Nuevo elemento para crear una. Defina la carpeta como Incluir o Excluir. • Para los análisis de correo electrónico, seleccione los tipos de archivo (OST, PST) y los buzones de correo que se van a analizar. (Opcional) En la ficha Filtros (solo análisis del sistema de archivos), seleccione Acciones | Seleccionar filtros. Seleccione una definición de información del archivo o haga clic en Nuevo elemento para crear una. Defina la carpeta como Incluir o Excluir. Haga clic en Aceptar. El valor predeterminado es Todos los archivos. Definir un filtro hace que el análisis sea más eficiente. 9 En la ficha Reglas, compruebe las reglas que se aplican. Se ejecutan todas las reglas de descubrimiento de los grupos de reglas aplicados a la directiva. Caso práctico: Restauración de elementos de correo electrónico o archivos en cuarentena Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de carácter confidencial, mueve los archivos o los elementos de correo electrónico afectados a una carpeta de cuarentena y, a continuación, los sustituye por marcadores de posición que notifican a los usuarios que sus archivos o correos electrónicos están en cuarentena. Además, los archivos y los elementos de correo electrónico en cuarentena se cifran para evitar el uso no autorizado. Antes de empezar Para mostrar el icono de McAfee DLP en Microsoft Outlook, debe activarse la opción Mostrar controles para levantar la cuarentena en Outlook en Catálogo de directivas | Directiva de cliente | Módulos y modo de funcionamiento. Si se desactiva, el icono y la opción de hacer clic con el botón secundario del ratón para ver los correos electrónicos en cuarentena están bloqueados, y no puede liberar los correos electrónicos de la cuarentena. Cuando se configura una regla de descubrimiento del sistema de archivos con la acción Cuarentena y el robot de rastreo (crawler) encuentra contenido de carácter confidencial, mueve los archivos implicados a una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a los usuarios que sus archivos están en cuarentena. Los archivos en cuarentena se cifran para evitar el uso no autorizado. En el caso de los elementos de correo electrónico en cuarentena, el descubrimiento de McAfee DLP Endpoint adjunta un prefijo al Asunto en Outlook para indicar a los usuarios que sus correos electrónicos se han puesto en cuarentena. El cuerpo y los datos adjuntos del correo electrónico se ponen en cuarentena. El mecanismo se ha cambiado de las versiones anteriores de McAfee DLP Endpoint, que podían cifrar el cuerpo o los datos adjuntos, para evitar daños en la firma al trabajar con el sistema de firmas de correo electrónico. 184 McAfee Data Loss Prevention 10.0.100 Guía del producto 8 Análisis de datos con descubrimiento de McAfee DLP Endpoint Encontrar contenido con el rastreador de descubrimiento de Endpoint Las tareas y los elementos del calendario de Microsoft Outlook también se pueden poner en cuarentena. Figura 8-1 Ejemplo de correo electrónico en cuarentena Procedimiento 1 Para restaurar los archivos en cuarentena: a En la bandeja del sistema del equipo gestionado, haga clic en el icono de McAfee Agent y seleccione Administrar funciones | Consola de DLP Endpoint. Se abre la consola de DLP Endpoint. b En la ficha Tareas, seleccione Abrir carpeta de cuarentena. Se abre la carpeta de cuarentena. c Seleccione los archivos que se van a restaurar. Haga clic con el botón derecho del ratón y seleccione Liberar de la cuarentena. El elemento del menú contextual Liberar de la cuarentena solo aparece cuando se seleccionan archivos de tipo *.dlpenc (cifrado con DLP). Aparece la ventana emergente Código de autorización. 2 Para restaurar elementos de correo electrónico en cuarentena: Haga clic en el icono de McAfee DLP, o haga clic con el botón secundario del ratón y seleccione Liberar de cuarentena. a En Microsoft Outlook, seleccione los correos electrónicos (u otros elementos) que desee restaurar. b Haga clic en el icono de McAfee DLP. Aparece la ventana emergente Código de autorización. 3 Copie el código del ID de desafío de la ventana emergente y envíelo al administrador de DLP. 4 El administrador genera un código de respuesta y lo envía al usuario, lo que también crea un evento operativo que registra todos los detalles. 5 El usuario introduce el código de autorización en la ventana emergente Código de autorización y hace clic en Aceptar. Los archivos descifrados se restauran a su ubicación original. Si está activada la directiva de bloqueo de código de autorización (en la ficha Configuración de los agentes | Servicio de notificación) e introduce un código incorrecto tres veces, la ventana emergente deja de aparecer durante 30 minutos (configuración predeterminada). En el caso de los archivos, si se ha cambiado o eliminado la ruta de acceso, se restaura la ruta original. Si ya existe un archivo con el mismo nombre en la ubicación, el archivo se restaura como xxx-copy.abc. McAfee Data Loss Prevention 10.0.100 Guía del producto 185 8 Análisis de datos con descubrimiento de McAfee DLP Endpoint Encontrar contenido con el rastreador de descubrimiento de Endpoint 186 McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Análisis de datos con McAfee DLP Discover Configure los análisis y las directivas de McAfee DLP Discover para detectar y proteger sus archivos. Contenido Elección del tipo de análisis Consideraciones y limitaciones de los análisis Repositorios y credenciales para análisis Uso de definiciones y clasificaciones con análisis Uso de reglas en análisis Configurar directivas para los análisis Configurar un análisis Realizar operaciones de análisis Comportamiento de análisis Análisis de los datos analizados Elección del tipo de análisis El tipo de análisis que configure determina la cantidad de información recuperada en un análisis, las medidas tomadas durante el proceso y la configuración que se requiere para llevarlo a cabo. • Con los análisis de inventario se recuperan solamente los metadatos, lo que sirve como base para configurar los análisis de clasificación y corrección. • Los análisis de clasificación recuperan los metadatos, examinan los archivos y se adaptan a las clasificaciones de directivas que defina. • Los análisis de corrección incluyen exámenes de los análisis de clasificación y pueden conllevar acciones en los archivos que coincidan con las reglas configuradas. Los componentes de la directiva que debe configurar dependen del tipo de análisis. Tabla 9-1 Componentes de la directiva requeridos Tipo de análisis Definiciones Clasificaciones Inventario X Clasificación X X Corrección X X Reglas X Los resultados de los análisis se muestran en la ficha Inventario de datos. La ficha Inventario de datos muestra el inventario de archivos de los análisis que tienen activada la opción Lista de archivos. McAfee Data Loss Prevention 10.0.100 Guía del producto 187 9 Análisis de datos con McAfee DLP Discover Elección del tipo de análisis Funcionamiento de los análisis de inventario Los análisis de inventario son los más rápidos y solo recuperan los metadatos. Por este motivo, un análisis de este tipo es un buen punto de inicio para planificar una estrategia de prevención de fuga de datos. También puede utilizar los análisis de inventario para ayudar a automatizar tareas de TI, como encontrar archivos vacíos o archivos que llevan mucho tiempo sin modificarse. Un análisis de inventario realiza lo siguiente: • Recopila metadatos, pero no descarga ningún archivo. • Devuelve los contadores y el inventario de datos de OLAP (lista de archivos analizados). • Restaura la última hora de acceso de los archivos analizados Todos los análisis recopilan metadatos como el tipo de archivo, el tamaño, la fecha de creación y la fecha de modificación. El tipo de metadatos disponibles depende del tipo de repositorio. Por ejemplo, los análisis de Box recuperan los metadatos de uso compartido, colaboración y nombre de la cuenta. Los resultados de los análisis de inventario se muestran en las fichas Inventario de datos y Análisis de datos. Funcionamiento de los análisis de clasificación Utilice los resultados de los análisis de inventario para crear los de clasificación. Un análisis de clasificación realiza lo siguiente: • Recopila los mismos metadatos que un análisis de inventario. • Analiza el tipo de archivo verdadero en función del contenido del archivo, en vez de la extensión. • Recopila los datos de los archivos que coincidan con la clasificación configurada. • Restaura la última hora de acceso de los archivos analizados Los análisis de clasificación son más lentos que los de inventario porque el extractor de texto accede a los archivo y los analiza y examina para establecer coincidencias con las definiciones de las especificaciones de la clasificación. Las clasificaciones constan de definiciones que pueden incluir palabras clave, diccionarios, patrones de texto y propiedades del documento. Estas definiciones ayudan a identificar contenido de carácter confidencial que puede requerir protección adicional. Al utilizar las herramientas OLAP para visualizar los patrones multidimensionales de esos parámetros, puede crear análisis de corrección optimizados. Los resultados de los análisis de clasificación se muestran en las pestañas Inventario de datos y Análisis de datos. Detección de archivos cifrados Mediante los análisis de clasificación se detectan archivos con los siguientes tipos de cifrado: • Cifrado de Microsoft Rights Management • Cifrado de administración de derechos de Seclore • Tipos de cifrado o protección con contraseña no compatibles • Sin cifrar Considere lo siguiente cuando analice archivos cifrados: 188 McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Análisis de datos con McAfee DLP Discover Consideraciones y limitaciones de los análisis • McAfee DLP Discover puede extraer y analizar archivos cifrados con Microsoft RMS siempre que McAfee DLP Discover tenga configuradas las credenciales. Otros archivos cifrados no se pueden extraer, analizar ni adaptar a las clasificaciones. • Los archivos cifrados con la función de administración de derechos digitales (DRM) de Adobe Primetime y McAfee File and Removable Media Protection (FRP) se detectan como No cifrado. ® • McAfee DLP Discover admite opciones de criterios de clasificación para Cifrado de Microsoft Rights Management y Sin cifrar. Funcionamiento de los análisis de corrección Utilice los resultados de los análisis de inventario y clasificación para crear los de corrección. Los análisis de corrección aplican las reglas para proteger el contenido de carácter confidencial en el repositorio analizado. Cuando un archivo coincide con la clasificación en un análisis de corrección, McAfee DLP Discover puede llevar a cabo las siguientes acciones: • Generar un incidente. • Almacenar el archivo original en el recurso compartido de pruebas • Copiar el archivo. • Mover el archivo Los análisis de Box y SharePoint permiten mover archivos solo a recursos compartidos de CIFS. • Aplicar directivas de administración de derechos al archivo. • Modificar el recurso compartido anónimo para el inicio de sesión necesario (solo en el caso de análisis de Box) McAfee DLP Discover no puede evitar que los usuarios de Box vuelvan a activar el recurso compartido externo en sus archivos. • No llevar a cabo ninguna acción Mover archivos o aplicar la directiva de administración de derechos a los archivos no son acciones compatibles con las listas de SharePoint. Estas acciones son compatibles para aquellos archivos adjuntados a las listas de SharePoint o almacenados en bibliotecas de documentos. Algunos tipos de archivos utilizados para crear páginas de SharePoint, por ejemplo, .aspx o .js, no se pueden mover ni eliminar. Un análisis de corrección también lleva a cabo las mismas tareas que los de clasificación e inventario. Los análisis de corrección requieren clasificaciones y reglas para determinar qué medidas tomar en los archivos coincidentes. Los resultados de los análisis de corrección se muestran en las pestañas Inventario de datos y Análisis de datos. Los análisis de corrección también pueden generar los incidentes que se muestran en el Administrador de incidentes. Consideraciones y limitaciones de los análisis Cuando planifique y configure sus análisis, tenga en cuenta estos elementos. Exclusión de directorios Para evitar impactos negativos en el rendimiento, excluya los directorios y procesos de McAfee DLP Discover de estas aplicaciones: McAfee Data Loss Prevention 10.0.100 Guía del producto 189 9 Análisis de datos con McAfee DLP Discover Consideraciones y limitaciones de los análisis • Software antivirus, incluido McAfee VirusScan Enterprise. • McAfee Host Intrusion Prevention y otros software de McAfee. • Firewalls. • Software de protección de acceso. • Análisis en tiempo real. ® ® ® Tabla 9-2 Elementos de McAfee DLP Discover que excluir Tipo Excluir Procesos • dscrawler.exe • dssvc.exe • dstex.exe • dsrms.exe • dseng.exe • dsmbroker.exe • dsreport.exe Directorios • c:\ProgramData\mcafee\discoverserver • c:\Archivos de programa\mcafee\discoverserver Claves de registro • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\DiscoverServer • HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DiscoverServer • HKEY_LOCAL_MACHINE\SOFTWARE\ODBC.INI\McAfeeDSPostgres Definiciones del repositorio Configurar las ubicaciones del repositorio en McAfee ePO tiene estas limitaciones. • Los intervalos de direcciones IP son compatibles solo para las direcciones de clase C. • Los intervalos de direcciones IP no pueden incluir las direcciones que acaban en 0 o en 255. Solo puede definir una dirección IP que termine en 0 o en 255. • No se admite IPv6. Análisis de SharePoint Los análisis de SharePoint no rastrean los catálogos del sistema, las listas ocultas o las listas señaladas como NoCrawl. Como las listas de SharePoint son muy personalizables, puede que haya otras listas sin analizar. La mayoría de las listas disponibles de forma preestablecida con SharePoint 2010 o 2013 se pueden rastrear, por ejemplo, las siguientes: • Anuncios • Rastreadores de problemas • Contactos • Vínculos • Paneles de discusión • Reuniones • Eventos • Tareas • Listas genéricas Los elementos individuales de una lista se combinan y agrupan en una estructura XML y se analizan como un archivo XML único. Los archivos adjuntados a los elementos de la lista se analizan tal cual. 190 McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Análisis de datos con McAfee DLP Discover Repositorios y credenciales para análisis Análisis de Box No se admite la configuración del mismo repositorio de Box en varios servidores de descubrimiento. La funcionalidad de análisis varía según la cuenta utilizada. Para analizar otras cuentas, póngase en contacto con el soporte técnico de Box para activar la funcionalidad como usuario. • La cuenta del administrador puede analizar todas las cuentas. • Una cuenta de coadministrador puede analizar la suya propia y las de los usuarios. • Una cuenta de usuario solo puede analizar su propia cuenta. Establecimiento del ancho de banda para un análisis Los análisis de mayor tamaño pueden requerir una importante cantidad de ancho de banda, sobre todo en redes con poca capacidad de transmisión. De forma predeterminada, McAfee DLP Discover no regula el ancho de banda durante el análisis. Cuando se activa la regulación del ancho de banda, McAfee DLP Discover la aplica a los archivos individuales que se obtienen, en vez de a todo el análisis de media. Un análisis puede sobrepasar o no llegar al límite de regulación configurado. Sin embargo, el rendimiento medio calculado en todo el análisis permanece muy cerca del límite establecido. Cuando se activa, el valor predeterminado de regulación es de 2000 kBps. Repositorios y credenciales para análisis McAfee DLP Discover admite repositorios de SharePoint, Box y CIFS. Repositorios de SharePoint y CIFS Al definir un repositorio de CIFS, la ruta UNC puede ser el nombre de dominio completo (FQDN) (\ \miservidor1.midominio.com) o el nombre del equipo local (\\miservidor1). Puede agregar ambas convenciones a una única definición. Al definir un repositorio de SharePoint, el nombre de host es la URL del servidor a menos que se haya configurado una asignación alternativa de acceso (AAM) en el servidor. Para obtener información sobre las AAM, consulte la documentación de SharePoint de Microsoft. Las definiciones de credenciales son específicas de las definiciones de repositorio de CIFS o SharePoint. En la definición de credenciales, si el usuario es usuario de dominio, utilice el nombre de dominio completo (FQDN) en el campo Nombre de dominio. Si el usuario es usuario de grupo de trabajo, utilice el nombre del equipo local. Si la definición de repositorio solo contiene una versión UNC, por ejemplo, FQDN, debe utilizar dicha versión en la definición de credenciales. Para los repositorios de dominios de AD, haga clic en Probar credenciales para comprobar el nombre de usuario y la contraseña. El uso de credenciales incorrectas crea un evento que indica el motivo por el que falló el análisis. Consulte el evento en la página Lista de eventos operativos para obtener más detalles. Repositorios de Box Cuando defina un repositorio de Box, obtenga el ID y la clave secreta del cliente del sitio web de Box. Utilice el sitio web de Box para configurar la aplicación de McAfee DLP Discover, la empresa de gestión y la funcionalidad como usuario. Si no utiliza una cuenta de administrador, póngase en contacto con el soporte técnico de Box para obtener más información sobre cómo configurar esta funcionalidad. McAfee Data Loss Prevention 10.0.100 Guía del producto 191 9 Análisis de datos con McAfee DLP Discover Uso de definiciones y clasificaciones con análisis Uso de definiciones y clasificaciones con análisis Utilice las definiciones y clasificaciones para configurar reglas, criterios de clasificación y análisis. Todos los tipos de análisis requieren definiciones. Se utilizan dos tipos de definiciones para McAfee DLP Discover. • Las que se utilizan en los análisis especifican las planificaciones, los repositorios y las credenciales para repositorios. • Las definiciones que se utilizan en las clasificaciones especifican las coincidencias que deben existir al rastrear archivos, como las propiedades o los datos de un archivo. Tabla 9-3 Definiciones disponibles según sus funciones Definición Se utilizan para Patrón avanzado* Clasificaciones Diccionario* Propiedades del documento Tipo de archivo verdadero* Extensión del archivo* Clasificaciones y análisis Información del archivo Credenciales Análisis Planificador Box Servidor de archivos (CIFS) SharePoint * Indica que hay disponibles definiciones predefinidas (integradas) Los análisis de clasificación y corrección utilizan las clasificaciones para identificar los archivos y datos confidenciales. Las clasificaciones utilizan una o más definiciones para que las propiedades del archivo coincidan con el contenido del archivo. Puede utilizar análisis de clasificación para examinar los patrones de datos de los archivos. Utilice los resultados de estos análisis para ajustar sus clasificaciones, que después se podrán utilizar en los análisis de corrección. Los documentos registrados y criterios de identificación por huellas digitales de contenido no se utilizan en McAfee DLP Discover. Los análisis de clasificación y corrección pueden detectar archivos clasificados manualmente, pero McAfee DLP Discover no puede aplicar las clasificaciones manuales a los archivos. McAfee DLP Discover puede detectar e identificar clasificaciones automáticas en los archivos que determina McAfee DLP Endpoint. Puede ver las clasificaciones automáticas en la página de detalles de los incidentes o en la ficha Inventario de datos. Véase también Uso de las clasificaciones en la página 114 Criterios y definiciones de clasificación en la página 119 192 McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Análisis de datos con McAfee DLP Discover Uso de reglas en análisis Uso de reglas en análisis Los análisis de corrección utilizan reglas para detectar archivos confidenciales y tomar medidas relacionadas con ellos. Los archivos rastreados en un análisis de corrección se comparan con las reglas de descubrimiento activas. Si el archivo coincide con el repositorio y con las clasificaciones definidas en una regla, McAfee DLP Discover puede tomar medidas respecto al archivo. Están disponibles las siguientes opciones: • No llevar a cabo ninguna acción • Crear un incidente • Almacenar el archivo original como prueba • Copiar el archivo • Mover el archivo • Aplicar una directiva de administración de derechos al archivo • Quitar del archivo la opción de compartir de forma anónima (análisis de Box únicamente) En el caso de las listas de SharePoint, no se pueden mover archivos ni aplicar directivas de administración de derechos a archivos. Estas acciones son compatibles para aquellos archivos adjuntados a las listas de SharePoint o almacenados en bibliotecas de documentos. Algunos tipos de archivo utilizados para crear páginas de SharePoint, por ejemplo, .aspx o .js, no se pueden mover ni eliminar. En el caso de los análisis de Box, se pueden mover archivos solo a recursos compartidos CIFS. Véase también Conjuntos de reglas en la página 141 Reglas en la página 144 Configurar directivas para los análisis Antes de configurar un análisis, cree las definiciones, las clasificaciones y las reglas para su directiva de McAfee DLP Discover. Procedimientos • Crear definiciones para los análisis en la página 194 Configure las credenciales, repositorios y planificadores utilizados para los análisis. • Crea reglas para análisis de corrección en la página 199 Utilice las reglas para definir la acción que aplicar cuando un análisis de corrección detecta archivos que coinciden con las clasificaciones. Véase también Creación y configuración de clasificaciones en la página 128 Creación de las definiciones de clasificación en la página 134 McAfee Data Loss Prevention 10.0.100 Guía del producto 193 9 Análisis de datos con McAfee DLP Discover Configurar directivas para los análisis Crear definiciones para los análisis Configure las credenciales, repositorios y planificadores utilizados para los análisis. Procedimientos • Crear definiciones de clasificación en la página 194 Todos los análisis requieren una definición para especificar el repositorio, las credenciales y la planificación. • Crear una definición de las credenciales en la página 195 Se requieren credenciales para leer y cambiar los archivos en la mayoría de los repositorios. Si sus repositorios tienen las mismas credenciales, puede utilizar una única definición de las credenciales para dichos repositorios. • Crear una definición de repositorio de CIFS o SharePoint en la página 196 Configure un repositorio de CIFS o SharePoint para los análisis. • Crear una definición del repositorio de Box en la página 197 Configure un repositorio de Box para los análisis. • Exportar o importar definiciones de repositorio en la página 198 Si tiene un gran número de repositorios, es posible que sea más fácil administrarlos como un archivo XML que añadirlos y editarlos de uno en uno en McAfee ePO. • Crear una definición de planificador en la página 198 El planificador de análisis determina cuándo y con qué frecuencia se ejecuta un análisis. Crear definiciones de clasificación Todos los análisis requieren una definición para especificar el repositorio, las credenciales y la planificación. Antes de empezar Tiene que tener el nombre de usuario, la contraseña y la ruta para el repositorio. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 Haga clic en la ficha Definiciones. 3 Cree una definición de las credenciales. Para los análisis de corrección, las credenciales deben tener permisos de lectura y escritura. Para los análisis de corrección que aplican la directiva de administración de derechos o mueven los archivos, se requieren permisos de control total. 194 a En el panel de la izquierda, seleccione Otros | Credenciales. b Seleccione Acciones | Nuevo y sustituya el nombre predeterminado por un nombre único para la definición. c Rellene los parámetros de las credenciales. Haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Análisis de datos con McAfee DLP Discover Configurar directivas para los análisis 4 Cree una definición de repositorio. a En el panel de la izquierda, en Repositorios, seleccione el tipo de repositorio nuevo que desea crear. b Seleccione Acciones | Nuevo, escriba un nombre de repositorio único en el campo Nombre, y rellene la información restante de Tipo y Definiciones. Los parámetros de Excluir son opcionales. Se requiere al menos una definición Incluir. 5 Cree una definición de planificador. a En el panel de la izquierda, seleccione Otros | Planificador. b Seleccione Acciones | Nuevo y rellene los parámetros del planificador. Haga clic en Guardar. Las opciones de los parámetros dependen del Tipo de planificación seleccionado. 6 Cree una definición de información del archivo. Las definiciones de información de los archivos se utilizan para definir los filtros del análisis. Los filtros le permiten analizar los repositorios de una manera más específica definiendo qué archivos se incluyen y cuáles se excluyen. Las definiciones de información de los archivos son opcionales, pero se recomiendan. a En el panel de la izquierda, seleccione Datos | Información del archivo. b Seleccione Acciones | Nuevo y sustituya el nombre predeterminado por un nombre único para la definición. c Seleccione las propiedades que utilizar como filtros, y rellene los detalles de Comparación y Valor. Haga clic en Guardar. Crear una definición de las credenciales Se requieren credenciales para leer y cambiar los archivos en la mayoría de los repositorios. Si sus repositorios tienen las mismas credenciales, puede utilizar una única definición de las credenciales para dichos repositorios. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 Haga clic en la ficha Definiciones. 3 En el panel de la izquierda, seleccione Credenciales. 4 Seleccione Acciones | Nuevo. McAfee Data Loss Prevention 10.0.100 Guía del producto 195 9 Análisis de datos con McAfee DLP Discover Configurar directivas para los análisis 5 Introduzca un nombre único para la definición. Los campos Descripción y Nombre de dominio son opcionales. Todos los demás son obligatorios. Si el usuario es usuario de dominio, utilice el sufijo de dominio para el campo Nombre de dominio. Si el usuario es usuario de grupo de trabajo, utilice el nombre del equipo local. Para buscar en todas las colecciones de una aplicación web de SharePoint, utilice unas credenciales que tengan permiso de Acceso completo de lectura en la aplicación web entera. 6 Para los repositorios de dominios de Windows, haga clic en Probar credenciales para comprobar el nombre de usuario y la contraseña de McAfee ePO. Esta acción no prueba las credenciales del servidor de descubrimiento. No hay verificación para las credenciales que no forman parte de un dominio de Windows. Si un análisis falla debido a que las credenciales son incorrectas, se crea un evento en la página Lista de eventos operativos. Crear una definición de repositorio de CIFS o SharePoint Configure un repositorio de CIFS o SharePoint para los análisis. Puede utilizar una expresión regular con sintaxis de Perl al especificar los parámetros de inclusión o exclusión de las carpetas, en lugar de utilizar una ruta específica completa. • Para las entradas de inclusión, especifique el prefijo de la ruta, por ejemplo, \\server o \\server \share\folder. La expresión regular tiene que ser exactamente igual que el sufijo de la ruta. • Para las entradas de exclusión, las carpetas que coincidan con la ruta se omitirán totalmente del análisis. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 Haga clic en la ficha Definiciones. 3 En el panel de la izquierda, en Repositorios, seleccione el tipo de repositorio. 4 Seleccione Acciones | Nuevo. 5 Introduzca un nombre, seleccione las credenciales que utilizar y configure al menos una definición Incluir. 6 (Repositorios de CIFS) Configure al menos una entrada Incluir. a Seleccione el Tipo de prefijo. b En el campo Prefijo, introduzca la ruta UNC, la dirección IP individual o el intervalo de direcciones IP. La ruta UNC puede ser el nombre de dominio completo (FQDN) (\\myserver1.mydomain.com) o el nombre del equipo local (\\myserver1). Puede agregar ambas versiones a una única definición. Se analizan varias entradas como operador lógico O. 196 c (Opcional) Introduzca una expresión regular para buscar carpetas coincidentes que analizar. d Haga clic en Agregar. McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Análisis de datos con McAfee DLP Discover Configurar directivas para los análisis 7 (Repositorios de SharePoint) Configure al menos una entrada Incluir. a Seleccione el tipo Incluir. b Configure una o varias URL. La opción SharePoint Server solo utiliza una URL. El nombre de host es el nombre NetBIOS del servidor a menos que se haya configurado una asignación alternativa de acceso (AAM) en el servidor. Para obtener información sobre las AAM, consulte la documentación de SharePoint de Microsoft. • Para especificar un sitio: Termine la URL con una barra diagonal (http://SPServer/sites/ DLP/). • Para especificar un subsitio: Termine la URL del subsitio con una barra diagonal (http:// SPserver/sites/DLP/Discover/). • Para especificar una aplicación web: Utilice únicamente el nombre y el puerto de la aplicación web en la URL (http://SPServer:port). • Para especificar una lista o una biblioteca de documentos: Utilice la URL completa hasta la vista predeterminada de la lista (http://SPServer/sites/DLP/Share%20Documents/ Default.aspx). Puede buscar la URL de la vista predeterminada en la página de configuración de la biblioteca o la lista. Si no tiene privilegios para verla, póngase en contacto con el administrador de SharePoint. c Si configuró una URL en Lista de sitios, haga clic en Agregar. 8 (Opcional) Configure los parámetros de Excluir para excluir las carpetas del análisis. 9 Haga clic en Guardar. Crear una definición del repositorio de Box Configure un repositorio de Box para los análisis. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 Haga clic en la ficha Definiciones. 3 En el panel izquierdo, en Repositorios, seleccione Box. 4 Seleccione Acciones | Nuevo. 5 Introduzca un nombre y, si lo desea, una descripción. 6 Haga clic en el vínculo del sitio web de Box. Siga las instrucciones en el sitio web para definir la aplicación Box y obtener el ID y la clave secreta de cliente. 7 • Al definir la aplicación, seleccione la opción de empresa de gestión. • Para el URI de redirección, introduzca la dirección IP del servidor de McAfee ePO. • Para analizar otras cuentas, póngase en contacto con el servicio de soporte de Box para activar la funcionalidad como usuario. Introduzca el ID de cliente y la clave secreta de cliente y, a continuación, haga clic en Obtener token. McAfee Data Loss Prevention 10.0.100 Guía del producto 197 9 Análisis de datos con McAfee DLP Discover Configurar directivas para los análisis 8 Cuando se le solicite en el sitio web de Box, otorgue acceso al servidor de descubrimiento. 9 Especifique si desea analizar todas las cuentas de usuario o solo algunas específicas. 10 Haga clic en Guardar. Exportar o importar definiciones de repositorio Si tiene un gran número de repositorios, es posible que sea más fácil administrarlos como un archivo XML que añadirlos y editarlos de uno en uno en McAfee ePO. Utilice la función de exportación para guardar las definiciones de repositorios existentes y las credenciales asociadas en un archivo XML. Use este archivo como base para añadir y configurar sus repositorios en formato XML. Al importar un archivo XML, las definiciones de repositorios y credenciales se validan y se agregan a la lista de entradas. Si existe una definición de repositorio en McAfee ePO y el archivo XML, se sobrescribe la definición con la información del archivo XML. Las definiciones se identifican de manera exclusiva mediante el valor id del archivo XML. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 Haga clic en la ficha Definiciones. 3 Seleccione Servidor de archivos (CIFS) o SharePoint. 4 Realice una de estas tareas. • • Para exportar repositorios: 1 Seleccione Acciones | Exportar. 2 Seleccione si desea abrir o guardar el archivo y haga clic en Aceptar. Para importar repositorios: 1 Seleccione Acciones | Importar. 2 Vaya al archivo y haga clic en Aceptar. Crear una definición de planificador El planificador de análisis determina cuándo y con qué frecuencia se ejecuta un análisis. Se proporcionan estos tipos de planificación: • Ejecutar inmediatamente • Semanal • Una vez • Mensual • Diariamente Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 198 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 Haga clic en la ficha Definiciones. McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Análisis de datos con McAfee DLP Discover Configurar directivas para los análisis 3 En el panel de la izquierda, haga clic en Planificador. 4 Seleccione Acciones | Nuevo. 5 Introduzca un nombre único y seleccione el tipo de planificación. La visualización cambia cuando selecciona el tipo de planificación con el fin de proporcionar los campos necesarios para ese tipo. 6 Rellene las opciones necesarias y haga clic en Guardar. Crea reglas para análisis de corrección Utilice las reglas para definir la acción que aplicar cuando un análisis de corrección detecta archivos que coinciden con las clasificaciones. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP. 2 Haga clic en la ficha Conjuntos de reglas. 3 Si no hay conjuntos de reglas configurados, cree uno. a Seleccione Acciones | Nuevo conjunto de reglas. b Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar. 4 Haga clic en el nombre de un conjunto de reglas y, a continuación, si fuera necesario, haga clic en la ficha Descubrimiento. 5 Seleccione Acciones | Nueva regla de descubrimiento de red y, a continuación, seleccione el tipo de regla. 6 En la ficha Condición, configure una o varias clasificaciones y repositorios. • Crear un nuevo elemento: Haga clic en .... • Agregar criterios adicionales: Haga clic en +. • Eliminar criterios: Haga clic en -. 7 (Opcional) En la ficha Excepciones, especifique cualquier exclusión de la activación de la regla. 8 En la ficha Reacción, configure la reacción. Las reacciones disponibles dependen del tipo de repositorio. 9 Haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto 199 9 Análisis de datos con McAfee DLP Discover Configurar un análisis Configurar un análisis La cantidad y el tipo de datos que McAfee DLP Discover recopila dependen del tipo de análisis configurado. Procedimientos • Configurar un análisis de inventario en la página 200 Los análisis de inventario solo recopilan metadatos. Son los análisis más rápidos y, por tanto, el punto de inicio habitual en la determinación de qué análisis son necesarios. • Configurar un análisis de clasificación en la página 201 Los análisis de clasificación recopilan datos del archivo en función de clasificaciones definidas. Se utilizan para analizar los sistemas de archivos para que los datos confidenciales estén protegidos con un análisis de corrección. • Configurar un análisis de corrección en la página 202 Los análisis de corrección aplican las reglas para proteger el contenido de carácter confidencial en el repositorio analizado. Configurar un análisis de inventario Los análisis de inventario solo recopilan metadatos. Son los análisis más rápidos y, por tanto, el punto de inicio habitual en la determinación de qué análisis son necesarios. Utilice análisis de inventario para planificar la estrategia de protección de datos. Puede crear análisis o editar y reutilizar los existentes según sea necesario. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 En la ficha Servidores Discover, seleccione Acciones | Detectar servidores para actualizar la lista. Si la lista es larga, puede definir un filtro para que se muestre una lista más corta. 3 En la ficha Operaciones de análisis, seleccione Acciones | Nuevo análisis y elija el tipo de repositorio. 4 Escriba un nombre único y seleccione Tipo de análisis: Inventario. Seleccione una plataforma de servidor y una planificación. Los servidores de descubrimiento tienen que estar predefinidos. Puede seleccionar una planificación definida o crear una. 5 (Opcional) Defina valores para Lista de archivos o Administración de errores en lugar de los valores predeterminados. 6 Seleccione los repositorios que analizar. a En la ficha Repositorios, haga clic en Acciones | Seleccionar repositorios. b Si fuera necesario, especifique las credenciales para cada repositorio de la lista desplegable. Las credenciales tomarán de forma predeterminada el valor configurado para dicho repositorio. Puede crear definiciones del repositorio y las credenciales, si fuera necesario, en la ventana de selección. 200 McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Análisis de datos con McAfee DLP Discover Configurar un análisis 7 (Opcional) En la ficha Filtros, seleccione Acciones | Seleccionar filtros para especificar los archivos que incluir o excluir. De forma predeterminada, se analizan todos los archivos. 8 Haga clic en Guardar. 9 Haga clic en Aplicar directiva. Configurar un análisis de clasificación Los análisis de clasificación recopilan datos del archivo en función de clasificaciones definidas. Se utilizan para analizar los sistemas de archivos para que los datos confidenciales estén protegidos con un análisis de corrección. Antes de empezar • Ejecute un análisis de inventario. Utilice los datos del inventario para definir clasificaciones. • Cree las definiciones de clasificación necesarias antes de configurar un análisis de clasificación. No hay ninguna opción para crear una clasificación en los ajustes de configuración. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 En la ficha Servidores Discover, seleccione Acciones | Detectar servidores para actualizar la lista. Si la lista es larga, puede definir un filtro para que se muestre una lista más corta. 3 En la ficha Operaciones de análisis, seleccione Acciones | Nuevo análisis y elija el tipo de repositorio. 4 Escriba un nombre único y seleccione Tipo de análisis: Clasificación. Seleccione una plataforma de servidor y una planificación. Los servidores de descubrimiento tienen que estar predefinidos. Puede seleccionar una planificación definida o crear una. 5 (Opcional) Defina valores para Regulación, Lista de archivos o Administración de errores en lugar de los valores predeterminados. 6 Seleccione los repositorios que analizar. a En la ficha Repositorios, haga clic en Acciones | Seleccionar repositorios. b Si fuera necesario, especifique las credenciales para cada repositorio de la lista desplegable. Las credenciales tomarán de forma predeterminada el valor configurado para dicho repositorio. Puede crear definiciones del repositorio y las credenciales, si fuera necesario, en la ventana de selección. 7 (Opcional) En la ficha Filtros, seleccione Acciones | Seleccionar filtros para especificar los archivos que incluir o excluir. De forma predeterminada, se analizan todos los archivos. McAfee Data Loss Prevention 10.0.100 Guía del producto 201 9 Análisis de datos con McAfee DLP Discover Configurar un análisis 8 9 Seleccione las clasificaciones para el análisis. a En la ficha Clasificaciones, haga clic en Acciones | Seleccionar clasificaciones. b Seleccione una o varias clasificaciones de la lista. Haga clic en Guardar. 10 Haga clic en Aplicar directiva. Configurar un análisis de corrección Los análisis de corrección aplican las reglas para proteger el contenido de carácter confidencial en el repositorio analizado. Antes de empezar • Si el análisis está configurado para aplicar la directiva de administración de derechos o para mover los archivos, asegúrese de que las credenciales para el repositorio tienen permisos de control total. • Cree las clasificaciones y las reglas para el análisis. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 En la ficha Servidores Discover, seleccione Acciones | Detectar servidores para actualizar la lista. Si la lista es larga, puede definir un filtro para que se muestre una lista más corta. 3 En la ficha Operaciones de análisis, seleccione Acciones | Nuevo análisis y elija el tipo de repositorio. 4 Escriba un nombre único y seleccione Tipo de análisis: Corrección. Seleccione una plataforma de servidor y una planificación. Los servidores de descubrimiento tienen que estar predefinidos. Puede seleccionar una planificación definida o crear una. 5 (Opcional) Defina valores para Regulación, Lista de archivos, Administración de incidentes o Administración de errores en lugar de los valores predeterminados. 6 Seleccione los repositorios que analizar. a En la ficha Repositorios, haga clic en Acciones | Seleccionar repositorios. b Si fuera necesario, especifique las credenciales para cada repositorio de la lista desplegable. Las credenciales tomarán de forma predeterminada el valor configurado para dicho repositorio. Puede crear definiciones del repositorio y las credenciales, si fuera necesario, en la ventana de selección. 7 (Opcional) En la ficha Filtros, seleccione Acciones | Seleccionar filtros para especificar los archivos que incluir o excluir. De forma predeterminada, se analizan todos los archivos. 202 McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Análisis de datos con McAfee DLP Discover Realizar operaciones de análisis 8 9 Seleccione las reglas para el análisis. a En la ficha Reglas, haga clic en Acciones | Seleccionar conjunto de reglas. b Seleccione uno o varios conjuntos de reglas de la lista. Haga clic en Guardar. 10 Haga clic en Aplicar directiva. Realizar operaciones de análisis Gestione y consulte información sobre los análisis configurados. La aplicación de la directiva inicia los análisis planificados para ejecutarse inmediatamente. Los análisis que se estén ejecutando en ese momento no se verán afectados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 Haga clic en la ficha Operaciones de análisis. La ficha muestra información sobre los análisis configurados, como el nombre, el tipo, el estado y la descripción de los resultados. 3 Para actualizar la configuración de todos los análisis, haga clic en Aplicar directiva. 4 Para aplicar un filtro a la lista de análisis, seleccione un filtro en la lista desplegable Filtro. 5 Para activar o desactivar un análisis: a Seleccione la casilla de verificación de los análisis que desea activar o desactivar. El icono de la columna Estado muestra si el análisis está activado o desactivado. 6 • Icono azul fijo: Activado • Icono azul y blanco: Desactivado b Seleccione Acciones | Cambiar estado y, a continuación, seleccione Activado o Desactivado. c Haga clic en Aplicar directiva. Para cambiar al estado de ejecución del análisis, haga clic en los botones de inicio, pausa o detención de la columna Comandos. La disponibilidad de estas opciones depende del estado del análisis, y de si este se está ejecutando o está inactivo. 7 Para clonar, eliminar o editar un análisis: a Seleccione la casilla de verificación del análisis. b Seleccione Acciones y, a continuación, seleccione Clonar análisis, Eliminar análisis o Editar análisis. Para modificar el servidor de descubrimiento asignado al análisis, debe desactivar el análisis. No puede modificar el tipo de análisis asignado a un análisis. Para cambiarlo, clone el análisis. 8 Para actualizar la ficha, seleccione Acciones | Sincronizar datos. McAfee Data Loss Prevention 10.0.100 Guía del producto 203 9 Análisis de datos con McAfee DLP Discover Comportamiento de análisis Comportamiento de análisis Cambiar las propiedades de un análisis en curso puede afectar al comportamiento de este. Tabla 9-4 Efecto de cambiar propiedades durante un análisis Cambio Efecto Desactivar análisis El análisis se detiene. Eliminar análisis El análisis se detiene y se elimina. Cambiar el nombre de análisis Solo afecta a los registros en la siguiente ejecución de análisis. Cambiar planificación Solo afecta a la siguiente ejecución de análisis. Cambiar la regulación Solo afecta a la siguiente ejecución de análisis*. Cambiar la lista del archivo Solo afecta a la siguiente ejecución de análisis*. Cambiar el repositorio Solo afecta a la siguiente ejecución de análisis. Cambiar los filtros Solo afecta a la siguiente ejecución de análisis. Cambiar las reglas Solo afecta a la siguiente ejecución de análisis*. Cambiar la clasificación Solo afecta a la siguiente ejecución de análisis*. Cambiar el recurso compartido de prueba Afecta al análisis actual*. Cambiar las credenciales de usuario de prueba Afecta al análisis actual*. Cambiar las credenciales de usuario de corrección Solo afecta a la siguiente ejecución de análisis*. Ampliación o desinstalación del servidor de descubrimiento El análisis se detiene. * El efecto se produce después de que ocurra un intervalo de comunicación agente-servidor (ASCI). Análisis de los datos analizados Puede examinar la información recopilada a partir de los datos analizados de varias formas. El análisis de inventario básico (recopilación de metadatos) forma parte de toda clase de análisis. Los análisis de clasificación también analizan datos en función de clasificaciones definidas. El extractor de texto analiza el contenido de los archivos y agrega información adicional a los metadatos almacenados. Uso de OLAP por parte de McAfee DLP Discover McAfee DLP Discover utiliza el Procesamiento analítico en línea (OLAP), un modelo de datos que permite procesar rápidamente los metadatos desde diferentes puntos de vista. Utilice las herramientas OLAP de McAfee DLP Discover para ver las relaciones multidimensionales entre los datos recopilados de los análisis. A estas relaciones se las conoce como hipercubos o cubos de OLAP. Puede ordenar y organizar los resultados del análisis basándose en condiciones como la clasificación, el tipo de archivo, el repositorio y más. Al utilizar los patrones de datos para calcular las posibles infracciones, podrá optimizar los análisis de clasificación y corrección para identificar y proteger los datos de forma rápida y más eficaz. 204 McAfee Data Loss Prevention 10.0.100 Guía del producto Análisis de datos con McAfee DLP Discover Análisis de los datos analizados 9 Ver resultados de análisis Las fichas Análisis de datos e Inventario de datos muestran resultados de análisis. Estas fichas muestran los resultados recopilados la última vez que se ejecutó el análisis. Ficha Análisis de datos La ficha Análisis de datos le permite analizar archivos de los análisis. La ficha utiliza un modelo de datos OLAP para mostrar hasta tres categorías que expongan patrones de datos multidimensionales. Utilice estos patrones para optimizar sus análisis de clasificación y corrección. Figura 9-1 Configuración de análisis de datos McAfee Data Loss Prevention 10.0.100 Guía del producto 205 9 Análisis de datos con McAfee DLP Discover Análisis de los datos analizados 1 Nombre de análisis: La lista desplegable muestra los análisis disponibles para todos los tipos. El análisis solo se puede realizar en un único análisis. 2 Tipo analítico: Seleccione de Archivos o Clasificaciones. Para los análisis de inventario, solo está disponible la opción Archivos. El tipo analítico determina las categorías disponibles. 3 Mostrar: Controla el número de entradas que aparecen. 4 Ampliar tabla/Contraer tabla: Amplía toda la página. También puede ampliar o contraer grupos individuales. 5 Selector de categorías: Lista desplegable que muestra todas las categorías disponibles. Puede seleccionar una opción de las categorías restantes en los selectores segundo y tercero para crear un análisis tridimensional de los patrones de datos. 6 Extensión del elemento: El icono de flecha controla la expansión/contracción de los grupos individuales para limpiar la pantalla. 7 Recuento: Número de archivos (o clasificaciones) en cada grupo. Haga clic en el número para ir a la ficha Inventario de datos y mostrar los detalles de ese grupo. Si el Tipo analítico se define en Clasificaciones y los archivos tienen más de una clasificación asociada, este número puede ser superior al número total de archivos. Ficha Inventario de datos La ficha Inventario de datos muestra el inventario de archivos de los análisis que tienen activada la opción Lista de archivos. Puede definir y usar filtros para ajustar la información mostrada, la cual puede revelar patrones o posibles infracciones de directivas. Las opciones Clasificación y Tipo de archivo no están disponibles para los análisis de inventario. Véase también Funcionamiento de los análisis de inventario en la página 188 Analizar resultados de análisis Utilice el modelo de datos OLAP para organizar y ver las relaciones que existen entre los archivos de los análisis. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 206 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 Haga clic en la ficha Análisis de datos. 3 En la lista desplegable Nombre de análisis, seleccione el análisis que desea examinar. 4 En la lista desplegable Tipo analítico, seleccione Archivo o Clasificación. 5 En la lista desplegable Mostrar, seleccione el número de entradas principales que mostrar. 6 Utilice las listas desplegables de categorías para mostrar los archivos de hasta tres categorías. McAfee Data Loss Prevention 10.0.100 Guía del producto 9 Análisis de datos con McAfee DLP Discover Análisis de los datos analizados 7 Utilice las opciones Ampliar tabla y Contraer tabla para ampliar o contraer la cantidad de información mostrada. 8 Para ver los resultados de inventario de los archivos que pertenecen a una categoría, haga clic en el vínculo que muestra el número de archivos entre paréntesis. El vínculo solo está disponible si se seleccionó la opción Lista de archivos en la configuración del análisis. El vínculo muestra la página Inventario de datos. Ver resultados de inventario Consulte el inventario de archivos de todos los tipos de análisis. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover. 2 Haga clic en la ficha Inventario de datos. 3 Realice una de estas tareas: • Para ver los resultados de un análisis concreto, selecciónelo en la lista desplegable Analizar. • Para filtrar los archivos mostrados, seleccione un filtro en la lista desplegable Filtro. Haga clic en Editar para modificar y crear filtros. • Para agrupar archivos en función de una propiedad determinada: 1 En la lista desplegable Agrupar por, seleccione una categoría. Las propiedades disponibles aparecerán en el panel de la izquierda. 2 • Seleccione la propiedad para agrupar archivos. Para configurar las columnas mostradas: 1 Seleccione Acciones | Elegir columnas. 2 En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnas seleccionadas. 3 En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario. 4 • Para eliminar una columna, haga clic en x. • Para mover una columna, haga clic en los botones de flecha, o arrastre y suelte la columna. Haga clic en Actualizar vista. McAfee Data Loss Prevention 10.0.100 Guía del producto 207 9 Análisis de datos con McAfee DLP Discover Análisis de los datos analizados 208 McAfee Data Loss Prevention 10.0.100 Guía del producto Supervisión y generación de informes Puede utilizar los componentes de la extensión de McAfee DLP para rastrear y revisar las infracciones de directivas (Administrador de incidentes de DLP) y para rastrear los eventos administrativos (Operaciones de DLP). Capítulo 10 Capítulo 11 Capítulo 12 Incidentes y eventos operativos Recopilación y administración de datos Registro y supervisión en McAfee DLP Prevent McAfee Data Loss Prevention 10.0.100 Guía del producto 209 Supervisión y generación de informes 210 McAfee Data Loss Prevention 10.0.100 Guía del producto 10 Incidentes y eventos operativos McAfee DLP ofrece otras herramientas para ver incidentes y eventos operativos. • Incidentes: la página Administrador de incidentes de DLP muestra los incidentes generados a partir de las reglas. • Eventos operativos: La página Operaciones de DLP muestra errores y datos administrativos. • Casos: La página Administración de casos de DLP contiene casos que se han creado para agrupar y gestionar incidentes relacionados. Cuando se instalan varios productos de McAfee DLP, las consolas muestran incidentes y eventos de todos los productos. La visualización de Administrador de incidentes de DLP y Operaciones de DLP puede incluir información sobre el equipo y el usuario registrado que han generado el incidente/evento, la versión del cliente, el sistema operativo y otros detalles. Contenido Supervisión y generación de informes Administrador de incidentes de DLP Visualización de los incidentes Gestión de incidentes Trabajo en casos Gestión de casos Supervisión y generación de informes McAfee DLP divide los eventos en dos clases: incidentes (es decir, infracciones de directivas) y eventos administrativos. Estos eventos se ven en las dos consolas, Administrador de incidentes de DLP y Operaciones de DLP. Cuando McAfee DLP determina que se ha producido una infracción de directivas, genera un evento y lo envía al Analizador de eventos de McAfee ePO. Estos eventos se pueden ver, filtrar y clasificar en la consola Administrador de incidentes de DLP, lo que permite a los responsables de la seguridad o a los administradores ver los eventos y responder inmediatamente. En caso necesario, se adjunta el contenido sospechoso como prueba del evento. Como McAfee DLP es fundamental en la estrategia de una empresa para cumplir todas las normativas y la legislación que protege los datos confidenciales, el Administrador de incidentes de DLP presenta la información sobre la transmisión de información confidencial de forma precisa y flexible. Los auditores, responsables de firmas, administradores de información confidencial y otros empleados relevantes pueden utilizar el Administrador de incidentes de DLP para observar actividades sospechosas o no autorizadas, y actuar conforme a la política de privacidad de la empresa, a las normativas correspondientes y a otras leyes aplicables. McAfee Data Loss Prevention 10.0.100 Guía del producto 211 10 Incidentes y eventos operativos Administrador de incidentes de DLP El administrador del sistema o el responsable de la seguridad pueden seguir los eventos administrativos relativos a los agentes y al estado de distribución de directivas. En función de los productos de McAfee DLP que utilice, la consola de Operaciones de DLP puede mostrar errores, cambios de directivas, omisiones de agentes y otros eventos administrativos. Puede configurar el envío de una notificación por correo electrónico a las direcciones especificadas cada vez que se actualicen los incidentes, los casos y los eventos operativos. Administrador de incidentes de DLP Utilice la página Administrador de incidentes de DLP en McAfee ePO para ver los eventos de seguridad de las infracciones de directivas. El administrador de incidentes tiene tres secciones con fichas: • Lista de incidentes: La lista actual de eventos de infracciones de directivas. • Tareas de incidentes: Una lista de acciones que puede realizar en la lista o las partes seleccionadas de esta. Incluyen la asignación de revisores a los incidentes, la configuración de notificación por correo electrónico automáticas y la purga de toda la lista o parte de esta. • Historial de incidentes: Una lista que contiene todos los incidentes históricos. Purgar la lista del incidente no afecta al historial. Utilice el módulo Eventos operativos de DLP para ver eventos administrativos como despliegues de agentes. El módulo se organiza de forma idéntica, con tres páginas con fichas: Lista de eventos operativos, Tareas de eventos operativos e Historial de eventos operativos. Funcionamiento del administrador de incidentes La ficha Lista de incidentes del Administrador de incidentes de DLP tiene todas las funciones necesarias para revisar los incidentes relacionados con infracciones de directivas. Los detalles del evento se pueden ver al hacer clic en el evento en cuestión. Puede crear y guardar los filtros para modificar la vista o utilizar los filtros predefinidos del panel izquierdo. También puede modificar la vista al seleccionar y ordenar las columnas. Los iconos de color y las calificaciones numéricas de gravedad facilitan un análisis visual rápido de los eventos. La ficha Lista de incidentes se utiliza con la función Consultas e informes de McAfee ePO para crear informes de McAfee DLP Endpoint y mostrar datos en los paneles de McAfee ePO. Puede realizar las siguientes operaciones en los eventos: 212 • Administración de casos: Cree casos y agregue incidentes seleccionados a un caso. • Comentarios: Agregue comentarios a incidentes seleccionados. • Eventos de correo electrónico: Envíe eventos seleccionados. • Exportar parámetros del dispositivo: Exporte los parámetros del dispositivo a un archivo CSV (lista de datos en uso/movimiento únicamente). • Etiquetas: Defina una etiqueta para filtrar por ella. McAfee Data Loss Prevention 10.0.100 Guía del producto Incidentes y eventos operativos Administrador de incidentes de DLP 10 • Liberar redacción: Elimine la redacción para ver los campos protegidos (requiere el permiso correcto). • Definir propiedades: Edite la gravedad, el estado o la resolución; asigne un usuario o un grupo para la revisión de incidentes. Figura 10-1 Administrador de incidentes de DLP La página Operaciones de DLP se utiliza de forma idéntica con los eventos administrativos. Los eventos contienen información como, por ejemplo, el motivo por el que se generó el evento y el producto de McAfee DLP que lo notificó. También puede incluir información del usuario relacionada con el evento, por ejemplo, el nombre de inicio de sesión del usuario, el nombre principal de este (nombredeusuario@xyz), o el administrador de usuarios, el departamento o la unidad de negocio. Los eventos operativos se pueden filtrar por cualquiera de las opciones siguientes, así como por otros parámetros, por ejemplo, la gravedad, el estado, la versión de cliente o el nombre de directiva, entre otros. Figura 10-2 Operaciones de DLP Tareas de incidentes/Tareas de eventos operativos Utilice la ficha Tareas de incidentes o Tareas de eventos operativos para definir los criterios de las tareas planificadas. La configuración de tareas en las páginas funciona con la función de tareas servidor de McAfee ePO para planificar tareas. Las fichas de ambas tareas se organizan por tipo de tarea (en el panel izquierdo). La ficha Tareas de incidentes también se organiza por tipo de incidente, de modo que es en realidad una matriz 4 x 3, y la información que se muestra depende de los dos parámetros que seleccione. McAfee Data Loss Prevention 10.0.100 Guía del producto 213 10 Incidentes y eventos operativos Administrador de incidentes de DLP Datos en uso/ movimiento Datos en reposo (Endpoint) Datos en reposo (red) Definir revisor X X X Notificación de correo automática X X X Purgar eventos X X X Datos en uso/ movimiento (Historial) X Caso práctico: Configuración de propiedades Las propiedades son datos que se añaden a un incidente que requiere un seguimiento. Puede agregar las propiedades desde el panel de detalles del incidente o seleccionando Acciones | Definir propiedades. Las propiedades son: • Gravedad • Grupo revisor • Estado • Usuario revisor • Solución El revisor puede ser cualquier usuario de McAfee ePO. El motivo por el cual es posible cambiar la gravedad es que, en caso de que el administrador determine que el estado es un falso positivo, la gravedad original dejará de tener sentido. Caso práctico: Cambio de la vista Además de utilizar los filtros para modificar la vista, también puede personalizar los campos y el orden de visualización. Las vistas personalizadas se pueden guardar y utilizar de nuevo. Crear un filtro implica las siguientes tareas: 1 Para abrir la ventana de edición de la vista, haga clic en Acciones | Vista | Elegir columnas. 2 Para mover las columnas a la izquierda o a la derecha, use el icono x para eliminar columnas y los iconos de flechas. 3 Para aplicar la vista personalizada, haga clic en Actualizar vista. 4 Para guardarla para usarla en el futuro, haga clic en Acciones | Vista | Guardar vista. Al guardar la vista también puede guardar la hora y los filtros personalizados. En la lista desplegable de la parte superior de la página, puede seleccionar las vistas guardadas. Trabajar con incidentes Cuando McAfee DLP recibe datos que coinciden con los parámetros definidos en una regla, se desencadena una infracción y McAfee DLP genera un incidente. Con el administrador de incidentes de McAfee ePO, puede consultar, ordenar, agrupar y filtrar incidentes para encontrar infracciones importantes. Puede ver los detalles de los incidentes o eliminar los que no son útiles. 214 McAfee Data Loss Prevention 10.0.100 Guía del producto Incidentes y eventos operativos Visualización de los incidentes 10 Visualización de los incidentes El Administrador de incidentes de DLP muestra todos los incidentes de los que han informado las aplicaciones de McAfee DLP. Puede alterar la apariencia de los incidentes para que le ayude a ubicar las infracciones importantes de forma más eficaz. El campo Presente del Administrador de incidentes de DLP muestra los incidentes en función de la aplicación que los generó: • Datos en uso/movimiento • McAfee DLP Endpoint • Device Control • McAfee DLP Prevent • McAfee DLP Prevent for Mobile Email • Datos en reposo (endpoint): descubrimiento de McAfee DLP Endpoint • Datos en reposo (red): McAfee DLP Discover Cuando McAfee DLP procesa un objeto (como un mensaje de correo electrónico) que activa varias reglas, el Administrador de incidentes de DLP reúne y muestra las infracciones como un incidente, en lugar de como varios independientes. Procedimientos • Ordenar y filtrar incidentes en la página 215 Ordene la manera en la que aparecen los incidentes basándose en atributos como el tiempo, la ubicación, el usuario o la gravedad. • Configurar vistas de columna en la página 216 Utilice las vistas para organizar el tipo y el orden de las columnas que se muestran en el administrador de incidentes. • Configurar filtros de incidentes en la página 217 Utilice los filtros para mostrar los incidentes que coinciden con los criterios especificados. • Ver detalles del incidente en la página 217 Consulte la información relacionada con un incidente. Ordenar y filtrar incidentes Ordene la manera en la que aparecen los incidentes basándose en atributos como el tiempo, la ubicación, el usuario o la gravedad. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Administrador de incidentes de DLP. 2 En la lista desplegable Presente, seleccione la opción para su producto. 3 Lleve a cabo una de estas tareas. • Para ordenar por columna, haga clic en el encabezado de una columna. • Para cambiar las columnas a una vista personalizada, en la lista desplegable Vista, seleccione una vista personalizada. • Para filtrar por tiempo, en la lista desplegable Hora, seleccione un espacio de tiempo. McAfee Data Loss Prevention 10.0.100 Guía del producto 215 10 Incidentes y eventos operativos Visualización de los incidentes • Para aplicar un filtro personalizado, en la lista desplegable Filtro, seleccione un filtro personalizado. • Para agrupar por atributo: 1 En la lista desplegable Agrupar por, seleccione un atributo. Aparecerá una lista de opciones disponibles. La lista contiene hasta 250 de las opciones más frecuentes. 2 En la lista desplegable, seleccione una opción. Aparecerán los incidentes que coincidan con la selección. Ejemplo Si trabaja con incidentes de McAfee DLP Endpoint, seleccione ID de usuario para mostrar los nombres de los usuarios que han desencadenado las infracciones. Seleccione un nombre de usuario para mostrar todos los incidentes para ese usuario. Configurar vistas de columna Utilice las vistas para organizar el tipo y el orden de las columnas que se muestran en el administrador de incidentes. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Administrador de incidentes de DLP. 2 En la lista desplegable Presente, seleccione la opción para su producto. 3 En la lista desplegable Vista, seleccione Predeterminado y haga clic en Editar. 4 Configure las columnas. a En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnas seleccionadas. b En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario. c 5 Para eliminar una columna, haga clic en x. • Para mover una columna, haga clic en los botones de flecha, o arrastre y suelte la columna. Haga clic en Actualizar vista. Configure los ajustes de la vista. a Junto a la lista desplegable Vista, haga clic en Guardar. b Seleccione una de estas opciones: c 216 • • Guardar como vista nueva: Especifique un nombre para la vista. • Omitir la vista existente: Seleccione la vista que desea guardar. Seleccione quién puede utilizar la vista. • Público: Cualquier usuario puede utilizar la vista. • Privado: Solo el usuario que creó la vista puede utilizarla. McAfee Data Loss Prevention 10.0.100 Guía del producto Incidentes y eventos operativos Visualización de los incidentes d Especifique si desea que se apliquen los filtros o las agrupaciones actuales a la vista. e Haga clic en Aceptar. 10 También puede gestionar las vistas en el administrador de incidentes seleccionando Acciones | Vista. Configurar filtros de incidentes Utilice los filtros para mostrar los incidentes que coinciden con los criterios especificados. McAfee DLP Endpoint Ejemplo: Sospecha que un usuario concreto ha estado enviando conexiones que contenían datos confidenciales a un intervalo de direcciones IP fuera de la empresa. Puede crear un filtro para mostrar los incidentes que coinciden con el nombre de usuario y el intervalo de direcciones IP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Administrador de incidentes de DLP. 2 En la lista desplegable Presente, seleccione la opción para su producto. 3 En la lista desplegable Filtro, seleccione (sin filtro personalizado) y haga clic en Editar. 4 Configure los parámetros de filtros. a En la lista Propiedades disponibles, seleccione una propiedad. b Introduzca el valor para la propiedad. Para agregar valores adicionales a la misma propiedad, haga clic en +. c Seleccione más propiedades según sea necesario. Para eliminar una entrada de propiedad, haga clic en <. d 5 Haga clic en Actualizar filtro. Configure los ajustes de filtros. a Junto a la lista desplegable Filtro, haga clic en Guardar. b Seleccione una de estas opciones: c d • Guardar como filtro nuevo: Especifique un nombre para el filtro. • Omitir filtro existente: Seleccione el filtro que desea guardar. Seleccione quién puede utilizar el filtro. • Público: Cualquier usuario puede utilizar el filtro. • Privado: Solo el usuario que creó el filtro puede utilizarlo. Haga clic en Aceptar. También puede gestionar los filtros en el administrador de incidentes seleccionando Acciones | Filtro. Ver detalles del incidente Consulte la información relacionada con un incidente. McAfee Data Loss Prevention 10.0.100 Guía del producto 217 10 Incidentes y eventos operativos Gestión de incidentes Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Administrador de incidentes de DLP. 2 En la lista desplegable Presente, seleccione la opción para su producto. 3 Haga clic en un ID de incidente. Para los incidentes de McAfee DLP Endpoint y McAfee DLP Prevent, la página muestra detalles generales e información de origen. Según el tipo de incidente, aparecen los detalles del destino o del dispositivo. Para los incidentes de McAfee DLP Discover, la página muestra detalles generales sobre el incidente. 4 Para ver información adicional, lleve a cabo una de estas tareas. • Para ver información del usuario, en incidentes de McAfee DLP Endpoint, haga clic en el nombre del usuario en el campo Origen. • Para ver los archivos de pruebas: 1 Haga clic en la ficha Pruebas. 2 Haga clic en el nombre de un archivo para abrirlo con un programa apropiado. La ficha Prueba también muestra la Cadena coincidente breve, que incluye hasta tres elementos destacados como única cadena. • Para ver las reglas que desencadenaron el incidente, haga clic en la ficha Reglas. • Para ver las clasificaciones, haga clic en la ficha Clasificaciones. En incidentes de McAfee DLP Endpoint, la ficha Clasificaciones no aparece para algunos tipos de incidente. • Para ver el historial de incidentes, haga clic en la ficha Registros de auditoría. • Para ver los comentarios agregados al incidente, haga clic en la ficha Comentarios. • Para enviar por correo electrónico los detalles de los incidentes, incluidas las pruebas descifradas y los archivos de elementos destacados, seleccione Acciones | Enviar por correo electrónico los eventos seleccionados. • Para volver al administrador de incidentes, haga clic en Aceptar. Gestión de incidentes Utilice el Administrador de incidentes de DLP para actualizar y gestionar los incidentes. Si ha configurado las notificaciones de correo electrónico, se enviará un correo electrónico cada vez que se actualice un incidente. Para eliminar los incidentes, configure una tarea que permita purgar eventos. 218 McAfee Data Loss Prevention 10.0.100 Guía del producto Incidentes y eventos operativos Gestión de incidentes 10 Procedimientos • Actualizar un solo incidente en la página 219 Actualice información del incidente como la gravedad, el estado y el revisor. • Actualizar varios incidentes en la página 219 Actualice varios incidentes con la misma información simultáneamente. • Enviar por correo electrónico los eventos seleccionados en la página 220 Las siguientes tablas proporcionan algunos detalles sobre las opciones de correo electrónico y exportación de eventos seleccionados. • Administrar etiquetas en la página 221 Una etiqueta es un atributo personalizado que se utiliza para identificar los incidentes que comparten rasgos similares. Actualizar un solo incidente Actualice información del incidente como la gravedad, el estado y el revisor. La ficha Registros de auditoría informa de todas las actualizaciones y modificaciones realizadas en un incidente. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Administrador de incidentes de DLP. 2 En la lista desplegable Presente, seleccione la opción para su producto. 3 Haga clic en un incidente. Se abrirá la ventana de detalles del incidente. 4 En el panel Detalles generales, realice cualquiera de estas tareas. • • • Para actualizar la gravedad, el estado o la resolución: 1 En las listas desplegables Gravedad, Estado o Solución, seleccione una opción. 2 Haga clic en Guardar. Para actualizar el revisor: 1 Junto al campo Revisor, haga clic en .... 2 Seleccione el grupo o el usuario, y haga clic en Aceptar. 3 Haga clic en Guardar. Para agregar un comentario: 1 Seleccione Acciones | Agregar comentario. 2 Introduzca un comentario y, a continuación, haga clic en Aceptar. Actualizar varios incidentes Actualice varios incidentes con la misma información simultáneamente. Ejemplo: Ha aplicado un filtro para mostrar todos los incidentes de un usuario o análisis concreto, y desea cambiar la gravedad de estos incidentes a Grave. McAfee Data Loss Prevention 10.0.100 Guía del producto 219 10 Incidentes y eventos operativos Gestión de incidentes Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Administrador de incidentes de DLP. 2 En la lista desplegable Presente, seleccione la opción para su producto. 3 Seleccione las casillas de verificación de los incidentes que desea actualizar. Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página. 4 Lleve a cabo una de estas tareas. • Para agregar un comentario, seleccione Acciones | Agregar comentario, introduzca un comentario y, a continuación, haga clic en Aceptar. • Para enviar los incidentes en un correo electrónico, seleccione Acciones | Enviar por correo electrónico los eventos seleccionados, introduzca la información y, a continuación, haga clic en Aceptar. Puede seleccionar una plantilla o crear una introduciendo la información y haciendo clic en Guardar. • Para exportar los incidentes, seleccione Acciones | Exportar eventos seleccionados, introduzca la información y, a continuación, haga clic en Aceptar. • Para liberar la redacción de los incidentes, seleccione Acciones | Liberar redacción, introduzca un nombre de usuario y contraseña y, a continuación, haga clic en Aceptar. Debe tener permiso de redacción de datos para eliminar la redacción. • Para cambiar las propiedades, seleccione Acciones | Definir propiedades, cambie las opciones y, a continuación, haga clic en Aceptar. Véase también Enviar por correo electrónico los eventos seleccionados en la página 220 Enviar por correo electrónico los eventos seleccionados Las siguientes tablas proporcionan algunos detalles sobre las opciones de correo electrónico y exportación de eventos seleccionados. Tabla 10-1 220 Enviar por correo electrónico los eventos seleccionados Parámetro Valor Número máximo de eventos que enviar por correo 100 Tamaño máximo de cada evento Sin límite Tamaño máximo del archivo comprimido (ZIP) 20 MB De Limitado a 100 caracteres Para, CC Limitado a 500 caracteres Asunto Limitado a 150 caracteres Cuerpo Limitado a 1000 caracteres McAfee Data Loss Prevention 10.0.100 Guía del producto 10 Incidentes y eventos operativos Gestión de incidentes Tabla 10-2 Exportar eventos seleccionados Parámetro Valor Número máximo de eventos que exportar 1000 Tamaño máximo de cada evento Sin límite Tamaño máximo del archivo de exportación comprimido (ZIP) Sin límite Administrar etiquetas Una etiqueta es un atributo personalizado que se utiliza para identificar los incidentes que comparten rasgos similares. Puede asignar varias etiquetas a un incidente y puede reutilizar una etiqueta para varios incidentes. Por ejemplo: Tiene incidentes que se relacionan con varios proyectos que su empresa está desarrollando. Puede crear etiquetas con el nombre de cada proyecto y asignarlas a los incidentes correspondientes. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Administrador de incidentes de DLP. 2 En la lista desplegable Presente, seleccione la opción para su producto. 3 Seleccione las casillas de verificación de uno o varios incidentes. Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página. 4 Lleve a cabo una de estas tareas. • • • Para agregar etiquetas: 1 Seleccione Acciones | Etiquetas | Adjuntar. 2 Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar. 3 Seleccione una o varias etiquetas. 4 Haga clic en Aceptar. Para eliminar etiquetas de un incidente: 1 Seleccione Acciones | Etiquetas | Separar. 2 Seleccione las etiquetas que desea eliminar del incidente. 3 Haga clic en Aceptar. Para eliminar etiquetas: 1 Seleccione Acciones | Etiquetas | Eliminar etiquetas. 2 Seleccione las etiquetas que eliminar. 3 Haga clic en Aceptar. McAfee Data Loss Prevention 10.0.100 Guía del producto 221 10 Incidentes y eventos operativos Trabajo en casos Trabajo en casos Los casos permiten a los administradores colaborar para llegar a la solución de incidentes relacionados. En muchos casos, un único incidente no es un evento aislado. Debe ir al Administrador de incidentes de DLP para consultar otros que tengan propiedades comunes o que se relacionen entre sí. Puede asignar estos incidentes relacionados a un caso. Diversos administradores pueden supervisar y gestionar un caso en función de sus roles dentro de la organización. McAfee DLP Endpoint Situación: Se percata de que un usuario concreto a menudo genera varios incidentes al finalizar el horario laboral. Esta situación podría indicar que el usuario está involucrado en actividades sospechosas o que su sistema se ha puesto en peligro. Asigne estos incidentes a un caso para realizar un seguimiento de cuándo y con qué frecuencia se producen tales infracciones. McAfee DLP Discover Situación: Los incidentes generados a partir de un análisis de corrección indican que se han añadido recientemente numerosos archivos confidenciales a un repositorio con acceso público. Otro análisis de corrección indica que dichos archivos también se han añadido a un repositorio público distinto. En función de cuál sea la naturaleza de tales infracciones, tendrá que informar al respecto a los equipos de RR. HH. o de asuntos legales. También puede permitir a los miembros de estos equipos que trabajen en el caso, por ejemplo, añadiendo comentarios, cambiando la prioridad o informando a las partes interesadas más relevantes. Gestión de casos Cree casos y realice labores de mantenimiento para solucionar incidentes. Procedimientos • Creación de casos en la página 222 Cree un caso para agrupar y examinar los incidentes relacionados. • Visualización de información del caso en la página 223 Puede ver los registros de auditoría, los comentarios de los usuarios y los incidentes asignados a un caso. • Asignación de incidentes a un caso en la página 223 Agregue incidentes relacionados a un caso nuevo o a uno existente. • Transferencia o eliminación de incidentes de un caso en la página 224 Si un incidente deja de ser pertinente en un caso, puede eliminarlo o moverlo a otro distinto. • Actualización de casos en la página 224 Información sobre la actualización de los casos, como el cambio de propietario, el envío de notificaciones o la adición de comentarios. • Adición o eliminación de etiquetas de un caso en la página 225 Sírvase de las etiquetas para distinguir los casos por un atributo personalizado. • Eliminación de casos en la página 226 Elimine los casos que ya no necesite. Creación de casos Cree un caso para agrupar y examinar los incidentes relacionados. 222 McAfee Data Loss Prevention 10.0.100 Guía del producto Incidentes y eventos operativos Gestión de casos 10 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP. 2 Seleccione Acciones | Nuevo. 3 Introduzca un nombre y configure las opciones. 4 Haga clic en Aceptar. Visualización de información del caso Puede ver los registros de auditoría, los comentarios de los usuarios y los incidentes asignados a un caso. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP. 2 Haga clic en un ID de caso. 3 Realice una de estas tareas: 4 • Para ver los incidentes asignados al caso, haga clic en la ficha Incidentes. • Para ver los comentarios de los usuarios, haga clic en la ficha Comentarios. • Para ver los registros de auditoría, haga clic en la ficha Registro de auditoría. Haga clic en Aceptar. Asignación de incidentes a un caso Agregue incidentes relacionados a un caso nuevo o a uno existente. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP. 2 En la lista desplegable Presente, seleccione un tipo de incidente. Para Datos en reposo (red) haga clic en el vínculo Analizar para definir el análisis si es necesario. 3 Seleccione las casillas de verificación de uno o varios incidentes. Utilice las opciones como Filtro o Agrupar por para ver los incidentes relacionados. Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página. McAfee Data Loss Prevention 10.0.100 Guía del producto 223 10 Incidentes y eventos operativos Gestión de casos 4 5 Asigne los incidentes a un caso. • Para agregarlos a un caso nuevo, seleccione Acciones | Administración de casos | Agregar a un nuevo caso, introduzca un nombre y configure las opciones. • Para agregarlos a un caso existente, seleccione Acciones | Administración de casos | Agregar a un caso existente, filtre por el nombre o el ID del caso, y seleccione dicho caso. Haga clic en Aceptar. Transferencia o eliminación de incidentes de un caso Si un incidente deja de ser pertinente en un caso, puede eliminarlo o moverlo a otro distinto. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP. 2 Haga clic en un ID de caso. 3 Realice una de estas tareas: • • 4 Para mover un incidente de un caso a otro: 1 haga clic en la ficha Incidentes y seleccione los incidentes; 2 seleccione Acciones | Mover y, a continuación, seleccione si desea moverlo a un caso nuevo o a uno existente; y 3 seleccione un caso existente o configure las opciones de uno nuevo. A continuación, haga clic en Aceptar. Si desea eliminar del caso un incidente: 1 haga clic en la ficha Incidentes y seleccione los incidentes; 2 seleccione Acciones | Eliminar y, a continuación, haga clic en Sí. Haga clic en Aceptar. También puede mover o eliminar un incidente de la ficha Incidentes haciendo clic en Mover o Eliminar en la columna Acciones. Actualización de casos Información sobre la actualización de los casos, como el cambio de propietario, el envío de notificaciones o la adición de comentarios. Las notificaciones se envían al creador y al responsable del caso, así como a los usuarios seleccionados, cuando: 224 • se agrega o se modifica un correo electrónico; • se modifica la prioridad; • se agregan incidentes al caso o se eliminan; • se modifica la resolución. McAfee Data Loss Prevention 10.0.100 Guía del producto Incidentes y eventos operativos Gestión de casos • se modifica el nombre del caso; • se agregan comentarios. • se modifican los detalles del responsable; • Se agregan datos adjuntos. 10 Puede desactivar las notificaciones por correo electrónico automáticas al creador y al responsable del caso en Menú | Configuración | Configuración del servidor | Data Loss Prevention. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP. 2 Haga clic en un ID de caso. 3 Realice una de estas tareas: • Para actualizar el nombre del caso, en el campo Título, introduzca uno nuevo y haga clic en Guardar. • Para actualizar el responsable, realice lo siguiente: 1 Haga clic en la opción ... situada junto al campo Propietario. 2 Seleccione el grupo o el usuario. 3 Haga clic en Aceptar. 4 Haga clic en Guardar. • Para actualizar las opciones Prioridad, Estado y Solución, sírvase de las listas desplegables para seleccionar elementos y haga clic en Guardar. • Para enviar notificaciones de correo electrónico, siga estos pasos: 1 Haga clic en la opción ... situada junto al campo Enviar notificaciones a. 2 Seleccione los usuarios a los que enviar notificaciones. Si no se muestra ningún contacto, especifique un servidor de correo electrónico para McAfee ePO y agregue las direcciones de correo electrónico de los usuarios. Configure el servidor de correo electrónico en Menú | Configuración | Configuración del servidor | Servidor de correo electrónico. Configure los usuarios en Menú | Administración de usuarios | Usuarios. 3 • 4 Haga clic en Guardar. Para agregar comentarios al caso, realice lo siguiente: 1 Haga clic en la ficha Comentarios. 2 Introduzca el comentario en el campo de texto. 3 Haga clic en Agregar comentario. Haga clic en Aceptar. Adición o eliminación de etiquetas de un caso Sírvase de las etiquetas para distinguir los casos por un atributo personalizado. McAfee Data Loss Prevention 10.0.100 Guía del producto 225 10 Incidentes y eventos operativos Gestión de casos Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP. 2 Seleccione las casillas de verificación de uno o varios casos. Para actualizar todos los incidentes mostrados con el filtro actual, haga clic en Seleccionar todo en esta página. 3 Realice una de estas acciones: • • Para añadir etiquetas a los casos seleccionados: 1 Seleccione Acciones | Administrar etiquetas | Adjuntar. 2 Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar. 3 Seleccione una o varias etiquetas. 4 Haga clic en Aceptar. Para eliminar etiquetas de los casos seleccionados: 1 Seleccione Acciones | Administrar etiquetas | Separar. 2 Seleccione las etiquetas que desea eliminar. 3 Haga clic en Aceptar. Eliminación de casos Elimine los casos que ya no necesite. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP. 2 Seleccione las casillas de verificación de uno o varios casos. Para eliminar todos los casos mostrados con el filtro actual, haga clic en Seleccionar todo en esta página. 3 226 Seleccione Acciones | Eliminar y, a continuación, haga clic en Sí. McAfee Data Loss Prevention 10.0.100 Guía del producto 11 Recopilación y administración de datos La supervisión del sistema incluye la recopilación y la revisión de pruebas y eventos, así como la generación de informes. Los datos de incidentes y eventos de las tablas de DLP de la base de datos de McAfee ePO se pueden ver en las páginas Administrador de incidentes de DLP y Operaciones de DLP, o se pueden intercalar en los informes y paneles. La revisión de los eventos y las pruebas registradas permite a los administradores determinar si las reglas son demasiado restrictivas, lo que provoca retrasos innecesarios en el trabajo, o si son poco estrictas, lo que facilita la fuga de datos. Contenido Edición de tareas servidor Supervisar resultados de la tarea Creación de informes Edición de tareas servidor McAfee DLP utiliza las Tareas servidor de McAfee ePO para ejecutar tareas para McAfee DLP Discover, McAfee DLP Prevent, Administrador de incidentes de DLP, Operaciones de DLP y Administración de casos de DLP. Todas las tareas de incidentes y eventos operativos se predefinen en la lista de tareas servidor. Las únicas opciones disponibles son activar o desactivar las tareas, o bien cambiar la planificación. Las tareas servidor de McAfee DLP disponibles para incidentes y eventos son: • Conversión de eventos de DLP 9.4 y versiones superiores • Migración de incidentes de DLP de la versión 9.3.x a la 9.4.1 y superiores • Migración de eventos operativos de DLP de la versión 9.3.x a la 9.4.1 y superiores • Conversión de directivas de DLP • Purga del historial de eventos e incidentes operativos de DLP • Purga de eventos e incidentes operativos de DLP • Envío de correo electrónico para eventos e incidentes operativos de DLP • Definición de revisor para eventos e incidentes operativos de DLP Las tareas servidor de McAfee DLP para McAfee DLP Discover y McAfee DLP Prevent son: • Detectar servidores de descubrimiento • LdapSync: sincronizar los usuarios de LDAP McAfee Data Loss Prevention 10.0.100 Guía del producto 227 11 Recopilación y administración de datos Edición de tareas servidor Además, la tarea Acumular datos (servidor de ePO local) puede utilizarse para acumular incidentes, eventos operativos o datos de descubrimiento de endpoints de McAfee DLP desde los servidores de McAfee ePO seleccionados para generar un único informe. Si está ampliando y tiene McAfee DLP Endpoint instalado en McAfee ePO, también verá las siguientes tareas: • Ejecutor de tareas de incidentes de DLP • Tarea de informe de propiedades DLP MA • Tarea de inserción de directiva de DLP Para obtener más información sobre estas tareas, vea la Guía de producto 9.3 de McAfee Data Loss Prevention Endpoint. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Automatización | Tareas servidor. 2 Seleccione la tarea que desea editar. Práctica recomendada: Introduzca DLP en el campo Búsqueda rápida para filtrar la lista. 3 Seleccione Acciones | Editar y, a continuación, haga clic en Planificación. 4 Edite la planificación según sea necesario y, a continuación, haga clic en Guardar. Procedimientos • Creación de una tarea de purga de eventos en la página 228 Crea tareas de purga de incidentes y eventos para eliminar de la base de datos la información que ya no es necesaria. • Creación de una tarea Notificación de correo automática en la página 229 Puede establecer notificaciones por correo electrónico automáticas de incidentes y eventos operativos para los administradores, gestores o usuarios. • Creación una tarea de definición de revisor en la página 230 Puede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir la carga de trabajo en organizaciones grandes. Véase también Creación una tarea de definición de revisor en la página 230 Creación de una tarea Notificación de correo automática en la página 229 Creación de una tarea de purga de eventos en la página 228 Creación de una tarea de purga de eventos Crea tareas de purga de incidentes y eventos para eliminar de la base de datos la información que ya no es necesaria. Se pueden crear tareas de purga para la Lista de incidentes, los incidentes de datos en uso en la lista Historial o la Lista de eventos operativos. 228 McAfee Data Loss Prevention 10.0.100 Guía del producto Recopilación y administración de datos Edición de tareas servidor 11 Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección de datos | Operaciones de DLP. 2 Haga clic en Tareas de incidentes o en la ficha Tareas de eventos operativos. 3 Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Purgar eventos en el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla. La opción Datos en uso/movimiento (archivo) permite purgar eventos del historial. 4 Introduzca un nombre y una descripción opcional y, a continuación, haga clic en Siguiente. Las reglas se activan de forma predeterminada. Puede cambiar este ajuste para retrasar la ejecución de la regla. 5 Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación y Valor. Cuando haya acabado de definir los criterios, haga clic en Guardar. La tarea se ejecuta a diario en el caso de los datos actuales y cada viernes a las 22:00 en el de los datos históricos. Véase también Edición de tareas servidor en la página 227 Creación de una tarea Notificación de correo automática Puede establecer notificaciones por correo electrónico automáticas de incidentes y eventos operativos para los administradores, gestores o usuarios. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección de datos | Operaciones de DLP. 2 Haga clic en las fichas Tareas de incidentes o Tareas de eventos operativos. 3 Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Notificación de correo automática en el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla. 4 Introduzca un nombre y, si lo desea, una descripción. Las reglas se activan de forma predeterminada. Puede cambiar este ajuste para retrasar la ejecución de la regla. 5 6 Seleccione los eventos que desea procesar. • Procese todos los incidentes/eventos (del tipo de incidente seleccionado). • Procese los incidentes/eventos desde la última notificación de correo ejecutada. Seleccione Destinatarios. Este campo es obligatorio. Debe seleccionar al menos un destinatario. McAfee Data Loss Prevention 10.0.100 Guía del producto 229 11 Recopilación y administración de datos Edición de tareas servidor 7 Introduzca un asunto para el correo electrónico. Este campo es obligatorio. Puede introducir variables de la lista desplegable según sea necesario. 8 Introduzca el texto del cuerpo del correo electrónico. Puede introducir variables de la lista desplegable según sea necesario. 9 (Opcional) Seleccione la casilla de verificación para adjuntar información de pruebas al correo electrónico. Haga clic en Siguiente. 10 Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación y Valor. Cuando haya acabado de definir los criterios, haga clic en Guardar. La tarea se ejecuta cada hora. Véase también Edición de tareas servidor en la página 227 Creación una tarea de definición de revisor Puede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir la carga de trabajo en organizaciones grandes. Antes de empezar En McAfee ePO Administración de usuarios | Conjuntos de permisos, cree un revisor o designe un revisor de grupo, con permisos Definir revisor para Administrador de incidentes de DLP y Operaciones de DLP. La tarea Definir revisor asigna un revisor a los incidentes o eventos según los criterios de la regla. La tarea solo se ejecuta en los incidentes donde no se ha asignado un revisor. No puede utilizarla para reasignar incidentes a otro revisor. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección de datos | Operaciones de DLP. 2 Haga clic en Tareas de incidentes o en la ficha Tareas de eventos operativos. 3 Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Definir revisor en el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla. 4 Introduzca un nombre y, si lo desea, una descripción. Seleccione un revisor o un grupo y, a continuación, haga clic en Siguiente. Las reglas se activan de forma predeterminada. Puede cambiar este ajuste para retrasar la ejecución de la regla. 5 Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación y Valor. Cuando haya acabado de definir los criterios, haga clic en Guardar. Práctica recomendada: Si hay varias reglas de Definir revisor, puede volver a ordenarlas en la lista. 230 McAfee Data Loss Prevention 10.0.100 Guía del producto Recopilación y administración de datos Supervisar resultados de la tarea 11 La tarea se ejecuta cada hora. Tras definir un revisor, no se le puede omitir a través de la tarea Definir revisor. Véase también Edición de tareas servidor en la página 227 Supervisar resultados de la tarea Supervise los resultados de las tareas de incidentes y de eventos operativos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Automatización | Registro de tareas servidor. 2 Localice las tareas de McAfee DLP completadas. Práctica recomendada: Introduzca DLP en el campo Búsqueda rápida o defina un filtro personalizado. 3 Haga clic en el nombre de la tarea. Aparecen los detalles de la tarea, incluidos todos los errores si la tarea falló. Creación de informes McAfee DLP utiliza funciones de generación de informes de McAfee ePO. Hay disponibles varios informes preprogramados, así como la opción de diseñar informes personalizados. Consulte el capítulo Consultas de la base de datos de la Guía del producto de McAfee ePolicy Orchestrator para obtener más información. Tipos de informes Utilice las funciones de generación de informes de McAfee ePO para supervisar el rendimiento de McAfee DLP Endpoint. Se admiten cuatro tipos de informes en los paneles de McAfee ePO: • Resumen de incidentes de DLP • Resumen de descubrimiento de DLP Endpoint • Resumen de directivas de DLP • Resumen de operaciones de DLP Los paneles proporcionan un total de 22 informes, basándose en las 28 consultas encontradas en Menú | Informes | Consultas e informes | Grupos de McAfee | Data Loss Prevention en la consola de McAfee ePO. McAfee Data Loss Prevention 10.0.100 Guía del producto 231 11 Recopilación y administración de datos Creación de informes Opciones de informes El software McAfee DLP utiliza informes de McAfee ePO para revisar eventos. Asimismo, puede ver información sobre las propiedades del producto en el panel de McAfee ePO. Informes de McAfee ePO El software McAfee DLP Endpoint integra la generación de informes con el servicio de generación de informes de McAfee ePO. Para obtener información sobre el uso del servicio de generación de informes de McAfee ePO, consulte la Guía del producto de McAfee ePolicy Orchestrator. Se admiten las consultas y los informes de datos acumulados de McAfee ePO, que resumen los datos procedentes de varias bases de datos de McAfee ePO. Se admiten las notificaciones de McAfee ePO. Consulte el capítulo Envío de notificaciones de la Guía del producto de McAfee ePolicy Orchestrator para obtener más información. Paneles de ePO Puede ver información sobre las propiedades del producto de McAfee DLP en Menú | Paneles de McAfee ePO. Hay cuatro paneles predefinidos: • Resumen de incidentes de DLP • Resumen de descubrimiento de DLP Endpoint • Resumen de directivas de DLP • Resumen de operaciones de DLP Los paneles se pueden editar y personalizar. Asimismo, se pueden crear nuevos monitores. Consulte la documentación de McAfee ePO para conocer las instrucciones. Las consultas predefinidas resumidas en los paneles están disponibles al seleccionar Menú | Consultas e informes. Se enumeran en Grupos de McAfee. Paneles predefinidos La siguiente tabla describe los paneles predefinidos de McAfee DLP. Tabla 11-1 Paneles de DLP predefinidos Categoría DLP: Resumen de incidentes Opción Descripción Número de incidentes al día Estos gráficos muestran el número de incidentes totales y proporcionan diferentes desgloses con el fin de ayudar a analizar problemas específicos. Número de incidentes por gravedad Número de incidentes por tipo Número de incidentes por conjunto de reglas DLP: Resumen de operaciones 232 Número de eventos operativos al día Muestra todos los eventos administrativos. Versión del agente Muestra la distribución de los equipos Endpoint en la empresa. Se utiliza para supervisar el progreso del despliegue de agentes. Distribución de productos DLP en equipos endpoint Muestra un gráfico circular que representa el número de equipos endpoint de Windows y Mac, así como el número de equipos endpoint donde no hay instalado ningún cliente. McAfee Data Loss Prevention 10.0.100 Guía del producto Recopilación y administración de datos Creación de informes 11 Tabla 11-1 Paneles de DLP predefinidos (continuación) Categoría Opción Descripción Descubrimiento de DLP (endpoint): Muestra un gráfico circular que muestra el número Estado de análisis del sistema de de propiedades de análisis de descubrimiento del archivos local sistema de archivos local y sus estados (completada, en funcionamiento, sin definir). Estado del agente Muestra todos los agentes y su estado. Modo de funcionamiento del agente Muestra un gráfico circular de agentes por modos de funcionamiento de DLP. Los modos de funcionamiento son: • Modo de solo control de dispositivos • Modo de protección de contenido completo y control de dispositivos • Modo de protección de almacenamiento extraíble basada en contenido y control de dispositivos • Desconocido DLP: Resumen de directivas DLP: Resumen de descubrimiento de endpoints Descubrimiento de DLP (endpoint): Estado de análisis de almacenamiento de correo electrónico local Muestra un gráfico circular que muestra el número de propiedades de análisis de descubrimiento del almacenamiento de correo electrónico local y sus estados (completada, en funcionamiento, sin definir). Distribución de directivas Muestra la distribución de directivas de DLP en la empresa. Se utiliza para supervisar el progreso al desplegar una nueva directiva. Conjuntos de reglas implementados por equipos endpoint Muestra un gráfico de barras que muestra el nombre del conjunto de reglas y el número de directivas aplicadas. Usuarios omitidos Muestra el nombre del sistema o del usuario y el número de propiedades de la sesión de usuario. Clases de dispositivos no definidas (para dispositivos Windows) Muestra las clases de dispositivo no definidas para dispositivos Windows. Usuarios con privilegios Muestra el nombre del sistema o del usuario y el número de propiedades de la sesión de usuario. Distribución de revisión de directivas Similar a la distribución de directivas, pero muestra revisiones, es decir, actualizaciones de una versión existente. Descubrimiento de DLP Muestra un gráfico circular con el estado de (Endpoint): Estado de análisis más ejecución de todos los análisis del sistema de reciente del sistema de archivos archivos local. local Descubrimiento de DLP (Endpoint): Archivos confidenciales más recientes del análisis del sistema de archivos Muestra un gráfico de barras con el intervalo de archivos confidenciales encontrados en los archivos del sistema. Descubrimiento de DLP Muestra un gráfico de barras con el intervalo de (Endpoint): Errores más recientes errores encontrados en los archivos del sistema. de análisis del sistema de archivos local McAfee Data Loss Prevention 10.0.100 Guía del producto 233 11 Recopilación y administración de datos Creación de informes Tabla 11-1 Paneles de DLP predefinidos (continuación) Categoría Opción Descripción Descubrimiento de DLP (Endpoint): Clasificaciones más recientes de análisis del sistema de archivos local Muestra un gráfico de barras con las clasificaciones aplicadas a los archivos del sistema. Descubrimiento de DLP Muestra un gráfico circular con el estado de (Endpoint): Estado más reciente de ejecución de todas las carpetas de correo los análisis de correo electrónico electrónico local. local Descubrimiento de DLP (Endpoint): Correos electrónicos confidenciales más recientes del análisis del correo electrónico local Muestra un gráfico de barras con el intervalo de correos electrónicos de carácter confidencial encontrados en las carpetas de correo electrónico local. Descubrimiento de DLP Muestra un gráfico de barras con el intervalo de (Endpoint): Últimos errores de errores encontrados en las carpetas de correo análisis de correo electrónico local electrónico local. Descubrimiento de DLP (Endpoint): Clasificaciones más recientes del análisis de correo electrónico local Muestra un gráfico de barras con las clasificaciones aplicadas a los correos electrónicos locales. Creación de una tarea servidor de acumulación de datos Las tareas de acumulación de McAfee ePO extraen datos de varios servidores para generar un único informe. Puede crear informes de acumulación para los eventos e incidentes operativos de McAfee DLP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 En McAfee ePO, seleccione Menú | Automatización | Tareas servidor. 2 Haga clic en Nueva tarea. 3 En el Generador de tareas servidor, introduzca un nombre y una nota opcional; a continuación, haga clic en Siguiente. 4 En la lista desplegable Acciones, seleccione Acumular datos. Aparece el formulario de datos acumulados. 234 5 (Opcional) Seleccione servidores en el campo Acumular los datos de la tabla desde. 6 En la lista desplegable Tipos de datos, seleccione Incidentes de DLP, Eventos operativos de DLP o McAfee DLP Endpoint Discovery, según sea necesario. 7 (Opcional) Configure las opciones Purgar, Filtro o Método de acumulación. Haga clic en Siguiente. 8 Introduzca el tipo de planificación, la fecha de inicio, la fecha de finalización y la hora de planificación. Haga clic en Siguiente. 9 Revise la información de Resumen y haga clic en Guardar. McAfee Data Loss Prevention 10.0.100 Guía del producto 12 Registro y supervisión en McAfee DLP Prevent McAfee DLP Prevent incluye opciones de registro y supervisión que proporcionan información sobre el mantenimiento del sistema y estadísticas del tráfico web y de correo electrónico, y pueden ayudarle a resolver problemas. Contenido Generación de informes de eventos Supervisión del estado y el mantenimiento del sistema Generación de informes de eventos En McAfee ePO hay disponibles varios eventos de McAfee DLP Prevent desde el registro de Eventos de clientes y el registro de Operaciones de DLP. Puede obtener información adicional desde el syslog local y desde un servidor de registro remoto, en caso de tener uno activado. El registro de Eventos de clientes también muestra los eventos de Administración de appliances. Para obtener más información sobre estos eventos, vea la Ayuda en línea para la Administración de appliances. Eventos de McAfee DLP Prevent McAfee DLP Prevent envía eventos al registro de Eventos de clientes o al registro de Operaciones de DLP. Eventos de registro de Eventos de cliente Práctica recomendada: Asegúrese de purgar el registro de Eventos de clientes de forma regular. ID de evento Texto del evento de UI Descripción 15001 Error de consulta LDAP Error en la consulta. Se indican los motivos en las descripciones de eventos 15007 Sincronización del directorio LDAP Estado de la sincronización del directorio 210003 El uso de los recursos ha alcanzado el nivel crítico McAfee DLP Prevent no puede analizar un mensaje porque el directorio ha alcanzado un nivel crítico McAfee Data Loss Prevention 10.0.100 Guía del producto 235 12 Registro y supervisión en McAfee DLP Prevent Generación de informes de eventos ID de evento Texto del evento de UI Descripción 220000 Inicio de sesión de usuario Un usuario ha iniciado sesión en McAfee DLP Prevent: • 354: Se ha iniciado sesión en la GUI correctamente • 355: No se ha podido iniciar sesión en la GUI • 424: Se ha iniciado sesión en SSH correctamente • 425: No se ha podido iniciar sesión en SSH • 426: Se ha iniciado sesión en la consola del appliance correctamente • 427: No se ha podido iniciar sesión en la consola del appliance • 430: Se ha cambiado el usuario correctamente • 431: No se ha podido cambiar el usuario 220001 Cierre de sesión de usuario Un usuario ha cerrado sesión en McAfee DLP Prevent: • 356: El usuario de la GUI ha cerrado sesión • 357: La sesión ha caducado • 428: El usuario de SSH ha cerrado sesión • 429: El usuario de la consola del appliance ha cerrado sesión • 432: El usuario ha cerrado sesión 220900 Instalación del certificado • El certificado se ha instalado correctamente • Error en la instalación del certificado: <motivo> No puede instalarse un certificado por uno de los motivos siguientes: • Frase de contraseña incorrecta • Firma incorrecta • Falta la clave privada • Certificado de CA incorrecto • Error de cadena • Cadena demasiado larga • Certificado incorrecto • Objetivo incorrecto • Certificado caducado • Revocado • Ya no es válido • CRL incorrecto o inexistente El motivo también se notifica en el syslog. Si el motivo no coincide con ninguno de los disponibles, se devuelve el evento de error de instalación de certificado por defecto. Eventos de registro de Operaciones de DLP 236 ID de evento Texto del evento de UI Descripción 19100 Cambio de directiva Administración de appliances ha insertado una directiva al appliance correctamente 19500 Error al insertar directiva Administración de appliances no ha podido insertar una directiva al appliance McAfee Data Loss Prevention 10.0.100 Guía del producto Registro y supervisión en McAfee DLP Prevent Generación de informes de eventos ID de evento Texto del evento de UI Descripción 19105 Error de replicación de pruebas • No se ha podido cifrar un archivo de pruebas Error al analizar • Posible ataque de denegación de servicio 19501 12 • No se ha podido copiar un archivo de pruebas al servidor de pruebas • No se ha podido descomponer el contenido para analizarlo 19502 DLP Prevent registrado El appliance se ha registrado correctamente con McAfee ePO Uso del syslog con McAfee DLP Prevent McAfee DLP Prevent envía información de registro de SMTP y hardware al syslog local, y uno o más servidores de registro remoto si los tiene activados. Se envían mensajes informativos con detalles sobre eventos, como, por ejemplo, el estado de la instalación de certificados, a /var/log/messages. Utilice la configuración de la categoría General de la directiva Ajustes generales del appliance para configurar los servidores de registro remotos. McAfee DLP Prevent envía información al syslog en el formato de evento común (CEF). CEF es un estándar de administración de registros abierto que mejora la interoperabilidad de la información sobre seguridad desde distintos dispositivos y aplicaciones de seguridad y red. Para simplificar la integración, el formato de mensaje del syslog se utiliza como mecanismo de transporte. Esto aplica un prefijo común a cada mensaje que contiene la fecha y el nombre de host. Para obtener más información sobre CEF y los campos de datos de eventos de McAfee DLP Prevent, vea la Guía del formato de evento común de McAfee DLP Prevent, disponible en la base de conocimiento de McAfee. Práctica recomendada: Seleccione el protocolo TCP para enviar los datos de eventos de McAfee DLP Prevent a un servidor de registro remoto. UDP tiene un límite de 1024 bytes por paquete, por lo que los eventos que superan esta cantidad quedan truncados. Las entradas de syslog contienen información sobre el propio dispositivo (el proveedor, el nombre de producto y la versión), la gravedad del evento y la fecha en la que el evento se ha producido. La tabla proporciona información sobre algunos de los campos más comunes de McAfee DLP Prevent que aparecen en las entradas del syslog. Los eventos de mensaje SMTP pueden incluir el remitente y el destinatario, el asunto y las direcciones IP de origen y destino. Cada intento de enviar un mensaje genera al menos una entrada en el registro. Si el mensaje incluye contenido que infringe una directiva de prevención de fuga de datos, se agrega otra entrada al registro. En caso de introducirse dos entradas al registro, ambas contienen el número de McAfeeDLPOriginalMessageID correspondiente. Tabla 12-1 Definiciones de entrada de registro de syslog Campo Definición act Acción de McAfee DLP tomada a raíz del evento app Nombre del proceso que generó el evento msg Mensaje descriptivo del evento, por ejemplo, El disco RAID está en estado de reconstrucción dvc Host en el que ha ocurrido el evento dst Dirección IP de destino si la conexión está disponible dhost Nombre de host de destino si la conexión está disponible McAfee Data Loss Prevention 10.0.100 Guía del producto 237 12 Registro y supervisión en McAfee DLP Prevent Generación de informes de eventos Tabla 12-1 Definiciones de entrada de registro de syslog (continuación) Campo Definición src Dirección IP de origen del host que realiza la conexión shost Nombre de host de origen del host que realiza la conexión suser Remitente del correo electrónico duser Lista de las direcciones de correo electrónico de los destinatarios sourceServiceName Nombre de la directiva activa filePath Nombre del archivo en el que se ha producido la detección Campo ID único asignado a cada mensaje de correo electrónico rt Hora en la que se produjo el evento en milisegundos desde el Epoch flexNumber1 ID asignado al motivo del evento McAfeeDLPOriginalSubject Línea de asunto original del mensaje McAfeeDLPOriginalMessageId Número de ID original asignado al mensaje McAfeeDLPProduct Nombre del producto de McAfee DLP que detectó el evento McAfeeDLPHardwareComponent Nombre del appliance de hardware de McAfee DLP que detectó el evento McAfeeEvidenceCopyError Ha habido un problema al copiar la prueba McAfeeDLPClassificationText Información sobre las clasificaciones de McAfee DLP campos cs Las entradas cs del syslog se comportan según el valor del campo cs5: Valor Definición cs1 Si cs5 es 'DL' o 'DPA': el archivo que activó la regla de DLP Si cs5 es 'AR': la regla de bloqueo de retransmisión que activó el evento cs2 Si cs5 es 'DP' o 'DPA': las categorías DLP que se activaron cs3 Si cs5 es 'DP': las categorías DLP que se activaron cs4 Datos adjuntos del correo electrónico (si están disponibles) cs5 Para un evento de detección, el analizador que activó el evento: 'DL' - Data Loss Prevention cs6 Asunto del correo electrónico cs1Label Si cs5 es 'DP' o 'DPA': 'dlpfile' Si cs5 es 'AR': 'antirelay-rule' cs2Label Si cs5 es 'DP' o 'DPA': 'dlp-rules' cs3Label Si cs5 es 'DP': dlpclassification' cs4Label email-attachments cs5Label master-scan-type cs6Label email-subject 238 McAfee Data Loss Prevention 10.0.100 Guía del producto Registro y supervisión en McAfee DLP Prevent Supervisión del estado y el mantenimiento del sistema 12 Supervisión del estado y el mantenimiento del sistema Utilice el panel Administración de appliances de McAfee ePO para gestionar sus appliances, ver el estado de mantenimiento del sistema y obtener información detallada sobre las alertas. Panel de Administración de appliances El panel de Administración de appliances combina la vista de árbol de los Appliances, las tarjetas de Mantenimiento del sistema, las Alertas y los paneles de Detalles. El panel muestra la siguiente información para todos los appliances administrados. • Una lista de los appliances de McAfee DLP Prevent • Indicadores que muestran si un appliance necesita atención • Información detallada sobre cualquier problema detectado La barra de información incluye el nombre del appliance, el número de alertas notificadas actualmente y otra información específica del appliance sobre el que se ha informado. Tarjetas de mantenimiento del sistema Las tarjetas de mantenimiento del sistema muestran el estado, las alertas y las notificaciones que le ayudan a administrar todos los appliances de McAfee virtuales y físicos que tiene en su red. Las tarjetas de mantenimiento del sistema de los appliances de McAfee DLP Prevent muestran la siguiente información. Panel Información Estado del • Pruebas en espera: número de archivos que se encuentra a la espera de ser copiados en el sistema almacén de pruebas. El tamaño de la cola se actualiza en tiempo real. • Mensajes de correo electrónico: número de mensajes que han sido entregados, rechazados permanente o temporalmente, o que no se han podido analizar. Los contadores muestran datos de los 60 segundos anteriores. • Solicitudes web: número de solicitudes web recibidas y número de solicitudes web que no se han podido analizar. Los contadores muestran datos de los 60 segundos anteriores. • Uso de la CPU: uso total de la CPU. • Memoria: índice de intercambio de memoria. • Disco: porcentaje de uso del disco. • Red: interfaces de red del appliance que muestran información sobre los datos recibidos y transmitidos. Los contadores muestran datos de los 60 segundos anteriores. Alertas Muestra errores o advertencias relacionados con: • Estos del mantenimiento del sistema • Tamaño de cola de pruebas • Implementación de directivas • Comunicación entre McAfee ePO y McAfee DLP Prevent Puede obtener más información sobre una alerta en el panel Detalles. McAfee Data Loss Prevention 10.0.100 Guía del producto 239 12 Registro y supervisión en McAfee DLP Prevent Supervisión del estado y el mantenimiento del sistema Ver el estado de un appliance Puede averiguar si un appliance está funcionando correctamente o necesita atención viendo la información de Administración de appliances. Procedimiento 1 Inicie sesión en McAfee ePO. 2 En el menú, seleccione Administración de appliances de la sección Sistemas. 3 Desde la vista de árbol Appliances, expanda la lista de appliances hasta que encuentre el appliance que desea ver. La información sobre los estados y alertas está disponible en la Ayuda en línea para la Administración de appliances. Descargar archivos MIB y SMI Descargar los archivos MIB y SMI para ver las capturas y los contadores SNMP que están disponibles en el appliance. Para obtener más información sobre el funcionamiento del appliance con SNMP, consulte la Ayuda en línea de la Extensión de administración de appliances de McAfee. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 240 1 Vaya a https://<APPLIANCE>:10443/mibs. 2 Descargue los archivos MCAFEE-SMI.txt y MCAFEE-DLP-PREVENT-MIB.txt en el idioma en el que desee ver la información. 3 Importe los archivos MIB y SMI a su software de supervisión de red. McAfee Data Loss Prevention 10.0.100 Guía del producto Mantenimiento y resolución de problemas Utilice la herramienta de diagnóstico de McAfee DLP para solucionar problemas con McAfee DLP Endpoint para clientes Windows. Utilice la consola del appliance de McAfee DLP Prevent para acceder a las opciones de solución de problemas y mantenimiento. Capítulo 13 Capítulo 14 Diagnóstico de McAfee DLP Endpoint Mantenimiento y resolución de problemas en McAfee DLP Prevent McAfee Data Loss Prevention 10.0.100 Guía del producto 241 Mantenimiento y resolución de problemas 242 McAfee Data Loss Prevention 10.0.100 Guía del producto 13 Diagnóstico de McAfee DLP Endpoint Utilice la herramienta de diagnóstico de McAfee DLP Endpoint para solucionar problemas y supervisar el estado del sistema. Herramienta de diagnóstico La herramienta de diagnóstico está diseñada para facilitar la resolución de problemas de McAfee DLP Endpoint en equipos endpoint de Microsoft Windows. No se admitirá en los equipos Mac OS X. La herramienta de diagnóstico reúne información sobre el rendimiento del software cliente. El equipo de TI utiliza esta información para solucionar problemas y ajustar directivas. Cuando existen problemas graves, se puede utilizar para recopilar datos para que los analice el equipo de desarrollo de McAfee DLP. La herramienta se distribuye como una utilidad que se instala en equipos con problemas. Consta de siete páginas con fichas, cada una destinada a un aspecto diferente del funcionamiento del software McAfee DLP Endpoint. En todas las páginas que muestran información en tablas (todas excepto General information [Información general] y Tools [Herramientas]), puede ordenar las tablas por cualquier columna, haciendo clic en el encabezado de la columna deseada. General information (Información general) Recopila datos como, por ejemplo, si se están ejecutando los procesos y controladores del agente, así como la directiva general, el agente e información de registro. Cuando se detecta un error, se muestra información sobre este. DLPE Modules (Módulos de DLPE) Muestra la configuración del agente (como en la consola de directivas de McAfee DLP Endpoint, igual que en Configuración de los agentes | Varios). Muestra el ajuste y el estado de configuración de cada módulo, complemento y controlador. Al seleccionar un módulo, se muestran detalles que pueden ayudarle a determinar los problemas. Data Flow (Flujo de datos) Muestra el número de eventos y la memoria utilizada por el cliente de McAfee DLP Endpoint, así como información de los eventos cuando se selecciona uno específico. Tools (Herramientas) Permite llevar a cabo varias pruebas y muestra los resultados. En caso necesario, se realiza un volcado de datos para su posterior análisis. Process list (Lista de procesos) Muestra todos los procesos que se están ejecutando actualmente en el equipo. Al seleccionar un proceso, se muestran detalles y los títulos de ventana y definiciones de aplicaciones relacionados. McAfee Data Loss Prevention 10.0.100 Guía del producto 243 13 Diagnóstico de McAfee DLP Endpoint Herramienta de diagnóstico Devices (Dispositivos) Muestra todos los dispositivos Plug and Play y extraíbles actualmente conectados al equipo. Al seleccionar un dispositivo, se muestran detalles del dispositivo y las definiciones de dispositivos relacionadas. Muestra todas las reglas de control de dispositivos activos y las definiciones importantes de las definiciones de dispositivos. Active policy (Directiva activa) Muestra todas las reglas incluidas en la directiva activa y las definiciones de directivas relevantes. Al seleccionar una regla o definición, se muestran los detalles. Comprobación del estado del agente Utilice la ficha de información general para obtener una descripción general del estado del agente. La información en la ficha de información general está diseñada para confirmar las expectativas y responder a preguntas básicas. ¿Se están ejecutando los procesos y controladores del agente? ¿Qué versiones de productos están instaladas? ¿Cuáles son el modo de funcionamiento y la directiva actuales? Procesos y controladores del agente Una de las cuestiones más importantes en la solución de problemas es: "¿Funciona todo como debería?" Las secciones Procesos y controladores del agente responden a esto de un vistazo. Las casillas de verificación muestran si el proceso está activado; el punto de color muestra si se está ejecutando. Si el proceso o controlador están desactivados, el cuadro de texto proporciona información sobre cuál es el problema. La memoria máxima predeterminada es 150 MB. Un valor alto para este parámetro puede indicar problemas. Tabla 13-1 Procesos del agente Término Proceso Estado esperado Fcag Agente de McAfee DLP Endpoint (cliente) activado; en ejecución Fcags Servicio de agente McAfee DLP Endpoint activado; en ejecución Fcagte Extractor de texto de McAfee DLP Endpoint activado; en ejecución Fcagwd Vigilancia del servicio de McAfee DLP Endpoint activado; en ejecución Fcagd Agente de McAfee DLP Endpoint con volcado automático solo activado para solucionar problemas Tabla 13-2 Controladores 244 Término Proceso Estado esperado Hdlpflt activado; en ejecución Controlador de minifiltro de McAfee DLP Endpoint (implementa reglas de dispositivos de almacenamiento extraíbles) Hdlpevnt Evento de McAfee DLP Endpoint activado; en ejecución Hdlpdbk Controlador de filtro de dispositivos de McAfee DLP Endpoint (implementa reglas de dispositivos Plug and Play) se puede desactivar en la configuración Hdlpctrl Control de McAfee DLP Endpoint activado; en ejecución Hdlhook Controlador de interceptación de McAfee DLP Endpoint activado; en ejecución McAfee Data Loss Prevention 10.0.100 Guía del producto Diagnóstico de McAfee DLP Endpoint Herramienta de diagnóstico 13 Sección de información del agente Las opciones Modo de funcionamiento y Estado del agente deben coincidir. El indicador Conectividad del agente, junto con la dirección de EPO, pueden resultar útiles para solucionar problemas. Conectividad del agente tiene tres opciones: en línea, fuera de línea o con conexión por VPN. Ejecutar la herramienta de diagnóstico La herramienta de diagnóstico proporciona a los equipos de TI información detallada sobre el estado del agente. Antes de empezar ® La herramienta de diagnóstico requiere autenticación con McAfee Help Desk. Procedimiento 1 Haga doble clic en el archivo hdlpDiag.exe. Se abre una ventana de autenticación. 2 Copie el código de identificación en el cuadro de texto Código de identificación de Help Desk en la página Generar clave de omisión de cliente de DLP. Complete el resto de la información y cree un código de autorización. 3 Copie el código de autorización en el cuadro de texto Código de validación de la ventana de autenticación y haga clic en Aceptar. Se abre la herramienta de diagnóstico. Las fichas General Information (Información general), DLPE Modules (Módulos de DLPE) y Process List (Lista de procesos) disponen de un botón Refresh (Actualizar) en la esquina inferior derecha. Los cambios que se producen cuando hay una ficha abierta no actualizan la información de dichas fichas automáticamente. Haga clic en el botón Refresh (Actualizar) con frecuencia para asegurarse de que está visualizando los datos más actuales. Ajuste de directivas La herramienta de diagnóstico puede utilizarse para solucionar problemas o ajustar las directivas. Caso práctico: Uso alto de la CPU En ocasiones, los usuarios pueden verse afectados por un rendimiento lento cuando se implementa una directiva nueva. Una posible causa es el uso alto de la CPU. Para determinarlo, vaya a la ficha Process List (Lista de procesos). Si ve más eventos de lo normal para un proceso, podría ser el problema. Por ejemplo, una comprobación reciente detectó que taskmgr.exe se clasificó como Editor y contaba con el segundo mayor número total de eventos. Es muy poco probable que esta aplicación esté perdiendo datos y el cliente de McAfee DLP Endpoint no tiene que supervisarla tan de cerca. Para probar la teoría, cree una plantilla de aplicación. En el catálogo de directivas, vaya a Directiva de DLP | Configuración y defina una omisión para el valor De confianza. Aplique la directiva y pruebe si el rendimiento ha mejorado. McAfee Data Loss Prevention 10.0.100 Guía del producto 245 13 Diagnóstico de McAfee DLP Endpoint Herramienta de diagnóstico Caso práctico: Creación de una clasificación de contenido eficaz y de criterios de identificación por huellas digitales de contenido El marcado de datos confidenciales constituye el aspecto central de una directiva de protección de datos. La herramienta de diagnóstico muestra información que le ayudara a diseñar una clasificación de contenido y criterios de identificación por huellas digitales de contenido eficaces. Las etiquetas pueden demasiado estrictas, lo que omitiría datos que también deberían etiquetarse, o demasiado dispersa, lo que generaría falsos positivos. La página Active Policy (Directiva activa) enumera las clasificaciones, así como los criterios de clasificación de contenido y de identificación por huellas digitales de contenido. La página Data Flow (Flujo de datos) enumera todas las etiquetas aplicadas por la directiva, y el recuento de cada una. Cuando los recuentos son superiores a lo esperado, puede que existan falsos positivos. En un caso particular, un recuento extremadamente alto permitió descubrir que el texto de renuncia activó la clasificación. Al agregar la renuncia a la lista blanca se eliminaron los falsos positivos. En la misma línea, si un recuento es muy inferior a lo esperado, se puede deducir que existe una clasificación demasiado estricta. Si se etiqueta un archivo nuevo mientras la herramienta de diagnóstico está en funcionamiento, se muestra la ruta del archivo en el panel de detalles. Utilice esta información para localizar los archivos para realizar pruebas. 246 McAfee Data Loss Prevention 10.0.100 Guía del producto 14 Mantenimiento y resolución de problemas en McAfee DLP Prevent Utilice la consola del appliance para las tareas de mantenimiento general, como cambiar la configuración de red y la realización de actualizaciones de software. Se encuentran disponibles opciones de solución de problemas, comprobaciones de integridad y mensajes de error para ayudarle a identificar y resolver los problemas con los appliances de McAfee DLP Prevent. Contenido Administrar con la consola del appliance de McAfee DLP Prevent Acceso a la consola del appliance Cambiar la configuración original de la red Modificar la velocidad y la configuración del dúplex para appliances de hardware Administración de appliances de hardware con el RMM Actualizar o reinstalar desde la imagen de instalación interna Reinicie el appliance Restablecer los valores predeterminados de fábrica del appliance Cerrar sesión en el appliance McAfee DLP Prevent no acepta correos electrónicos Sustitución del certificado por defecto Mensajes de error Crear un informe de escalación mínima (MER) Administrar con la consola del appliance de McAfee DLP Prevent Utilice credenciales de administrador para abrir la consola del appliance y editar la configuración de red que haya introducido en el Asistente de instalación y llevar a cabo otras tareas de mantenimiento y solución de problemas. Tabla 14-1 Opciones de menú de la consola del appliance Opción Definición Graphical configuration wizard Abre el asistente de configuración gráfica. Si inicia sesión mediante SSH, la opción del asistente de configuración gráfica no estará disponible. Shell Abre el shell del appliance. Enable/Disable SSH Activa o desactiva el SSH como método de conexión al appliance. McAfee Data Loss Prevention 10.0.100 Guía del producto 247 14 Mantenimiento y resolución de problemas en McAfee DLP Prevent Acceso a la consola del appliance Tabla 14-1 Opciones de menú de la consola del appliance (continuación) Opción Definición Generate MER Crea un informe de escalación mínima (MER) que enviará al soporte técnico de McAfee para que diagnostique los problemas del appliance. Power down Cierra el appliance. Reboot Reinicia el appliance. Rescue Image Crea una imagen de rescate desde la cual se puede arrancar el appliance. Reset to factory defaults Restablece los valores predeterminados de fábrica del appliance. Change password Cambia la contraseña de la cuenta de administrador. Logout Cierra sesión en el appliance principal. Acceso a la consola del appliance La consola del appliance permite realizar varias tareas de mantenimiento. Existen distintas formas de acceder a la consola según el tipo de appliance que tenga. Tabla 14-2 Métodos de acceso a la consola Método Appliance virtual Appliance de hardware SSH X X Cliente de vSphere X KVM local (teclado, monitor y ratón) X RMM X Puerto serie X Cambiar la configuración original de la red Puede utilizar el asistente de configuración gráfica para cambiar la configuración de la red que especificó durante el proceso de instalación. Procedimiento 1 Inicie sesión en el appliance con credenciales de administrador. Si inicia sesión mediante SSH, la opción del asistente de configuración gráfica no estará disponible. 248 2 Abra el asistente de configuración gráfica. 3 Edite la configuración del Programa de instalación de red básica que desee cambiar. 4 Haga clic en Finalizar. McAfee Data Loss Prevention 10.0.100 Guía del producto Mantenimiento y resolución de problemas en McAfee DLP Prevent Modificar la velocidad y la configuración del dúplex para appliances de hardware 14 Modificar la velocidad y la configuración del dúplex para appliances de hardware De forma predeterminada, las interfaces de red están configuradas para la negociación automática. Utilice la línea de comandos para cambiar la velocidad y la configuración del dúplex. Procedimiento 1 Mediante una sesión de línea de comandos, inicie sesión en el appliance. 2 En el menú Opciones, seleccione la opción Shell. 3 Consulte la ayuda sobre la formación del comando. $ /opt/NETAwss/mgmt/nic_options -? 4 • Utilice lan1 para la interfaz del cliente y mgmt para la interfaz de administración. • --(no)autoneg activa o desactiva la negociación automática. De forma predeterminada, esta opción está activada. • --duplex especifica el dúplex (medio o completo). El valor predeterminado es completo. • --speed especifica la velocidad de la red en Mb/s (0, 100 o 1000). El valor predeterminado es 1000. • --mtu especifica el tamaño de la unidad de transmisión máxima (MTU) en bytes (valor entre 576 y 1500). El valor predeterminado es 1500. Escriba el comando para cambiar la configuración. Ejemplos: • Para desactivar la negociación automática y establecer una velocidad de red de 100 Mb/s en la interfaz del cliente: $ sudo /opt/NETAwss/mgmt/nic_options --noautoneg --speed 100 lan1 • Para restaurar el comportamiento predeterminado del puerto de administración: $ sudo /opt/NETAwss/mgmt/nic_options mgmt Administración de appliances de hardware con el RMM Utilice el RMM, también conocido como "controlador de administración de placa base" (BMC), para administrar un appliance de hardware de forma remota. El RMM no está disponible en los appliances virtuales. Utilice la consola del appliance para activar y realizar la configuración básica del RMM. Tras configurar los ajustes de red del RMM, también puede acceder a la consola del appliance mediante el servidor web integrado. En la interfaz web, puede comprobar el estado del hardware, realizar una configuración adicional y gestionar el appliance de forma remota. Vaya a: https://<dirección IP del RMM> Utilice las credenciales de administrador del appliance para acceder a la interfaz de usuario. Puede configurar el RMM para utilizar el LDAP para la autenticación en lugar de la cuenta de administrador. De forma predeterminada, están activados todos los protocolos utilizados para acceder al RMM: • HTTP/HTTPS • SSH McAfee Data Loss Prevention 10.0.100 Guía del producto 249 14 Mantenimiento y resolución de problemas en McAfee DLP Prevent Administración de appliances de hardware con el RMM • IPMI a través de LAN • KVM remota Configuración del RMM Configure los ajustes de red y protocolos que utiliza el RMM. Procedimiento 1 Inicie sesión en el appliance con la consola. 2 En el menú de consola, seleccione Configure the BMC (Configurar el BMC). 3 Lleve a cabo una de estas tareas. • • Para configurar la información de red: 1 Seleccione Configure the address (Configurar la dirección). 2 Escriba la dirección IP, la máscara de red y la gateway opcional. Use las flechas de arriba y abajo para desplazarse por las opciones. 3 Pulse Intro o seleccione OK (Aceptar) para guardar los cambios. Para configurar los protocolos admitidos: 1 Seleccione Configure remote protocols (Configurar protocolos remotos). 2 Pulse la barra espaciadora para activar o desactivar una opción. Use las flechas de arriba y abajo para desplazarse por las opciones. 3 Pulse Intro o seleccione OK (Aceptar) para guardar los cambios. Utilice la cuenta y la contraseña de administrador para iniciar sesión en el appliance utilizando el RMM. Ejecutar al Asistente de instalación mediante el servicio de KVM remoto Si no dispone de acceso local al teclado, el monitor y el ratón para ejecutar al Asistente de instalación, puede hacerlo mediante la interfaz web RMM. Procedimiento 1 Utilice un navegador web e inicie sesión en https://<RMM dirección IP>. 2 Haga clic en la ficha Control remoto. 3 Haga clic en Iniciar consola. 4 Con algunos navegadores, puede que tenga que descargarse la aplicación de consola remota. En este caso, descargue y abra el archivo jviewer.jnlp. 5 Desde el shell de administración, seleccione Asistente de configuración gráfica. Práctica recomendada: proteger el RMM Proteja su entorno RMM para evitar que usuarios no autorizados accedan al appliance. 250 • Asegúrese de que el firmware RMM está actualizado. • Conecte el puerto RMM a una VLAN o red física específica y protegida. McAfee Data Loss Prevention 10.0.100 Guía del producto Mantenimiento y resolución de problemas en McAfee DLP Prevent Actualizar o reinstalar desde la imagen de instalación interna 14 • Desactive los protocolos que no se utilicen. Únicamente HTTP/HTTPS y el servicio de KVM remoto deben configurar de forma remota el appliance. • Si los appliances utilizan RMM4, asegúrese de que están configurados para forzar el uso de HTTPS. La interfaz web y la consola del appliance muestran el tipo de RMM que utiliza el appliance: RMM3 o RMM4. Desde la interfaz web, haga clic en la ficha Configuration (Configuración), seleccione Security Settings (Configuración de seguridad) y, a continuación, seleccione la opción Force HTTPS (Forzar HTTPS). • Cambie de forma periódica la contraseña de administrador. Actualizar o reinstalar desde la imagen de instalación interna McAfee DLP Prevent contiene una partición con una imagen de instalación interna que puede utilizar para actualizar o reinstalar el appliance. Utilice la opción de ampliar en el menú de la consola para realizar estas acciones. • actualizar, utilizar una versión anterior o volver a instalar el appliance desde la imagen de instalación. Si se utiliza una versión anterior, no se conservará la configuración ni el registro de McAfee ePO. • Actualice la imagen de instalación con una versión anterior o posterior del software de McAfee DLP Prevent mediante medios externos. Estos métodos son compatibles con el archivo de imagen ISO de McAfee DLP Prevent. • Unidad USB: Cree una unidad USB de arranque o copie el archivo ISO en la unidad. Es posible utilizar unidades USB con formato Windows o Linux. No se admite el formato de sistema de archivos exFAT de Windows. • • CD: Grabe un CD de arranque y utilice una unidad de CD con USB. Para los dispositivos 4400, puede utilizar la unidad de CD incorporada. • CD virtual: Enlace el archivo ISO con el CD virtual en un entorno ESX o utilice el RMM para dispositivos de hardware. • SCP: Utilice la copia protegida para copiar el archivo ISO y actualice la imagen de instalación interna. Cree una unidad USB que contenga la imagen de instalación actual. Al crear la imagen USB, se eliminan todos los datos de la unidad USB. • Vea la versión o el estado de la imagen de instalación. Procedimiento 1 Mediante una sesión de línea de comandos, inicie sesión en el appliance. 2 En el menú de la consola, seleccione Actualizar. McAfee Data Loss Prevention 10.0.100 Guía del producto 251 14 Mantenimiento y resolución de problemas en McAfee DLP Prevent Reinicie el appliance 3 Realice una de estas tareas. • Ampliar o reinstalar: 1 Seleccione Arranque a partir de la imagen de instalación interna. 2 Seleccione una de estas opciones: • Completo: Mantiene todas las opciones de configuración, incluidos los archivos de pruebas y el resaltado de coincidencias que se van a copiar en el recurso compartido de almacenamiento de pruebas. • Config: Mantiene todas las opciones de configuración, pero no conserva los archivos de pruebas o el resaltado de coincidencias que se van a copiar. • Básica: Mantiene solo las opciones de configuración de red y el registro de McAfee ePO. • Reinstalar: Vuelve a instalar sin conservar ninguna opción de configuración. Debe utilizar el Asistente de instalación para registrarse con McAfee ePO. Si va a instalar una versión anterior a la que está instalada actualmente, se mostrará una advertencia de que solo puede llevar a cabo la reinstalación. 3 Seleccione Sí. El appliance se reiniciará e instalará. • Para actualizar la imagen de instalación desde una unidad de CD o USB: 1 Inserte el dispositivo en el appliance. 2 Seleccione Actualizar la imagen de instalación interno desde un dispositivo externo. 3 Compruebe que el dispositivo externo se ha identificado correctamente en la lista. Si se detectan varios archivos ISO, deben seleccionarse todos los archivos de la lista. 4 Seleccione la imagen y el dispositivo ISO y, a continuación, seleccione Sí. • Para actualizar la imagen de instalación mediante SCP, utilice una sesión de línea de comandos o una utilidad como WinSCP para copiar el archivo en /inicio/admin/subir/iso. • Para crear una unidad USB que contenga la imagen de instalación: • 1 Inserte la unidad USB en el appliance. 2 Seleccione Copiar la imagen de instalación interna en un dispositivo de memoria flash USB. 3 Seleccione Sí. Para ver información sobre la última vez que se utilizó la imagen de instalación y la versión cargada actualmente en la imagen de instalación, seleccione Mostrar detalles de la imagen de instalación interna. Reinicie el appliance Apague y reinicie McAfee DLP Prevent. Procedimiento 252 1 Inicie sesión en el appliance con credenciales de administrador. 2 En el menú general de la consola, seleccione Reiniciar. McAfee Data Loss Prevention 10.0.100 Guía del producto Mantenimiento y resolución de problemas en McAfee DLP Prevent Restablecer los valores predeterminados de fábrica del appliance 14 Restablecer los valores predeterminados de fábrica del appliance Restablezca la configuración original del appliance. Tendrá que volver a configurar los valores de configuración de red. Procedimiento 1 Inicie sesión en el appliance con credenciales de administrador. Se abrirá el menú general de la consola. 2 En el menú general de la consola, pulse la opción Restablecer valores predeterminados de fábrica. Cerrar sesión en el appliance Cierre la sesión iniciada y vuelva al mensaje de inicio de sesión. Procedimiento 1 Inicie sesión en el appliance con credenciales de administrador. Se abrirá el menú general de la consola. 2 En el menú general de la consola, pulse la opción Cerrar sesión. Puede que se cierre la sesión SSH o que la consola vuelva al mensaje de inicio de sesión. McAfee DLP Prevent no acepta correos electrónicos Si no está configurado un Host inteligente, McAfee DLP Prevent no puede aceptar mensajes de correo electrónico porque no tiene ningún lugar al que pueda enviarlos. McAfee DLP Prevent presenta el error Problema del sistema 451: Vuelva a intentarlo más tarde. (no se ha configurado ningún Host inteligente) y cierra la conexión. Puede comprobar si McAfee DLP Prevent puede aceptar correos electrónicos usando telnet. Si el appliance está configurado correctamente, aparece un mensaje de bienvenida 220: 220 host.dominio.ejemplo PVA/SMTP listo Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. • Para resolver un problema de conexión, debe: a Instalar las extensiones necesarias en McAfee ePO. b Registrar el appliance con un servidor de McAfee ePO. Siga los pasos de la Ayuda del Asistente de instalación de McAfee DLP Prevent. c Configure al menos un servidor DNS en la directiva Ajustes generales de administración de appliances. Consulte la sección Configuración de la configuración general de la Ayuda en línea de la Extensión de administración de appliances. McAfee Data Loss Prevention 10.0.100 Guía del producto 253 14 Mantenimiento y resolución de problemas en McAfee DLP Prevent Sustitución del certificado por defecto d Configure un Host inteligente en la categoría de directiva Configuración de correo electrónico de McAfee DLP Prevent. e Aplique una directiva de McAfee Data Loss Prevention. Consulte la sección de asignación de directivas de la ayuda en línea de McAfee ePolicy Orchestrator. Véase también Uso de las directivas de McAfee DLP Prevent en la página 80 Sustitución del certificado por defecto Si su configuración de Email Gateway no acepta el certificado autofirmado por defecto, puede sustituir el certificado para TLS con otro certificado firmado. Los formatos de certificado admitidos para los certificados firmados de PKI son: • PKCS#12(.p12/.pfx) • Certificados de cadena con codificación PEM Utilice los siguientes pasos para instalar un certificado firmado de PKI. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Mediante una sesión de línea de comandos, inicie sesión en el appliance. 2 Active SSH si todavía no lo está. 3 Copie el certificado al appliance: • Utilice una utilidad como WinSCP para copiar un certificado descifrado a /inicio/admin/subir/ cert. El certificado se instala automáticamente. • En el shell del appliance, escriba el siguiente comando para instalar un certificado cifrado en cualquier ubicación con acceso de escritura para el usuario (que no sea /inicio/admin/subir/ cert). /opt/NETAwss/mgmt/import_ssl_cert "--file" <encrypted-certificate> --passphrase <passphrase> 4 En McAfee ePO, seleccione Catálogo de directivas | Producto | Servidor de DLP Prevent | Configuración de correo electrónico y active TLS. Si el certificado no se ha podido instalar, se indicará el motivo detallado en el syslog y se mostrará una descripción breve en el registro de eventos de clientes de McAfee ePO. Véase también Eventos de McAfee DLP Prevent en la página 235 Uso del syslog con McAfee DLP Prevent en la página 237 254 McAfee Data Loss Prevention 10.0.100 Guía del producto Mantenimiento y resolución de problemas en McAfee DLP Prevent Mensajes de error 14 Mensajes de error Si el appliance no está configurado correctamente, trata de identificar el problema y envía un mensaje de error temporal o permanente. El texto entre paréntesis del mensaje de error proporciona información adicional sobre el problema. Algunos mensajes de error retransmiten la respuesta del Host inteligente, de manera que la respuesta de McAfee DLP Prevent contiene la dirección IP, que viene indicada por x.x.x.x. Por ejemplo, el error 442 192.168.0.1: Conexión rechazada indica que el Host inteligente con la dirección 192.168.0.1 no ha aceptado la conexión SMTP. Tabla 14-3 Mensajes de errores temporales Texto Causa Acción recomendada 451 (el sistema no se ha registrado con un servidor de ePO) No se ha completado la instalación inicial. Registre el appliance con un servidor de McAfee ePO mediante la opción Asistente de configuración gráfica de la consola del appliance. 451 (no se ha configurado ningún servidor DNS) La configuración aplicada desde McAfee ePO no ha especificado ningún servidor DNS. Configure al menos un servidor DNS en la categoría General de la directiva Ajustes generales del appliance. 451 (no se ha configurado ningún Host inteligente) La configuración aplicada desde McAfee ePO no ha especificado ningún Host inteligente. Configure un Host inteligente en la categoría de directiva Configuración de correo electrónico. 451 (el archivo de directivas OPG no se encuentra en la ubicación configurada) La configuración aplicada desde McAfee ePO estaba incompleta. • Asegúrese de que se instala la extensión de Data Loss Prevention. • Configure una directiva de Data Loss Prevention. • Póngase en contacto con el representante del soporte técnico. El archivo de configuración OPG debe aplicarse con el archivo de directivas OPG. 451 (el archivo de configuración OPG no se encuentra en la ubicación configurada) La configuración aplicada desde McAfee ePO estaba incompleta. • Asegúrese de que se instala la extensión de Data Loss Prevention. • Configure una directiva de Data Loss Prevention. • Póngase en contacto con el representante del soporte técnico. El archivo de configuración OPG debe aplicarse con el archivo de directivas OPG. McAfee Data Loss Prevention 10.0.100 Guía del producto 255 14 Mantenimiento y resolución de problemas en McAfee DLP Prevent Mensajes de error Tabla 14-3 Mensajes de errores temporales (continuación) Texto Causa 451 (falta configuración Este error se produce cuando se del servidor LDAP) cumplen estas dos condiciones: • McAfee DLP Prevent contiene una regla que especifica un remitente como miembro de un grupo de usuarios LDAP. Acción recomendada Compruebe que el servidor LDAP está seleccionado en la categoría de directiva Usuarios y grupos. • McAfee DLP Prevent no está configurado para recibir información de grupo desde el servidor LDAP que contiene ese grupo de usuarios. 451 (error al resolver la directiva basada en el remitente) Una directiva contiene condiciones del remitente LDAP, pero no puede obtener la información del servidor LDAP porque: Compruebe que el servidor LDAP está disponible. • McAfee DLP Prevent y el servidor LDAP no se han sincronizado. • El servidor LDAP no responde. 442 x.x.x.x: Conexión rechazada McAfee DLP Prevent no pudo Compruebe que el Host inteligente conectarse al Host inteligente para puede recibir correos electrónicos. enviar el mensaje o se pierde la conexión al Host inteligente durante una conversación. Tabla 14-4 Mensajes de errores permanentes Error Causa Acción 550 (el host/dominio no está permitido) McAfee DLP Prevent ha rechazado la conexión del MTA de origen. Compruebe que el MTA se encuentra en la lista de hosts permitidos en la categoría de directiva Configuración de correo electrónico. 550 x.x.x.x: Denegado por El Host inteligente no ha aceptado un Compruebe la configuración de la directiva. Conversación comando STARTTLS, pero McAfee DLP TLS en el host. TLS requerida Prevent está configurado para enviar el correo electrónico en todo momento a través de una conexión TLS. 256 McAfee Data Loss Prevention 10.0.100 Guía del producto Mantenimiento y resolución de problemas en McAfee DLP Prevent Crear un informe de escalación mínima (MER) 14 Tabla 14-5 Mensajes de error de ICAP Error Causa Acción 500 (falta configuración del servidor LDAP) Este error se produce cuando se cumplen estas dos Compruebe que el condiciones: servidor LDAP está seleccionado en la • McAfee DLP Prevent contiene una regla que categoría de directiva especifica un usuario final como miembro de un Usuarios y grupos. grupo de usuarios LDAP. • McAfee DLP Prevent no está configurado para recibir información de grupo desde el servidor LDAP que contiene ese grupo de usuarios. 500 (error al resolver la directiva basada en el usuario final) Una directiva contiene condiciones del remitente LDAP, pero no puede obtener la información del servidor LDAP porque: Compruebe que el servidor LDAP está disponible. • McAfee DLP Prevent y el servidor LDAP no se han sincronizado. • El servidor LDAP no responde. Crear un informe de escalación mínima (MER) Cree un informe de escalación mínima para facilitar al servicio técnico de McAfee la información necesaria para diagnosticar un problema con McAfee DLP Prevent. El informe de escalación mínima está disponible en una dirección URL del servidor de McAfee DLP Prevent. Hasta cinco informes pueden estar disponibles al mismo tiempo. Cada uno de ellos se eliminará después de 24 horas. Puede tardar varios minutos para generar un informe de escalación mínima, cuyo tamaño será de varios megabytes. En ocasiones, podría tardar más tiempo en generar un informe. El informe contiene información, como registros de hardware, versiones de software, uso de memoria y espacio en disco, información del sistema y la red, archivos abiertos, procesos activos, IPC, archivos binarios, informes, imágenes de rescate y pruebas del sistema. El informe no contiene información de la prueba ni del resaltado de coincidencias. Práctica recomendada: Cuando cree un informe de escalación mínima, especifique una contraseña para proteger el informe. No olvide incluir la contraseña cuando envíe el informe al servicio técnico de McAfee. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1 Inicie sesión en el appliance con credenciales de administrador. Se abrirá el menú general de la consola. 2 Utilice la tecla de la flecha hacia abajo para seleccionar Generate MER (Generar MER). 3 Escriba una contraseña que puede utilizar el servicio de soporte técnico de McAfee para abrir el MER y utilice la tecla de la flecha para pasar al campo de confirmación de la contraseña. McAfee Data Loss Prevention 10.0.100 Guía del producto 257 14 Mantenimiento y resolución de problemas en McAfee DLP Prevent Crear un informe de escalación mínima (MER) 4 Pulse INTRO para empezar a generar el informe. Cuando el informe esté listo, recibirá una notificación con la dirección URL (https://<APPLIANCE>: 10443/mer) desde la que se podrá descargar el informe. 5 Vaya a la dirección URL y seleccione el informe de escalación mínima que desea descargar. Hasta cinco informes están disponibles al mismo tiempo. Si se genera otro informe, se elimina el informe más antiguo. 6 Siga las instrucciones del servicio de soporte técnico de McAfee para enviar el informe. Si ha establecido una contraseña, no olvide incluirla. 258 McAfee Data Loss Prevention 10.0.100 Guía del producto A Glosario Tabla A-1 Terminología de McAfee DLP Plazo Definición Productos Acción Lo que hace una regla cuando el contenido coincide con la definición de la regla. Algunos ejemplos comunes de acciones son bloquear, cifrar o poner en cuarentena. Todo Rastreo Recuperar archivos e información de repositorios, sistemas de archivos y correo electrónico. • McAfee DLP Endpoint (Discovery) • McAfee DLP Discover Clasificación Se utiliza para identificar y rastrear archivos y contenido de carácter confidencial. Puede incluir clasificaciones de contenido, huellas digitales de contenido, documentos registrados y texto en lista blanca. Todo Clasificación del contenido Mecanismo para identificar contenido de carácter confidencial a partir de condiciones de datos, como diccionarios y patrones de texto, y condiciones de archivos como propiedades de documentos o extensiones de archivos. Todo Identificación por Mecanismo para clasificar y rastrear contenido de McAfee DLP Endpoint huellas digitales carácter confidencial. Los criterios de identificación por para Windows de contenido huellas digitales de contenido especifican aplicaciones o ubicaciones y pueden incluir condiciones de archivos y datos. Las firmas de huella digital mantienen el contenido de carácter confidencial cuando este se copia o mueve. Vector de datos Definición del uso o el estado del contenido. McAfee DLP protege los datos confidenciales cuando se almacenan (datos en reposo), cuando se utilizan (datos en uso) y cuando se transfieren (datos en movimiento). Todo Definición Componente de la configuración que crea una clasificación o directiva de análisis de McAfee DLP Discover. Todo Clase de dispositivo Recopilación de dispositivos con características • Device Control parecidas que se pueden gestionar de un modo similar. • McAfee DLP Endpoint Las clases de dispositivos se aplican únicamente en equipos con Windows y su estado puede ser para Windows Gestionado, No gestionado o En lista blanca. Servidor Discover El servidor Windows donde se instala el software de McAfee DLP Discover. McAfee DLP Discover Puede instalar varios servidores Discover en su red. McAfee Data Loss Prevention 10.0.100 Guía del producto 259 A Glosario Tabla A-1 Terminología de McAfee DLP (continuación) Plazo Definición Productos Información del archivo Una definición que puede incluir el nombre del archivo, Todos los productos el propietario, el tamaño, la extensión y las fechas de creación, modificación o acceso. Utilice las definiciones de información del archivo de los filtros para incluir o excluir los archivos que se va a analizar. Identificación por Procedimiento de extracción de texto que utiliza un • McAfee DLP Endpoint huellas digitales algoritmo para asignar un documento a cadenas de para Windows bits o firmas. Se utiliza para crear documentos registrados y para la identificación por huellas digitales • McAfee DLP Prevent de contenido. Dispositivos gestionados Estado de una clase de dispositivos que indica que los dispositivos de dicha clase son gestionados por Device Control. • Device Control Cadena coincidente Contenido encontrado que coincide con una regla. Todos los productos MTA Agente de transferencia de mensajes McAfee DLP Prevent Ruta Un nombre UNC, una dirección IP o una dirección web. • McAfee DLP Endpoint (Discovery) • McAfee DLP Endpoint • McAfee DLP Discover • McAfee DLP Prevent Directiva Conjunto de definiciones, clasificaciones y reglas que definen cómo el software de McAfee DLP protege los datos. Todos los productos Revisor de redacción Permite redactar información confidencial en las consolas Administrador de incidentes de DLP y Operaciones de DLP para impedir visualizaciones no autorizadas. Todos los productos Documentos registrados Archivos analizados previamente de repositorios • McAfee DLP Endpoint especificados. Las firmas de los archivos se distribuyen para Windows a todos los equipos endpoint gestionados y se utilizan para rastrear y clasificar el contenido copiado de estos • McAfee DLP Prevent archivos. Repositorio Carpeta, servidor o cuenta que contiene archivos compartidos. • McAfee DLP Endpoint (Discovery) La definición de repositorio incluye las rutas y las credenciales para analizar los datos. • McAfee DLP Discover Regla Define la acción que se lleva a cabo cuando se intenta transferir o transmitir datos de carácter confidencial. Todos los productos Conjunto de reglas Combinación de las reglas. Todos los productos Planificador Una definición que especifica los detalles de análisis y el tipo de planificación: diaria, semanal, mensual, una vez o inmediata. • McAfee DLP Endpoint (Discovery) McAfee DLP Endpoint divide las aplicaciones en cuatro categorías denominadas estrategias que afectan al modo en el que funciona el software con distintas aplicaciones. En orden decreciente de seguridad, las estrategias son Editor, Explorador, De confianza y Archivador. McAfee DLP Endpoint Estrategia 260 McAfee Data Loss Prevention 10.0.100 • McAfee DLP Discover Guía del producto Glosario Tabla A-1 A Terminología de McAfee DLP (continuación) Plazo Definición Productos Dispositivos no gestionados Estado de una clase de dispositivos que indica que los dispositivos de dicha clase no son gestionados por Device Control. Algunos equipos endpoint utilizan dispositivos que tienen problemas de compatibilidad con los controladores de dispositivos de McAfee DLP Endpoint. Para evitar problemas operativos, estos dispositivos se definen como no gestionados. • Device Control Dispositivos en lista blanca Estado de una clase de dispositivos que indica que Device Control no intenta controlar los dispositivos de dicha clase. Algunos ejemplos son los procesadores y dispositivos de baterías. Device Control McAfee DLP Endpoint para Windows McAfee Data Loss Prevention 10.0.100 • McAfee DLP Endpoint para Windows Guía del producto 261 A Glosario 262 McAfee Data Loss Prevention 10.0.100 Guía del producto Índice A acerca de esta guía 9 Activar agentes 49 acumulación de datos 234 administración de derechos 66, 68 administrador de incidentes 212 Administrador de incidentes de DLP 212 respuesta a eventos 211 Ajustes generales de administración de appliances 88 Almacenamiento de pruebas 70 ampliación 47 análisis clasificación 188, 201 corrección 189, 202 credenciales 195 inventario 188, 200 planificador 198 repositorios 196, 197 resultados 205 tipos de 19 análisis de clasificación acerca de 188 configuración 201 análisis de corrección acerca de 189 configuración 202 análisis de inventario acerca de 188 configuración 200 análisis iniciados por el usuario 179 analizador de eventos 15 ancho de banda 189 archivo, acceso reglas, acerca de 104 archivos OST 116 archivos PST 116 ataque de denegación de servicio evitar 81 autenticación de protección web 84 autorreparación del usuario 179 B Boldon James 138 McAfee Data Loss Prevention 10.0.100 Boldon James, integración 137 Box 146 C caracteres comodín, en las definiciones de dirección de correo electrónico 147 carpeta de pruebas 71 casos actualización 224 adición de comentarios 224 asignación de incidentes 223 creación 222 eliminación 226 envío de notificaciones 224 etiquetas 225 información 222 registros de auditoría 223 catálogo de directivas 60 certificados 254 Chrome, versiones compatibles 150 clases de dispositivos 95 clasificación 113 correo electrónico 138 criterios 129 manual 124 clasificación de correo electrónico 138 clasificación del contenido criterios 114 clasificación manual 126, 132 clasificación manual, persistencia 114 clasificaciones 128 acerca de 113 compatibilidad con JAWS 16 compatibilidad con OS X 17, 93, 97, 104–106, 113, 117, 123, 145, 150 compatibilidad con versiones anteriores 43 componentes, Data Loss Prevention (diagrama) 26 configuración de bloqueo de retransmisión 83 Configuración de DLP 41 configuración del agente compatibilidad con Mac OS 63 configuración del cliente 61 árbol de sistemas 60 Configuración del tiempo de espera 81 Guía del producto 263 Índice conjuntos de permisos 74 Administración de appliances 79 McAfee DLP Prevent 79 conjuntos de permisos, definición 76 conjuntos de permisos, filtrado del Árbol de sistemas 73 conjuntos de reglas acerca de 141 creación 162 Consola de directivas de DLP, instalación 40 consola de endpoint 15–17 control de acceso basado en funciones 76 controladores protección en la nube 146 convenciones tipográficas e iconos utilizados en esta guía 9 conversión 45 correo electrónico 116 dispositivos móviles 21 red 20 correo electrónico de la red 20 correo electrónico para dispositivos móviles 21 credenciales 195 criterio de identificación por huellas digitales de contenido 31 criterios de identificación por huellas digitales 131 cuarentena restauración de archivos o elementos de correo electrónico de 184 D datos clasificación 121 datos en tránsito 117 datos de DLP, clasificación 122 datos en reposo 180 definiciones credenciales 195 destino web 117 diccionarios 121 documentos registrados 127 extensión del archivo 122 información del archivo 194 McAfee DLP Discover 192 para análisis 194 patrón de texto 122 planificador 198 propiedades de documento 122 red 116 repositorios 196, 197 definiciones de aplicaciones estrategia 118 definiciones de dispositivos 97 almacenamiento extraíble 100 definiciones de propiedades de documento 122 definiciones de red acerca de 116 intervalo de direcciones 143 264 McAfee Data Loss Prevention 10.0.100 definiciones de red (continuación) intervalo de puertos 142 Definiciones para reglas Definiciones de reglas 142 desafío/respuesta 184 descubrimiento acerca de 180 configuración 183 creación de una regla de descubrimiento del sistema de archivos 182 descubrimiento de endpoints 179 destinos web acerca de 117 diccionarios acerca de 121 creación 134 importación de entradas 134 direcciones de correo electrónico creación 143 Directiva del servidor de DLP Prevent 80 directiva, configuración 193 directivas definición 32 DLP Prevent 80 directivas, ajuste 245 dispositivos listas, agregar definiciones de dispositivos Plug and Play 99 dispositivos Plug and Play definición en lista blanca, creación 99 DLP Discover 180 DLP Endpoint incorporar en McAfee ePO 46 DLP Prevent activar TLS 83 bloqueo de retransmisión 83 con McAfee Web Gateway 90 Configuración del tiempo de espera 81 Configurar MTA adicionales 82 directiva seleccione LDAP 86 Entrega por turnos 82 evita los ataques de denegación de servicio 81 hosts permitidos 83 McAfee Logon Collector 84, 87 notificaciones de usuario 157 protección de correo electrónico 20 protección web 20 reacciones de regla 148 servidores LDAP 84 sustituir el certificado por defecto 254 y McAfee Email Gateway 88 DLP Prevent for Mobile Email, instalación 55 documentación convenciones tipográficas e iconos 9 destinatarios de esta guía 9 Guía del producto Índice J documentación (continuación) específica de producto, buscar 10 documentos registrados 31, 127 Dropbox 146 justificación empresarial, personalización 157 E LDAP 86 limitaciones 189 Encabezado X-RCIS-Action 148 Entrega de mensajes por turnos 82 estrategia, véase definiciones de aplicaciones Estrategia de tiempo de espera, publicación web 150 etiquetas incrustadas 124, 125 eventos supervisión 211 eventos operativos 212 excepciones de reglas 162 extensiones de archivo definiciones 122 extractor de texto 117 F filtros 194 definiciones de red 116 funcionamiento con conexión/sin conexión 15 funciones de McAfee ePO 91 funciones y permisos 71 G Google Chrome, versiones compatibles 150 Google Drive 146 grupos de asignación definición 32 GUID, véase GUID del dispositivo GUID del dispositivo 96 L listas blancas 32 definiciones de dispositivos Plug and Play, crear 99 listas de direcciones de correo electrónico 147 listas de URL creación 136 M manual, clasificación 132 marcado 113 acerca de 114 marcadores de posición 157 McAfee Agent 27 McAfee DLP Prevent Asistente de instalación 54, 250 Consola serie 53 instalación 50 Requisitos del servidor MTA 27 McAfee Email Gateway con McAfee DLP Prevent 88 McAfee Logon Collector 84 McAfee ServicePortal, acceso 10 McAfee Web Gateway con McAfee DLP Prevent 90 migración 45 MTA Agregar más 82 N H herramienta de diagnóstico 245 Herramienta de diagnóstico 243 I identificación por huellas digitales de contenido criterios 114 Imagen de instalación interna 251 incidentes actualización 219 detalles 217 etiquetas 221 filtrado 215, 217 orden 215 vistas 216 informes de datos acumulados 232 informes de ePO 232 instalación 46 McAfee Data Loss Prevention 10.0.100 notificación de usuario, personalización 157 notificaciones de ePO 232 notificaciones, ePolicy Orchestrator 232 O OLAP 204 OneDrive 146 P paneles, opciones de informe 232 patrones avanzados creación 135 patrones de texto acerca de 122 planificador 198 plantillas de aplicación acerca de 123 Portapapeles Microsoft Office 146 Guía del producto 265 Índice prácticas recomendadas 31, 41, 45, 73, 97, 99, 168 propiedades del dispositivo 101 proximidad 114 prueba almacenamiento para contenido cifrado 69 eventos de Endpoint 211 puerto de administración, conexión 52 puertos predeterminados 35 R reacciones 158 reacciones de regla 148 redacción 73 reglas 144 acerca de 193 Citrix XenApp 104 crear 162 excepciones 162 protección de correo electrónico 147 protección en la nube 146 reacciones 158 reglas de almacenamiento de pruebas 71 reglas de clasificación 30 reglas de descubrimiento de endpoint 162 reglas de dispositivos acerca de 104 Reglas de dispositivos Citrix XenApp 104 Reglas de dispositivos TrueCrypt 104 reglas de DLP clasificación 30 dispositivo 32 protección 32 reglas de protección 162 definición 32 Reglas de protección contra impresión 116 reglas de protección de correo electrónico 147 Reglas de protección del Portapapeles 146 reglas de protección en la nube 146 Reglas de protección web 150 reglas para para análisis de corrección 199 266 McAfee Data Loss Prevention 10.0.100 reglas para dispositivos 162 definición 32 regulación 189 repositorios 196, 197 Resaltado de coincidencias, eventos 70 RMM 249, 250 S ServicePortal, buscar documentación del producto 10 servicio de vigilancia 61 servidores de Active Directory 84 servidores de autenticación 84 servidores OpenLDAP 84 sesiones de usuarios 104 soporte técnico, encontrar información de productos 10 soporte TIE 145 supervisión 212 Syncplicity 146 T tareas de eventos operativos 227 tareas de incidentes 212, 227 tareas servidor 45, 227 tareas servidor, acumulación 234 texto en lista blanca 130 Titus, integración 137 TLS activar 83 Transport Layer Security ver TLS 83 U ubicación, clasificación por 117 V validadores 122 Versiones de Chrome no compatibles con 145 vigilancia del servicio cliente 61 Guía del producto 0A02