10.0.0 mcafee data loss prevention endpoint · intel y el logotipo de intel son marcas comerciales...

Guía del productoRevisión A

McAfee Data Loss Prevention Endpoint10.0.0Para uso con McAfee ePolicy Orchestrator

COPYRIGHT

© 2016 Intel Corporation

ATRIBUCIONES DE MARCAS COMERCIALESIntel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de susempresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Data Loss Prevention Endpoint 10.0.0 Guía del producto

Contenido

Prefacio 9Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 10

1 Presentación de McAfee DLP Endpoint 11McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles . . . 11

Clasificar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Proteger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Supervisar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Módulos del producto y su interacción . . . . . . . . . . . . . . . . . . . . . . . . . 16Funcionamiento del software cliente . . . . . . . . . . . . . . . . . . . . . . . . . . 19

McAfee DLP Endpoint en la plataforma Microsoft Windows . . . . . . . . . . . . . . 20McAfee DLP Endpoint en la plataforma OS X . . . . . . . . . . . . . . . . . . . . 21

Despliegue e instalación2 Escenarios y opciones de despliegue 25

Planificación del despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Opciones de McAfee DLP Endpoint y Device Control . . . . . . . . . . . . . . . . . 26Implementación de McAfee DLP Endpoint en entornos Citrix . . . . . . . . . . . . . 27

Requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3 Instalación del software McAfee DLP Endpoint o Device Control 29Instale y añada la licencia a la extensión de McAfee DLP. . . . . . . . . . . . . . . . . . . 29

Aplicación de compatibilidad con versiones anteriores . . . . . . . . . . . . . . . . 31Conversión de directivas y migración de datos . . . . . . . . . . . . . . . . . . . 32

Instale McAfee DLP Endpoint y el software cliente Device Control. . . . . . . . . . . . . . . 33

4 Desplegar el software cliente y las directivas 35Desplegar el cliente de McAfee DLP Endpoint con McAfee ePO . . . . . . . . . . . . . . . . 35Verificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Desplegar directivas con McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Asignar una configuración de directivas o clientes . . . . . . . . . . . . . . . . . . 37Actualización de la directiva . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Configuración y uso5 Configuración de los componentes del sistema 41

Catálogo de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Configuración de McAfee DLP en el catálogo de directivas . . . . . . . . . . . . . . . . . 42

Importar o exportar la configuración de McAfee DLP Endpoint . . . . . . . . . . . . . 42

McAfee Data Loss Prevention Endpoint 10.0.0 Guía del producto 3

Configuración del cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Compatibilidad con los parámetros de configuración del cliente . . . . . . . . . . . . 45

Protección de archivos mediante la gestión de derechos . . . . . . . . . . . . . . . . . . 45Funcionamiento de McAfee DLP con la administración de derechos . . . . . . . . . . . 46Servidores de administración de derechos compatibles . . . . . . . . . . . . . . . 46Definir un servidor de administración de derechos . . . . . . . . . . . . . . . . . 47

Documentación de eventos mediante pruebas . . . . . . . . . . . . . . . . . . . . . . 48Uso de pruebas y del almacenamiento de pruebas . . . . . . . . . . . . . . . . . 48Creación de carpetas de pruebas . . . . . . . . . . . . . . . . . . . . . . . . 50

Control de asignaciones con usuarios y conjuntos de permisos . . . . . . . . . . . . . . . 51Cree definiciones de usuarios finales . . . . . . . . . . . . . . . . . . . . . . . 51Asignar conjuntos de permisos de McAfee DLP . . . . . . . . . . . . . . . . . . . 52Creación de un conjunto de permisos de McAfee DLP . . . . . . . . . . . . . . . . 53

Configuración de clasificaciones manuales . . . . . . . . . . . . . . . . . . . . . . . . 56

6 Protección de medios extraíbles 57Protección de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Gestión de dispositivos con clases de dispositivos . . . . . . . . . . . . . . . . . . . . . 59Definir una clase de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Obtención de un GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Crear una clase de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 61

Organización de dispositivos con definiciones de dispositivos . . . . . . . . . . . . . . . . 61Uso de las definiciones de dispositivos . . . . . . . . . . . . . . . . . . . . . . 62Propiedades del dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Reglas de control de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Creación de una regla para dispositivos de almacenamiento extraíbles . . . . . . . . . 69Crear una regla para dispositivos Plug and Play . . . . . . . . . . . . . . . . . . 70Creación de una regla de dispositivos de acceso a archivos en dispositivos de almacenamientoextraíbles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Crear una regla de dispositivos de disco duro fijo . . . . . . . . . . . . . . . . . . 72Crear una regla de dispositivos Citrix . . . . . . . . . . . . . . . . . . . . . . . 73Crear una regla de dispositivos TrueCrypt . . . . . . . . . . . . . . . . . . . . . 73

Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles . . . . . . . . . . . 74

7 Clasificación del contenido confidencial 77Componentes del módulo Clasificación . . . . . . . . . . . . . . . . . . . . . . . . . 77Uso de las clasificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Clasificación por destino de archivo . . . . . . . . . . . . . . . . . . . . . . . 79Clasificación por ubicación de archivo . . . . . . . . . . . . . . . . . . . . . . 80Extracción de texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Cómo categoriza aplicaciones McAfee DLP Endpoint . . . . . . . . . . . . . . . . . 81

Criterios y definiciones de clasificación . . . . . . . . . . . . . . . . . . . . . . . . . 82Definiciones de diccionario . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Definiciones de patrones avanzados . . . . . . . . . . . . . . . . . . . . . . . 85Clasificación de contenido con propiedades de documentos o información del archivo . . . 86Plantillas de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Clasificación manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Etiquetas incrustadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Texto en lista blanca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Creación y configuración de clasificaciones . . . . . . . . . . . . . . . . . . . . . . . 91

Crear una clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Creación de los criterios de clasificación . . . . . . . . . . . . . . . . . . . . . 91Cargar documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . . 92Cargar archivos con texto para inclusión en lista blanca . . . . . . . . . . . . . . . 92

Configurar los componentes de clasificación para McAfee DLP Endpoint . . . . . . . . . . . . 93

Contenido


Crear criterios de identificación por huellas digitales de contenido . . . . . . . . . . . 93Caso práctico: Identificación por huellas digitales basada en la aplicación . . . . . . . . 94Asignar permisos de clasificación manual . . . . . . . . . . . . . . . . . . . . . 95Caso práctico: Clasificación manual . . . . . . . . . . . . . . . . . . . . . . . 95

Creación de las definiciones de clasificación . . . . . . . . . . . . . . . . . . . . . . . 98Crear una definición de clasificación general . . . . . . . . . . . . . . . . . . . . 98Crear o importar una definición de diccionario . . . . . . . . . . . . . . . . . . . 99Crear un patrón avanzado . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Crear un nuevo intervalo de puertos de red . . . . . . . . . . . . . . . . . . . . 100Creación de un intervalo de direcciones de red . . . . . . . . . . . . . . . . . . 101Crear una definición de dirección de correo electrónico . . . . . . . . . . . . . . . 101Crear una definición de la impresora de red . . . . . . . . . . . . . . . . . . . 102Crear una definición de lista de URL . . . . . . . . . . . . . . . . . . . . . . . 102

Caso práctico: Integración del cliente de Titus con etiquetas de terceros . . . . . . . . . . . 103Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación . . . . 104

8 Uso de las directivas 107Crear y asignar directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108Uso de varias directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Funcionamiento de las definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . 109Editar una directiva de DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Validación de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

9 Protección de contenido de carácter confidencial 113Conjuntos de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Reglas de protección de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Reglas de protección de acceso a archivos de la aplicación . . . . . . . . . . . . . 115Reglas de protección en la nube . . . . . . . . . . . . . . . . . . . . . . . . 115Reglas de protección de correo electrónico . . . . . . . . . . . . . . . . . . . . 116Reglas de protección de comunicaciones de la red . . . . . . . . . . . . . . . . . 117Reglas de protección de recursos compartidos de red . . . . . . . . . . . . . . . . 117Reglas de protección contra impresión . . . . . . . . . . . . . . . . . . . . . . 118Reglas de protección de almacenamiento extraíble . . . . . . . . . . . . . . . . . 119Reglas de protección contra capturas de pantalla . . . . . . . . . . . . . . . . . 120Reglas de protección de la publicación web . . . . . . . . . . . . . . . . . . . . 121

Reglas de control de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Reglas de descubrimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Listas blancas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Personalización de mensajes del usuario final . . . . . . . . . . . . . . . . . . . . . . 123Reacciones disponibles para los tipos de regla . . . . . . . . . . . . . . . . . . . . . . 125Creación y configuración de reglas y conjuntos de reglas . . . . . . . . . . . . . . . . . 128

Creación de un conjunto de reglas . . . . . . . . . . . . . . . . . . . . . . . 128Creación de una regla . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Asignación de conjuntos de reglas a directivas . . . . . . . . . . . . . . . . . . 129Activar, desactivar o eliminar reglas . . . . . . . . . . . . . . . . . . . . . . . 130Importar y exportar reglas y clasificaciones . . . . . . . . . . . . . . . . . . . 130Configuración de las columnas de reglas o de conjuntos de reglas . . . . . . . . . . 131Crear una definición de justificación . . . . . . . . . . . . . . . . . . . . . . . 131Crear una definición de notificación . . . . . . . . . . . . . . . . . . . . . . . 132

Casos de uso de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Caso práctico: Regla para dispositivos de almacenamiento extraíbles con un proceso en listablanca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura . . . . . 135Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug and Play. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Contenido


Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en disco 136Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menosque se envíen a un dominio especificado . . . . . . . . . . . . . . . . . . . . . 137Caso práctico: Permiso para que un grupo de usuarios específico envíe información de crédito. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destino. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

10 Análisis de datos con descubrimiento de McAfee DLP Endpoint 143Protección de los archivos con las reglas de descubrimiento . . . . . . . . . . . . . . . . 143Modo de funcionamiento del análisis de descubrimiento . . . . . . . . . . . . . . . . . . 144Encontrar contenido con el rastreador de descubrimiento de Endpoint . . . . . . . . . . . . 145

Creación y definición de una regla de descubrimiento . . . . . . . . . . . . . . . . 145Creación de una definición de planificador . . . . . . . . . . . . . . . . . . . . 146Configurar un análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146Caso práctico: Restauración de elementos de correo electrónico o archivos en cuarentena 147

Supervisión y generación de informes11 Incidentes y eventos operativos 153

Supervisión y generación de informes . . . . . . . . . . . . . . . . . . . . . . . . . 153Administrador de incidentes de DLP . . . . . . . . . . . . . . . . . . . . . . . . . . 154

Funcionamiento del administrador de incidentes . . . . . . . . . . . . . . . . . . 154Trabajar con incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Visualización de los incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Ordenar y filtrar incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . 157Configurar vistas de columna . . . . . . . . . . . . . . . . . . . . . . . . . 158Configurar filtros de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . 159Ver detalles del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Gestión de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Actualizar un solo incidente . . . . . . . . . . . . . . . . . . . . . . . . . . 161Actualizar varios incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . 162Administrar etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

Trabajo en casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164Gestión de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

Creación de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164Visualización de información del caso . . . . . . . . . . . . . . . . . . . . . . 165Asignación de incidentes a un caso . . . . . . . . . . . . . . . . . . . . . . . 165Transferencia o eliminación de incidentes de un caso . . . . . . . . . . . . . . . . 166Actualización de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166Adición o eliminación de etiquetas de un caso . . . . . . . . . . . . . . . . . . . 167Eliminación de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

12 Recopilación y administración de datos 169Edición de tareas servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Creación de una tarea de purga de eventos . . . . . . . . . . . . . . . . . . . 170Creación de una tarea Notificación de correo automática . . . . . . . . . . . . . . 171Creación una tarea de definición de revisor . . . . . . . . . . . . . . . . . . . . 172

Supervisar resultados de la tarea . . . . . . . . . . . . . . . . . . . . . . . . . . . 172Creación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Tipos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173Opciones de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173Paneles predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Creación de una tarea servidor de acumulación de datos . . . . . . . . . . . . . . 176

Contenido


Mantenimiento y resolución de problemas13 Diagnóstico de McAfee DLP Endpoint 179

Herramienta de diagnóstico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179Comprobación del estado del agente . . . . . . . . . . . . . . . . . . . . . . 180Ejecutar la herramienta de diagnóstico . . . . . . . . . . . . . . . . . . . . . 181Ajuste de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

Índice 183

Contenido


Contenido


Prefacio

Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.

Contenido Acerca de esta guía Búsqueda de documentación de productos

Acerca de esta guíaEsta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconosutilizados, además de cómo está organizada.

DestinatariosLa documentación de McAfee se recopila y se redacta meticulosamente para el público al que vadestinada.

La información de esta guía está dirigida principalmente a:

• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

• Encargados de la seguridad: personas que determinan qué información es confidencial y quedefinen la directiva corporativa que protege la propiedad intelectual.

ConvencionesEn esta guía se utilizan los siguientes iconos y convenciones tipográficas.

Cursiva Título de un manual, capítulo o tema; un nuevo término; énfasis

Negrita Texto que se enfatiza

Tipo de letramonoespacio

Comandos y texto de otra índole que escribe el usuario; un ejemplo decódigo; un mensaje que se presenta en pantalla

Tipo de letra estrecho en negrita Palabras de la interfaz del producto, como opciones, menús, botones ycuadros de diálogo

Azul hipertexto Un vínculo a un tema o a un sitio web externo

Nota: Información adicional para enfatizar una cuestión, recordarle algoal lector o proporcionar un método alternativo

Sugerencia: Información sobre prácticas recomendadas

Precaución: Consejos importantes para proteger su sistema informático,instalación de software, red, empresa o sus datos

Advertencia: Consejos fundamentales para impedir lesiones personalesal utilizar un producto de hardware


Búsqueda de documentación de productosEn el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplodocumentación de los productos, artículos técnicos, etc.

Procedimiento1 Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento.

2 En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos.

3 Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos.

PrefacioBúsqueda de documentación de productos


https://support.mcafee.com

1 Presentación de McAfee DLP Endpoint

La fuga de datos se produce cuando sale información confidencial o privada de la empresa comoresultado de comunicaciones no autorizadas a través de canales tales como aplicaciones, dispositivosfísicos y protocolos de red. El software de prevención de fuga de datos implementa directivas deprotección de datos predefinidas para evitar tales fugas.

Los datos que deben protegerse pueden clasificarse adecuadamente según tres vectores: datos enuso, datos en tránsito y datos en reposo.

Tabla 1-1 Descripciones de vectores de datos

Vector dedatos

Descripción Productos asociados

Datos en uso El vector Datos en uso se aplica a las acciones delos usuarios en los dispositivos Endpoint. Algunosejemplos son la copia de datos y archivos a losdispositivos extraíbles, la impresión de archivos enuna impresora local y la realización de capturas depantalla.

McAfee® Data Loss PreventionEndpoint (McAfee DLP Endpoint)

Datos entránsito

El vector Datos en tránsito se aplica al tráficoactivo en su red. El tráfico se analiza, clasifica yalmacena en la base de datos de McAfee® DataLoss Prevention (McAfee DLP) (McAfee DLP).

• McAfee® Data Loss PreventionMonitor (McAfee DLP Monitor)

• McAfee® Data Loss PreventionPrevent (McAfee DLP Prevent)

Datos enreposo

El vector Datos en reposo se aplica a los datos quese encuentran en las bases de datos, los recursoscompartidos de red y los repositorios. McAfee DLPpuede analizar y rastrear los datos en reposo, asícomo llevar a cabo las acciones necesarias conellos.

• McAfee® Data Loss PreventionDiscover (McAfee DLPDiscover)

• Descubrimiento de McAfee DLPEndpoint

Contenido McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles Módulos del producto y su interacción Funcionamiento del software cliente

McAfee DLP Endpoint y Device Control: Control de contenido deendpoint y medios extraíbles

McAfee DLP Endpoint supervisa las acciones que los usuarios de la empresa llevan a cabo concontenido de carácter confidencial en sus equipos.

McAfee Device Control evita el uso no autorizado de dispositivos multimedia extraíbles. McAfee DLPEndpoint incluye todas las funciones de Device Control y, además, protege contra la fuga de datos enun amplio conjunto de canales en los que puede producirse.

1


Funciones principales

McAfee Device Control:

• Controla qué datos se pueden copiar en dispositivos extraíbles o controla los propios dispositivos.Puede bloquear los dispositivos por completo, definirlos como de solo lectura o evitar que lasaplicaciones se ejecuten a partir de unidades extraíbles.

• Protege las unidades USB, smartphones, dispositivos Bluetooth y demás medios extraíbles.

McAfee DLP Endpoint protege contra la fuga de datos desde:

• Aplicaciones de nube • Software de portapapeles

• Correo electrónico • Publicaciones web

• Impresoras • Recursos compartidos de red

• Capturas de pantalla

El motor de clasificación de McAfee DLP (también empleado por McAfee DLP Discover) aplica lasdefiniciones y los criterios de clasificación que definen el contenido que debe protegerse, así comodónde y cuándo se debe aplicar la protección.

El rastreador de descubrimientos de McAfee DLP Endpoint se ejecuta en el equipo endpoint local,realiza búsquedas en archivos de almacenamiento de correo electrónico y el sistema de archivos local,y aplica directivas para proteger el contenido de carácter confidencial.

Funcionamiento

McAfee DLP Endpoint protege la información confidencial de la empresa:

• Aplica directivas formadas por definiciones, clasificaciones, conjuntos de reglas y configuracionesde cliente de endpoint.

• Supervisa las directivas y bloquea las acciones con contenido de carácter confidencial, segúncorresponda.

1 Presentación de McAfee DLP EndpointMcAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles


• Cifra contenido de carácter confidencial para permitir la acción.

• Crea informes para revisar y controlar el proceso, y puede almacenar el contenido de carácterconfidencial como prueba.

Figura 1-1 El proceso de protección de McAfee DLP

ClasificarPara proteger el contenido de carácter confidencial, defina y clasifique primero la informaciónconfidencial que se debe proteger.

El contenido se clasifica mediante la definición de clasificaciones y de criterios de clasificación. Loscriterios de clasificación definen las condiciones sobre cómo se han clasificado los datos. Entre losmétodos para definir criterios se incluyen los siguientes:

• Patrones avanzados: Expresiones regulares combinadas con algoritmos de validación, utilizadospara buscar coincidencias de patrones como números de tarjetas de crédito.

• Diccionarios: Listas de palabras o términos concretos, por ejemplo, términos médicos paradetectar posibles infracciones de la HIPAA.

• Tipos de archivos reales: Propiedades del documento, información del archivo o la aplicación quecreó el archivo.

• Ubicación de origen o de destino: Direcciones URL, recursos compartidos de red, o la aplicacióno el usuario que crearon o recibieron el contenido.

McAfee DLP Endpoint admite software de clasificación de terceros. Puede clasificar el correoelectrónico con el clasificador del correo electrónico de Boldon James. Puede clasificar correoselectrónicos u otros archivos con los clientes de clasificación Titus, como Titus Message Classification,Titus Classification for Desktop y Titus Classification Suite. Para implementar el soporte de Titus, laSDK de Titus debe estar instalada en los equipos endpoint.

Presentación de McAfee DLP EndpointMcAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles 1


SeguimientoMcAfee DLP Endpoint puede rastrear el contenido según su origen mediante dos técnicas: documentosregistrados y criterios de marcado.

Con estas técnicas, puede, por ejemplo, especificar que todos los archivos descargados del sitio deSharePoint se rastreen y clasifiquen como propiedad intelectual.

Documentos registrados

La función de documentos registrados se basa en el análisis previo de todos los archivos de losrepositorios especificados (por ejemplo, el sitio de SharePoint) y en la creación de firmas defragmentos de cada archivo en estos repositorios. Estas firmas se distribuyen entonces a todos losendpoints gestionados. El cliente de McAfee DLP Endpoint puede entonces rastrear cualquier párrafocopiado desde uno de esos documentos y clasificarlo según la clasificación de la firma del documentoregistrado.

Los documentos registrados hacen un amplio uso de memoria lo que podría afectar al rendimiento, yaque cada documento que el cliente de McAfee DLP Endpoint inspecciona se compara con todas lasfirmas de documento registrado para identificar su origen.

Práctica recomendada: Para reducir el número de firmas y los problemas de rendimiento que suponeesta técnica, utilice documentos registrados únicamente para rastrear los documentos más delicados.

Identificación por huellas digitales de contenido

La identificación por huellas digitales de contenido es una técnica de rastreo de contenido exclusiva deMcAfee DLP Endpoint. El administrador crea un conjunto de criterios de identificación por huellasdigitales de contenido que definen la ubicación de los archivos y la clasificación que aplicarles. Elcliente de McAfee DLP Endpoint rastrea cualquier archivo abierto desde las ubicaciones definidas en loscriterios de identificación por huellas digitales de contenido y crea firmas por huella digital de esosarchivos en tiempo real al acceder a ellos. A continuación, utiliza las firmas para rastrear los archivoso los fragmentos de estos. Los criterios de identificación por huellas digitales de contenido puedendefinirse por ubicación (ruta UNC o URL) o por la aplicación utilizada para acceder al archivo.

Compatibilidad con información de huellas digitales persistente

Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o los flujosalternativos de datos (ADS) de un archivo. Al acceder a estos archivos, el software McAfee DLPEndpoint rastrea la transformación de los datos y mantiene la clasificación del contenido de carácterconfidencial de forma permanente, con independencia de cómo se utiliza. Si, por ejemplo, un usuarioabre un documento de Word con identificación por huella digital, copia unos párrafos del documentoen un archivo de texto y adjunta dicho archivo a un mensaje de correo electrónico, el mensaje salientetendría la misma firma que el documento original.

En el caso de sistemas de archivos que no sean compatibles con EA o ADS, el software McAfee DLPEndpoint almacena información de firma en el disco en forma de metarchivo. Los metarchivos sealmacenan en una carpeta oculta cuyo nombre es ODB$, que el software cliente McAfee DLP Endpointcrea automáticamente.

Las firmas y los criterios de identificación por huellas digitales de contenido no son compatibles conMcAfee Device Control.

1 Presentación de McAfee DLP EndpointMcAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles


ProtegerCree reglas para identificar datos de carácter confidencial y lleve a cabo las acciones adecuadas.

Las reglas se componen de condiciones, excepciones y acciones. Las condiciones incluyen variosparámetros (por ejemplo, las clasificaciones) para definir los datos o la acción del usuario queidentificar. Las excepciones especifican los parámetros que excluir de la activación de la regla. Lasacciones especifican cómo se comporta la regla cuando se activa, por ejemplo, bloqueando el accesodel usuario, cifrando un archivo y creando un incidente.

Reglas de protección de datos

McAfee DLP Endpoint y Device Control utilizan las reglas de protección de datos para evitar ladistribución no autorizada de datos clasificados. Cuando un usuario intenta copiar o adjuntar datosclasificados, McAfee DLP intercepta el intento y utiliza las reglas de protección de datos paradeterminar qué acción llevar a cabo. Por ejemplo, McAfee DLP Endpoint puede detener el intento ymostrar un cuadro de diálogo al usuario final. El usuario introduce la justificación del intento y elprocesamiento continúa.

McAfee Device Control solo utiliza reglas de protección de datos de almacenamiento extraíble.

Reglas de control de dispositivos

Las reglas de Device Control supervisan y, en caso necesario, impiden que el sistema carguedispositivos físicos como dispositivos de almacenamiento extraíbles, Bluetooth, Wi-Fi y otrosdispositivos Plug and Play. Las reglas de control de dispositivos constan de definiciones de dispositivosy especificaciones de reacción, y pueden asignarse a grupos de usuarios finales mediante el filtrado dela regla con definiciones de grupos de usuarios finales.

Reglas de descubrimiento

McAfee DLP Endpoint y McAfee DLP Discover utilizan las reglas de descubrimiento para el análisis dearchivos y datos.

Descubrimiento de Endpoint es un rastreador que se ejecuta en los equipos gestionados. Analiza elsistema de archivos local del endpoint, la bandeja de entrada (en caché) de correo electrónico local ylos archivos PST. El sistema de archivos local y las reglas de descubrimiento de almacenamiento decorreo electrónico definen si el contenido debe ponerse en cuarentena, marcarse o cifrarse. Estastambién pueden definir si debe informarse de los archivos o correos electrónicos clasificados como unincidente, y de si deben almacenarse los archivos o correos electrónicos como prueba del incidente.

Los análisis del sistema de archivos no son compatibles en los sistemas operativos del servidor.

McAfee DLP Discover analiza los repositorios y puede mover o copiar archivos, aplicar directivas degestión de derechos a los archivos y crear incidentes.

Conjuntos de reglas

Las reglas se organizan en conjuntos de reglas. Un conjunto de reglas puede contener cualquiercombinación de tipos de reglas.

Directivas

Las directivas contienen conjuntos de reglas activos y se implementan desde McAfee ePO al softwarecliente McAfee DLP Endpoint o al servidor de descubrimiento. Las directivas de McAfee DLP Endpointtambién contienen información de asignación de directivas y definiciones.

Presentación de McAfee DLP EndpointMcAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles 1


SupervisarRevise los incidentes por infracciones de directiva que se hayan producido.

Entre las funciones de supervisión se incluyen las siguientes:

• Administración de incidentes: Los incidentes se envían al analizador de eventos de McAfee ePOy se almacenan en una base de datos. Los incidentes contienen los detalles sobre la infracción ypueden, opcionalmente, incluir información de pruebas. Puede ver los incidentes y pruebas tal ycomo se reciben en la consola Administrador de incidentes de DLP.

• Administración de casos: Agrupe incidentes relacionados en casos para una revisión exhaustivaen la consola Administración de casos de DLP.

• Eventos operativos: Consulte errores y eventos administrativos en la consola Operaciones de DLP.

• Recopilación de pruebas: Si hay reglas configuradas para la recopilación de pruebas, seguardará una copia de los datos o archivos y se vinculará a un incidente específico. Estainformación ayuda a determinar la gravedad o la exposición del evento. La prueba se ciframediante el algoritmo AES antes de que se guarde.

• Subrayado de coincidencias: Se pueden guardar pruebas resaltando el texto que ha provocadoel incidente. La prueba resaltada se guarda como un archivo HTML cifrado independiente.

• Informes: McAfee DLP Endpoint puede crear informes, gráficos y tendencias para su visualizaciónen los paneles de McAfee ePO.

Módulos del producto y su interacciónMcAfee DLP Endpoint está compuesto de cinco módulos. Además, utiliza el catálogo de directivas, lastareas servidor, la configuración del servidor y los conjuntos de permisos de McAfee ePO.

McAfee DLP 10.0 cuenta con un flujo de trabajo reorganizado con una mayor granularidad.

Catálogo de directivas

El Catálogo de directivas de McAfee ePO almacena las directivas que se despliegan en los equiposendpoint. Las directivas de Data Loss Prevention 10.0 se muestran cuando selecciona dicha opción en la listadesplegable Producto.

Las directivas de McAfee DLP tienen los siguientes componentes:

• Directiva de DLP: Contiene fichas para Conjuntos de reglas activos, Análisis de descubrimiento deendpoints, Configuración y Validación de directivas. Las reglas de descubrimiento en los conjuntos dereglas se pueden aplicar a los análisis de endpoint o de descubrimiento de red cuando McAfee DLPEndpoint y McAfee DLP Discover están instalados en McAfee ePO.

• Configuración del cliente Windows: Contiene información para los equipos de los usuarios finales deMicrosoft Windows.

• Configuración del cliente Mac OS X: Contiene información para los equipos de los usuarios finalesde OS X.

• Configuración del servidor: Contiene ajustes para los servidores de McAfee DLP Discover.

1 Presentación de McAfee DLP EndpointMódulos del producto y su interacción


Tabla 1-2 Configuración del cliente

Ajuste Notas

Configuración avanzada • Cliente de Windows: Configuración de Endpoint y protección deacceso

• Cliente de OS X: Detener la omisión de agente al actualizar

Protección del Portapapeles Activa el Portapapeles de Microsoft Office; se utiliza para agregarprocesos en lista blanca.

Rastreo de contenido Configuración del extractor de texto y procesos en lista blanca para lasreglas de protección de acceso a archivos de la aplicación.

Conectividad corporativa Se utiliza para configurar servidores corporativos y de VPN para lasopciones de protección de datos.

Depuración y registro • Cliente de Windows: Configuración del registro y los volcados dememoria para la solución de problemas y casilla de verificación deimprimir registro.

• Cliente de OS X: Casilla de verificación de imprimir registro.

Descubrimiento (endpoint) Define los parámetros de rendimiento del análisis y el prefijo de loscorreos electrónicos en cuarentena.

Protección de correoelectrónico

Ajustes para las reglas de protección de correo electrónico y laintegración de software de terceros.

Servicio de copia depruebas

Ajustes para el recurso compartido de almacenamiento de pruebas, eltamaño de archivo y la antigüedad de la prueba.

Módulos y modo defuncionamiento

• Cliente de Windows: Define el modo de funcionamiento de DeviceControl o McAfee DLP Endpoint; activa los complementos ycontroladores.

• Cliente de OS X: Define el modo de funcionamiento de DeviceControl o McAfee DLP Endpoint for Mac; los módulos compatibles sonel bloque de dispositivos y el servicio de generación de informes.

Protección contra impresión Se utiliza para agregar procesos en lista blanca.

Cuarentena Ajustes de la carpeta de cuarentena.

Protección dealmacenamiento extraíble

Define el modo de eliminación del almacenamiento extraíble.

Protección contra capturasde pantalla

Agrega compatibilidad con aplicaciones de captura de pantalla.

Componentes de la interfazde usuario

Define la interfaz de usuario de Endpoint.

Protección de la publicaciónweb

Define el comportamiento de las solicitudes HTTP GET, lacompatibilidad con versiones de Google Chrome, la estrategia detiempo de espera y las URL en lista blanca.

Clasificaciones

El módulo Clasificación almacena los criterios de clasificación de contenido, los criterios deidentificación por huellas digitales de contenido y las definiciones utilizadas para configurarlos. Elmódulo también sirve para configurar los repositorios de documentos registrados, la autorización delusuario para el marcado manual y el texto en lista blanca.

Las clasificaciones son necesarias para configurar las reglas de protección de datos y las dedescubrimiento de endpoints y para los análisis de clasificación y corrección de McAfee DLP Discover.

Presentación de McAfee DLP EndpointMódulos del producto y su interacción 1


Administrador de directivas de DLP

El módulo Administrador de directivas de DLP define los conjuntos de reglas, las asignaciones dedirectivas y las definiciones que forman una Directiva de DLP.

Los conjuntos de reglas de DLP definen la protección de datos, el control de dispositivos y las reglasde descubrimiento. Cada regla en un conjunto de reglas puede incluir cualquiera o los tres tipos dereglas. Puede incluir varias reglas en un conjunto de reglas y asignar varios conjuntos de reglas a unaDirectiva de DLP.

Administrador de incidentes y operaciones

El módulo Administrador de incidentes de DLP muestra los eventos de seguridad producidos porinfracciones de directivas. La página Detalles de cada entrada muestra las pruebas especificadas en laconfiguración del cliente, las reglas y las clasificaciones aplicadas, y otros detalles. El móduloOperaciones de DLP muestra eventos administrativos como despliegues o actualizaciones dedirectivas.

Administración de casos

El módulo Administración de casos de DLP permite a los administradores colaborar para llegar a lasolución de incidentes relacionados.

En muchos casos, un incidente no es un evento aislado. Debe ir al Administrador de incidentes de DLPpara consultar otros que tengan propiedades comunes o que se relacionen entre sí. Puede asignarestos incidentes relacionados a un caso. Diversos administradores pueden supervisar y gestionar uncaso en función de sus roles dentro de la organización.

Flujo de trabajo

Utilice el siguiente flujo de trabajo para crear directivas y desplegarlas en los equipos Endpoint.

1 Cree criterios de clasificación y marcado, y las definiciones requeridas para definirlos. (Puede creardefiniciones según sea necesario para definir los criterios).

2 Cree reglas de protección de datos, de dispositivos y de descubrimiento, y las definicionesrequeridas para definirlas.

Las reglas de protección de datos y de descubrimiento incluyen la asignación de una clasificacióncomo parte de la definición de la regla.

1 Presentación de McAfee DLP EndpointMódulos del producto y su interacción


3 Asigne conjuntos de reglas a las directivas de DLP. Cree definiciones de análisis de descubrimientoen las directivas de DLP.

4 Asigne y despliegue las directivas en el Árbol de sistemas.

Figura 1-2 Flujo de trabajo

Funcionamiento del software clienteEl software cliente McAfee DLP Endpoint se despliega como un complemento de McAfee Agent eimplementa las directivas definidas en la directiva de McAfee DLP. El software cliente McAfee DLPEndpoint audita las actividades de los usuarios para supervisar, controlar e impedir que los usuarios noautorizados copien o transfieran información confidencial. A continuación, genera eventos que seregistran mediante el Analizador de eventos de McAfee ePO.

Analizador de eventos

Los eventos generados por el software cliente McAfee DLP Endpoint se envían al Analizador de eventosde McAfee ePO y se registran en tablas de la base de datos de McAfee ePO. Estos eventos sealmacenan en la base de datos para su posterior análisis y se utilizan en otros componentes delsistema.

Funcionamiento con conexión/sin conexión

Puede aplicar diferentes reglas de dispositivos y protección, en función de si el equipo gestionadodispone de conexión (es decir, está conectado a la red de la empresa) o se trata de un equipo sinconexión (desconectado de la red). Algunas reglas también le permiten diferenciar entre equipos quese encuentran dentro de la red y los que se conectan a esta mediante VPN.

Presentación de McAfee DLP EndpointFuncionamiento del software cliente 1


McAfee DLP Endpoint en la plataforma Microsoft WindowsLos equipos basados en Microsoft Windows se pueden proteger con McAfee Device Control o McAfeeDLP Endpoint. El software cliente McAfee DLP Endpoint utiliza tecnología de descubrimiento avanzada,reconocimiento de patrón de texto y diccionarios predefinidos. Identifica contenido de carácterconfidencial e incorpora la administración de dispositivos y el cifrado de capas de control añadidas.

El software Information Rights Management (IRM) protege archivos confidenciales mediante el cifradoy la administración de los permisos de acceso. McAfee DLP Endpoint admite Microsoft RightsManagement Service (RMS) y Seclore FileSecure como métodos complementarios para la protecciónde datos. Un uso típico consiste en evitar la copia de archivos que no están protegidos con IRM.

El software de clasificación verifica que los correos electrónicos y otros archivos se clasifiquen demanera acorde y se marquen de manera protectora. McAfee DLP Endpoint se integra con TitusMessage Classification y Boldon James Email Classifier for Microsoft Outlook para crear reglas deprotección de correo electrónico en función de las clasificaciones aplicadas. Se integra con otrosclientes de clasificación de Titus mediante la SDK de Titus para crear otras reglas de protecciónbasadas en las clasificaciones de Titus aplicadas.

Compatibilidad con lectores de pantalla

Job Access With Sound (JAWS), el software lector de pantalla muy utilizado por invidentes, escompatible con equipos endpoint. Son compatibles las siguientes funciones de McAfee DLP Endpoint:

• Ventana emergente de notificación al usuario final: Si el cuadro de diálogo emergente sedefine para cerrarse manualmente (en Administrador de directivas de DLP), el texto del cuadro selee permitiendo a las personas invidentes navegar por los botones y enlaces.

• Cuadro de diálogo de justificación de usuario final: Es posible acceder al cuadro combinadocon la tecla de tabulación y seleccionarse la justificación con las teclas de flecha.

• Consola de usuario final Historial de notificaciones: Cuando se selecciona la ficha, JAWS leelo siguiente: "Se ha seleccionado la ficha Historial de notificaciones". No hay contenido que permitarealizar acciones. Se lee toda la información en el panel de la derecha.

• Consola de usuario final Descubrimiento: Cuando se selecciona la ficha, JAWS lee lo siguiente:"Se ha seleccionado la ficha Descubrimiento". No hay contenido que permita realizar acciones. Selee toda la información en el panel de la derecha.

• Consola de usuario final Tareas: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se haseleccionado la ficha Tareas". Se puede acceder a todos los pasos con la tecla de tabulación y seleen las instrucciones apropiadas.

• Consola de usuario final Acerca de: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Seha seleccionado la ficha Acerca de". No hay contenido que permita realizar acciones. Se lee toda lainformación en el panel de la derecha.

Múltiples sesiones de usuarios

El software cliente McAfee DLP Endpoint admite un cambio rápido de usuario (FUS) con sesiones devarios usuarios en aquellas versiones del sistema operativo Windows que admiten FUS. Lacompatibilidad con equipos de sobremesa virtuales puede dar lugar a múltiples sesiones de usuariosdesde un único equipo host.

Consola de Endpoint

La consola de Endpoint se ha diseñado para compartir información con el usuario y facilitar laautocorrección de problemas. Se configura en Configuración del cliente | Servicio de interfaz deusuario.

1 Presentación de McAfee DLP EndpointFuncionamiento del software cliente


En los equipos basados en Microsoft Windows, la consola se activa desde el icono de la bandeja deentrada mediante la selección de Administrar funciones | Consola de DLP Endpoint. Una vezconfigurada por completo, tiene cuatro páginas con fichas:

• Historial de notificaciones: Muestra eventos, incluidos los detalles de los eventos agregados.

• Descubrimiento: Muestra los detalles de los análisis de descubrimiento.

• Tareas: Genera códigos de ID e introduce códigos de autorización para la omisión de agente y lacuarentena.

• Acerca de: Muestra información sobre el estado del agente, la directiva activa, la configuración yel grupo de asignación de equipos, incluidos los números de ID de revisión.

McAfee DLP Endpoint en la plataforma OS XMcAfee DLP Endpoint for Mac impide el uso no autorizado de dispositivos extraíbles y proporcionaprotección del contenido de carácter confidencial en equipos endpoint y recursos compartidos de red.

McAfee DLP Endpoint for Mac admite reglas de dispositivos de almacenamiento extraíbles y Plug andPlay. Asimismo, admite las siguientes reglas de protección de datos:

• Reglas de protección de recursos compartidos de red

• Reglas de protección de almacenamiento extraíble

• Reglas de protección de acceso a archivos de la aplicación

Puede identificar contenido de carácter confidencial con las clasificaciones, como en los equipos conWindows, pero no se admiten los documentos registrados ni el marcado. Se reconocen lasclasificaciones manuales, pero no hay ninguna opción de establecerlas ni verlas en la interfaz deusuario. Se admite la extracción de texto, así como el cifrado de pruebas y las definiciones dejustificación empresarial.

Presentación de McAfee DLP EndpointFuncionamiento del software cliente 1


Consola de endpoint

En los equipos endpoint basados en Mac, la consola se activa desde la opción de menú de McAfee enla barra de estado. El Panel se integra con otros software de McAfee instalados, como McAfee

®

VirusScan®

for Mac, y muestra una descripción general del estado de todos los software de McAfeeinstalados. La página Registro de eventos muestra los eventos recientes del software de McAfee. Hagaclic en una entrada para ver los detalles.

Figura 1-3 Pantalla de endpoint de McAfee DLP Endpoint for Mac

Para activar la pantalla de omisión de agente, seleccione Preferencias de la opción de menú.

1 Presentación de McAfee DLP EndpointFuncionamiento del software cliente


Despliegue e instalaciónDetermine la opción de despliegue que mejor se ajuste a su entorno y, acontinuación, instale el software y despliegue los clientes de McAfee DLPEndpoint en los equipos de la empresa.

Capítulo 2 Escenarios y opciones de despliegueCapítulo 3 Instalación del software McAfee DLP Endpoint o Device ControlCapítulo 4 Desplegar el software cliente y las directivas


Despliegue e instalación


2 Escenarios y opciones de despliegue

La clasificación de la información corporativa en distintas categorías de prevención de fuga de datosresulta fundamental en el despliegue y la administración del software McAfee Data Loss PreventionEndpoint.

Contenido Planificación del despliegue Requisitos del sistema

Planificación del despliegueEl esquema ideal depende de los objetivos y las necesidades de la empresa, y es propio de cadainstalación.

Elegir entre las dos opciones de DLP, McAfee Device Control y la versión completa de McAfee DLPEndpoint, constituye el primer paso a la hora de determinar el modo en que se satisfacen dichasnecesidades.

Práctica recomendada: Despliegue en un grupo de muestra

Dada la dificultad de determinar con antelación y exactitud cuáles son sus necesidades exclusivas,despliegue inicialmente en un grupo de muestra de entre 15 y 20 usuarios durante un período deprueba de un mes aproximadamente. Durante este período, no se clasifican datos y se crea unadirectiva para supervisar las transacciones, no bloquearlas. La supervisión de los datos ayuda a losresponsables de seguridad a tomar las decisiones apropiadas sobre dónde y cómo clasificar los datosempresariales. Las directivas creadas a partir de esta información se someten entonces a prueba enun grupo de prueba de mayor tamaño (o, para empresas grandes, en una serie de grupos cada vez demayor tamaño) antes de desplegarlas en toda la empresa.

Instalación

El software de diseño y control de directivas de McAfee DLP se encuentra instalado en McAfee ePO. Enuna instalación sencilla, se utiliza un servidor de McAfee ePO con Microsoft SQL Server, aunque paraempresas más grandes se permiten las instalaciones de varios servidores o entornos de clúster.

El software cliente McAfee DLP Endpoint puede desplegarse en los servidores de Microsoft Windows,estaciones de trabajo y ordenadores portátiles tanto en Device Control como en versiones completasde McAfee DLP Endpoint.

2


Opciones de McAfee DLP Endpoint y Device ControlLa instalación recomendada para una implementación sencilla de McAfee DLP Endpoint está en elservidor de McAfee ePO.

Para ver las recomendaciones sobre si se debe utilizar un servidor independiente para la base de datosde McAfee ePO en instalaciones más complejas, consulte la Hardware Sizing and Bandwidth UsageGuide (Guía sobre el uso del ancho de banda y el tamaño del hardware) para McAfee ePolicyOrchestrator.

Figura 2-1 Componentes y relaciones de McAfee DLP Endpoint

La arquitectura recomendada incluye:

• Servidor de McAfee ePO: Alberga las consolas de McAfee DLP Endpoint, Administrador deincidentes y Operaciones, y se comunica con el software McAfee Agent en los equipos endpoint.

• Analizador de eventos de McAfee ePO: Se comunica con McAfee Agent y almacenainformación de eventos en una base de datos.

• Analizador de eventos de DLP: Recopila eventos de McAfee DLP Endpoint procedentes delAnalizador de eventos de McAfee ePO y los almacena en tablas de DLP en la base de datos deSQL.

• Base de datos de ePO: Se comunica con el Distribuidor de directivas de McAfee ePO paradistribuir directivas y con el Analizador de eventos de DLP para recopilar eventos y pruebas.

• Estación de trabajo del administrador: Accede a McAfee ePO y a la consola de directivas deMcAfee DLP Endpoint en un navegador.

• Endpoint gestionado: aplica las directivas de seguridad mediante el software siguiente:

• Cliente de McAfee DLP Endpoint: Un complemento de McAfee Agent que proporciona lasdirectivas y procesos de McAfee DLP Endpoint.

• McAfee Agent: Proporciona el canal de comunicación entre el servidor de McAfee ePO y elsoftware cliente McAfee DLP Endpoint.

2 Escenarios y opciones de desplieguePlanificación del despliegue


Implementación de McAfee DLP Endpoint en entornos CitrixMcAfee DLP Endpoint para Windows puede instalarse en los controladores de Citrix XenApp yXenDesktop.

El uso de McAfee DLP Endpoint para Windows en entornos de Citrix tiene los siguientes requisitos:

• Citrix XenApp 6.5 FP2 o 7.8

• Citrix XenDesktop 7.0, 7.5 o 7.8

Implemente McAfee Agent y McAfee DLP Endpoint en los controladores de Citrix, como en cualquierequipo endpoint. Implemente una directiva de McAfee DLP Endpoint para Windows en loscontroladores de Citrix.

McAfee DLP Endpoint no tiene que implementarse en los equipos endpoint para funcionar con Citrix.Solo se requiere Citrix Receiver 4.4.1000. Cuando el endpoint de Windows se conecta al controladorde Citrix y abre archivos o correos electrónicos, se aplican las reglas.

Funcionamiento

Las reglas de protección de Citrix se diferencian de McAfee DLP Endpoint instalado en un equipo de laempresa en lo siguiente:

• Las reglas para dispositivos Citrix no se admiten cuando se utiliza un servidor controladorindependiente con XenApp 7.8.

• No se admiten las reglas de protección contra capturas de pantalla. Esto se debe a que la capturade pantalla se activa desde el equipo endpoint donde la regla no surte efecto. Para obtenerprotección contra capturas de pantalla, instale McAfee DLP Endpoint en el equipo endpoint.

• Las reglas de protección del Portapapeles son compatibles, pero sin notificaciones emergentes nieventos. Esto se debe a que el intento de acción de copiar se lleva a cabo en el controlador deCitrix, donde las reglas son compatibles, pero el intento de acción de pegar se lleva a cabo en elendpoint, y no se puede activar la ventana emergente ni generar un evento.

Estas limitaciones no se aplican si utiliza RDP para conectarse al controlador de Citrix.

Requisitos del sistemaTodos los productos de McAfee DLP tienen sus propios requisitos.

Para ver una lista de requisitos del sistema de McAfee DLP Endpoint, consulte las Notas de la versiónde McAfee Data Loss Prevention Endpoint.

Escenarios y opciones de despliegueRequisitos del sistema 2


2 Escenarios y opciones de despliegueRequisitos del sistema


3 Instalación del software McAfee DLPEndpoint o Device Control

La consola de McAfee DLP Endpoint está totalmente integrada en McAfee ePO. Los clientes de McAfeeDLP Endpoint se despliegan mediante McAfee ePO en los equipos de la empresa.

Contenido Instale y añada la licencia a la extensión de McAfee DLP. Instale McAfee DLP Endpoint y el software cliente Device Control.

Instale y añada la licencia a la extensión de McAfee DLP.La extensión proporciona la interfaz de usuario para configurar McAfee DLP en McAfee ePO.

Antes de empezar• Descargue la extensión de McAfee DLP del sitio web de descargas de McAfee.

También puede ir a McAfee ePO y a Menú | Software | Administrador de software para ver,descargar e instalar el software.

• Compruebe que el nombre del servidor de McAfee ePO aparece en la lista Sitios deconfianza en la configuración de seguridad de Internet Explorer.

Debe introducir al menos una clave de licencia (más de una si dispone de varios productos de McAfeeDLP). Las licencias introducidas determinan las opciones de configuración de McAfee ePO disponibles.

Puedes introducir una licencia tanto para McAfee DLP Endpoint como para Device Control en el campoMcAfee DLP Endpoint. Si se reemplaza un tipo de licencia por otro, cambia la configuración.

Puede introducir las claves de estos productos:

• McAfee DLP Endpoint o Device Control

Puedes introducir una licencia tanto para McAfee DLP Endpoint como para Device Control en elcampo McAfee DLP Endpoint. Si se reemplaza un tipo de licencia por otro, cambia la configuración.

• McAfee DLP Discover

• McAfee DLP (red) versión 9.3.4

3


ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, hagaclic en ? o en Ayuda.

1 En McAfee ePO, seleccione Menú | Software | Extensionesy, a continuación, haga clic en Instalar extensión.

2 Vaya al archivo con extensión .zip y haga clic en Aceptar.

El cuadro de diálogo de instalación muestra los parámetros de archivo para verificar que estáinstalando la extensión correcta.

3 Haga clic en Aceptar. Se instalará la extensión.

4 Instale licencias y componentes para personalizar la instalación.

La instalación de la licencia activa los componentes relacionados de McAfee ePO y las directivas delcatálogo de directivas de McAfee ePO. La licencia del producto de la que dispone determina lascaracterísticas disponibles con las que cuenta McAfee DLP.

a Seleccione Menú | Protección de datos | Configuración de DLP.

b Para cada licencia que desee agregar, en el campo Claves de licencia | Clave, introduzca la licencia yluego haga clic en Agregar.

5 Introduzca la ruta en el campo Almacenamiento de pruebas predeterminado.

La ruta de almacenamiento de pruebas debe ser una ruta de red, es decir, \\[servidor]\[recursocompartido]. Este paso es preciso para guardar la configuración y activar el software.

6 (Opcional) Edite las opciones de configuración restantes de la página.

Dichas opciones cuentan con valores predeterminados. Puede aceptar los valores predeterminadosy guardar la página, o bien editarlos según sea necesario.

a Establezca la contraseña compartida.

Práctica recomendada: Si desea mejorar la seguridad, cambie la contraseña.

b Establezca la compatibilidad con versiones anteriores.

Para disfrutar de compatibilidad con antiguos clientes, seleccione la compatibilidad con 9.4.0.0 o9.4.200.0. Este ajuste limita la posibilidad de utilizar nuevas funciones.

Existen dos modos de compatibilidad disponibles: el estricto y el no estricto. En el modoestricto, no se puede aplicar una directiva con errores de compatibilidad con versionesanteriores. En el modo no estricto, el propietario de la directiva (o un usuario con permisos deadministrador) puede optar por aplicar una directiva con errores de compatibilidad conversiones anteriores.

c Establezca la longitud de la clave desafío/respuesta.

Las opciones son claves de 8 y 16 caracteres.

d Establezca los permisos del Árbol de sistemas.

Con el permiso de acceso al Árbol de sistemas se puede filtrar información de incidentes,eventos, consultas y paneles.

e Seleccione la opción de visualización del producto en eventos de Administración de incidentes.

3 Instalación del software McAfee DLP Endpoint o Device ControlInstale y añada la licencia a la extensión de McAfee DLP.


f Seleccione las opciones de correo electrónico de Administración de casos.

g Establezca la zona horaria personalizada de los eventos.

Con ella, el administrador puede ordenar los eventos según su zona horaria local. Este valor esla diferencia de la zona horaria con respecto a la hora UTC.

7 Haga clic en Guardar.

8 Para crear una copia de seguridad de la configuración, haga clic en la ficha Copia de seguridad yrestauración y, a continuación, haga clic en Copia de seguridad en archivo.

Los módulos de McAfee DLP aparecen en Menú | Protección de datos según la licencia.

Procedimientos• Aplicación de compatibilidad con versiones anteriores en la página 31

Puede crear directivas compatibles con versiones anteriores que desplegar en los equiposque ejecutan clientes más antiguos. Esto le permite utilizar la nueva extensión con lasversiones de cliente anteriores, lo que proporciona a las grandes empresas una ruta deampliación ordenada.

• Conversión de directivas y migración de datos en la página 32Ampliar a McAfee DLP 10.0 desde versiones anteriores a 9.4.100 requiere la migración oconversión de los incidentes, los eventos operativos o las directivas. Las tareas servidor deMcAfee ePO se utilizan para la conversión/migración.

Véase también Aplicación de compatibilidad con versiones anteriores en la página 31Creación de carpetas de pruebas en la página 50

Aplicación de compatibilidad con versiones anterioresPuede crear directivas compatibles con versiones anteriores que desplegar en los equipos queejecutan clientes más antiguos. Esto le permite utilizar la nueva extensión con las versiones de clienteanteriores, lo que proporciona a las grandes empresas una ruta de ampliación ordenada.

La compatibilidad con versiones anteriores está disponible para McAfee DLP 9.4.0 y las últimasdirectivas. Las opciones aparecen en la página Configuración de DLP (Menú | Protección de datos |Configuración de DLP). La compatibilidad con versiones anteriores no está disponible para las directivas deMcAfee DLP 9.3. Las directivas de versiones anteriores a la 9.4.0 se deben migrar al esquema 9.4.

Al elegir la opción de compatibilidad de la versión 9.4.0.0 con el modo no estricto, pueden producirseerrores en la directiva cuando se seleccionan las opciones de regla que no son compatibles con dichaversión. Si está en vigor el modo estricto, dichas directivas fallan al intentar aplicarse a la base dedatos de McAfee ePO. Si está en vigor el modo no estricto y hay errores de compatibilidad en ladirectiva, se abrirá una ventana de advertencia al intentar aplicarla.

Instalación del software McAfee DLP Endpoint o Device ControlInstale y añada la licencia a la extensión de McAfee DLP. 3


Al seleccionar la casilla de verificación, se aplica la directiva con errores. Los errores se muestran en elCatálogo de directivas en la página activa de Directiva de DLP | Validación de directivas. La columnaDetalles de la página incluye una descripción de lo que puede ocurrir si aplica la regla con el error alos clientes endpoint que no admiten esta función. Puede editar la regla desde esta página paracorregir el error.

Ejemplo: Descripciones de dispositivosLas definiciones de los dispositivos en las versiones 9.4.200 y 10.0 de McAfee DLP puedenincluir un parámetro opcional llamado Descripción del dispositivo no disponible enversiones anteriores. Utilizar una descripción del dispositivo para definir una definición deldispositivo e incluir dicha definición en una regla de Device Control, crea un conjunto dereglas que no se pueden aplicar a clientes con la versión 9.4.0. Si acepta la directiva apesar de la advertencia, aparece el error en la página Validación de directivas. El campoDetalles explica el error "hará coincidir y realizará reacciones para dispositivos que nodeseaba hacer coincidir...". Puede hacer clic en Editar para reparar el error.

Véase también Conversión de directivas y migración de datos en la página 32

Conversión de directivas y migración de datosAmpliar a McAfee DLP 10.0 desde versiones anteriores a 9.4.100 requiere la migración o conversión delos incidentes, los eventos operativos o las directivas. Las tareas servidor de McAfee ePO se utilizanpara la conversión/migración.

Antes de empezarEsta tarea describe la ampliación desde McAfee DLP Endpoint 9.3.x.

Puede ampliar desde McAfee DLP Endpoint 9.4.0 directamente. Puede definir lacompatibilidad con versiones anteriores para dar soporte a clientes de 9.4.0, pero debeejecutar la tarea servidor Conversión de eventos de incidentes de DLP de la versión 9.4 a la 9.4.1 y superioressi desea mostrar incidentes y eventos operativos antiguos en la versión 10.0 de lasconsolas Administrador de incidentes de DLP y Operaciones de DLP.

Amplíe la extensión de McAfee DLP Endpoint a la versión 9.3.600 (9.3 parche 6) o posteriory, después, instale McAfee DLP 9.4.100 o una extensión posterior en McAfee ePO.

La tarea de conversión de directivas solo convierte las reglas que están activadas yaplicadas a la base de datos. Para comprobar el estado de las reglas que desea convertir,revise su directiva de McAfee DLP Endpoint 9.3 antes de la conversión.

3 Instalación del software McAfee DLP Endpoint o Device ControlInstale y añada la licencia a la extensión de McAfee DLP.



1 En McAfee ePO, seleccione Menú | Automatización | Tareas servidor.

2 Seleccione Conversión de directivas de DLP y, a continuación, haga clic en Acciones | Ejecutar.

Se abre la página Registro de tareas servidor y le permite verificar que la tarea se está ejecutando.La directiva convertida es compatible con la versión 9.4.100 y con directivas posteriores.

La tarea falla si se ha ejecutado con anterioridad. Si hace cambios en la directiva McAfee DLP 9.3 ydesea volver a ejecutar la conversión, edite la tarea servidor eliminando la selección de la opción Noejecutar la conversión de directivas si existe el 'Conjunto de reglas de conversión de directivas [9.3]' en la página Acciones.El conjunto de reglas anterior se borra y sustituye.

3 Vuelva a la página Tareas servidor, seleccione Migración de incidentes de DLP y, a continuación, haga clic enAcciones | Editar.

La opción Migración de eventos operativos de DLP se lleva a cabo de la misma forma.

4 Seleccione Estado de planificación | Activado y, a continuación, Siguiente dos veces.

La migración está preprogramada, de modo que puede omitir la página Acciones.

5 Seleccione un tipo de planificación y la repetición de esta.

Práctica recomendada: Planificar las tareas de migración para que se realicen los fines de semanao en horario no laborable debido a la carga que suponen para el procesador.

a Establezca la fecha de inicio y fecha de fin para definir un período de tiempo y programar latarea para cada hora.

b Planifique la repetición de la tarea según el tamaño de la base de datos de incidentes que vayaa migrar.

Los incidentes se migran en grupos de 200 000.

6 Haga clic en Siguiente para revisar la configuración; a continuación, haga clic en Guardar.

Instale McAfee DLP Endpoint y el software cliente DeviceControl.

Use McAfee ePO para desplegar el software cliente en equipos endpoint.Para llevar a cabo una instalación limpia del software cliente 10.0 de McAfee DLP Endpoint, no esnecesario volver a iniciar el equipo endpoint. Sin embargo, si amplía el software desde una versiónanterior, se debe reiniciar el equipo endpoint tras la instalación.


1 En McAfee ePO, seleccione Menú | Software | Repositorio principal.

2 En el repositorio principal, haga clic en Incorporar paquete.

Instalación del software McAfee DLP Endpoint o Device ControlInstale McAfee DLP Endpoint y el software cliente Device Control. 3


3 Seleccione el tipo de paquete Producto o actualización (.ZIP). Haga clic en Examinar.

En el caso de cliente de Microsoft Windows, vaya a ...\HDLP_Agent_10_0_0_xxx.zip. En el caso decliente de Mac, vaya a ...\DlpAgentInstaller.zip.

4 Haga clic en Siguiente.

5 Revise los detalles en la pantalla Incorporar paquete y, a continuación, haga clic en Guardar.

El paquete se agrega al repositorio principal.

3 Instalación del software McAfee DLP Endpoint o Device ControlInstale McAfee DLP Endpoint y el software cliente Device Control.


4 Desplegar el software cliente y lasdirectivas

Las directivas de McAfee DLP las implementa McAfee Agent en los equipos endpoint.

El primer paso es el despliegue del software cliente de McAfee DLP Endpoint, un complemento deMcAfee Agent, en los equipos endpoint.

Práctica recomendada: Utilice McAfee ePO para el despliegue del cliente. El despliegue manual esposible en los casos en los que el despliegue de McAfee ePOno lo es.

Contenido Desplegar el cliente de McAfee DLP Endpoint con McAfee ePO Verificación de la instalación Desplegar directivas con McAfee ePO

Desplegar el cliente de McAfee DLP Endpoint con McAfee ePOAntes de poder aplicar directivas, el cliente de McAfee DLP Endpoint debe desplegarse en los equiposendpoint mediante McAfee ePO.

Antes de empezarDebe instalarse una versión actual de McAfee Agent en McAfee ePO y desplegarse en losequipos de destino antes de desplegar McAfee DLP Endpoint. Consulte las notas de laversión de McAfee Data Loss Prevention Endpoint para las versiones de McAfee Agentcompatibles con equipos endpoint de Microsoft Windows y Mac OS X.

Consulte la documentación de McAfee ePO para obtener información acerca de cómocomprobar la versión y cómo instalarla en caso necesario.

4



1 En McAfee ePO, seleccione Menú | Árbol de sistemas.

2 En el Árbol de sistemas, seleccione el nivel en el que desea desplegar McAfee DLP Endpoint.

Al definir el nivel en Mi organización, se despliega en todas las estaciones de trabajo gestionadas porMcAfee ePO.

Si selecciona un nivel inferior a Mi organización, todas las estaciones de trabajo disponiblesaparecerán en el panel derecho. También puede desplegar McAfee DLP Endpoint en las estacionesde trabajo individuales.

3 Abra el asistente Generador de tareas cliente: haga clic en la ficha Tareas cliente asignadas. Seleccione Acciones| Nueva asignación de tareas cliente.

Se abre el asistente de Generador de tareas cliente.

4 Rellene los campos del generador de tareas:

• En el campo Producto, seleccione McAfee Agent.

• En el campo Tipo de tarea, seleccione Despliegue de producto.

5 Haga clic en Crear nueva tarea.

6 En el campo Productos y componentes, seleccione Data Loss Prevention 9.4. El campo Acción se restablece deforma automática a Instalar. Haga clic en Guardar.

7 Cambie el Tipo de planificación a Ejecutar inmediatamente. Haga clic en Siguiente.

8 Revise el resumen de tareas. Cuando considere que todo está correcto, haga clic en Guardar. Latarea queda programada para la siguiente vez que McAfee Agent actualice la directiva. Para que lainstalación se realice inmediatamente, realice una llamada de activación del agente.

9 Una vez desplegado McAfee DLP Endpoint, reinicie los equipos gestionados.

4 Desplegar el software cliente y las directivasDesplegar el cliente de McAfee DLP Endpoint con McAfee ePO


Verificación de la instalaciónDespués de instalar el software McAfee DLP Endpoint, compruebe la instalación en la consolaOperaciones de DLP.

Procedimiento1 En McAfee ePO, seleccione Menú | Protección de datos | Operaciones de DLP. Haga clic en un evento para

ver los detalles.

Figura 4-1 Panel de detalles de Operaciones de DLP

2 Compruebe la instalación del software cliente McAfee DLP Endpoint desde el icono de la bandeja delsistema de McAfee Agent en el equipo endpoint seleccionando Acerca de. Desplácese por lainformación acerca de McAfee DLP Endpoint.

Desplegar directivas con McAfee ePOLas directivas de McAfee DLP Endpoint contienen conjuntos de reglas, clasificaciones, definiciones, yconfiguraciones de cliente y servidor.

McAfee DLP Endpoint funciona con las siguientes directivas:

• Directiva de DLP

• Configuración del cliente

A cada una de estas directivas se les asigna el número de revisión 1 en el momento de su creación yel número incrementa cada vez que se modifica la directiva. El número de revisión es importante paralos procesos de solución de problemas de compatibilidad, ya que garantiza que los cambios que serealizan en las directivas se aplican realmente en los equipos Endpoint. También se utiliza a la hora desolicitar la omisión de cliente o de desinstalar la clave. La consola de DLP Endpoint en el equipo delcliente muestra los números de revisión de la directiva actual.

Antes de aplicar una directiva, compruebe que:

• Todos los parámetros estén configurados correctamente.

• Todas las reglas estén activadas.

• Haya grupos de usuarios finales (cuando se precise) asignados a cada regla.

Asignar una configuración de directivas o clientesLas directivas aplicadas a McAfee ePO se deben asignar y desplegar en los equipos gestionados parapoder hacer uso de ellas.

Desplegar el software cliente y las directivasVerificación de la instalación 4



1 En McAfee ePO, seleccione Menú | Árbol de sistemas.

2 Localice el directorio que contenga los equipos a los que se vaya a asignar una directiva yselecciónelos.

3 Seleccione Acciones | Agente | Activar agentes.

4 Seleccione Llamada de activación del agente y defina el valor de Ejecución aleatoria en 0 minutos. Haga clic enAceptar.

5 Cuando haya finalizado la llamada de activación del agente, volverá al árbol de sistemas. Vuelva aseleccionar los equipos a los que se asignará una directiva y haga clic en Acciones | Agente | Definir ladirectiva y la herencia.

6 En la página Asignar directiva:

a En la lista desplegable Producto, seleccione Data Loss Prevention [versión].

b En la lista desplegable Categoría, seleccione la directiva que desea asignar: Directiva de DLP,Configuración del cliente Windows o Configuración del cliente Mac OS X.

c En la lista desplegable Directiva, seleccione la directiva que desea asignar.

7 Haga clic en la opción Interrumpir herencia y, después, en Guardar.

Actualización de la directivaEl despliegue de la directiva del sistema se basa en el servidor de McAfee ePO y la actualización de ladirectiva en los equipos gestionados se realiza según la configuración de McAfee Agent. Sin embargo,puede actualizar en McAfee ePO sin esperar a la actualización programada.


1 En McAfee ePO, seleccione Menú | Árbol de sistemas y, a continuación, seleccione el equipo o losequipos que deben actualizarse.

2 Haga clic en Más acciones | Activar agentes.

3 Seleccione el tipo de llamada de activación del agente y defina el valor de Ejecución aleatoria en 0minutos. Haga clic en Aceptar.

El servidor de McAfee ePO actualiza las directivas de forma planificada. Los usuarios de los equiposgestionados no actualizan las directivas de forma manual a menos que se les solicite de formaexpresa.

4 Desplegar el software cliente y las directivasDesplegar directivas con McAfee ePO


Configuración y usoConfigure el software para lograr un uso optimizado en el entornoempresarial según las decisiones de gestión sobre qué contenido debeprotegerse y cuál es el mejor modo de protegerlo.

Capítulo 5 Configuración de los componentes del sistemaCapítulo 6 Protección de medios extraíblesCapítulo 7 Clasificación del contenido confidencialCapítulo 8 Uso de las directivasCapítulo 9 Protección de contenido de carácter confidencialCapítulo 10 Análisis de datos con descubrimiento de McAfee DLP Endpoint


Configuración y uso


5 Configuración de los componentes delsistema

Los componentes del sistema se pueden personalizar para dar respuesta a las necesidades de suempresa. La configuración de las opciones del sistema y de los agentes permite optimizar el sistemapara proteger la información confidencial de la empresa de forma eficaz.

Contenido Catálogo de directivas Configuración de McAfee DLP en el catálogo de directivas Protección de archivos mediante la gestión de derechos Documentación de eventos mediante pruebas Control de asignaciones con usuarios y conjuntos de permisos Configuración de clasificaciones manuales

Catálogo de directivasEl Catálogo de directivas de McAfee ePO puede mostrar las siguientes configuraciones de directivas deMcAfee DLP:

• Directiva de DLP: contiene los conjuntos de reglas activos asignados a la directiva, los análisis dedescubrimiento de endpoint planificados y la configuración de la estrategia de aplicaciones, las omisiones declases de dispositivos y los usuarios con privilegios, así como la validación de directivas.

• Configuración del servidor: contiene la configuración de McAfee DLP Discover. Le permite definirlas opciones de servicio de copia de pruebas y de registro, los ajustes de administración dederechos y de SharePoint, y las opciones de extractor de texto.

Esta configuración solo se muestra si se ha registrado una licencia de McAfee DLP Discover.

• Configuraciones del cliente: las configuraciones independientes de los equipos Windows y OS Xcontienen los ajustes de configuración para los clientes de McAfee DLP Endpoint. Los ajustesdeterminan cómo aplican los clientes las directivas de McAfee DLP en los equipos Endpoint.

5


Configuración de McAfee DLP en el catálogo de directivasMcAfee DLP utiliza el catálogo de directivas de McAfee ePO para almacenar directivas y configuracionesde cliente.

McAfee DLP crea directivas en el catálogo de directivas de McAfee ePO:

• Directiva de DLP

• Configuración del servidor

• Configuración del cliente

La Directiva de DLP incluye Conjuntos de reglas activos, la configuración de Descubrimiento de endpoint, Configuracióny la Validación de directivas.

La directiva Configuración del servidor es donde se activa el Servicio de copia de pruebas para McAfee Data LossPrevention Discover y se introduce la ruta de acceso al recurso compartido de almacenamiento depruebas. También es en la que establece los parámetros de Registro (tipo de salida del registrador ynivel de registro).

La directiva de configuración del cliente contiene los ajustes que determinan cómo funcionan losequipos endpoint con las directivas.

Importar o exportar la configuración de McAfee DLP EndpointLas configuraciones de directivas de endpoint pueden guardarse en formato HTML como copia deseguridad o transferir las directivas a otros servidores de McAfee ePO.

No utilice este procedimiento para guardar configuraciones de directivas de DLP. Mientras que la opciónExportar guarda el archivo, la opción Importar no puede importarlo. Para guardar las directivas de DLP,utilice la página Copia de seguridad y restauración en Configuración de DLP.


1 En McAfee ePO, seleccione Catálogo de directivas | Producto | Data Loss Prevention.

2 Siga uno de estos procedimientos:

• Para exportar, haga clic en Exportar. En la ventana Exportar, haga clic con el botón derecho en elvínculo del archivo y seleccione Guardar vínculo como para guardar la directiva como un archivoXML.

El botón Exportar exporta todas las directivas. Puede exportar una directiva individual,seleccionando Exportar en la columna Acciones en la fila de nombre de directiva.

• Para importar una directiva guardada, haga clic en Importar. En la ventana Importar directivas, vaya auna directiva guardada, haga clic en Abrir y, a continuación, en Aceptar.La ventana de importación se abre, mostrando las directivas que está a punto de importar y sihay un conflicto de nombre. Puede anular la selección de cualquier directiva en conflicto y noimportarla. Si decide importar una directiva con un conflicto de nombre, esta sobrescribirá ladirectiva existente y asumirá sus asignaciones.

Configuración del clienteEl software cliente McAfee DLP Endpoint para McAfee Agent reside en los equipos de la empresa yejecuta la directiva definida. Asimismo, el software supervisa las actividades del usuario que afectan al

5 Configuración de los componentes del sistemaConfiguración de McAfee DLP en el catálogo de directivas


contenido de carácter confidencial. La configuración del cliente se almacena en la directiva, que sedespliega en los equipos gestionados.

El Catálogo de directivas viene con las directivas predeterminadas de McAfee para las configuracionesde Endpoint en Microsoft Windows y OS X, y la directiva de DLP. Haga clic en Duplicar (en la columnaAcciones) para crear una copia editable como base de su directiva.

La configuración del cliente se almacena en la directiva, que se despliega en los equipos gestionadosmediante McAfee ePO. Si se actualiza la configuración, debe volver a desplegar la directiva.

Vigilancia del servicio del cliente

Para mantener el funcionamiento normal del software McAfee DLP Endpoint, incluso en caso deinterferencia malintencionada, McAfee DLP Endpoint ejecuta un servicio de protección denominadoVigilancia del servicio del cliente. Este servicio supervisa el software McAfee DLP Endpoint y lo reiniciasi se interrumpe su ejecución por cualquier motivo. El servicio está activado de forma predeterminada.Si desea comprobar que se está ejecutando, busque en los procesos del Administrador de tareas deWindows un servicio denominado fcagswd.exe.

La vigilancia del servicio del cliente no se puede utilizar en McAfee DLP Endpoint for Mac.

Opciones de configuración del cliente

Las opciones de configuración del cliente determinan cómo funciona el software del endpoint. Lamayor parte de las opciones de configuración del cliente tienen valores predeterminados razonablesque se pueden utilizar para la configuración y las pruebas iniciales sin alteración.

Práctica recomendada: Para comprobar que las opciones de configuración del cliente siguencumpliendo sus requisitos, revíselas periódicamente.

La siguiente tabla incluye algunos de los ajustes más importantes que debe comprobar.

Tabla 5-1 Configuración del endpoint

Ajuste Detalles Descripción

Configuración avanzada Cliente de MicrosoftWindows: Ejecutar elcliente de DLP en modoseguro

Desactivada de forma predeterminada. Al activar estaopción, McAfee DLP Endpoint es completamentefuncional cuando el equipo se inicia en modo seguro.Existe un mecanismo de recuperación en caso de que elcliente de McAfee DLP Endpoint provoque un fallo dearranque.

Rastreo de contenido Utilizar la siguiente páginade código ANSI de respaldo

Si no se define ningún idioma, el respaldo es el idiomapredeterminado del equipo Endpoint.

Procesos en lista blanca Se agregan procesos y extensiones a la lista blanca.

Conectividad corporativa Detección de redcorporativa

Detección de VPNcorporativa

Se pueden aplicar diferentes acciones preventivas aequipos endpoint dentro de la red corporativa o fuera dela red. En el caso de algunas reglas, pueden aplicarsedistintas acciones preventivas cuando se está conectadoa una VPN. Para usar la opción de VPN o determinar laconectividad de la red por servidor corporativo y no porconexión a McAfee ePO, defina la dirección IP delservidor en la sección pertinente.

Protección de correoelectrónico

Almacenamiento en cachéde correos electrónicos

Almacena las firmas de etiqueta de correos electrónicosen el disco para eliminar los que se han vuelto aanalizar.

Configuración de los componentes del sistemaConfiguración de McAfee DLP en el catálogo de directivas 5


Tabla 5-1 Configuración del endpoint (continuación)

Ajuste Detalles Descripción

API de administración decorreo electrónico

El correo electrónico saliente lo gestiona tanto el modelode objetos de Outlook (OOM) como la interfaz deprogramación de aplicaciones de mensajería (MAPI).OOM es la API predeterminada, aunque algunasconfiguraciones requieren MAPI.

Integración delcomplemento de terceros deOutlook

Se admiten dos aplicaciones de clasificación de terceros:Titus y Boldon James.

Estrategia de tiempo deespera de correo electrónico

Establece el tiempo máximo permitido para analizar uncorreo electrónico y la acción aplicable si se superadicho tiempo.

Servicio de copia depruebas

Recurso compartidode almacenamiento depruebas (UNC)

Sustituya el texto de ejemplo por el recurso compartidode almacenamiento de pruebas.

Configuración de cliente Se puede modificar la manera en que se muestra elsubrayado de coincidencias definiendo las coincidenciasde clasificación de forma que aparezcan todas o solo losresultados abreviados.

Módulos y modo defuncionamiento

Modo de funcionamiento Defina Device Control o el modelo completo de McAfeeDLP Endpoint. Restablezca este parámetro para ampliaro reducir su licencia.

Módulos de protección dedatos

Active los módulos necesarios.

Práctica recomendada: Para mejorar elrendimiento, anule la selección de los módulos que noutilice.

Protección de lapublicación web (solopara cliente deWindows)

Evaluación de protecciónweb

Seleccione entradas para la evaluación de la solicitudweb al que coinciden con las reglas de protección web.Esta configuración permitir bloquear solicitudes enviadaspor AJAX a otra dirección URL desde la que se muestraen la barra de direcciones. Debe seleccionar al menosuna opción.

Procesar solicitudes HTTPGET

Las solicitudes GET están desactivadas de formapredeterminada porque consumen muchos recursos.Utilice esta opción con precaución.

Versiones de Chromecompatibles

Si utiliza Google Chrome, haga clic en Examinar paraagregar la lista actual de versiones compatibles. La listaes un archivo XML que descarga del Soporte de McAfee.

Estrategia de tiempo deespera de Web

Establece el tiempo de espera de análisis de publicaciónweb, la acción que realizar si se sobrepasa el tiempo deespera y un mensaje de usuario opcional.

Direcciones URL en listablanca

Enumera las direcciones URL excluidas de las reglas deprotección de la publicación web.

5 Configuración de los componentes del sistemaConfiguración de McAfee DLP en el catálogo de directivas


Compatibilidad con los parámetros de configuración del clienteMcAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac están configurados de forma similaren directivas del cliente distintas.

Tabla 5-2 Página de depuración y registro

Parámetro Compatibilidad con sistemas operativos

Eventos administrativoscomunicados por los clientes

Las opciones de configuración de filtro que se pueden aplicar en McAfeeDLP Endpoint for Windows y McAfee DLP Endpoint for Mac son:• Cliente entra en el modo de omisión

• Cliente sale del modo de omisión

• Cliente instalado

Todos los demás ajustes corresponden solo a McAfee DLP Endpoint paraWindows.

Registro Se puede utilizar en McAfee DLP Endpoint para Windows y McAfee DLPEndpoint for Mac.

Tabla 5-3 Página Componentes de la interfaz de usuario

Sección Parámetro Compatibilidad con sistemas operativos

Interfaz de usuario cliente Mostrar consola de DLP (todas lasopciones)

McAfee DLP Endpoint para Windowsúnicamente

Activar ventana emergente denotificación al usuario final

McAfee DLP Endpoint para Windows yMcAfee DLP Endpoint for Mac

Mostrar cuadro de diálogo desolicitud de justificación

McAfee DLP Endpoint para Windows yMcAfee DLP Endpoint for Mac

Desafío y respuesta Todas las opciones McAfee DLP Endpoint para Windows yMcAfee DLP Endpoint for Mac

Directiva de bloqueo de códigode autorización

Todas las opciones McAfee DLP Endpoint para Windows yMcAfee DLP Endpoint for Mac

Imagen de banner de cliente Todas las opciones McAfee DLP Endpoint para Windowsúnicamente

Protección de archivos mediante la gestión de derechosMcAfee DLP Endpoint y McAfee DLP Discover pueden integrarse con los servidores de administraciónde derechos (RM) para aplicar la protección a los archivos que coincidan con las clasificaciones de laregla.

Con la versión 10.0 de McAfee DLP Endpoint, debe instalar Active Directory Rights ManagementServices Client 2.1 compilación 1.0.2004.0 en todos los equipos endpoint que utilicen servicios deadministración de derechos. El comando Aplicar directiva de administración de derechos no funciona sin estaversión del cliente de administración de derechos.

Puede aplicar una reacción de la directiva de administración de derechos a la protección de datos y alas reglas de descubrimiento:

Configuración de los componentes del sistemaProtección de archivos mediante la gestión de derechos 5


• Protección en la nube

• Sistema de archivos de Endpoint

Las directivas de administración de derechos no se pueden utilizar con las reglas de Device Control.

McAfee DLP puede reconocer los archivos protegidos con administración de derechos añadiendo unapropiedad de cifrado de archivos a los criterios de clasificación o identificación por huellas digitales decontenido. Dichos archivos pueden incluirse o excluirse de la clasificación.

Funcionamiento de McAfee DLP con la administración dederechosMcAfee DLP sigue un flujo de trabajo para aplicar las directivas de administración de derechos a losarchivos.

Flujo de trabajo de la administración de derechos

1 Cree y aplique una protección de datos o una regla de descubrimiento con una reacción paraaplicar la directiva de administración de derechos. La reacción requiere un servidor deadministración de derechos y la introducción de una directiva de administración de derechos.

2 Cuando un archivo activa la regla, McAfee DLP envía el archivo al servidor de administración dederechos.

3 El servidor de administración de derechos aplica las protecciones en función de la directivaespecificada, como el cifrado del archivo, la limitación de los usuarios con permiso para acceder aél o descifrarlo y la limitación de las condiciones en las que se puede acceder al archivo.

4 El servidor de administración de derechos envía el archivo de vuelta al origen con las proteccionesaplicadas.

5 Si ha configurado una clasificación para el archivo, McAfee DLP puede supervisar dicho archivo.

Cuando el software de McAfee DLP que aplica la regla de descubrimiento del sistema de archivosencuentra un archivo que proteger, utiliza el GUID de la plantilla como identificador exclusivo paralocalizar la plantilla y aplicar la protección.

Limitaciones

El software de McAfee DLP Endpoint no inspecciona los archivos protegidos por la administración dederechos en relación con el contenido. Cuando se aplica al archivo una clasificación protegida por laadministración de derechos, únicamente se mantienen los criterios de identificación de contenido porhuellas digitales (ubicación, aplicación o aplicación web). Si un usuario modifica el archivo, todas lasfirmas de huella digital se pierden al guardar el archivo.

Servidores de administración de derechos compatiblesMcAfee DLP Endpoint es compatible con Microsoft Windows Rights Management Services (MicrosoftRMS) y con Seclore FileSecure™ Information Rights Management (IRM). McAfee DLP Discover escompatible con Microsoft RMS.

Microsoft RMS

McAfee DLP es compatible con Microsoft RMS en Windows Server 2003 y Active Directory RMS(AD-RMS) en Windows Server 2008 y 2012. Puede aplicar la protección de Windows RightsManagement Services a:

5 Configuración de los componentes del sistemaProtección de archivos mediante la gestión de derechos


Tipo de documento Versión

Microsoft Word 2010, 2013 y 2016

Microsoft Excel

Microsoft PowerPoint

SharePoint 2007

Exchange Server

Con Microsoft RMS, McAfee DLP puede inspeccionar el contenido de los archivos protegidos si elusuario actual cuenta con permisos de visualización.

Para obtener más información sobre Microsoft RMS, visite http://technet.microsoft.com/es-es/library/cc772403.aspx.

Seclore IRM

McAfee DLP Endpoint es compatible con Seclore FileSecure RM, que admite más de 140 formatos dearchivo, entre ellos los formatos de documento más usados:

• Documentos de Microsoft Office.

• Documentos de Open Office.

• Archivos PDF.

• Formatos de texto y basados en texto, incluidos: CSV, XML y HTML.

• Formatos de imagen, incluidos: JPEG, BMP, GIF, etc.

• Formato de diseño de ingeniería, incluidos: DWG, DXF y DWF.

El cliente de McAfee DLP Endpoint trabaja con FileSecure Desktop Client para ofrecer integración tantoen línea como fuera de línea.

Para obtener más información sobre Seclore IRM, visite http://seclore.com/seclorefilesecure_overview.html.

Definir un servidor de administración de derechosMcAfee DLP Endpoint admite dos sistemas de administración de derechos: Microsoft Windows RightsManagement Services (RMS) y Seclore FileSecure™. Para utilizar estos sistemas, configure el servidorproporcionando las directivas de administración de derechos en McAfee ePO.

Antes de empezar• Configure los servidores de administración de derechos, y cree usuarios y directivas.

Obtenga la URL y la contraseña para todos los servidores: plantilla de directiva,certificación y licencias. Para Seclore, necesita el ID de archivo CAB de Hot Folder y lafrase de contraseña, así como información sobre licencias avanzadas, si las hubiera.

• Compruebe que tenga permiso para ver, crear y editar los servidores de Microsoft RMS ySeclore. En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos ycompruebe que pertenece a un grupo que tiene los permisos requeridos en Servidoresregistrados.

Configuración de los componentes del sistemaProtección de archivos mediante la gestión de derechos 5


http://technet.microsoft.com/en-us/library/cc772403.aspx

http://technet.microsoft.com/en-us/library/cc772403.aspx

http://seclore.com/seclorefilesecure_overview.html

http://seclore.com/seclorefilesecure_overview.html


1 En McAfee ePO, seleccione Menú | Servidores registrados.

2 Haga clic en Nuevo servidor.

Se abre la página de descripción de Servidores registrados.

3 En la lista desplegable Tipo de servidor, seleccione el tipo de servidor que desea configurar: ServidorMicrosoft RMS o Servidor Seclore.

4 Escriba un nombre para la configuración del servidor y, a continuación, haga clic en Siguiente.

5 Introduzca los detalles necesarios. Cuando haya introducido los campos necesarios, haga clic enProbar conectividad para verificar los datos introducidos.

• Los ajustes de RMS también incluyen una sección Configuración de implementación de DLP. El campoRuta local a la plantilla de RMS es opcional, pero los campos de URL para la certificación y las licenciasson obligatorios a menos que elija la opción de descubrimiento de servicios automático conActive Directory.

• Seclore requiere información de HotFolder Cabinet, pero la información de licencias adicional esopcional.

6 Haga clic en Guardar cuando haya terminado la configuración.

Documentación de eventos mediante pruebasLa prueba es una copia del archivo o del correo electrónico que ha provocado la publicación de unevento de seguridad en el Administrador de incidentes de DLP.

Uso de pruebas y del almacenamiento de pruebasLa mayoría de las reglas permiten almacenar pruebas. Cuando esta opción está seleccionada, sealmacena una copia cifrada del contenido bloqueado o supervisado en la carpeta de pruebaspredefinida en el equipo endpoint.Cuando McAfee DLP transmite información al servidor, la carpeta se purga y la prueba se almacena enla carpeta de pruebas del servidor. Puede especificar el tamaño máximo y la antigüedad delalmacenamiento local de pruebas cuando el equipo está fuera de línea.

Requisitos previos para almacenamiento de pruebasEl almacenamiento de pruebas está activado de manera predeterminada en McAfee DLP. Si no deseaguardar pruebas, puede aumentar el rendimiento desactivando el servicio de pruebas. A continuaciónse indican las opciones obligatorias o los valores predeterminados a la hora de configurar el software:

• Carpeta de almacenamiento de pruebas: crear una carpeta de almacenamiento de pruebas yespecificar la ruta UNC a la carpeta son requisitos para la aplicación de una directiva en McAfeeePO. Especifique la ruta en Catálogo de directivas de la página Servicio de copia de pruebas de la directiva deconfiguración.

• Servicio de copia de pruebas: el servicio de copia de pruebas de McAfee DLP se activa en lapágina Módulos y modo de funcionamiento de la directiva de configuración del cliente. Para recopilarpruebas, también debe activarse la opción Servicio de generación de informes, en la que consta comoentrada secundaria. En el caso de McAfee DLP Discover, el servicio se activa en la directiva deconfiguración del servidor.

5 Configuración de los componentes del sistemaDocumentación de eventos mediante pruebas


Almacenamiento de pruebas y memoria

El número de archivos de pruebas almacenados por evento influye en el volumen de almacenamiento,el rendimiento del analizador de eventos y la presentación en pantalla (y, por tanto, la experiencia delusuario) de las páginas Administrador de incidentes de DLP y Operaciones de DLP. Para cumplir con requisitos depruebas diferentes, el software McAfee DLP realiza lo siguiente:

• El número máximo de archivos de pruebas que almacenar por evento se define en la página Serviciode copia de pruebas de la directiva de configuración del cliente. El valor predeterminado es 1000.

• Cuando un gran número de archivos de pruebas se vinculan a un solo evento, solo los primeros100 nombres de archivo se almacenan en la base de datos y se muestran en la página de detallesAdministrador de incidentes de DLP. Los archivos de pruebas restantes (hasta el máximo definido) sealmacenan en recurso compartido de almacenamiento de pruebas, pero no se asocian al evento. Enel caso de los informes y las consultas, para los que se filtran las pruebas en función del nombre dearchivo, solo se tiene acceso a los 100 primeros nombres de archivo.

• El campo Número de correspondencias total del Administrador de incidentes de DLP muestra el número total depruebas.

Subrayado de coincidencias

La opción de subrayado de coincidencias permite a los administradores identificar exactamente elcontenido de carácter confidencial que ha provocado un evento. Cuando se selecciona, se guarda unarchivo de pruebas HTML cifrado que contiene el texto extraído.

El archivo de pruebas se compone de fragmentos; un fragmento de huellas digitales y clasificacionesde contenido contiene normalmente el texto confidencial, con 100 delante y 100 detrás (por contexto)organizados por la huella digital o la clasificación de contenido que activó el evento. Además, incluyeun recuento del número de eventos por huella digital o clasificación de contenido. Si hay variascoincidencias entre los 100 caracteres de la anterior coincidencia, se subrayan dichas coincidencias, yel texto resaltado y los siguientes 100 caracteres se agregan al fragmento. Si la coincidencia seencuentra en el encabezado o pie de página de un documento, el fragmento contiene el textoresaltado sin el prefijo o sufijo de 100 caracteres.

Las opciones de visualización se definen en la página Servicio de copia de pruebas de la directiva deconfiguración del cliente en el campo Archivo de coincidencias de clasificación:

• Crear resultados abreviados (predeterminada)

• Crear todas las coincidencias

• Desactivado: desactiva la función de subrayado de coincidencias.

Los resultados abreviados pueden contener hasta 20 fragmentos. Un archivo de resaltado de todas lascoincidencias puede contener una cantidad ilimitada de fragmentos, pero existe un límite en el númerode coincidencias por clasificación. En el caso de las clasificaciones Patrón avanzado y Palabra clave, el límitede coincidencias es 100. En el caso de clasificaciones Diccionario, el límite de coincidencias por entradade diccionario es 250. Si hay varias clasificaciones en un archivo de resaltado de coincidencias, losnombres de dichas clasificaciones y los números de coincidencias se muestran al comienzo del archivo,antes de los fragmentos.

Reglas que permiten el almacenamiento de pruebas

Las siguientes reglas tienen la opción de almacenamiento de pruebas.

Configuración de los componentes del sistemaDocumentación de eventos mediante pruebas 5


Tabla 5-4 Pruebas guardadas por las reglas

Regla Elemento que se guarda Producto

Regla de protección de acceso a archivos de la aplicación Copia del archivo McAfee DLP Endpoint

Regla de protección del Portapapeles Copia del Portapapeles

Regla de protección en la nube Copia del archivo

Regla de protección de correo electrónico Copia del correo electrónico McAfee DLP Endpoint

Regla de protección de recurso compartido de red Copia del archivo McAfee DLP Endpoint

Regla de protección contra impresión Copia del archivo

Regla de protección de almacenamiento extraíble Copia del archivo

Regla de protección contra capturas de pantalla JPEG de la pantalla

Regla de protección de la publicación web Copia de la publicación web

Regla de descubrimiento del sistema de archivos Copia del archivo

Regla de descubrimiento de almacenamiento de correoelectrónico

Copia del archivo .msg

Regla de protección de Box Copia del archivo McAfee DLP Discover

Regla de Protección del servidor de archivos (CIFS) Copia del archivo

Regla de protección de SharePoint Copia del archivo

Creación de carpetas de pruebasLas carpetas de pruebas contienen información que utilizan todos los productos de software de McAfeeDLP para la creación de directivas y la generación de informes. Según cuál sea su instalación deMcAfee DLP, deben crearse algunas carpetas y recursos compartidos de red, y establecerse suspropiedades y la configuración de seguridad correspondiente.

Las rutas de las carpetas de las pruebas están definidas en ubicaciones distintas en los diferentesproductos de McAfee DLP. Cuando se instala más de un producto de McAfee DLP en McAfee ePO, lasrutas UNC de las carpetas de las pruebas se sincronizan. No es necesario que las carpetas estén en elmismo equipo que el servidor de bases de datos de McAfee DLP, pero suele ser recomendable que asísea.

La ruta de almacenamiento de pruebas debe ser un recurso compartido de red, es decir, debe incluir elnombre del servidor.

• Carpeta de pruebas: Determinadas reglas permiten almacenar pruebas, por lo que debedesignar, con antelación, dónde situarlas. Por ejemplo, cuando se bloquea un archivo, se puedeincluir una copia de este en la carpeta de pruebas.

• Copiar y mover carpetas: McAfee DLP Discover utiliza esta opción para procesar archivos.

Proponemos las siguientes rutas y nombres de carpetas, y los siguientes nombres de recursoscompartidos, pero puede crear otros según las necesidades de su propio entorno.

• c:\dlp_resources\

• c:\dlp_resources\Pruebas

• c:\dlp_resources\copy

• c:\dlp_resources\move

5 Configuración de los componentes del sistemaDocumentación de eventos mediante pruebas


Control de asignaciones con usuarios y conjuntos de permisosMcAfee DLP utiliza Usuarios y Conjuntos de permisos de McAfee ePO para asignar diferentes partes dela administración de McAfee DLP a grupos o usuarios distintos.

Práctica recomendada: Cree conjuntos de permisos, usuarios y grupos de McAfee DLP específicos.

Cree distintas funciones mediante la asignación de permisos de administrador y revisor diferentes paralos módulos de McAfee DLP diferentes de McAfee ePO.

Compatibilidad de permisos de filtrado del árbol de sistemas

McAfee DLP Endpoint admite los permisos de filtrado del Árbol de sistemas de McAfee ePO en lasconsolas Administrador de incidentes de DLP y Operaciones de DLP. Cuando se activa el filtrado delÁrbol de sistemas, los operadores de McAfee ePO solo pueden ver los incidentes de los equipos de susección permitida del Árbol de sistemas. Los administradores de grupos no tienen permisos en el Árbolde sistemas de McAfee ePO. Independientemente de los permisos asignados en el conjunto depermisos de Data Loss Prevention, no pueden ver ningún incidente en las consolas Administrador deincidentes de DLP ni Operaciones de DLP. El filtrado del Árbol de sistemas está desactivado de formapredeterminada, pero puede activarse en Configuración de DLP.

Práctica recomendada: Para los clientes que han utilizado Administradores de grupos en losconjuntos de permisos de Data Loss Prevention, asigne Administradores de grupo.

Permiso Ver la ficha "Árbol de sistemas" (en Sistemas)Permisos Acceso al Árbol de sistemas al nivel adecuado

Redacción de información confidencial y conjuntos de permisos de McAfee ePO

Para cumplir las exigencias legales de algunos mercados sobre la protección de informaciónconfidencial bajo cualquier circunstancia, el software McAfee DLP Endpoint ofrece una función deredacción de datos. Los campos de las consolas Administrador de incidentes de DLP y Operaciones deDLP que contienen información de carácter confidencial se pueden redactar para impedirvisualizaciones no autorizadas. Los vínculos a pruebas de carácter confidencial se ocultan. La funciónse ha diseñado con una "clave doble" de desbloqueo. Por tanto, para utilizar la función, debe crear dosconjuntos de permisos: uno para ver los incidentes y eventos, y otro para ver los campos redactados(permiso de supervisor). Ambas funciones pueden asignarse al mismo usuario.

Véase también Instale y añada la licencia a la extensión de McAfee DLP. en la página 29

Cree definiciones de usuarios finalesMcAfee DLP tiene acceso a los servidores de Active Directory (AD) o de protocolo ligero de acceso adirectorios (LDAP) para crear definiciones de usuarios finales.

Los grupos de usuarios finales se utilizan para los permisos y asignaciones de administrador, así comoen las reglas de dispositivos y protección. Pueden componerse de usuarios, grupos de usuarios ounidades organizativas (OU). Por tanto, permiten al administrador elegir un modelo adecuado. Lasempresas organizadas en un modelo OU pueden continuar utilizando ese modelo, mientras otraspueden emplear grupos o usuarios individuales, según se requiera.

Los objetos LDAP se identifican por el nombre o ID de seguridad (SID). Los SID son más seguros y lospermisos pueden conservarse incluso si se les asigna un nuevo nombre a las cuentas. No obstante, sealmacenan en formato hexadecimal y deben codificarse para convertirlos a un formato legible.

Configuración de los componentes del sistemaControl de asignaciones con usuarios y conjuntos de permisos 5



1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.

2 Haga clic en la ficha Definiciones.

3 Seleccione Origen/destino | Grupo de usuarios finales y, a continuación, Acciones | Nuevo.

4 En la página Nuevo grupo de usuarios finales, introduzca un nombre único y, si lo desea, una descripción.

5 Seleccione el método para identificar objetos (mediante el SID o el nombre).

6 Haga clic en uno de los botones Agregar...: Agregar usuarios, Agregar grupos o Agregar OU.

La ventana de selección se abre y muestra el tipo de información seleccionado.

Si la lista es larga, es posible que tarde unos segundos en mostrarse. Si no aparece ningún tipo deinformación, seleccione Contenedor y elementos secundarios en el menú desplegable Valor predeterminado.

7 Seleccione los nombres y haga clic en Aceptar para agregarlos a la definición.

Repita la operación según sea necesario para agregar usuarios, grupos o usuarios organizativosadicionales.


Asignar conjuntos de permisos de McAfee DLPLos conjuntos de permisos de McAfee DLP asignan permisos para ver y guardar las directivas, y paraver los campos redactados. También se utilizan para asignar el control de acceso según funciones(RBAC).

Al instalar el software del servidor de McAfee DLP, se agrega el conjunto de permisos de McAfee ePOData Loss Prevention. Si hay una versión anterior de McAfee DLP instalada en el mismo servidor deMcAfee ePO, aparecerá también dicho conjunto de permisos.

El conjunto de permisos abarca todas las secciones de la consola de administración. Existen tresniveles de permisos:

• Utilizar: El usuario solo puede ver los nombres de los objetos (definiciones, clasificaciones, etc.),no los detalles.

Para las directivas, el permiso mínimo es ningún permiso.

• Ver y utilizar: El usuario puede ver los detalles de los objetos, pero no puede editarlos.

• Permisos totales: El usuario puede crear y cambiar los objetos.

Puede definir permisos para distintas secciones de la consola de administración, otorgando a losadministradores y revisores permisos diferentes según sea necesario. Las secciones se agrupan porjerarquía lógica, por ejemplo, al seleccionar Clasificaciones se seleccionan automáticamente lasDefiniciones, ya que la configuración de los criterios de clasificación requiere el uso de definiciones.

5 Configuración de los componentes del sistemaControl de asignaciones con usuarios y conjuntos de permisos


• Catálogo de directivas

• Administrador de directivas de DLP

• Clasificaciones

• Definiciones

• Administrador de directivas de DLP

• Clasificaciones

• Definiciones

• Clasificaciones

• Definiciones

Administración de incidentes, Eventos operativos y Administración de casos se pueden seleccionar porseparado.

Los permisos de Acciones de Data Loss Prevention se han movido al conjunto de permisos de Accionesde Help Desk. Estos permisos permiten a los administradores generar claves de desinstalación yomisión de cliente, claves de liberación de cuarentena y claves principales.

Además del permiso predeterminado de la sección, puede definir una omisión para cada objeto. Laomisión puede aumentar o disminuir el nivel de permisos. Por ejemplo, en los permisos deAdministrador de directivas de DLP, se enumeran todos los conjuntos de reglas existentes cuando secrea el conjunto de permisos. Puede definir una omisión diferente para cada uno. Cuando se creannuevos conjuntos de reglas, estos reciben el nivel de permisos predeterminado.

Figura 5-1 Conjuntos de permisos de McAfee DLP

Creación de un conjunto de permisos de McAfee DLPLos conjuntos de permisos se utilizan para definir distintas funciones administrativas y del revisor enel software McAfee DLP.


1 En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos.

2 Seleccione un conjunto de permisos predefinido o haga clic en Nuevo para crear uno.

a Escriba un nombre para el conjunto y seleccione los usuarios.

b Haga clic en Guardar.



3 Seleccione un conjunto de permisos y haga clic en la opción Editar de la sección Data Loss Prevention.

a En el panel de la izquierda, seleccione un módulo de protección de datos.

Administración de incidentes, Eventos operativos y Administración de casos se pueden seleccionar porseparado. Otras opciones crean automáticamente los grupos predefinidos.

b Edite las opciones y omita permisos según precise.

Catálogo de directivas no dispone de opciones que editar. Si va a asignar Catálogo de directivasa un conjunto de permisos, puede editar los submódulos del grupo Catálogo de directivas.

c Haga clic en Guardar.

Procedimientos• Caso práctico: Permisos de administrador de DLP en la página 54

Puede separar las tareas de administrador según sea necesario para, por ejemplo, crear unadministrador de directivas sin responsabilidades de revisión de eventos.

• Caso práctico: Limitar la visualización del Administrador de incidentes de DLP con permisosde redacción en la página 55Para proteger la información confidencial y cumplir los requisitos legales que se establecenen algunos mercados, McAfee DLP Endpoint ofrece una función de redacción de datos.

Caso práctico: Permisos de administrador de DLPPuede separar las tareas de administrador según sea necesario para, por ejemplo, crear unadministrador de directivas sin responsabilidades de revisión de eventos.


1 En McAfee ePO, seleccione Menú | Conjuntos de permisos.

2 Haga clic en Nuevo para crear un conjunto de permisos.

a Escriba un nombre para el conjunto y seleccione los usuarios.

Para editar una directiva, el usuario debe ser propietario de esta o bien miembro del conjuntode permisos de administrador global.

b Haga clic en Guardar.

3 En el conjunto de permisos de Data Loss Prevention, seleccione Catálogo de directivas.

Administrador de directivas de DLP, Clasificaciones y Definiciones se seleccionan automáticamente.

4 En cada uno de los tres submódulos, compruebe que el usuario dispone de permisos y accesototales.

El valor predeterminado es Permisos totales.

El administrador puede ahora crear y cambiar las directivas, las reglas, las clasificaciones y lasdefiniciones.

5 Configuración de los componentes del sistemaControl de asignaciones con usuarios y conjuntos de permisos


Caso práctico: Limitar la visualización del Administrador de incidentes deDLP con permisos de redacciónPara proteger la información confidencial y cumplir los requisitos legales que se establecen en algunosmercados, McAfee DLP Endpoint ofrece una función de redacción de datos.

Al utilizar la redacción de datos, ciertos campos del Administrador de incidentes de DLP y deOperaciones de DLP con información confidencial se cifran para evitar la visualización no autorizada yse ocultan los vínculos a las pruebas.

Los campos nombre del equipo y nombre de usuario están predefinidos como confidenciales.

En este ejemplo, se indica cómo configurar los permisos del Administrador de incidentes de DLP paraun revisor de redacción, es decir, un único administrador que no puede ver los incidentes reales, perosí revelar campos cifrados cuando así lo precise otro revisor que esté viendo el incidente.


1 En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos.

2 Cree conjuntos de permisos para revisores habituales y para el revisor de redacción.

a Haga clic en Nuevo (o en Acciones | Nuevo).

b Introduzca el nombre del grupo, como Revisor de incidentes de DLPE o Revisor deredacción.

Podrá asignar distintos tipos de incidentes a los distintos grupos de revisores. Deberá crear losgrupos en Conjuntos de permisos para asignarles incidentes.

c Asigne usuarios al grupo; elíjalos de entre los usuarios de McAfee ePO disponibles o asigneusuarios de Active Directory o grupos al conjunto de permisos. Haga clic en Guardar.

El grupo aparecerá en la lista Conjuntos de permisos del panel izquierdo.

3 Seleccione un conjunto de permisos de revisor estándar y haga clic en la opción Editar de la secciónData Loss Prevention.

a En el panel de la izquierda, seleccione Administración de incidentes.

b En la sección Revisor de incidentes, seleccione El usuario puede ver los incidentes que se han asignado a lossiguientes conjuntos de permisos, haga clic en el icono de selección y elija el conjunto o los conjuntosde permisos pertinentes.

c En la sección Redacción de datos de incidentes, anule la selección del campo Permiso de supervisorpredeterminado y seleccione la opción Ocultar datos confidenciales de incidentes.

Al seleccionarla, se activa la función de redacción. Si se deja sin seleccionar, se muestran todoslos campos de datos en texto no cifrado.

d En la sección Tareas de incidentes, seleccione o anule la selección de las tareas como precise.

e Haga clic en Guardar.



4 Seleccione el conjunto de permisos de revisor de redacción y haga clic en la opción Editar de lasección Data Loss Prevention.

a En el panel de la izquierda, seleccione Administración de incidentes.

b En la sección Revisor de incidentes, seleccione El usuario puede ver todos los incidentes.

En este ejemplo, se presupone que existe un único revisor de redacción para todos losincidentes. También puede asignar varios revisores de redacción a distintos conjuntos deincidentes.

c En la sección Redacción de datos de incidentes, seleccione las opciones Permiso de supervisor y Ocultar datosconfidenciales de incidentes.

d En la sección Tareas de incidentes, anule la selección de todas las tareas.

Los revisores de redacción, normalmente, no tienen otras tareas de revisor. Este aspecto esopcional y dependerá de sus necesidades específicas.


Configuración de clasificaciones manualesClasificación manual tiene varias opciones que determinan cómo interactúa la función y qué mensajesse muestran.

Clasificación manual permite a los usuarios finales agregar clasificaciones a los archivos desde el menúdel botón derecho del Explorador de Windows. Para aplicaciones de Microsoft Office y Outlook, sepueden aplicar clasificaciones manuales al guardar archivos o al enviar correos electrónicos.


1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.

2 Haga clic en Clasificación manual.

3 En la lista desplegable Ver, seleccione Configuración general.

4 Seleccione o anule la selección de las opciones para ajustarse a sus necesidades empresariales.

5 (Opcional) Seleccione la información adicional que agregar al correo electrónico haciendo clic en

, y seleccionando una definición de notificación o creando una.

Las notificaciones admiten la función Configuraciones regionales para todos los idiomas compatibles.

Véase también Clasificación manual en la página 87Personalización de mensajes del usuario final en la página 123Etiquetas incrustadas en la página 88

5 Configuración de los componentes del sistemaConfiguración de clasificaciones manuales


6 Protección de medios extraíbles

McAfee®

Device Control protege a las empresas de los riesgos asociados con la transferencia noautorizada de contenido de carácter confidencial siempre que se utilizan dispositivos dealmacenamiento.

Device Control puede supervisar o bloquear dispositivos conectados a equipos gestionados por laempresa, lo que le permite controlar su uso en lo que respecta a la distribución de informaciónconfidencial. Teléfonos inteligentes, dispositivos de almacenamiento extraíbles, dispositivos Bluetooth,reproductores de MP3 o dispositivos Plug and Play: todos se pueden controlar.

McAfee Device Control es un componente de McAfee DLP Endpoint que se vende por separado. Aunquese utilice el término "Device Control" en esta sección, todas las funciones y descripciones tambiénestán disponibles en McAfee DLP Endpoint. La implementación de las reglas de Device Control en losequipos Microsoft Windows y OS X es parecida, pero no idéntica. En la siguiente tabla, se exponenalgunas de las diferencias.

Tabla 6-1 Terminología de Device Control

Término Sistemasoperativos

Definición

Clase de dispositivo Windows Grupo de dispositivos que tienen característicasparecidas y que se pueden gestionar de un modosimilar. Las clases de dispositivo tienen los estadosGestionada, No gestionada o En lista blanca.

Definición deldispositivo

Windows y Mac OSX

Lista de propiedades de dispositivo que se empleapara identificar o agrupar dispositivos.

Propiedad deldispositivo

Windows y Mac OSX

Propiedad, como tipo de bus, ID de proveedor o IDde producto, que se puede usar para definir undispositivo.

Regla de dispositivo Windows y Mac OSX

Determina la acción que se debe llevar a cabocuando un usuario intenta utilizar un dispositivo cuyadefinición coincide con la de la directiva. La regla seaplica al hardware y afecta tanto al controlador deldispositivo como al sistema de archivos. Las reglasde dispositivos se pueden asignar a usuarios finalesconcretos.

Dispositivo gestionado Windows Estado de clase de dispositivo que indica que losdispositivos incluidos en ella los gestiona DeviceControl.

Regla para dispositivosde almacenamientoextraíbles

Windows y Mac OSX

Sirve para bloquear o supervisar un dispositivo, oconfigurarlo como de solo lectura.

Regla de protección dealmacenamientoextraíble

Windows y Mac OSX

Determina la acción que se debe llevar a cabocuando un usuario intenta copiar contenidoestablecido como confidencial en un dispositivogestionado.

6


Tabla 6-1 Terminología de Device Control (continuación)

Término Sistemasoperativos

Definición

Dispositivo nogestionado

Windows Estado de clase de dispositivo que indica que losdispositivos incluidos en ella no los gestiona DeviceControl.

Dispositivo en listablanca

Windows Estado de clase de dispositivo que indica que losdispositivos incluidos en ella no los puede gestionarDevice Control, ya que intentar gestionarlos puedeafectar al equipo gestionado, al mantenimiento delsistema o a la eficiencia.

Contenido Protección de dispositivos Gestión de dispositivos con clases de dispositivos Definir una clase de dispositivo Organización de dispositivos con definiciones de dispositivos Reglas de control de dispositivos Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles

Protección de dispositivosLas unidades USB, los pequeños discos duros externos, los smartphones y demás dispositivosextraíbles sirven para eliminar de la empresa datos de carácter confidencial.

Las unidades USB son un método sencillo, barato y apenas rastreable a la hora de descargar grandescantidades de datos. A menudo, se consideran el "arma preferida" para las transferencias de datos noautorizadas. El software de Device Control supervisa y controla las unidades USB y demás dispositivosexternos, incluidos smartphones, dispositivos Bluetooth, dispositivos Plug and Play, reproductores deaudio y discos duros que no pertenecen al sistema. Device Control se ejecuta en la mayoría de lossistemas operativos Windows y OS X, incluidos los servidores. Consulte la página de requisitos delsistema de esta guía para obtener más información.

La protección de McAfee Device Control se construye en tres capas:

• Clases de dispositivos: Recopilaciones de dispositivos que cuentan con características parecidasy que se pueden gestionar de un modo similar. Las clases de dispositivo son solo pertinentes paralas definiciones y reglas de dispositivos Plug and Play, y no para los sistemas operativos OS X.

• Definiciones de dispositivos: Identificación y agrupación de dispositivos en función de laspropiedades que tienen en común.

• Reglas para dispositivos: Control del comportamiento de los dispositivos.

Una regla de dispositivos se compone de una lista de las definiciones de dispositivos incluidas oexcluidas de la regla, y la acción realizada cuando el uso del dispositivo activa la regla. Además, puedeespecificar los usuarios finales incluidos o excluidos de la regla. De forma opcional, pueden incluir unadefinición de aplicaciones para filtrar la regla conforme al origen del contenido de carácterconfidencial.

6 Protección de medios extraíblesProtección de dispositivos


Reglas de protección de almacenamiento extraíble

Además de las reglas para dispositivos, Device Control incluye un tipo de regla de protección de datos.Las reglas de protección de almacenamiento extraíble incluyen una o más clasificaciones para definirel contenido de carácter confidencial que activa la regla. De forma opcional, pueden incluir unadefinición de aplicaciones o URL de navegador Web, así como incluir o excluir a usuarios finales.

No se pueden utilizar URL de navegadores web en McAfee DLP Endpoint for Mac.

Gestión de dispositivos con clases de dispositivosLa Clase de dispositivos es una recopilación de dispositivos que tienen características parecidas y quese pueden gestionar de modo similar.

Las clases de dispositivo asignan un nombre e identifican los dispositivos utilizados por el sistema.Cada definición de clase de dispositivo incluye un nombre, y uno o varios identificadores únicosglobales (GUID). Por ejemplo, Intel® PRO/1000 PL Network Connection y Dell wireless 1490 Dual BandWLAN Mini-Card son dos dispositivos que pertenecen a la clase Adaptador de red.

Las clases de dispositivos no se aplican a los dispositivos OS X.

Organización de las clases de dispositivo

El Administrador de directivas de DLP muestra las clases de dispositivos (integradas) predefinidasdentro de la ficha Definiciones de Control de dispositivos. Las clases de dispositivos se clasifican porestado:

• Los dispositivos de tipo Gestionado son dispositivos Plug and Play específicos o de almacenamientoextraíbles gestionados por McAfee DLP Endpoint.

• Los dispositivos de tipo No gestionado no los gestiona Device Control según la configuraciónpredeterminada.

• Los dispositivos de tipo En lista blanca son dispositivos que Device Control no trata de controlar,como los procesadores o los dispositivos de baterías.

Para evitar que el sistema operativo o el sistema en sí funcionen indebidamente, las clases dedispositivo no pueden editarse, pero sí duplicarse y cambiarse para añadir a la lista clases definidaspor el usuario.

Práctica recomendada: No agregue una clase de dispositivo a la lista sin probar qué consecuenciaspuede tener. En el Catálogo de directivas, use la ficha Directiva de DLP | Clases de dispositivos |Configuración para crear anulaciones temporales de estados de clases de dispositivos y de laconfiguración del tipo de filtro.

Las anulaciones se pueden utilizar para probar los cambios definidos por el usuario antes de crear unaclase definitiva, así como para solucionar problemas relacionados con el control de dispositivos.

Device Control emplea definiciones de dispositivos y reglas de control de dispositivos Plug and Playpara supervisar el comportamiento de las clases de dispositivo gestionados y dispositivos concretospertenecientes a una clase de dispositivo gestionado. Por otra parte, las reglas para dispositivos dealmacenamiento extraíbles no requieren una clase de dispositivo gestionado. El motivo tiene que vercon que los dos tipos de reglas de dispositivos emplean las clases de dispositivo de manera diferente:

Protección de medios extraíblesGestión de dispositivos con clases de dispositivos 6


• Las reglas para dispositivos Plug and Play se activan en el momento en que el dispositivo dehardware se conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, esnecesario que la clase de dispositivo sea gestionado para reconocerlo.

• Las reglas de dispositivos de almacenamiento extraíbles se activan al montar un nuevo sistema dearchivos. Cuando esto sucede, el cliente de Device Control asocia la letra de la unidad con eldispositivo de hardware concreto y comprueba las propiedades del dispositivo. Debido a que lareacción se debe al funcionamiento de un sistema de archivos (es decir, se produce al montarlo),no es necesario gestionar la clase de dispositivo.

Véase también Crear una clase de dispositivos en la página 61

Definir una clase de dispositivoSi en la lista predefinida no existe una clase de dispositivo adecuada o si no se crea automáticamenteal instalar hardware nuevo, puede crear una nueva clase de dispositivo en la consola del administradorde directivas de McAfee DLP Endpoint.

Obtención de un GUIDLas definiciones de la clase de dispositivos requieren un nombre y uno o varios identificadores únicosglobales (GUID).

Algunos dispositivos de hardware instalan su propia clase de dispositivos nueva. Para controlar elcomportamiento de los dispositivos de hardware Plug and Play que definen su propia clase dedispositivos, primero debe agregar una nueva clase de dispositivos en el estado Gestionado en la listaClases de dispositivos.

La clase de dispositivos se define con dos propiedades: un nombre y un GUID. El nombre del nuevodispositivo se muestra en el administrador de dispositivos, pero el GUID solo se muestra en el registrode Windows y no es fácil obtenerlo. Con el fin de facilitar la recuperación de los GUID y nombres delos nuevos dispositivos, el cliente de Device Control informa del evento Nueva clase de dispositivosencontrada al Administrador de incidentes de DLP cuando un dispositivo de hardware que nopertenece a una clase de dispositivos reconocida se conecta al equipo host.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP | Lista de incidentes.

2 Haga clic en Editar junto a la lista desplegable Filtro para editar los criterios de filtrado.

3 En la lista Propiedades disponibles (panel izquierdo), seleccione Tipo de incidente.

4 Compruebe que el valor de la lista desplegable Comparación sea Igual a.

5 En la lista desplegable Valores, seleccione Se ha encontrado una clase nueva de dispositivo.

6 Haga clic en Actualizar filtro.

En la Lista de incidentes aparecen las nuevas clases de dispositivos encontradas en todos los equiposEndpoint.

7 Para ver el nombre y el GUID de un dispositivo determinado, haga doble clic en el elemento paramostrar los detalles del incidente.

6 Protección de medios extraíblesDefinir una clase de dispositivo


Crear una clase de dispositivosCree una clase de dispositivos si no existe una clase de dispositivos adecuada en la lista predefinida osi no se ha creado automáticamente al instalar el nuevo hardware.

Antes de empezarObtenga el identificador único global (GUID) del dispositivo antes de empezar la tarea.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.

2 En el panel de la izquierda, seleccione Control de dispositivos | Clase de dispositivos.


• Seleccione Acciones | Nuevo.

• Busque una clase de dispositivo similar en la lista de clases de dispositivo integrada y haga clicen la opción Duplicar de la columna Acciones. Haga clic en Editar en la clase de dispositivoduplicada.

4 Introduzca un Nombre único y, si lo desea, una Descripción.

5 Compruebe el Estado y el Tipo de filtro requeridos.

6 Introduzca el GUID y, a continuación, haga clic en Aceptar.

El GUID debe tener el formato correcto. Este se le solicitará si lo ha introducido de formaincorrecta.


Véase también Gestión de dispositivos con clases de dispositivos en la página 59Organización de dispositivos con definiciones de dispositivos en la página 61

Organización de dispositivos con definiciones de dispositivosUna definición de dispositivo es una lista de propiedades como el tipo de bus, la clase de dispositivo, elID del proveedor y el ID del producto.

Las definiciones de dispositivos sirven para identificar y agrupar dispositivos según sus propiedadescomunes. Algunas propiedades de dispositivo se pueden aplicar a cualquier definición y otras sonexclusivas de un tipo de dispositivo concreto o de varios tipos.

Los tipos de definiciones de dispositivos disponibles son los siguientes:

• Los dispositivos de disco duro fijo se conectan al equipo y el sistema operativo no los marca comoalmacenamiento extraíble. Device Control puede supervisar las unidades de disco duro fijo que noson unidades de arranque.

• Los dispositivos Plug and Play se agregan al equipo gestionado sin necesidad de realizarconfiguraciones ni instalaciones manuales de DLL o controladores. Entre los dispositivos Plug andPlay se incluye la mayoría de los dispositivos de Microsoft Windows. Los dispositivos de Apple OS Xsolo son compatibles como USB.

Protección de medios extraíblesOrganización de dispositivos con definiciones de dispositivos 6


• Los dispositivos de almacenamiento extraíbles son dispositivos externos con un sistema de archivosque aparecen en el equipo gestionado como unidades. Las definiciones de dispositivos dealmacenamiento extraíbles admiten sistemas operativos Microsoft Windows o Apple OS X.

• Los dispositivos Plug and Play en lista blanca no interactúan correctamente con la función deadministración de dispositivos y pueden hacer que el sistema deje de responder o causar otrosproblemas graves. Solo son compatibles los dispositivos con Microsoft Windows.

Las definiciones de dispositivos Plug and Play en lista blanca se agregan automáticamente a la listade excluidos en todas las reglas de control de dispositivos Plug and Play. Nunca serán dispositivosgestionados, aunque la clase de dispositivo principal a la que pertenecen sea gestionado.

Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles e incluyenpropiedades adicionales relativas a los dispositivos de almacenamiento extraíbles.

Práctica recomendada: Utilice las reglas y definiciones de dispositivos de almacenamiento extraíblespara controlar los dispositivos que se pueden clasificar de cualquiera de las dos formas, como puedenser los dispositivos de almacenamiento masivo USB.

Véase también Crear una clase de dispositivos en la página 61

Uso de las definiciones de dispositivosVarios parámetros se agregan a las definiciones de dispositivos como operador lógico O (valorpredeterminado) u operador lógico Y. Siempre se agregan varios tipos de parámetro como operadorlógico Y.

Por ejemplo, la siguiente selección de parámetros:

Crea esta definición:

• El tipo de bus es: Firewire (IEEE 1394) O USB

• La clase de dispositivos Y es uno de los dispositivos de memoria O de los dispositivos portátiles deWindows

6 Protección de medios extraíblesOrganización de dispositivos con definiciones de dispositivos


Crear una definición de dispositivosLas definiciones de dispositivos especifican las propiedades de un dispositivo para activar la regla.

Práctica recomendada: Cree las definiciones de dispositivos Plug and Play en lista blanca para losdispositivos que no controlan de un modo claro la gestión, lo que podría ocasionar que el sistemadejase de responder o crear otros problemas graves. No se aplicarán otras acciones en estosdispositivos incluso si se activa una regla.



2 En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos.

3 Seleccione Acciones | Nuevo y, a continuación, elija el tipo de definición.


5 Seleccione la opción Se aplica a para los dispositivos Microsoft Windows u OS X.

La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativoseleccionado.

6 Seleccione las propiedades para el dispositivo.

La lista de propiedades disponibles varía según el tipo de dispositivo.

• Para agregar una propiedad, haga clic en >.

• Para eliminar una propiedad, haga clic en <.

• Para agregar valores adicionales a la propiedad, haga clic en +.Los valores se agregan de forma predeterminada como el operador lógico O. Haga clic en elbotón Y/O para cambiarlo a Y.

• Para eliminar propiedades, haga clic en -.


Creación de una definición de dispositivos Plug and Play en lista blancaEl objetivo de los dispositivos Plug and Play en lista blanca consiste en gestionar aquellos dispositivosque no llevan a cabo la administración de dispositivos de forma correcta. Si no están en lista blanca, elsistema puede dejar de responder o pueden producirse otros problemas graves. Las definiciones dePlug and Play no incluidas en lista blanca no son compatibles con McAfee DLP Endpoint for Mac.

Los dispositivos Plug and Play incluidos en lista blanca se agregan a las reglas de dispositivos Plug andPlay de la ficha Excepciones. Nunca serán dispositivos gestionados, aunque la clase de dispositivos a laque pertenecen sea gestionada.

Práctica recomendada: Para evitar problemas de compatibilidad, agregue a la lista de dispositivos enlista blanca aquellos que no lleven a cabo correctamente la administración de dispositivos.





2 En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos y, a continuación,elija Acciones | Nuevo | Definición de dispositivos Plug and Play en lista blanca.








Creación de una definición de dispositivos de almacenamiento extraíblesUn dispositivo de almacenamiento extraíble es un dispositivo externo que contiene un sistema dearchivos que aparece en el equipo gestionado como una unidad. Las definiciones de dispositivos dealmacenamiento extraíbles son más flexibles que las definiciones de dispositivos Plug and Play eincluyen propiedades adicionales relacionadas con los dispositivos.



2 En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos y, a continuación,elija Acciones | Nuevo | Definición de dispositivos de almacenamiento extraíbles.


4 Seleccione la opción Se aplica a para los dispositivos Microsoft Windows u OS X.

La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativoseleccionado.









Crear una definición de par de número de serie y usuarioPuede crear excepciones para reglas de dispositivos de almacenamiento extraíbles y Plug and Playbasadas en identidades de usuario y números de serie de dispositivo emparejadas. Al vincular eldispositivo al usuario que ha iniciado sesión, se adquiere un mayor nivel de seguridad.

Antes de empezarObtenga los números de serie de los dispositivos que va a agregar a la definición.

Las definiciones de número de serie y de par de usuario final no son compatibles con McAfee DLPEndpoint for Mac.



2 En el panel de la izquierda, seleccione Control de dispositivos | Número de serie y par de usuario final.

3 Seleccione Acciones | Nuevo.

4 Introduzca un nombre único y una descripción opcional.

5 Introduzca la información requerida en los cuadros de texto de la parte inferior de la página y, acontinuación, haga clic en Agregar. Repita la acción según corresponda para agregar pares deusuarios finales y números de serie adicionales.

En Tipo de usuario | Todos, deje en blanco el campo Usuario final. Si va a especificar un usuario, utilice elformato [email protected].


Véase también Propiedades del dispositivo en la página 65

Propiedades del dispositivoLas propiedades del dispositivo especifican las características del dispositivo, por ejemplo, el nombrede dispositivo, el tipo de bus o el tipo de sistema de archivos.

La tabla proporciona definiciones de propiedades del dispositivo, los tipos de definición que utiliza lapropiedad y el sistema operativo a las que se aplican.



Tabla 6-2 Tipos de propiedades de dispositivo

Nombre depropiedad

Definición dedispositivo

Se aplica a lossistemasoperativos:

Descripción

Tipo de bus Todo • Windows:Bluetooth,Firewire(IEEE1394),IDE/SATA,PCI, PCMIA,SCSI, USB

• Mac OS X:Firewire(IEEE1394),IDE/SATA, SD,Thunderbolt,USB

Selecciona el tipo de BUS del dispositivo de lalista disponible.

Para las reglas de dispositivos Plug andPlay, McAfee DLP Endpoint for Mac soloadmite el tipo de bus USB.

Unidades deCD/DVD

Almacenamientoextraíble

• Windows

• Mac OS X

Se selecciona para indicar cualquier unidad deCD o DVD.

Contenidocifrado porEndpointEncryption


Windows Dispositivos protegidos con EndpointEncryption.

Clase dedispositivos

Plug and Play Windows Selecciona la clase de dispositivo de la listagestionada disponible.

IDcompatiblescondispositivos

Todo Windows Una lista de descripciones de dispositivosfísicos. Resulta especialmente útil con tipos dedispositivos que no son USB ni PCI, ya queestos últimos se identifican más fácilmentemediante los ID de proveedor o de dispositivode PCI o el ID prov./ID prod. de USB.

ID deinstancia deldispositivo(MicrosoftWindows XP)Ruta a lainstancia deldispositivo(WindowsVista ysistemasoperativosposterioresde MicrosoftWindows,incluidos losservidores)

Todo Windows Cadena generada por Windows que identificade forma exclusiva el dispositivo en el sistema.Ejemplo:

USB\VID_0930&PID_6533\5&26450FC&0&6.

Nombredescriptivodeldispositivo

Todo • Windows

• Mac OS X

El nombre asociado a un dispositivo dehardware, que representa su dirección física.



Tabla 6-2 Tipos de propiedades de dispositivo (continuación)

Nombre depropiedad



Descripción

Tipo desistema dearchivos

• Disco duro fijo

• Almacenamientoextraíble

• Windows:CDFS, exFAT,FAT16, FAT32,NTFS, UDFS

• Mac OS X:CDFS, exFAT,FAT16, FAT32,HFS/HFS+,NTFS, UDFS

Mac OS X soloadmite FAT enlos discos queno sean discode arranque.Mac OS Xadmite NTFScomo sololectura.

El tipo de sistema de archivos.• Para discos duros, seleccione una opción de

exFAT, FAT16, FAT32 o NTFS.

• Para los dispositivos de almacenamientoextraíbles, cualquiera de los anterioresademás de CDFS o UDFS.

Acceso alsistema dearchivos


• Windows

• Mac OS X

El acceso al sistema de archivos: solo lectura,o de lectura y escritura.

Etiqueta devolumen delsistema dearchivos

• Disco duro fijo


• Windows

• Mac OS X

Etiqueta de volumen definida por el usuarioque se muestra en el Explorador de Windows.Se permite la coincidencia parcial.

Número deserie delvolumen delsistema dearchivos

• Disco duro fijo


Windows Número de 32 bits generado automáticamentecuando se crea un sistema de archivos en eldispositivo. Se puede ver si se ejecuta elcomando en la línea de comandos dir x:,donde la x: es la letra de la unidad.

ID deproveedor eID dedispositivoPCI

Todo Windows El ID de proveedor y el ID de dispositivoasociados al dispositivo PCI. Estos parámetrosse pueden obtener de la cadena de ID dehardware de los dispositivos físicos.Ejemplo:

PCI\VEN_8086&DEV_2580&SUBSYS_00000000&REV_04

DispositivosTrueCrypt


Windows Se selecciona para especificar un dispositivoTrueCrypt.

Código declase USB

Plug and Play Windows Identifica un dispositivo USB físico por sufuncionalidad general. Seleccione el código declase en la lista disponible.



Tabla 6-2 Tipos de propiedades de dispositivo (continuación)

Nombre depropiedad



Descripción

Número deserie deldispositivoUSB

• Plug and Play


• Windows

• Mac OS X

Una cadena alfanumérica exclusiva asignadapor el fabricante del dispositivo USB,generalmente para dispositivos dealmacenamiento extraíbles. El número de seriees la última parte del ID de instancia.Ejemplo:

USB\VID_3538&PID_0042\00000000002CD8Un número de serie válido tiene que tener unmínimo de 5 caracteres alfanuméricos y nocontener los signos "&". Si la última parte delID de instancia no se ajusta a estos requisitos,no es un número de serie.

ID deproveedor eID deproducto USB

• Plug and Play


• Windows

• Mac OS X

El ID de proveedor y el ID de productoasociados al dispositivo USB. Estos parámetrosse pueden obtener de la cadena de ID dehardware de los dispositivos físicos.Ejemplo:

USB\Vid_3538&Pid_0042

Reglas de control de dispositivosLas reglas de control de dispositivos definen la medida que se debe tomar cuando se utilizandeterminados dispositivos.

Regla de control dedispositivos

Descripción Se utiliza en

Regla para dispositivosde almacenamientoextraíbles

Sirve para bloquear o supervisar dispositivosde almacenamiento extraíbles o paraconfigurarlos como de solo lectura. Se puedenotificar al usuario la acción realizada.

McAfee DLP Endpointpara Windows yMcAfee DLP Endpointfor Mac

Regla para dispositivosPlug and Play

Se utiliza para bloquear o supervisar losdispositivos Plug and Play. Se puede notificar alusuario la acción realizada.

McAfee DLP Endpointpara Windows yMcAfee DLP Endpointfor Mac (solodispositivos USB)

Regla de acceso aarchivos en dispositivosde almacenamientoextraíbles

Sirve para bloquear la ejecución de archivosejecutables en dispositivos de complemento.

McAfee DLP Endpointpara Windows

Regla de disco duro fijo Sirve para bloquear o supervisar dispositivosduros fijos o para configurarlos como de sololectura. Se puede notificar al usuario la acciónrealizada. Las reglas para dispositivos de discoduro fijo no protegen la partición del sistema niel arranque.


6 Protección de medios extraíblesReglas de control de dispositivos


Regla de control dedispositivos

Descripción Se utiliza en

Regla para dispositivosCitrix XenApp

Sirve para bloquear los dispositivos Citrixasignados a sesiones de escritoriocompartidas.


Regla para dispositivosTrueCrypt

Se usa para proteger los dispositivosTrueCrypt. Se puede utilizar para bloquear,supervisar o configurar dispositivos como desolo lectura. Se puede notificar al usuario laacción realizada.


Creación de una regla para dispositivos de almacenamientoextraíblesLos dispositivos de almacenamiento extraíbles aparecen en el equipo gestionado como unidades.Utilice las reglas para dispositivos de almacenamiento extraíbles para bloquear el uso de dispositivosextraíbles o establecerlos como de solo lectura. Se pueden utilizar en McAfee DLP Endpoint paraWindows y McAfee DLP Endpoint for Mac.Las reglas para dispositivos de almacenamiento extraíbles no requieren una clase de dispositivogestionado, debido a la diferencia en la forma en que los dos tipos de reglas de dispositivos utilizan lasclases de dispositivo:

• Las reglas para dispositivos Plug and Play se activan en el momento en que el dispositivo dehardware se conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, esnecesario que la clase de dispositivo sea gestionado para reconocerlo.

• Las reglas para dispositivos de almacenamiento extraíbles se activan al montar un nuevo sistemade archivos. Al montar el sistema de archivos, el software McAfee DLP Endpoint asocia la letra deunidad con el dispositivo de hardware específico y comprueba sus propiedades. Debido a que lareacción se debe al funcionamiento de un sistema de archivos, y no a un controlador de dispositivo,no es necesario que la clase de dispositivo sea gestionado.

Las reglas para dispositivos tienen un parámetro Implementar en que aplica la regla a Windows o OS X, o aambos. Las definiciones de dispositivos utilizadas en las reglas de dispositivos tienen un parámetro Seaplica a que especifica bien Dispositivos Windows bien Dispositivos Mac OSX. Al seleccionar las definiciones dedispositivos, hágalas coincidir con el sistema operativo de la definición y la regla. Los clientes de McAfeeDLP Endpoint para ambos sistemas operativos ignoran las propiedades que no se aplican a dichosistema. Sin embargo, no puede guardar una regla que, por ejemplo, se implementa solo paraWindows, pero que contiene definiciones de dispositivos de Mac OS X.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas.

2 Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente.

3 Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control dedispositivos.

4 Seleccione Acciones | Nueva regla | Regla para dispositivos de almacenamiento extraíbles.

5 Especifique un Nombre de regla único.

6 (Opcional) Cambie el estado y seleccione una gravedad.

7 Anule la selección de las casillas de verificación de McAfee DLP Endpoint for Windows o McAfee DLP Endpointfor Mac OS X si la regla se aplica solo a uno de los sistemas operativos.

Protección de medios extraíblesReglas de control de dispositivos 6


8 En la ficha Condición, seleccione una o varias definiciones de dispositivos de almacenamientoextraíbles. (Opcional) Asigne grupos de usuarios finales y un Nombre de proceso a la regla.

9 (Opcional) En la ficha Excepciones, seleccione una definición en la lista blanca y rellene los camposnecesarios.

Puede agregar varias excepciones añadiendo más de una definición en lista blanca.

Las opciones Procesos excluidos y Número de serie y pares de usuario excluidos no son compatibles con McAfeeDLP Endpoint for Mac.

10 En la ficha Reacción, seleccione una Acción preventiva. (Opcional) Agregue una Notificación de usuario yseleccione Notificar incidente.

Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador deincidentes de DLP.

11 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera dela red corporativa.


Véase también Caso práctico: Regla para dispositivos de almacenamiento extraíbles con un proceso en listablanca en la página 134Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura en la página135

Crear una regla para dispositivos Plug and PlayLas reglas para dispositivos Plug and Play se usan para bloquear o supervisar los dispositivos Plug andPlay. Se pueden utilizar en McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac. En elcaso de los equipos OS X, solo se admiten dispositivos USB.

Un dispositivo Plug and Play es un dispositivo que puede agregarse al equipo gestionado sin necesidadde realizar configuraciones ni instalaciones manuales de DLL o controladores. Con el fin de que lasreglas para dispositivos Plug and Play controlen los dispositivos de hardware de Microsoft Windows, lasclases del dispositivo especificadas en las definiciones de dispositivos que usa la regla deben estarconfiguradas con el estado Gestionado.

Las reglas para dispositivos tienen un parámetro Implementar en que aplica la regla a Windows o OS X, o aambos. Las definiciones de dispositivos utilizadas en las reglas de dispositivos tienen un parámetro Seaplica a que especifica bien Dispositivos Windows bien Dispositivos Mac OSX. Al seleccionar las definiciones dedispositivos, hágalas coincidir con el sistema operativo de la definición y la regla. Los clientes de McAfeeDLP Endpoint para ambos sistemas operativos ignoran las propiedades que no se aplican a dichosistema. Sin embargo, no puede guardar una regla que, por ejemplo, se implementa solo paraWindows, pero que contiene definiciones de dispositivos de Mac OS X.




3 Para abrir el conjunto de reglas y editarlas, haga clic en el nombre de dicho conjunto. Haga clic enla ficha Control de dispositivos.

4 Seleccione Acciones | Nueva regla | Regla para dispositivos Plug and Play.



5 Introduzca un nombre de regla único.


7 Anule la selección de las casillas de verificación de McAfee DLP Endpoint for Windows o McAfee DLP Endpointfor Mac OS X si la regla se aplica solo a uno de los sistemas operativos.

8 En la ficha Condición, seleccione una o varias definiciones de dispositivos Plug and Play.

9 (Opcional) Asigne grupos de usuarios finales a la regla.

10 (Opcional) En la ficha Excepciones, seleccione una definición en lista blanca y rellene los camposobligatorios.


11 En la ficha Reacción, seleccione una acción preventiva. Opcional: Agregue una Notificación de usuario yelija la opción Notificar incidente.

Si no selecciona Notificar incidente, no hay ningún registro del incidente en el Administrador de incidentes deDLP.

12 (Opcional) Seleccione una acción preventiva diferente cuando el usuario final esté trabajando fuerade la red corporativa o esté conectado mediante VPN.


Véase también Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug and Playen la página 136

Creación de una regla de dispositivos de acceso a archivos endispositivos de almacenamiento extraíblesUtilice reglas de acceso a archivos en dispositivos de almacenamiento extraíbles para bloquear laejecución de archivos ejecutables en dispositivos de complemento.





4 Seleccione Acciones | Nueva regla | Regla de acceso a archivos en dispositivos de almacenamiento extraíbles.



7 En la ficha Condición, seleccione una o varias definiciones de dispositivos de almacenamientoextraíbles. (Opcional) Asigne grupos de usuarios finales a la regla.

8 (Opcional) Cambie las definiciones predeterminadas de Tipo de archivo verdadero o Extensión del archivosegún precise.



9 (Opcional) En la ficha Excepciones, seleccione Nombres de archivo en lista blanca y rellene los camposobligatorios.

La excepción Nombre del archivo sirve para las aplicaciones que tienen que ejecutarse. Un ejemplo sonlas aplicaciones de cifrado en las unidades cifradas.


Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador de incidentesde DLP.



Véase también Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles en la página 74

Crear una regla de dispositivos de disco duro fijoUtilice reglas de dispositivo de disco duro fijo para controlar las unidades de disco duro fijo conectadasal equipo y no marcadas por el sistema operativo como almacenamiento extraíble. Se pueden utilizarsolo en McAfee DLP Endpoint para Windows.

Las reglas de disco duro fijo incluyen una definición de unidad con una acción para bloquearlo ohacerlo de solo lectura, una definición de usuario final y una notificación de usuario opcional. Estasreglas no protegen el arranque ni la partición del sistema.





4 Seleccione Acciones | Nueva regla | Regla de disco duro fijo.



7 En la ficha Condición, seleccione una o varias definiciones de dispositivo de disco duro fijo.(Opcional) Asigne grupos de usuarios finales a la regla.

8 (Opcional) En la ficha Excepciones, seleccione una definición en lista blanca y rellene los camposobligatorios.



Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador de incidentesde DLP.





Crear una regla de dispositivos CitrixUtilice las reglas de dispositivos Citrix para bloquear los dispositivos Citrix asignados a sesiones deescritorio compartidas.

Las reglas para dispositivos Citrix XenApp se admiten únicamente en equipos basados en Windows. Elsoftware de McAfee DLP Endpoint puede bloquear los dispositivos Citrix asignados a sesiones deescritorio compartidas. Se pueden bloquear todas las unidades de disquete, fijas, de CD, extraíbles yde red, así como el redireccionamiento a impresoras y portapapeles. Puede asignar la regla a usuariosfinales determinados.





4 Seleccione Acciones | Nueva regla | Regla para dispositivos Citrix XenApp.



7 En la ficha Condición, seleccione uno o varios recursos.

8 (Opcional) Asigne grupos de usuarios finales a la regla.

9 (Opcional) En la ficha Excepciones, rellene los campos obligatorios para los usuarios en lista blanca.


Los recursos seleccionados están bloqueados.

La única Acción preventiva para las reglas de Citrix es Bloquear. No necesita definir la acción en el panelReacción.

Crear una regla de dispositivos TrueCryptUtilice las reglas de dispositivos TrueCrypt para bloquear o supervisar los dispositivos de cifradovirtuales TrueCrypt o configurarlos como de solo lectura. Se pueden utilizar solo en McAfee DLPEndpoint para Windows.

Las reglas de dispositivos TrueCrypt son un subconjunto de las reglas para dispositivos dealmacenamiento extraíbles. Los dispositivos virtuales cifrados TrueCrypt pueden protegerse con lasreglas para dispositivos TrueCrypt o con reglas de protección de almacenamiento extraíble.



• Utilice una regla de dispositivos si desea bloquear o supervisar un volumen TrueCrypt o para quesea de solo lectura.

• Utilice una regla de protección si desea una protección basada en el contenido para los volúmenesTrueCrypt.

El software cliente de McAfee DLP Endpoint trata todos los montajes TrueCrypt como dealmacenamiento extraíble, incluso cuando la aplicación TrueCrypt está escribiendo en el disco local.





4 Seleccione Acciones | Nueva regla | Regla para dispositivos TrueCrypt.



7 (Opcional) En la ficha Condición, asigne grupos de usuarios finales a la regla.

8 (Opcional) En la ficha Excepciones, rellene los campos obligatorios para los usuarios en lista blanca.


Si no selecciona Notificar incidente, no queda ningún registro del incidente en el Administrador deincidentes de DLP.



Reglas de acceso a archivos en dispositivos de almacenamientoextraíbles

Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles se usan para bloquear laejecución de archivos ejecutables en dispositivos de complemento. Son compatibles únicamente conequipos Microsoft Windows.

Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles impiden a losdispositivos de almacenamiento extraíbles ejecutar las aplicaciones. Puede especificar los dispositivosincluidos y excluidos en la regla. Dado que debe permitirse la ejecución de algunos ejecutables, comolas aplicaciones de cifrado en los dispositivos cifrados, la regla incluye un parámetro Nombre de archivo |no es ninguno de para excluir los archivos denominados de la regla de bloqueo.

Las reglas de acceso a archivos utilizan el tipo y la extensión de archivo verdaderos para determinarqué archivos se deben bloquear. El tipo de archivo verdadero identifica el archivo por su tipo de datosregistrados internamente, proporcionando una identificación precisa incluso si se cambió la extensión.

6 Protección de medios extraíblesReglas de acceso a archivos en dispositivos de almacenamiento extraíbles


De forma predeterminada, la regla bloquea los archivos comprimidos (.zip, .gz, .jar, .rar y .cab) y losejecutables (.bat, .bin, .cgi, .com, .cmd, .dll, .exe, .class, .sys y .msi). Puede personalizar lasdefiniciones de extensiones de archivos para agregar cualquier tipo de archivo que precise.

Las reglas de acceso a archivos también impiden que los archivos ejecutables se copien en dispositivosde almacenamiento extraíbles, puesto que el controlador de filtros de archivo no puede diferenciar entreabrir y crear un ejecutable.

Protección de medios extraíblesReglas de acceso a archivos en dispositivos de almacenamiento extraíbles 6


6 Protección de medios extraíblesReglas de acceso a archivos en dispositivos de almacenamiento extraíbles


7 Clasificación del contenido confidencial

Clasificaciones para identificar y rastrear archivos y contenido de carácter confidencial.

Contenido Componentes del módulo Clasificación Uso de las clasificaciones Criterios y definiciones de clasificación Clasificación manual Documentos registrados Texto en lista blanca Creación y configuración de clasificaciones Configurar los componentes de clasificación para McAfee DLP Endpoint Creación de las definiciones de clasificación Caso práctico: Integración del cliente de Titus con etiquetas de terceros Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación

Componentes del módulo ClasificaciónMcAfee DLP utiliza dos mecanismos para clasificar contenido de carácter confidencial: clasificacionesde contenido e identificaciones de contenido por huellas digitales; asimismo, emplea dos modos declasificación: automática y manual.

Las clasificaciones automáticas se definen en McAfee DLP y McAfee ePO las distribuye por lasdirectivas desplegadas en equipos endpoint. A continuación, se aplican al contenido en función de loscriterios que las definen. Los usuarios autorizados aplican las clasificaciones manuales a archivos ycorreos electrónicos de sus equipos endpoint.

Las clasificaciones de contenido incluyen condiciones del archivo y de los datos que definen elcontenido de carácter confidencial. Los criterios de clasificación se comparan con el contenido cuandose activa una regla de protección de datos, de descubrimiento de endpoint o de McAfee DLP Discover.

Las huellas digitales en contenido vienen definidas por la aplicación (la aplicación que creó el archivo ola aplicación web que abrió el archivo) o por la ubicación. Asimismo, puede incluir condiciones dearchivo y datos, que se aplican al contenido cuando este se utiliza, aunque no se haya activadoninguna regla.

7


El módulo Clasificación de McAfee DLP almacena criterios de clasificación e identificación por huellasdigitales de contenido, así como las definiciones utilizadas para configurarlos. También es el lugar paraconfigurar los repositorios de documentos registrados, la autorización del usuario para la identificaciónpor huellas digitales y la clasificación manual, y el texto en lista blanca.

Los criterios de clasificación de contenido son compatibles con McAfee DLP Endpoint for Windows,McAfee DLP Endpoint for Mac y McAfee DLP Discover. La identificación por huellas digitales decontenido, los documentos registrados y el texto en lista blanca solo son compatibles con McAfee DLPEndpoint for Windows. McAfee DLP Endpoint for Mac y McAfee DLP Discover pueden reconocerclasificaciones manuales, pero no pueden definirlas ni verlas.

El módulo proporciona estas funciones:

• Clasificación manual: configura los grupos de usuarios finales a quienes se permite identificar porhuellas digitales o clasificar de forma manual el contenido

• Definiciones: Define el contenido, las propiedades y la ubicación de los archivos para la clasificación.

• Clasificación: crea clasificaciones y define los criterios de clasificación e identificación por huellasdigitales de contenido

• Registrar documentos: Carga archivos que contienen contenido de carácter confidencial conocido.

• Texto en lista blanca: Carga archivos que contienen texto para incluir en lista blanca.

Uso de las clasificacionesLas clasificaciones identifican y rastrean el contenido de carácter confidencial aplicando huellasdigitales o criterios de clasificación a los archivos y al contenido.

McAfee DLP identifica y realiza el seguimiento del contenido de carácter confidencial con clasificacionesdefinidas por el usuario. Todos los productos de McAfee DLP admiten los criterios de clasificación.McAfee DLP Endpoint para Windows también admite la identificación del contenido por huellasdigitales. Las huellas digitales del contenido etiquetan la información confidencial; esta etiquetapermanece con el contenido incluso si se copia a otro documento o se guarda con un formatodiferente.

Criterios de clasificación de contenido

Los criterios de clasificación identifican patrones de texto, diccionarios, palabras clave o combinacionesde carácter confidencial. Las combinaciones pueden ser simplemente varias propiedades especificadaso con una relación definida que se conoce como proximidad. También pueden especificar lascondiciones del archivo, por ejemplo, el tipo, el cifrado, las propiedades del documento o la ubicaciónen el archivo (encabezado/cuerpo/pie de página).

Criterios de identificación por huellas digitales de contenido

Los criterios de identificación por huellas digitales de contenido se aplican a los archivos o al contenidoen función de uno de los siguientes criterios:

• Aplicación: la aplicación que ha creado o modificado el archivo.

• Ubicación: el recurso compartido de red o la definición del almacenamiento extraíble donde sealmacena el archivo.

• Web: las direcciones web que abrieron o descargaron los archivos.

7 Clasificación del contenido confidencialUso de las clasificaciones


Todas las condiciones de archivos y de datos disponibles para los criterios de clasificación también loestán para los de identificación por huellas digitales de contenido, lo que permite que estas combinenla funcionalidad de ambos tipos de criterios.

Las firmas de huella digital en contenido se almacenan en los atributos extendidos (EA) o los flujos dedatos alternativos (ADS) de un archivo. Si un usuario copia o mueve contenido identificado por huellasdigitales a otro archivo, los criterios de identificación se aplican a ese archivo. Si el contenidoidentificado por huellas digitales se elimina del archivo, también lo hacen las firmas correspondientes.

McAfee DLP Endpoint aplica los criterios de identificación por huellas digitales de contenido a losarchivos tras la aplicación de una directiva, independientemente de si se utiliza o no la clasificación enuna regla de protección.

Aplicación de criterios

Los criterios se aplican a un archivo de una de las siguientes maneras:

• McAfee DLP Endpoint aplica los criterios en los siguientes supuestos:

• El archivo coincide con una clasificación configurada.

• El archivo o contenido de carácter confidencial se mueve o se copia a una nueva ubicación.

• Se encuentra la coincidencia de un archivo durante un análisis de descubrimiento.

• Un usuario con permisos agrega manualmente los criterios a un archivo.

Véase también Creación de los criterios de clasificación en la página 91Crear criterios de identificación por huellas digitales de contenido en la página 93Asignar permisos de clasificación manual en la página 95

Clasificación por destino de archivoAdemás de clasificar el contenido por su ubicación de procedencia, puede clasificar y controlar sudestino. En la jerga de prevención de fuga de datos, esto se conoce como datos en tránsito.

Las reglas de protección de archivos que controlan los destinos incluyen lo siguiente:

• Reglas de protección en la nube

• Reglas de protección de correo electrónico

• Reglas de protección de comunicaciones de la red (saliente)

• Reglas de protección contra impresión

• Reglas de protección de almacenamiento extraíble

• Reglas de protección de la publicación web

Uso del correo electrónicoMcAfee DLP Endpoint protege los datos confidenciales de los encabezados, el cuerpo o los datosadjuntos de los correos electrónicos cuando se envían. El descubrimiento de almacenamiento decorreo electrónico detecta correos electrónicos con datos confidenciales en archivos OST o PST, y losetiqueta o los pone en cuarentena.

McAfee DLP Endpoint protege el contenido de carácter confidencial de los correos electrónicosmediante la clasificación y el etiquetado del contenido, y bloqueando el envío de correos electrónicoscon contenido de carácter confidencial. La directiva de protección de correo electrónico puedeespecificar reglas diferentes para usuarios y destinos de correo electrónico distintos, o para los correoselectrónicos protegidos con el cifrado o la administración de derechos.

Clasificación del contenido confidencialUso de las clasificaciones 7


Véase también Reglas de protección de correo electrónico en la página 116

Definir parámetros de redLas definiciones de red funcionan como criterios de filtrado en las reglas de protección de la red.

• Las Direcciones de red supervisan las conexiones de red entre un origen externo y un equipogestionado. La definición puede ser una sola dirección, un intervalo o una subred. Puede incluir yexcluir a direcciones de red definidas en reglas de protección de comunicaciones de la red.

• Las definiciones de Puerto de red en las reglas de protección de comunicaciones de la red lepermiten excluir servicios específicos según lo definido por los puertos de red. Se integra una listade servicios comunes y sus puertos. Puede editar los elementos de la lista o crear sus propiasdefiniciones.

• Las definiciones de Recurso compartido de red especifican las carpetas de red compartidas enlas reglas de protección de recurso compartido de red. Puede incluir o excluir los recursoscompartidos definidos.

Uso de las impresorasLas reglas de protección contra impresión gestionan tanto impresoras locales como de red, y bloqueano supervisan la impresión de material confidencial.

Las reglas de protección contra impresión en McAfee DLP Endpoint 9.4 admiten el modo avanzado ylas impresoras V4. Las impresoras y los usuarios finales definidos pueden incluirse en una regla oexcluirse de ella. Las impresoras de imagen y las impresoras PDF pueden incluirse en la regla.

Las reglas de protección contra impresión pueden incluir definiciones de aplicaciones. Puede definir losprocesos en lista blanca que estén exentos de las reglas de protección contra impresión en Catálogode directivas | Data Loss Prevention 9.4 | Configuración del cliente | Protección contra impresión.

Control de la información cargada en sitios webLas direcciones web se utilizan en reglas de protección de la publicación web.

Puede utilizar las definiciones de direcciones web para evitar que los datos marcados se publiquen endestinos web definidos (sitios web o páginas concretas de un sitio web), o para impedir que sepubliquen en sitios web no definidos. Generalmente, las definiciones de direcciones web establecen lossitios web internos y externos en los que se admite la publicación de datos marcados.

Clasificación por ubicación de archivoEl contenido de carácter confidencial se puede definir según el lugar en que esté situado (almacenado)o según dónde se utilice (aplicación o extensión de archivo).

McAfee DLP Endpoint utiliza varios métodos para ubicar y clasificar el contenido de carácterconfidencial. Datos en reposo es el término utilizado para describir las ubicaciones de los archivos.Clasifica el contenido planteando preguntas como "¿dónde se encuentra en la red?" o "¿en qué carpetase encuentra?" Datos en uso es el término utilizado para definir el contenido por cómo y dónde seutiliza. Clasifica el contenido planteando preguntas como "¿qué aplicación lo solicitó?" o "¿cuál es laextensión del archivo?".

Las reglas de descubrimiento de McAfee DLP Endpoint encuentran sus datos en reposo. Pueden buscarcontenido de archivos de equipos endpoint o archivos de almacenamiento de correo electrónico (PST,PST asignado y OST). En función de las propiedades, las aplicaciones o las ubicaciones en laclasificación de reglas, la regla puede buscar ubicaciones de almacenamiento concretas y aplicardirectivas de cifrado, cuarentena o administración de derechos. De forma alternativa, los archivos sepueden etiquetar o clasificar para controlar cómo se utilizan.

7 Clasificación del contenido confidencialUso de las clasificaciones


Extracción de textoEl extractor de texto analiza el contenido cuando se abren o se copian archivos y los compara con lospatrones de texto y las definiciones de diccionarios de las reglas de clasificación. Cuando se produceuna coincidencia, se aplican los criterios al contenido.

McAfee DLP es compatible con los caracteres acentuados. Cuando un archivo de texto ASCII contieneuna mezcla de caracteres acentuados, como los que existen en francés y español, además de otroscaracteres latinos estándar, es posible que el extractor de texto no identifique correctamente elconjunto de caracteres. Este problema se produce en todos los programas de extracción de texto. Eneste caso, no se conoce ningún método o técnica para identificar la página de código ANSI. Cuando elextractor de texto no es capaz de identificar la página de código, no se reconocen los patrones detexto ni las firmas de huella digital en contenido. El documento no se puede clasificar correctamente y,por tanto, no es posible llevar a cabo las medidas de supervisión o bloqueo correctas. Para solventareste problema, McAfee DLP utiliza una página de código de respaldo. Como respaldo, actúa el idiomapredeterminado del equipo o bien otro diferente establecido por el administrador.

Extracción de texto con McAfee DLP EndpointLa extracción de texto se puede utilizar en los equipos Microsoft Windows y Apple OS X.

El extractor de texto puede ejecutar varios procesos en función del número de núcleos del procesador.

• Un procesador de un núcleo solo ejecuta un proceso.

• Un procesador de dos núcleos ejecuta hasta dos procesos.

• Un procesador de varios núcleos ejecuta hasta tres procesos a la vez.

Si varios usuarios han iniciado sesión, cada uno contará con su propio conjunto de procesos. Así pues,el número de extractores de texto depende del número de núcleos y de sesiones de usuario. Sepueden consultar los diversos procesos en el Administrador de tareas de Windows. Puede configurar eluso máximo de la memoria del extractor de texto. El valor predeterminado es 75 MB.

Cómo categoriza aplicaciones McAfee DLP EndpointAntes de crear clasificaciones o conjuntos de reglas mediante aplicaciones, debe comprender de quémodo los categoriza McAfee DLP Endpoint y el efecto que ello tiene en el funcionamiento del sistema.

No se puede utilizar esta clasificación en McAfee DLP Endpoint for Mac.

El software McAfee DLP Endpoint divide las aplicaciones en cuatro categorías llamadas estrategias.Estas categorías o estrategias afectan el modo en el que el software funciona con las diferentesaplicaciones. Puede cambiar la estrategia para conseguir un equilibrio entre la seguridad y elrendimiento del equipo.

Las estrategias, en orden decreciente de seguridad, son las que se indican a continuación.

• Editor: Cualquier aplicación que pueda modificar contenido de archivos. En esta categoría seengloban los editores “clásicos”, como Microsoft Word y Microsoft Excel, así como navegadores,software de edición de gráficos, software de contabilidad, etc. La mayor parte de las aplicacionesson editores.

• Explorador: Una aplicación que copia o mueve archivos sin cambiarlos como, por ejemplo,Microsoft Windows Explorer o determinadas aplicaciones del shell.

• De confianza: Una aplicación que necesita acceso sin restricciones a los archivos para realizaranálisis. Por ejemplo, el software de creación de copias de seguridad McAfee® VirusScan® Enterprisey el software de búsqueda de escritorio Google Desktop.

• Archivador: Una aplicación que puede reprocesar archivos. Por ejemplo, software de compresiónde archivos como WinZip y aplicaciones de cifrado como McAfee Endpoint Encryption o PGP.

Clasificación del contenido confidencialUso de las clasificaciones 7


Cómo trabajar con estrategias de DLP

Cambie la estrategia según sus necesidades para optimizar el rendimiento. Por ejemplo, una aplicacióncon estrategia Editor está sometida a un alto nivel de observación, que no resulta apropiado para unaaplicación de búsqueda de escritorio, cuya función es realizar constantes operaciones de indexación.Los efectos sobre el rendimiento son notables y, sin embargo, el riesgo de fuga de datos desde estetipo de aplicaciones es bajo. Por lo tanto, para este tipo de aplicaciones, se recomienda utilizar laestrategia de confianza.

Puede omitir la estrategia predeterminada en Directiva de DLP | Configuración | Estrategia deaplicaciones. Cree y elimine omisiones según se necesario para experimentar con el ajuste de ladirectiva.

También puede crear más de una plantilla para una aplicación y asignarle más de una estrategia.Utilice plantillas diferentes en clasificaciones distintas y reglas para lograr resultados diversos encontextos diferentes. No obstante, sea cuidadoso al asignar dichas plantillas a los conjuntos de reglaspara evitar conflictos. McAfee DLP Endpoint resuelve los posibles conflictos conforme a la jerarquíasiguiente: archivador > de confianza > explorador > editor. O lo que es lo mismo, el editor seencuentra en la posición más baja. Si una aplicación es un editor en una plantilla y cualquier otroelemento en otra del mismo conjunto de reglas, McAfee DLP Endpoint no trata la aplicación comoeditor.

Criterios y definiciones de clasificaciónLos criterios y definiciones de clasificación contienen una o varias condiciones que describen laspropiedades del contenido o del archivo.

Tabla 7-1 Condiciones disponibles

Propiedad Se aplica a Definición Productos

Patrón avanzado Definiciones ycriterios

Frases o expresiones regulares que se utilizanpara ver la coincidencia con datos, comofechas o números de tarjetas de crédito.

Todos losproductos

Diccionario Definiciones ycriterios

Recopilaciones de palabras clave y frasesrelacionadas, como terminología médica uobscenidades.

Palabra clave Criterios Valor alfanumérico.Puede agregar varias palabras clave a loscriterios de identificación por huellas digitales oclasificación de contenido. El valor booleanopredeterminado para varias palabras clave esO, pero se puede cambiar a Y.

Proximidad Criterios Define la semejanza entre dos propiedadesbasadas en su ubicación respecto a la otra.Se pueden utilizar patrones avanzados,diccionarios o palabras clave para cualquierade las dos propiedades.

El parámetro Cercanía se define como "inferiora x caracteres", donde el valor predeterminadoes 1. También puede especificar un parámetroNúmero de correspondencias para determinarel número mínimo de coincidencias quederivarán en un acierto.

7 Clasificación del contenido confidencialCriterios y definiciones de clasificación


Tabla 7-1 Condiciones disponibles (continuación)


Propiedades deldocumento

Definiciones ycriterios

Contiene estas opciones:• Cualquier

propiedad• Guardado por

última vez por

• Autor • Nombre deladministrador

• Categoría • Seguridad

• Comentarios • Asunto

• Empresa • Plantilla

• Palabras clave • Título

Cualquier propiedad es una propiedad definidapor el usuario.

Cifrado del archivo Criterios Contiene estas opciones:• Sin cifrar*

• Autoextractor cifrado de McAfee.

• McAfee Endpoint Encryption

• Cifrado de Microsoft Rights Management*

• Cifrado de administración de derechos deSeclore.

• Tipos de cifrado no compatibles o archivoprotegido con contraseña*

• McAfee DLPEndpoint forWindows (todaslas opciones)

• McAfee DLPDiscover(opcionesmarcadas con unasterisco *)

Extensión delarchivo


Grupos de tipos de archivo compatibles comolos archivos MP3 y PDF.

Todos losproductos

Información delarchivo


Contiene estas opciones:• Fecha de acceso • Nombre del

archivo

• Fecha decreación

• Propietario delarchivo

• Fecha demodificación

• Tamaño dearchivo

• Extensión delarchivo

Todos losproductos

Clasificación del contenido confidencialCriterios y definiciones de clasificación 7


Tabla 7-1 Condiciones disponibles (continuación)


Ubicación en elarchivo

Criterios La sección del archivo donde se ubican losdatos.• Documentos de Microsoft Word: El motor de

clasificación puede identificar el encabezado,el cuerpo y el pie de página.

• Documentos de PowerPoint: WordArt seconsidera un encabezado; todo lo demás seidentifica como cuerpo.

• Otros documentos: El encabezado y el pie depágina no son aplicables. Los criterios declasificación no contemplarán el documentosi están seleccionados.

Etiquetas deterceros

Criterios Se utiliza para especificar los nombres decampo y valores de Titus.

McAfee DLPEndpoint forWindows

Tipo de archivoverdadero


Grupos de tipos de archivos.Por ejemplo, el grupo integrado de MicrosoftExcel incluye archivos Excel XLS, XLSX y XML,así como Lotus WK1 y FM3, CSV y DIF, AppleiWork, etc.

Todos losproductos

Plantilla deaplicación

Definiciones La aplicación o el ejecutable que accede alarchivo.

• McAfee DLPEndpoint forWindows

• McAfee DLPEndpoint for Mac

Grupo de usuariosfinales

Definiciones Se utilizan para definir los permisos declasificación manual.

Recursocompartido de red

Definiciones El recurso compartido de red en el que sealmacena el archivo.

McAfee DLPEndpoint forWindowsLista de URL Definiciones La dirección URL desde la que se accede al

archivo.

Véase también Creación de las definiciones de clasificación en la página 98

Definiciones de diccionarioUn diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignadauna calificación.

Los criterios de clasificación e identificación por huellas digitales de contenido utilizan diccionariosespecíficos para clasificar un documento si se supera el umbral definido (calificación total), es decir, siaparecen en el documento suficientes palabras del diccionario.

La diferencia entre un diccionario y una cadena en una definición de palabra clave es la calificaciónasignada.

• La clasificación de una palabra clave siempre marca el documento si la expresión está presente.

• Una clasificación de diccionarios le da más flexibilidad, ya que permite establecer un umbral, lo quehace que la clasificación sea relativa.

Las calificaciones asignadas pueden ser negativas o positivas, lo que le permite buscar palabras oexpresiones en presencia de otras palabras o expresiones.



El software de McAfee DLP incluye varios diccionarios integrados con términos utilizados habitualmenteen los ámbitos de la salud, la banca, las finanzas y otros sectores. Además, puede crear sus propiosdiccionarios. Los diccionarios se pueden crear (y editar) de forma manual o mediante la función decopiar y pegar de otros documentos.

Limitaciones

Existen ciertas limitaciones para utilizarlos. Los diccionarios se guardan en formato Unicode (UTF-8) yse pueden escribir en cualquier idioma. Las siguientes descripciones se aplican a los diccionariosescritos en inglés. Las descripciones generalmente se aplican a otros idiomas, pero pueden ocurrirproblemas imprevistos en algunos.

La coincidencia de diccionarios tiene tres características:

• Solo distingue entre mayúsculas y minúsculas cuando crea entradas de diccionario que distinguenentre mayúsculas y minúsculas. Los diccionarios integrados, creados antes de que esta funciónestuviera disponible, no distinguen entre mayúsculas y minúsculas.

• Puede buscar coincidencias con subcadenas o frases completas.

• Hace coincidir las frases, incluidos los espacios.

Si se especifica la coincidencia con subcadenas, tenga cuidado al introducir palabras cortas debido a laposible aparición de falsos positivos. Por ejemplo, la entrada de "sal" en el diccionario indicaría"saltar" y "asalto". A fin de evitar falsos positivos de este tipo, utilice la opción de coincidencia contoda la frase o use frases improbables desde el punto de vista estadístico a fin de obtener los mejoresresultados. Otra fuente de falsos positivos son las entradas similares. Por ejemplo, en algunos listadosde enfermedades de HIPAA (Health Insurance Portability and Accountability Act), "celíaco" y"enfermedad celíaca" aparecen como entradas independientes. Si el segundo término aparece en undocumento y se especifica la coincidencia con subcadenas, se producen dos resultados (uno para cadaentrada) y se sesga la calificación total.

Véase también Crear o importar una definición de diccionario en la página 99

Definiciones de patrones avanzadosLos patrones avanzados utilizan expresiones regulares (regex) que permiten una coincidencia conpatrones más complejos, como números de la Seguridad Social o de tarjetas de crédito. Lasdefiniciones utilizan la sintaxis de expresiones regulares de Google RE2.

Las definiciones de patrones avanzados incluyen una calificación (obligatoria), como con lasdefiniciones de diccionario. Además, pueden incluir un validador opcional: un algoritmo utilizado paraprobar las expresiones regulares. El uso del validador adecuado también puede reducir los falsospositivos de manera significativa. La definición puede incluir una sección Expresiones ignoradasopcional para continuar reduciendo los falsos positivos. Las expresiones ignoradas pueden serexpresiones regex o palabras clave. Puede importar varias palabras clave para agilizar la creación deexpresiones.

Los patrones avanzados indican la presencia de texto confidencial. Los patrones de texto confidencialse redactan en pruebas con resaltado de coincidencias.

Si se especifica un patrón incluido y otro ignorado, tiene prioridad el patrón ignorado. De esta forma, esposible especificar una regla general y agregar excepciones sin tener que volver a escribir la reglageneral.

Véase también Crear un patrón avanzado en la página 99

Clasificación del contenido confidencialCriterios y definiciones de clasificación 7


Clasificación de contenido con propiedades de documentos oinformación del archivoLas definiciones de propiedades de documento clasifican el contenido mediante valores de metadatospredefinidos. Las definiciones de información del archivo clasifican contenido por metadatos delarchivo.

Propiedades del documento

Las propiedades del documento se pueden recuperar de cualquier documento Microsoft Office o PDF, yse pueden utilizar en definiciones de clasificación. Se admite la coincidencia parcial mediante lacomparación de Contiene.

Existen tres tipos de propiedades de documento:

• Propiedades predefinidas: Propiedades estándar, como el autor y el título.

• Propiedades personalizadas: Propiedades personalizadas agregadas a los metadatos deldocumento admitidas por algunas aplicaciones como Microsoft Word. Una propiedad personalizadapuede hacer referencia a un tipo de documento estándar que no se encuentra en la lista depropiedades predefinidas, pero no puede duplicar una propiedad que aparece en la lista.

• Cualquier propiedad: Permite la definición de una propiedad por un valor. Esta función resultaútil en los casos en los que la palabra clave se ha introducido en el parámetro de propiedadincorrecto o cuando se desconoce el nombre de la propiedad. Por ejemplo, al agregar el valorSecreta al parámetro Cualquier propiedad, se clasifican todos los documentos que tienen la palabraSecreta en al menos una propiedad.

Información del archivo

Las definiciones de información del archivo se utilizan en la protección de datos y las reglas dedescubrimiento, así como en las clasificaciones, para aumentar la granularidad. La información delarchivo incluye la fecha creada, la fecha modificada, el propietario del archivo y el tamaño del archivo.Las propiedades de la fecha tienen opciones de fecha exactas (antes, después, entre) y relativas (enlos últimos x días, semanas, años). Tipo de archivo (solo extensiones) es una lista de extensiones predefiniday extensible.

Plantillas de aplicaciónUna plantilla de aplicación controla aplicaciones concretas mediante propiedades como el nombre delproducto o el proveedor, el nombre del archivo ejecutable o el título de la ventana.

Una plantilla de aplicación puede definirse para una sola aplicación o para un grupo de aplicacionessimilares. Hay plantillas integradas (predefinidas) para un número de aplicaciones comunes como elexplorador de Windows, los navegadores web, las aplicaciones de cifrado y los clientes de correoelectrónico.

La definición de plantilla de la aplicación incluye un campo con una casilla de verificación parasistemas operativos. El análisis de archivos asignados a la memoria es una función solo de Windows yse desactiva de forma automática cuando se seleccionan las aplicaciones OS X.

Las plantillas de aplicaciones para Microsoft Windows pueden utilizar cualquiera de los siguientesparámetros:

• Línea de comandos: admite argumentos de línea de comandos, como java-jar, que puedencontrolar aplicaciones que anteriormente no lo permitían.

• Directorio ejecutable: el directorio en el que se encuentra el archivo ejecutable. Un uso de esteparámetro es controlar las aplicaciones U3.



• Hash de archivo ejecutable: nombre de visualización de la aplicación con hash SHA2identificativo.

• Nombre del archivo ejecutable: por lo general, suele ser el mismo que el nombre devisualización (menos el hash SHA2), pero puede ser distinto si se cambia el nombre del archivo.

• Nombre del archivo ejecutable original: idéntico al nombre del archivo ejecutable, a menosque se haya cambiado el nombre del archivo.

• Nombre del producto: nombre genérico del producto (por ejemplo, Microsoft Office 2012) si seincluye en las propiedades del archivo ejecutable.

• Nombre del proveedor: nombre de la empresa, si se incluye en la lista de propiedades delarchivo ejecutable.

• Título de ventana: valor dinámico al que, en tiempo de ejecución, se le añade el nombre delarchivo activo.

Todos los parámetros, excepto el nombre de aplicación SHA2 y el directorio ejecutable, aceptan lascoincidencias de subcadenas.

Las plantillas de aplicaciones para OS X pueden utilizar cualquiera de los siguientes parámetros:

• Línea de comandos

• Directorio ejecutable

• Hash del archivo ejecutable

• Nombre del archivo ejecutable

Clasificación manualLos usuarios finales pueden aplicar o eliminar manualmente criterios de clasificación o identificaciónpor huellas digitales de contenido a los archivos.

De forma predeterminada, los usuarios finales no tienen permiso para ver, agregar o eliminarclasificaciones. Sin embargo, sí pueden asignar clasificaciones específicas a grupos de usuariosconcretos o a Todos. Los usuarios asignados pueden entonces aplicar la clasificación a los archivosmientras trabajan. Si el cliente de McAfee DLP Endpoint encuentra un archivo clasificadomanualmente, por ejemplo, en los datos adjuntos a un correo electrónico, deberá adoptar las accionesapropiadas según la clasificación. La clasificación manual también le permite mantener la directiva declasificación de su organización incluso en casos especiales de información confidencial o única que elsistema no procesa automáticamente.

Los usuarios de McAfee DLP Endpoint for Windows pueden clasificar manualmente los archivos. Losusuarios de McAfee DLP Endpoint for Mac pueden reconocer los archivos clasificados manualmente, perono pueden definir ni ver las clasificaciones manuales.

Al configurar el permiso para la clasificación manual, tiene la opción de permitir que las clasificacionesde contenido, las huellas digitales de contenido o ambas se apliquen de forma manual.

Compatibilidad con la clasificación manual

McAfee DLP ofrece dos tipos de compatibilidad con las clasificaciones manuales: compatibilidad conMicrosoft Office y tipos de archivos admitidos.

Clasificación del contenido confidencialClasificación manual 7


En el nivel de creación de archivo, se admiten las aplicaciones de Microsoft Office (Word, Excel yPowerPoint) y Microsoft Outlook. Los usuarios finales pueden elegir clasificar los archivos o puededefinir opciones para forzar a los archivos a clasificar archivos de Office, cuando se guardan, y correoselectrónicos de Outlook cuando se envían.

Otros tipos de archivos admitidos, así como los archivos de Microsoft Office, se pueden clasificar desdeel Explorador de Windows desde el menú contextual.

Marcado incrustado

Hay una diferencia entre las clasificaciones de contenido aplicadas automáticamente y de formamanual. Las clasificaciones de contenido automáticas comparan el contenido de una coincidencia cadavez que se activa una regla que contiene la clasificación. No cambian el archivo. Las clasificaciones decontenido manuales incrustan una etiqueta física en el archivo. Para los correos electrónicos, seincrusta un x-header en los correos electrónicos y se puede agregar texto marcado al encabezado o alpie de página para indicar la clasificación.

Las huellas digitales de contenido aplicadas manualmente funcionan igual que las que se aplican deforma automática: las firmas se almacenan en los atributos extendidos o los flujos alternativos dedatos de un archivo.

Véase también Asignar permisos de clasificación manual en la página 95

Etiquetas incrustadasLas etiquetas incrustadas cuando se utiliza la clasificación manual permiten que las aplicaciones deterceros se integren con los documentos etiquetados de McAfee DLP.

La siguiente tabla enumera los tipos de archivos admitidos, el nombre de etiqueta y la tecnologíaaplicada.

Tipo de archivo verdadero Tecnología Nombre de etiqueta incrustada

Documento Propiedades del documento DLP_CLASSIFICATION

DOCUMENTOS

RTF

7 Clasificación del contenido confidencialClasificación manual


Tipo de archivo verdadero Tecnología Nombre de etiqueta incrustada

PDF XMP

JPEG

Las etiquetas internas son:

• Clasificación: DLPManualClassification

• Clasificador: DLPManualClassificationClassifier

• Fecha: DLPManualClassificationDate

y los tipos de archivos compatibles con XMP son:

AIFF (aif) MPEG-4 (mov, mp4, m4v, m4a,f4v)

SWF (swf)

ASF (wma, wmv) P2 TIFF (tif, tiff, dng)

AVCHD (m2ts, mts, m2t) PDF (pdf) UCF (ucf, xfl, pdfxml, mars,idml, idap, icap)

FLV (flv) PNG (png) WAVE (wav)

InDesign (indd, indt) POST-SCRIPT (ps, eps) XDCAM

JPEG (jpg, jpeg) PSD (psd) XDCAMEX

MP3 (mp3) RIFF (avi)

MPEG2 (mpg, mpeg, mp2, mod, m2v,mpa, mpv, m2p, m2a, m2t, mpe, vob,ms-pvr, dvr-ms)

SONY-HDV

Véase también Clasificación manual en la página 87Personalización de mensajes del usuario final en la página 123

Documentos registradosLa función de documentos registrados es una extensión de la identificación por huellas digitales decontenido basada en la ubicación. Ofrece a los administradores otro modo de definir la información decarácter confidencial a fin de evitar su distribución de formas no autorizadas.

McAfee DLP Discover y McAfee DLP Endpoint for Mac no admiten documentos registrados.

Los documentos registrados están predefinidos como confidenciales, por ejemplo, las hojas de cálculode estimaciones de venta para el siguiente trimestre. El software de McAfee DLP categoriza e identificapor huellas digitales el contenido de estos archivos. Las firmas creadas son independientes del idioma,es decir, el proceso funciona para todos los idiomas. Cuando crea un paquete, las firmas se cargan enla base de datos de McAfee ePO para distribuirlas a todas las estaciones de trabajo de los endpoints.El cliente de McAfee DLP Endpoint de los equipos gestionados controla la distribución de losdocumentos que contienen fragmentos de contenido registro.

Para utilizar los documentos registrados, cargue los archivos en la pestaña Registrar documentos delmódulo Clasificación y asígnelos a una clasificación en ese momento. El cliente del endpoint ignora lasclasificaciones que no son aplicables. Por ejemplo, los paquetes de documentos registradosclasificados con las propiedades del archivo se ignoran cuando se analiza el correo electrónico enbusca de contenido de carácter confidencial.

Clasificación del contenido confidencialDocumentos registrados 7


Existen dos opciones de vista: Estadísticas y Clasificaciones. La vista de las estadísticas muestra elnúmero total de archivos, su tamaño, el número de firmas, etc., en el panel de la izquierda y, en el dela derecha, las estadísticas de cada archivo. Utilice estos datos para eliminar los paquetes menosimportantes si se va a llegar al límite de firmas. La vista de clasificaciones muestra los archivoscargados por clasificación. En la parte superior derecha figura la información sobre la creación depaquetes más reciente y los cambios en la lista de archivos.

Cuando crea un paquete, el software procesa todos los archivos de la lista y carga las huellas digitalesen la base de datos de McAfee ePO para su distribución. Cuando agregue o elimine documentos, debecrear un nuevo paquete. El software no intenta calcular si ya se ha tomado la huella digital de algunosde los archivos; siempre procesa la lista entera.

El comando Crear paquete funciona en la lista de documentos registrados y en los documentos en listablanca a la vez para crear un solo paquete. El número máximo de firmas por paquete es de un millónpara los documentos registrados y los documentos en lista blanca.

Véase también Cargar documentos registrados en la página 92

Texto en lista blancaMcAfee DLP ignora el texto en lista blanca cuando procesa el contenido del archivo.

McAfee DLP Discover y McAfee DLP Endpoint for Mac no admiten texto en lista blanca.

Puede cargar los archivos que contienen texto a McAfee ePO para incluirlos en una lista blanca. Eltexto en lista blanca impedirá que el contenido se clasifique o marque, incluso si hay partes de él quecoinciden con la clasificación o los criterios de identificación por huellas digitales de contenido. Utilicela lista blanca para texto que aparezca habitualmente en los archivos, como texto repetitivo, avisoslegales e información de copyright.

• Los archivos que van a incluirse en lista blanca deben contener al menos 400 caracteres.

• Si un archivo contiene tanto datos categorizados como incluidos en lista blanca, el sistema no loignora. Todos los criterios de clasificación e identificación por huellas digitales de contenidoasociados con el contenido siguen vigentes.

Véase también Cargar archivos con texto para inclusión en lista blanca en la página 92

7 Clasificación del contenido confidencialTexto en lista blanca


Creación y configuración de clasificacionesCree clasificaciones y criterios para su uso en reglas o análisis.

Procedimientos• Crear una clasificación en la página 91

Las reglas de protección de datos y de descubrimiento requieren definiciones declasificación en su configuración.

• Creación de los criterios de clasificación en la página 91Aplique los criterios de clasificación a los archivos en función del contenido y laspropiedades del archivo.

• Cargar documentos registrados en la página 92Seleccione y clasifique documentos para distribuir en los equipos Endpoint.

• Cargar archivos con texto para inclusión en lista blanca en la página 92Cargue los archivos que contienen el texto utilizado habitualmente para la inclusión enlistas blancas.

Crear una clasificaciónLas reglas de protección de datos y de descubrimiento requieren definiciones de clasificación en suconfiguración.



2 Haga clic en Nueva clasificación.

3 Introduzca un nombre y, si lo desea, una descripción.

4 Haga clic en Aceptar.

5 Agregue grupos de usuarios finales a la clasificación manual o documentos registrados a laclasificación, haciendo clic en Editar para el componente correspondiente.

6 Agregue criterios de identificación por huellas digitales o clasificación de contenido con el controlAcciones.

Creación de los criterios de clasificaciónAplique los criterios de clasificación a los archivos en función del contenido y las propiedades delarchivo.

Los criterios de clasificación de contenido se crean a partir de las Definiciones de los archivos y los datos.Si no existe una definición requerida, puede crearla cuando defina el criterio.



2 Seleccione la clasificación a la que quiere agregar los criterios y haga clic en Acciones | New ContentClassification Criteria (Nuevos criterios de clasificación de contenido).

3 Introduzca el nombre.

Clasificación del contenido confidencialCreación y configuración de clasificaciones 7


4 Seleccione una o varias propiedades y configure las entradas de comparación y valor.


• Para algunas propiedades, haga clic en ... para seleccionar una propiedad existente o crear unanueva.

• Para agregar valores adicionales a una propiedad, haga clic en +.

• Para eliminar valores, haga clic en -.


Véase también Uso de las clasificaciones en la página 78

Cargar documentos registradosSeleccione y clasifique documentos para distribuir en los equipos Endpoint.

McAfee DLP Discover no admite documentos registrados.



2 Haga clic en la ficha Registrar documentos.

3 Haga clic en Carga de archivo.

4 Busque el archivo, seleccione si desea sobrescribir o no un archivo, si ya existe el nombre dearchivo, y seleccione una clasificación.

Carga de archivo procesa un solo archivo. Para cargar varios documentos, cree un archivo .zip.


El archivo se carga y procesa, y las estadísticas aparecen en la página.

Cuando haya completado la lista de archivos, haga clic en Crear paquete. Se carga un paquete de firmade todos los documentos registrados y todos los documentos en lista blanca en la base de datos deMcAfee ePO para la distribución en equipos Endpoint.

Puede crear un paquete solo de documentos registrados o en lista blanca dejando una lista vacía.Cuando se eliminen los archivos, quítelos de la lista y cree un nuevo paquete para aplicar los cambios.

Véase también Documentos registrados en la página 89

Cargar archivos con texto para inclusión en lista blancaCargue los archivos que contienen el texto utilizado habitualmente para la inclusión en listas blancas.

McAfee DLP Discover no admite texto en lista blanca.

7 Clasificación del contenido confidencialCreación y configuración de clasificaciones




2 Haga clic en la ficha Texto en lista blanca.

3 Haga clic en Carga de archivo.

4 Busque el archivo y seleccione si desea sobrescribir o no un archivo, si ya existe el nombre dearchivo.


Véase también Texto en lista blanca en la página 90

Configurar los componentes de clasificación para McAfee DLPEndpoint

McAfee DLP Endpoint es compatible con la clasificación manual y la aplicación de criterios deidentificación por huellas digitales de contenido.

Procedimientos• Crear criterios de identificación por huellas digitales de contenido en la página 93

Aplique criterios de identificación por huellas digitales a los archivos según la ubicación delarchivo o la aplicación.

• Caso práctico: Identificación por huellas digitales basada en la aplicación en la página 94Puede clasificar el contenido como confidencial según la aplicación que lo ha creado.

• Asignar permisos de clasificación manual en la página 95Configure a los usuarios con permisos para clasificar los archivos manualmente.

• Caso práctico: Clasificación manual en la página 95Se pueden asignar permisos de clasificación manual a aquellos trabajadores cuyas tareasrequieran crear con asiduidad archivos con información confidencial. De esta manera,podrán clasificar los archivos a medida que los vayan creando dentro de su flujo normal detrabajo.

Crear criterios de identificación por huellas digitales decontenidoAplique criterios de identificación por huellas digitales a los archivos según la ubicación del archivo o laaplicación.



2 Seleccione la clasificación a la que agregar criterios.

3 Seleccione Acciones | New Content Fingerprinting Criteria (Nuevos criterios de identificación de contenidopor huellas digitales) y, a continuación, elija el tipo de criterio.

Clasificación del contenido confidencialConfigurar los componentes de clasificación para McAfee DLP Endpoint 7


4 Introduzca un nombre y especifique información adicional según el tipo de criterios deidentificación por huellas digitales.

• Aplicación: Haga clic en ... para seleccionar una o varias aplicaciones.

• Ubicación: Haga clic en ... para seleccionar uno o varios recursos compartidos de red. Si fueranecesario, especifique el tipo de medio extraíble.

• Aplicación web: Haga clic en ... para seleccionar una o varias listas de URL.

5 (Opcional) Seleccione una o varias propiedades y configure las entradas de valores y comparación.


• Para algunas propiedades, haga clic en ... para seleccionar una propiedad existente o crear unanueva.

• Para agregar valores adicionales a una propiedad, haga clic en +.

• Para eliminar valores, haga clic en -.


Véase también Uso de las clasificaciones en la página 78

Caso práctico: Identificación por huellas digitales basada en laaplicaciónPuede clasificar el contenido como confidencial según la aplicación que lo ha creado.

En algunos casos, el contenido se puede clasificar como confidencial según la aplicación que lo hacreado. Un ejemplo son los mapas militares de estricta confidencialidad. Estos archivos son JPEG,normalmente, creados con una aplicación GIS específica de las fuerzas aéreas de un país. Alseleccionar esta aplicación en la definición de criterios de identificación por huellas digitales decontenido, todos los archivos JPEG generados con dicha aplicación se etiquetarán como confidenciales.Los archivos JPEG creados con otras aplicaciones no se etiquetarán.



2 En la ficha Definiciones, seleccione Plantilla de aplicación y, a continuación, seleccione Acciones | Nueva.

3 Introduzca un nombre, por ejemplo, Aplicación GIS y, si lo desea, una descripción. Si utiliza unao más propiedades de la lista Propiedades disponibles, podrá definir la aplicación GIS. Haga clic enGuardar.

4 En la ficha Clasificación, haga clic en Nueva clasificación e introduzca un nombre, por ejemplo,Aplicación GIS y, si lo desea, una descripción. Haga clic en Aceptar.

5 Seleccione Acciones | Nuevos criterios de identificación por huellas digitales de contenido | Aplicación.

Se abre la página de criterios de identificación por huellas digitales de aplicaciones.

6 En el campo Nombre, introduzca un nombre para la etiqueta, por ejemplo, Etiqueta GIS.

7 En el campo Aplicaciones, seleccione la aplicación GIS creada en el paso 1.

7 Clasificación del contenido confidencialConfigurar los componentes de clasificación para McAfee DLP Endpoint


8 En la lista Propiedades disponibles | Condiciones del archivo, seleccione Tipos de archivo verdadero. En el campoValor, seleccione Graphic files [integrado].

La definición integrada incluye JPEG, así como otros tipos de archivos gráficos. Al seleccionar unaaplicación, así como un tipo de archivo, solo se incluyen en la clasificación los archivos JPEGcreados por la aplicación.

9 Haga clic en Guardar y, a continuación, seleccione Acciones | Guardar clasificación.

La clasificación está lista para utilizarse en reglas de protección.

Asignar permisos de clasificación manualConfigure a los usuarios con permisos para clasificar los archivos manualmente.



2 Haga clic en la ficha Clasificación manual.

3 En la lista desplegable Ver, seleccione Agrupar por clasificaciones o Agrupar por grupos de usuarios finales.

Puede asignar clasificaciones a grupos de usuarios finales o grupos de usuarios finales aclasificaciones, lo que le resulte más cómodo. La lista Ver determina cómo se ven los elementos.

4 Si agrupa por clasificaciones:

a Seleccione una clasificación en la lista desplegable.

b En la sección Clasificaciones, elija el tipo de clasificación.

Si la lista es muy larga, redúzcala escribiendo una cadena en el cuadro de texto Filtrar lista.

c Seleccione Acciones | Seleccionar grupos de usuarios finales.

d En la ventana Elegir entre los valores existentes, seleccione grupos de usuarios o haga clic en Nuevoelemento para crear un nuevo grupo. Haga clic en Aceptar.

5 Si agrupa por grupos de usuarios finales:

a Seleccione un grupo de usuarios en la lista que aparece.

b Seleccione Acciones | Seleccionar clasificaciones.

c En la ventana Elegir entre los valores existentes, seleccione clasificaciones. Haga clic en Aceptar.

Caso práctico: Clasificación manualSe pueden asignar permisos de clasificación manual a aquellos trabajadores cuyas tareas requierancrear con asiduidad archivos con información confidencial. De esta manera, podrán clasificar losarchivos a medida que los vayan creando dentro de su flujo normal de trabajo.

En este ejemplo, un trabajador del sector sanitario sabe que todos los historiales de los pacientesdeben considerarse confidenciales según la normativa estadounidense HIPAA. A los trabajadores quecrean y editan estos historiales se les conceden permisos de clasificación manual.




1 Cree uno o varios grupos de trabajadores encargados de crear o editar los historiales de lospacientes.

a En McAfee ePO, abra el módulo Clasificación (Menú | Protección de datos | Clasificación).

b En la ficha Definiciones, seleccione Origen/destino | Grupo de usuarios finales.

c Seleccione Acciones | Nuevo, cambie el nombre predeterminado por uno significativo, como Grupode usuarios PHI, y agregue usuarios o grupos a la definición.

d Haga clic en Guardar.

2 Cree una clasificación PHI (información sanitaria protegida, "Protected Health Information").

a Dentro del módulo Clasificación, en la ficha Clasificación, seleccione PHI [muestra] [integrado] en el panelizquierdo y, a continuación, elija Acciones | Duplicar clasificación.

De esta forma, aparecerá una copia editable de la clasificación de muestra.

b Cambie el nombre, la descripción y los criterios de clasificación como desee.

c En el campo Clasificación manual, haga clic en Editar.

d En la sección Acciones adicionales, seleccione el tipo de clasificación.

De forma predeterminada, solo se selecciona Clasificación manual.

e Seleccione Acciones | Seleccionar grupos de usuarios finales.

f En la ventana Elegir entre los valores existentes, seleccione el grupo o los grupos que creóanteriormente y haga clic en Aceptar.

g Vuelva a la ficha Clasificación y seleccione Acciones | Guardar clasificación.

Ahora, los trabajadores que formen parte de los grupos asignados podrán clasificar los historiales depacientes a medida que los vayan creando con solo hacer clic con el botón derecho en el archivo yseleccionar Protección de datos y la opción adecuada.

En el menú, aparecerán únicamente las opciones seleccionadas (paso 2.d).

7 Clasificación del contenido confidencialConfigurar los componentes de clasificación para McAfee DLP Endpoint


Creación de las definiciones de clasificaciónPuede utilizar definiciones de clasificación predefinidas o crear nuevas definiciones. Las definicionespredefinidas no se pueden modificar ni eliminar.

Procedimientos

• Crear una definición de clasificación general en la página 98Cree y configure definiciones para su uso en las clasificaciones y las reglas.

• Crear o importar una definición de diccionario en la página 99Un diccionario es una recopilación de palabras o frases clave en la que cada entrada tieneasignada una calificación. Las calificaciones tienen en cuenta definiciones de reglas másdetalladas.

• Crear un patrón avanzado en la página 99Los patrones avanzados se utilizan para definir clasificaciones. La definición de un patrónavanzado puede incluir una expresión sencilla o una combinación de expresiones ydefiniciones de falsos positivos.

• Crear un nuevo intervalo de puertos de red en la página 100Los intervalos de puertos de red funcionan como criterios de filtrado en las reglas deprotección de comunicaciones de la red.

• Creación de un intervalo de direcciones de red en la página 101Los intervalos de direcciones de red funcionan como criterios de filtrado en las reglas deprotección de comunicaciones de la red.

• Crear una definición de dirección de correo electrónico en la página 101Las definiciones de dirección de correo electrónico son dominios de correo electrónicopredefinidos o direcciones de correo electrónico específicas que pueden incluirse en lasreglas de protección de correo electrónico.

• Crear una definición de la impresora de red en la página 102Utilice definiciones de la impresora de red para crear reglas específicas de protección contraimpresión. Las impresoras definidas pueden incluirse en reglas o excluirse de estas.

• Crear una definición de lista de URL en la página 102Las definiciones de listas de URL se utilizan para definir las reglas de protección de lapublicación web. Se agregan a las reglas como condiciones de Dirección web (URL).

Véase también Criterios y definiciones de clasificación en la página 82

Crear una definición de clasificación generalCree y configure definiciones para su uso en las clasificaciones y las reglas.



2 Seleccione el tipo de definición para configurar y, a continuación, seleccione Acciones | Nuevo.

3 Introduzca un nombre, y configure las opciones y las propiedades de la definición.

Las opciones y las propiedades disponibles varían según el tipo de definición.


7 Clasificación del contenido confidencialCreación de las definiciones de clasificación


Crear o importar una definición de diccionarioUn diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignadauna calificación. Las calificaciones tienen en cuenta definiciones de reglas más detalladas.




3 En el panel de la izquierda, seleccione Diccionario.



6 Agregue entradas al diccionario.

Para importar entradas:

a Haga clic en Importar entradas.

b Introduzca palabras o expresiones, o copie y pegue de otro documento.

La ventana de texto está limitada a 20 000 líneas de 50 caracteres cada una.

c Haga clic en Aceptar.

Todas las entradas se asignan a una calificación predeterminada de 1.

d Si es necesario, actualice la calificación predeterminada de 1 haciendo clic en Editar en laentrada.

e Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según seanecesario.

Empieza por y Termina por ofrecen coincidencia con subcadenas.

Para crear entradas manualmente:

a Introduzca la expresión o la calificación.

b Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según seanecesario.

c Haga clic en Agregar.


Crear un patrón avanzadoLos patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón avanzadopuede incluir una expresión sencilla o una combinación de expresiones y definiciones de falsospositivos.

Los patrones avanzados se definen con expresiones regulares (regex). La definición de las expresionesregulares queda fuera del alcance de este documento. Existe una gran cantidad de tutoriales acerca delas expresiones regulares en Internet en los que puede obtener más información acerca de este tema.

Clasificación del contenido confidencialCreación de las definiciones de clasificación 7




2 Seleccione la ficha Definiciones y, a continuación, Patrón avanzado en el panel de la izquierda.

Los patrones disponibles aparecerán en el panel de la derecha.

Para ver solo los patrones avanzados definidos por el usuario, anule la selección de la casilla deverificación Incluir elementos incorporados. Los patrones definidos por el usuario son los únicos quepueden editarse.


Aparece la página de definición de Nuevo patrón avanzado.


5 En Expresiones coincidentes, haga lo siguiente:

a Introduzca una expresión en el cuadro de texto. Si lo desea, agregue una descripción.

b Seleccione un validador en la lista desplegable.

McAfee recomienda utilizar un validador cuando sea posible para minimizar falsos positivos,aunque no es obligatorio. Si no desea especificar un validador o si la validación no es adecuadapara la expresión, seleccione Sin validaciones.

c Introduzca un número en el campo Calificación.

Este número indica la ponderación de la expresión comparándola con el umbral. Este campo esobligatorio.

d Haga clic en Agregar.

6 En Falso positivo, haga lo siguiente:

a Introduzca una expresión en el cuadro de texto.

Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos ypegarlos en la definición mediante Importar entradas.

b En el campo Tipo, seleccione RegEx en la lista desplegable si la cadena es una expresión regular oPalabra clave si es texto.

c Haga clic en Agregar.


Crear un nuevo intervalo de puertos de redLos intervalos de puertos de red funcionan como criterios de filtrado en las reglas de protección decomunicaciones de la red.





2 En el panel de la izquierda, seleccione Puerto de red y, a continuación, haga clic en Acciones | Nuevo.

También puede editar las definiciones integradas.

3 Introduzca un nombre único y, si lo desea, una descripción.

4 Introduzca los números de puerto, separados por comas y, si lo desea, una descripción. Haga clicen Agregar.

5 Cuando haya agregado todos los puertos necesarios, haga clic en Guardar.

Creación de un intervalo de direcciones de redLos intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección decomunicaciones de la red.

ProcedimientoPara cada definición requerida, lleve a cabo los pasos del 1 al 4: Para obtener más información sobrefunciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda.


2 En el panel de la izquierda, seleccione Dirección de red (dirección IP) y, a continuación, haga clic enAcciones | Nuevo.

3 Introduzca un nombre único para la definición y, si lo desea, una descripción.

4 En el cuadro de texto, introduzca una dirección, un intervalo o una subred. Haga clic en Agregar.

Los ejemplos correctamente formateados se muestran en la página.

5 Cuando haya introducido todas las definiciones necesarias, haga clic en Guardar.

Crear una definición de dirección de correo electrónicoLas definiciones de dirección de correo electrónico son dominios de correo electrónico predefinidos odirecciones de correo electrónico específicas que pueden incluirse en las reglas de protección de correoelectrónico.

Para conseguir granularidad en reglas de protección de correo electrónico, incluya algunas direccionesde correo electrónico y excluya otras. Asegúrese de crear ambos tipos de definiciones.



2 En el panel de la izquierda, seleccione Dirección de correo electrónico y, a continuación, Acciones | Nuevo.

3 Introduzca un Nombre y, si lo desea, una Descripción.

4 Seleccione un Operador en la lista desplegable.

Clasificación del contenido confidencialCreación de las definiciones de clasificación 7


Los operadores son:

• El nombre de dominio es

• La dirección de correo electrónico es

• El nombre para mostrar es

• El nombre para mostrar contiene

5 Introduzca un valor y, a continuación, haga clic en Agregar.

6 Haga clic en Guardar cuando haya acabado de agregar direcciones de correo electrónico.

Crear una definición de la impresora de redUtilice definiciones de la impresora de red para crear reglas específicas de protección contraimpresión. Las impresoras definidas pueden incluirse en reglas o excluirse de estas.

Antes de empezarObtenga la ruta UNC de la impresora en la red.



2 En el panel de la izquierda, seleccione Impresora de red y, a continuación, seleccione Acciones | Nuevo.


4 Introduzca la ruta UNC.

Todos los demás campos son opcionales.


Crear una definición de lista de URLLas definiciones de listas de URL se utilizan para definir las reglas de protección de la publicación web.Se agregan a las reglas como condiciones de Dirección web (URL).

ProcedimientoPara cada URL requerida, lleve a cabo los pasos del 1 al 4: Para obtener más información sobrefunciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda.


2 En el panel de la izquierda, seleccione Lista de URL y, a continuación, elija Acciones | Nuevo.

3 Introduzca un Nombre único y, si lo desea, una Definición.


• Introduzca información de Protocolo, Host, Puerto y Ruta en los cuadros de texto y, a continuación,haga clic en Agregar.

• Pegue una URL en el cuadro de texto Pegar URL, haga clic en Analizar y, a continuación, en Agregar.



El software rellena los campos de URL.

5 Una vez agregadas a la definición todas las URL requeridas, haga clic en Guardar.

Caso práctico: Integración del cliente de Titus con etiquetas deterceros

Los criterios de clasificación e identificación por huellas digitales de contenido pueden incluir variospares de nombres o valores de etiquetas de Titus.

Antes de empezar1 En el Catálogo de directivas, abra la Configuración del cliente actual. Seleccione

Configuración | Módulos y modo de funcionamiento. Compruebe que la opción Complementos deOutlook | Integración de complementos de terceros activa esté seleccionada.

2 En Configuración | Email Protection, en la sección Integración del complemento de terceros de Outlook,seleccione Titus de la lista desplegable Nombre del proveedor.

McAfee DLP Endpoint llama a la API de Titus para identificar los archivos marcados y determinar lasetiquetas. Las clasificaciones creadas con etiquetas de terceros pueden aplicarse a todas las reglas deprotección y descubrimiento que inspeccionan archivos.

Para implementar esta función, la SDK de Titus debe estar instalada en los equipos endpoint.



2 Haga clic en Nueva clasificación.

3 Escriba un nombre único y, si lo desea, una descripción.

4 Haga clic en Acciones; a continuación, seleccione New Content Classification Criteria (Nuevos criterios declasificación de contenido) o New Content Fingerprinting Criteria (Nuevos criterios de identificación decontenido por huellas digitales).

5 Seleccione la propiedad Etiquetas de terceros.

6 Introduzca el nombre de campo de Titus y un valor. Seleccione la definición del valor en la listadesplegable.

La cadena de valor introducida puede definirse como:

• equivale a uno de

• equivale a todos de

• contiene uno de

• contiene todos de

7 (Opcional) Haga clic en + y agregue otro par de nombres o valores.


Clasificación del contenido confidencialCaso práctico: Integración del cliente de Titus con etiquetas de terceros 7


Caso práctico: Integración de Boldon James Email Classifier concriterios de clasificación

Cree los criterios de clasificación para integrar Boldon James Email Classifier.

Boldon James Email Classifier es una solución de correo electrónico que etiqueta y clasifica los correoselectrónicos. El software McAfee DLP Endpoint puede integrarse con Boldon James Email Classifier ybloquear correos electrónicos según las clasificaciones asignadas. Puede elegir qué clasificador decorreo electrónico de la cadena se envía a McAfee DLP Endpoint al configurar el software EmailClassifier. Utilice esta cadena para definir los criterios de clasificación.


1 Configure la compatibilidad de Boldon James en McAfee DLP Endpoint:

a Mediante la consola Classifier Administration de Boldon James, abra Classifier Application Settings | OutlookSettings. Active la opción McAfee Host DLP scan y configure McAfee Host DLP marking de manera que hagareferencia a un formato de marcado que contenga el valor de clasificación y texto estáticoexclusivo del marcado de DLP. A McAfee DLP Endpoint se le transmitirá una cadena con esteformato y los criterios de clasificación.

b En el Catálogo de directivas, abra la Configuración del cliente actual. Seleccione Configuración |Módulos y modo de funcionamiento. Compruebe que la opción Complementos de Outlook | Integración decomplementos de terceros activa esté seleccionada.

c En Configuración | Protección de correo electrónico, en la sección Integración del complemento deterceros de Outlook, seleccione Boldon James en la lista desplegable Nombre del proveedor.

2 Cree una clasificación de Boldon James.

Para cada clasificación requerida, lleve a cabo estos pasos:

a En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.

b Seleccione la ficha Clasificación y, a continuación, haga clic en Nueva clasificación.

c Escriba un nombre único y, si lo desea, una descripción.

d Haga clic en Acciones | New Content Classification Criteria (Nuevos criterios de clasificación decontenido).

e Seleccione la propiedad Palabra clave. En el campo Valor, introduzca la cadena con el formato demarcado seleccionado en el parámetro Classifier Administration para enviarla a McAfee DLP Endpoint.

[Clasificación de Boldon James] es la cadena que seleccionó en la configuración de EmailClassifier para su envío a McAfee DLP Endpoint.

3 En McAfee ePO, seleccione Menú | Protección de datos | Conjunto de reglas de DLP.

4 En la ficha Conjuntos de reglas, siga uno de estos procedimientos:

• Seleccione Acciones | Nuevo conjunto de reglas.

• Seleccione un conjunto de reglas existente.

5 Seleccione Acciones | Nueva regla | Protección de correo electrónico.

Aparece un formulario de definición de Protección de correo electrónico.

6 Introduzca un nombre de regla único.

7 Clasificación del contenido confidencialCaso práctico: Integración de Boldon James Email Classifier con criterios de clasificación


7 En la ficha Condición, seleccione Cuerpo en la lista desplegable y, a continuación, seleccione laClasificación de Boldon James adecuada. Seleccione las opciones Usuario final, Sobre de correo electrónicoy Destinatarios adecuadas.

El cliente de McAfee DLP Endpoint considera la clasificación de Boldon James como parte del cuerpodel correo electrónico. Limitar la definición para solo analizar el cuerpo del mensaje hace que laregla sea más eficiente.

8 En la ficha Reacción, seleccione los parámetros Acción preventiva, Notificación de usuario, Notificar incidente yGravedad apropiados. Defina el campo Estado en Activado y, a continuación, haga clic en Guardar.

Clasificación del contenido confidencialCaso práctico: Integración de Boldon James Email Classifier con criterios de clasificación 7


7 Clasificación del contenido confidencialCaso práctico: Integración de Boldon James Email Classifier con criterios de clasificación


8 Uso de las directivas

McAfee DLP Endpoint almacena directivas y configuraciones en el catálogo de directivas de McAfeeePO.

Las directivas de DLP en el catálogo de directivas de McAfee ePO incluyen conjuntos de reglas (reglasde protección) y sus clasificaciones y definiciones asociadas. También pueden incluir lasconfiguraciones del análisis de descubrimiento de Endpoint y los ajustes del servidor.

Crea reglas y conjuntos de reglas en el Administrador de directivas de DLP. Los conjuntos de reglaspueden contener varias reglas de Protección de datos, Control de dispositivos y Descubrimiento. Lasreglas de un conjunto de reglas son operadores lógicos O, es decir, el conjunto de reglas se aplica si elcontenido examinado coincide con cualquiera de las reglas. Dentro de una regla, algunos parámetrosson operadores lógicos Y o NO, y algunas combinaciones de parámetros son Y, O, o NO, según loespecificado por el administrador.

Flujo de trabajo

Los pasos para gestionar directivas son los siguientes:

1 Cree y guarde los conjuntos de reglas en la páginaAdministrador de directivas de DLP | Conjuntos dereglas.

2 La mayoría de las reglas requieren clasificaciones. Defina las clasificaciones en la consolaClasificación.

3 Asigne el conjunto de reglas a una Directiva de DLP en Administrador de directivas de DLP |Asignación de directivas.

4 Cree o edite las definiciones.

5 Aplique las directivas a McAfee ePO en el Catálogo de directivas | Directiva de DLP | Conjuntos de reglasactivos.

En la página Conjuntos de reglas activos, puede crear nuevas directivas duplicando un valor predeterminadou otra directiva existente. También puede asignar conjuntos de reglas seleccionando Acciones | Activarconjunto de reglas.

Contenido Crear y asignar directivas Uso de varias directivas Funcionamiento de las definiciones Editar una directiva de DLP Validación de directivas

8


Crear y asignar directivasMcAfee DLP admite varias directivas y configuraciones del cliente. Se aplican las directivas yconfiguraciones de clientes a la base de datos de McAfee ePO y se asignan para el despliegue en losequipos endpoint.

Utilice este flujo de trabajo para crear directivas, aplicarlas a McAfee ePO y asignarlas para eldespliegue.


1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.

2 En la lista desplegable Producto, seleccione Data Loss Prevention 10. (Opcional) Simplifique la listaseleccionando una Categoría.

3 Haga clic en Duplicar (en la columna Acciones) en el caso de una configuración de cliente o directivaexistente. Edite el nombre y haga clic en Aceptar.

Duplicar y editar una directiva o configuración predeterminada, o una existente, es la forma decrear directivas de trabajo y configuraciones de cliente.


5 En el Administrador de directivas, seleccione Acciones | Nuevo conjunto de reglas. Haga clic en el conjuntode reglas para abrirlo y agregar reglas.

Puede crear varios conjuntos de reglas, según sus necesidades. Cada conjunto de reglas puedeincluir varias reglas.

6 Una vez definido el conjunto de reglas, haga clic en la ficha Asignación de directivas.

La ficha muestra los detalles de todos los conjuntos de reglas asignados.

7 Haga clic en Acciones y realice uno de los pasos siguientes:

• Seleccione Asignar conjuntos de reglas a una directiva.

• Seleccione Asignar un conjunto de reglas a directivas.

El conjunto o conjuntos de reglas se asignan a la directiva o directivas seleccionadas.

8 Haga clic en Aplicar directivas seleccionadas. Cuando haya comprobado su selección en la ventanaSelección de directivas, haga clic en Aplicar directiva.

Las directivas se aplican a la base de datos de McAfee ePO.

9 En McAfee ePO, seleccione Menú | Sistema | Árbol de sistemas.

Para ver las asignaciones, haga clic en la ficha Directivas asignadas.

10 En la ficha Tareas cliente asignadas, seleccione Acciones | Nueva asignación de tarea cliente y siga los pasos paradesplegar la directiva en los equipos endpoint.

Véase también Conjuntos de reglas en la página 113Creación de un conjunto de reglas en la página 128

8 Uso de las directivasCrear y asignar directivas


Uso de varias directivasUtilice varias directivas para anular definiciones y configuraciones comunes.

Algunas configuraciones y definiciones pueden influir en el comportamiento del sistema endpoint. Porejemplo, si se cambia una clase de dispositivo de no gestionado a gestionado, el cliente de McAfeeDLP Endpoint supervisa e intenta controlar los dispositivos que pertenecen a dicha clase. Si variosequipos endpoint utilizan dispositivos que presentan problemas de compatibilidad con el controladorde dispositivos de McAfee DLP Endpoint, su funcionamiento puede ponerse en grave riesgo.

McAfee DLP soluciona este problema ofreciendo la posibilidad de usar varias directivas. Losadministradores pueden anular la configuración de las plantillas de la aplicación y las clases dedispositivo en cada directiva, así como establecer distintos parámetros y definiciones para variossistemas dentro de una organización. Asimismo, puede asignar distintos tipos de directivas con reglasde asignación de directivas o grupos de asignación de usuarios. De forma predeterminada, la directivade DLP My Default se asigna a la raíz del Árbol de sistemas.

Funcionamiento de las definicionesLas definiciones se utilizan para configurar reglas, criterios de clasificación y análisis dedescubrimiento.

Las definiciones de McAfee DLP se almacenan en un catálogo de definiciones. Una vez definidas, estándisponibles para todas las funciones de McAfee DLP. Aunque el usuario puede configurar todas lasdefiniciones, algunas también están predefinidas.

Consulte las Definiciones integradas seleccionando la casilla de verificación.

Tabla 8-1 Definiciones disponibles según la función de McAfee DLP

Clasificaciones Conjuntos de reglas

Datos Patrón avanzado* Extensión del archivo*

Diccionario*

Propiedades del documento

Extensión del archivo*

Información del archivo

Tipo de archivo verdadero*

Control de dispositivos Clase de dispositivos

Definiciones de dispositivos

Notificación Justificación

Notificación de usuario

Otro Planificador

Origen/destino Plantilla de aplicación

Dirección de correo electrónico

Grupo de usuarios finales

Carpeta local

Dirección de red (dirección IP)

Puerto de red

Impresora de red

Uso de las directivasUso de varias directivas 8


Tabla 8-1 Definiciones disponibles según la función de McAfee DLP (continuación)

Clasificaciones Conjuntos de reglas

Recurso compartido de red

Nombre de proceso

Lista de URL

Título de ventana

* Indica que hay disponibles definiciones predefinidas (integradas).

Editar una directiva de DLP La configuración de directivas de DLP incluye conjuntos de reglas, asignaciones de directivas ydefiniciones.


1 En McAfee ePO, seleccione Menú | Administrador de directivas de DLP. Cree al menos un conjunto de reglasque asignar a la directiva de DLP.

Consulte el apartado Crear un conjunto de reglas en este manual para obtener más información.

2 En McAfee ePO, seleccione Menú | Catálogo de directivas | Producto: Data Loss Prevention <versión>. Abra unaconfiguración de directivas de DLP.

Seleccione una etiqueta de directivas de DLP en la columna Categoría y haga clic en la columnaNombre.

3 Seleccione la ficha Conjuntos de reglas activos.

Si se han asignado algunos conjuntos de reglas a la directiva, estos aparecen indicados en lapágina.

4 Para asignar nuevos conjuntos de reglas a la directiva:

a Seleccione Menú | Administrador de directivas de DLP | Asignación de directiva.

b Seleccione Acciones | Asignar conjuntos de reglas a una directiva.

Si lo prefiere, puede asignar un conjunto de reglas a varias directivas en el menú Acciones.

c En la ventana de selección, elija una directiva de la lista desplegable y seleccione los conjuntosde reglas que desee asignar con las casillas de verificación. Haga clic en Aceptar.

Los conjuntos de reglas seleccionados se aplican a la directiva.

5 Para eliminar conjuntos de reglas de la directiva:

a Seleccione Acciones | Asignar conjuntos de reglas a una directiva.

b En la ventana de selección, anule la selección de los cuadros de los conjuntos de reglas quedesea eliminar de la directiva. Haga clic en Aceptar.

Los conjuntos de reglas seleccionados se eliminan de la directiva.

6 Seleccione la ficha Descubrimiento de Endpoint.

8 Uso de las directivasEditar una directiva de DLP


7 Seleccione Acciones | Nuevo Análisis de Endpoint y seleccione el tipo de análisis que desea ejecutar: Correoelectrónico local o Sistema de archivos local.

Aparece una página de configuración del análisis. En la página, seleccione una definición de laPlanificación y las Reglas que aplicar, así como otros detalles del análisis. Haga clic en Guardar cuandohaya rellenado todos los detalles necesarios.

8 Seleccione la ficha Configuración. En esta página, puede definir las opciones siguientes.

• Estrategia de aplicación predeterminada y estrategia de aplicación de omisiones para lasaplicaciones seleccionadas.

• Omisiones de clases de dispositivos y tipos de filtros.

• Agregue usuarios con privilegios o grupos de usuarios.

9 Cuando haya completado todas las modificaciones, haga clic en Aplicar directiva.

Los cambios se aplican a la base de datos de McAfee ePO.

Validación de directivasLa página Validación de directivas muestra errores y ofrece un acceso directo para solventar losproblemas.

McAfee DLP valida las directivas para aplicarlas a la base de datos de McAfee ePO. Si existen errores,se bloquea la aplicación y los errores se enumeran en la página Catálogo de directivas | Directiva deDLP | Validación de directivas, con una calificación de Gravedad. El vínculo Editar facilita la edición dereglas para corregir los errores.

Uso de las directivasValidación de directivas 8


8 Uso de las directivasValidación de directivas


9 Protección de contenido de carácterconfidencial

McAfee DLP protege contenido de carácter confidencial con una combinación de directivas de McAfeeDLP Endpoint y McAfee DLP Discover.

McAfee ePO despliega las directivas de McAfee DLP en los equipos endpoint o en los servidoresDiscover. El software cliente, software servidor o appliance McAfee DLP Endpoint aplica las directivaspara proteger el contenido de carácter confidencial.

Contenido Conjuntos de reglas Reglas Reglas de protección de datos Reglas de control de dispositivos Reglas de descubrimiento Listas blancas Personalización de mensajes del usuario final Reacciones disponibles para los tipos de regla Creación y configuración de reglas y conjuntos de reglas Casos de uso de reglas

Conjuntos de reglasLos conjuntos de reglas definen las directivas de McAfee DLP. Pueden contener una combinación dereglas de protección de datos, control de dispositivos y descubrimiento.

La página Conjuntos de reglas muestra una lista de conjuntos de reglas definidas y el estado de cada una.También figura el número de incidentes registrados para cada uno de los conjuntos, de reglasdefinidas y de reglas activadas. Los iconos de colores indican el tipo de reglas activadas. El texto deinformación sobre las herramientas que aparece al pasar el ratón por encima de estos iconos muestrael tipo de regla y el número de ellas activadas.

Figura 9-1 Página Conjuntos de reglas con información sobre herramientas

En Conjunto de reglas 1, se han definido seis reglas de protección de datos, dos reglas dedescubrimiento y una regla de control de dispositivos. Solo tres de las reglas de protección de datosestán activadas. La información sobre la herramienta indica que dos de ellas son reglas del

9


portapapeles. La tercera, que se representa mediante el icono azul en la parte derecha de la columna,es una regla de protección de acceso a archivos de la aplicación. Para ver las reglas definidas perodesactivadas, abra la regla como si fuera a editarla.

Véase también Protección de los archivos con las reglas de descubrimiento en la página 143Creación de una regla en la página 128

ReglasLas reglas definen la acción que se lleva a cabo cuando se intenta transferir datos de carácterconfidencial.

Los conjuntos de reglas pueden contener tres tipos de reglas: de protección de datos, de control dedispositivos y de descubrimiento. Una regla consta de tres partes: Condición, Excepciones y Reacción.Cada una viene definida en una ficha independiente en la definición de la regla. Las reglas se puedenactivar o desactivar, y se les asigna una Gravedad, que se selecciona en la lista desplegable.

Condición

La condición define lo que hace que la regla se active. En el caso de reglas de descubrimiento yprotección de datos, la condición siempre incluye una Clasificación y puede incluir otras condiciones.Por ejemplo, una regla de protección en la nube contiene campos para definir el usuario final y elservicio en la nube, además de la clasificación. En el caso de las reglas de control de dispositivos, lacondición siempre especifica el usuario final y puede incluir otras condiciones, como la definición dedispositivos. Las reglas de control de dispositivos no incluyen clasificaciones.

Excepciones

Las excepciones definen los parámetros excluidos de la regla. Por ejemplo, una regla de protección enla nube puede permitir a clasificaciones y usuarios concretos cargar datos en los servicios en la nubeespecificados, mientras bloquea aquellas clasificaciones y usuarios definidos en la sección decondiciones de la regla. Las excepciones cuentan con un parámetro independiente que permiteactivarlas o desactivarlas. Así, se puede habilitar o deshabilitar la excepción al probar las reglas. Lacreación de definiciones de excepciones es opcional.

Las definiciones de excepciones de las reglas de protección de datos y descubrimiento son similares alas definiciones de condiciones. Los parámetros disponibles para la exclusión constituyen unsubconjunto de los parámetros disponibles para definir la condición.

En el caso de las reglas de control de dispositivos, la excepción se define seleccionando en una listalas definiciones en lista blanca. Las definiciones en lista blanca disponibles dependen del tipo de reglade dispositivo.

Reacción

La reacción define lo que ocurre cuando se activa la regla. Las acciones disponibles varían según eltipo de regla, pero el valor predeterminado para todas las reglas es Sin acción. Al seleccionarlo juntocon la opción Notificar incidente, puede supervisar la frecuencia con la que se infringen las reglas. Esteprocedimiento resulta útil para ajustar la regla al nivel adecuado con el fin de detectar fugas de datossin crear falsos positivos.

La reacción también define si la regla se aplica fuera de la empresa y, en el caso de algunas reglas,cuando se encuentra conectada a la empresa mediante VPN.

9 Protección de contenido de carácter confidencialReglas


Reglas de protección de datosLas reglas de protección de datos supervisan y controlan el contenido y la actividad del usuario.McAfee DLP Endpoint para Windows es compatible con todas las reglas de protección de datos.

McAfee DLP Endpoint for Mac es compatible con las reglas de protección de almacenamiento extraíble,de recurso compartido de red y de acceso a archivos de la aplicación.

Reglas de protección de acceso a archivos de la aplicaciónLas reglas de protección de acceso a archivos supervisan los archivos en función de la aplicación oaplicaciones que los han creado. Se pueden utilizar en equipos Microsoft Windows y OS X. En McAfeeDLP Endpoint for Mac, solo se pueden utilizar las aplicaciones y navegadores admitidos por OS X.Seleccione una aplicación o definición de URL para limitar la regla a aplicaciones específicas.

Las definiciones de URL no son compatibles con McAfee DLP Endpoint for Mac.

Las reglas de protección de acceso a archivos de la aplicación se comunican con McAfee®

DataExchange Layer (DXL) en McAfee

®

Threat Intelligence Exchange (TIE). Puede usar la información deTIE para definir la regla en función de la reputación de TIE. Cuando selecciona una aplicación, la listadesplegable le permite seleccionar una reputación de TIE en lugar de una aplicación o URL denavegador.

A fin de utilizar la reputación de TIE en reglas, el cliente de DXL debe estar instalado en un equipoendpoint.

Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación oidentificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales ogrupos de usuarios específicos.

AccionesLas acciones disponibles incluyen lo siguiente: Bloquear, Notificación de usuario, Notificar incidente y Almacenararchivo original. La opción de almacenar pruebas es opcional cuando se notifica un incidente. La selecciónde la notificación al usuario activa la ventana emergente de la notificación al usuario en el equipoendpoint. Se pueden aplicar diferentes acciones cuando el equipo no está conectado a la redcorporativa.

Cuando el campo Clasificación se establece en es cualquier dato (TODO), la acción Bloquear no se permite. Sitrata de guardar la regla con estas condiciones, se genera una advertencia.

Configuración del clienteLos procesos y extensiones concretas en lista blanca pueden agregarse a la configuración del clienteen la página de protección de acceso a archivos de la aplicación.

Véase también Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en disco en lapágina 136

Reglas de protección en la nubeLas reglas de protección en la nube permiten administrar los archivos cargados en aplicaciones en lanube. Se pueden utilizar solo en McAfee DLP Endpoint para Windows.Las aplicaciones en la nube se utilizan para realizar copias de seguridad y compartir archivos cada vezcon mayor frecuencia. Con la mayoría de las aplicaciones en la nube, se crea una carpeta especial enla unidad de disco que se sincroniza con el servidor de la nube. McAfee DLP Endpoint intercepta la

Protección de contenido de carácter confidencialReglas de protección de datos 9


creación de archivos en la carpeta de la aplicación en la nube, analiza los archivos y aplica lasdirectivas pertinentes. Si la directiva permite sincronizar el archivo con la carpeta de la aplicación en lanube y este se modifica más tarde, se vuelve a analizar el archivo y se aplica la directiva de nuevo. Siel archivo que se ha modificado infringe una directiva, no se puede sincronizar con la nube.

En McAfee DLP Endpoint, la Regla de protección en la nube admite:

• Box • OneDrive (personal)

• Dropbox • OneDrive para la empresa (groove.exe)

• Google Drive • Syncplicity

• iCloud

Para mejorar la velocidad de análisis, puede especificar las subcarpetas de nivel superior incluidas oexcluidas de la regla.

Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación oidentificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales o agrupos de usuarios específicos, o bien mediante el nombre de la subcarpeta de nivel superior.

Acciones

Las acciones disponibles son Bloquear, Solicitar justificación, Aplicar directiva de administración de derechos y Cifrar. LaNotificación de usuario se puede especificar y la función de creación de informes de incidentes estádisponible, ya sea almacenando o no el archivo original. Se pueden aplicar diferentes acciones cuandoel equipo no está conectado a la red corporativa.

Configuración del cliente

Para admitir la regla de protección en la nube, se seleccionan los Controladores de protección en la nube en elCatálogo de directivas de la página Configuración del cliente | Módulos y modo de funcionamiento. El controlador ytodas las aplicaciones admitidas están seleccionados de manera predeterminada. Puede anular laselección de aplicaciones de forma individual para obtener un control más específico.

Reglas de protección de correo electrónicoLas reglas de protección de correo electrónico supervisan o bloquean los correos electrónicos que seenvían a determinados destinos o usuarios. Son compatibles en McAfee DLP Endpoint para Windows.

Las reglas de protección de correo electrónico pueden bloquear los correos electrónicos que se envíana determinados destinatarios. El campo Sobre de correo electrónico puede especificar que el correoelectrónico está protegido por permisos RMS, cifrado PGP, firma digital o cifrado S/MIME. Esta opciónsuele utilizarse para definir excepciones.

Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación oidentificación por huellas digitales de contenido. En las clasificaciones se pueden definir el correoelectrónico completo o solo el asunto, el cuerpo o los datos adjuntos. También puede limitar la regla ausuarios locales o grupos de usuarios específicos.

Acciones

Las acciones disponibles de McAfee DLP Endpoint son Bloquear, Solicitar justificación, Notificación de usuario,Notificar incidente y Store original email (Almacenar correo electrónico original). La opción de almacenarpruebas es opcional cuando se notifica un incidente. Al seleccionar la notificación al usuario, se activala ventana emergente de notificación al usuario en el equipo endpoint. Se pueden aplicar diferentesacciones cuando el equipo no está conectado a la red corporativa.

9 Protección de contenido de carácter confidencialReglas de protección de datos



Si utiliza Lotus Notes, active el complemento de Lotus Notes en la página Módulos y modo de funcionamiento.Si utiliza Microsoft Outlook, active los complementos requeridos.

En aquellos sistemas en los que están disponibles tanto Microsoft Exchange como Lotus Notes, lasreglas de correo electrónico no funcionarán si el nombre del servidor de correo saliente (SMTP) no estáconfigurado para ambos.

Para utilizar complementos de terceros en Microsoft Outlook (Boldon James o Titus), seleccione elcomplemento en la página Protección de correo electrónico. El complemento de Outlook de McAfee DLP seestablece automáticamente en el modo de omisión cuando el complemento de terceros está instaladoy activo. Otras configuraciones de la página Protección de correo electrónico controlan la estrategia detiempo de espera, el almacenamiento en caché, las API y la notificación para el usuario.

Práctica recomendada: Para disfrutar de un rendimiento mejor, desactive los controladores que no seutilizan.

Reglas de protección de comunicaciones de la redLas reglas de protección de comunicaciones de la red supervisan o bloquean los datos que entran osalen de su red. Se pueden utilizar solo en McAfee DLP Endpoint para Windows.

Las reglas de protección de comunicaciones de la red controlan el tráfico de red en función dedirecciones de red (requeridas) y puertos concretos (opcionales). También puede especificar lasconexiones entrantes o salientes, o ambas. Puede agregar una definición de dirección de red y unadefinición de puerto, pero las definiciones pueden contener varias direcciones o puertos.

Utilice definiciones de clasificación para limitar la regla a criterios concretos de identificación porhuellas digitales de contenido. También puede limitar la regla a usuarios locales o grupos de usuariosespecíficos, o bien especificando la aplicación que crea la conexión.

Las reglas de protección de comunicaciones de la red no comprueban los criterios de clasificación decontenido. Utilice criterios de identificación por huellas digitales de contenido cuando defina lasclasificaciones utilizadas con reglas de protección de comunicaciones de la red.

Acciones

Las acciones de la regla de protección de comunicaciones de la red incluyen lo siguiente: Bloquear,Notificar incidente y Notificar al usuario. La selección de la notificación al usuario activa la ventana emergentede la notificación al usuario en el equipo endpoint. Pueden aplicarse distintas acciones cuando elequipo está desconectado de la red corporativa o bien conectado a dicha red mediante VPN.


El Controlador de comunicaciones de la red se activa (de forma predeterminada) en la página Módulos y modo defuncionamiento.

Reglas de protección de recursos compartidos de redLas reglas de protección de recursos compartidos de red controlan el contenido de carácterconfidencial almacenado en los recursos compartidos de red. Se pueden utilizar en equipos MicrosoftWindows y OS X.

Las reglas de protección de recursos compartidos de red pueden aplicarse a todos los recursoscompartidos de red o solo a algunos en concreto. En la regla puede incluirse una definición de recurso;dicha definición puede contener varios recursos. Una clasificación incluida (requerida) define quécontenido de carácter confidencial se protege.



Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación oidentificación por huellas digitales de contenido. También puede limitar la regla a usuarios locales ogrupos de usuarios específicos, o bien por recursos compartidos de red o por la aplicación que copia elarchivo.

Acciones

Entre las acciones de la regla de protección de recursos compartidos de red se incluyen las siguientes:Cifrar, Solicitar justificación, Notificar incidente, Almacenar archivo original y Notificar al usuario.

No se puede utilizar la acción Cifrar en McAfee DLP Endpoint for Mac.

La opción de almacenar pruebas es opcional cuando se notifica un incidente. Al seleccionar lanotificación al usuario, se activa la ventana emergente de notificación al usuario en el equipo endpoint.Se pueden aplicar diferentes acciones cuando el equipo no está conectado a la red corporativa. Lasopciones de cifrado son las siguientes: McAfee

®

File and Removable Media Protection (FRP) y elsoftware de cifrado StormShield Data Security.

Reglas de protección contra impresiónLas reglas de protección contra impresión supervisan o bloquean la posibilidad de imprimir archivos.Se pueden utilizar solo en McAfee DLP Endpoint para Windows.

Utilice las clasificaciones para limitar la regla. También puede limitar la regla especificando los usuarioso las impresoras o aplicaciones que imprimen el archivo. La definición de la impresora puedeespecificar impresoras locales, de red, de red designadas o de imágenes.

Las impresoras de imágenes, que tenían una regla independiente en versiones anteriores, se incluyenahora en la regla de impresora general.

Acciones

Las acciones de la regla de protección contra impresión incluyen lo siguiente: Bloquear, Solicitarjustificación, Notificar al usuario, Notificar incidente, y Almacenar archivo original. La opción de almacenar pruebas esopcional cuando se notifica un incidente. La selección de la notificación al usuario activa la ventanaemergente de la notificación al usuario en el equipo endpoint. Pueden aplicarse distintas accionescuando el equipo está desconectado de la red corporativa o bien conectado a dicha red mediante VPN.


Los procesos en lista blanca se enumeran en Protección contra impresión. Las reglas de protección contraimpresión ignoran los archivos impresos desde aplicaciones en lista blanca.

Los complementos de aplicación de impresora, seleccionados en la página Módulos y modo defuncionamiento, pueden mejorar el rendimiento de la impresora cuando se utilizan determinadasaplicaciones comunes. Los complementos solo se instalan cuando la regla de protección contraimpresión está activada en el equipo gestionado.



Reglas de protección de almacenamiento extraíbleLas reglas de protección de almacenamiento extraíble supervisan o impiden la escritura de datos endispositivos de almacenamiento extraíbles. Son compatibles con McAfee DLP Endpoint for Windows yMcAfee DLP Endpoint for Mac. McAfee DLP Endpoint for Mac no admite dispositivos de CD ni DVD.

Las reglas de protección de almacenamiento extraíble controlan los dispositivos de CD y DVD, losdispositivos de almacenamiento extraíbles o ambos. Limite la regla mediante los criterios declasificación o identificación por huellas digitales de contenido en las clasificaciones (obligatorio).También puede definir la regla con usuarios, aplicaciones o URL web concretos.

Las reglas de protección de almacenamiento extraíble de McAfee DLP Endpoint for Mac solo admiten elcontrol de dispositivos de almacenamiento extraíbles. No son compatibles con dispositivos de CD/DVD.

Utilice las clasificaciones para limitar la regla. También puede limitar la regla especificando los usuarioso aplicaciones que copian el archivo.

Acciones

La regla de protección de almacenamiento extraíble incluye lo siguiente: Bloquear, Solicitar justificación,Cifrar, Notificar al usuario, Notificar incidente y Almacenar archivo original. La opción de almacenar pruebas esopcional cuando se notifica un incidente. La selección de la notificación al usuario activa la ventanaemergente de la notificación al usuario en el equipo endpoint. Se pueden aplicar diferentes accionescuando el equipo no está conectado a la red corporativa.

No se puede utilizar el cifrado en McAfee DLP Endpoint for Mac.


Defina el modo de eliminación de la página Protección de almacenamiento extraíble. El modo normal borra elarchivo; el modo agresivo convierte el archivo borrado en irrecuperable.

Active las opciones avanzadas en la página Módulos y modo de funcionamiento. Las opciones son lassiguientes:

• Protección de montajes de discos TrueCrypt

• Controlador de dispositivos portátiles

• Protección de copia de archivos avanzada

Controlador de dispositivos portátiles

El protocolo de transferencia multimedia (MTP) se utiliza para transferir archivos y metadatosasociados de equipos a dispositivos móviles como los smartphones. Los dispositivos MTP no sondispositivos extraíbles tradicionales porque implementan el sistema de archivos, no el equipo al que seconectan. Cuando el cliente se configura para admitir dispositivos MTP, la regla de protección dealmacenamiento extraíble permite interceptar las transferencias MTP y aplicar directivas de seguridad.Actualmente solo se admiten las conexiones USB.

El controlador funciona con todas las transferencias de datos hechas por Windows Explorer. Nofunciona con dispositivos iOS, que emplean iTunes para gestionar las transferencias de datos. Unaestrategia alternativa para los dispositivos iOS es utilizar una regla para dispositivos dealmacenamiento extraíbles a fin de configurar los dispositivos como de solo lectura.

Protección de dispositivos TrueCrypt con reglas de protección de almacenamiento extraíble



Los dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas para dispositivosTrueCrypt o con reglas de protección de almacenamiento extraíble. No se puede utilizar la protecciónTrueCrypt en McAfee DLP Endpoint for Mac.

• Utilice una regla de dispositivos si desea bloquear o supervisar un volumen TrueCrypt o para quesea de solo lectura.

• Utilice una regla de protección si desea una protección basada en el contenido para los volúmenesTrueCrypt.

Las firmas se pierden cuando el contenido identificado por huellas digitales se copia en los volúmenesde TrueCrypt porque estos no admiten los atributos extendidos de un archivo. Utilice las propiedades dedocumentos, el cifrado de archivos o las definiciones de grupos de tipos de archivo en la definición de laclasificación para identificar el contenido.

Protección de copia de archivos avanzada

La protección de copia de archivos avanzada intercepta las operaciones de copia del Explorador deWindows y permite que el cliente McAfee DLP Endpoint inspeccione el archivo en origen antes decopiarlo al dispositivo extraíble. Está activado de forma predeterminada y solo debe desactivarse parasolucionar problemas.

Hay casos en los que la protección de copia avanzada no resulta pertinente. Por ejemplo, un archivoabierto por una aplicación y guardado en un dispositivo extraíble con Guardar como vuelve a la protecciónde copia normal. El archivo se copia en el dispositivo y, a continuación, se inspecciona. Si se encuentracontenido de carácter confidencial, el archivo se elimina inmediatamente.

Reglas de protección contra capturas de pantallaLas reglas de protección contra capturas de pantalla controlan los datos que se copian y pegan en unapantalla. Se pueden utilizar solo en McAfee DLP Endpoint para Windows.

Utilice definiciones de clasificación para limitar la regla a criterios concretos de identificación porhuellas digitales de contenido. También puede limitar la regla a usuarios locales o grupos de usuariosespecíficos, o bien por aplicaciones visibles en la pantalla.

Las reglas de protección contra capturas de pantalla no comprueban los criterios de clasificación decontenido. Utilice criterios de identificación por huellas digitales de contenido cuando defina lasclasificaciones utilizadas con reglas de capturas de pantalla.

AccionesLas acciones de la regla de protección contra capturas de pantalla incluyen lo siguiente: Bloquear,Notificar al usuario, Notificar incidente y Almacenar archivo original. La opción de almacenar pruebas es opcionalcuando se notifica un incidente. La selección de la notificación al usuario activa la ventana emergentede la notificación al usuario en el equipo endpoint. Se pueden aplicar diferentes acciones cuando elequipo no está conectado a la red corporativa.

Configuración del clienteLas aplicaciones protegidas contra capturas de pantalla se indican en la página Protección contra capturas depantalla. La lista se completa con aplicaciones de capturas de pantalla comunes; puede agregar, editar oeliminar aplicaciones.

El servicio de captura de pantalla se activa en la página Módulos y modo de funcionamiento. Puede activar elcontrolador de la aplicación y el de la tecla Imprimir pantalla de forma independiente. De manerapredeterminada, ambos están activados. Si desactiva el controlador de la aplicación o el servicio decaptura de pantalla, se desactivan todas las aplicaciones incluidas en la página Protección contra capturas depantalla.



Reglas de protección de la publicación webLas reglas de protección de la publicación web supervisan o bloquean la publicación de los datos ensitios web, incluidos los sitios de correo electrónico basados en la Web. Son compatibles en McAfeeDLP Endpoint para Windows.

Las reglas de protección de la publicación web se definen mediante la adición de direcciones web a laregla.

Utilice definiciones de clasificación para limitar la regla a criterios de clasificación o identificación porhuellas digitales de contenido concretos. También puede limitar la regla a usuarios locales o grupos deusuarios específicos.

Acciones

Las acciones de la regla de protección de la publicación web incluyen lo siguiente: Bloquear, Solicitarjustificación, Notificar al usuario, Notificar incidente, y Almacenar archivo original. La opción de almacenar pruebas esopcional cuando se notifica un incidente. La selección de la notificación al usuario activa la ventanaemergente de la notificación al usuario en el equipo endpoint. Se pueden aplicar diferentes accionescuando el equipo no está conectado a la red corporativa.


Active los navegadores para que incluyan protección web en la página Módulos y modo de funcionamiento.Los navegadores compatibles son Microsoft Internet Explorer, Microsoft Edge, Mozilla Firefox y GoogleChrome.

La página Protección de la publicación web incluye opciones para otros ajustes de publicación web.

Tabla 9-1 Definiciones de las opciones

Opción Definición

Evaluación de protección web Configuración para seleccionar entradas para la evaluación de la solicitudweb. Se utiliza si las solicitudes HTTP/S pueden enviarse a través de AJAX auna dirección URL diferente a la que se muestra en la barra de direcciones.

Procesar solicitudes HTTPGET

Activa o desactiva el procesamiento de solicitudes HTTP GET. Las solicitudesGET están desactivadas de forma predeterminada porque consumen muchosrecursos. Utilice esta opción con precaución.

Versiones de Chromecompatibles

Esta lista es necesaria debido a la frecuencia de las actualizaciones deChrome. Se completa al descargar una lista actual de Soporte de McAfee yal utilizar Examinar para instalar el archivo XML.

Estrategia de tiempo deespera de Web

Define el tiempo máximo permitido para analizar las publicaciones web y laacción aplicable si se supera el tiempo establecido. Las opciones sonbloquear o permitir. También puede seleccionar la notificación de usuario.

Direcciones URL en listablanca

Enumera las direcciones URL excluidas de las reglas de protección de lapublicación web.



Reglas de control de dispositivosLas reglas de control de dispositivos definen la medida que se debe tomar cuando se utilizandeterminados dispositivos.Las reglas de control de dispositivos pueden supervisar o bloquear dispositivos conectados a equiposgestionados por la empresa. McAfee DLP Endpoint para Windows admite los siguientes tipos de reglas:

• Almacenamiento extraíble

• Plug and Play

• Disco duro fijo

• Citrix XenApp

• TrueCrypt

• Acceso a archivos en dispositivos de almacenamiento extraíbles

McAfee DLP Endpoint for Mac es compatible con los tipos de reglas siguientes:

• Almacenamiento extraíble

• Plug and Play (solo dispositivos USB)

Las reglas de control de dispositivos se describen con detalles en la sección Protección de mediosextraíbles.

Véase también Protección de medios extraíbles en la página 4

Reglas de descubrimientoMcAfee DLP Endpoint y McAfee DLP Discover utilizan reglas de descubrimiento para analizar archivos yrepositorios.

Tabla 9-2 Descripciones de vectores de datos

Producto Regla de descubrimiento

McAfee DLP Endpoint Correo electrónico local (OST, PST)

Sistema de archivos local

McAfee DLP Discover Protección de Box

Protección del servidor de archivos (CIFS)

Protección de SharePoint

Listas blancasLas listas blancas son recopilaciones de elementos que el sistema debe ignorar.Puede agregar contenido, dispositivos, procesos y grupos de usuarios a la lista blanca.

Listas blancas de las reglas de protección de datosPuede especificar los procesos en lista blanca correspondientes a las reglas de protección delPortapapeles y las reglas de protección contra impresión en la configuración del cliente Windows delCatálogo de directivas en sus respectivas páginas. Puede especificar las direcciones URL en lista

9 Protección de contenido de carácter confidencialReglas de control de dispositivos


blanca en la página Protección web. Dado que estas listas blancas se aplican a los clientes, funcionancon todas las reglas de protección del Portapapeles, de la publicación web y contra impresión. Lasreglas de protección del Portapapeles y contra impresión ignoran el contenido que producen losprocesos en lista blanca. Las reglas de protección de la publicación web no se implementan en lasdirecciones URL en lista blanca.

Puede especificar los procesos en lista blanca para la extracción de texto en la página Rastreo decontenido. En función de la definición, el extractor de texto analiza o no las huellas digitales dearchivos y contenido abiertos por la aplicación concreta, o crea huellas digitales dinámicas para lacarga web. En la definición se pueden especificar carpetas y extensiones concretas, lo que permite uncontrol específico de lo que se incluye en lista blanca. Si no se indica ningún nombre de carpeta, elproceso no se supervisa mediante las reglas de acceso a archivos de la aplicación.

Listas blancas de las reglas para dispositivos

Puede crear definiciones Plug and Play en lista blanca en Definiciones de dispositivos en elAdministrador de directivas de DLP.

Algunos dispositivos Plug and Play no administran los dispositivos de forma correcta. El intento degestionarlos puede provocar que el sistema deje de responder u otros problemas graves. Losdispositivos Plug and Play en lista blanca se excluyen de forma automática cuando se aplica unadirectiva.

Las definiciones de dispositivos Plug and Play en lista blanca no son pertinentes en los sistemasoperativos OS X.

La ficha Excepciones de las reglas de control de dispositivos viene definida por las listas blancasespecíficas de la regla que las incluye. Las listas blancas excluyen de la regla las definicionesespecificadas.

• Usuarios: se utiliza en las reglas de todos los dispositivos

• Definiciones de dispositivos: se utiliza en las reglas de todos los dispositivos, excepto Citrix yTrueCrypt

• Procesos: se utiliza en las reglas de almacenamientos extraíbles y dispositivos Plug and Play

• Número de serie y pares de usuario: se utiliza en las reglas de almacenamientos extraíbles ydispositivos Plug and Play

• Nombres de archivo: se utiliza en las reglas de acceso a archivos en almacenamientos extraíblespara excluir archivos como aplicaciones antivirus

Personalización de mensajes del usuario finalSe utilizan dos tipos de mensajes para comunicarse con los usuarios finales: notificaciones y mensajesde justificación del usuario.

Las definiciones de notificación y justificación pueden especificar las Configuraciones regionales (idiomas) yagregar los marcadores de posición que se sustituyen por sus valores reales. Cuando se definen lasconfiguraciones regionales, aparecen los mensajes y los botones de opción (para las justificacionesempresariales) en el idioma predeterminado del equipo endpoint. Se admiten las siguientesconfiguraciones regionales:

• Inglés (Estados Unidos) • Japonés

• Inglés (Reino Unido) • Coreano

Protección de contenido de carácter confidencialPersonalización de mensajes del usuario final 9


• Francés • Ruso

• Alemán • Chino (simplificado)

• Español • Chino (tradicional)

Inglés (Estados Unidos) es la configuración regional estándar predefinida, pero se puede establecercualquiera compatible como valor predeterminado en la definición. La configuración regionalpredeterminada se utiliza cuando las otras definidas no están disponibles como idioma predeterminadodel equipo endpoint.

Notificación de usuario

Las notificaciones de usuario son mensajes emergentes que informan al usuario de la infracción deuna directiva.

Cuando una regla desencadena varios eventos, el mensaje emergente indica: Hay nuevos eventos DLPen su consola de DLP en lugar de mostrar varios mensajes.

Los mensajes de notificación del usuario se definen en Administrador de directivas de DLP | Definiciones |Notificaciones.

Justificación empresarial

La justificación empresarial es una forma de omisión de la directiva. Cuando se especifica Solicitarjustificación como acción preventiva en una regla, el usuario puede introducir la justificación paracontinuar sin ser bloqueado.

Los mensajes de justificación empresarial se definen en Administrador de directivas de DLP | Definiciones |Justificación.

Marcadores de posición

Los marcadores de posición son una manera de introducir texto variable en los mensajes, según loque desencadenara el mensaje del usuario final. Los marcadores de posición disponibles son:

• %c para las clasificaciones

• %r para el nombre del conjunto de reglas

• %v para los vectores (protección de correo electrónico, protección web, etc.)

• %a para las acciones

• %s para el valor de cadena (nombre de archivo, nombre de dispositivo, etc.)

Véase también Crear una definición de justificación en la página 131Crear una definición de notificación en la página 132

9 Protección de contenido de carácter confidencialPersonalización de mensajes del usuario final


Reacciones disponibles para los tipos de reglaLas reacciones disponibles para una regla varían en función del tipo de regla.

• Las reglas de protección de datos están disponibles para McAfee DLP Endpoint.

• Las reglas de control de dispositivos están disponibles para McAfee DLP Endpoint y Device Control.

• Algunas reglas de descubrimiento están disponibles para McAfee DLP Endpoint, otras lo están paraMcAfee DLP Discover.

Tabla 9-3 Reacciones disponibles

Reacción Se aplica a las reglas: Resultado

Sin acción Todo Permite la acción.

Bloquear • Protección de datos

• Control de dispositivos

Bloquea la acción.

Copiar Descubrimiento Copia el archivo a la ubicación UNC especificada.

Cifrar • Protección de datos

• Descubrimiento

No se puede usar enMcAfee DLP Endpoint forMac.

Se cifra el archivo. El cifrado se puede realizarmediante FRP o el software de cifrado StormShieldData Security.

Mover Descubrimiento Mueve el archivo a la ubicación UNC especificada.Permite la creación de un archivo marcador deposición (opcional) para notificar al usuario que elarchivo se ha movido.

Solo lectura Control de dispositivos Fuerza el acceso solo lectura.

Solicitar justificación Protección de datos Genera una ventana emergente en el equipo delusuario final. El usuario selecciona una justificación(con valor opcional del usuario) o selecciona unaacción opcional.

Aplicar directiva deadministración dederechos

• Protección de datos

• Descubrimiento

No se puede usar enMcAfee DLP Endpoint forMac.

Aplica una directiva de administración de derechos alarchivo.

Cuarentena Descubrimiento Pone en cuarentena el archivo.

Etiquetar Descubrimiento Etiqueta el archivo.

Mostrar archivo en laconsola de DLPEndpoint

Descubrimiento Muestra Nombre de archivo y Ruta en la consola delendpoint. Nombre de archivo es un vínculo para abrir elarchivo, excepto cuando el archivo está encuarentena. Ruta abre la carpeta en donde se ubica elarchivo.

Notificación de usuario • Protección de datos

• Descubrimiento

Envía un mensaje al equipo endpoint para informar alusuario de la infracción de directivas.

Cuando se selecciona Notificación de usuario y sedesencadenan varios eventos, aparece un mensajeemergente que indica que Hay nuevos eventosDLP en su consola de DLP, en lugar de mostrarvarios mensajes.

Protección de contenido de carácter confidencialReacciones disponibles para los tipos de regla 9


Tabla 9-3 Reacciones disponibles (continuación)

Reacción Se aplica a las reglas: Resultado

Notificar incidente Todo Genera una entrada del incidente de la infracción enAdministrador de incidentes de DLP.

Almacenar archivooriginal


• Descubrimiento

Guarda el archivo para su visualización a través deladministrador de incidentes.

Requiere una carpeta de pruebas específica y laactivación del servicio de copia de pruebas.

Almacenar correoelectrónico originalcomo prueba


No es compatible conMcAfee DLP Endpoint forMac.

Almacena el mensaje original en el recursocompartido de pruebas. Solo se aplica a las reglas deprotección de correo electrónico de McAfee DLPEndpoint.

Tabla 9-4 Acciones de la regla de protección de datos

Tipo de regla

Reacciones

Sinacción

Agregar unencabezado

Bloquear Cifrar Solicitarjustificación

Aplicar directivade administraciónde derechos

Protección deacceso a archivosde la aplicación

X X

Protección delPortapapeles X X

Protección en lanube X X X* X X

Protección decorreo electrónico X X X X

Protección decomunicaciones dela red

X X

Protección derecursocompartido de red

X X X

Protección contraimpresión X X X

Protección dealmacenamientoextraíble

X X X X

Protección contracapturas depantalla

X X

Protección de lapublicación web X X X

No se puede utilizar el cifrado en McAfee DLP Endpoint for Mac

* El cifrado de las reglas de protección en la nube es compatible en Box, Dropbox, GoogleDrive yOneDrive. Intentar cargar archivos cifrados en otras aplicaciones de nube falla al guardar el archivo.

9 Protección de contenido de carácter confidencialReacciones disponibles para los tipos de regla


Tabla 9-5 Reacciones de la regla de control de dispositivos

ReglasReacciones

Sin acción Bloquear Solo lectura

Dispositivo Citrix XenApp X

Disco duro fijo X X X

Dispositivo Plug and Play X X

Dispositivo de almacenamiento extraíble X X X

Acceso a archivos en dispositivos de almacenamientoextraíbles X X

Dispositivo TrueCrypt X X X

Tabla 9-6 Reacciones de la regla de descubrimiento de McAfee DLP Endpoint

Reglas

Reacciones

Sinacción Cifrar

Aplicar directivade administraciónde derechos

Cuarentena Etiquetar

Mostrar elarchivo en laconsolaMcAfee DLPEndpoint

Sistema dearchivos deEndpoint

X X X X X X

Protección dealmacenamientode correos deEndpoint

X X X X

Protección de contenido de carácter confidencialReacciones disponibles para los tipos de regla 9


Creación y configuración de reglas y conjuntos de reglasCree y configure reglas para sus directivas de McAfee DLP Endpoint, Device Control y McAfee DLPDiscover.

Procedimientos• Creación de un conjunto de reglas en la página 128

Los conjuntos de reglas combinan la protección de varios dispositivos, la protección dedatos y las reglas de análisis de descubrimiento.

• Creación de una regla en la página 128El proceso para crear una regla es similar para todos los tipos de regla.

• Asignación de conjuntos de reglas a directivas en la página 129Antes de que se asignen a equipos endpoint, los conjuntos de reglas se asignan a directivasy estas se aplican a la base de datos de McAfee ePO.

• Activar, desactivar o eliminar reglas en la página 130Puede eliminar o cambiar el estado de varias reglas simultáneamente.

• Importar y exportar reglas y clasificaciones en la página 130Puede exportar reglas y clasificaciones de un servidor de McAfee ePO e importarlos en otroservidor de McAfee ePO.

• Configuración de las columnas de reglas o de conjuntos de reglas en la página 131Mueva, agregue o elimine las columnas que se muestran para reglas o conjuntos de reglas.

• Crear una definición de justificación en la página 131En McAfee DLP Endpoint, las definiciones de justificación empresarial definen losparámetros para la acción preventiva de justificación en las reglas.

• Crear una definición de notificación en la página 132Con McAfee DLP Endpoint, las notificaciones de usuario aparecen en las ventanasemergentes o la consola del usuario final cuando las acciones de los usuarios infringen lasdirectivas.

Creación de un conjunto de reglasLos conjuntos de reglas combinan la protección de varios dispositivos, la protección de datos y lasreglas de análisis de descubrimiento.



2 Haga clic en la ficha Conjuntos de reglas.

3 Seleccione Acciones | Nuevo conjunto de reglas.

4 Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar.

Creación de una reglaEl proceso para crear una regla es similar para todos los tipos de regla.

9 Protección de contenido de carácter confidencialCreación y configuración de reglas y conjuntos de reglas





3 Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la ficha apropiadapara las reglas de Protección de datos, Control de dispositivos o Descubrimiento.

4 Seleccione Acciones | Nueva regla y, a continuación, elija el tipo de regla.

5 En la ficha Condición, introduzca la información.

• Con algunas condiciones, como las clasificaciones o las definiciones de dispositivos, haga clicen ... para seleccionar una existente o crear un nuevo elemento.

• Para agregar criterios adicionales, haga clic en +.

• Para eliminar criterios, haga clic en -.

6 (Opcional) Para agregar excepciones a la regla, haga clic en la ficha Excepciones.

a Seleccione Acciones | Agregar excepción de regla.

No se muestra ningún botón Acciones para las reglas de dispositivos. Para agregar excepciones areglas de dispositivos, seleccione una entrada de la lista que se muestra.

b Rellene los campos según sea necesario.

7 En la ficha Reacción, configure los parámetros Acción preventiva, Notificación de usuario y Notificar incidente.

Las reglas pueden tener diferentes acciones, dependiendo de si el equipo endpoint se encuentra enla red corporativa o no. Algunas reglas también pueden tener una acción diferente cuando estánconectadas a la red corporativa mediante VPN.

8 Haga clic en Guardar para guardar la regla o Cerrar para salir sin guardar.

Véase también Conjuntos de reglas en la página 113

Asignación de conjuntos de reglas a directivasAntes de que se asignen a equipos endpoint, los conjuntos de reglas se asignan a directivas y estas seaplican a la base de datos de McAfee ePO.

Antes de empezarEn la página Conjuntos de reglas | Administrador de directivas de DLP, cree uno o más conjuntos dereglas y agregue en ellos las reglas precisas.

Protección de contenido de carácter confidencialCreación y configuración de reglas y conjuntos de reglas 9



1 En la página Asignación de directiva | Administrador de directivas de DLP, siga uno de estos procedimientos:

• Seleccione Acciones | Asignar un conjunto de reglas a directivas. En la ventana de asignación, seleccioneun conjunto de reglas de la lista desplegable y, a continuación, escoja las directivas a las que seasignará. Haga clic en Aceptar.

• Seleccione Acciones | Asignar conjuntos de reglas a una directiva. En la ventana de asignación, seleccioneuna directiva de la lista desplegable y, a continuación, escoja los conjuntos de reglas a los quese asignará. Haga clic en Aceptar.

Si elimina la selección de un conjunto de reglas o directiva seleccionados con anterioridad, elconjunto de reglas se elimina de la directiva.

2 Seleccione Acciones | Aplicar directivas seleccionadas. En la ventana de asignación, seleccione lasdirectivas que se aplicarán a la base de datos de McAfee ePO. Haga clic en Aceptar.

Solo las directivas que aún no se han aplicado a la base de datos aparecen en la ventana deselección. Si cambia una asignación de conjunto de reglas, o bien una regla en un conjunto dereglas asignado, la directiva aparece y la directiva revisada se aplica en lugar de la anterior.

Activar, desactivar o eliminar reglasPuede eliminar o cambiar el estado de varias reglas simultáneamente.




3 Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, haga clic en la fichaapropiada para las reglas de Protección de datos, Control de dispositivos o Descubrimiento.

4 Seleccione una o varias reglas.

5 Actualice o elimine las reglas seleccionadas.

• Para activar las reglas, seleccione Acciones | Cambiar estado | Activar.

• Para desactivar las reglas, seleccione Acciones | Cambiar estado | Desactivar.

• Para eliminar las reglas, seleccione Acciones | Eliminar.

Importar y exportar reglas y clasificacionesPuede exportar reglas y clasificaciones de un servidor de McAfee ePO e importarlos en otro servidor deMcAfee ePO.

Procedimiento1 En McAfee ePO, seleccione Protección de datos | Configuración de DLP.

2 Haga clic en Copia de seguridad en archivo y guarde el archivo en un lugar como una unidad USB o unacarpeta compartida.



3 En otro servidor de McAfee ePO, seleccione Protección de datos | Configuración de DLP.

4 Haga clic en Restaurar desde archivo y seleccione el archivo que guardó antes.

Configuración de las columnas de reglas o de conjuntos dereglasMueva, agregue o elimine las columnas que se muestran para reglas o conjuntos de reglas.




3 Acceda a la página Seleccione las columnas que se van a mostrar.• Conjuntos de reglas: Seleccione Acciones | Elegir columnas.

• Reglas: Seleccione un conjunto de reglas y, después, Acciones | Elegir columnas.

4 Modifique las columnas.

• En el panel Columnas disponibles, haga clic en los elementos para añadir columnas.

• En el panel Columnas seleccionadas, haga clic en las flechas o en x para mover o eliminar columnas.

• Haga clic en Utilizar valores predeterminados para restaurar las columnas a su configuraciónpredeterminada.


Crear una definición de justificaciónEn McAfee DLP Endpoint, las definiciones de justificación empresarial definen los parámetros para laacción preventiva de justificación en las reglas.



2 Haga clic en la ficha Definiciones y, a continuación, seleccione Notificación | Justificación.



5 Para crear definiciones de justificación en varios idiomas, seleccione Acciones de configuración regional |Nueva configuración regional. Para cada configuración regional requerida, seleccione una configuración dela lista desplegable.

Las configuraciones regionales seleccionadas se agregan a la lista.

Protección de contenido de carácter confidencialCreación y configuración de reglas y conjuntos de reglas 9


6 Para cada configuración regional, haga lo siguiente:

a En el panel de la izquierda, seleccione la configuración regional que desea editar. Escriba textoen los cuadros de texto y seleccione las casillas de verificación según sea necesario.

Mostrar cadenas coincidentes proporciona un vínculo en la ventana emergente para que se muestre elcontenido resaltado de coincidencias. Más información proporciona un vínculo a un documento opágina de la intranet para obtener información.

Al introducir una definición de la configuración regional, las casillas de verificación y las accionesno están disponibles. Solo puede introducir etiquetas de botones, descripciones y títulos. En lasección Opciones de justificación, puede sustituir las definiciones predeterminadas por la versión de laconfiguración regional mediante la función Editar en la columna Acciones.

b Introduzca una Descripción general de justificación y, si lo desea, un Título de cuadro de diálogo.

La descripción es una instrucción general para el usuario, por ejemplo: Esta acción requiere unajustificación empresarial. La longitud máxima de la entrada es de 500 caracteres.

c Escriba texto para las etiquetas de botones y seleccione las acciones de estos. Marque la casillade verificación Ocultar botón para crear una definición de dos botones.

Las acciones de los botones tienen que coincidir con las acciones preventivas disponibles para eltipo de regla que utiliza la definición. Por ejemplo, para las acciones preventivas, las reglas deprotección de recurso compartido de red solo se pueden definir en Sin acción, Cifrar o Solicitarjustificación. Si selecciona Bloquear para una de las acciones de botón e intenta utilizar la definiciónen una definición de regla de protección de recurso compartido de red, aparecerá un mensajede error.

d Escriba texto en el cuadro de texto y haga clic en Agregar para añadirlo a la lista de Opciones dejustificación. Seleccione la casilla de verificación Mostrar opciones de justificación si desea que el usuariofinal vea la lista.

Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que seactivara el mensaje emergente.

7 Cuando termine con todas, haga clic en Guardar.

Véase también Personalización de mensajes del usuario final en la página 123

Crear una definición de notificaciónCon McAfee DLP Endpoint, las notificaciones de usuario aparecen en las ventanas emergentes o laconsola del usuario final cuando las acciones de los usuarios infringen las directivas.



2 Haga clic en la ficha Definiciones y, a continuación, seleccione Notificación | Notificación de usuario.





5 Para crear definiciones de notificación de usuario en varios idiomas, seleccione Acciones deconfiguración regional | Nueva configuración regional. Para cada configuración regional requerida, seleccioneuna configuración de la lista desplegable.

Las configuraciones regionales seleccionadas se agregan a la lista.

6 Para cada configuración regional, haga lo siguiente:

a En el panel de la izquierda, seleccione la configuración regional que desea editar.

Puede definir cualquier configuración regional como valor predeterminado mediante la selecciónde la casilla de verificación Configuración regional predeterminada.

b Introduzca texto en el cuadro de texto.

Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que seactivara el mensaje emergente.

c (Opcional) Seleccione la casilla de verificación Mostrar vínculo a más información e introduzca una URLpara proporcionar información más detallada.

Solo disponible en la configuración regional predeterminada.

7 Cuando termine con todas, haga clic en Guardar.

Véase también Personalización de mensajes del usuario final en la página 123

Casos de uso de reglasLos siguientes casos de uso son ejemplos del uso de las reglas de protección de datos y dispositivos.

Protección de contenido de carácter confidencialCasos de uso de reglas 9


Procedimientos• Caso práctico: Regla para dispositivos de almacenamiento extraíbles con un proceso en

lista blanca en la página 134Puede agregar a la lista blanca nombres de archivos como excepción a una regla debloqueo de almacenamiento extraíble.

• Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura en la página135Las reglas de protección de dispositivos de almacenamiento extraíble, a diferencia de lasreglas para dispositivos Plug and Play, disponen de una opción de solo lectura.

• Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug andPlay en la página 136Puede bloquearse el uso de iPhones de Apple como dispositivos de almacenamientomientras se cargan desde el equipo.

• Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en discoen la página 136Las reglas de protección de acceso a archivos de la aplicación pueden utilizarse con el finde bloquear el uso de grabadoras de CD y DVD para la copia de información clasificada.

• Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial amenos que se envíen a un dominio especificado en la página 137Los mensajes salientes se bloquean si contienen la palabra Confidencial, a menos que laregla no se aplique al destinatario.

• Caso práctico: Permiso para que un grupo de usuarios específico envíe información decrédito en la página 139Permite a personas del grupo de usuarios de recursos humanos enviar mensajes quecontienen información personal de crédito, mediante la obtención de la información através de Active Directory.

• Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destinoen la página 140Cree clasificaciones que permitan el envío de datos adjuntos del tipo NEED-TO-SHARE a losempleados de Estados Unidos, Alemania e Israel.

Caso práctico: Regla para dispositivos de almacenamientoextraíbles con un proceso en lista blancaPuede agregar a la lista blanca nombres de archivos como excepción a una regla de bloqueo dealmacenamiento extraíble.

Las reglas para dispositivos de almacenamiento extraíbles se utilizan para impedir que las aplicacionesactúen en el dispositivo extraíble. Los nombres de archivos en lista blanca son procesos que no sebloquean. En este ejemplo, bloqueamos los dispositivos de almacenamiento extraíbles Sandisk, peropermitimos que el software antivirus analice el dispositivo para eliminar los archivos infectados.

Solo los equipos basados en Windows admiten esta función.

9 Protección de contenido de carácter confidencialCasos de uso de reglas




2 En la ficha Definiciones, ubique la definición de dispositivos integrada para All Sandisk removable storagedevices (Todos los dispositivos extraíbles Sandisk [Windows]) a continuación, haga clic en Duplicar.

La definición utiliza el ID de proveedor de Sandisk 0781.

Práctica recomendada: Duplique las definiciones integradas para personalizar una definición. Porejemplo, puede agregar otros ID de proveedores a la definición de Sandisk duplicada para agregarotras marcas de dispositivos extraíbles.

3 En la ficha Conjuntos de reglas, seleccione o cree un conjunto de reglas.

4 En la ficha Control de dispositivos del conjunto de reglas, seleccione Acciones | Nueva regla | Regla paradispositivos de almacenamiento extraíbles.

5 Introduzca un nombre para la regla y seleccione Estado | Activado.

6 En la ficha Condiciones, seleccione un Usuario final o deje el valor predeterminado (es cualquier usuario). Enel campo Almacenamiento extraíble, seleccione la definición de dispositivos que creó en el paso 2.

7 En la ficha Excepciones, seleccione Nombres de archivo en lista blanca.

8 En el campo Nombre del archivo, agregue la definición integrada de McAfee AV.

Puede duplicar y personalizar esta definición, al igual que sucede con la de dispositivos dealmacenamiento extraíbles.

9 En la ficha Reacción, seleccione Acción preventiva | Bloqueo. De forma opcional, puede agregar unanotificación para el usuario y seleccionar la opción Notificar incidente.

10 Haga clic en Guardar y, a continuación, en Cerrar.

Caso práctico: Establecimiento de un dispositivo extraíble comode solo lecturaLas reglas de protección de dispositivos de almacenamiento extraíble, a diferencia de las reglas paradispositivos Plug and Play, disponen de una opción de solo lectura.

Al configurar los dispositivos extraíbles como de solo lectura, puede permitir que los usuarios utilicensus dispositivos personales como reproductores de MP3 al tiempo que evita su uso como dispositivosde almacenamiento.



2 En la ficha Definiciones, en la página Definiciones de dispositivos, cree una definición de dispositivos dealmacenamiento extraíbles.

Las definiciones de dispositivos de almacenamiento extraíbles deben categorizarse como definicionesde Windows o Mac. Puede comenzar por duplicar una de las definiciones integradas para Windows oMac y personalizarla. El Tipo de bus puede incluir USB, Bluetooth y cualquier otro tipo de bus queespere utilizar. Identifique los dispositivos con ID de proveedores o nombres de dispositivo.



3 En la ficha Conjuntos de reglas, seleccione o cree un conjunto de reglas.

4 En la ficha Device Control, seleccione Acciones | Nueva regla | Regla para dispositivos de almacenamiento extraíbles.

5 Introduzca un nombre para la regla y seleccione Estado | Activado. En la sección Condiciones, en elcampo Almacenamiento extraíble, seleccione la definición de dispositivos que creó en el paso 2.

6 En la ficha Reacción, seleccione Acción preventiva | Solo lectura. De forma opcional, puede agregar unanotificación para el usuario y seleccionar la opción Notificar incidente.


Caso práctico: Bloqueo y carga de un iPhone mediante unaregla de dispositivos Plug and PlayPuede bloquearse el uso de iPhones de Apple como dispositivos de almacenamiento mientras secargan desde el equipo.

En este caso práctico se crea una regla que impide que el usuario utilice el iPhone como dispositivo dealmacenamiento masivo. Se utiliza una regla de protección de dispositivos Plug and Play, ya quepermite que los iPhones se carguen con independencia de cómo se especifique la regla. Esta funciónno se puede utilizar en otros smartphones ni otros dispositivos móviles de Apple. No evita que uniPhone se cargue desde el equipo.

Para definir una regla de dispositivos Plug and Play para dispositivos concretos, puede crear unadefinición de dispositivos con los códigos de ID de proveedor y producto (ID prov./ID prod.). Puedeencontrar esta información en el Administrador de dispositivos de Windows cuando el dispositivo estéconectado. Dado que en este ejemplo solo se requiere un ID prov., puede utilizar la definición dedispositivos integrada Todos los dispositivos de Apple en lugar de buscar la información.



2 En la ficha Conjuntos de reglas, seleccione (o cree) un conjunto de reglas. Haga clic en la ficha Control dedispositivos y cree una regla de dispositivos Plug and Play. Utilice la definición de dispositivosintegrada Todos los dispositivos de Apple como la definición incluida (es uno de [O]).

3 En la ficha Reacción, defina la Acción preventiva en Bloqueo.


Caso práctico: Evitar que la información de carácterconfidencial pueda grabarse en discoLas reglas de protección de acceso a archivos de la aplicación pueden utilizarse con el fin de bloquearel uso de grabadoras de CD y DVD para la copia de información clasificada.

Antes de empezarCree una clasificación para identificar el contenido clasificado. Utilice parámetros relevantespara su entorno (teclado, patrón de texto, información de archivos, etc.).





2 En la ficha Conjuntos de reglas, seleccione un conjunto de reglas actual, o bien Acciones | Nuevo conjunto dereglas y defina un conjunto de reglas.

3 En la ficha Protección de datos, seleccione Acciones | Nueva regla | Protección de acceso a archivos de la aplicación.

4 (Opcional) Introduzca un nombre en el campo Nombre de regla (obligatorio). Seleccione las opcionesde los campos Estado y Gravedad.

5 En la ficha Condición, en el campo Clasificación, seleccione la clasificación que creó para su contenidode carácter confidencial.

6 En el campo Usuario final, seleccione los grupos de usuarios (opcional).

La adición de usuarios o grupos a la regla limita dicha regla a usuarios específicos.

7 En el campo Aplicaciones, seleccione Media Burner Application [integrado] de la lista de definiciones deaplicaciones disponibles.

Puede crear su propia definición de grabadora de medios si edita la definición integrada. La ediciónde una definición integrada crea automáticamente una copia de la definición original.

8 (Opcional) En la ficha Excepciones, cree excepciones a la regla.

Las definiciones de excepciones pueden incluir cualquier campo que esté en una definición decondición. Puede definir varias excepciones que se utilizarán en distintas situaciones. Un ejemploes definir "usuarios privilegiados" a quienes no se aplica la regla.

9 En la ficha Reacción, defina la Acción preventiva en Bloqueo. Seleccione una notificación de usuario (opcional).Haga clic en Guardar y, a continuación, en Cerrar.

Otras opciones suponen cambiar el informe de incidentes predeterminado y llevar a cabo unaacción preventiva cuando el equipo está desconectado de la red.

10 En la ficha Asignación de directivas, asigne el conjunto de reglas a una o varias directivas:

a Seleccione Acciones | Asignar un conjunto de reglas a directivas.

b Seleccione un conjunto de reglas apropiado en la lista desplegable.

c Seleccione la directiva o directivas a que se asignará.

11 Seleccione Acciones | Aplicar directivas seleccionadas. Seleccione las directivas que se aplicarán a la basede datos de McAfee ePO y haga clic en Aceptar.

Caso práctico: Bloqueo de mensajes salientes con contenido decarácter confidencial a menos que se envíen a un dominioespecificadoLos mensajes salientes se bloquean si contienen la palabra Confidencial, a menos que la regla no seaplique al destinatario.Siga estos pasos de alto nivel:

• Cree una definición de dirección de correo electrónico.

• Cree un conjunto de reglas y una regla que se aplique a mensajes que contengan la palabraConfidencial.



• Especifique los destinatarios a los que no se les aplica dicha regla.

• Especifique la reacción a los mensajes que contengan la palabra Confidencial.

Tabla 9-7 Comportamiento esperado

Contenido delcorreo electrónico

Destinatario Resultado esperado

Cuerpo: Confidencial [email protected] El mensaje está bloqueado porque contienela palabra "Confidencial".

Cuerpo: Confidencial [email protected] El mensaje no se bloquea porque laconfiguración de la excepción indica que sepuede enviar material confidencial apersonas del dominio "ejemplo.com".

Cuerpo:Datos adjuntos:Confidencial

[email protected][email protected]

El mensaje se bloquea. La acción de bloquearpara los destinatarios con el dominio"externo.com" tiene la máxima prioridad.


1 Cree una definición de la dirección de correo electrónico para un dominio al que no se le aplica laregla.

a En la sección Protección de datos de McAfee ePO, seleccione Administrador de directivas de DLP y haga clicen Definiciones.

b Seleccione la definición Dirección de correo electrónico y cree otra copia de El dominio de correo electrónicode mi organización integrado.

c Seleccione la definición de la dirección de correo electrónico que ha creado y haga clic en Editar.

d En Operador, seleccione El nombre de dominio es y defina el valor como ejemplo.com.


2 Cree un conjunto de reglas con una regla de Protección de correo electrónico.

a Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones | Nuevo conjunto de reglas.

b Asigne al conjunto de reglas el nombre Bloquear si aparece "Confidencial" en el correoelectrónico.

c Haga clic en Acciones | Nueva regla | Regla de protección de correo electrónico.

d Asigne a la nueva regla el nombre Bloquear si aparece "Confidencial" y actívela.

e Aplique la regla a DLP Endpoint for Windows.

f Cree una copia de la clasificación Confidencial integrada.

Aparecerá una copia editable de la clasificación.

g Seleccione la clasificación que ha creado y añádala a la regla.

h Defina la opción Destinatario como cualquier destinatario (TODOS).

Deje los demás ajustes de la ficha Condición con los valores predeterminados.



3 Agregue excepciones a la regla.

a Haga clic en Excepciones y, a continuación, seleccione Acciones | Agregar excepción de regla.

b Escriba un nombre para la excepción y actívela.

c Defina la clasificación como Confidencial.

d Defina la opción Destinatario como al menos un destinatario pertenece a todos los grupos (Y) y, después,seleccione la definición del correo electrónico que ha creado.

4 Configure la reacción a los mensajes que contengan la palabra Confidencial.

a Haga clic en Reacción.

b En DLP Endpoint, defina Acción como Bloquear para los equipos conectados y desconectados de lared corporativa.

5 Guarde la directiva y aplíquela.

Caso práctico: Permiso para que un grupo de usuariosespecífico envíe información de créditoPermite a personas del grupo de usuarios de recursos humanos enviar mensajes que contieneninformación personal de crédito, mediante la obtención de la información a través de Active Directory.

Antes de empezarRegistre un servidor de Active Directory con McAfee ePO. Consulte la guía del producto deMcAfee ePolicy Orchestrator para obtener más información.

Siga estos pasos de alto nivel:

1 Cree una clasificación de la información personal de crédito.

2 Cree un conjunto de reglas y una regla que actúe en la nueva clasificación.

3 Defina al grupo de usuarios de recursos humanos a los que no se les aplica la regla.

4 Bloquee mensajes que contengan información personal de crédito.

5 Aplique la directiva.

Práctica recomendada: Para asegurarse de que sus reglas identifican posibles incidentes relacionadoscon la pérdida de datos con el mínimo número de resultados falsos positivos, créelas utilizando laconfiguración Sin acción. Supervise el Administrador de incidentes de DLP hasta que esté seguro de que la reglaidentifica correctamente los incidentes y, a continuación, cambie la Acción a Bloquear.


1 En el menú McAfee ePO, seleccione Clasificación y cree una clasificación PCI duplicada.

2 Cree el conjunto de reglas y las excepciones a estas.

a Abra el Administrador de directivas de DLP.

b En Conjuntos de reglas, cree un conjunto de reglas llamado Bloquear PCI.

c Abra el conjunto de reglas creado, elija Acción | Nueva regla | Protección de correo electrónico y escribaun nombre para la regla.



d En Implementar en seleccione DLP Endpoint for Windows.

e En Clasificación, seleccione la clasificación que ha creado.

f Deje los campos Usuario final, Sobre de correo electrónico y Destinatario con los ajustes predeterminados.

3 Especifique el grupo de usuarios que desea excluir de la regla.

a Seleccione Excepciones, haga clic en Acciones | Agregar excepción de regla y asígnele el nombreExcepción para el grupo de recursos humanos.

b Defina el valor Estado como Activado.

c En Clasificación, seleccione contiene cualquier dato (TODO).

d En Remitente, seleccione Pertenece a uno de los grupos (O).

e Seleccione Nuevo elemento y cree un grupo de usuarios finales llamado RR. HH.

f Haga clic en Agregar grupos, seleccione el grupo y haga clic en Aceptar.

4 Defina la acción que desea realizar si se activa la regla.

a Seleccione el grupo creado y haga clic en Aceptar.

b Seleccione la ficha Reacción.

c En la sección DLP Endpoint, defina Acción como Bloquear.

d Seleccione Notificar incidente.

e Guarde la regla y haga clic en Cerrar.

5 Aplique la regla.

a En el Administrador de directivas de DLP, seleccione Asignación de directivas.

La opción Cambios pendientes indica Sí.

b Seleccione Acciones | Asignar conjuntos de reglas a una directiva.

c Seleccione la regla que ha creado.

d Seleccione Acciones | Aplicar directivas seleccionadas.

e Haga clic en Aplicar directiva.

La opción Cambios pendientes indica No.

Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destinoCree clasificaciones que permitan el envío de datos adjuntos del tipo NEED-TO-SHARE a los empleadosde Estados Unidos, Alemania e Israel.

Siga estos pasos de alto nivel:

• Cree definiciones de dirección de correo electrónico.

• Cree un conjunto de reglas y una regla que clasifique los datos adjuntos como NEED-TO-SHARE.

• Especifique excepciones a la regla.

Las clasificaciones de ejemplo en la tabla muestran cómo se comportan con destinatarios ydesencadenadores de clasificación diferentes.



Tabla 9-8 Comportamiento esperado

Clasificación Destinatario Resultado esperado

Datos adjuntos 1: NEED-TO-SHARE,Israel (.il) y Estados Unidos (.us)Datos adjuntos 2: NEED-TO-SHARE,Israel (.il) y Alemania (.de)

[email protected] Permitir: ejemplo1.compuede recibir todos losdatos adjuntos del tipoNEED-TO-SHARE


[email protected] Permitir: ejemplo2.compuede recibir todos losdatos adjuntos del tipoNEED-TO-SHARE


[email protected]@ejemplo1.com

Permitir: ejemplo1.com yejemplo2.com puedenrecibir ambos datosadjuntos


[email protected] Permitir: gov.il puederecibir ambos datosadjuntos


[email protected] Bloquear: usuarioejemplo4no puede recibir Datosadjuntos 2


[email protected]@gov.us

Bloquear: usuarioejemplo4no puede recibir Datosadjuntos 2


[email protected]@gov.us




Permitir: usuarioejemplo1y usuarioejemplo3 puedenrecibir ambos datosadjuntos



[email protected]



1 Cree una definición de la dirección de correo electrónico para los dominios a los que no se les aplicala regla.

a En la sección Protección de datos de McAfee ePO, seleccione Administrador de directivas de DLP y haga clicen Definiciones.

b Seleccione la definición Dirección de correo electrónico y cree otra copia de El dominio de correo electrónicode mi organización integrado.



c Seleccione la definición de la dirección de correo electrónico que ha creado y haga clic en Editar.

d En Operador, seleccione El nombre de dominio es y defina el valor como ejemplo1.com.

e Cree entradas para ejemplo2.com, .il y .us.

f Haga clic en Guardar.

g Repita estos pasos para crear una definición para gov.il.

h Repita los pasos para crear una definición para gov.us.

2 Cree un conjunto de reglas que incluya una regla de Protección de correo electrónico.

a Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones | Nuevo conjunto de reglas.

b Asigne un nombre al conjunto de reglas Permitir correo electrónico del tipoNEED-TO-SHARE a Israel y Estados Unidos.

3 Cree una regla y agregue el criterio de clasificación NEED-TO-SHARE.

a Haga clic en Acciones | Nueva regla | Regla de protección de correo electrónico.

b Asigne un nombre a la regla NEED-TO-SHARE, actívela e impleméntela en DLP Endpoint for Windows.

c Agregue un criterio de clasificación llamado NEED-TO-SHARE.

d Defina Clasificación de como uno de los adjuntos (*).

e Seleccione contiene uno de (O) y elija el criterio de clasificación NEED-TO-SHARE.

f Defina la opción Destinatario como cualquier destinatario (TODOS).

g Deje los demás ajustes de la ficha Condición con los valores predeterminados.

4 Agregue excepciones a la regla y active cada una de ellas.

• Excepción 1

1 Defina Clasificación de como adjunto coincidente.

2 Seleccione contiene uno de (O) y elija el criterio de clasificación NEED-TO-SHARE.

3 Defina Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y elija las definicionesde ejemplo1.com y ejemplo2.com.

• Excepción 2


2 Seleccione contiene todos de (Y) y elija los criterios de clasificación NEED-TO-SHARE y .il.

3 Defina Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y elija gov.il.

• Excepción 3


2 Seleccione contiene todos de (Y) y elija los criterios de clasificación NEED-TO-SHARE y .us.

3 Defina Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y elija gov.us.

5 En DLP Endpoint, defina Acción como Bloquear.


7 Aplique la directiva.



10 Análisis de datos con descubrimiento deMcAfee DLP Endpoint

Descubrimiento es un rastreador que se ejecuta en los equipos Endpoint. Busca archivos del sistemade archivos local y de almacenamiento de correo electrónico, y aplica reglas para proteger contenidode carácter confidencial.

Contenido Protección de los archivos con las reglas de descubrimiento Modo de funcionamiento del análisis de descubrimiento Encontrar contenido con el rastreador de descubrimiento de Endpoint

Protección de los archivos con las reglas de descubrimientoLas reglas de descubrimiento definen el contenido que busca McAfee DLP al analizar repositorios ydeterminar la acción que se debe llevar a cabo cuando se encuentra contenido coincidente.

En función del tipo de regla, los archivos que coinciden con un análisis se pueden copiar, mover, cifrar,poner en cuarentena, etiquetar o se les puede aplicar una directiva de administración de derechos.Todas las condiciones de la regla de descubrimiento incluyen una clasificación.

Cuando utilice las reglas descubrimiento de almacenamiento de correo electrónico con la acciónpreventiva Cuarentena, verifique que los complementos de Outlook están activados (Catálogo dedirectivas | Data Loss Prevention 9.4 | Configuración del cliente | Módulos y modo de funcionamiento).No puede liberar correos electrónicos de la cuarentena si los complementos de Outlook estándesactivados.

Tabla 10-1 Reglas de descubrimiento disponibles

Tipo de regla Producto Controla los archivos descubiertos de...

Sistema de archivos local McAfee DLP Endpoint Análisis del sistema de archivos local.

Correo electrónico local (OST,PST)

McAfee DLP Endpoint Análisis de sistemas de almacenamiento decorreo electrónico.

Análisis iniciados por el usuario final

Cuando se activa en la configuración de análisis del sistema de archivos locales de directivas de DLP,los usuarios finales pueden ejecutar los análisis activados y ver las acciones de autocorrección. Cadaanálisis debe disponer de una planificación asignada y este se ejecuta conforme a dicha planificación,tanto si el usuario decide ejecutarla como si no, aunque si la opción de interacción del usuario estáactivada, los usuarios finales también pueden ejecutar análisis según les convenga. Si, además, seselecciona la opción de autocorrección, los usuarios finales también realizan acciones de corrección.

10


Modo de funcionamiento del análisis de descubrimientoUtilice los análisis de descubrimiento del endpoint para localizar el sistema de archivos local o losarchivos de almacenamiento de correo electrónico con contenido de carácter confidencial, yetiquételos o póngalos en cuarentena.

El descubrimiento de McAfee DLP Endpoint es un rastreador que se ejecuta en los equipos cliente.Cuando encuentra contenido predefinido, puede supervisar, poner en cuarentena, etiquetar, cifrar oaplicar una directiva de administración de derechos a los archivos que contienen dicho contenido. Eldescubrimiento de Endpoint puede analizar los archivos del equipo o los del almacenamiento de correoelectrónico (PST, PST asignado y OST). Los archivos de almacenamiento de correo electrónico sealmacenan en caché de forma individual para cada usuario.

Para utilizar el descubrimiento de endpoint, tiene que activar los módulos de Descubrimientoen Catálogo de directivas | Configuración del cliente | Módulos y modo de funcionamiento.

Al final de cada análisis de descubrimiento, el cliente de McAfee DLP Endpoint envía un evento deresumen del descubrimiento a la consola Administrador de incidentes de DLP de McAfee ePO pararegistrar los detalles del análisis. En el evento se incluye un archivo de pruebas en el que se indicanlos archivos que no se pudieron analizar y el motivo por el que no se analizaron dichos archivos. Haytambién un archivo de pruebas con los archivos que coinciden con la clasificación y la acción realizada.

En McAfee DLP Endpoint 9.4.0, el evento de resumen era un evento operativo. Para actualizar eventosde resumen antiguos al Administrador de incidentes de DLP, utilice la tarea servidor Migración deeventos de incidentes DLP de 9.4 a 9.4.1 de McAfee ePO.

¿Cuándo se pueden realizar búsquedas?

Análisis de descubrimiento de planificación en el Catálogo de directivas | Directiva de DLP |Descubrimiento de Endpoint. Puede realizar un análisis diario a una hora específica o en díasdeterminados de la semana o del mes. Puede especificar las fechas de inicio y fin, o realizar unanálisis cuando se implemente la configuración de McAfee DLP Endpoint. Puede suspender un análisiscuando la CPU o la memoria RAM del equipo superen el límite especificado.

Si cambia la directiva de descubrimiento cuando se está realizando el análisis de un endpoint, lasreglas y parámetros de planificación cambiarán de forma inmediata. Los cambios para los que se hanactivado o desactivado los parámetros surtirán efecto en el siguiente análisis. Si se ha reiniciado elequipo mientras se estaba realizando un análisis, este continúa por donde se quedó.

¿Qué tipo de contenido se puede descubrir?

Puede definir las reglas de descubrimiento con una clasificación. Cualquier propiedad de los archivos ocondición de los datos que se puedan agregar a los criterios de clasificación se pueden utilizar paradescubrir contenido.

¿Qué sucede con los archivos descubiertos con contenido de carácter confidencial?

Puede poner en cuarentena o etiquetar archivos de correo electrónico. Puede cifrar, poner encuarentena, etiquetar o aplicar una directiva de administración de derechos a los archivos del sistemade archivos local. Puede almacenar las pruebas de ambos tipos de archivo.

10 Análisis de datos con descubrimiento de McAfee DLP EndpointModo de funcionamiento del análisis de descubrimiento


Encontrar contenido con el rastreador de descubrimiento deEndpoint

La ejecución del rastreador de descubrimiento conlleva cuatro pasos.

1 Cree y defina clasificaciones para identificar contenido de carácter confidencial.

2 Cree y defina una regla de descubrimiento. La regla de descubrimiento incluye la clasificación comoparte de la definición.

3 Cree una definición de planificación.

4 Configure los parámetros de análisis. La definición del análisis incluye la planificación como uno delos parámetros.

Procedimientos• Creación y definición de una regla de descubrimiento en la página 145

Las reglas de descubrimiento definen el contenido que busca el rastreador y qué hacercuando este se encuentra.

• Creación de una definición de planificador en la página 146El planificador determina cuándo y con qué frecuencia se ejecuta un análisis dedescubrimiento.

• Configurar un análisis en la página 146Los análisis de descubrimiento rastrean el sistema de archivos local o los buzones de correoen busca de contenido de carácter confidencial.

• Caso práctico: Restauración de elementos de correo electrónico o archivos en cuarentenaen la página 147Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido decarácter confidencial, mueve los archivos o los elementos de correo electrónico afectados auna carpeta de cuarentena y, a continuación, los sustituye por marcadores de posición quenotifican a los usuarios que sus archivos o correos electrónicos están en cuarentena.Además, los archivos y los elementos de correo electrónico en cuarentena se cifran paraevitar el uso no autorizado.

Creación y definición de una regla de descubrimientoLas reglas de descubrimiento definen el contenido que busca el rastreador y qué hacer cuando este seencuentra.

Los cambios en una regla de descubrimiento se aplican cuando se implementa la directiva. Aunqueesté en curso un análisis, la nueva regla entra en vigor inmediatamente.

Para los análisis de almacenamiento de correo electrónico (PST, PST asignado, y OST), el rastreadoranaliza los elementos de correo electrónico (cuerpo y datos adjuntos), los elementos de calendario ylas tareas. No busca en carpetas públicas ni en notas rápidas.



2 En la página Conjuntos de reglas, seleccione Acciones | Nuevo conjunto de reglas. Introduzca un nombre yhaga clic en Aceptar.

También puede agregar reglas de descubrimiento a un conjunto de reglas existente.

Análisis de datos con descubrimiento de McAfee DLP EndpointEncontrar contenido con el rastreador de descubrimiento de Endpoint 10


3 En la ficha Descubrimiento, seleccione Acciones | Nueva regla de descubrimiento de endpoint y, a continuación,elija Correo electrónico local o Sistema de archivos local.

Aparecerá la página apropiada.

4 Introduzca un nombre de regla y seleccione una clasificación.

5 Haga clic en Reacción. Seleccione una acción preventiva en la lista desplegable.

6 (Opcional) Seleccione las opciones de Notificar incidente, defina el valor Estado en Activado y seleccioneuna designación de Gravedad en la lista desplegable.


Creación de una definición de planificadorEl planificador determina cuándo y con qué frecuencia se ejecuta un análisis de descubrimiento.

Se proporcionan cinco tipos de planificación:

• Ejecutar inmediatamente • Semanal

• Una vez • Mensual

• Diariamente




3 En el panel de la izquierda, haga clic en Planificador.

Si se han instalado McAfee DLP Discover y McAfee DLP Endpoint, la lista de planificacionesexistentes que se muestra incluye planificaciones para ambos.


Aparecerá la página Nuevo planificador.

5 Introduzca un Nombre único y seleccione el Tipo de planificación en la lista desplegable.

La visualización cambia cuando selecciona el tipo de planificación con el fin de proporcionar loscampos necesarios para ese tipo.

6 Rellene las opciones necesarias y haga clic en Guardar.

Configurar un análisisLos análisis de descubrimiento rastrean el sistema de archivos local o los buzones de correo en buscade contenido de carácter confidencial.

Antes de empezarCompruebe que los conjuntos de reglas que desea aplicar a los análisis se hayan aplicado ala Directiva de DLP. Esta información aparece en Directiva de DLP | Conjuntos de reglas.

Los cambios de parámetros de configuración de descubrimientos tienen efecto en el siguiente análisis.No se aplican a análisis que ya estén en curso.

10 Análisis de datos con descubrimiento de McAfee DLP EndpointEncontrar contenido con el rastreador de descubrimiento de Endpoint



1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.

2 Seleccione Producto | Data Loss Prevention 10 y, a continuación, seleccione la directiva de DLP activa.

3 En la ficha Descubrimiento de endpoints, seleccione Acciones | Nuevo Análisis de endpoints y, después,seleccione Correo electrónico local o Sistema de archivos local.

4 Introduzca un nombre para el análisis y, a continuación, seleccione una planificación en la listadesplegable.

5 (Opcional) Cambie los valores predeterminados Administración de incidentes y Administración de errores.Defina el valor Estado en Activado.

La administración de errores hace referencia a cuando no puede extraerse el texto.

6 (Opcional) Para análisis del sistema de archivos local, seleccione la casilla de verificación en elcampo Interacción del usuario para dejar que este pueda ejecutar los análisis activados antes de que seplanifiquen. También puede permitir al usuario llevar a cabo las acciones de corrección desde laconsola del cliente de McAfee DLP Endpoint.

7 En la ficha Carpetas, siga uno de estos procedimientos:

• Para los análisis del sistema de archivos, seleccione Acciones | Seleccionar carpetas. Seleccione unadefinición de carpeta definida o haga clic en Nuevo elemento para crear una. Defina la carpetacomo Incluir o Excluir.

• Para los análisis de correo electrónico, seleccione los tipos de archivo (OST, PST) y los buzonesde correo que se van a analizar.

8 (Opcional) En la ficha Filtros (solo análisis del sistema de archivos), seleccione Acciones | Seleccionarfiltros. Seleccione una definición de información del archivo o haga clic en Nuevo elemento para crearuna. Defina la carpeta como Incluir o Excluir. Haga clic en Aceptar.

El valor predeterminado es Todos los archivos. Definir un filtro hace que el análisis sea más eficiente.

9 En la ficha Reglas, compruebe las reglas que se aplican.

Se ejecutan todas las reglas de descubrimiento de los grupos de reglas aplicados a la directiva.

Caso práctico: Restauración de elementos de correo electrónicoo archivos en cuarentenaCuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de carácterconfidencial, mueve los archivos o los elementos de correo electrónico afectados a una carpeta decuarentena y, a continuación, los sustituye por marcadores de posición que notifican a los usuariosque sus archivos o correos electrónicos están en cuarentena. Además, los archivos y los elementos decorreo electrónico en cuarentena se cifran para evitar el uso no autorizado.

Antes de empezarPara mostrar el icono de McAfee DLP en Microsoft Outlook, debe activarse la opción Mostrarcontroles para levantar la cuarentena en Outlook en Catálogo de directivas | Directiva de cliente | Módulos y modode funcionamiento. Si se desactiva, el icono y la opción de hacer clic con el botón secundariodel ratón para ver los correos electrónicos en cuarentena están bloqueados, y no puedeliberar los correos electrónicos de la cuarentena.



Cuando se configura una regla de descubrimiento del sistema de archivos con la acción Cuarentena y elrobot de rastreo (crawler) encuentra contenido de carácter confidencial, mueve los archivos implicadosa una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a los usuariosque sus archivos están en cuarentena. Los archivos en cuarentena se cifran para evitar el uso noautorizado.

En el caso de los elementos de correo electrónico en cuarentena, el descubrimiento de McAfee DLPEndpoint adjunta un prefijo al Asunto en Outlook para indicar a los usuarios que sus correoselectrónicos se han puesto en cuarentena. El cuerpo y los datos adjuntos del correo electrónico seponen en cuarentena.

El mecanismo se ha cambiado de las versiones anteriores de McAfee DLP Endpoint, que podían cifrar elcuerpo o los datos adjuntos, para evitar daños en la firma al trabajar con el sistema de firmas de correoelectrónico.

Las tareas y los elementos del calendario de Microsoft Outlook también se pueden poner encuarentena.

Figura 10-1 Ejemplo de correo electrónico en cuarentena

Procedimiento1 Para restaurar los archivos en cuarentena:

a En la bandeja del sistema del equipo gestionado, haga clic en el icono de McAfee Agent yseleccione Administrar funciones | Consola de DLP Endpoint.

Se abre la consola de DLP Endpoint.

b En la ficha Tareas, seleccione Abrir carpeta de cuarentena.

Se abre la carpeta de cuarentena.

c Seleccione los archivos que se van a restaurar. Haga clic con el botón derecho del ratón yseleccione Liberar de la cuarentena.

El elemento del menú contextual Liberar de la cuarentena solo aparece cuando se seleccionanarchivos de tipo *.dlpenc (cifrado con DLP).

Aparece la ventana emergente Código de autorización.

2 Para restaurar elementos de correo electrónico en cuarentena: Haga clic en el icono de McAfee DLP, ohaga clic con el botón secundario del ratón y seleccione Liberar de cuarentena.

a En Microsoft Outlook, seleccione los correos electrónicos (u otros elementos) que deseerestaurar.

b Haga clic en el icono de McAfee DLP.

Aparece la ventana emergente Código de autorización.

3 Copie el código del ID de desafío de la ventana emergente y envíelo al administrador de DLP.



4 El administrador genera un código de respuesta y lo envía al usuario, lo que también crea unevento operativo que registra todos los detalles.

5 El usuario introduce el código de autorización en la ventana emergente Código de autorización y haceclic en Aceptar.

Los archivos descifrados se restauran a su ubicación original. Si está activada la directiva debloqueo de código de autorización (en la ficha Configuración de los agentes | Servicio de notificación) eintroduce un código incorrecto tres veces, la ventana emergente deja de aparecer durante 30minutos (configuración predeterminada).

En el caso de los archivos, si se ha cambiado o eliminado la ruta de acceso, se restaura la rutaoriginal. Si ya existe un archivo con el mismo nombre en la ubicación, el archivo se restaura comoxxx-copy.abc.



Supervisión y generación deinformesPuede utilizar los componentes de software de McAfee DLP Endpoint pararealizar un seguimiento de las infracciones de directivas y revisarlas(Administrador de incidentes de DLP), y para realizar un seguimiento de loseventos administrativos (Operaciones de DLP).

Capítulo 11 Incidentes y eventos operativosCapítulo 12 Recopilación y administración de datos


Supervisión y generación de informes


11 Incidentes y eventos operativos

McAfee DLP ofrece otras herramientas para ver incidentes y eventos operativos.

• Incidentes: la página Administrador de incidentes de DLP muestra los incidentes generados a partir delas reglas.

• Eventos operativos: La página Operaciones de DLP muestra errores y datos administrativos.

• Casos: La página Administración de casos de DLP contiene casos que se han creado para agrupar ygestionar incidentes relacionados.

Cuando McAfee DLP Discover y McAfee DLP Endpoint están instalados, las consolas muestranincidentes y eventos de ambas aplicaciones.

La visualización de Administrador de incidentes de DLP y Operaciones de DLP puede incluir información sobre elequipo y el usuario registrado que han generado el incidente/evento, la versión del cliente, el sistemaoperativo y otros detalles.

Contenido Supervisión y generación de informes Administrador de incidentes de DLP Visualización de los incidentes Gestión de incidentes Trabajo en casos Gestión de casos

Supervisión y generación de informesMcAfee DLP divide los eventos en dos clases: incidentes (es decir, infracciones de directivas) y eventosadministrativos. Estos eventos se ven en las dos consolas, Administrador de incidentes de DLP yOperaciones de DLP.

Cuando McAfee DLP determina que se ha producido una infracción de directivas, genera un evento y loenvía al Analizador de eventos de McAfee ePO. Estos eventos se pueden ver, filtrar y clasificar en laconsola Administrador de incidentes de DLP, lo que permite a los responsables de la seguridad o a losadministradores ver los eventos y responder inmediatamente. En caso necesario, se adjunta elcontenido sospechoso como prueba del evento.

Como McAfee DLP es fundamental en la estrategia de una empresa para cumplir todas las normativasy la legislación que protege los datos confidenciales, el Administrador de incidentes de DLP presenta lainformación sobre la transmisión de información confidencial de forma precisa y flexible. Los auditores,responsables de firmas, administradores de información confidencial y otros empleados relevantespueden utilizar el Administrador de incidentes de DLP para observar actividades sospechosas o noautorizadas, y actuar conforme a la política de privacidad de la empresa, a las normativascorrespondientes y a otras leyes aplicables.

11


El administrador del sistema o el responsable de la seguridad pueden seguir los eventosadministrativos relativos a los agentes y al estado de distribución de directivas.

La consola Operaciones de DLP muestra:

• McAfee DLP Discover: Errores de análisis o servidor.

• McAfee DLP Endpoint: Detalles sobre el despliegue del cliente, los cambios en las directivas, eldespliegue de directivas, los inicios de sesión en modo seguro, las omisiones de agente y otroseventos administrativos.

Administrador de incidentes de DLPUtilice la página Administrador de incidentes de DLP en McAfee ePO para ver los eventos de seguridadde las infracciones de directivas.

El administrador de incidentes tiene tres secciones con fichas:

• Lista de incidentes: La lista actual de eventos de infracciones de directivas.

• Tareas de incidentes: Una lista de acciones que puede realizar en la lista o las partes seleccionadas deesta. Incluyen la asignación de revisores a los incidentes, la configuración de notificación por correoelectrónico automáticas y la purga de toda la lista o parte de esta.

• Historial de incidentes: Una lista que contiene todos los incidentes históricos. Purgar la lista delincidente no afecta al historial.

Utilice el módulo Eventos operativos de DLP para ver eventos administrativos como despliegues deagentes. El módulo se organiza de forma idéntica, con tres páginas con fichas: Lista de eventosoperativos, Tareas de eventos operativos e Historial de eventos operativos.

Funcionamiento del administrador de incidentesLa ficha Lista de incidentes del Administrador de incidentes de DLP tiene todas las funcionesnecesarias para revisar los incidentes relacionados con infracciones de directivas. Los detalles delevento se pueden ver al hacer clic en el evento en cuestión. Puede crear y guardar los filtros paramodificar la vista o utilizar los filtros predefinidos del panel izquierdo. También puede modificar la vistaal seleccionar y ordenar las columnas. Los iconos de color y las calificaciones numéricas de gravedadfacilitan un análisis visual rápido de los eventos.

La ficha Lista de incidentes se utiliza con la función Consultas e informes de McAfee ePO para crearinformes de McAfee DLP Endpoint y mostrar datos en los paneles de McAfee ePO.

Puede realizar las siguientes operaciones en los eventos:

• Administración de casos: Cree casos y agregue incidentes seleccionados a un caso.

• Comentarios: Agregue comentarios a incidentes seleccionados.

• Eventos de correo electrónico: Envíe eventos seleccionados.

• Exportar parámetros del dispositivo: Exporte los parámetros del dispositivo a un archivo CSV(lista de datos en uso/movimiento únicamente).

• Etiquetas: Defina una etiqueta para filtrar por ella.

11 Incidentes y eventos operativosAdministrador de incidentes de DLP


• Liberar redacción: Elimine la redacción para ver los campos protegidos (requiere el permisocorrecto).

• Definir propiedades: Edite la gravedad, el estado o la resolución; asigne un usuario o un grupopara la revisión de incidentes.

Figura 11-1 Administrador de incidentes de DLP

La página Operaciones de DLP se utiliza de forma idéntica con los eventos administrativos. Loseventos contienen información como, por ejemplo, el motivo por el que se generó el evento y elproducto de McAfee DLP que lo notificó. También puede incluir información del usuario relacionada conel evento, por ejemplo, el nombre de inicio de sesión del usuario, el nombre principal de este(nombredeusuario@xyz), o el administrador de usuarios, el departamento o la unidad de negocio. Loseventos operativos se pueden filtrar por cualquiera de las opciones siguientes, así como por otrosparámetros, por ejemplo, la gravedad, el estado, la versión de cliente o el nombre de directiva, entreotros.

Figura 11-2 Operaciones de DLP

Tareas de incidentes/Tareas de eventos operativos

Utilice la ficha Tareas de incidentes o Tareas de eventos operativos para definir los criterios de lastareas planificadas. La configuración de tareas en las páginas funciona con la función de tareasservidor de McAfee ePO para planificar tareas.

Las fichas de ambas tareas se organizan por tipo de tarea (en el panel izquierdo). La ficha Tareas deincidentes también se organiza por tipo de incidente, de modo que queda una matriz de 4 x 3, y lainformación que se muestra depende de los dos parámetros que seleccione.

Incidentes y eventos operativosAdministrador de incidentes de DLP 11


Datos en uso/movimiento

Datos en reposo(Endpoint)

Datos enreposo (red)

Datos en uso/movimiento(Historial)

Definir revisor X X X

Notificación decorreo automática X X X

Purgar eventos X X X X

Caso práctico: Configuración de propiedadesLas propiedades son datos que se añaden a un incidente que requiere un seguimiento.Puede agregar las propiedades desde el panel de detalles del incidente o seleccionandoAcciones | Definir propiedades. Las propiedades son:

• Gravedad • Grupo revisor

• Estado • Usuario revisor

• Solución

El revisor puede ser cualquier usuario de McAfee ePO. El motivo por el cual es posiblecambiar la gravedad es que, en caso de que el administrador determine que el estado esun falso positivo, la gravedad original dejará de tener sentido.

Caso práctico: Cambio de la vistaAdemás de utilizar los filtros para modificar la vista, también puede personalizar loscampos y el orden de visualización. Las vistas personalizadas se pueden guardar y utilizarde nuevo.

Crear un filtro implica las siguientes tareas:

1 Para abrir la ventana de edición de la vista, haga clic en Acciones | Vista | Elegir columnas.

2 Para mover las columnas a la izquierda o a la derecha, use el icono x para eliminarcolumnas y los iconos de flechas.

3 Para aplicar la vista personalizada, haga clic en Actualizar vista.

4 Para guardarla para usarla en el futuro, haga clic en Acciones | Vista | Guardar vista.

Al guardar la vista también puede guardar la hora y los filtros personalizados. En lalista desplegable de la parte superior de la página, puede seleccionar las vistasguardadas.

Trabajar con incidentesCuando McAfee DLP recibe datos que coinciden con los parámetros definidos en una regla, sedesencadena una infracción y McAfee DLP genera un incidente.

Con el administrador de incidentes de McAfee ePO, puede consultar, ordenar, agrupar y filtrarincidentes para encontrar infracciones importantes. Puede ver los detalles de los incidentes o eliminarlos que no son útiles.

11 Incidentes y eventos operativosAdministrador de incidentes de DLP


Visualización de los incidentesEl administrador de incidentes muestra todos los incidentes de los que han informado las aplicacionesde McAfee DLP. Puede alterar la apariencia de los incidentes para que le ayude a ubicar lasinfracciones importantes de forma más eficaz.

El campo Presente del Administrador de incidentes de DLP ordena los incidentes visualizados según laaplicación que los generó:

• Datos en uso/movimiento: Muestra los incidentes de McAfee DLP Endpoint o Device Control.

• Datos en reposo (endpoint): Muestra los incidentes de descubrimiento de McAfee DLP Endpoint.

• Datos en reposo (red): Muestra los incidentes de McAfee DLP Discover.

Cuando McAfee DLP procesa un objeto (como un mensaje de correo electrónico), se activan variasreglas y el Administrador de incidentes reúne y muestra las infracciones como un incidente, en lugarde como varios independientes.

Procedimientos

• Ordenar y filtrar incidentes en la página 157Ordene la manera en la que aparecen los incidentes basándose en atributos como eltiempo, la ubicación, el usuario o la gravedad.

• Configurar vistas de columna en la página 158Utilice las vistas para organizar el tipo y el orden de las columnas que se muestran en eladministrador de incidentes.

• Configurar filtros de incidentes en la página 159Utilice los filtros para mostrar los incidentes que coinciden con los criterios especificados.

• Ver detalles del incidente en la página 160Consulte la información relacionada con un incidente.

Ordenar y filtrar incidentesOrdene la manera en la que aparecen los incidentes basándose en atributos como el tiempo, laubicación, el usuario o la gravedad.


1 En McAfee ePO, seleccione Administrador de incidentes de DLP.


• Para los incidentes de Device Control o McAfee DLP Endpoint: En la lista desplegable Presente,seleccione Datos en uso/movimiento.

• Para incidentes de descubrimiento de McAfee DLP Endpoint: En la lista desplegable Presente,seleccione Datos en reposo (endpoint).

• Para incidentes de McAfee DLP Discover: En la lista desplegable Presente, seleccione Datos en reposo(red) y, si fuera necesario, haga clic en el vínculo Análisis para definir el análisis.

3 Realice una de estas tareas:

• Para ordenar por columna, haga clic en el encabezado de una columna.

• Para cambiar las columnas a una vista personalizada, en la lista desplegable Vista, seleccioneuna vista personalizada.

Incidentes y eventos operativosVisualización de los incidentes 11


• Para filtrar por tiempo, en la lista desplegable Hora, seleccione un espacio de tiempo.

• Para aplicar un filtro personalizado, en la lista desplegable Filtro, seleccione un filtropersonalizado.

• Para agrupar por atributo:

1 En la lista desplegable Agrupar por, seleccione un atributo.

Aparecerá una lista de opciones disponibles. La lista contiene hasta 250 de las opciones másfrecuentes.

2 En la lista desplegable, seleccione una opción. Aparecerán los incidentes que coincidan con laselección.

EjemploSi trabaja con incidentes de McAfee DLP Endpoint, seleccione ID de usuario para mostrar losnombres de los usuarios que han desencadenado las infracciones. Seleccione un nombre deusuario para mostrar todos los incidentes para ese usuario.

Configurar vistas de columnaUtilice las vistas para organizar el tipo y el orden de las columnas que se muestran en el administradorde incidentes.







3 En la lista desplegable Vista, seleccione Predeterminado y haga clic en Editar.

4 Configure las columnas.

a En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnas seleccionadas.

b En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario.

• Para eliminar una columna, haga clic en x.

• Para mover una columna, haga clic en los botones de flecha, o arrastre y suelte la columna.

c Haga clic en Actualizar vista.

5 Configure los ajustes de la vista.

a Junto a la lista desplegable Vista, haga clic en Guardar.

b Seleccione una de estas opciones:

• Guardar como vista nueva: Especifique un nombre para la vista.

• Omitir la vista existente: Seleccione la vista que desea guardar.

11 Incidentes y eventos operativosVisualización de los incidentes


c Seleccione quién puede utilizar la vista.

• Público: Cualquier usuario puede utilizar la vista.

• Privado: Solo el usuario que creó la vista puede utilizarla.

d Especifique si desea que se apliquen los filtros o las agrupaciones actuales a la vista.

e Haga clic en Aceptar.

También puede gestionar las vistas en el administrador de incidentes seleccionando Acciones | Vista.

Configurar filtros de incidentesUtilice los filtros para mostrar los incidentes que coinciden con los criterios especificados.

McAfee DLP Endpoint Ejemplo: Sospecha que un usuario concreto ha estado enviando conexiones quecontenían datos confidenciales a un intervalo de direcciones IP fuera de la empresa. Puede crear unfiltro para mostrar los incidentes que coinciden con el nombre de usuario y el intervalo de direccionesIP.







3 En la lista desplegable Filtro, seleccione (sin filtro personalizado) y haga clic en Editar.

4 Configure los parámetros del filtro.

a En la lista Propiedades disponibles, seleccione una propiedad.

b Introduzca el valor para la propiedad.

Para agregar valores adicionales a la misma propiedad, haga clic en +.

c Seleccione más propiedades según sea necesario.

Para eliminar una entrada de propiedad, haga clic en <.

d Haga clic en Actualizar filtro.

5 Configure los ajustes de filtros.

a Junto a la lista desplegable Filtro, haga clic en Guardar.

b Seleccione una de estas opciones:

• Guardar como filtro nuevo: Especifique un nombre para el filtro.

• Omitir filtro existente: Seleccione el filtro que desea guardar.

Incidentes y eventos operativosVisualización de los incidentes 11


c Seleccione quién puede utilizar el filtro.

• Público: Cualquier usuario puede utilizar el filtro.

• Privado: Solo el usuario que creó el filtro puede utilizarlo.

d Haga clic en Aceptar.

También puede gestionar los filtros en el administrador de incidentes seleccionando Acciones | Filtro.

Ver detalles del incidenteConsulte la información relacionada con un incidente.







3 Haga clic en ID de incidente.

En McAfee DLP Endpoint, la página muestra detalles generales e información de origen. Según eltipo de incidente, aparecen los detalles del destino o el dispositivo. En McAfee DLP Discover, lapágina muestra detalles generales sobre el incidente.

4 Para ver información adicional, lleve a cabo una de estas tareas.

• Para ver información del usuario, en McAfee DLP Endpoint, haga clic en el nombre del usuarioen el campo Origen.

• Para ver los archivos de pruebas:

1 Haga clic en la ficha Pruebas.

2 Haga clic en el nombre de un archivo para abrirlo con un programa apropiado.

La ficha Prueba también muestra la Cadena coincidente breve, que incluye hasta tres elementosdestacados como única cadena.

• Para ver las reglas que desencadenaron el incidente, haga clic en la ficha Reglas.

• Para ver las clasificaciones, haga clic en la ficha Clasificaciones.

En McAfee DLP Endpoint, la ficha Clasificaciones no aparece para algunos tipos de incidente.

• Para ver el historial de incidentes, haga clic en la ficha Registros de auditoría.

• Para ver los comentarios agregados al incidente, haga clic en la ficha Comentarios.

11 Incidentes y eventos operativosVisualización de los incidentes


• Para enviar por correo electrónico los detalles de los incidentes, incluidas las pruebasdescifradas y los archivos de elementos destacados, seleccione Acciones | Enviar por correo electrónicolos eventos seleccionados.

• Para volver al administrador de incidentes, haga clic en Aceptar.

Gestión de incidentesUtilice el administrador de incidentes para actualizar y gestionar los incidentes.Para eliminar los incidentes, configure una tarea que permita purgar eventos.

Procedimientos• Actualizar un solo incidente en la página 161

Actualice información del incidente como la gravedad, el estado y el revisor.

• Actualizar varios incidentes en la página 162Actualice varios incidentes con la misma información simultáneamente.

• Administrar etiquetas en la página 163Una etiqueta es un atributo personalizado que se utiliza para identificar los incidentes quecomparten rasgos similares.

Actualizar un solo incidenteActualice información del incidente como la gravedad, el estado y el revisor.

La ficha Registros de auditoría informa de todas las actualizaciones y modificaciones realizadas en unincidente.







3 Haga clic en un incidente.


• Para actualizar la gravedad, el estado o la resolución:

1 En las listas desplegables Gravedad, Estado o Solución, seleccione una opción.


Incidentes y eventos operativosGestión de incidentes 11


• Para actualizar el revisor:

1 Junto al campo Revisor, haga clic en ....

2 Seleccione el grupo o el usuario, y haga clic en Aceptar.


• Para agregar un comentario:

1 Seleccione Acciones | Agregar comentario.

2 Introduzca un comentario y, a continuación, haga clic en Aceptar.

Actualizar varios incidentesActualice varios incidentes con la misma información simultáneamente.Ejemplo: Ha aplicado un filtro para mostrar todos los incidentes de un usuario o análisis concreto, ydesea cambiar la gravedad de estos incidentes a Grave.







3 Seleccione las casillas de verificación de los incidentes que desea actualizar.

Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en estapágina.


• Para agregar un comentario, seleccione Acciones | Agregar comentario, introduzca un comentario y, acontinuación, haga clic en Aceptar.

• Para enviar los incidentes en un correo electrónico, seleccione Acciones | Enviar por correo electrónicolos eventos seleccionados, introduzca la información y, a continuación, haga clic en Aceptar.

Puede seleccionar una plantilla o crear una introduciendo la información y haciendo clic enGuardar.

• Para cambiar las propiedades, seleccione Acciones | Definir propiedades, cambie las opciones y, acontinuación, haga clic en Aceptar.

Procedimientos• Enviar por correo electrónico los eventos seleccionados en la página 163

Las siguientes tablas proporcionan algunos detalles sobre las opciones de correo electrónicoy exportación de eventos seleccionados.

Véase también Enviar por correo electrónico los eventos seleccionados en la página 163

11 Incidentes y eventos operativosGestión de incidentes


Enviar por correo electrónico los eventos seleccionadosLas siguientes tablas proporcionan algunos detalles sobre las opciones de correo electrónico yexportación de eventos seleccionados.

Tabla 11-1 Enviar por correo electrónico los eventos seleccionados

Parámetro Valor

Número máximo de eventos que enviar por correo 100

Tamaño máximo de cada evento Sin límite

Tamaño máximo del archivo comprimido (ZIP) 20 MB

De Limitado a 100 caracteres

Para, CC Limitado a 500 caracteres

Asunto Limitado a 150 caracteres

Cuerpo Limitado a 1000 caracteres

Tabla 11-2 Exportar eventos seleccionados

Parámetro Valor

Número máximo de eventos que exportar 1000

Tamaño máximo de cada evento Sin límite

Tamaño máximo del archivo de exportación comprimido (ZIP) Sin límite

Administrar etiquetasUna etiqueta es un atributo personalizado que se utiliza para identificar los incidentes que compartenrasgos similares.

Puede asignar varias etiquetas a un incidente y puede reutilizar una etiqueta para varios incidentes.

Por ejemplo: Tiene incidentes que se relacionan con varios proyectos que su empresa estádesarrollando. Puede crear etiquetas con el nombre de cada proyecto y asignarlas a los incidentescorrespondientes.







3 Seleccione las casillas de verificación de uno o varios incidentes.

Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en estapágina.

Incidentes y eventos operativosGestión de incidentes 11



• Para agregar etiquetas:

1 Seleccione Acciones | Etiquetas | Adjuntar.

2 Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar.

3 Seleccione una o varias etiquetas.


• Para eliminar etiquetas de un incidente:

1 Seleccione Acciones | Etiquetas | Separar.

2 Seleccione las etiquetas que desea eliminar del incidente.


• Para eliminar etiquetas:

1 Seleccione Acciones | Etiquetas | Eliminar etiquetas.

2 Seleccione las etiquetas que eliminar.


Trabajo en casosLos casos permiten a los administradores colaborar para llegar a la solución de incidentesrelacionados.

En muchos casos, un único incidente no es un evento aislado. Debe ir al Administrador de incidentesde DLP para consultar otros que tengan propiedades comunes o que se relacionen entre sí. Puedeasignar estos incidentes relacionados a un caso. Diversos administradores pueden supervisar ygestionar un caso en función de sus roles dentro de la organización.

Situación: Se percata de que un usuario concreto a menudo genera varios incidentes al finalizar elhorario laboral. Esta situación podría indicar que el usuario está involucrado en actividadessospechosas o que su sistema se ha puesto en peligro. Asigne estos incidentes a un caso para realizarun seguimiento de cuándo y con qué frecuencia se producen tales infracciones.

En función de cuál sea la naturaleza de tales infracciones, tendrá que informar al respecto a losequipos de RR. HH. o de asuntos legales. También puede permitir a los miembros de estos equiposque trabajen en el caso, por ejemplo, añadiendo comentarios, cambiando la prioridad o informando alas partes interesadas más relevantes.

Gestión de casosCree casos y realice labores de mantenimiento para solucionar incidentes.

Creación de casosCree un caso para agrupar y examinar los incidentes relacionados.

11 Incidentes y eventos operativosTrabajo en casos



1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.


3 Introduzca un nombre y configure las opciones.


Visualización de información del casoPuede ver los registros de auditoría, los comentarios de los usuarios y los incidentes asignados a uncaso.



2 Haga clic en un ID de caso.


• Para ver los incidentes asignados al caso, haga clic en la ficha Incidentes.

• Para ver los comentarios de los usuarios, haga clic en la ficha Comentarios.

• Para ver los registros de auditoría, haga clic en la ficha Registro de auditoría.


Asignación de incidentes a un casoAgregue incidentes relacionados a un caso nuevo o a uno existente.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP.

2 En la lista desplegable Presente, seleccione un tipo de incidente. Para Datos en reposo (red) haga clic enel vínculo Analizar para definir el análisis si es necesario.

3 Seleccione las casillas de verificación de uno o varios incidentes.

Utilice las opciones como Filtro o Agrupar por para ver los incidentes relacionados. Para actualizar todoslos incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.

Incidentes y eventos operativosGestión de casos 11


4 Asigne los incidentes a un caso.

• Para agregarlos a un caso nuevo, seleccione Acciones | Administración de casos | Agregar a un nuevo caso,introduzca un nombre y configure las opciones.

• Para agregarlos a un caso existente, seleccione Acciones | Administración de casos | Agregar a un casoexistente, filtre por el nombre o el ID del caso, y seleccione dicho caso.


Transferencia o eliminación de incidentes de un casoSi un incidente deja de ser pertinente en un caso, puede eliminarlo o moverlo a otro distinto.





• Para mover un incidente de un caso a otro:

1 haga clic en la ficha Incidentes y seleccione los incidentes;

2 seleccione Acciones | Mover y, a continuación, seleccione si desea moverlo a un caso nuevo o auno existente; y

3 seleccione un caso existente o configure las opciones de uno nuevo. A continuación, haga clicen Aceptar.

• Si desea eliminar del caso un incidente:

1 haga clic en la ficha Incidentes y seleccione los incidentes;

2 seleccione Acciones | Eliminar y, a continuación, haga clic en Sí.


También puede mover o eliminar un incidente de la ficha Incidentes haciendo clic en Mover o Eliminar en lacolumna Acciones.

Actualización de casosInformación sobre la actualización de los casos, como el cambio de propietario, el envío denotificaciones o la adición de comentarios.

Las notificaciones se envían al creador y al responsable del caso, así como a los usuariosseleccionados, cuando:

• se agrega o se modifica un correoelectrónico;

• se modifica la prioridad;

• se agregan incidentes al caso o seeliminan;

• se modifica la resolución.

11 Incidentes y eventos operativosGestión de casos


• se modifica el nombre del caso; • se agregan comentarios.

• se modifican los detalles del responsable;

Puede desactivar las notificaciones por correo electrónico automáticas al creador y al responsable delcaso en Menú | Configuración | Configuración del servidor | Data Loss Prevention.





• Para actualizar el nombre del caso, en el campo Título, introduzca uno nuevo y haga clic enGuardar.

• Para actualizar el responsable, realice lo siguiente:

1 Haga clic en la opción ... situada junto al campo Propietario.

2 Seleccione el grupo o el usuario.



• Para actualizar las opciones Prioridad, Estado y Solución, sírvase de las listas desplegables paraseleccionar elementos y haga clic en Guardar.

• Para enviar notificaciones de correo electrónico, siga estos pasos:

1 Haga clic en la opción ... situada junto al campo Enviar notificaciones a.

2 Seleccione los usuarios a los que enviar notificaciones.

Si no se muestra ningún contacto, especifique un servidor de correo electrónico para McAfeeePO y agregue las direcciones de correo electrónico de los usuarios. Configure el servidor decorreo electrónico en Menú | Configuración | Configuración del servidor | Servidor de correo electrónico.Configure los usuarios en Menú | Administración de usuarios | Usuarios.


• Para agregar comentarios al caso, realice lo siguiente:

1 Haga clic en la ficha Comentarios.

2 Introduzca el comentario en el campo de texto.

3 Haga clic en Agregar comentario.


Adición o eliminación de etiquetas de un casoSírvase de las etiquetas para distinguir los casos por un atributo personalizado.

Incidentes y eventos operativosGestión de casos 11




2 Seleccione las casillas de verificación de uno o varios casos.

Para actualizar todos los incidentes mostrados con el filtro actual, haga clic en Seleccionar todo en estapágina.

3 Realice una de estas acciones:

• Para añadir etiquetas a los casos seleccionados:

1 Seleccione Acciones | Administrar etiquetas | Adjuntar.

2 Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar.

3 Seleccione una o varias etiquetas.


• Para eliminar etiquetas de los casos seleccionados:

1 Seleccione Acciones | Administrar etiquetas | Separar.

2 Seleccione las etiquetas que desea eliminar.


Eliminación de casosElimine los casos que ya no necesite.



2 Seleccione las casillas de verificación de uno o varios casos.

Para eliminar todos los casos mostrados con el filtro actual, haga clic en Seleccionar todo en esta página.

3 Seleccione Acciones | Eliminar y, a continuación, haga clic en Sí.

11 Incidentes y eventos operativosGestión de casos


12 Recopilación y administración de datos

La supervisión del sistema incluye la recopilación y la revisión de pruebas y eventos, así como lageneración de informes. Los datos de incidentes y eventos de las tablas de DLP de la base de datos deMcAfee ePO se pueden ver en las páginas Administrador de incidentes de DLP y Operaciones de DLP, ose pueden intercalar en los informes y paneles.

La revisión de los eventos y las pruebas registradas permite a los administradores determinar si lasreglas son demasiado restrictivas, lo que provoca retrasos innecesarios en el trabajo, o si son pocoestrictas, lo que facilita la fuga de datos.

Contenido Edición de tareas servidor Supervisar resultados de la tarea Creación de informes

Edición de tareas servidorMcAfee DLP utiliza las Tareas servidor de McAfee ePO para ejecutar las tareas de Administrador deincidentes de DLP y Operaciones de DLP.

Todas las tareas de incidentes y eventos operativos se predefinen en la lista de tareas servidor. Lasúnicas opciones disponibles son activar o desactivar las tareas, o bien cambiar la planificación. Lastareas servidor de McAfee DLP disponibles son:

• Conversión de eventos de incidentes de DLP de la versión 9.4 a la 9.4.1 y posteriores

• Migración de incidentes de DLP de la versión 9.3.x a la 9.4.1 y posteriores

• Ejecutor de tareas de incidentes de DLP*

• Tarea de informe de propiedades DLP MA

• Migración de eventos operativos de DLP

• Conversión de directivas de DLP

• Tarea de inserción de directiva de DLP

• Purga del historial de eventos e incidentes operativos de DLP

• Purga de eventos e incidentes operativos de DLP

• Envío de correo electrónico para eventos e incidentes operativos de DLP

12


• Definición de revisor para eventos e incidentes operativos de DLP

• Marcar incidentes de DLP con la gravedad ALTA o CRÍTICA para la importación por parte del administrador de DLP

* Ejecutor de tareas de incidentes de DLP es una tarea de McAfee DLP 9.3. Solo aparece si dispone de ambasversiones de McAfee DLP.



2 Seleccione la tarea que desea editar.

Práctica recomendada: Introduzca DLP en el campo Búsqueda rápida para filtrar la lista.

3 Seleccione Acciones | Editar y, a continuación, haga clic en Planificación.

4 Edite la planificación según sea necesario y, a continuación, haga clic en Guardar.

Procedimientos• Creación de una tarea de purga de eventos en la página 170

Crea tareas de purga de incidentes y eventos para eliminar de la base de datos lainformación que ya no es necesaria.

• Creación de una tarea Notificación de correo automática en la página 171Puede establecer notificaciones por correo electrónico automáticas de incidentes y eventosoperativos para los administradores, gestores o usuarios.

• Creación una tarea de definición de revisor en la página 172Puede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividirla carga de trabajo en organizaciones grandes.

Véase también Creación una tarea de definición de revisor en la página 172Creación de una tarea Notificación de correo automática en la página 171Creación de una tarea de purga de eventos en la página 170

Creación de una tarea de purga de eventosCrea tareas de purga de incidentes y eventos para eliminar de la base de datos la información que yano es necesaria.

Se pueden crear tareas de purga para la Lista de incidentes, los incidentes de datos en uso en la listaHistorial o la Lista de eventos operativos.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección dedatos | Operaciones de DLP.

2 Haga clic en Tareas de incidentes o en la ficha Tareas de eventos operativos.

3 Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Purgar eventosen el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.

La opción Datos en uso/movimiento (archivo) permite purgar eventos del historial.

12 Recopilación y administración de datosEdición de tareas servidor


4 Introduzca un nombre y una descripción opcional y, a continuación, haga clic en Siguiente.

Las reglas se activan de forma predeterminada. Puede cambiar este ajuste para retrasar laejecución de la regla.

5 Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación yValor. Cuando haya acabado de definir los criterios, haga clic en Guardar.

La tarea se ejecuta a diario en el caso de los datos actuales y cada viernes a las 22:00 en el de losdatos históricos.

Véase también Edición de tareas servidor en la página 169

Creación de una tarea Notificación de correo automáticaPuede establecer notificaciones por correo electrónico automáticas de incidentes y eventos operativospara los administradores, gestores o usuarios.



2 Haga clic en las fichas Tareas de incidentes o Tareas de eventos operativos.

3 Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Notificación decorreo automática en el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.



5 Seleccione los eventos que desea procesar.

• Procese todos los incidentes/eventos (del tipo de incidente seleccionado).

• Procese los incidentes/eventos desde la última notificación de correo ejecutada.

6 Seleccione Destinatarios.

Este campo es obligatorio. Debe seleccionar al menos un destinatario.

7 Introduzca un asunto para el correo electrónico.

Este campo es obligatorio.

Puede introducir variables de la lista desplegable según sea necesario.

8 Introduzca el texto del cuerpo del correo electrónico.

Puede introducir variables de la lista desplegable según sea necesario.

9 (Opcional) Seleccione la casilla de verificación para adjuntar información de pruebas al correoelectrónico. Haga clic en Siguiente.


Recopilación y administración de datosEdición de tareas servidor 12


La tarea se ejecuta cada hora.


Creación una tarea de definición de revisorPuede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir la cargade trabajo en organizaciones grandes.

Antes de empezarEn McAfee ePO Administración de usuarios | Conjuntos de permisos, cree un revisor o designe unrevisor de grupo, con permisos Definir revisor para Administrador de incidentes de DLP yOperaciones de DLP.

La tarea Definir revisor asigna un revisor a los incidentes o eventos según los criterios de la regla. Latarea solo se ejecuta en los incidentes donde no se ha asignado un revisor. No puede utilizarla parareasignar incidentes a otro revisor.



2 Haga clic en Tareas de incidentes o en la ficha Tareas de eventos operativos.

3 Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Definir revisoren el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.

4 Introduzca un nombre y, si lo desea, una descripción. Seleccione un revisor o un grupo y, acontinuación, haga clic en Siguiente.



Práctica recomendada: Si hay varias reglas de Definir revisor, puede volver a ordenarlas en lalista.

La tarea se ejecuta cada hora.

Tras definir un revisor, no se le puede omitir a través de la tarea Definir revisor.


Supervisar resultados de la tareaSupervise los resultados de las tareas de incidentes y de eventos operativos.

12 Recopilación y administración de datosSupervisar resultados de la tarea



1 En McAfee ePO, seleccione Menú | Automatización | Registro de tareas servidor.

2 Localice las tareas de McAfee DLP completadas.

Práctica recomendada: Introduzca DLP en el campo Búsqueda rápida o defina un filtro personalizado.

3 Haga clic en el nombre de la tarea.

Aparecen los detalles de la tarea, incluidos todos los errores si la tarea falló.

Creación de informesMcAfee DLP utiliza funciones de generación de informes de McAfee ePO. Hay disponibles variosinformes preprogramados, así como la opción de diseñar informes personalizados.

Consulte el capítulo Consultas de la base de datos de la Guía del producto de McAfee ePolicyOrchestrator para obtener más información.

Tipos de informesUtilice las funciones de generación de informes de McAfee ePO para supervisar el rendimiento deMcAfee DLP Endpoint.

Se admiten cuatro tipos de informes en los paneles de McAfee ePO:

• Resumen de incidentes de DLP

• Resumen de descubrimiento de DLP Endpoint

• Resumen de directivas de DLP

• Resumen de operaciones de DLP

Los paneles proporcionan un total de 22 informes, basándose en las 28 consultas encontradas enMenú | Informes | Consultas e informes | Grupos de McAfee | Data Loss Prevention en la consola deMcAfee ePO.

Opciones de informesEl software McAfee DLP utiliza informes de McAfee ePO para revisar eventos. Asimismo, puede verinformación sobre las propiedades del producto en el panel de McAfee ePO.

Informes de McAfee ePO

El software McAfee DLP Endpoint integra la generación de informes con el servicio de generación deinformes de McAfee ePO. Para obtener información sobre el uso del servicio de generación de informesde McAfee ePO, consulte la Guía del producto de McAfee ePolicy Orchestrator.

Se admiten las consultas y los informes de datos acumulados de McAfee ePO, que resumen los datosprocedentes de varias bases de datos de McAfee ePO.

Se admiten las notificaciones de McAfee ePO. Consulte el capítulo Envío de notificaciones de la Guíadel producto de McAfee ePolicy Orchestrator para obtener más información.

Recopilación y administración de datosCreación de informes 12


Paneles de ePO

Puede ver información sobre las propiedades del producto de McAfee DLP en Menú | Paneles de McAfeeePO. Hay cuatro paneles predefinidos:

• Resumen de incidentes de DLP

• Resumen de descubrimiento de DLP Endpoint

• Resumen de directivas de DLP

• Resumen de operaciones de DLP

Los paneles se pueden editar y personalizar. Asimismo, se pueden crear nuevos monitores. Consulte ladocumentación de McAfee ePO para conocer las instrucciones.

Las consultas predefinidas resumidas en los paneles están disponibles al seleccionar Menú | Consultas einformes. Se enumeran en Grupos de McAfee.

Paneles predefinidosLa siguiente tabla describe los paneles predefinidos de McAfee DLP.

Tabla 12-1 Paneles de DLP predefinidos

Categoría Opción Descripción

DLP: Resumen deincidentes

Número de incidentes al día Estos gráficos muestran el número de incidentestotales y proporcionan diferentes desgloses con elfin de ayudar a analizar problemas específicos.Número de incidentes por

gravedad

Número de incidentes por tipo

Número de incidentes porconjunto de reglas

DLP: Resumen deoperaciones

Número de eventos operativos aldía

Muestra todos los eventos administrativos.

Versión del agente Muestra la distribución de los equipos Endpoint enla empresa. Se utiliza para supervisar el progresodel despliegue de agentes.

Distribución de productos DLP enequipos endpoint

Muestra un gráfico circular que representa elnúmero de equipos endpoint de Windows y Mac,así como el número de equipos endpoint donde nohay instalado ningún cliente.

Descubrimiento de DLP (endpoint):Estado de análisis del sistema dearchivos local

Muestra un gráfico circular que muestra el númerode propiedades de análisis de descubrimiento delsistema de archivos local y sus estados(completada, en funcionamiento, sin definir).

Estado del agente Muestra todos los agentes y su estado.

12 Recopilación y administración de datosCreación de informes


Tabla 12-1 Paneles de DLP predefinidos (continuación)


Modo de funcionamiento delagente

Muestra un gráfico circular de agentes por modosde funcionamiento de DLP. Los modos defuncionamiento son:• Modo de solo control de dispositivos

• Modo de protección de contenido completo ycontrol de dispositivos

• Modo de protección de almacenamientoextraíble basada en contenido y control dedispositivos

• Desconocido

Descubrimiento de DLP (endpoint):Estado de análisis dealmacenamiento de correoelectrónico local

Muestra un gráfico circular que muestra el númerode propiedades de análisis de descubrimiento delalmacenamiento de correo electrónico local y susestados (completada, en funcionamiento, sindefinir).

DLP: Resumen dedirectivas

Distribución de directivas Muestra la distribución de directivas de DLP en laempresa. Se utiliza para supervisar el progreso aldesplegar una nueva directiva.

Conjuntos de reglasimplementados por equiposendpoint

Muestra un gráfico de barras que muestra elnombre del conjunto de reglas y el número dedirectivas aplicadas.

Usuarios omitidos Muestra el nombre del sistema o del usuario y elnúmero de propiedades de la sesión de usuario.

Clases de dispositivos nodefinidas (para dispositivosWindows)

Muestra las clases de dispositivo no definidas paradispositivos Windows.

Usuarios con privilegios Muestra el nombre del sistema o del usuario y elnúmero de propiedades de la sesión de usuario.

Distribución de revisión dedirectivas

Similar a la distribución de directivas, peromuestra revisiones, es decir, actualizaciones deuna versión existente.

DLP: Resumen dedescubrimiento deendpoints

Descubrimiento de DLP(Endpoint): Estado de análisis másreciente del sistema de archivoslocal

Muestra un gráfico circular con el estado deejecución de todos los análisis del sistema dearchivos local.

Descubrimiento de DLP(Endpoint): Archivosconfidenciales más recientes delanálisis del sistema de archivos

Muestra un gráfico de barras con el intervalo dearchivos confidenciales encontrados en losarchivos del sistema.

Descubrimiento de DLP(Endpoint): Errores más recientesde análisis del sistema de archivoslocal

Muestra un gráfico de barras con el intervalo deerrores encontrados en los archivos del sistema.

Descubrimiento de DLP(Endpoint): Clasificaciones másrecientes de análisis del sistemade archivos local

Muestra un gráfico de barras con lasclasificaciones aplicadas a los archivos delsistema.

Descubrimiento de DLP(Endpoint): Estado más reciente delos análisis de correo electrónicolocal

Muestra un gráfico circular con el estado deejecución de todas las carpetas de correoelectrónico local.

Recopilación y administración de datosCreación de informes 12


Tabla 12-1 Paneles de DLP predefinidos (continuación)


Descubrimiento de DLP(Endpoint): Correos electrónicosconfidenciales más recientes delanálisis del correo electrónicolocal

Muestra un gráfico de barras con el intervalo decorreos electrónicos de carácter confidencialencontrados en las carpetas de correo electrónicolocal.

Descubrimiento de DLP(Endpoint): Últimos errores deanálisis de correo electrónico local

Muestra un gráfico de barras con el intervalo deerrores encontrados en las carpetas de correoelectrónico local.

Descubrimiento de DLP(Endpoint): Clasificaciones másrecientes del análisis de correoelectrónico local

Muestra un gráfico de barras con lasclasificaciones aplicadas a los correos electrónicoslocales.

Creación de una tarea servidor de acumulación de datosLas tareas de acumulación de McAfee ePO extraen datos de varios servidores para generar un únicoinforme. Puede crear informes de acumulación para los eventos e incidentes operativos de McAfeeDLP.



2 Haga clic en Nueva tarea.

3 En el Generador de tareas servidor, introduzca un nombre y una nota opcional; a continuación, haga clicen Siguiente.

4 En la lista desplegable Acciones, seleccione Acumular datos.

Aparece el formulario de datos acumulados.

5 (Opcional) Seleccione servidores en el campo Acumular los datos de la tabla desde.

6 En la lista desplegable Tipos de datos, seleccione Incidentes de DLP, Eventos operativos de DLP o McAfee DLPEndpoint Discovery, según sea necesario.

7 (Opcional) Configure las opciones Purgar, Filtro o Método de acumulación. Haga clic en Siguiente.

8 Introduzca el tipo de planificación, la fecha de inicio, la fecha de finalización y la hora deplanificación. Haga clic en Siguiente.

9 Revise la información de Resumen y haga clic en Guardar.

12 Recopilación y administración de datosCreación de informes


Mantenimiento y resolución deproblemas

Capítulo 13 Diagnóstico de McAfee DLP Endpoint


Mantenimiento y resolución de problemas


13 Diagnóstico de McAfee DLP Endpoint

Utilice la herramienta de diagnóstico de McAfee DLP Endpoint para solucionar problemas y supervisarel estado del sistema.

Herramienta de diagnósticoLa herramienta de diagnóstico está diseñada para facilitar la resolución de problemas de McAfee DLPEndpoint en equipos endpoint de Microsoft Windows. No se admitirá en los equipos Mac OS X.

La herramienta de diagnóstico reúne información sobre el rendimiento del software cliente. El equipode TI utiliza esta información para solucionar problemas y ajustar directivas. Cuando existenproblemas graves, se puede utilizar para recopilar datos para que los analice el equipo de desarrollode McAfee DLP.

La herramienta se distribuye como una utilidad que se instala en equipos con problemas. Consta desiete páginas con fichas, cada una destinada a un aspecto diferente del funcionamiento del softwareMcAfee DLP Endpoint.

En todas las páginas que muestran información en tablas (todas excepto General information[Información general] y Tools [Herramientas]), puede ordenar las tablas por cualquier columna,haciendo clic en el encabezado de la columna deseada.

General information(Información general)

Recopila datos como, por ejemplo, si se están ejecutando los procesos ycontroladores del agente, así como la directiva general, el agente einformación de registro. Cuando se detecta un error, se muestra informaciónsobre este.

DLPE Modules (Módulosde DLPE)

Muestra la configuración del agente (como en la consola de directivas deMcAfee DLP Endpoint, igual que en Configuración de los agentes | Varios).Muestra el ajuste y el estado de configuración de cada módulo,complemento y controlador. Al seleccionar un módulo, se muestran detallesque pueden ayudarle a determinar los problemas.

Data Flow (Flujo dedatos)

Muestra el número de eventos y la memoria utilizada por el cliente deMcAfee DLP Endpoint, así como información de los eventos cuando seselecciona uno específico.

Tools (Herramientas) Permite llevar a cabo varias pruebas y muestra los resultados. En casonecesario, se realiza un volcado de datos para su posterior análisis.

Process list (Lista deprocesos)

Muestra todos los procesos que se están ejecutando actualmente en elequipo. Al seleccionar un proceso, se muestran detalles y los títulos deventana y definiciones de aplicaciones relacionados.

13


Devices (Dispositivos) Muestra todos los dispositivos Plug and Play y extraíbles actualmenteconectados al equipo. Al seleccionar un dispositivo, se muestran detalles deldispositivo y las definiciones de dispositivos relacionadas.Muestra todas las reglas de control de dispositivos activos y las definicionesimportantes de las definiciones de dispositivos.

Active policy (Directivaactiva)

Muestra todas las reglas incluidas en la directiva activa y las definiciones dedirectivas relevantes. Al seleccionar una regla o definición, se muestran losdetalles.

Comprobación del estado del agenteUtilice la ficha de información general para obtener una descripción general del estado del agente.

La información en la ficha de información general está diseñada para confirmar las expectativas yresponder a preguntas básicas. ¿Se están ejecutando los procesos y controladores del agente? ¿Quéversiones de productos están instaladas? ¿Cuáles son el modo de funcionamiento y la directivaactuales?

Procesos y controladores del agente

Una de las cuestiones más importantes en la solución de problemas es: "¿Funciona todo comodebería?" Las secciones Procesos y controladores del agente responden a esto de un vistazo. Lascasillas de verificación muestran si el proceso está activado; el punto de color muestra si se estáejecutando. Si el proceso o controlador están desactivados, el cuadro de texto proporcionainformación sobre cuál es el problema.

La memoria máxima predeterminada es 150 MB. Un valor alto para este parámetro puede indicarproblemas.

Tabla 13-1 Procesos del agente

Término Proceso Estado esperado

Fcag Agente de McAfee DLP Endpoint (cliente) activado; en ejecución

Fcags Servicio de agente McAfee DLP Endpoint activado; en ejecución

Fcagte Extractor de texto de McAfee DLP Endpoint activado; en ejecución

Fcagwd Vigilancia del servicio de McAfee DLP Endpoint activado; en ejecución

Fcagd Agente de McAfee DLP Endpoint con volcadoautomático

solo activado para solucionarproblemas

Tabla 13-2 Controladores

Término Proceso Estado esperado

Hdlpflt Controlador de minifiltro de McAfee DLP Endpoint(implementa reglas de dispositivos de almacenamientoextraíbles)

activado; en ejecución

Hdlpevnt Evento de McAfee DLP Endpoint activado; en ejecución

Hdlpdbk Controlador de filtro de dispositivos de McAfee DLPEndpoint (implementa reglas de dispositivos Plug andPlay)

se puede desactivar en laconfiguración

Hdlpctrl Control de McAfee DLP Endpoint activado; en ejecución

Hdlhook Controlador de interceptación de McAfee DLP Endpoint activado; en ejecución

13 Diagnóstico de McAfee DLP EndpointHerramienta de diagnóstico


Sección de información del agente

Las opciones Modo de funcionamiento y Estado del agente deben coincidir. El indicador Conectividaddel agente, junto con la dirección de EPO, pueden resultar útiles para solucionar problemas.

Conectividad del agente tiene tres opciones: en línea, fuera de línea o con conexión por VPN.

Ejecutar la herramienta de diagnósticoLa herramienta de diagnóstico proporciona a los equipos de TI información detallada sobre el estadodel agente.

Antes de empezarLa herramienta de diagnóstico requiere autenticación con McAfee

®

Help Desk.

Procedimiento1 Haga doble clic en el archivo hdlpDiag.exe.

Se abre una ventana de autenticación.

2 Copie el código de identificación en el cuadro de texto Código de identificación de Help Desk en lapágina Generar clave de omisión de cliente de DLP. Complete el resto de la información y cree un código deautorización.

3 Copie el código de autorización en el cuadro de texto Código de validación de la ventana deautenticación y haga clic en Aceptar.

Se abre la herramienta de diagnóstico.

Las fichas General Information (Información general), DLPE Modules (Módulos de DLPE) y Process List(Lista de procesos) disponen de un botón Refresh (Actualizar) en la esquina inferior derecha. Loscambios que se producen cuando hay una ficha abierta no actualizan la información de dichas fichasautomáticamente. Haga clic en el botón Refresh (Actualizar) con frecuencia para asegurarse de que estávisualizando los datos más actuales.

Ajuste de directivasLa herramienta de diagnóstico puede utilizarse para solucionar problemas o ajustar las directivas.

Caso práctico: Uso alto de la CPUEn ocasiones, los usuarios pueden verse afectados por un rendimiento lento cuando seimplementa una directiva nueva. Una posible causa es el uso alto de la CPU. Paradeterminarlo, vaya a la ficha Process List (Lista de procesos). Si ve más eventos de lonormal para un proceso, podría ser el problema. Por ejemplo, una comprobación recientedetectó que taskmgr.exe se clasificó como Editor y contaba con el segundo mayor númerototal de eventos. Es muy poco probable que esta aplicación esté perdiendo datos y elcliente de McAfee DLP Endpoint no tiene que supervisarla tan de cerca.

Para probar la teoría, cree una plantilla de aplicación. En el catálogo de directivas, vaya aDirectiva de DLP | Configuración y defina una omisión para el valor De confianza. Apliquela directiva y pruebe si el rendimiento ha mejorado.

Diagnóstico de McAfee DLP EndpointHerramienta de diagnóstico 13


Caso práctico: Creación de una clasificación de contenido eficaz y de criterios deidentificación por huellas digitales de contenidoEl marcado de datos confidenciales constituye el aspecto central de una directiva deprotección de datos. La herramienta de diagnóstico muestra información que le ayudara adiseñar una clasificación de contenido y criterios de identificación por huellas digitales decontenido eficaces. Las etiquetas pueden demasiado estrictas, lo que omitiría datos quetambién deberían etiquetarse, o demasiado dispersa, lo que generaría falsos positivos.

La página Active Policy (Directiva activa) enumera las clasificaciones, así como los criteriosde clasificación de contenido y de identificación por huellas digitales de contenido. Lapágina Data Flow (Flujo de datos) enumera todas las etiquetas aplicadas por la directiva, yel recuento de cada una. Cuando los recuentos son superiores a lo esperado, puede queexistan falsos positivos. En un caso particular, un recuento extremadamente alto permitiódescubrir que el texto de renuncia activó la clasificación. Al agregar la renuncia a la listablanca se eliminaron los falsos positivos. En la misma línea, si un recuento es muy inferiora lo esperado, se puede deducir que existe una clasificación demasiado estricta.

Si se etiqueta un archivo nuevo mientras la herramienta de diagnóstico está enfuncionamiento, se muestra la ruta del archivo en el panel de detalles. Utilice estainformación para localizar los archivos para realizar pruebas.

13 Diagnóstico de McAfee DLP EndpointHerramienta de diagnóstico


Índice

Aacerca de esta guía 9acumulación de datos 176

administración de derechos 45, 47

administrador de incidentes 154

Administrador de incidentes de DLP 154

respuesta a eventos 153

análisis iniciados por el usuario 143

analizador de eventos 19

archivo all_evidences.csv 48

archivo, accesoreglas, acerca de 68

archivos OST 79

archivos PST 79

asignación de directivas 110

autorreparación del usuario 143

BBoldon James 104

Box 115

Ccarpeta de pruebas 50

casosactualización 166

adición de comentarios 166

asignación de incidentes 165

creación 164

eliminación 168

envío de notificaciones 166

etiquetas 167

información 164

registros de auditoría 165

catálogo de directivas 42

Chrome, versiones compatibles 121

clases de dispositivos 59

clasificación 77

correo electrónico 104

criterios 91

manual 87

clasificación de correo electrónico 104

clasificación del contenidocriterios 78

clasificación manual 56, 95

clasificaciones 91

acerca de 77

compatibilidad con JAWS 20

compatibilidad con OS X 21, 57, 61, 68–70, 77, 81, 86, 115, 119

compatibilidad con versiones anteriores 31

componentes, Data Loss Prevention (diagrama) 26

Configuración de DLP 29

configuración del agentecompatibilidad con Mac OS 45

configuración del cliente 42

árbol de sistemas 41

asignación con ePolicy Orchestrator 37

conjuntos de permisos 52

conjuntos de permisos, definición 53

conjuntos de permisos, filtrado del Árbol de sistemas 51

conjuntos de reglasacerca de 113

creación 128

conjuntos de reglas, adición a directivas 110

consola de directivas de DLP, instalación 29

consola de endpoint 19–21

control de acceso basado en funciones 53

controladoresprotección en la nube 115

convenciones tipográficas e iconos utilizados en esta guía 9conversión 32

correo electrónico 79

criterio de identificación por huellas digitales de contenido 14

criterios de identificación por huellas digitales 93

cuarentenaliberar de 48

restauración de archivos o elementos de correo electrónicode 147

Ddatos

clasificación 84

datos en tránsito 80

datos de DLP, clasificación 85

datos en reposo 11, 144

datos en tránsito 11

datos en uso 11


definiciones 109

destino web 80

diccionarios 84

documentos registrados 89

extensión del archivo 86

patrón de texto 85

propiedades de documento 86

red 80

definiciones de aplicacionesestrategia 81

definiciones de dispositivos 61

almacenamiento extraíble 64

definiciones de propiedades de documento 86

definiciones de redacerca de 80

intervalo de direcciones 101

intervalo de puertos 100

desafío/respuesta 147

descubrimientoacerca de 144

configuración 146

creación de una regla de descubrimiento del sistema dearchivos 145

descubrimiento de endpoints 143

destinos webacerca de 80

diccionariosacerca de 84

creación 99

importación de entradas 99

direcciones de correo electrónicocreación 101

directiva de DLP 110

directivas 16, 41

actualización 38

asignación con 37

definición 15

directivas, ajuste 181

dispositivoslistas, agregar definiciones de dispositivos Plug and Play 63

dispositivos Plug and Playdefinición en lista blanca, creación 63

DLP Discover 144

DLP Endpointdespliegue 35

incorporar en McAfee ePO 33

llamada de activación 38

verificación del despliegue 37

documentaciónconvenciones tipográficas e iconos 9destinatarios de esta guía 9específica de producto, buscar 10

documentos registrados 14, 89

Dropbox 115

Eestrategia, véase definiciones de aplicaciones Estrategia de tiempo de espera, publicación web 121

etiquetas incrustadas 87, 88

eventossupervisión 153

eventos operativos 154

excepciones de reglas 128

extensiones de archivodefiniciones 86

extractor de texto 81

Ffiltros

definiciones de red 80

funcionamiento con conexión/sin conexión 19

funciones y permisos 50

GGoogle Chrome, versiones compatibles 121

Google Drive 115

grupos de asignacióndefinición 15

GUID, véase GUID del dispositivo GUID del dispositivo 60

Hherramienta de diagnóstico 179, 181

Iidentificación por huellas digitales de contenido

criterios 78

incidentesactualización 161, 162

detalles 160

etiquetas 163

filtrado 157, 159

orden 157

vistas 158

informes de datos acumulados 173

informes de ePO 173

Jjustificación empresarial, personalización 123

Llistas blancas 15

definiciones de dispositivos Plug and Play, crear 63

listas de URLcreación 102

llamada de activación 38

Índice


Mmanual, clasificación 95

marcado 77

acerca de 78

marcadores de posición 123

McAfee ServicePortal, acceso 10

migración 32

Nnotificación de usuario, personalización 123

notificaciones de ePO 173

notificaciones, ePolicy Orchestrator 173

OOneDrive 115

Ppaneles, opciones de informe 174

patrones avanzadoscreación 99

patrones de textoacerca de 85

plantillas de aplicaciónacerca de 86

prácticas recomendadas 14, 25, 29, 32, 35, 51, 61, 63, 116, 134

propiedades del dispositivo 65

pruebaalmacenamiento para contenido cifrado 48

eventos de Endpoint 153

Rreacciones 125

redacción 51

reglas 114

Citrix XenApp 68

crear 128

excepciones 128

protección de correo electrónico 116

protección en la nube 115

reacciones 125

reglas de clasificación 13

reglas de descubrimiento de endpoint 128

reglas de dispositivosacerca de 68

Reglas de dispositivos Citrix XenApp 68

Reglas de dispositivos TrueCrypt 68

reglas de DLPclasificación 13

dispositivo 15

protección 15

reglas de protección 128

definición 15

reglas de protección de correo electrónico 116

reglas de protección de la publicación web 121

reglas de protección en la nube 115

reglas para dispositivos 128

definición 15

resaltado de coincidencias, eventos 48

SServicePortal, buscar documentación del producto 10

servicio de vigilancia 42

sesiones de usuarios 68

solicitudes GET 121

solicitudes web AJAX, bloqueo 121

soporte técnico, encontrar información de productos 10

supervisión 154

Syncplicity 115

Ttareas de eventos operativos 169

tareas de incidentes 154, 169

tareas servidor 32, 169

tareas servidor, acumulación 176

texto en lista blanca 92

Titus, integración 103

Uubicación, clasificación por 80

Vvalidadores 85

verificación de la instalación 37

vigilancia del servicio cliente 42

Índice


10.0.0 mcafee data loss prevention endpoint · intel y el logotipo de intel son marcas comerciales...

Documents