9.4.0 McAfee Data Loss Prevention Endpoint guía le proporcionará toda la información que necesita...

Guía del productoRevisión A

McAfee Data Loss Prevention Endpoint9.4.0Para uso con McAfee ePolicy Orchestrator

COPYRIGHT

Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com

ATRIBUCIONES DE MARCAS COMERCIALESIntel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de susempresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Data Loss Prevention Endpoint 9.4.0 Guía del producto

http://www.intelsecurity.com

Contenido

Prefacio 7Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . . 8

1 Introducción 9Protección de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Descripción general de McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . . . . . . 10

Clasificar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Proteger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Supervisar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Módulos del producto y su interacción . . . . . . . . . . . . . . . . . . . . . . . . . 14Software cliente McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . . . . . . . . 16

Despliegue e instalación2 Escenarios y opciones de despliegue 21

Selección de una opción de producto de endpoint . . . . . . . . . . . . . . . . . . . . . 21Instalación recomendada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Verificación de requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 24

3 Instalación del software McAfee DLP Endpoint 27Instale y añada la licencia a la extensión de McAfee DLP. . . . . . . . . . . . . . . . . . . 27Incorporar el paquete McAfee DLP Endpoint a McAfee ePO . . . . . . . . . . . . . . . . . 28

4 Despliegue del cliente de McAfee DLP Endpoint 29Desplegar el cliente de McAfee DLP Endpoint con McAfee ePO . . . . . . . . . . . . . . . . 29Verificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Desplegar directivas con McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Asignar una configuración de directivas o clientes . . . . . . . . . . . . . . . . . . 31Actualización de la directiva . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Configuración y uso5 Configuración de los componentes del sistema 35

Catálogo de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Editar la configuración del servidor de McAfee DLP . . . . . . . . . . . . . . . . . . . . 35Definir un servidor de administración de derechos . . . . . . . . . . . . . . . . . . . . 36Documentación de eventos mediante pruebas . . . . . . . . . . . . . . . . . . . . . . 37

Creación de carpetas de pruebas . . . . . . . . . . . . . . . . . . . . . . . . 39Configurar carpetas de pruebas . . . . . . . . . . . . . . . . . . . . . . . . . 39

Conjuntos de permisos y usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

McAfee Data Loss Prevention Endpoint 9.4.0 Guía del producto 3

Crear y definir funciones de McAfee DLP . . . . . . . . . . . . . . . . . . . . . 41Conjuntos de permisos sobre DLP . . . . . . . . . . . . . . . . . . . . . . . . 41Crear un conjunto de permisos de McAfee DLP . . . . . . . . . . . . . . . . . . . 42Protección de la confidencialidad con la redacción . . . . . . . . . . . . . . . . . . 43

Configuración de McAfee DLP en el catálogo de directivas . . . . . . . . . . . . . . . . . 44Importar o exportar la configuración de McAfee DLP Endpoint . . . . . . . . . . . . . 44Configuración del cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

6 Protección de medios extraíbles 47Protección de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Clases de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Definición de una clase de dispositivo . . . . . . . . . . . . . . . . . . . . . . 48Definiciones de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Uso de las definiciones de dispositivos . . . . . . . . . . . . . . . . . . . . . . 50Propiedades del dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Crear reglas para dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Crear una regla de dispositivos Citrix . . . . . . . . . . . . . . . . . . . . . . . 55Crear una regla de dispositivos de disco duro fijo . . . . . . . . . . . . . . . . . . 56Crear una regla para dispositivos Plug and Play . . . . . . . . . . . . . . . . . . 56Crear una regla para dispositivos de almacenamiento extraíbles . . . . . . . . . . . . 57Crear una regla de acceso a archivos en dispositivos de almacenamiento extraíbles . . . . 58Crear una regla de dispositivos TrueCrypt . . . . . . . . . . . . . . . . . . . . . 58

7 Clasificación del contenido confidencial 61El módulo Clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Clasificación manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Uso de las clasificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Extracción de texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Cómo categoriza aplicaciones McAfee DLP Endpoint . . . . . . . . . . . . . . . . . 64

Criterios y definiciones de clasificación . . . . . . . . . . . . . . . . . . . . . . . . . 65Definiciones de diccionario . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Definiciones de patrones avanzados . . . . . . . . . . . . . . . . . . . . . . . 67Clasificación de contenido con propiedades de documentos o información del archivo . . . 68Plantillas de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Creación y configuración de clasificaciones . . . . . . . . . . . . . . . . . . . . . . . 69Crear una clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Creación de los criterios de clasificación . . . . . . . . . . . . . . . . . . . . . 70Crear criterios de marcado . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Asignar permisos de clasificación manual . . . . . . . . . . . . . . . . . . . . . 71

Documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Texto en lista blanca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Cargar documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Cargar archivos con texto para inclusión en lista blanca . . . . . . . . . . . . . . . . . . 73Creación de las definiciones de clasificación . . . . . . . . . . . . . . . . . . . . . . . 74

Crear o importar una definición de diccionario . . . . . . . . . . . . . . . . . . . 74Crear un patrón avanzado . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Integrar el software Titus Message Classification con los criterios de clasificación . . . . . 76Integrar Boldon James Email Classifier con criterios de clasificación . . . . . . . . . . 77

Clasificación por ubicación de archivo . . . . . . . . . . . . . . . . . . . . . . . . . 78Definir parámetros de red . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Clasificación por destino de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . 80Uso del correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Uso de las impresoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Control de la información cargada en sitios web . . . . . . . . . . . . . . . . . . 82

Contenido


8 Uso de reglas para proteger el contenido de carácter confidencial 83Funcionamiento de las reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Protección de la transferencia de datos de usuario con reglas de protección de datos . . . 84Justificación empresarial . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Protección de medios extraíbles con reglas de control de dispositivos . . . . . . . . . . 86Protección de los archivos con las reglas de descubrimiento . . . . . . . . . . . . . 88Reacciones disponibles para los tipos de regla . . . . . . . . . . . . . . . . . . . 88

Protección de archivos mediante la gestión de derechos . . . . . . . . . . . . . . . . . . 91Funcionamiento de McAfee DLP con la administración de derechos . . . . . . . . . . . 91Servidores de administración de derechos compatibles . . . . . . . . . . . . . . . 92

Conjuntos de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Creación y configuración de reglas y conjuntos de reglas . . . . . . . . . . . . . . . . . . 93

Creación de un conjunto de reglas . . . . . . . . . . . . . . . . . . . . . . . . 93Crear una regla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Activar, desactivar o eliminar reglas . . . . . . . . . . . . . . . . . . . . . . . 94Configuración de las columnas de reglas o de conjuntos de reglas . . . . . . . . . . . 95Personalización de mensajes del usuario final . . . . . . . . . . . . . . . . . . . 95Crear una definición de justificación . . . . . . . . . . . . . . . . . . . . . . . 96Crear una definición de notificación . . . . . . . . . . . . . . . . . . . . . . . 97

9 Descubrimiento de Endpoint 99Modo de funcionamiento del análisis de descubrimiento . . . . . . . . . . . . . . . . . . 99Encontrar contenido con el rastreador de descubrimiento de Endpoint . . . . . . . . . . . . 100

Crear y definir una regla de descubrimiento . . . . . . . . . . . . . . . . . . . 100Crear una definición de planificador . . . . . . . . . . . . . . . . . . . . . . . 101Configurar un análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Restauración de elementos de correo electrónico o archivos en cuarentena . . . . . . . 102

10 Uso de las directivas 105Cómo funcionan las definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Editar una directiva de DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Supervisión y generación de informes11 Supervisión y generación de informes 111

Trabajar con incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Visualización de los incidentes . . . . . . . . . . . . . . . . . . . . . . . . . 111Gestión de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

12 Recopilación y administración de datos 119Administrador de incidentes de DLP . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Cómo funciona el administrador de incidentes . . . . . . . . . . . . . . . . . . . 119Crear una tarea de definición de revisor . . . . . . . . . . . . . . . . . . . . . 121Crear una tarea de correo electrónico automática . . . . . . . . . . . . . . . . . 122Crear una tarea de purga de eventos . . . . . . . . . . . . . . . . . . . . . . 123Editar tareas servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Supervisar resultados de la tarea . . . . . . . . . . . . . . . . . . . . . . . . 124

13 Creación de informes 125Tipos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Opciones de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Paneles predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Índice 129

Contenido


Contenido


Prefacio

Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.

Contenido Acerca de esta guía Búsqueda de documentación de productos

Acerca de esta guíaEsta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconosutilizados, además de cómo está organizada.

DestinatariosLa documentación de McAfee se recopila y se redacta meticulosamente para el público al que vadestinada.

La información de esta guía está dirigida principalmente a:

• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

• Encargados de la seguridad: personas que determinan qué información es confidencial y quedefinen la directiva corporativa que protege la propiedad intelectual.

ConvencionesEn esta guía se utilizan los siguientes iconos y convenciones tipográficas.

Título de libro, término oénfasis

Título de un libro, capítulo o tema; introducción de un nuevo término;énfasis.

Negrita Texto que se enfatiza particularmente.

Datos introducidos porel usuario, código,mensajes

Comandos u otro texto que escribe el usuario; un ejemplo de código;un mensaje que aparece en pantalla.

Texto de la interfaz Palabras de la interfaz del producto, como los nombres de opciones,menús, botones y cuadros de diálogo.

Azul hipertexto Un vínculo a un tema o a un sitio web externo.

Nota: Información adicional, como un método alternativo de acceso auna opción.

Sugerencia: Sugerencias y recomendaciones.


Importante/atención: Consejo importante para proteger el sistema,la instalación del software, la red, la empresa o los datos.

Advertencia: Consejo especialmente importante para prevenir dañosfísicos cuando se usa un producto de hardware.

Búsqueda de documentación de productosUna vez que se lanza un producto, la información del producto se introduce en el Centro deconocimiento online de McAfee.

Procedimiento1 Vaya a la ficha Centro de conocimiento del portal McAfee ServicePortal en http://support.mcafee.com.

2 En el panel KnowledgeBase, haga clic en un origen de contenido:

• Documentación del producto para encontrar documentación del producto

• Artículos técnicos para encontrar artículos de la base de datos KnowledgeBase

3 Seleccione No borrar mis filtros.

4 Introduzca un producto, seleccione una versión y haga clic en Buscar para que aparezca una listacon documentos.

PrefacioBúsqueda de documentación de productos


http://support.mcafee.com

1 Introducción

El software McAfee®

Data Loss Prevention Endpoint (McAfee DLP Endpoint) es una solución de agentebasada en contenido que supervisa las acciones de los usuarios de la empresa que afectan alcontenido de carácter confidencial en su propio entorno de trabajo y sus equipos.

Véase también Selección de una opción de producto de endpoint en la página 21

Contenido Protección de datos Descripción general de McAfee DLP Endpoint Módulos del producto y su interacción Software cliente McAfee DLP Endpoint

Protección de datosLa fuga de datos se produce cuando sale información confidencial o privada de la empresa comoresultado de comunicaciones no autorizadas a través de canales tales como aplicaciones, dispositivosfísicos y protocolos de red. El software de prevención de fuga de datos implementa directivas deprotección de datos predefinidas para evitar tales fugas.

Los datos que deben protegerse pueden clasificarse adecuadamente según tres vectores: datos enuso, datos en tránsito y datos en reposo.

Tabla 1-1 Descripciones de vectores de datos

Vector dedatos

Descripción Productos asociados

Datos en uso El vector Datos en uso se aplica a las acciones delos usuarios en los dispositivos Endpoint. Algunosejemplos son la copia de datos y archivos a losdispositivos extraíbles, la impresión de archivos enuna impresora local y la realización de capturas depantalla.

McAfee® Data Loss PreventionEndpoint (McAfee DLP Endpoint)

Datos entránsito

El vector Datos en tránsito se aplica al tráficoactivo en su red. El tráfico se analiza, clasifica yalmacena en la base de datos de McAfee® DataLoss Prevention (McAfee DLP).

• McAfee® Data Loss PreventionMonitor (McAfee DLP Monitor)

• McAfee® Data Loss PreventionPrevent (McAfee DLP Prevent)

Datos enreposo

El vector Datos en reposo se aplica a los datos quese encuentran en las bases de datos, los recursoscompartidos de red y los repositorios. McAfee DLPpuede analizar y rastrear los datos en reposo, asícomo llevar a cabo las acciones necesarias conellos.

• McAfee® Data Loss PreventionDiscover (McAfee DLPDiscover)

• Descubrimiento de McAfee DLPEndpoint

1


McAfee DLP Endpoint funciona principalmente con el vector Datos en uso. Emplea patrones de textoavanzados, diccionarios predefinidos, palabras clave definidas y propiedades de archivo para identificarcontenido de carácter confidencial y bloquear acciones o archivos en cuarentena. Incorpora el cifrado yla administración de dispositivos, y puede funcionar con software de terceros de capas adicionales decontrol.

Descripción general de McAfee DLP EndpointMcAfee DLP Endpoint es una solución de agente basada en contenido que supervisa las acciones de losusuarios de la empresa que afectan al contenido de carácter confidencial en su propio entorno detrabajo y sus equipos.

McAfee DLP protege la información empresarial confidencial desplegando las directivas formadas pordefiniciones, clasificaciones, conjuntos de reglas y configuraciones del cliente de endpoint. Acontinuación, supervisa las directivas y bloquea las acciones definidas con contenido de carácterconfidencial según corresponda. De forma alternativa, puede cifrar contenido de carácter confidencialantes de permitir que se realice la acción. Por último, el software de McAfee DLP crea informes pararevisar y controlar el proceso, y puede almacenar el contenido de carácter confidencial como prueba.

Figura 1-1 El proceso de protección de McAfee DLP

El cliente de McAfee DLP Endpoint es responsable de los aspectos de clasificación, rastreo y proteccióndel proceso. La extensión de McAfee DLP en McAfee ePO es responsable de la configuración de lascondiciones de clasificación, los criterios de rastreo y las reglas de protección que se aplican a losdatos copiados, enviados, imprimidos o transmitidos desde el sistema endpoint administrado. Laextensión de McAfee DLP junto con la interfaz de usuario de McAfee ePO son responsables de losaspectos de supervisión del proceso.

1 IntroducciónDescripción general de McAfee DLP Endpoint


ClasificarPara proteger el contenido de carácter confidencial, el administrador de McAfee DLP comienza pordefinir y clasificar lo que debe protegerse.

El contenido se clasifica mediante la definición de clasificaciones y de criterios de clasificación. Loscriterios de clasificación definen las condiciones para clasificar datos por tipos de archivo verdadero,patrones avanzados (expresiones regulares combinadas con algoritmos de validación), diccionarios,palabras clave, proximidad entre patrones de texto y propiedades de archivo, por ejemplo, el autor oel título.

Ubicación de origen o de destino Defina los orígenes por la aplicación (plantilla de aplicación)utilizada para crear el contenido, o por el grupo de usuariosfinales que crea o recibe el contenido.Defina ubicaciones por URL o recurso compartido de red.

Las ubicaciones de origen, es decir, las reglas de marcadobasadas en la ubicación, no son compatibles con McAfee DeviceControl.

Definiciones dedatos

Tipo decontenido

Defina tipo de contenido por la aplicación que creó el archivo, laspropiedades del documento, la información del archivo o los Tiposde archivo verdadero.

Términosespecíficos

Los diccionarios definen listas de palabras sensibles. Por ejemplo,para proteger la información médica privada, el diccionario deHIPAA incluye términos médicos que deben conservar suconfidencialidad. Integrado o definido por el usuario.

Patronesavanzados

Los patrones avanzados (patrones de texto) pueden ser cadenas,por ejemplo, Confidencial de la empresa o las expresionesregulares utilizadas para identificar los números de tarjetas decrédito u otros patrones regulares.

Puede clasificar correos electrónicos utilizando software de clasificación compatible como TitusMessage Classification o Boldon James Email Classifier. Las clasificaciones se definen como palabrasclaves en los criterios de clasificación. Puede clasificar cualquier archivo usando clasificaciones de TitusClassification for Desktop. La integración en Titus se realiza mediante las clasificaciones que define enMcAfee DLP Endpoint y funciona de una manera similar a la clasificación manual.

El software de clasificación de terceros no es compatible con McAfee Device Control.

Cada regla especifica, al menos, una clasificación que aplicar. Esto se consigue mediante el análisis decontenido y su correspondencia con las definiciones en los criterios de clasificación o de marcado.

IntroducciónDescripción general de McAfee DLP Endpoint 1


SeguimientoMcAfee DLP puede clasificar contenido según su origen mediante dos técnicas: documentosregistrados y criterios de marcado.

Con estas técnicas, puede, por ejemplo, especificar que todos los archivos descargados del sitio deSharePoint se rastreen y clasifiquen como propiedad intelectual.

• Documentos registrados

La función de documentos registrados se basa en el análisis previo de todos los archivos de losrepositorios especificados (por ejemplo, el sitio de SharePoint) y en la creación de firmas defragmentos de cada archivo en estos repositorios. Estas firmas se distribuyen entonces a todos losendpoints gestionados. El cliente de McAfee DLP Endpoint puede entonces rastrear cualquierpárrafo copiado desde uno de esos documentos y clasificarlo según la clasificación de la firma deldocumento registrado.

Los documentos registrados hacen un amplio uso de memoria lo que podría afectar al rendimiento,ya que cada documento que el cliente de McAfee DLP Endpoint inspecciona se compara con todaslas firmas de documento registrado para identificar su origen. Para reducir el número de firmas ylos problemas de rendimiento que supone esta técnica, recomendamos utilizarlo únicamente pararastrear los documentos más delicados.

• Marcado

• El marcado es una técnica de rastreo de contenido exclusiva de McAfee DLP Endpoint. Eladministrador crea un conjunto de criterios de marcado que definen la ubicación de los archivos yla etiqueta de clasificación que aplicarles. El cliente de McAfee DLP Endpoint rastrea cualquierarchivo abierto desde las ubicaciones definidas en los criterios de marcado y crea firmas de esosarchivos en tiempo real al acceder a ellos. A continuación, utiliza las firmas para rastrear losarchivos o los fragmentos de estos. Los criterios de marcado pueden definirse por ubicación (rutaUNC o URL) o por la aplicación utilizada para acceder al archivo.

Compatibilidad con información de marcas persistente

Las marcas se almacenan en los atributos extendidos (EA) o los flujos alternativos de datos (ADS) deun archivo. Al acceder a estos archivos, el software McAfee DLP Endpoint realiza un seguimiento de latransformación de los datos y mantiene la clasificación del contenido de carácter confidencial de formapermanente, con independencia de cómo se utiliza. Si, por ejemplo, un usuario abre un documento deWord marcado, copia unos párrafos del documento en un archivo de texto y adjunta dicho archivo aun mensaje de correo electrónico, el mensaje saliente tendría la misma etiqueta que el documentooriginal.

En el caso de sistemas de archivos que no sean compatibles con EA o ADS, el software McAfee DLPEndpoint almacena información de etiquetas en el disco en forma de metarchivo. Los metarchivos sealmacenan en una carpeta oculta cuyo nombre es ODB$, que el software cliente McAfee DLP Endpointcrea automáticamente.

Las marcas y los criterios de marcado no son compatibles con McAfee Device Control.

ProtegerLa protección se define en Conjuntos de reglas de Administrador de directivas de DLP. Cada conjuntode reglas puede contener varias reglas de Protección de datos, Control de dispositivos yDescubrimiento. Varios parámetros y los valores booleanos Y, O o NO permiten el filtrado y lasexcepciones de reglas.

Un conjunto de reglas no tiene por qué contener los tres tipos de reglas. Una regla de un tipo essuficiente para definir un conjunto de reglas.

1 IntroducciónDescripción general de McAfee DLP Endpoint


Reglas de protección de datos

Las reglas de protección de datos impiden la distribución no autorizada de datos clasificados. Cuandoun usuario intenta copiar o adjuntar datos clasificados, McAfee DLP Endpoint intercepta el intento yutiliza las reglas de protección de datos para determinar qué acción llevar a cabo. Entre las accionesse incluyen (Sin acción), Bloquear o Solicitar justificación. En este caso, McAfee DLP Endpoint detieneel intento y muestra un cuadro de diálogo al usuario final. El usuario introduce la justificación delintento y el procesamiento continúa.

En McAfee Device Control, solo están disponibles las reglas de protección de datos de almacenamientoextraíble. Para equipos Endpoint con OS X, no hay reglas de protección de datos disponibles en estaversión.

Reglas de control de dispositivos

Las reglas de control de dispositivos supervisan y, en caso necesario, impiden que el sistema carguedispositivos físicos como dispositivos de almacenamiento extraíbles, Bluetooth, Wi-Fi y otrosdispositivos Plug and Play. Las reglas de control de dispositivos constan de definiciones de dispositivosy especificaciones de reacción, y pueden asignarse a grupos de usuarios finales mediante el filtrado dela regla con definiciones de grupos de usuarios finales.

Reglas de descubrimiento de Endpoint

Descubrimiento de Endpoint es un rastreador que se ejecuta en los equipos gestionados. Analiza elsistema de archivos local del endpoint, la bandeja de entrada (en caché) de correo electrónico local ylos archivos PST. El sistema de archivos local y las reglas de descubrimiento de almacenamiento decorreo electrónico definen si el contenido debe ponerse en cuarentena, marcarse o cifrarse. Tambiénpueden definir si debe informarse de los archivos o correos electrónicos clasificados como un eventoen el Administrador de incidentes de DLP, y si almacenar los archivos o correos electrónicos comoprueba del evento.

Las reglas de descubrimiento no son compatibles con McAfee Device Control.

Los análisis del sistema de archivos no son compatibles en los sistemas operativos delservidor.

Directivas y despliegue de directivas

La protección se aplica mediante la asignación de conjuntos de reglas a una Directiva de DLP en elcatálogo de directivas de McAfee ePO. Además de los conjuntos de reglas, las directivas contienendefiniciones e información sobre las asignaciones de directivas. Las directivas se despliegan medianteel software McAfee ePO en los equipos gestionados de la empresa (equipos con McAfee

®

Agentinstalado).

SupervisarCuando la aplicación de una regla bloquea, supervisa o provoca alguna otra acción, se genera unevento, que se envía al Analizador de eventos de McAfee ePO y se almacena en la base de datos. Elevento también puede contener pruebas de la infracción de las reglas. Además, los eventos delsistema generan eventos administrativos, como el despliegue de directivas o los análisis de

IntroducciónDescripción general de McAfee DLP Endpoint 1


descubrimiento. Los eventos generados por McAfee DLP Endpoint se supervisan en Administrador deincidentes de DLP y pueden utilizarse para crear informes y gráficos que mostrar en los paneles deMcAfee ePO. La función de supervisión de directivas incluye lo siguiente:

• Supervisión de incidentes: La página Administrador de incidentes de DLP de McAfee ePOpermite a los administradores consultar los eventos y las pruebas del agente según se reciben.

• Supervisión de eventos administrativos: La página Eventos operativos de DLP de McAfee ePOpermite a los administradores ver los eventos administrativos.

• Recopilación de pruebas: si hay reglas de protección definidas para recopilar pruebas, se guardauna copia de los datos marcados y se vincula al evento específico. Esta información ayuda adeterminar la gravedad o la exposición del evento. La prueba se cifra mediante el algoritmo AESantes de que se guarde.

• Subrayado de coincidencias: se puede guardar la prueba resaltando el texto que ha provocadoel evento. La prueba resaltada se guarda como un archivo HTML cifrado independiente.

Además, las tendencias de eventos se pueden mostrar en los paneles de McAfee ePO.

Módulos del producto y su interacciónMcAfee DLP Endpoint está compuesto de cuatro módulos. Además, utiliza el Catálogo de directivas, lasTareas servidor, la Configuración del servidor y los Conjuntos de permisos de McAfee ePO.

McAfee DLP Endpoint 9.4 cuenta con un flujo de trabajo reorganizado con una mayor granularidad.

Clasificaciones

El módulo Clasificación almacena los criterios de clasificación, los criterios de marcado y lasdefiniciones utilizadas para configurarlos. También es el lugar para configurar los repositorios dedocumentos registrados, la autorización del usuario para el marcado manual y el texto en lista blanca.

Las clasificaciones son necesarias para configurar las reglas de protección de datos y las dedescubrimiento de endpoints.

Administrador de directivas de DLP

El módulo Administrador de directivas de DLP define los conjuntos de reglas, las asignaciones dedirectivas y las definiciones que forman una Directiva de DLP.

Los conjuntos de reglas de DLP definen la protección de datos, el control de dispositivos y las reglasde descubrimiento. Cada regla en un conjunto de reglas puede incluir cualquiera o los tres tipos dereglas. Puede incluir varias reglas en un conjunto de reglas y asignar varios conjuntos de reglas a unaDirectiva de DLP.

Flujo de trabajo

Utilice el siguiente flujo de trabajo para crear directivas y desplegarlas en los equipos Endpoint.

1 Cree criterios de clasificación y marcado, y las definiciones requeridas para definirlos. (Puede creardefiniciones según sea necesario para definir los criterios).

2 Cree reglas de protección de datos, de dispositivos y de descubrimiento, y las definicionesrequeridas para definirlas.

Las reglas de protección de datos y de descubrimiento incluyen la asignación de una clasificacióncomo parte de la definición de la regla.

1 IntroducciónMódulos del producto y su interacción


3 Asignar conjuntos de reglas a las directivas de DLP. Cree definiciones de análisis de descubrimientoen las directivas de DLP.

4 Asigne y despliegue las directivas en el Árbol de sistemas.

Figura 1-2 Flujo de trabajo

Catálogo de directivas

El catálogo de directivas de McAfee ePO almacena las directivas que se despliegan en los equiposEndpoint. Para ver o editar las directivas de McAfee DLP, seleccione Catálogo de directivas | Producto | DataLoss Prevention 9.4.

Las directivas de McAfee DLP Endpoint tienen tres componentes:

• Directiva de DLP: Contiene Conjuntos de reglas, Análisis de descubrimiento de Endpoint yConfiguración para usuarios con privilegios, estrategia de aplicaciones y omisiones de clases dedispositivos.

• Configuración del cliente: Contiene información para el equipo del usuario final.

Tabla 1-2 Configuración del cliente

Ajuste Notas

Configuración avanzada Configuración de Endpoint y protección de acceso

Protección de acceso a archivos dela aplicación

Se utiliza para agregar procesos en lista blanca

Protección del Portapapeles Habilita el Portapapeles de Microsoft Office utilizado para agregarprocesos en lista blanca

Rastreo de contenido Configuración del extractor de texto

IntroducciónMódulos del producto y su interacción 1


Tabla 1-2 Configuración del cliente (continuación)

Ajuste Notas

Conectividad corporativa Se utiliza para configurar servidores de VPN para las opciones deprotección de datos

Depuración y registro Configuración del registro y los volcados de memoria para lasolución de problemas

Descubrimiento (Endpoint) Define los parámetros de rendimiento del análisis y el prefijo delos correos electrónicos en cuarentena

Protección de correo electrónico Ajustes para las reglas de protección de correo electrónico y laintegración de software de terceros

Servicio de copia de pruebas Ajustes para el recurso compartido de almacenamiento depruebas, el tamaño de archivo y la antigüedad de la prueba

Módulos y modo defuncionamiento

Define el modo de funcionamiento de Device Control o McAfeeDLP Endpoint; activa complementos y controladores

Protección contra impresión Se utiliza para agregar procesos en lista blanca

Cuarentena Ajustes de la carpeta de cuarentena

Protección de almacenamientoextraíble

Define el modo de eliminación de almacenamiento extraíble

Protección contra capturas depantalla

Agrega compatibilidad con aplicaciones de captura de pantalla

Componentes de la interfaz deusuario

Define la interfaz de usuario de Endpoint

Protección de la publicación web Define el comportamiento de solicitud HTTP GET, lacompatibilidad con la versión de Google Chrome, la estrategia detiempo de espera y las URL en lista blanca

Administrador de incidentes y eventos operativos

El Administrador de incidentes de DLP muestra eventos de seguridad de las infracciones de directivas.Una página Detalles para cada entrada muestra las pruebas especificadas en la configuración delcliente, así como las reglas y las clasificaciones aplicadas a otros detalles. Eventos operativos de DLPmuestra eventos administrativos como despliegues o actualizaciones de directivas.

Software cliente McAfee DLP EndpointEl software cliente McAfee DLP Endpoint se despliega como un complemento de McAfee Agent eimplementa las directivas definidas en la directiva de McAfee DLP. El software cliente McAfee DLPEndpoint audita las actividades de los usuarios para supervisar, controlar e impedir que los usuarios noautorizados copien o transfieran información confidencial. A continuación, genera eventos que seregistran mediante el Analizador de eventos de McAfee ePO.

McAfee DLP Endpoint en la plataforma OS X

McAfee®

Device Control para OS X impide el uso no autorizado de dispositivos de soportes extraíbles,que actualmente constituye la causa de fuga de datos más cara y extendida en muchas empresas enequipos Macintosh.

1 IntroducciónSoftware cliente McAfee DLP Endpoint


McAfee DLP Endpoint en la plataforma Microsoft Windows

Los equipos Microsoft Windows se pueden proteger con McAfee Device Control o McAfee DLP Endpoint.El software cliente McAfee DLP Endpoint utiliza tecnología de descubrimiento avanzada,reconocimiento de patrón de texto y diccionarios predefinidos. Identifica contenido de carácterconfidencial e incorpora la administración de dispositivos y el cifrado de capas de control añadidas.

El software Information Rights Management (IRM) protege archivos confidenciales mediante el cifradoy la administración de los permisos de acceso. McAfee DLP Endpoint admite Microsoft RightsManagement Service (RMS) y Seclore FileSecure como métodos complementarios para la protecciónde datos. Un uso típico consiste en evitar la copia de archivos que no están protegidos con IRM.

El software de clasificación verifica que los correos electrónicos y otros archivos se clasifiquen demanera acorde y se marquen de manera protectora. McAfee DLP Endpoint se integra con TitusMessage Classification y Boldon James Email Classifier for Microsoft Outlook para crear reglas deprotección de correo electrónico en función de las clasificaciones aplicadas.

Compatibilidad con lectores de pantalla

Job Access With Sound (JAWS), el software lector de pantalla muy utilizado por invidentes, escompatible con equipos Endpoint. Son compatibles las siguientes funciones de McAfee DLP Endpoint:

• Ventana emergente de notificación al usuario final: Si el cuadro de diálogo emergente sedefine para cerrarse manualmente (en Administrador de directivas de DLP), el texto del cuadro selee permitiendo a las personas invidentes navegar por los botones y enlaces.

• Cuadro de diálogo de justificación de usuario final: Es posible acceder al cuadro combinadocon la tecla de tabulación y seleccionarse la justificación con las teclas de flecha.

• Consola de usuario final Historial de notificaciones: Cuando se selecciona la ficha, JAWS leelo siguiente: "Se ha seleccionado la ficha Historial de notificaciones". No hay contenido que permitarealizar acciones. Se lee toda la información en el panel de la derecha.

• Consola de usuario final Descubrimiento: Cuando se selecciona la ficha, JAWS lee lo siguiente:"Se ha seleccionado la ficha Descubrimiento". No hay contenido que permita realizar acciones. Selee toda la información en el panel de la derecha.

• Consola de usuario final Tareas: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se haseleccionado la ficha Tareas". Se puede acceder a todos los pasos con la tecla de tabulación y seleen las instrucciones apropiadas.

• Consola de usuario final Acerca de: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Seha seleccionado la ficha Acerca de". No hay contenido que permita realizar acciones. Se lee toda lainformación en el panel de la derecha.

Funcionamiento con conexión/sin conexión

Las reglas de dispositivos y de protección pueden supervisar o proteger información confidencial en unequipo gestionado con conexión (dentro de la red de la empresa), sin conexión o en ambos casos.Existen tres valores de configuración: conectado a la red corporativa, conectado a la red mediante VPNy no conectado.

Múltiples sesiones de usuarios

El software cliente McAfee DLP Endpoint admite un cambio rápido de usuario (FUS) con sesiones devarios usuarios en aquellas versiones del sistema operativo Windows que admiten FUS. Lacompatibilidad con equipos de sobremesa virtuales puede dar lugar a múltiples sesiones de usuariosdesde un único equipo host.

IntroducciónSoftware cliente McAfee DLP Endpoint 1


Analizador de eventos

Los eventos generados por el software cliente McAfee DLP Endpoint se envían al Analizador de eventosde McAfee ePO y se registran en tablas de la base de datos de McAfee ePO. Estos eventos sealmacenan en la base de datos para su posterior análisis y se utilizan en otros componentes delsistema.

Consola de Endpoint

La consola de Endpoint se ha diseñado para compartir información con el usuario y facilitar laautocorrección de problemas. Se configura en Configuración del cliente | Servicio de interfaz deusuario.

En los equipos Microsoft Windows, la consola se activa desde el icono de la bandeja de entradamediante la selección de Administrar funciones | Consola de DLP Endpoint. Una vez configurada porcompleto, tiene cuatro páginas con fichas:

• Historial de eventos: Muestra eventos, incluidos los detalles de los eventos agregados.

• Descubrimiento: Muestra los detalles de los análisis de descubrimiento.

• Tareas: Genera códigos de ID e introduce códigos de autorización para la omisión de agente y lacuarentena.

• Acerca de: Muestra información sobre el estado del agente, la directiva activa, la configuración yel grupo de asignación de equipos, incluidos los números de ID de revisión.

En los endpoints en OS X, la consola se activa desde la opción de menú de McAfee en la barra deestado. El Panel se integra con otros software de McAfee instalados, como McAfee

®

VirusScan®

for Mac,y muestra una descripción general del estado de todos los software de McAfee instalados. La páginaHistorial muestra los eventos recientes del software de McAfee. Haga clic en una entrada para ver losdetalles.

Figura 1-3 Pantalla de Endpoint OS X

Para activar la pantalla de omisión de agente, seleccione Preferencias de la opción de menú.

1 IntroducciónSoftware cliente McAfee DLP Endpoint


Despliegue e instalaciónDetermine la opción de despliegue que mejor se ajuste a su entorno y, acontinuación, instale el software y despliegue los clientes de McAfee DLPEndpoint en los equipos de la empresa.

Capítulo 2 Escenarios y opciones de despliegueCapítulo 3 Instalación del software McAfee DLP EndpointCapítulo 4 Despliegue del cliente de McAfee DLP Endpoint


Despliegue e instalación


2 Escenarios y opciones de despliegue

La clasificación de la información corporativa en distintas categorías de prevención de fuga de datosresulta fundamental en el despliegue y la administración del software McAfee Data Loss PreventionEndpoint. Aunque existen directrices y recomendaciones, el esquema ideal depende de los objetivos ylas necesidades de la empresa, y es propio de cada instalación. Elegir entre las dos opciones de DLP,McAfee Device Control y la versión completa de McAfee DLP Endpoint, constituye el primer paso a lahora de determinar el modo en que se satisfarán dichas necesidades.

Dada la dificultad de determinar con antelación y exactitud la naturaleza de sus necesidadesexclusivas, recomendamos el despliegue inicial en un grupo de muestra de entre 15 y 20 usuariosdurante un período de prueba de un mes. Durante este período, no se clasifican datos y se crea unadirectiva para supervisar, no bloquear, las transacciones. La supervisión de los datos ayuda a losresponsables de seguridad a tomar las decisiones apropiadas sobre dónde y cómo clasificar los datosempresariales. Las directivas creadas a partir de esta información se deben someter a prueba en ungrupo de prueba de mayor tamaño (o, para empresas muy grandes, en una serie de grupos cada vezde mayor tamaño) antes de desplegarlas en toda la empresa.

El software de diseño y control de directivas de McAfee DLP Endpoint se encuentra instalado enMcAfee ePO. En una instalación sencilla, se utiliza un solo servidor de McAfee ePO con Microsoft SQLServer, aunque para empresas más grandes se permiten las instalaciones de varios servidores oentornos de clúster.

El software cliente McAfee DLP Endpoint puede desplegarse en los servidores de Microsoft Windows,estaciones de trabajo y ordenadores portátiles tanto en Device Control como en versiones completasde McAfee DLP Endpoint.

Actualmente, hay disponible una versión de Device Control para equipos OS X.

Contenido Selección de una opción de producto de endpoint Instalación recomendada Verificación de requisitos del sistema

Selección de una opción de producto de endpointMcAfee ofrece varias opciones de prevención de fuga de datos basadas en McAfee ePO. Los productosutilizan el mismo software instalado y la diferencia se encuentra en sus licencias.

Descripción de las opciones de McAfee DLP

El software McAfee DLP está disponible con dos configuraciones de Device Control: la versión completade McAfee DLP Endpoint y McAfee

®

Data Loss Prevention Discover (McAfee DLP Discover).

2


• McAfee Device Control para pequeñas y medianas empresas: Solo ofrece Device Control.

• McAfee Device Control para grandes empresas: Ofrece reglas de protección de almacenamientoextraíbles (reglas de contenido de carácter confidencial) además de Device Control.

• Data Protection y Device Control: Ofrecen la versión completa de McAfee DLP Endpoint, incluido eldescubrimiento de Endpoint.

• McAfee DLP Discover: Ofrece el rastreo de descubrimiento de red, y puede instalarse por separadoo con Device Control o McAfee DLP Endpoint.

La versión actual admite OS X solo con las opciones de Device Control.

¿Qué es McAfee Device Control?

El software Device Control impide el uso no autorizado de dispositivos multimedia extraíbles, queactualmente constituye la causa de fuga de datos más cara y extendida en muchas empresas.

El software Device Control proporciona lo siguiente:

• Protección de datos persistente para dispositivos: Controla los datos que se pueden copiar enlos dispositivos extraíbles, filtrando por usuario, extensión de archivo o nombre de archivo.Controla también los propios dispositivos, bloqueándolos totalmente o haciéndolos de solo lectura.Bloquea las aplicaciones ejecutadas desde unidades extraíbles.

• Protección para dispositivos portátiles para unidades USB, iPods, dispositivos Bluetooth, CD,DVD y otros medios extraíbles, además de para discos duros que no sean del sistema.

Device Control para OS X en la versión actual se limita a las reglas para dispositivos de almacenamientoextraíbles.

¿Qué es McAfee Device Control con reglas de contenido de carácter confidencial?

Device Control con reglas de contenido de carácter confidencial:

Persistente protección de datos basada en el contenido para dispositivos: Agrega controlmediante el contenido de los datos copiados a los dispositivos, utilizando patrones avanzados,diccionarios, propiedades de documentos o información de archivo.

¿Cuál es la versión completa de McAfee DLP Endpoint?

El software McAfee DLP Endpoint proporciona lo siguiente:

• Protección universal contra la fuga de datos a través del amplísimo espectro de canales en losque puede producirse: dispositivos extraíbles, discos duros que no sean del sistema, correoelectrónico o datos adjuntos de correo electrónico, publicaciones web, portapapeles y capturas depantalla, impresión, sistema de archivos, etc.

• Persistente protección de datos basada en el contenido: Protege contra la fuga de datos conindependencia del formato en que estos se almacenen o manipulen. Implementa las directivas defuga de datos sin perturbar las actividades legítimas que realizan los usuarios.

• Protección para dispositivos portátiles: Impide la transmisión de información confidencialdesde equipos de sobremesa y desde portátiles, estén o no conectados a la red de la empresa odesde fuera de esta.

2 Escenarios y opciones de despliegueSelección de una opción de producto de endpoint


Instalación recomendadaLa instalación recomendada para una implementación sencilla de McAfee DLP Endpoint está en elservidor de McAfee ePO.Para ver las recomendaciones sobre si se debe utilizar un servidor independiente para la base de datosde McAfee ePO en instalaciones más complejas, consulte la Hardware Sizing and Bandwidth UsageGuide (Guía sobre el uso del ancho de banda y el tamaño del hardware) para McAfee ePolicyOrchestrator.

Figura 2-1 Componentes y relaciones de McAfee DLP Endpoint

La arquitectura recomendada incluye:

• Servidor de McAfee ePO: Alberga las consolas de McAfee DLP Endpoint, Administrador deincidentes y Eventos operativos, y se comunica con el software McAfee Agent en los equiposEndpoint.

• Analizador de eventos de McAfee ePO: Se comunica con McAfee Agent y almacenainformación de eventos en una base de datos.

• Analizador de eventos de DLP: Recopila eventos de McAfee DLP Endpoint procedentes delAnalizador de eventos de McAfee ePO y los almacena en tablas de DLP en la base de datos deSQL.

• Base de datos de ePO: Se comunica con el Distribuidor de directivas de McAfee ePO paradistribuir directivas y con el Analizador de eventos de DLP para recopilar eventos y pruebas.

• Estación de trabajo del administrador: Accede a McAfee ePO y a la consola de directivas deMcAfee DLP Endpoint en un navegador.

• Endpoint gestionado: aplica las directivas de seguridad mediante el software siguiente:

• Cliente de McAfee DLP Endpoint: Un complemento de McAfee Agent que proporciona lasdirectivas y procesos de McAfee DLP Endpoint.

• McAfee Agent: Proporciona el canal de comunicación entre el servidor de McAfee ePO y elsoftware cliente McAfee DLP Endpoint.

Escenarios y opciones de despliegueInstalación recomendada 2


Verificación de requisitos del sistema Se recomienda el siguiente hardware para la ejecución del software McAfee DLP Endpoint en Windowsy Mac.

Tabla 2-1 Requisitos de hardware

Tipo de hardware Especificaciones

Servidores • RAM: 1 GB como mínimo (2 GB recomendados)

• Disco duro: 80 GB como mínimo

Equipos Endpoint • RAM: 1 GB como mínimo (2 GB recomendados)

• Disco duro: 300 MB como mínimo de espacio libre en disco (500 MBrecomendados)

Red LAN de 100 megabits para todas las estaciones de trabajo y el servidor deMcAfee ePO

Son compatibles los siguientes sistemas operativos.

Tabla 2-2 Sistemas operativos compatibles

Tipo de equipo Software

EquiposEndpoint

Sistemas operativos Microsoft Windows

• Windows 7 SP1 de 32 o 64 bits • Windows Server 2008 R2 SP1 de64 bits

• Windows 8 u 8.1 de 32 o 64 bits • Windows Server 2012 de 64 bits

• Windows Server 2008 SP2 de 32 o64 bits

• Windows Server 2012 R2 de64 bits

Los servidores no admiten las reglas de descubrimiento del sistema de archivos nilas de protección de comunicaciones de la red.

Sistemas operativos Apple OS X (solo Device Control)

• OS X Mountain Lion 10.8.0 o posterior

• OS X Mavericks 10.9.0 o posterior

• OS X Yosemite 10.10.0 o posterior

El usuario que instale el software McAfee DLP Endpoint en los servidores debe ser miembro del grupode administradores locales.

Los siguientes sistemas operativos virtuales son compatibles.

Tabla 2-3 Sistemas operativos virtuales compatibles

Tipo de sistema Software

Sistemas VDI • Citrix XenDesktop 5.5, 5.6, 7.0 y 7.5

• VMware View 4.6, 5.0, 5.1 y 5.2

Equipos de sobremesa remotos • Citrix XenApp 6.0, 6.5 Feature Pack 2 y 7.5

• Microsoft Remote Desktop

Se requiere el siguiente software en el servidor en el que se ejecute la consola de directivas de McAfeeDLP Endpoint.

2 Escenarios y opciones de despliegueVerificación de requisitos del sistema


Tabla 2-4 Requisitos de software del servidor

Software Versiones compatibles

McAfee ePO • 4.6.9 o posterior

• 5.1.1 o posterior

McAfee Agent • 4.8.2 o posterior

• 5.0 o posterior

McAfee Agent para Mac

• 4.6 parche 3 o posterior

• 4.8 o posterior

El paquete de McAfee DLP Endpoint DLP_Mgmt_9.4_Package.zip incluye las extensiones instaladas através de McAfee ePO.

El cliente de McAfee DLP Endpoint (complemento McAfee Agent) incluye los archivos para distribuir elsoftware cliente a los equipos Endpoint del repositorio de McAfee ePO: HDLP_Agent_9_4_0_x.zip paraMicrosoft Windows, DLPAgentInstaller.zip para Mac OS X.

Escenarios y opciones de despliegueVerificación de requisitos del sistema 2


2 Escenarios y opciones de despliegueVerificación de requisitos del sistema


3 Instalación del software McAfee DLPEndpoint

La consola de McAfee DLP Endpoint está totalmente integrada en McAfee ePO. Los clientes de McAfeeDLP Endpoint se despliegan mediante McAfee ePO en los equipos de la empresa.

Contenido Instale y añada la licencia a la extensión de McAfee DLP. Incorporar el paquete McAfee DLP Endpoint a McAfee ePO

Instale y añada la licencia a la extensión de McAfee DLP.La extensión proporciona la interfaz de usuario para configurar McAfee DLP en McAfee ePO.

Antes de empezar• Descargue la extensión de McAfee DLP del sitio web de descargas de McAfee.

También puede ir a McAfee ePO y a Menú | Software | Administrador de software para ver,descargar e instalar el software.

• Compruebe que el nombre del servidor de McAfee ePO aparece en la lista Sitios deconfianza en la configuración de seguridad de Internet Explorer.

ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.

1 En McAfee ePO, seleccione Menú | Software | Extensionesy, a continuación, haga clic en Instalar extensión.

2 Vaya al archivo con extensión .zip y haga clic en Aceptar.

El cuadro de diálogo de instalación muestra los parámetros de archivo para verificar que estáinstalando la extensión correcta.

3 Haga clic en Aceptar. Se instalará la extensión.

4 Instale licencias y componentes para personalizar la instalación.

La instalación de la licencia activa los componentes relacionados de McAfee ePO y las directivas delcatálogo de directivas de McAfee ePO. Las opciones de licencia son:

• McAfee Device Control.

• McAfee DLP Endpoint (incluyeMcAfee Device Control)

• McAfee DLP Discover.

3


• McAfee Device Control y McAfee DLP Discover

• McAfee DLP Endpoint y McAfee DLP Discover

a Seleccione Menú | Protección de datos.

b Seleccione Administrador de directivas de DLP o McAfee DLP Discover y haga clic en Sí cuando se le soliciteintroducir la licencia.

Se abre la página Configuración del servidor | Data Loss Prevention.

c En el campo Clave, introduzca la licencia y, a continuación, haga clic en Agregar.

d Si fuera necesario, agregue otra licencia.

5 En el campo Almacenamiento de pruebas predeterminado, introduzca la ruta.

La ruta de almacenamiento de pruebas debe ser una ruta de red, es decir, \\[server]\[localpath].Este paso es obligatorio para guardar la configuración y activar el software.

6 Haga clic en Guardar.

Los módulos de McAfee DLP aparecen en Menú | Protección de datos según la licencia.

Véase también Creación de carpetas de pruebas en la página 39Editar la configuración del servidor de McAfee DLP en la página 35Configurar carpetas de pruebas en la página 39

Incorporar el paquete McAfee DLP Endpoint a McAfee ePOTodos los equipos de la empresa con datos protegidos por software de McAfee deben tener instaladoMcAfee Agent, lo que los convierte en equipos gestionados. Para agregar protección frente a fuga dedatos, debe desplegar también el complemento McAfee DLP Endpoint para McAfee Agent. Lainstalación puede llevarse a cabo mediante la infraestructura de McAfee ePO.


1 En McAfee ePO, seleccione Menú | Software | Repositorio principal.

2 En el repositorio principal, seleccione Incorporar paquete.

3 Seleccione el tipo de paquete Producto o actualización (.ZIP). Haga clic en Examinar.• Para el cliente de Microsoft Windows, vaya a ...\HDLP_Agent_9_4_0_xxx.zip.

• Para el cliente de Mac OS X, vaya a ...\DLPAgentInstaller.

4 Haga clic en Siguiente.

Aparece la página Incorporar paquete.

5 Revise los detalles de la pantalla y haga clic en Guardar.

El paquete se agrega al repositorio principal.

3 Instalación del software McAfee DLP EndpointIncorporar el paquete McAfee DLP Endpoint a McAfee ePO


4 Despliegue del cliente de McAfee DLPEndpoint

Las directivas de McAfee DLP Endpoint las implementa McAfee Agent en los equipos de endpoint.El primer paso es el despliegue del software cliente de McAfee DLP Endpoint, un complemento deMcAfee Agent, a los endpoints.

Contenido Desplegar el cliente de McAfee DLP Endpoint con McAfee ePO Verificación de la instalación Desplegar directivas con McAfee ePO

Desplegar el cliente de McAfee DLP Endpoint con McAfee ePOAntes de poder aplicar directivas, el cliente de McAfee DLP Endpoint debe desplegarse en los equiposEndpoint mediante McAfee ePO.

Antes de empezarDebe instalarse una versión actual de McAfee Agent en McAfee ePO y desplegarse en losequipos de destino antes de desplegar McAfee DLP Endpoint.

• Para equipos Endpoint con Microsoft Windows, instale McAfee Agent 4.8 parche 2 o unaversión posterior.

• Para equipos Endpoint con Mac OS X, instale McAfee Agent for Mac 4.6 parche 3 o unaversión posterior. Para OS X 10.10, se requiere McAfee Agent 4.8 parche 2 o unaversión posterior.

Consulte la documentación de McAfee ePO para obtener información acerca de cómocomprobar la versión y cómo instalarla en caso necesario.


1 En McAfee ePO, seleccione Menú | Árbol de sistemas.

2 En el Árbol de sistemas, seleccione el nivel en el que desea desplegar McAfee DLP Endpoint.

Al definir el nivel en Mi organización, se despliega en todas las estaciones de trabajo gestionadas porMcAfee ePO.

Si selecciona un nivel inferior a Mi organización, todas las estaciones de trabajo disponiblesaparecerán en el panel derecho. También puede desplegar McAfee DLP Endpoint en las estacionesde trabajo individuales.

4


3 Abra el asistente Generador de tareas cliente: haga clic en la ficha Tareas cliente asignadas. Seleccione Acciones| Nueva asignación de tarea cliente.

Se abre el asistente de Generador de tareas cliente.

4 Rellene los campos del generador de tareas:

• En el campo Producto, seleccione McAfee Agent.

• En el campo Tipo de tarea, seleccione Despliegue de producto.

5 Haga clic en Crear nueva tarea.

6 En el campo Productos y componentes, seleccione Data Loss Prevention 9.4. El campo Acción se restablece deforma automática a Instalar. Haga clic en Guardar.

7 Cambie el Tipo de planificación a Ejecutar inmediatamente. Haga clic en Siguiente.

8 Revise el resumen de tareas. Cuando considere que todo está correcto, haga clic en Guardar. Latarea queda programada para la siguiente vez que McAfee Agent actualice la directiva. Para que lainstalación se realice inmediatamente, realice una llamada de activación del agente.

9 Una vez desplegado McAfee DLP Endpoint, reinicie los equipos gestionados.

Verificación de la instalaciónDespués de instalar el software McAfee DLP Endpoint, debe comprobar la instalación en la consolaEventos operativos de DLP.

Procedimiento1 En McAfee ePO, seleccione Menú | Protección de datos | Eventos operativos de DLP. Haga clic en un evento

para ver los detalles.

Figura 4-1 Panel de detalles de Eventos operativos de DLP

2 Compruebe la instalación del software cliente McAfee DLP Endpoint desde el icono de la bandeja delsistema de McAfee Agent en el equipo Endpoint seleccionando Acerca de. Desplácese por lainformación acerca de McAfee DLP Endpoint.

4 Despliegue del cliente de McAfee DLP EndpointVerificación de la instalación


Desplegar directivas con McAfee ePOLas directivas de McAfee DLP Endpoint contienen conjuntos de reglas, clasificaciones, definiciones, yconfiguraciones de cliente y servidor.

McAfee DLP Endpoint funciona con las siguientes directivas:

• Directiva de DLP

• Configuración del cliente

A cada una de estas directivas se les asigna el número de revisión 1 en el momento de su creación yel número incrementa cada vez que se modifica la directiva. El número de revisión es importante paralos procesos de solución de problemas de compatibilidad, ya que garantiza que los cambios que serealizan en las directivas se aplican realmente en los equipos Endpoint. También se utiliza a la hora desolicitar la omisión de cliente o de desinstalar la clave. La consola de DLP Endpoint en el equipo delcliente muestra los números de revisión de la directiva actual.

Antes de aplicar una directiva, compruebe que:

• Todos los parámetros estén configurados correctamente.

• Todas las reglas estén activadas.

• Haya grupos de usuarios finales (cuando se precise) asignados a cada regla.

Procedimientos• Asignar una configuración de directivas o clientes en la página 31

Las directivas aplicadas a McAfee ePO se deben asignar y desplegar en los equiposgestionados para poder hacer uso de ellas.

• Actualización de la directiva en la página 32El despliegue de la directiva del sistema se basa en el servidor de McAfee ePO y laactualización de la directiva en los equipos gestionados se realiza según la configuración deMcAfee Agent. Sin embargo, puede actualizar en McAfee ePO sin esperar a la actualizaciónprogramada.

Asignar una configuración de directivas o clientesLas directivas aplicadas a McAfee ePO se deben asignar y desplegar en los equipos gestionados parapoder hacer uso de ellas.


1 En McAfee ePO, seleccione Menú | Árbol de sistemas.

2 Localice el directorio que contenga los equipos a los que se vaya a asignar una directiva yselecciónelos.

3 Seleccione Acciones | Agente | Activar agentes.

4 Seleccione Llamada de activación del agente y defina el valor de Ejecución aleatoria en 0 minutos. Haga clic enAceptar.

5 Cuando haya finalizado la llamada de activación del agente, volverá al árbol de sistemas. Vuelva aseleccionar los equipos a los que se asignará una directiva y haga clic en Acciones | Agente | Definir ladirectiva y la herencia.

6 En la página Asignar directiva, seleccione Data Loss Prevention 9.4 en la lista desplegable Producto.

La columna Categoría muestra dos directivas: Directiva de DLP y Configuración del cliente.

Despliegue del cliente de McAfee DLP EndpointDesplegar directivas con McAfee ePO 4


7 Para cada directiva que desee asignar:

a Haga clic en la opción Editar asignación, en la columna Acciones, de una de las categorías.

b Haga clic en la opción Interrumpir la herencia y, a continuación, seleccione la directiva que deseaasignar en la lista desplegable. Haga clic en Guardar.

Actualización de la directivaEl despliegue de la directiva del sistema se basa en el servidor de McAfee ePO y la actualización de ladirectiva en los equipos gestionados se realiza según la configuración de McAfee Agent. Sin embargo,puede actualizar en McAfee ePO sin esperar a la actualización programada.


1 En McAfee ePO, seleccione Menú | Árbol de sistemas y, a continuación, seleccione el equipo o losequipos que deben actualizarse.

2 Haga clic en Más acciones | Activar agentes.

3 Seleccione el tipo de llamada de activación del agente y defina el valor de Ejecución aleatoria en 0minutos. Haga clic en Aceptar.

El servidor de McAfee ePO actualiza las directivas de forma planificada. Los usuarios de los equiposgestionados no actualizan las directivas de forma manual a menos que se les solicite de formaexpresa.

4 Despliegue del cliente de McAfee DLP EndpointDesplegar directivas con McAfee ePO


Configuración y usoConfigure el software para lograr un uso optimizado en el entornoempresarial según las decisiones de gestión sobre qué contenido debeprotegerse y cuál es el mejor modo de protegerlo.

Capítulo 5 Configuración de los componentes del sistemaCapítulo 6 Protección de medios extraíblesCapítulo 7 Clasificación del contenido confidencialCapítulo 8 Uso de reglas para proteger el contenido de carácter confidencialCapítulo 9 Descubrimiento de EndpointCapítulo 10 Uso de las directivas


Configuración y uso


5 Configuración de los componentes delsistema

Los componentes del sistema se pueden personalizar para dar respuesta a las necesidades de suempresa. La configuración de las opciones del sistema y de los agentes permite optimizar el sistemapara proteger la información confidencial de la empresa de forma eficaz.

Además de los ajustes en los módulos de McAfee DLP, los ajustes de configuración que afectan a laadministración de McAfee DLP se encuentran en Configuración del servidor, Servidores registrados yTareas servidor de McAfee ePO.

Contenido Catálogo de directivas Editar la configuración del servidor de McAfee DLP Definir un servidor de administración de derechos Documentación de eventos mediante pruebas Conjuntos de permisos y usuarios Configuración de McAfee DLP en el catálogo de directivas

Catálogo de directivasEl catálogo de directivas de McAfee ePO muestra las siguientes configuraciones de directivas deMcAfee DLP:

• Configuración del cliente: Contiene los ajustes de configuración para los clientes de McAfee DLPEndpoint. Los ajustes determinan cómo aplican los clientes las directivas de McAfee DLP en losequipos Endpoint.

• Directiva de DLP: Contiene el Conjunto de reglas asignado a la directiva, los Análisis dedescubrimiento de Endpoint planificados y la Configuración de la estrategia de aplicaciones, lasomisiones de clase de dispositivo y los usuarios con privilegios.

Editar la configuración del servidor de McAfee DLPMcAfee DLP Endpoint introduce los ajustes de configuración predeterminados en los ajustes delservidor de McAfee ePO. Estos ajustes pueden editarse según sea necesario.

5



1 En McAfee ePO, seleccione Menú | Configuración | Configuración del servidor | Data Loss Prevention.

2 Haga clic en Editar.

3 Puede editar los siguientes parámetros:

Opción Definición

Clave de licencia Determina la versión instalada: McAfee Device Control o la versióncompleta McAfee DLP Endpoint. También puede agregar una licenciapara McAfee DLP Discover a cualquiera de ellas.

Almacenamiento depruebas predeterminado

Ruta UNC al recurso compartido de almacenamiento. La ruta debe serun recurso compartido de red, es decir, debe incluir el nombre deservidor.

Contraseña compartida Contraseña de omisión para la desinstalación del software, laliberación de archivos de la cuarentena, el cifrado de pruebas y laomisión temporal de cliente.

Longitud de la clavedesafío/respuesta

Utilizada por Help Desk para la liberación de archivos de lacuarentena o la configuración del modo de omisión de cliente.

Implementar permisos delárbol de sistemas

Los permisos del árbol de sistemas pueden utilizarse para filtrarincidentes en las consolas Administrador de incidentes de DLP yEventos operativos de DLP. Utilice esta configuración para Utilizar oIgnorar los permisos del árbol de sistemas.

Última copia de seguridad Muestra la última copia de seguridad y le permite guardar laconfiguración actual en un archivo.

Última restauración Muestra la última versión restaurada y le permite restaurar laconfiguración guardada desde un archivo.

Definir un servidor de administración de derechosMcAfee DLP Endpoint admite dos sistemas de administración de derechos: Microsoft Windows RightsManagement Services (RMS) y Seclore FileSecure™. Para utilizar estos sistemas, configure el servidorproporcionando las directivas de administración de derechos en McAfee ePO.

Antes de empezar• Configure los servidores de administración de derechos, y cree usuarios y directivas.

Obtenga la URL y la contraseña para todos los servidores: plantilla de directiva,certificación y licencias. Para Seclore, necesita el ID de archivo CAB de Hot Folder y lafrase de contraseña, así como información sobre licencias avanzadas, si las hubiera.

• Compruebe que tenga permiso para ver, crear y editar los servidores de Microsoft RMS ySeclore. En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos ycompruebe que pertenece a un grupo que tiene los permisos requeridos en Servidoresregistrados.

5 Configuración de los componentes del sistemaDefinir un servidor de administración de derechos



1 En McAfee ePO, seleccione Menú | Servidores registrados.

2 Haga clic en Nuevo servidor.

Se abre la página de descripción de Servidores registrados.

3 En la lista desplegable Tipo de servidor, seleccione el tipo de servidor que desea configurar: ServidorMicrosoft RMS o Servidor Seclore.

4 Escriba un nombre para la configuración del servidor y, a continuación, haga clic en Siguiente.

5 Rellene los detalles necesarios. Cuando haya introducido los campos necesarios, haga clic en Probarconectividad para verificar los datos introducidos.

• Los ajustes de RMS también incluyen una sección Configuración de implementación de DLP. El campoRuta local a la plantilla de RMS es opcional, pero los campos de URL para la certificación y las licenciasson obligatorios a menos que elija la opción de descubrimiento de servicios automático conActive Directory.

• Seclore requiere información de HotFolder Cabinet, pero la información de licencias adicional esopcional.

6 Haga clic en Guardar cuando haya terminado la configuración.

Documentación de eventos mediante pruebasLa prueba es una copia del archivo o del correo electrónico que ha provocado la publicación de unevento de seguridad en el Administrador de incidentes de DLP.

Algunas reglas permiten la opción de almacenar pruebas. Cuando esta opción está seleccionada, sealmacena una copia cifrada del contenido bloqueado o supervisado en la carpeta de pruebaspredefinida en el equipo Endpoint. Cuando McAfee DLP Endpoint pasa información al servidor, lacarpeta se purga y la prueba se almacena en la carpeta de pruebas del servidor. Los ajustes Catálogode directivas | Configuración del cliente | Servicio de copia de pruebas | Servicio de copia de pruebasse utilizan para controlar el tamaño máximo y la antigüedad del almacenamiento de pruebas localcuando el equipo está fuera de línea.

Requisitos previos para almacenamiento de pruebas

La activación del almacenamiento de pruebas es la condición predeterminada para McAfee DLPEndpoint. Si no desea guardar pruebas, puede aumentar el rendimiento deshabilitando el servicio depruebas. A continuación se indican las opciones obligatorias o los valores predeterminados a la horade configurar el software:

• Carpeta de almacenamiento de pruebas: Creación de una carpeta de almacenamiento depruebas y especificación de la ruta UNC a la carpeta son requisitos para la aplicación de unadirectiva a McAfee ePO. Consulte Crear y configurar carpetas de repositorio en esta guía paraobtener información sobre la configuración de la carpeta y de los permisos de acceso (también seconoce como recurso compartido de red de pruebas). Especifique la ruta en Catálogo de directivasde la página Servicio de copia de pruebas de la directiva de configuración del cliente.

• Servicio de copia de pruebas: El servicio de copia de pruebas se activa en la página Módulos ymodo de funcionamiento de la directiva de configuración del cliente. Es una entrada secundariasituada en Servicio de generación de informes, que también debe estar activado para larecopilación de pruebas.

Configuración de los componentes del sistemaDocumentación de eventos mediante pruebas 5


Almacenamiento de pruebas y memoria

El número de archivos de pruebas almacenados por evento tiene sus implicaciones en cuanto avolumen de almacenamiento, rendimiento del analizador de eventos y la generación en pantalla (y,por tanto, la experiencia de usuario) de las páginas Administrador de incidentes de DLP y Eventosoperativos de DLP. Para gestionar requisitos de pruebas diferentes, el software McAfee DLP Endpointrealiza lo siguiente:

• El número máximo de archivos de pruebas que almacenar por evento se define en la páginaServicio de copia de pruebas de la directiva de configuración del cliente. El valor predeterminado es1000.

• Cuando un gran número de archivos de pruebas se vinculan a un solo evento, solo los primeros100 nombres de archivo se almacenan en la base de datos y se muestran en la página de detallesAdministrador de incidentes de DLP. Los archivos de pruebas restantes (hasta el máximo definido)se almacenan en recurso compartido de almacenamiento de pruebas, pero no se asocian al evento.Los informes y consultas que filtran las pruebas en función del nombre de archivo solo tienenacceso a estos 100 primeros nombres de archivo.

• El campo Número de correspondencias total del Administrador de incidentes de DLP muestra elnúmero total de pruebas.

Subrayado de coincidencias

La opción de subrayado de coincidencias permite a los administradores identificar exactamente elcontenido de carácter confidencial que ha provocado un evento. Cuando se selecciona, guarda unarchivo HTML cifrado que contiene el texto extraído. Para marcas y categorías de contenido, el textoconsta de una palabra o expresión resaltada que va precedida y seguida de 100 caracteres (comoreferencia de contexto) que organiza la marca o la categoría de contenido desencadenante del eventoy que incluye el número de eventos que contiene cada etiqueta o categoría de contenido. Parapatrones de texto protegido y diccionarios, se extrae el texto exacto. Las palabras clave deexpresiones regulares y coincidencias exactas muestran hasta 100 coincidencias por expresión; losdiccionarios pueden mostrar un máximo de 250 coincidencias por entrada de diccionario. Las opcionesde visualización se definen en la página Servicio de copia de pruebas de la directiva de configuracióndel cliente en el campo Archivo de coincidencias de clasificación:

• Crear resultados abreviados (opción predeterminada): Muestra 1500 caracteres (de 5 a 7coincidencias) por sección.

• Crear todas las coincidencias: Muestra todas las coincidencias, con limitaciones como se describióanteriormente.

• Desactivado: Desactiva la función de subrayado de coincidencias.

Reglas que permiten almacenamiento de pruebas

Las siguientes reglas tienen la opción de almacenamiento de pruebas:

Tabla 5-1 Pruebas guardadas por las reglas

Regla Qué guarda

Regla de protección de acceso a archivos de la aplicación Copia del archivo

Regla de protección del Portapapeles Copia del Portapapeles

Regla de protección en la nube Copia del archivo

Regla de protección de correo electrónico Copia del correo electrónico

Regla de protección de recurso compartido de red Copia del archivo

Regla de protección contra impresión Copia del archivo

5 Configuración de los componentes del sistemaDocumentación de eventos mediante pruebas


Tabla 5-1 Pruebas guardadas por las reglas (continuación)

Regla Qué guarda

Regla de protección de almacenamiento extraíble Copia del archivo

Regla de protección contra capturas de pantalla JPEG de la pantalla

Regla de protección de la publicación web Copia de la publicación web

Regla de descubrimiento del sistema de archivos Copia del archivo

Regla de descubrimiento de almacenamiento de correo electrónico Copia del archivo .msg

Creación de carpetas de pruebasLas carpetas de pruebas contienen información que el software McAfee DLP utiliza para la creación dedirectivas y la generación de informes. Según cuál sea su instalación de McAfee DLP, deben crearsealgunas carpetas y recursos compartidos de red, y establecerse sus propiedades y la configuración deseguridad correspondiente.

No es necesario que las carpetas estén en el mismo equipo que el servidor de bases de datos deMcAfee DLP, pero suele ser recomendable que así sea.

Carpeta de pruebas: Determinadas reglas permiten almacenar pruebas, por lo que debe designar,con antelación, dónde situarlas. Por ejemplo, cuando se bloquea un archivo, se puede incluir una copiade este en la carpeta de pruebas.

Proponemos las siguientes rutas y nombres de carpetas, y los siguientes nombres de recursoscompartidos, pero puede crear otros según las necesidades de su propio entorno.

• c:\dlp_resources\

• c:\dlp_resources\Pruebas

La ruta de almacenamiento de pruebas debe ser un recurso compartido de red, es decir, debe incluir elnombre de servidor de McAfee ePO.

Configurar carpetas de pruebasLa configuración de las carpetas de pruebas requiere unos ajustes de seguridad específicos.

Antes de empezarCree la carpeta de pruebas.

Procedimiento1 En el explorador de Windows, haga clic con el botón derecho en la carpeta de pruebas y seleccione

Propiedades.

2 Haga clic en la ficha Uso compartido y, a continuación, haga clic en Uso compartido avanzado. Seleccione laopción Compartir esta carpeta.

a Cambie el Nombre de recurso compartido a evidence$. Haga clic en Aceptar.

El símbolo $ garantiza que el recurso compartido está oculto.

b Haga clic en Permisos y seleccione Control total para todos. Haga clic dos veces en Aceptar.

Configuración de los componentes del sistemaDocumentación de eventos mediante pruebas 5


3 Haga clic en la ficha Seguridad y, a continuación, haga clic en Opciones avanzadas.

a En la ficha Permisos, haga clic en Cambiar permisos y, a continuación, anule la selección de la opciónIncluir permisos heredables del ascendiente del objeto.

En un mensaje de confirmación se explica el efecto que este cambio tendrá en la carpeta.

b Haga clic en Eliminar.

La ficha Permisos de la ventana Configuración de seguridad avanzada muestra todos los permisoseliminados.

c Haga clic en Agregar para seleccionar un tipo de objeto.

d En el campo Escriba el nombre de objeto para seleccionar, escriba Equipos del dominio y, acontinuación, haga clic en Aceptar.

Accederá al cuadro de diálogo Entrada de permiso.

e En la columna Permitir, seleccione Crear archivos / Escribir datos y Crear carpetas / Anexar datos.

Compruebe que la opción Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuación, haga clicen Aceptar.

La ventana Configuración de seguridad avanzada ahora incluye Equipos del dominio.

f Vuelva a hacer clic en Agregar para seleccionar un tipo de objeto.

g En el campo Escriba el nombre de objeto para seleccionar, escriba Administradores y, a continuación,haga clic en Aceptar para ver el cuadro de diálogo Entrada de permiso. Establezca los permisosnecesarios.

La adición de administradores es opcional, pero pueden añadirse como medida de seguridad.También puede añadir permisos solo para los administradores que desplieguen directivas.

4 Haga clic en Aceptar dos veces para cerrar el cuadro de diálogo.

Conjuntos de permisos y usuariosMcAfee DLP utiliza los valores Usuarios y Conjuntos de permisos de McAfee ePO. Estos le permitenasignar distintas partes de la administración de McAfee DLP a otros usuarios o grupos.

Se recomienda crear usuarios o grupos específicos de McAfee DLP, así como permisos deadministrador y revisor en McAfee ePO. Puede crear funciones diferentes mediante la asignación a losusuarios de permisos distintos para McAfee DLP Endpoint y el Administrador de incidentes de DLP.

Compatibilidad de permisos de filtrado del árbol de sistemas

McAfee DLP Endpoint admite los permisos de filtrado del Árbol de sistemas de McAfee ePO enAdministrador de incidentes de DLP y en Eventos operativos de DLP. Cuando se activa el filtrado delÁrbol de sistemas, los operadores de McAfee ePO solo pueden ver incidentes de los equipos de susección permitida del Árbol de sistemas. Los administradores de grupos no tienen permisos en el Árbolde sistemas de McAfee ePO. Independientemente de los permisos asignados en el conjunto de

5 Configuración de los componentes del sistemaConjuntos de permisos y usuarios


permisos de Data Loss Prevention, no pueden ver ningún incidente en Administrador de incidentes de DLPni en Eventos operativos de DLP. El filtrado del Árbol de sistemas está desactivado de formapredeterminada, pero puede activarlo en Menú | Configuración del servidor | Data Loss Prevention.

Se aconseja a los clientes que utilizan Administradores de grupo en conjuntos de permisos de Data LossPrevention que les den permiso paraVer la ficha "Árbol de sistemas" (en Sistemas) y permisos de Acceso al árbolde sistemas al nivel adecuado.

Redacción de información confidencial y conjuntos de permisos de McAfee ePO

Para cumplir las exigencias legales de algunos mercados sobre la protección de informaciónconfidencial bajo cualquier circunstancia, el software McAfee DLP Endpoint ofrece una función deredacción de datos. Los campos de las consolas Administrador de incidentes de DLP y Eventosoperativos de DLP que contienen información confidencial se pueden redactar para impedirvisualizaciones no autorizadas y se ocultan los vínculos a pruebas confidenciales. La función se hadiseñado con una "clave doble" de desbloqueo. Por tanto, para utilizar la función, debe crear dosconjuntos de permisos: uno para ver los incidentes y eventos, y otro para ver los campos redactados(permiso de supervisor). Ambas funciones pueden asignarse al mismo usuario.

Crear y definir funciones de McAfee DLPCree las credenciales administrativas y del revisor.


1 En McAfee ePO, seleccione Menú | Usuarios.

2 Haga clic en Nuevo usuario.

3 Escriba un nombre de usuario y especifique el estado de inicio de sesión, el tipo de autenticación ylos conjuntos de permisos.

Administrador de DLP y Revisor de DLP son conjuntos de permisos predefinidos.


Conjuntos de permisos sobre DLPLos conjuntos de permisos sobre DLP asignan permisos para ver y guardar las directivas, y para verlos campos redactados. También se utilizan para asignar el control de acceso según funciones (RBAC).

La instalación del software servidor de McAfee DLP agrega un nuevo conjunto de permisos de McAfeeePO: Data Loss Prevention 9.4. Si hay una versión anterior de McAfee DLP instalada en el mismoservidor de McAfee ePO, aparecerá también el conjunto de permisos de Data Loss Prevention.

Los permisos del conjunto de permisos de Data Loss Prevention 9.4 abarcan todas las secciones de laconsola de administración, no solo el Administrador de incidentes. Existen tres niveles de permisos:

• Utilizar: El usuario solo puede ver los nombres de los objetos (definiciones, clasificaciones, etc.),no los detalles.

Para las directivas, el permiso mínimo es ningún permiso.

• Ver y utilizar: El usuario puede ver los detalles de los objetos, pero no puede editarlos.

• Permisos totales: El usuario puede crear y cambiar los objetos.

Configuración de los componentes del sistemaConjuntos de permisos y usuarios 5


Puede definir permisos para siete secciones de la consola de administración, otorgando a losadministradores y revisores permisos diferentes según sea necesario. Las secciones se agrupan porjerarquía lógica, por ejemplo, al seleccionar Clasificaciones se seleccionan automáticamente lasDefiniciones, ya que la configuración de los criterios de clasificación requiere el uso de definiciones. Losgrupos de permisos son:

• Catálogo de directivas

• Administrador de directivas de DLP

• Clasificaciones

• Definiciones

• Administrador de directivas de DLP

• Clasificaciones

• Definiciones

• Clasificaciones

• Definiciones

Administración de incidentes y Eventos operativos pueden seleccionarse de forma individual.

Los permisos de Acciones de Data Loss Prevention se han movido al conjunto de permisos de Accionesde Help Desk. Estos permisos permiten a los administradores generar claves de desinstalación yomisión de cliente, claves de liberación de cuarentena y claves principales.

Además del permiso predeterminado de la sección, puede definir una omisión para cada objeto. Laomisión puede aumentar o disminuir el nivel de permisos. Por ejemplo, en los permisos deAdministrador de directivas de DLP, se enumeran todos los conjuntos de reglas existentes cuando secrea el conjunto de permisos. Puede definir una omisión diferente para cada uno. Cuando se creannuevos conjuntos de reglas, estos reciben el nivel de permisos predeterminado.

Crear un conjunto de permisos de McAfee DLPLos conjuntos de permisos se utilizan para definir distintas funciones administrativas y del revisor enel software McAfee DLP.


1 En McAfee ePO, seleccione Menú | Conjuntos de permisos.

2 Seleccione un conjunto de permisos predefinido o haga clic en Nuevo para crear uno.

a Escriba un nombre para el conjunto y seleccione los usuarios.

b Haga clic en Guardar.

5 Configuración de los componentes del sistemaConjuntos de permisos y usuarios


3 En el campo Data Loss Prevention 9.4 del conjunto de permisos, haga clic en Editar.

4 En el panel de la izquierda, seleccione un módulo de protección de datos.

Definiciones, Administración de incidentes y Eventos operativos pueden seleccionarse de forma individual.Otras opciones crean automáticamente los grupos predefinidos.

5 Seleccione un permiso predeterminado. Para los grupos, seleccione un permiso predeterminadopara cada módulo del grupo.

El nivel predeterminado establece los permisos para todos los objetos presentes y futuros en elmódulo. Para los módulos agrupados, puede seleccionar un nivel de permiso diferente para cadauno.

6 (Opcional) Seleccione permisos de omisión. Para los grupos, seleccione omisiones para cadamódulo del grupo.

Aparecerán todos los objetos existentes. Puede seleccionar un valor de omisión independiente paracada uno.

Caso práctico: administrador de DLPUtilice las selecciones siguientes para un administrador de DLP que solo cree directivas y queno tenga responsabilidades de revisión de eventos.

1 En el conjunto de permisos de Data Loss Prevention 9.4, seleccione Catálogo de directivas.

Los valores de Administrador de directivas de DLP, Clasificaciones y Definiciones se seleccionanautomáticamente.

2 Conceda al usuario Permisos totales.

3 (Opcional) Seleccione Administración de incidentes y elija El usuario puede ver todos los incidentes.

El administrador puede ahora crear y cambiar las directivas, las reglas, las clasificaciones ylas definiciones, y puede gestionar incidentes.

Si omite el paso 3, el administrador de incidentes de DLP 9.4 no aparece en Menú | Protección dedatos y el usuario no puede ver incidentes.

Protección de la confidencialidad con la redacciónLa redacción de datos consiste en ocultar la información confidencial para impedir visualizaciones noautorizadas. Algunos países requieren aplicar prácticas de redacción y se considera una prácticarecomendada (incluso cuando no es un requisito legal) separar los permisos de revisión de loseventos operativos e incidentes, y bloquear los datos confidenciales de aquellas personas que noprecisen verlos.

La información redactada se oculta en:

• La visualización del Administrador de incidentes de DLP 9.4

• La visualización de Eventos operativos de DLP 9.4

Actualmente, los campos nombre del equipo y nombre de usuario están predefinidos como confidenciales.

Para dar a un usuario permiso para ver los campos redactados, seleccione Permiso de supervisor en lapágina de permisos Administración de incidentes.

Configuración de los componentes del sistemaConjuntos de permisos y usuarios 5


Caso práctico: revisor de campos redactadosEste ejemplo requiere permisos de configuración para dos revisores: uno para revisareventos e incidentes, y otro para ver los campos redactados. Suponiendo que las funcionesdel revisor estén separadas de las funciones del administrador de directivas, realice lasselecciones siguientes:

• Para ambos revisores: Seleccione solo los módulos Administración de incidentes y Eventosoperativos.

• Para el revisor de incidentes: En la sección Revisor de incidentes, seleccione cualquieropción. En la sección Redacción de datos de incidentes, seleccione Ocultar datos de incidentesdelicados.

• Para el revisor de la redacción: En la sección Revisor de incidentes, no seleccioneninguna opción. En la sección Redacción de datos de incidentes, seleccione Permiso de supervisor.

Configuración de McAfee DLP en el catálogo de directivasMcAfee DLP utiliza el catálogo de directivas de McAfee ePO para almacenar directivas y configuracionesde cliente.

McAfee DLP crea directivas en el catálogo de directivas de McAfee ePO:

• Configuración del cliente

• Directiva de DLP

La directiva Configuración del cliente contiene los ajustes que determinan cómo funcionan los equiposEndpoint con las directivas.

Directiva de DLP incluye Conjuntos de reglas, la configuración de Descubrimiento de Endpoint y Configuración.

Importar o exportar la configuración de McAfee DLP EndpointLas configuraciones de directivas pueden guardarse en formato HTML como copia de seguridad otransferir las directivas a otros servidores de McAfee ePO. La importación y exportación de directivasse lleva a cabo desde el catálogo de directivas de McAfee ePO.


1 En McAfee ePO, seleccione Catálogo de directivas | Producto | Data Loss Prevention 9.4.

2 Siga uno de estos procedimientos:

• Para exportar, haga clic en Exportar. En la ventana Exportar, haga clic con el botón derecho en elvínculo del archivo y seleccione Guardar vínculo como para guardar la directiva como un archivoXML.

El botón Exportar exporta todas las directivas. Puede exportar una directiva individual,seleccionando Exportar en la columna Acciones en la fila de nombre de directiva.

• Para importar una directiva guardada, haga clic en Importar. En la ventana Importar directivas, vaya auna directiva guardada, haga clic en Abrir y, a continuación, en Aceptar.

La ventana de importación se abre, mostrando las directivas que está a punto de importar y si hayun conflicto de nombre. Puede anular la selección de cualquier directiva en conflicto y no

5 Configuración de los componentes del sistemaConfiguración de McAfee DLP en el catálogo de directivas


importarla. Si decide importar una directiva con un conflicto de nombre, esta sobrescribirá ladirectiva existente y asumirá sus asignaciones.

Configuración del clienteEl software cliente McAfee DLP Endpoint para McAfee Agent reside en los equipos de la empresa yejecuta la directiva definida. Asimismo, el software supervisa las actividades del usuario que afectan alcontenido de carácter confidencial. La configuración del cliente se almacena en la directiva, que sedespliega en los equipos gestionados.

El Catálogo de directivas viene con las directivas predeterminadas de McAfee para la configuración y ladirectiva del endpoint. Haga clic en Duplicar (en la columna Acciones) para crear una copia editable comobase de su directiva.

La configuración del cliente se almacena en la directiva, que se despliega en los equipos gestionadosmediante McAfee ePO. Si se actualiza la configuración, debe volver a desplegar la directiva.

Vigilancia del servicio del cliente

Para mantener el funcionamiento normal del software McAfee DLP Endpoint, incluso en caso deinterferencia malintencionada, McAfee DLP Endpoint ejecuta un servicio de protección denominadoVigilancia del servicio del cliente. Este servicio supervisa el software McAfee DLP Endpoint y lo reiniciasi se interrumpe su ejecución por cualquier motivo. El servicio está activado de forma predeterminada.Si desea comprobar que se está ejecutando, busque en los procesos del Administrador de tareas deWindows un servicio denominado fcagswd.exe.

Compatibilidad de OS X con los parámetros de configuración del clienteLos ajustes de configuración del cliente pueden aplicarse a los equipos Endpoint en Microsoft Windowsy OS X. El software cliente de McAfee DLP Endpoint en OS X ignora los parámetros no admitidosespecíficamente en ese sistema operativo.

Tabla 5-2 Página Depuración y registro

Parámetro Compatibilidad con sistemas operativos

Eventos administrativoscomunicados por los clientes

La configuración del filtro que se aplica a los sistemas OS X y MicrosoftWindows es la siguiente:• Cliente entra en el modo de

omisión• Cambio de directiva

• Cliente sale del modo deomisión

• Código de autorizaciónbloqueado

• Cliente instalado

Los ajustes restantes solo se aplican a los endpoints de MicrosoftWindows.

Registro Compatible con Microsoft Windows y OS X.

Tabla 5-3 Página Componentes de la interfaz de usuario

Sección Parámetro Compatibilidad con sistemasoperativos

Interfaz de usuario cliente Mostrar consola de DLP (todas lasopciones)

Solo Microsoft Windows

Activar ventana emergente de notificaciónal usuario final

OS X y Microsoft Windows

Mostrar cuadro de diálogo de solicitud dejustificación

Solo Microsoft Windows

Configuración de los componentes del sistemaConfiguración de McAfee DLP en el catálogo de directivas 5


Tabla 5-3 Página Componentes de la interfaz de usuario (continuación)

Sección Parámetro Compatibilidad con sistemasoperativos

Desafío y respuesta Todas las opciones OS X y Microsoft Windows

Directiva de bloqueo de código deautorización

Todas las opciones OS X y Microsoft Windows

Imagen de banner de cliente Todas las opciones Solo Microsoft Windows

Opciones de configuración del clienteLas opciones de configuración del cliente determinan cómo funciona el software del endpoint.

Se recomienda revisar las opciones de configuración del cliente al configurar el software paracomprobar que cumplen con los requisitos. La mayor parte de los ajustes tienen valorespredeterminados razonables que se puedan utilizar para la configuración y las pruebas iniciales sinalteración. La siguiente tabla enumera algunos de los ajustes más importantes que debe comprobar.

Tabla 5-4 Configuración de Endpoint

Ajuste Detalles Descripción

Configuración avanzada Ejecutar el cliente de DLPen modo seguro

Desactivada de forma predeterminada. Cuandoestá activada, hay un mecanismo derecuperación en caso de que el cliente de McAfeeDLP Endpoint provoque un fallo de arranque.

Rastreo de contenido Utilizar la siguiente páginade código ANSI de respaldo

Si no se define ningún idioma, el respaldo es elidioma predeterminado del equipo Endpoint.

Conectividad corporativa Dirección del servidor Puede aplicar diferentes acciones preventivas alos equipos Endpoint en la red corporativa, fuerade la red o conectado mediante VPN. Para utilizarla opción de VPN, defina la dirección IP delservidor.

Servicio de copia depruebas

Almacenamiento de pruebasRecurso compartido dealmacenamiento (UNC)

Sustituya el texto de ejemplo por el recursocompartido de almacenamiento de pruebas.

Módulos y modo defuncionamiento

Para mejorar el rendimiento, se recomiendaanular la selección de los módulos que no seestén utilizando.

Protección de lapublicación web

Versiones de Chromecompatibles

Si utiliza Google Chrome, defina la versiónadmitida.

5 Configuración de los componentes del sistemaConfiguración de McAfee DLP en el catálogo de directivas


6 Protección de medios extraíbles

McAfee®

Device Control protege a las empresas de los riesgos asociados con la transferencia noautorizada de contenido de carácter confidencial siempre que se utilizan dispositivos dealmacenamiento.

McAfee Device Control es un componente de McAfee DLP Endpoint que se vende como productoindependiente. Mientras el término Device Control se utiliza en toda la sección, todas las funciones ydescripciones se aplican también a McAfee DLP Endpoint.

Contenido Protección de dispositivos Clases de dispositivos Definiciones de dispositivos Crear reglas para dispositivos

Protección de dispositivosLas unidades USB son las más pequeñas, sencillas, económicas y menos rastreables para descargargrandes cantidades de datos. A menudo, estas se consideran el "arma preferida" para lastransferencias de datos no autorizadas. El software Device Control supervisa y controla las unidadesUSB y otros dispositivos externos, incluidos teléfonos inteligentes, dispositivos Bluetooth, dispositivosPlug and Play, reproductores de audio y discos duros que no son del sistema. Device Control seejecuta en la mayoría de los sistemas operativos de Windows y OS X, incluidos los servidores.Consulte la página de requisitos del sistema de esta guía para obtener más información.

La protección de McAfee Device Control se construye en tres capas:

• Clases de dispositivos: Recopilaciones de dispositivos que tienen características parecidas y quese pueden gestionar de un modo similar.

• Definiciones de dispositivos: Identificación y agrupación de dispositivos en función de laspropiedades que tienen en común.

• Reglas de dispositivos: Control del comportamiento de los dispositivos.

La clase de dispositivos es uno de los varios parámetros que se pueden especificar en la definición deun dispositivo.

Una regla de dispositivos se compone de una lista de las definiciones de dispositivos incluidas oexcluidas de la regla, y la acción realizada cuando el uso del dispositivo activa la regla. Además, puedeespecificar los usuarios finales incluidos o excluidos de la regla. Las reglas de protección dealmacenamiento extraíble incluyen clasificaciones para definir el contenido de carácter confidencial queactiva la regla. De forma opcional, pueden incluir una definición de aplicaciones para filtrar la reglaconforme al origen del contenido de carácter confidencial.

6


Clases de dispositivosLa Clase de dispositivos es una recopilación de dispositivos que tienen características parecidas y quese pueden gestionar de modo similar.Las clases de dispositivos asignan un nombre e identifican los dispositivos utilizados por el sistema.Cada definición de la clase de dispositivos incluye un nombre, y uno o varios identificadores únicosglobales (GUID).

Las clases de dispositivos no se aplican a los dispositivos OS X.

Por ejemplo, Intel® PRO/1000 PL Network Connection y Dell wireless 1490 Dual Band WLAN Mini-Cardson dos dispositivos que pertenecen a la clase de dispositivos Adaptador de red.

Las clases de dispositivos se clasifican por estado:

• Los dispositivos de tipo Gestionado son dispositivos Plug and Play o de almacenamiento extraíblesque están gestionados por Device Control.

• Los dispositivos de tipo No gestionado no están gestionados por Device Control, pero puedencambiarse a un estado gestionado.

Para evitar causar un funcionamiento erróneo del sistema o del sistema operativo, se recomienda nocambiar la lista de clases de dispositivos integrada. En su lugar, agregue a la lista una nueva clasedefinida por el usuario.

Para solucionar problemas de los dispositivos, puede crear anulaciones temporales del estado de laclase del dispositivo y de la configuración del tipo de filtro. Esta opción se define en Catálogo dedirectivas | Data Loss Prevention 9.4 | Directiva de DLP | Configuración | Clases de dispositivos.

Véase también Crear una clase de dispositivos en la página 49

Definición de una clase de dispositivoSi en la lista predefinida no existe una clase de dispositivo adecuada o si no se crea automáticamenteal instalar hardware nuevo, puede crear una nueva clase de dispositivo en la consola del administradorde directivas de McAfee DLP Endpoint.

Procedimientos• Crear una clase de dispositivos en la página 49

Cree una clase de dispositivos si no existe una clase de dispositivos adecuada en la listapredefinida o si no se ha creado automáticamente al instalar el nuevo hardware.

Obtención de un GUIDLas definiciones de la clase de dispositivos requieren un nombre y uno o varios identificadores únicosglobales (GUID).Algunos dispositivos de hardware instalan su propia clase de dispositivos nueva. Para controlar elcomportamiento de los dispositivos de hardware Plug and Play que definen su propia clase dedispositivos, primero debe agregar una nueva clase de dispositivos en el estado Gestionado en la listaClases de dispositivos.

La clase de dispositivos se define con dos propiedades: un nombre y un GUID. El nombre del nuevodispositivo se muestra en el administrador de dispositivos, pero el GUID solo se muestra en el registrode Windows y no es fácil obtenerlo. Con el fin de facilitar la recuperación de los GUID y nombres delos nuevos dispositivos, el cliente de Device Control informa del evento Nueva clase de dispositivosencontrada al Administrador de incidentes de DLP cuando un dispositivo de hardware que nopertenece a una clase de dispositivos reconocida se conecta al equipo host.

6 Protección de medios extraíblesClases de dispositivos



1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP | Lista de incidentes.

2 Haga clic en Editar junto a la lista desplegable Filtro para editar los criterios de filtrado.

3 En la lista Propiedades disponibles (panel izquierdo), seleccione Tipo de incidente.

4 Compruebe que el valor de la lista desplegable Comparación sea Igual a.

5 En la lista desplegable Valores, seleccione Se ha encontrado una clase nueva de dispositivo.

6 Haga clic en Actualizar filtro.

En la Lista de incidentes aparecen las nuevas clases de dispositivos encontradas en todos los equiposEndpoint.

7 Para ver el nombre y el GUID de un dispositivo determinado, haga doble clic en el elemento paramostrar los detalles del incidente.

Crear una clase de dispositivosCree una clase de dispositivos si no existe una clase de dispositivos adecuada en la lista predefinida osi no se ha creado automáticamente al instalar el nuevo hardware.

Antes de empezarObtenga el identificador único global (GUID) del dispositivo antes de empezar la tarea.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.

2 En el panel de la izquierda, seleccione Control de dispositivos | Clase de dispositivos y, a continuación,Acciones | Nuevo.

3 Introduzca un Nombre único y, si lo desea, una Descripción.

4 Compruebe el Estado y el Tipo de filtro requeridos.

5 Introduzca el GUID y, a continuación, haga clic en Aceptar.

El GUID debe tener el formato correcto. Este se le solicitará si lo ha introducido de formaincorrecta.


Véase también Clases de dispositivos en la página 48Definiciones de dispositivos en la página 50

Protección de medios extraíblesClases de dispositivos 6


Definiciones de dispositivosLas reglas de dispositivos utilizan definiciones de dispositivos para especificar las propiedadesasociadas con estos.

Los tipos de definiciones de dispositivos disponibles son:

• Los dispositivos de disco duro fijo se conectan al equipo y el sistema operativo no los marca comoalmacenamiento extraíble. Device Control puede supervisar las unidades de disco duro fijo que noson unidades de arranque.

• Los dispositivos Plug and Play se agregan al equipo gestionado sin necesidad de realizarconfiguraciones ni instalaciones manuales de dlls o controladores. Los dispositivos Plug and Playincluyen la mayoría de los dispositivos de Microsoft Windows.

• Los dispositivos de almacenamiento extraíbles son dispositivos externos con un sistema de archivosque aparecen en el equipo gestionado como unidades. Las definiciones de dispositivos dealmacenamiento extraíbles admiten sistemas operativos Windows u OS X.

• Los dispositivos Plug and Play en lista blanca no interactúan con la administración de dispositivoscorrectamente y pueden hacer que el sistema deje de responder o causar otros problemas serios.

Las definiciones de dispositivos Plug and Play en lista blanca se agregan automáticamente a la listade excluidos en todas las reglas para dispositivos Plug and Play. Nunca serán dispositivosgestionados, aunque la clase de dispositivos a la que pertenecen sea gestionada.

Algunas propiedades de los dispositivos son idénticas para las definiciones de los dispositivos Plug andPlay y los de almacenamiento extraíbles, mientras que otras son exclusivas del tipo de dispositivoespecífico. Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles e incluyenpropiedades adicionales relacionadas con los dispositivos de almacenamiento extraíbles. Serecomienda utilizar las reglas y las definiciones de dispositivos de almacenamiento extraíbles paracontrolar los dispositivos que se pueden clasificar de cualquiera de las dos formas, como pueden serlos dispositivos de almacenamiento masivo USB.

Véase también Crear una clase de dispositivos en la página 49

Uso de las definiciones de dispositivosVarios parámetros se agregan a las definiciones de dispositivos como operador lógico O (valorpredeterminado) u operador lógico Y. Siempre se agregan varios tipos de parámetro como operadorlógico Y.

Por ejemplo, la siguiente selección de parámetros:

6 Protección de medios extraíblesDefiniciones de dispositivos


Crea esta definición:

• El tipo de bus es uno de los siguientes: Firewire (IEEE 1394) O USB

• La clase de dispositivos Y es uno de los dispositivos de memoria O de los dispositivos portátiles deWindows

Crear una definición de dispositivosLas definiciones de dispositivos especifican las propiedades de un dispositivo para activar la regla.

Cree las definiciones de dispositivos Plug and Play en lista blanca para los dispositivos que no controlande un modo claro la gestión, lo que podría ocasionar que el sistema dejase de responder o crear otrosproblemas graves. No se aplicarán otras acciones en estos dispositivos incluso si se activa una regla.



2 En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos.

3 Seleccione Acciones | Nuevo y, a continuación, elija el tipo de definición.


5 Seleccione las propiedades para el dispositivo.

La lista de propiedades disponibles varía según el tipo de dispositivo.

• Para agregar una propiedad, haga clic en >.

• Para eliminar una propiedad, haga clic en <.

• Para agregar valores adicionales a la propiedad, haga clic en +.Los valores se agregan de forma predeterminada como el operador lógico O. Haga clic en elbotón Y/O para cambiarlo a Y.

• Para eliminar propiedades, haga clic en -.


Crear una definición de dispositivos Plug and Play en lista blancaEl objetivo de incluir dispositivos Plug and Play en lista blanca consiste en gestionar aquellos que nollevan a cabo la administración de dispositivos de forma correcta y que pueden provocar que elsistema deje de responder u otros problemas de gravedad. Se recomienda agregar estos dispositivos ala lista de dispositivos en lista blanca a fin de evitar problemas de compatibilidad.

Cuando se aplica la directiva, los dispositivos Plug and Play en lista blanca se agreganautomáticamente a la lista de excluidos en todas las reglas para dispositivos Plug and Play. Nuncaserán dispositivos gestionados, aunque la clase de dispositivos a la que pertenecen sea gestionada.



2 En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos y, a continuación,elija Acciones | Nuevo | Definición de dispositivos Plug and Play en lista blanca.

Protección de medios extraíblesDefiniciones de dispositivos 6









Creación de una definición de dispositivos de almacenamiento extraíblesUn dispositivo de almacenamiento extraíble es un dispositivo externo que contiene un sistema dearchivos que aparece en el equipo gestionado como una unidad. Las definiciones de dispositivos dealmacenamiento extraíbles son más flexibles que las definiciones de dispositivos Plug and Play eincluyen propiedades adicionales relacionadas con los dispositivos.



2 En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos y, a continuación,elija Acciones | Nuevo | Definición de dispositivos de almacenamiento extraíbles.


4 Seleccione la opción Se aplica a para los dispositivos Microsoft Windows u OS X.

La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativoseleccionado.







Propiedades del dispositivoLas propiedades del dispositivo especifican las características del dispositivo, por ejemplo, el nombrede dispositivo, el tipo de bus o el tipo de sistema de archivos.

La tabla proporciona definiciones de propiedades del dispositivo, los tipos de definición que utiliza lapropiedad y el sistema operativo a las que se aplican.



Tabla 6-1 Tipos de propiedades de dispositivo

Nombre depropiedad

Definición dedispositivo

Se aplica a lossistemasoperativos:

Descripción

Tipo de bus Todo • Windows:Bluetooth,Firewire(IEEE1394),IDE/SATA,PCI, PCMIA,SCSI, USB

• Mac OS X:Firewire(IEEE1394),IDE/SATA, SD,Thunderbolt,USB

Selecciona el tipo de BUS de la lista disponible.

Unidades deCD/DVD

Almacenamientoextraíble

• Windows

• Mac OS X

Se selecciona para indicar cualquier unidad deCD o DVD.

Contenidocifrado porEndpointEncryption


Windows Dispositivos protegidos con EndpointEncryption.

Clase dedispositivos

Plug and Play Windows Selecciona la clase de dispositivo de la listagestionada disponible.

IDcompatiblescondispositivos

Todo Windows Una lista de descripciones de dispositivosfísicos. Resulta especialmente útil con tipos dedispositivos que no son USB ni PCI, ya queestos últimos se identifican más fácilmentemediante los ID de proveedor o de dispositivode PCI o el ID prov./ID prod. de USB.

ID deinstancia deldispositivo(MicrosoftWindows XP)Ruta a lainstancia deldispositivo(WindowsVista ysistemasoperativosposterioresde MicrosoftWindows,incluidos losservidores)

Todo Windows Cadena generada por Windows que identificade forma exclusiva el dispositivo en el sistema.Ejemplo:

USB\VID_0930&PID_6533\5&26450FC&0&6.

Nombre deldispositivo

Todo • Windows

• Mac OS X

El nombre asociado a un dispositivo dehardware, que representa su dirección física.

Protección de medios extraíblesDefiniciones de dispositivos 6


Tabla 6-1 Tipos de propiedades de dispositivo (continuación)

Nombre depropiedad



Descripción

Tipo desistema dearchivos

• Disco duro fijo

• Almacenamientoextraíble

• Windows:CDFS, exFAT,FAT16, FAT32,NTFS, UDFS

• Mac OS X:CDFS, exFAT,FAT16, FAT32,HFS/HFS+,NTFS, UDFS

Mac OS X soloadmite FAT enlos discos queno sean disco dearranque.Mac OS Xadmite NTFScomo sololectura.

El tipo de sistema de archivos.• Para discos duros, seleccione una opción de

exFAT, FAT16, FAT32 o NTFS.

• Para los dispositivos de almacenamientoextraíbles, cualquiera de los anterioresademás de CDFS o UDFS.

Acceso alsistema dearchivos


• Windows

• Mac OS X

El acceso al sistema de archivos: solo lectura,o de lectura y escritura.

Etiqueta devolumen delsistema dearchivos

• Disco duro fijo


• Windows

• Mac OS X

Etiqueta de volumen definida por el usuarioque se muestra en el Explorador de Windows.Se permite la coincidencia parcial.

Número deserie delvolumen delsistema dearchivos

• Disco duro fijo


Windows Número de 32 bits generado automáticamentecuando se crea un sistema de archivos en eldispositivo. Se puede ver si se ejecuta elcomando en la línea de comandos dir x:,donde la x: es la letra de la unidad.

ID deproveedor eID dedispositivoPCI

Todo Windows El ID de proveedor y el ID de dispositivoasociados al dispositivo PCI. Estos parámetrosse pueden obtener de la cadena de ID dehardware de los dispositivos físicos.Ejemplo:

PCI\VEN_8086&DEV_2580&SUBSYS_00000000&REV_04

DispositivosTrueCrypt


Windows Se selecciona para especificar un dispositivoTrueCrypt.

Código declase USB

Plug and Play Windows Identifica un dispositivo USB físico por sufuncionalidad general. Seleccione el código declase en la lista disponible.



Tabla 6-1 Tipos de propiedades de dispositivo (continuación)

Nombre depropiedad



Descripción

Número deserie deldispositivoUSB

• Plug and Play


• Windows

• Mac OS X

Una cadena alfanumérica exclusiva asignadapor el fabricante del dispositivo USB,generalmente para dispositivos dealmacenamiento extraíbles. El número de seriees la última parte del ID de instancia.Ejemplo:

USB\VID_3538&PID_0042\00000000002CD8Un número de serie válido tiene que tener unmínimo de 5 caracteres alfanuméricos y nocontener los signos "&". Si la última parte delID de instancia no se ajusta a estos requisitos,no es un número de serie.

ID deproveedor eID deproducto USB

• Plug and Play


• Windows

• Mac OS X

El ID de proveedor y el ID de productoasociados al dispositivo USB. Estos parámetrosse pueden obtener de la cadena de ID dehardware de los dispositivos físicos.Ejemplo:

USB\Vid_3538&Pid_0042

Crear reglas para dispositivosCree reglas para dispositivos con el fin de controlar el uso de estos en su empresa.Las reglas para dispositivos disponibles son:

• Reglas para dispositivos Citrix XenApp

• Reglas de disco duro fijo

• Reglas para dispositivos Plug and Play

• Reglas de dispositivos de almacenamiento extraíbles

• Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles

• Reglas de dispositivos TrueCrypt

Actualmente, las reglas para dispositivos de almacenamiento extraíbles solo se admiten en OS X.

Crear una regla de dispositivos CitrixUtilice las reglas de dispositivos Citrix para bloquear los dispositivos Citrix asignados a sesiones deescritorio compartidas.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas.

2 Seleccione Acciones | Nuevo conjunto de reglas o edite un conjunto de reglas existente.

3 Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la ficha Control dedispositivos.

Protección de medios extraíblesCrear reglas para dispositivos 6


4 Seleccione Acciones | Nueva regla | Regla para dispositivos Citrix XenApp.

5 Especifique un Nombre de regla único. (Opcional) Cambie el Estado y seleccione una Gravedad.

6 En el panel Condición, seleccione uno o varios recursos. (Opcional) Asigne grupos de usuarios finalesa la regla.


Los recursos seleccionados están bloqueados.

La única Acción preventiva para las reglas de Citrix es Bloquear. No necesita definir la acción en el panelReacción.

Crear una regla de dispositivos de disco duro fijoUtilice reglas de dispositivos de disco duro fijo para controlar las unidades de disco duro fijoconectadas al equipo y no marcadas por el sistema operativo como almacenamiento extraíble.





4 Seleccione Acciones | Nueva regla | Regla de disco duro fijo.


6 En el panel Condición, seleccione una o varias definiciones de dispositivos de disco duro fijo.(Opcional) Asigne grupos de usuarios finales a la regla.

Las definiciones de dispositivos pueden definir los dispositivos incluidos (es uno de) o excluidos (no esninguno de). Se requiere incluir al menos una definición.

7 En el panel Reacción, seleccione una Acción preventiva. (Opcional) Agregue una Notificación de usuario yseleccione Notificar incidente.

Si no selecciona Notificar incidente, no hay ningún registro del incidente en el Administrador deincidentes de DLP.

8 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera dela red corporativa.


Crear una regla para dispositivos Plug and PlayLos dispositivos Plug and Play pueden agregarse al equipo gestionado sin necesidad de realizarconfiguraciones ni instalaciones manuales de dlls o controladores. Utilice las reglas para dispositivosPlug and Play con el fin de evitar que el equipo Endpoint cargue estos dispositivos.

6 Protección de medios extraíblesCrear reglas para dispositivos






4 Seleccione Acciones | Nueva regla | Regla para dispositivos Plug and Play.


6 En el panel Condición, seleccione una o varias definiciones de dispositivos Plug and Play. (Opcional)Asigne grupos de usuarios finales a la regla.




8 (Opcional) Seleccione una Acción preventiva diferente cuando el usuario final esté trabajando fuera dela red corporativa o esté conectado mediante VPN.


Crear una regla para dispositivos de almacenamiento extraíblesLos dispositivos de almacenamiento extraíbles aparecen en el equipo gestionado como unidades.Utilice las reglas para dispositivos de almacenamiento extraíbles para bloquear el uso de dispositivosextraíbles o establecerlos como de solo lectura.





4 Seleccione Acciones | Nueva regla | Regla para dispositivos de almacenamiento extraíbles.


6 En el panel Condición, seleccione una o varias definiciones de dispositivos de almacenamientoextraíbles. (Opcional) Asigne los grupos de usuarios finales y un Nombre de proceso a la regla.








Crear una regla de acceso a archivos en dispositivos dealmacenamiento extraíblesUtilice reglas de acceso a archivos en dispositivos de almacenamiento extraíbles para bloquear laejecución de archivos ejecutables en dispositivos de complemento.





4 Seleccione Acciones | Nueva regla | Regla de acceso a archivos en dispositivos de almacenamiento extraíbles.


6 En el panel Condición, seleccione una o varias definiciones de dispositivos de almacenamientoextraíbles. (Opcional) Asigne grupos de usuarios finales a la regla.


7 (Opcional) Introduzca un Nombre del archivo para excluirlo de la regla.

De forma predeterminada, los archivos ejecutables se incluyen en la regla con la opción Extensión delarchivo. Puede editar esta opción según sea necesario. La exclusión Nombre del archivo sirve para lasaplicaciones que tienen que poder ejecutarse. Un ejemplo son las aplicaciones de cifrado en lasunidades cifradas.





Crear una regla de dispositivos TrueCryptUtilice las reglas de dispositivos TrueCrypt para bloquear o supervisar los dispositivos de cifradovirtuales TrueCrypt o configurarlos como solo lectura.







4 Seleccione Acciones | Nueva regla | Regla para dispositivos TrueCrypt.


6 (Opcional) En el panel Condición, asigne grupos de usuarios finales a la regla.







7 Clasificación del contenido confidencial

Clasificaciones para identificar y rastrear archivos y contenido de carácter confidencial.

Contenido El módulo Clasificación Clasificación manual Uso de las clasificaciones Criterios y definiciones de clasificación Creación y configuración de clasificaciones Documentos registrados Texto en lista blanca Cargar documentos registrados Cargar archivos con texto para inclusión en lista blanca Creación de las definiciones de clasificación Clasificación por ubicación de archivo Clasificación por destino de archivo

El módulo ClasificaciónEl módulo Clasificación en McAfee ePO almacena criterios de clasificación, criterios de marcado y lasdefiniciones utilizadas para configurarlos. También es el lugar para configurar los repositorios de losdocumentos registrados, la autorización del usuario para el marcado manual y el texto en lista blanca.

El módulo proporciona estas funciones:

• Clasificación manual: Configura los grupos de usuarios finales permitidos para clasificar o etiquetarcontenido manualmente.

• Definiciones: Define el contenido, las propiedades y la ubicación de los archivos para laclasificación.

• Clasificación: Crea clasificaciones, y define la clasificación y los criterios de marcado.

7


• Registrar documentos: Carga archivos que contienen contenido de carácter confidencial conocido.

• Texto en lista blanca: Carga archivos que contienen texto para incluir en lista blanca.

Clasificación manualLos usuarios finales pueden aplicar o eliminar manualmente criterios de clasificación o etiquetado a losarchivos.

El método más sencillo de clasificar los archivos o el contenido es la clasificación manual. De formapredeterminada, los usuarios finales no tienen permiso para ver, agregar o eliminar clasificaciones. Sinembargo, sí pueden asignar clasificaciones definidas a grupos de usuarios específicos. Dichos usuariospueden entonces aplicar la clasificación a los archivos mientras trabajan. La clasificación manualtambién le permite mantener la directiva de clasificación de su organización incluso en casosespeciales de información confidencial o única que el sistema no etiqueta automáticamente.

Caso práctico

Un trabajador del sector sanitario sabe que todos los registros de los pacientes deben considerarseconfidenciales según las reglas HIPAA. Con el objetivo de ofrecer dicha protección, cree unaclasificación para la información de salud protegida (PHI, del inglés Protected Health Information) yconceda a los usuarios que crean los historiales médicos permisos de clasificación manual para estaclasificación. El usuario clasifica los registros de pacientes mientras se crean haciendo clic con el botónsecundario del ratón en el archivo y seleccionando Marcado manual.

Uso de las clasificacionesLas clasificaciones identifican y rastrean el contenido de carácter confidencial aplicando etiquetas ocriterios de clasificación a los archivos y al contenido.

McAfee DLP Endpoint identifica y realiza el seguimiento del contenido de carácter confidencial conclasificaciones definidas por el usuario. Existen dos tipos básicos compatibles: las etiquetas y loscriterios de clasificación. Como su propio nombre indica, las primeras etiquetan la informaciónconfidencial y permanecen con el contenido incluso si se copia en otro documento o se guarda con unformato diferente.

7 Clasificación del contenido confidencialClasificación manual


Criterios de clasificación

Los criterios de clasificación identifican patrones de texto, diccionarios, palabras clave o combinacionesde carácter confidencial. Las combinaciones pueden ser simplemente varias propiedades especificadaso con una relación definida que se conoce como proximidad. También pueden especificar lascondiciones del archivo, por ejemplo, el tipo, el cifrado, las propiedades del documento o la ubicaciónen el archivo (encabezado/cuerpo/pie de página).

Criterios de marcado

Los criterios de marcado se aplican a los archivos o al contenido que se basa en una de las siguientesopciones:

• Basado en la aplicación: La aplicación que ha creado o modificado el archivo.

• Basado en la ubicación: El recurso compartido de red o la definición del almacenamientoextraíble de donde se almacena el archivo.

• Basado en la Web: Las direcciones web que abrieron y descargaron los archivos.

Todas las condiciones de archivos y de datos disponibles para los criterios de clasificación también loestán para los de marcado, lo que permite que las etiquetas se combinen con la funcionalidad deambos tipos de criterios.

Los criterios de marcado se almacenan en los atributos extendidos (EA) o los flujos alternativos dedatos (ADS) de un archivo. Si, por ejemplo, un usuario copia o mueve contenido marcado a otroarchivo, los criterios de marcado también se aplican a ese archivo. Si el contenido marcado se eliminadel archivo, también lo hacen los criterios de marcado.

McAfee DLP Endpoint aplica los criterios de marcado a los archivos tras la aplicación de una directiva,independientemente de si se utiliza o no la clasificación en una regla de protección.

Aplicación de criterios

Los criterios se aplican a un archivo de una de las siguientes maneras:

• McAfee DLP Endpoint aplica los criterios en los siguientes supuestos:

• El archivo coincide con una clasificación configurada.

• El archivo o contenido de carácter confidencial se mueve o se copia a una nueva ubicación.

• Se encuentra la coincidencia de un archivo durante un análisis de descubrimiento.

• Un usuario con permisos agrega manualmente los criterios a un archivo.

Véase también Creación de los criterios de clasificación en la página 70Crear criterios de marcado en la página 70Asignar permisos de clasificación manual en la página 71

Extracción de textoEl extractor de texto analiza el contenido cuando se abren o se copian archivos y los compara con lospatrones de texto y las definiciones de diccionarios de las reglas de clasificación. Cuando se produceuna coincidencia, se aplican los criterios al contenido.

El extractor de texto puede ejecutar varios procesos en función del número de núcleos del procesador.

Clasificación del contenido confidencialUso de las clasificaciones 7


• Un procesador de un núcleo solo ejecuta un proceso.

• Un procesador de dos núcleos ejecuta hasta dos procesos.

• Un procesador de varios núcleos ejecuta hasta tres procesos a la vez.

Si varios usuarios han iniciado sesión, cada uno contará con su propio conjunto de procesos. Así pues,el número de extractores de texto depende del número de núcleos y de sesiones de usuario. Sepueden consultar los diversos procesos en el Administrador de tareas de Windows. Puede configurar eluso máximo de la memoria del extractor de texto. El valor predeterminado es 75 MB.

El software de McAfee DLP Endpoint es compatible con los caracteres acentuados. Cuando un archivode texto ASCII contiene una mezcla de caracteres acentuados, como los que existen en francés yespañol, además de otros caracteres latinos estándar, es posible que el extractor de texto noidentifique correctamente el conjunto de caracteres. Este problema se produce en todos los programasde extracción de texto. En este caso, no existe un método o una técnica conocida para identificar lapágina de códigos ANSI. Cuando el extractor de texto no es capaz de identificar la página de código,no se reconocen los patrones de texto ni las firmas de etiquetas. El documento no se puede clasificarcorrectamente y, por tanto, no es posible llevar a cabo las medidas de supervisión o bloqueocorrectas. Para solventar este problema, el software cliente de McAfee DLP Endpoint utiliza una páginade código de respaldo. El respaldo es el idioma predeterminado del equipo u otro diferente establecidopor el administrador.

Cómo categoriza aplicaciones McAfee DLP EndpointAntes de crear clasificaciones o conjuntos de reglas mediante aplicaciones, debe comprender de quémodo los categoriza McAfee DLP Endpoint y el efecto que ello tiene en el funcionamiento del sistema.

El software McAfee DLP Endpoint divide las aplicaciones en cuatro categorías llamadas estrategias.Estas categorías o estrategias afectan el modo en el que el software funciona con las diferentesaplicaciones. Puede cambiar la estrategia para conseguir un equilibrio entre la seguridad y elrendimiento del equipo.

Las estrategias, en orden decreciente de seguridad, son las que se indican a continuación.

• Editor: cualquier aplicación que pueda modificar el contenido del archivo. En esta categoría seengloban los editores “clásicos”, como Microsoft Word y Microsoft Excel, así como navegadores,software de edición de gráficos, software de contabilidad, etc. La mayor parte de las aplicacionesson editores.

• Explorador: una aplicación empleada para copiar o mover archivos sin modificarlos; por ejemplo,el Explorador de Microsoft Windows o determinadas aplicaciones shell.

• De confianza: Una aplicación que necesita acceso ilimitado a los archivos para realizar análisis.Por ejemplo, el software de creación de copias de seguridad McAfee® VirusScan® Enterprise y elsoftware de búsqueda de escritorio Google Desktop.

• Archivador: Una aplicación que puede reprocesar archivos. Por ejemplo, software de compresiónde archivos como WinZip y aplicaciones de cifrado como McAfee Endpoint Encryption o PGP.

Cómo trabajar con estrategias de DLP

Cambie la estrategia según sus necesidades para optimizar el rendimiento. Por ejemplo, una aplicacióncon estrategia Editor está sometida a un alto nivel de observación, que no resulta apropiado para unaaplicación de búsqueda de escritorio, cuya función es realizar constantes operaciones de indexación.Los efectos sobre el rendimiento son notables y, sin embargo, el riesgo de fuga de datos desde estetipo de aplicaciones es bajo. Por lo tanto, para este tipo de aplicaciones, se recomienda utilizar laestrategia de confianza.

7 Clasificación del contenido confidencialUso de las clasificaciones


Puede omitir la estrategia predeterminada en Directiva de DLP | Configuración | Estrategia deaplicaciones. Cree y elimine omisiones según se necesario para experimentar con el ajuste de ladirectiva.

También puede crear más de una plantilla para una aplicación y asignarle más de una estrategia.Utilice plantillas diferentes en clasificaciones distintas y reglas para lograr resultados diversos encontextos diferentes. No obstante, sea cuidadoso al asignar dichas plantillas a los conjuntos de reglaspara evitar conflictos. McAfee DLP Endpoint resuelve los posibles conflictos conforme a la jerarquíasiguiente: archivador > de confianza > explorador > editor. O lo que es lo mismo, el editor seencuentra en la posición más baja. Si una aplicación es un editor en una plantilla y cualquier otroelemento en otra del mismo conjunto de reglas, McAfee DLP Endpoint no trata la aplicación comoeditor.

Criterios y definiciones de clasificaciónLos criterios y definiciones de clasificación contienen una o varias condiciones que describen laspropiedades del contenido o del archivo.

Tabla 7-1 Condiciones disponibles

Propiedad Se aplica a: Definición

Patrón avanzado Definiciones ycriterios

Expresiones o expresiones regulares que se utilizan para ver lacoincidencia con datos como fechas o números de tarjetas decrédito.

Diccionario Definiciones ycriterios

Recopilaciones de palabras clave y frases relacionadas, comoterminología médica u obscenidades.

Palabra clave Criterios Un valor alfanumérico.Puede agregar varias palabras clave a una definición deetiqueta. El valor booleano predeterminado para varias palabrasclave es OR, pero se puede cambiar a AND.

Proximidad Criterios Define la semejanza entre dos propiedades basadas en suubicación respecto a la otra.Se pueden utilizar patrones avanzados, diccionarios o palabrasclave para cualquiera de las dos propiedades.

El parámetro Cercanía se define como "inferior a x caracteres",donde el valor predeterminado es 1. También puede especificarun parámetro Número de correspondencias para determinar elnúmero mínimo de coincidencias que derivarán en un acierto.

Propiedades deldocumento

Definiciones ycriterios

Contiene estas opciones:• Cualquier propiedad • Guardado por última vez

por

• Autor • Nombre deladministrador

• Categoría • Seguridad

• Comentarios • Asunto

• Empresa • Plantilla

• Palabras clave (etiquetas) • Título

Cualquier propiedad es una propiedad definida por el usuario.

Clasificación del contenido confidencialCriterios y definiciones de clasificación 7


Tabla 7-1 Condiciones disponibles (continuación)

Propiedad Se aplica a: Definición

Cifrado del archivo Criterios Contiene estas opciones:• No cifrado.

• Autoextractor cifrado de McAfee.

• McAfee Endpoint Encryption

• Cifrado de Microsoft Rights Management.

• Cifrado de administración de derechos de Seclore.

• Tipos de cifrado no compatibles o archivo protegido concontraseña.

Información delarchivo


Contiene estas opciones:• Fecha de acceso • Nombre del archivo

• Fecha de creación • Propietario del archivo

• Fecha de modificación • Tamaño de archivo

• Extensión del archivo

Tipos de archivoverdadero


Grupos de tipos de archivos.Por ejemplo, el grupo integrado de Microsoft Excel incluyearchivos Excel XLS, XLSX y XML, así como Lotus WK1 y FM3,CSV y DIF, Apple iWork, etc.

Ubicación en elarchivo

Criterios La sección del archivo donde se ubican los datos.• Documentos de Microsoft Word: El motor de clasificación

puede identificar el encabezado, el cuerpo y el pie de página.

• Documentos de PowerPoint: WordArt se considera unencabezado; todo lo demás se identifica como cuerpo.

• Otros documentos: El encabezado y el pie de página no sonaplicables. Si se seleccionan, los criterios de clasificación nocoinciden con el documento.

Plantilla de aplicación Definiciones La aplicación o el ejecutable que accede al archivo.

Grupo de usuariosfinales

Definiciones Se utilizan para definir los permisos de clasificación manual.

Recurso compartidode red

Definiciones El recurso compartido de red en el que se almacena el archivo.

Lista de URL Definiciones La dirección URL desde la que se accede al archivo.

Véase también Creación de las definiciones de clasificación en la página 74

Definiciones de diccionarioUn diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene unacalificación asignada.

Los criterios de clasificación y marcado utilizan diccionarios específicos para clasificar un documento sise supera el umbral definido (calificación total), es decir, si aparecen en el documento suficientespalabras del diccionario.

7 Clasificación del contenido confidencialCriterios y definiciones de clasificación


La diferencia entre un diccionario y una cadena en una definición de palabra clave es la calificaciónasignada.

• La clasificación de una palabra clave siempre marca el documento si la expresión está presente.

• Una clasificación de diccionarios le da más flexibilidad, ya que permite establecer un umbral, lo quehace que la clasificación sea relativa.

Las calificaciones asignadas pueden ser negativas o positivas, lo que le permite buscar palabras oexpresiones en presencia de otras palabras o expresiones.

El software de McAfee DLP incluye varios diccionarios integrados con términos utilizados habitualmenteen los ámbitos de la salud, la banca, las finanzas y otros sectores. Además, puede crear sus propiosdiccionarios. Los diccionarios se pueden crear (y editar) de forma manual o mediante la función decopiar y pegar de otros documentos.

Limitaciones

Existen ciertas limitaciones para utilizarlos. Los diccionarios se guardan en formato Unicode (UTF-8) yse pueden escribir en cualquier idioma. Las siguientes descripciones se aplican a los diccionariosescritos en inglés. Las descripciones generalmente se aplican a otros idiomas, pero pueden ocurrirproblemas imprevistos en algunos.

La coincidencia de diccionarios tiene tres características:

• Solo distingue entre mayúsculas y minúsculas cuando crea entradas de diccionario que distinguenentre mayúsculas y minúsculas. Los diccionarios integrados creados antes de que esta funciónestuviera disponible, no distinguen entre mayúsculas y minúsculas.

• Puede buscar coincidencias con subcadenas o frases completas.

• Hace coincidir las frases, incluidos los espacios.

Si se especifica la coincidencia con subcadenas, tenga cuidado al introducir palabras cortas debido a laposible aparición de falsos positivos. Por ejemplo, la entrada de "sal" en el diccionario indicaría"saltar" y "asalto". A fin de evitar falsos positivos de este tipo, utilice la opción de coincidencia contoda la frase o use frases improbables desde el punto de vista estadístico a fin de obtener los mejoresresultados. Otra fuente de falsos positivos son las entradas similares. Por ejemplo, en algunos listadosde enfermedades de HIPAA (Health Insurance Portability and Accountability Act), "celíaco" y"enfermedad celíaca" aparecen como entradas independientes. Si el segundo término aparece en undocumento y se especifica la coincidencia con subcadenas, se producen dos resultados (uno para cadaentrada) y se sesga la calificación total.

Véase también Crear o importar una definición de diccionario en la página 74

Definiciones de patrones avanzadosLos patrones avanzados utilizan expresiones regulares (regex) que permiten una coincidencia conpatrones más complejos, como números de la Seguridad Social o de tarjetas de crédito. Lasdefiniciones utilizan la sintaxis de expresiones regulares de Google RE2.

Los patrones avanzados también pueden definir patrones de palabras complejos, como en losejemplos del registro de llamadas del operador móvil o de los informes financieros de los patronesintegrados.

En los patrones de palabras, los patrones de expresiones regulares empiezan y terminan con \b deforma predeterminada, que es la notación de las expresiones regulares estándar para la separación depalabras. Por tanto, la coincidencia con patrones de texto para las expresiones es, formapredeterminada, de palabras completas a fin de reducir los falsos positivos.

Clasificación del contenido confidencialCriterios y definiciones de clasificación 7


Las definiciones de patrones avanzados incluyen una calificación (obligatoria), como con lasdefiniciones de diccionario. Además, pueden incluir una expresión de falso positivo opcional, ya seauna palabra clave o expresión regular, y un validador, es decir, un algoritmo que se utiliza para probarlas expresiones regulares. El uso del validador adecuado también puede reducir significativamente losfalsos positivos. Puede importar varias palabras clave de una vez para los falsos positivos.

Los patrones avanzados indican la presencia de texto confidencial. Los patrones de texto confidencialse redactan en pruebas con resaltado de coincidencias.

Si se especifican un patrón incluido y un patrón excluido, tiene prioridad el patrón excluido. De estaforma, es posible especificar una regla general y agregar excepciones sin tener que volver a escribir laregla general.

Véase también Crear un patrón avanzado en la página 75

Clasificación de contenido con propiedades de documentos oinformación del archivoLas definiciones de propiedades de documento clasifican el contenido mediante valores de metadatospredefinidos. Las definiciones de información del archivo clasifican contenido por metadatos delarchivo.

Propiedades de documento

Las propiedades del documento se pueden recuperar de cualquier documento Microsoft Office o PDF, yse pueden utilizar en definiciones de clasificación. Se admite la coincidencia parcial mediante lacomparación de Contiene.

Existen tres tipos de propiedades de documento:

• Propiedades predefinidas: propiedades estándar, como el autor y el título.

• Propiedades personalizadas: Propiedades personalizadas agregadas a los metadatos deldocumento admitidas por algunas aplicaciones como Microsoft Word. Una propiedad personalizadapuede hacer referencia a un tipo de documento estándar que no se encuentra en la lista depropiedades predefinidas, pero no puede duplicar una propiedad que aparece en la lista.

• Cualquier propiedad: permite la definición de una propiedad por un valor. Esta función resultaútil en los casos en los que la palabra clave se ha introducido en el parámetro de propiedadincorrecto o cuando se desconoce el nombre de la propiedad. Por ejemplo, al agregar el valorSecreta al parámetro Cualquier propiedad, se clasifican todos los documentos que tienen la palabraSecreta en al menos una propiedad.

Información del archivo

Las definiciones de información del archivo se utilizan en la protección de datos y las reglas dedescubrimiento, así como en las clasificaciones, para aumentar la granularidad. La información delarchivo incluye la fecha creada, la fecha modificada, el propietario del archivo y el tamaño del archivo.Las propiedades de la fecha tienen opciones de fecha exactas (antes, después, entre) y relativas (enlos últimos x días, semanas, años). Tipo de archivo (solo extensiones) es una lista de extensiones predefiniday extensible.

7 Clasificación del contenido confidencialCriterios y definiciones de clasificación


Plantillas de aplicaciónUna plantilla de aplicación controla aplicaciones concretas mediante propiedades como el nombre delproducto o el proveedor, el nombre del archivo ejecutable o el título de la ventana.

Una plantilla de aplicación puede definirse para una sola aplicación o para un grupo de aplicacionessimilares. Hay plantillas integradas (predefinidas) para un número de aplicaciones comunes como elexplorador de Windows, los navegadores web, las aplicaciones de cifrado y los clientes de correoelectrónico.

Las plantillas de aplicaciones pueden utilizar los siguientes parámetros:

• Línea de comandos: admite argumentos de línea de comandos, como por ejemplo: java-jar,que permite controlar aplicaciones anteriormente incontrolables.

• Directorio ejecutable: El directorio en el que se encuentra el archivo ejecutable. Un uso de esteparámetro es controlar las aplicaciones U3.

• Hash de archivo ejecutable: nombre de visualización de la aplicación con hash SHA2identificativo.

• Nombre del archivo ejecutable: por lo general, suele ser el mismo que el nombre devisualización (menos el hash SHA2), pero puede ser distinto si se cambia el nombre del archivo.

• Nombre del archivo ejecutable original: Idéntico al nombre del archivo ejecutable, a menosque se haya cambiado el nombre del archivo.

• Nombre del producto: Nombre genérico del producto (por ejemplo, Microsoft Office 2012) si seincluye en las propiedades del archivo ejecutable.

• Nombre del proveedor: nombre de la empresa, si se incluye en la lista de propiedades delarchivo ejecutable.

• Título de ventana: Valor dinámico al que, en tiempo de ejecución, se le añade el nombre delarchivo activo.

Todos los parámetros, excepto el nombre de aplicación SHA2 y el directorio ejecutable, aceptan lascoincidencias de subcadenas.

Creación y configuración de clasificacionesCree clasificaciones y criterios, y cargue archivos para registros o listas blancas.

Procedimientos• Crear una clasificación en la página 69

Las reglas de protección de datos y de descubrimiento requieren definiciones declasificación en su configuración.

• Creación de los criterios de clasificación en la página 70Aplique los criterios de clasificación a los archivos en función del contenido y laspropiedades del archivo.

• Crear criterios de marcado en la página 70Aplique criterios de marcado a los archivos según la ubicación del archivo o la aplicación.

• Asignar permisos de clasificación manual en la página 71Configure a los usuarios con permisos para clasificar los archivos manualmente.

Crear una clasificaciónLas reglas de protección de datos y de descubrimiento requieren definiciones de clasificación en suconfiguración.

Clasificación del contenido confidencialCreación y configuración de clasificaciones 7



1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.

2 Haga clic en Nueva clasificación.

3 Introduzca un nombre y, si lo desea, una descripción.

4 Haga clic en Aceptar.

5 Agregue grupos de usuarios finales a la clasificación manual o documentos registrados a laclasificación, haciendo clic en Editar para el componente correspondiente.

6 Agregue criterios de clasificación o criterios de marcado con el control Acciones.

Creación de los criterios de clasificaciónAplique los criterios de clasificación a los archivos en función del contenido y las propiedades delarchivo.

Los criterios de clasificación se crean a partir de las Definiciones de los archivos y los datos. Si no existeuna definición requerida, puede crearla cuando defina el criterio.



2 Seleccione la clasificación a la que quiere agregar los criterios y, a continuación, elija Acciones |Nuevo criterio de clasificación.

3 Introduzca el nombre.

4 Seleccione una o varias propiedades y configure las entradas de comparación y valor.


• En el caso de algunas propiedades, tendrá que hacer clic en ... para seleccionar una propiedadexistente o crear una nueva.

• Para agregar valores adicionales a una propiedad, haga clic en +.

• Para eliminar valores, haga clic en -.


Véase también Uso de las clasificaciones en la página 62

Crear criterios de marcadoAplique criterios de marcado a los archivos según la ubicación del archivo o la aplicación.



2 Seleccione la clasificación a la que agregar criterios.

7 Clasificación del contenido confidencialCreación y configuración de clasificaciones


3 Seleccione Acciones | Nuevo criterio de marcado y, a continuación, elija el tipo de criterio de marcado.

4 Introduzca un nombre y especifique información adicional según el tipo de criterios de marcado.

• Aplicación: Haga clic en ... para seleccionar una o varias aplicaciones.

• Ubicación: Haga clic en ... para seleccionar uno o varios recursos compartidos de red. Si fueranecesario, especifique el tipo de medio extraíble.

• Aplicación web: Haga clic en ... para seleccionar una o varias listas de URL.

5 (Opcional) Seleccione una o varias propiedades y configure las entradas de valores y comparación.


• Para algunas propiedades, haga clic en ... para seleccionar una propiedad existente o crear unanueva.

• Para agregar valores adicionales a una propiedad, haga clic en +.

• Para eliminar valores, haga clic en -.


Véase también Uso de las clasificaciones en la página 62

Asignar permisos de clasificación manualConfigure a los usuarios con permisos para clasificar los archivos manualmente.



2 Haga clic en la ficha Clasificación manual.

3 Utilice la lista desplegable Agrupar por para seleccionar Clasificaciones o Grupos de usuarios.

Puede asignar clasificaciones a los grupos de usuarios o grupos de usuarios a las clasificaciones, loque le resulte más cómodo. La lista Agrupar por determina cómo se ven los elementos.

4 Si agrupa por clasificaciones:

a Seleccione una clasificación en la lista desplegable.

b Seleccione Acciones | Seleccionar grupos de usuarios finales.

c En la ventana Elegir entre los valores existentes, seleccione grupos de usuarios o haga clic en Nuevoelemento para crear un nuevo grupo. Haga clic en Aceptar.

5 Si agrupa por grupos de usuarios:

a Seleccione un grupo de usuarios en la lista que aparece.

b Seleccione Acciones | Seleccionar clasificaciones.

c En la ventana Elegir entre los valores existentes, seleccione clasificaciones. Haga clic en Aceptar.

Clasificación del contenido confidencialCreación y configuración de clasificaciones 7


Documentos registradosLa función de documentos registrados es una extensión del marcado basado en la ubicación. Ofrece alos administradores otro modo de definir la información confidencial a fin de evitar su distribución deformas no autorizadas.

Los documentos registrados están predefinidos como confidenciales, por ejemplo, las hojas de cálculode estimaciones de venta para el siguiente trimestre. El software de McAfee DLP Endpoint categoriza ytoma la huella digital del contenido de los archivos. Las firmas creadas son independientes del idioma,es decir, el proceso funciona para todos los idiomas. Cuando crea un paquete, las firmas se cargan enla base de datos de McAfee ePO para distribuirlas a todas las estaciones de trabajo de los endpoints.El cliente de McAfee DLP Endpoint de los equipos gestionados controla la distribución de losdocumentos que contienen fragmentos de contenido registro.

Para utilizar los documentos registrados, cargue los archivos en la pestaña Registrar documentos delmódulo Clasificación y asígnelos a una clasificación en ese momento. El cliente del endpoint ignora lasclasificaciones que no son aplicables. Por ejemplo, los paquetes de documentos registradosclasificados con las propiedades del archivo se ignoran cuando se analiza el correo electrónico enbusca de contenido de carácter confidencial.

Existen dos opciones de vista: Estadísticas y Clasificaciones. La vista de las estadísticas muestra elnúmero total de archivos, su tamaño, el número de firmas, etc., en el panel de la izquierda y, en el dela derecha, las estadísticas de cada archivo. Utilice estos datos para eliminar los paquetes menosimportantes si se va a llegar al límite de firmas. La vista de clasificaciones muestra los archivoscargados por clasificación. En la parte superior derecha figura la información sobre la creación depaquetes más reciente y los cambios en la lista de archivos.

Cuando crea un paquete, el software procesa todos los archivos de la lista y carga las huellas digitalesen la base de datos de McAfee ePO para su distribución. Cuando agregue o elimine documentos, debecrear un nuevo paquete. El software no intenta calcular si ya se ha tomado la huella digital de algunosde los archivos; siempre procesa la lista entera.

El comando Crear paquete funciona en la lista de documentos registrados y en los documentos en listablanca a la vez para crear un solo paquete. El número máximo de firmas por paquete es de un millónpara los documentos registrados y los documentos en lista blanca.

Véase también Cargar documentos registrados en la página 73

Texto en lista blancaMcAfee DLP Endpoint ignora el texto en lista blanca cuando procesa el contenido del archivo.

Puede cargar los archivos que contienen texto a McAfee ePO para incluirnos en una lista blanca. Eltexto en lista blanca impedirá que el contenido se clasifique o marque, incluso si hay partes de él quecoinciden con la clasificación o los criterios de marcado. Utilice la inclusión en lista blanca para el textoque suele aparecer en los archivos, por ejemplo, información de cláusulas estándar, avisos legales ycopyright.

• Para incluir los archivos en lista blanca, deben contener al menos 400 caracteres.

• Si un archivo contiene datos tanto de marcado o clasificado como en lista blanca, el sistema no loignora. Todos los criterios de marcado y clasificación asociados con el contenido siguen vigentes.

Véase también Cargar archivos con texto para inclusión en lista blanca en la página 73

7 Clasificación del contenido confidencialDocumentos registrados


Cargar documentos registradosSeleccione y clasifique documentos para distribuir en los equipos Endpoint.



2 Haga clic en la ficha Registrar documentos.

3 Haga clic en Carga de archivo.

4 Busque el archivo, seleccione si desea sobrescribir o no un archivo, si ya existe el nombre dearchivo, y seleccione una clasificación.

Carga de archivo procesa un solo archivo. Para cargar varios documentos, cree un archivo .zip.


El archivo se carga y procesa, y las estadísticas aparecen en la página.

Cuando haya completado la lista de archivos, haga clic en Crear paquete. Se carga un paquete de firmade todos los documentos registrados y todos los documentos en lista blanca en la base de datos deMcAfee ePO para la distribución en equipos Endpoint.

Puede crear un paquete solo de documentos registrados o en lista blanca dejando una lista vacía.Cuando se eliminen los archivos, quítelos de la lista y cree un nuevo paquete para aplicar los cambios.

Véase también Documentos registrados en la página 72

Cargar archivos con texto para inclusión en lista blancaCargue los archivos que contienen el texto utilizado habitualmente para la inclusión en listas blancas.



2 Haga clic en la ficha Texto en lista blanca.

3 Haga clic en Carga de archivo.

4 Busque el archivo y seleccione si desea sobrescribir o no un archivo, si ya existe el nombre dearchivo.


Véase también Texto en lista blanca en la página 72

Clasificación del contenido confidencialCargar documentos registrados 7


Creación de las definiciones de clasificaciónLas definiciones de clasificación predefinidas no se pueden modificar ni eliminar. Cree definicionesnuevas como estime necesario.

Procedimientos• Crear o importar una definición de diccionario en la página 74

Un diccionario es una recopilación de palabras o frases clave en la que cada entrada tieneasignada una calificación. Las calificaciones tienen en cuenta definiciones de reglas másdetalladas.

• Crear un patrón avanzado en la página 75Los patrones avanzados se utilizan para definir clasificaciones. La definición de un patrónavanzado puede incluir una expresión sencilla o una combinación de expresiones ydefiniciones de falsos positivos.

• Integrar el software Titus Message Classification con los criterios de clasificación en lapágina 76Se requieren palabras claves específicas para definir una clasificación que reconozca lasclasificaciones de Titus para las reglas de protección de correo electrónico.

• Integrar Boldon James Email Classifier con criterios de clasificación en la página 77Cree los criterios de clasificación para integrar Boldon James Email Classifier.

Véase también Criterios y definiciones de clasificación en la página 65

Crear o importar una definición de diccionarioUn diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignadauna calificación. Las calificaciones tienen en cuenta definiciones de reglas más detalladas.



2 Haga clic en la ficha Definiciones.

3 En el panel de la izquierda, seleccione Diccionario.

4 Seleccione Acciones | Nuevo.


6 Agregue entradas al diccionario.

Para importar entradas:

a Haga clic en Importar entradas.

b Introduzca palabras o expresiones, o copie y pegue de otro documento.

La ventana de texto está limitada a 20 000 líneas de 50 caracteres cada una.

c Haga clic en Aceptar.

Todas las entradas se asignan a una calificación predeterminada de 1.

7 Clasificación del contenido confidencialCreación de las definiciones de clasificación


d Si es necesario, actualice la calificación predeterminada de 1 haciendo clic en Editar en laentrada.

e Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según seanecesario.

Empieza por y Termina por ofrecen coincidencia con subcadenas.

Para crear entradas manualmente:

a Introduzca la expresión o la calificación.

b Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según seanecesario.

c Haga clic en Agregar.


Crear un patrón avanzadoLos patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón avanzadopuede incluir una expresión sencilla o una combinación de expresiones y definiciones de falsospositivos.

Los patrones avanzados se definen con expresiones regulares (regex). La definición de las expresionesregulares queda fuera del alcance de este documento. Existe una gran cantidad de tutoriales acerca delas expresiones regulares en Internet en los que puede obtener más información acerca de este tema.



2 Seleccione la ficha Definiciones y, a continuación, Patrón avanzado en el panel de la izquierda.

Los patrones disponibles aparecerán en el panel de la derecha.

Para ver solo los patrones avanzados definidos por el usuario, anule la selección de la casilla deverificación Incluir elementos incorporados. Los patrones definidos por el usuario son los únicos quepueden editarse.


Aparece la página de definición de Nuevo patrón avanzado.


5 En Expresiones coincidentes, haga lo siguiente:

a Introduzca una expresión en el cuadro de texto. Si lo desea, agregue una descripción.

b Seleccione un validador en la lista desplegable.

Se recomienda utilizar un validador cuando sea posible para minimizar falsos positivos, aunqueno es obligatorio. Si no desea especificar un validador o si la validación no es adecuada para laexpresión, seleccione Sin validaciones.

Clasificación del contenido confidencialCreación de las definiciones de clasificación 7


c Introduzca un número en el campo Calificación.

Este número indica la ponderación de la expresión comparándola con el umbral. Este campo esobligatorio.

d Haga clic en Agregar.

6 En Falso positivo, haga lo siguiente:

a Introduzca una expresión en el cuadro de texto.

Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos ypegarlos en la definición mediante Importar entradas.

b En el campo Tipo, seleccione RegEx en la lista desplegable si la cadena es una expresión regular oPalabra clave si es texto.

c Haga clic en Agregar.


Integrar el software Titus Message Classification con loscriterios de clasificación Se requieren palabras claves específicas para definir una clasificación que reconozca las clasificacionesde Titus para las reglas de protección de correo electrónico.

Titus Message Classification para Microsoft Outlook es una solución de correo electrónico ampliamenteutilizada que garantiza que cada uno de los correos electrónicos se clasifique y se etiquete de maneraprotectora antes de su envío. El software McAfee DLP Endpoint puede integrarse con Titus y bloquearcorreos electrónicos según las clasificaciones de Titus.

El software cliente de McAfee DLP Endpoint determina si Titus ha clasificado un correo electrónico(para reducir los falsos positivos) y cuál es la clasificación. Puede usar estas dos cadenas para definirla regla de protección.


1 Configuración de Titus para la compatibilidad con McAfee DLP Endpoint:

a En la herramienta de administración de Titus Message Classification, en la ficha Información delicencia, compruebe el Nombre de la organización.

b En Microsoft Outlook, en el panel Titus Labs, fíjese en las clasificaciones para las que estácreando reglas de McAfee DLP Endpoint.

c En el catálogo de directivas, abra la Configuración del cliente actual. Seleccione Configuración | Módulos ymodo de funcionamiento. Compruebe que la opción Complementos de Outlook | Integración de complementos deterceros activa esté seleccionada.

d En Configuración | Protección de correo electrónico, en la sección Integración del complemento de terceros deOutlook, seleccione Titus en la lista desplegable Nombre del proveedor.

2 Cree una clasificación de Titus.

Para cada clasificación requerida, lleve a cabo estos pasos:

a En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.

b Seleccione la ficha Clasificación y, a continuación, haga clic en Nueva clasificación.

c Escriba un Nombre único y, si lo desea, una Descripción.

7 Clasificación del contenido confidencialCreación de las definiciones de clasificación


d Haga clic en Acciones | Nuevo criterio de clasificación.

Aparecerá la página Criterios de clasificación.

e Seleccione la propiedad Palabra clave. En el campo Valor, escriba Classification=[clasificaciónde Titus]. Haga clic en +.

f En el campo Valor, escriba TLPropertyRoot=[Nombre de la organización]. Haga clic en elbotón de selección (o) para cambiarlo a y.

3 En McAfee ePO, seleccione Menú | Protección de datos | Conjunto de reglas de DLP.

4 En la ficha Conjuntos de reglas, lleve a cabo una de las acciones siguientes:

• Seleccione Acciones | Nuevo conjunto de reglas.

• Seleccione un conjunto de reglas existente.

5 Seleccione Acciones | Nueva regla | Protección de correo electrónico.

Aparece un formulario de definición de la protección de correo electrónico.

6 Especifique un Nombre de regla único.

7 En la ficha Condición, seleccione Cuerpo en la lista desplegable (en vez del Correo electrónicopredeterminado) y, a continuación, seleccione la Clasificación de Titus adecuada. Seleccione lasopciones Usuario final, Sobre de correo electrónico y Destinatarios adecuadas.

El cliente de McAfee DLP Endpoint considera la clasificación de Titus como parte del cuerpo delcorreo electrónico. Limitar la definición para solo analizar el cuerpo del mensaje hace que la reglasea más eficiente.

8 En la ficha Reacción, seleccione los parámetros Acción preventiva, Notificación de usuario, Notificar incidente yGravedad apropiados. Defina el campo Estado en Activado y, a continuación, haga clic en Guardar.

Integrar Boldon James Email Classifier con criterios declasificaciónCree los criterios de clasificación para integrar Boldon James Email Classifier.

Boldon James Email Classifier es una solución de correo electrónico que etiqueta y clasifica los correoselectrónicos. El software McAfee DLP Endpoint puede integrarse con Boldon James Email Classifier ybloquear correos electrónicos según las clasificaciones asignadas. Puede elegir qué clasificador decorreo electrónico de la cadena se envía a McAfee DLP Endpoint al configurar el software EmailClassifier. Utilice esta cadena para definir los criterios de clasificación.


1 Configure la compatibilidad de Boldon James en McAfee DLP Endpoint:

a En el catálogo de directivas, abra la Configuración del cliente actual. Seleccione Configuración |Módulos y modo de funcionamiento. Compruebe que la opción Complementos de Outlook | Integración decomplementos de terceros activa esté seleccionada.

b En Configuración | Protección de correo electrónico, en la sección Integración del complemento deterceros de Outlook, seleccione Boldon James en la lista desplegable Nombre del proveedor.

2 Cree una clasificación de Boldon James.

Clasificación del contenido confidencialCreación de las definiciones de clasificación 7


Para cada clasificación requerida, lleve a cabo estos pasos:

a En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.

b Seleccione la ficha Clasificación y, a continuación, haga clic en Nueva clasificación.

c Escriba un Nombre único y, si lo desea, una Descripción.

d Haga clic en Acciones | Nuevo criterio de clasificación.

Aparecerá la página Criterios de clasificación.

e Seleccione la propiedad Palabra clave. En el campo Valor, escriba[Clasificación de BoldonJames].

[Clasificación de Boldon James] es la cadena que seleccionó en la configuración de EmailClassifier para su envío a McAfee DLP Endpoint.

f Repita, creando una definición de los criterios de clasificación para cada clasificación de BoldonJames.

3 En McAfee ePO, seleccione Menú | Protección de datos | Conjunto de reglas de DLP.

4 En la ficha Conjuntos de reglas, lleve a cabo una de las acciones siguientes:

• Seleccione Acciones | Nuevo conjunto de reglas.

• Seleccione un conjunto de reglas existente.

5 Seleccione Acciones | Nueva regla | Protección de correo electrónico.

Aparece un formulario de definición de Protección de correo electrónico.

6 Especifique un Nombre de regla único.

7 En la ficha Condición, seleccione Cuerpo en la lista desplegable (en vez del Correo electrónicopredeterminado) y, a continuación, seleccione la Clasificación de Boldon James adecuada. Seleccionelas opciones Usuario final, Sobre de correo electrónico y Destinatarios adecuadas.

El cliente de McAfee DLP Endpoint considera la clasificación de Boldon James como parte del cuerpodel correo electrónico. Limitar la definición para solo analizar el cuerpo del mensaje hace que laregla sea más eficiente.

8 En la ficha Reacción, seleccione los parámetros Acción preventiva, Notificación de usuario, Notificar incidente yGravedad apropiados. Defina el campo Estado en Activado y, a continuación, haga clic en Guardar.

Clasificación por ubicación de archivoEl contenido de carácter confidencial se puede definir según el lugar en que esté situado (almacenado)o según dónde se utilice (aplicación o extensión de archivo).

McAfee DLP Endpoint utiliza varios métodos para ubicar y clasificar el contenido de carácterconfidencial. Datos en reposo es el término utilizado para describir las ubicaciones de los archivos.Clasifica el contenido planteando preguntas como "¿dónde se encuentra en la red?" o "¿en qué carpetase encuentra?" Datos en uso es el término utilizado para definir el contenido por cómo y dónde seutiliza. Clasifica el contenido planteando preguntas como "¿qué aplicación lo solicitó?" o "¿cuál es laextensión del archivo?"

La función de descubrimiento de McAfee DLP Endpoint encuentra sus datos en reposo. Puede buscarcontenido de archivos de equipos de endpoint o archivos de almacenamiento de correo electrónico(PST, PST asignado y OST).

7 Clasificación del contenido confidencialClasificación por ubicación de archivo


Definir parámetros de redLas definiciones de red funcionan como criterios de filtrado en las reglas de protección de la red.

• Las Direcciones de red supervisan las conexiones de red entre un origen externo y un equipogestionado. La definición puede ser una sola dirección, un intervalo o una subred. Puede incluir yexcluir a direcciones de red definidas en reglas de protección de comunicaciones de la red.

• Las definiciones de Puerto de red en las reglas de protección de comunicaciones de la red lepermiten excluir servicios específicos según lo definido por los puertos de red. Se integra una listade servicios comunes y sus puertos. Puede editar los elementos de la lista o crear sus propiasdefiniciones.

• Las definiciones de Recurso compartido de red especifican las carpetas de red compartidas enlas reglas de protección de recurso compartido de red. Puede incluir o excluir los recursoscompartidos definidos.

Creación de un intervalo de direcciones de redLos intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección decomunicaciones de la red.

ProcedimientoPara cada definición requerida, lleve a cabo los pasos del 1 al 4: Para ver las definiciones de lasopciones, haga clic en ? en la interfaz.


2 En el panel de la izquierda, seleccione Dirección de red (dirección IP) y, a continuación, haga clic enAcciones | Nuevo.

3 Introduzca un nombre único para la definición y, si lo desea, una descripción.

4 En el cuadro de texto, introduzca una dirección, un intervalo o una subred. Haga clic en Agregar.

Los ejemplos correctamente formateados se muestran en la página.

5 Cuando haya introducido todas las definiciones necesarias, haga clic en Guardar.

Crear un nuevo intervalo de puertos de redLos intervalos de puertos de red funcionan como criterios de filtrado en las reglas de protección decomunicaciones de la red.



2 En el panel de la izquierda, seleccione Puerto de red y, a continuación, haga clic en Acciones | Nuevo.

También puede editar las definiciones integradas.

3 Introduzca un nombre único y, si lo desea, una descripción.

4 Introduzca los números de puerto, separados por comas y, si lo desea, una descripción. Haga clicen Agregar.

5 Cuando haya agregado todos los puertos necesarios, haga clic en Guardar.

Clasificación del contenido confidencialClasificación por ubicación de archivo 7


Clasificación por destino de archivoAdemás de clasificar el contenido por su ubicación de procedencia, puede clasificar y controlar sudestino. En la jerga de prevención de fuga de datos, esto se conoce como datos en tránsito.

Las reglas de protección de archivos que controlan los destinos se incluyen las siguientes:

• Reglas de protección en la nube

• Reglas de protección de correo electrónico

• Reglas de protección de comunicaciones de la red (saliente)

• Reglas de protección contra impresión

• Reglas de protección de almacenamiento extraíble

• Reglas de protección de la publicación web

Contenido Uso del correo electrónico Uso de las impresoras Control de la información cargada en sitios web

Uso del correo electrónicoMcAfee DLP Endpoint protege los datos confidenciales de los encabezados, el cuerpo o los datosadjuntos de los correos electrónicos cuando se envían. El descubrimiento de almacenamiento decorreo electrónico detecta correos electrónicos con datos confidenciales en archivos OST o PST, y losetiqueta o los pone en cuarentena.

McAfee DLP Endpoint protege el contenido de carácter confidencial de los correos electrónicosmediante la clasificación y el etiquetado del contenido, y bloqueando el envío de correos electrónicoscon contenido de carácter confidencial. La directiva de protección de correo electrónico puedeespecificar reglas diferentes para usuarios y destinos de correo electrónico distintos, o para los correoselectrónicos protegidos con el cifrado o la administración de derechos.

Configuración del cliente

Establezca controles para el comportamiento de la funcionalidad de correo electrónico en Catálogo dedirectivas | Data Loss Prevention 9.4. | Configuración del cliente | Email Protection de McAfee ePO. Otrasconfiguraciones de esta página son:

• Almacenamiento en caché de correos electrónicos: Almacena las firmas de etiquetas de los correoselectrónicos en el disco para eliminar los que se han vuelto a analizar.

• API de administración de correo electrónico: El correo electrónico saliente lo gestiona tanto el Modelo deobjetos de Outlook (OOM) como la Interfaz de programación de aplicaciones de mensajería (MAPI).OOM es la API predeterminada, aunque algunas configuraciones requieren MAPI.

• Integración del complemento de terceros de Outlook: Dos aplicaciones de clasificación de terceros admitenTitus y Boldon James.

• Estrategia de tiempo de espera de correo electrónico: Establece el tiempo máximo permitido para analizar uncorreo electrónico y la acción aplicable si se supera el tiempo establecido.

7 Clasificación del contenido confidencialClasificación por destino de archivo


Creación de destinos de correo electrónicoLas definiciones de destino de correo electrónico son dominios de correo electrónico predefinidos odirecciones de correo electrónico específicas que pueden incluirse en las reglas de protección de correoelectrónico.

Para conseguir granularidad en reglas de protección de correo electrónico, incluya algunas direccionesde correo electrónico y excluya otras. Asegúrese de crear ambos tipos de definiciones.



2 En el panel de la izquierda, seleccione Dirección de correo electrónico y, a continuación, Acciones | Nuevo.

3 Introduzca un Nombre y, si lo desea, una Descripción.

4 Seleccione un Operador en la lista desplegable.

Los operadores son:

• El nombre de dominio es

• La dirección de correo electrónico es

• El nombre para mostrar es

• El nombre para mostrar contiene

5 Introduzca un valor y, a continuación, haga clic en Agregar.

6 Haga clic en Guardar cuando haya acabado de agregar direcciones de correo electrónico.

Uso de las impresorasLas reglas de protección contra impresión gestionan tanto impresoras locales como de red, y bloqueano supervisan la impresión de material confidencial.

Las reglas de protección contra impresión en McAfee DLP Endpoint 9.4 admiten el modo avanzado ylas impresoras V4. Las impresoras y los usuarios finales definidos pueden incluirse en una regla oexcluirse de ella. Las impresoras de imagen y las impresoras PDF pueden incluirse en la regla.

Las reglas de protección contra impresión pueden incluir definiciones de aplicaciones. Puede definir losprocesos en lista blanca que estén exentos de las reglas de protección contra impresión en Catálogode directivas | Data Loss Prevention 9.4 | Configuración del cliente | Protección contra impresión.

Crear una definición de la impresora de redUtilice definiciones de la impresora de red para crear reglas específicas de protección contraimpresión. Las impresoras definidas pueden incluirse en reglas o excluirse de estas.

Antes de empezarObtenga la ruta UNC de la impresora en la red.



2 En el panel de la izquierda, seleccione Impresora de red y, a continuación, seleccione Acciones | Nuevo.

Clasificación del contenido confidencialClasificación por destino de archivo 7



4 Introduzca la ruta UNC.

Todos los demás campos son opcionales.


Control de la información cargada en sitios webLas direcciones web se utilizan en reglas de protección de la publicación web.

Puede utilizar las definiciones de direcciones web para evitar que los datos marcados se publiquen endestinos web definidos (sitios web o páginas concretas de un sitio web), o para impedir que sepubliquen en sitios web no definidos. Generalmente, las definiciones de direcciones web establecen lossitios web internos y externos en los que se admite la publicación de datos marcados.

Crear una definición de lista de URLLas definiciones de listas de URL se utilizan para definir las reglas de protección de la publicación web.Se agregan a las reglas como condiciones de Dirección web (URL).

ProcedimientoPara cada URL requerida, lleve a cabo los pasos del 1 al 4: Para ver las definiciones de las opciones,haga clic en ? en la interfaz.


2 En el panel de la izquierda, seleccione Lista de URL y, a continuación, elija Acciones | Nuevo.

3 Introduzca un Nombre único y, si lo desea, una Definición.

4 Siga uno de estos procedimientos:

• Introduzca información de Protocolo, Host, Puerto y Ruta en los cuadros de texto y, a continuación,haga clic en Agregar.

• Pegue una URL en el cuadro de texto Pegar URL, haga clic en Analizar y, a continuación, en Agregar.

El software rellena los campos de URL.

5 Una vez agregadas a la definición todas las URL requeridas, haga clic en Guardar.

7 Clasificación del contenido confidencialClasificación por destino de archivo


8 Uso de reglas para proteger el contenidode carácter confidencial

McAfee DLP Endpoint protege el contenido de carácter confidencial con una combinación de reglas deprotección de datos, reglas de control de dispositivos y reglas de descubrimiento. Las reglas secombinan en conjuntos de reglas y se aplican a las directivas de McAfee DLP.

McAfee ePO despliega las directivas de McAfee DLP en los equipos Endpoint. El software cliente McAfeeDLP Endpoint aplica a continuación las directivas para proteger el contenido de carácter confidencial.

Contenido Funcionamiento de las reglas Protección de archivos mediante la gestión de derechos Conjuntos de reglas Creación y configuración de reglas y conjuntos de reglas

Funcionamiento de las reglasUtilice reglas para detectar y realizar acciones contra las infracciones de directivas de datos.

Los eventos y transferencias de datos detectados por McAfee DLP se comparan con las reglas activas.Las reglas contienen dos componentes de configuración: la condición y la reacción. Si el evento o latransferencia coincide con la condición en la regla, esta se activa y McAfee DLP implementa la reacciónde la regla, por ejemplo, el bloqueo de la acción o la creación de un incidente. Las condiciones yreacciones disponibles dependen del tipo de regla configurada.

Existen tres categorías de reglas.

8


Categoría de regla Disponiblepara:

Descripción

Reglas de protecciónde datos

McAfee DLPEndpoint.

Detección de los intentos realizados de transferencia dedatos.Según el tipo de regla de protección de datos, lascondiciones incluyen elementos como clasificaciones,usuarios finales y aplicaciones.

Las reacciones disponibles incluyen el bloqueo del intentoo su permiso con una justificación.

Reglas de control dedispositivos

McAfee DLPEndpoint, McAfeeDevice Control

Detección de aplicaciones como Citrix XenApp o TrueCrypty de cuándo se conectan los dispositivos dealmacenamiento extraíbles al equipo Endpoint.Las reacciones disponibles incluyen el bloqueo de accesode solo lectura de la aplicación o el dispositivo.

Reglas dedescubrimiento

McAfee DLPEndpoint,

Análisis de sistemas de archivos para los archivos quecumplen los criterios coincidentes.Las restricciones disponibles incluyen la puesta encuarentena o el traslado del archivo coincidente.

Utilice conjuntos de reglas para agrupar las reglas relacionadas. Para activar las reglas activadas,aplique conjuntos de reglas a sus directivas de McAfee DLP.

Omisión de protección

Cuando hay una necesidad empresarial legítima, es posible conceder permisos a un usuario paraomitir directivas, acceder o transferir información confidencial durante un tiempo limitado. En eseintervalo, toda la información confidencial se supervisa, en lugar de bloquearse, de acuerdo con lasreglas existentes. El usuario y el administrador del sistema reciben mensajes acerca del estado deomisión cuando está activado y desactivado.

El permiso de omisión se administra con el módulo de software Help Desk en McAfee ePO. El usuariodel endpoint proporciona un código de identificación y un número de revisión al administrador. Acontinuación, el administrador ofrece al usuario un código de autorización desde Help Desk. Laomisión de directivas se aplica durante un tiempo predefinidos, determinado por el administrador.

Véase también Protección de la transferencia de datos de usuario con reglas de protección de datos en lapágina 84Protección de medios extraíbles con reglas de control de dispositivos en la página 86Protección de los archivos con las reglas de descubrimiento en la página 88Reacciones disponibles para los tipos de regla en la página 88Crear una regla en la página 94

Protección de la transferencia de datos de usuario con reglasde protección de datosLas reglas de protección de datos controlan el flujo de datos con acciones cuando se intenta transferirinformación confidencial.

Las reglas de protección de datos controlan las acciones de los usuarios, por ejemplo, la escritura endispositivos de almacenamiento extraíbles, la impresión de archivos o el uso del portapapeles. Todaslas condiciones de la regla de protección de datos incluyen una clasificación y a un usuario final. Segúnel tipo de regla, puede que haya disponibles otras condiciones.

8 Uso de reglas para proteger el contenido de carácter confidencialFuncionamiento de las reglas


Tabla 8-1 Reglas de protección de datos disponibles

Tipo de regla Controla...

Protección de acceso a archivos de laaplicación

Archivos basados en la aplicación que accedieron al archivo.

Protección del Portapapeles La funcionalidad de copiar y pegar del Portapapeles.

Protección en la nube Servicios en la nube como Dropbox.

Protección de correo electrónico Mensajes de correo electrónico enviados entre usuarios ydestinos específicos.

Protección de comunicaciones de lared

Datos de red entrantes o salientes.

Solo se admiten las reglas de protección de comunicacionesde la red en sistemas operativos que no pertenecen alservidor de Windows.

Protección de recurso compartido dered

Los archivos que se copian o mueven a un recursocompartido de red o desde este.

Protección contra impresión Archivos enviados a una impresora.


Datos escritos a un dispositivo de almacenamiento extraíble.

Protección contra capturas de pantalla Uso de capturas de pantalla.

Protección de la publicación web Los datos publicados en los sitios web, incluidos los sitios decorreo electrónico basados en la Web.

Justificación empresarialLa función de justificación empresarial define acciones alternativas para las reglas.

Algunas reglas de protección de datos permiten una acción preventiva de tipo Solicitar justificación.Esta opción permite al administrador definir hasta tres acciones preventivas distintas, según larespuesta del usuario. Las definiciones de justificación incluyen las justificaciones y las accionesdefinidas, y la entrada opcional del usuario. Dado que se predefinen las acciones preventivas, estasson específicas para tipos de reglas. Tratar de utilizar una definición de justificación en una regla queno coincide genera un mensaje de error.

Tabla 8-2 Reglas que admiten acciones de justificación y permitidas

Regla de protección Sin acción Cuarentena Aplicar directiva deadministración de

derechos

Bloquear Cifrar

Protección en la nube x x x

Protección de correoelectrónico

x x

Protección de recursocompartido de red

x x

Protección contra impresión x x


x x x

Protección de la publicaciónweb

x x

Uso de reglas para proteger el contenido de carácter confidencialFuncionamiento de las reglas 8


Las acciones de justificación se definen en la definición de Justificación. Si selecciona Cifrar o Aplicardirectiva de administración de derechos, la selección de la clave de cifrado, o el servidor y la directivade administración de derechos no forman parte de la definición. Se definen en la regla de protección alabrir el cuadro de diálogo Justificación porque la clave de cifrado, o el servidor y la directiva deadministración de derechos dependen del Conjunto de reglas específico.

Las definiciones de justificación admiten la función Configuraciones regionales y pueden establecerseen todos los idiomas admitidos por McAfee DLP Endpoint.

Caso práctico: regla de protección contra impresión

Cuando el usuario final activa una regla con la acción de justificación, se muestra una ventanaemergente con las opciones de justificación y acción preventiva. En este ejemplo, la acción de bloqueoes la predeterminada (es decir, la que se aplica si no se selecciona ninguna justificación). El usuariopuede consultar el archivo para ver lo que activó la ventana emergente.

Figura 8-1 Mensaje emergente de justificación empresarial

Protección de medios extraíbles con reglas de control dedispositivosEl control de dispositivos protege frente al uso no autorizado de dispositivos multimedia extraíblespara evitar la fuga de datos.

La funcionalidad de control de dispositivos se incluye en McAfee DLP Endpoint y también se ofrececomo un producto independiente con McAfee

®

Device Control. Device Control está disponible tantopara sistemas operativos de Microsoft Windows como de Mac OS X. La versión de Microsoft Windowspuede ampliarse a la opción con todas las funciones de McAfee DLP Endpoint mediante la ampliaciónde la licencia.

Las reglas de control de dispositivos pueden supervisar o bloquear los dispositivos conectados a losequipos gestionados, mediante el control de la distribución de información de carácter confidencial.Los dispositivos incluyen teléfonos inteligentes, dispositivos Bluetooth, reproductores de MP3,dispositivos Plug and Play y otras formas de almacenamiento extraíble.



Todas las condiciones de la regla de dispositivo incluyen un usuario final y un tipo de dispositivo.Según el tipo de regla, puede que haya disponibles otras condiciones.

Device Control para Mac OS X se limita a las reglas para dispositivos de almacenamiento extraíbles y noadmite protección de datos basada en contenido.

Tabla 8-3 Reglas de control de dispositivos disponibles

Tipo de regla Se aplica alossistemasoperativos:

Se utiliza para...

DispositivoCitrix XenApp

Windows Bloquear los dispositivos Citrix asignados a sesiones de escritorio compartidas.

Disco duro fijo Windows Bloquear, supervisar o forzar el acceso de solo lectura a los discos duros fijos.Estas reglas no protegen el arranque ni las particiones del sistema.

Dispositivo Plugand Play

Windows Bloquear o supervisar los dispositivos Plug and Play.Estas reglas se activan cuando el dispositivo de hardware se conecta al equipo.

Dispositivo dealmacenamientoextraíble

Windows,Mac OS X

Bloquear, supervisar o forzar el acceso de solo lectura a los dispositivos dealmacenamiento extraíbles.Estas reglas se activan al montar un nuevo sistema de archivos.

Acceso aarchivos endispositivos dealmacenamientoextraíbles

Windows Bloquear o supervisar los ejecutables en dispositivos extraíbles.Estas reglas pueden evitar que el ejecutable se ejecute o se copie en eldispositivo extraíble.

De forma predeterminada, estas reglas bloquean estos ejecutables yextensiones de archivos: .bat, .cab,

.cgi, .cmd, .com, .cpl, .dll, .exe, .jar, .msi, .py, .pyc, .rar, .scr, .vb, .vbs, .ws, .wsfy .zip.

Puede configurar extensiones adicionales que bloquear.

DispositivoTrueCrypt

Windows Bloquear, supervisar o implantar acceso de solo lectura a los dispositivosvirtuales cifrados mediante TrueCrypt.

Si tiene McAfee DLP Endpoint, utilice una regla de protección si desea unaprotección basada en el contenido para los volúmenes de TrueCrypt.

Los volúmenes de TrueCrypt no admiten atributos extendidos, por lo que lasmarcas de McAfee DLP Endpoint se pierden cuando el contenido marcado secopia en los volúmenes de TrueCrypt. Utilice las propiedades de documentos, elcifrado de archivos o las definiciones de grupos de tipos de archivos en ladefinición de clasificación para identificar el contenido.



Tabla 8-4 Terminología del control de dispositivos

Término Se aplica a lossistemas operativos:

Definición

Clase dedispositivos

Windows Una recopilación de dispositivos que tienencaracterísticas parecidas y que se pueden gestionar deun modo similar.


Windows, Mac OS X Las definiciones de dispositivos se utilizan en lacondición de una regla para especificar el tipo y laspropiedades del dispositivo.

Propiedad deldispositivo

Windows, Mac OS X Las propiedades de los dispositivos son parámetrospredefinidos que sirven para definir las característicasdel dispositivo. Las propiedades de los dispositivosincluyen elementos como tipo de bus, tipo de sistemade archivos, nombre de dispositivo o número de serie.Las propiedades disponibles dependen del tipo dedefinición del dispositivo.

Véase también Crear una regla en la página 94Reacciones disponibles para los tipos de regla en la página 88

Protección de los archivos con las reglas de descubrimientoLas reglas de descubrimiento definen el contenido que busca McAfee DLP al analizar repositorios ydeterminar la acción que se debe llevar a cabo cuando se encuentra contenido coincidente.

En función del tipo de regla, los archivos que coinciden con un análisis se pueden copiar, mover, cifrar,poner en cuarentena, etiquetar o se les puede aplicar una directiva de administración de derechos.Todas las condiciones de la regla de descubrimiento incluyen una clasificación.

Cuando utilice las reglas descubrimiento de almacenamiento de correo electrónico con la acciónpreventiva Cuarentena, verifique que los complementos de Outlook están activados (Catálogo dedirectivas | Data Loss Prevention 9.4 | Configuración del cliente | Módulos y modo de funcionamiento).No puede liberar correos electrónicos de la cuarentena si los complementos de Outlook estándesactivados.

Tabla 8-5 Reglas de descubrimiento disponibles

Tipo de regla Producto Controla los archivos descubiertos de...

Sistema de archivos local McAfee DLP Endpoint. Análisis del sistema de archivos local.

Correo electrónico local (OST,PST)

McAfee DLP Endpoint. Análisis de sistemas de almacenamiento decorreo electrónico.

Reacciones disponibles para los tipos de reglaLas reacciones disponibles para una regla varían en función del tipo de regla.

• Las reglas de protección de datos están disponibles para McAfee DLP Endpoint.

• Las reglas de control de dispositivos están disponibles para McAfee DLP Endpoint yDevice Control.



Tabla 8-6 Reacciones disponibles

Reacción Se aplica a las reglas: Resultado

Sin acción Todo Permite la acción.

Bloquear • Protección de datos

• Control de dispositivos

Bloquea la acción.

Solo lectura Control de dispositivos Fuerza el acceso solo lectura.

Cifrar • Protección de datos

• Descubrimiento

Cifra el archivo.

Solicitar justificación Protección de datos Genera un mensaje emergente en el equipo delusuario final. El usuario selecciona una justificación(con la entrada opcional del usuario) o seleccionauna acción opcional.

Aplicar directiva deadministración dederechos

• Protección de datos

• Descubrimiento

Aplica una directiva de administración de derechosal archivo.

Cuarentena Descubrimiento Pone en cuarentena el archivo.

Etiqueta Descubrimiento Etiqueta el archivo.

Mostrar archivo en laconsola de DLPEndpoint

Descubrimiento Muestra Nombre de archivo y Ruta en la consola delendpoint. Nombre de archivo es un vínculo para abrir elarchivo, excepto cuando el archivo está puesto encuarentena. Ruta abre la carpeta que contiene elarchivo.

Notificación deusuario


• Descubrimiento

Envía un mensaje al equipo Endpoint para informaral usuario de la infracción de directivas.

Cuando se selecciona Notificación de usuario y sedesencadenan varios eventos, aparece unmensaje emergente que indica que Hay nuevoseventos DLP en su consola de DLP, en lugar demostrar varios mensajes.

Notificar incidente Todo Genera una entrada del incidente de la infracción enAdministrador de incidentes de DLP.

Almacenar archivooriginal


• Descubrimiento

Guarda el archivo para su visualización a través deladministrador de incidentes.

Requiere una carpeta de pruebas específica y laactivación del servicio de copia de pruebas.

Tabla 8-7 Reacciones de la regla de protección de datos

Tipo de regla

Reacciones

Sinacción

Bloquear Cifrar Solicitarjustificación

Aplicardirectiva deadministraciónde derechos

Notificaciónde usuario

Notificarincidente

Almacenararchivooriginal

Protección deacceso aarchivos de laaplicación

X X X X X

Protección delPortapapeles X X X X X



Tabla 8-7 Reacciones de la regla de protección de datos (continuación)

Tipo de regla

Reacciones

Sinacción

Bloquear Cifrar Solicitarjustificación


Notificaciónde usuario

Notificarincidente


Protección en lanube X X X X X X X

Protección decorreoelectrónico

X X X X X X

Protección decomunicacionesde la red

X X X X

Protección derecursocompartido dered

X X X X X X

Proteccióncontraimpresión

X X X X X X

Protección dealmacenamientoextraíble

X X X X X X X

Proteccióncontra capturasde pantalla

X X X X X

Protección de lapublicación web X X X X X X

Tabla 8-8 Reacciones de la regla de control de dispositivos

ReglasReacciones

Sin acción Bloquear Sololectura

Notificación deusuario

Notificarincidente

Dispositivo Citrix XenApp X

Disco duro fijo X X X X X

Dispositivo Plug and Play X X X X

Dispositivo dealmacenamiento extraíble X X X X X

Acceso a archivos endispositivos dealmacenamientoextraíbles

X X X X

Dispositivo TrueCrypt X X X X X



Tabla 8-9 Reacciones de la regla de descubrimiento

Reglas

Reacciones

Sinacción Copiar Mover Cifrar


Cuarentena Etiquetar

Mostrarelarchivoen laconsolaMcAfeeDLPEndpoint

Notificarincidente


Sistema dearchivos deEndpoint

X X X X X X X X

Protección dealmacenamientode correos deEndpoint

X X X X X X

Protección de archivos mediante la gestión de derechosMcAfee DLP Endpoint puede integrarse con los servidores de administración de derechos (RM) paraaplicar la protección a los archivos que coincidan con las clasificaciones de la regla.

Puede aplicar una reacción de directiva de administración de derechos a la protección de datos y a lasreglas de descubrimiento:

• Protección en la nube

• Sistema de archivos de Endpoint

Las directivas de administración de derechos no se pueden utilizar con las reglas de control dedispositivos.

McAfee DLP Endpoint puede reconocer los archivos protegidos por administración de derechosañadiendo una propiedad de cifrado de archivos a los criterios de clasificación o marcado. Dichosarchivos pueden incluirse o excluirse de la clasificación.

Véase también Definir un servidor de administración de derechos en la página 36

Funcionamiento de McAfee DLP con la administración dederechosMcAfee DLP sigue un flujo de trabajo para aplicar las directivas de administración de derechos a losarchivos.

Flujo de trabajo de la administración de derechos

1 Cree y aplique una protección de datos o una regla de descubrimiento con una reacción paraaplicar la directiva de administración de derechos. La reacción requiere un servidor deadministración de derechos y la introducción de una directiva de administración de derechos.También puede crear una regla de marcado para añadir una etiqueta a los archivos protegidos porla administración de derechos.

2 Cuando un archivo activa la regla, McAfee DLP envía el archivo al servidor de administración dederechos.

Uso de reglas para proteger el contenido de carácter confidencialProtección de archivos mediante la gestión de derechos 8


3 El servidor de administración de derechos aplica las protecciones en función de la directivaespecificada, como el cifrado del archivo, la limitación de los usuarios con permiso para acceder aél o descifrarlo y la limitación de las condiciones en las que se puede acceder al archivo.

4 El servidor de administración de derechos envía el archivo de vuelta al origen con las proteccionesaplicadas.

5 Si ha configurado una etiqueta para el archivo, McAfee DLP puede supervisar dicho archivo.

Cuando el software de McAfee DLP que aplica la regla de descubrimiento del sistema de archivosencuentra un archivo que proteger, utiliza el GUID de la plantilla como identificador exclusivo paralocalizar la plantilla y aplicar la protección.

Limitaciones

El software de McAfee DLP Endpoint no inspecciona los archivos protegidos por la administración dederechos en relación con el contenido. Cuando un archivo marcado está protegido de esta forma, solose mantienen las marcas estáticas (ubicación y aplicación). Si un usuario modifica el archivo, todas lasetiquetas se pierden al guardar el archivo.

Servidores de administración de derechos compatiblesMcAfee DLP Endpoint es compatible con Microsoft Windows Rights Management Services (MicrosoftRMS) y con Seclore FileSecure™ information rights management (IRM).

Microsoft RMS

McAfee DLP Endpoint es compatible con Microsoft RMS en Windows Server 2003 y Active DirectoryRMS (AD-RMS) en Windows Server 2008 y 2012. Puede aplicar la protección de Windows RightsManagement Services a:

• Documentos de Microsoft Word 2007, Word 2010 y Word 2013

• Documentos de Microsoft Excel 2007, Excel 2010 y Excel 2013

• Documentos de Microsoft PowerPoint 2007, PowerPoint 2010 y PowerPoint 2013

• Documentos de SharePoint 2007.

• Documentos de Exchange Server 2007.

Con Microsoft RMS, el software de McAfee DLP Endpoint puede inspeccionar el contenido de losarchivos protegidos si el usuario actual cuenta con permisos de visualización.

Para obtener más información sobre Microsoft RMS, visite http://technet.microsoft.com/es-es/library/cc772403.aspx.

Seclore IRM

McAfee DLP Endpoint es compatible con Seclore FileSecure RM, que admite más de 140 formatos dearchivo, entre ellos los formatos de documento más usados:

• Documentos de Microsoft Office.

• Documentos de Open Office.

• Archivos PDF.

• Formatos de texto y basados en texto, incluidos: CSV, XML y HTML.

8 Uso de reglas para proteger el contenido de carácter confidencialProtección de archivos mediante la gestión de derechos


http://technet.microsoft.com/en-us/library/cc772403.aspx

http://technet.microsoft.com/en-us/library/cc772403.aspx

• Formatos de imagen, incluidos: JPEG, BMP, GIF, etc.

• Formato de diseño de ingeniería, incluidos: DWG, DXF y DWF.

El cliente de McAfee DLP Endpoint funciona con el cliente de escritorio de FileSecure para ofrecer laintegración tanto en línea como fuera de línea.

Para obtener más información sobre Seclore IRM, visite http://seclore.com/seclorefilesecure_overview.html.

Conjuntos de reglasLos conjuntos de reglas definen las directivas de McAfee DLP Endpoint. Pueden contener unacombinación de protección de datos, control de dispositivos y reglas de descubrimiento.

La página Conjuntos de reglas muestra una lista de conjuntos de reglas definidas y el estado de cada una.También figura el número de incidentes registrados para cada uno de los conjuntos, de reglasdefinidas y de reglas activadas. Los iconos de colores indican el tipo de reglas activadas. El texto deinformación sobre las herramientas que aparece al pasar el ratón por encima de estos iconos muestrael tipo de regla y el número de ellas activadas.

Creación y configuración de reglas y conjuntos de reglasCree y configure reglas para sus directivas de McAfee DLP Endpoint, Device Control y McAfee DLPDiscover.

Procedimientos• Creación de un conjunto de reglas en la página 93

Los conjuntos de reglas combinan la protección de varios dispositivos, la protección dedatos y las reglas de análisis de descubrimiento.

• Crear una regla en la página 94Los procesos para crear una regla son similares para todos los tipos de regla.

• Activar, desactivar o eliminar reglas en la página 94Puede eliminar o cambiar el estado de varias reglas simultáneamente.

• Configuración de las columnas de reglas o de conjuntos de reglas en la página 95Mueva, agregue o elimine las columnas que se muestran para reglas o conjuntos de reglas.

• Personalización de mensajes del usuario final en la página 95Se utilizan dos tipos de mensajes para comunicarse con los usuarios finales: notificacionesy mensajes de justificación del usuario.

• Crear una definición de justificación en la página 96Las definiciones de justificación empresarial definen los parámetros para la acciónpreventiva de justificación en las reglas.

• Crear una definición de notificación en la página 97Las notificaciones de usuario aparecen en las ventanas emergentes o la consola del usuariofinal cuando las acciones de los usuarios infringen las directivas.

Creación de un conjunto de reglasLos conjuntos de reglas combinan la protección de varios dispositivos, la protección de datos y lasreglas de análisis de descubrimiento.

Uso de reglas para proteger el contenido de carácter confidencialConjuntos de reglas 8


http://seclore.com/seclorefilesecure_overview.html

http://seclore.com/seclorefilesecure_overview.html


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.

2 Haga clic en la pestaña Conjuntos de reglas.

3 Seleccione Acciones | Nuevo conjunto de reglas.

4 Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar.

Crear una reglaLos procesos para crear una regla son similares para todos los tipos de regla.



2 Haga clic en la ficha Conjuntos de reglas.

3 Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la ficha apropiadapara las reglas de Protección de datos, Control de dispositivos o Descubrimiento.

4 Seleccione Acciones | Nueva regla y, a continuación, elija el tipo de regla.

5 En la ficha Condición, introduzca la información.

• Para algunas condiciones, como las clasificaciones o las definiciones de dispositivos, haga clicen ... para seleccionar una existente o crear un nuevo elemento.

• Para agregar criterios adicionales, haga clic en +.

• Para eliminar criterios, haga clic en -.

6 En la ficha Reacción, configure la reacción.


Véase también Funcionamiento de las reglas en la página 83

Activar, desactivar o eliminar reglasPuede eliminar o cambiar el estado de varias reglas simultáneamente.



2 Haga clic en la ficha Conjuntos de reglas.

3 Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la ficha apropiadapara las reglas de Protección de datos, Control de dispositivos o Descubrimiento.

4 Seleccione una o varias reglas.

8 Uso de reglas para proteger el contenido de carácter confidencialCreación y configuración de reglas y conjuntos de reglas


5 Actualice o elimine las reglas seleccionadas.

• Para activar las reglas, seleccione Acciones | Cambiar estado | Activar.

• Para desactivar las reglas, seleccione Acciones | Cambiar estado | Desactivar.

• Para eliminar las reglas, seleccione Acciones | Eliminar.

Configuración de las columnas de reglas o de conjuntos dereglasMueva, agregue o elimine las columnas que se muestran para reglas o conjuntos de reglas.



2 Haga clic en la pestaña Conjuntos de reglas.

3 Acceda a la página Seleccione las columnas que se van a mostrar.• Conjuntos de reglas: Seleccione Acciones | Elegir columnas.

• Reglas: Seleccione un conjunto de reglas y, después, Acciones | Elegir columnas.

4 Modifique las columnas.

• En el panel Columnas disponibles, haga clic en los elementos para añadir columnas.

• En el panel Columnas seleccionadas, haga clic en las flechas o en x para mover o eliminar columnas.

• Haga clic en Utilizar valores predeterminados para restaurar las columnas a su configuraciónpredeterminada.


Personalización de mensajes del usuario finalSe utilizan dos tipos de mensajes para comunicarse con los usuarios finales: notificaciones y mensajesde justificación del usuario.Las definiciones de notificación y justificación pueden especificar las Configuraciones regionales (idiomas) yagregar los marcadores de posición sustituidos por sus valores reales. Cuando se definen lasconfiguraciones regionales, aparecen los mensajes y los botones de opción (para las justificacionesempresariales) en el idioma predeterminado del equipo Endpoint.

Notificación de usuarioLas notificaciones de usuario son mensajes emergentes que informan al usuario de la infracción deuna directiva.

Cuando una regla desencadena varios eventos, el mensaje emergente indica: Hay nuevos eventos DLPen su consola de DLP en lugar de mostrar varios mensajes.

Los mensajes de notificación del usuario se definen en Administrador de directivas de DLP | Definiciones |Notificaciones.

Justificación empresarialLa justificación empresarial es una forma de omisión de la directiva. Cuando se especifica Solicitarjustificación como acción preventiva en una regla, el usuario puede introducir la justificación paracontinuar sin ser bloqueado.

Uso de reglas para proteger el contenido de carácter confidencialCreación y configuración de reglas y conjuntos de reglas 8


Los mensajes de justificación empresarial se definen en Administrador de directivas de DLP | Definiciones |Justificación.

Marcadores de posición

Los marcadores de posición son una manera de introducir texto variable en los mensajes, según loque desencadenara el mensaje del usuario final. Los marcadores de posición disponibles son:

• %c para las clasificaciones

• %r para el nombre del conjunto de reglas

• %v para los vectores (protección de correo electrónico, protección web, etc.)

• %a para las acciones

• %s para el valor de cadena (nombre de archivo, nombre de dispositivo, etc.)

Crear una definición de justificaciónLas definiciones de justificación empresarial definen los parámetros para la acción preventiva dejustificación en las reglas.



2 Haga clic en la ficha Definiciones y, a continuación, seleccione Notificación | Justificación.



5 Para crear definiciones de justificación en varios idiomas, seleccione Acciones de configuración regional |Nueva configuración regional. Para cada configuración regional requerida, seleccione una configuración dela lista desplegable.

Las configuraciones regionales seleccionadas se agregan a la lista.

6 Para cada configuración regional, haga lo siguiente:

a En el panel de la izquierda, seleccione la configuración regional que desea editar. Escriba textoen los cuadros de texto y seleccione las casillas de verificación según sea necesario.

Mostrar cadenas coincidentes proporciona un vínculo en la ventana emergente para que se muestre elcontenido resaltado de coincidencias. Más información proporciona un vínculo a un documento opágina de la intranet para obtener información.

Al introducir una definición de la configuración regional, las casillas de verificación y las accionesno están disponibles. Solo puede introducir etiquetas de botones, descripciones y títulos. En lasección Opciones de justificación, puede sustituir las definiciones predeterminadas por la versión de laconfiguración regional mediante la función Editar en la columna Acciones.

b Introduzca una Descripción general de justificación y, si lo desea, un Título de cuadro de diálogo.

La descripción es una instrucción general para el usuario, por ejemplo: Esta acción requiere unajustificación empresarial. La longitud máxima de la entrada es de 500 caracteres.



c Escriba texto para las etiquetas de botones y seleccione las acciones de estos. Marque la casillade verificación Ocultar botón para crear una definición de dos botones.

Las acciones de los botones tienen que coincidir con las acciones preventivas disponibles para eltipo de regla que utiliza la definición. Por ejemplo, para las acciones preventivas, las reglas deprotección de recurso compartido de red solo se pueden definir en Sin acción, Cifrar o Solicitarjustificación. Si selecciona Bloquear para una de las acciones de botón e intenta utilizar la definiciónen una definición de regla de protección de recurso compartido de red, aparecerá un mensajede error.

d Escriba texto en el cuadro de texto y haga clic en Agregar para añadirlo a la lista de Opciones dejustificación. Seleccione la casilla de verificación Mostrar opciones de justificación si desea que el usuariofinal vea la lista.

Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que seactivara el mensaje emergente.

7 Cuando termine con todas, haga clic en Guardar.

Véase también Personalización de mensajes del usuario final en la página 95

Crear una definición de notificaciónLas notificaciones de usuario aparecen en las ventanas emergentes o la consola del usuario finalcuando las acciones de los usuarios infringen las directivas.



2 Haga clic en la ficha Definiciones y, a continuación, seleccione Notificación | Notificación de usuario.



5 Para crear definiciones de notificación de usuario en varios idiomas, seleccione Acciones deconfiguración regional | Nueva configuración regional. Para cada configuración regional requerida, seleccioneuna configuración de la lista desplegable.

Las configuraciones regionales seleccionadas se agregan a la lista.

6 Para cada configuración regional, haga lo siguiente:

a En el panel de la izquierda, seleccione la configuración regional que desea editar.

Puede definir cualquier configuración regional como valor predeterminado mediante la selecciónde la casilla de verificación Configuración regional predeterminada.

b Introduzca texto en el cuadro de texto.

Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que seactivara el mensaje emergente.

Uso de reglas para proteger el contenido de carácter confidencialCreación y configuración de reglas y conjuntos de reglas 8


c (Opcional) Seleccione la casilla de verificación Mostrar vínculo a más información e introduzca unaURL para proporcionar información más detallada.

Solo disponible en la configuración regional predeterminada.

7 Cuando termine con todas, haga clic en Guardar.

Véase también Personalización de mensajes del usuario final en la página 95



9 Descubrimiento de Endpoint

Descubrimiento es un rastreador que se ejecuta en los equipos Endpoint. Busca archivos del sistemade archivos local y de almacenamiento de correo electrónico, y aplica reglas para proteger contenidode carácter confidencial.

Contenido Modo de funcionamiento del análisis de descubrimiento Encontrar contenido con el rastreador de descubrimiento de Endpoint

Modo de funcionamiento del análisis de descubrimientoUtilice los análisis de descubrimiento del endpoint para localizar el sistema de archivos local o losarchivos de almacenamiento de correo electrónico con contenido de carácter confidencial, yetiquételos o póngalos en cuarentena.

El descubrimiento de McAfee DLP Endpoint es un rastreador que se ejecuta en los equipos cliente.Cuando encuentra contenido predefinido, puede supervisar, poner en cuarentena, etiquetar, cifrar oaplicar una directiva de administración de derechos a los archivos que contienen dicho contenido. Eldescubrimiento de Endpoint puede analizar los archivos del equipo o los del almacenamiento de correoelectrónico (PST, PST asignado y OST). Los archivos de almacenamiento de correo electrónico sealmacenan en caché de forma individual para cada usuario.

Para utilizar el descubrimiento de Endpoint, tiene que activar los módulos de Descubrimiento en Catálogo dedirectivas | Configuración del cliente | Módulos y modo de funcionamiento.

Al final de cada análisis de descubrimiento, el cliente de McAfee DLP Endpoint envía un evento deresumen del descubrimiento a la consola Eventos operativos de DLP en McAfee ePO para registrar losdetalles del análisis. En el evento se incluye un archivo de pruebas en el que se indican los archivosque no se pudieron analizar y el motivo por el que no se analizaron dichos archivos. Hay también unarchivo de pruebas con los archivos que coinciden con la clasificación y la acción realizada.

¿Cuándo se pueden realizar búsquedas?

Análisis de descubrimiento de planificación en el Catálogo de directivas | Directiva de DLP | Descubrimiento deEndpoint. Puede realizar un análisis diario a una hora específica o en días determinados de la semana odel mes. Puede especificar las fechas de inicio y fin, o realizar un análisis cuando se implemente laconfiguración de McAfee DLP Endpoint. Puede suspender un análisis cuando la CPU o la memoria RAMdel equipo superen el límite especificado.

Si cambia la directiva de descubrimiento cuando se está realizando el análisis de un endpoint, lasreglas y parámetros de planificación cambiarán de forma inmediata. Los cambios para los que se hanactivado o desactivado los parámetros surtirán efecto en el siguiente análisis. Si se ha reiniciado elequipo mientras se estaba realizando un análisis, éste continúa por donde se quedó.

9


¿Qué tipo de contenido se puede descubrir?

Puede definir las reglas de descubrimiento con una clasificación. Cualquier propiedad de los archivos ocondición de los datos que se puedan agregar a los criterios de clasificación se pueden utilizar paradescubrir contenido.

¿Qué sucede con los archivos descubiertos con contenido de carácter confidencial?

Puede poner en cuarentena o etiquetar archivos de correo electrónico. Puede cifrar, poner encuarentena, etiquetar o aplicar una directiva de administración de derechos a los archivos del sistemade archivos local. Puede almacenar las pruebas de ambos tipos de archivo.

Encontrar contenido con el rastreador de descubrimiento deEndpoint

La ejecución del rastreador de descubrimiento conlleva cuatro pasos.

1 Cree y defina clasificaciones para identificar contenido de carácter confidencial.

2 Cree y defina una regla de descubrimiento. La regla de descubrimiento incluye la clasificación comoparte de la definición.

3 Cree una definición de planificación.

4 Configure los parámetros de análisis. La definición del análisis incluye la planificación como uno delos parámetros.

Procedimientos• Crear y definir una regla de descubrimiento en la página 100

Las reglas de descubrimiento definen el contenido que busca el rastreador y qué hacercuando este se encuentra.

• Crear una definición de planificador en la página 101El planificador determina cuándo y con qué frecuencia se ejecuta un análisis dedescubrimiento.

• Configurar un análisis en la página 102Los análisis de descubrimiento rastrean el sistema de archivos local o los buzones de correoen busca de contenido de carácter confidencial.

• Restauración de elementos de correo electrónico o archivos en cuarentena en la página102Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido decarácter confidencial, mueve los archivos o los elementos de correo electrónico afectados auna carpeta de cuarentena, y los sustituye por marcadores de posición que notifican a losusuarios que sus archivos o correos electrónicos están en cuarentena. Además, los archivosy los elementos de correo electrónico en cuarentena se cifran para evitar el uso noautorizado.

Crear y definir una regla de descubrimientoLas reglas de descubrimiento definen el contenido que busca el rastreador y qué hacer cuando este seencuentra.

Los cambios en una regla de descubrimiento se aplican cuando se implementa la directiva. Aunqueesté en curso un análisis, la nueva regla entra en vigor inmediatamente.

9 Descubrimiento de EndpointEncontrar contenido con el rastreador de descubrimiento de Endpoint


Para los análisis de almacenamiento de correo electrónico (PST, PST asignado, y OST), el rastreadoranaliza los elementos de correo electrónico (cuerpo y datos adjuntos), los elementos de calendario ylas tareas. No busca en carpetas públicas ni en notas rápidas.



2 En la página Conjuntos de reglas, seleccione Acciones | Nuevo conjunto de reglas. Introduzca un nombre yhaga clic en Aceptar.

También puede agregar reglas de descubrimiento a un conjunto de reglas existente.

3 En la ficha Descubrimiento, seleccione Acciones | Nueva regla de descubrimiento de endpoint y, a continuación,elija Correo electrónico local o Sistema de archivos local.

Aparecerá la página apropiada.

4 Introduzca un Nombre de regla y seleccione una clasificación.

5 Haga clic en Reacción. Seleccione una Acción preventiva en la lista desplegable.

6 (Opcional) Seleccione las opciones de Notificar incidente, defina el valor Estado en Activado y seleccioneuna designación de Gravedad en la lista desplegable.


Crear una definición de planificadorEl planificador determina cuándo y con qué frecuencia se ejecuta un análisis de descubrimiento.

Se proporcionan cinco tipos de planificación:

• Ejecutar inmediatamente • Semanal

• Una vez • Mensual

• Diariamente



2 En el panel de la izquierda, haga clic en Planificador.

Si se han instalado McAfee DLP Discover y McAfee DLP Endpoint, la lista de planificacionesexistentes que se muestra incluye planificaciones para ambos.


Aparecerá la página Nuevo planificador.

4 Introduzca un Nombre único y seleccione el Tipo de planificación en la lista desplegable.

La visualización cambia cuando selecciona el tipo de planificación con el fin de proporcionar loscampos necesarios para ese tipo.

5 Rellene las opciones necesarias y haga clic en Guardar.

Descubrimiento de EndpointEncontrar contenido con el rastreador de descubrimiento de Endpoint 9


Configurar un análisisLos análisis de descubrimiento rastrean el sistema de archivos local o los buzones de correo en buscade contenido de carácter confidencial.

Antes de empezarCompruebe que los conjuntos de reglas que desea aplicar a los análisis se hayan aplicado ala Directiva de DLP. Esta información aparece en Directiva de DLP | Conjuntos de reglas.

Los cambios de parámetros de configuración de descubrimientos tienen efecto en el siguiente análisis.No se aplican a análisis que ya estén en curso.


1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.

2 Seleccione Producto Data Loss Prevention 9.4 y, a continuación, seleccione la directiva de DLP activa.

3 En la ficha Descubrimiento de Endpoint, seleccione Acciones | Nuevo Análisis de Endpoint y, a continuación,seleccione Correo electrónico local o Sistema de archivos local.

4 Introduzca un Nombre para el análisis y, a continuación, seleccione una Planificación en la listadesplegable.

5 (Opcional) Cambie los valores predeterminados Administración de incidentes y Administración de errores.Defina el valor Estado en Activado.

La administración de errores hace referencia a cuando no puede extraerse el texto.

6 En la ficha Carpetas, lleve a cabo una de las acciones siguientes:

• Para los análisis del sistema de archivos, seleccione Acciones | Seleccionar carpetas. Seleccione unadefinición de carpeta definida o haga clic en Nuevo elemento para crear una. Defina la carpetacomo Incluir o Excluir.

• Para los análisis de correo electrónico, seleccione los tipos de archivo (OST, PST) y los buzonesde correo que se van a analizar.

7 (Opcional) En la ficha Filtros (solo análisis del sistema de archivos), seleccione Acciones | Seleccionarfiltros. Seleccione una definición de información del archivo o haga clic en Nuevo elemento para crearuna. Defina el filtro como Incluir o Excluir y haga clic en Aceptar.

El valor predeterminado es Todos los archivos. Definir un filtro hace que el análisis sea máseficiente.

8 En la ficha Reglas, compruebe las reglas que se aplican.

Se ejecutan todas las reglas de descubrimiento de los grupos de reglas aplicados a la directiva.

Restauración de elementos de correo electrónico o archivos encuarentenaCuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de carácterconfidencial, mueve los archivos o los elementos de correo electrónico afectados a una carpeta decuarentena, y los sustituye por marcadores de posición que notifican a los usuarios que sus archivos ocorreos electrónicos están en cuarentena. Además, los archivos y los elementos de correo electrónicoen cuarentena se cifran para evitar el uso no autorizado.

Antes de empezarPara mostrar el icono de McAfee DLP en Microsoft Outlook, debe activarse la opción Mostrarcontroles para levantar la cuarentena en Outlook en Catálogo de directivas | Directiva de cliente | Módulos y modo



de funcionamiento. Si se desactiva, el icono y la opción de hacer clic con el botón secundariodel ratón para ver los correos electrónicos en cuarentena están bloqueados, y no puedeliberar los correos electrónicos de la cuarentena.

Cuando se configura una regla de descubrimiento del sistema de archivos con la acción Cuarentena y elrobot de rastreo (crawler) encuentra contenido de carácter confidencial, mueve los archivos implicadosa una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a los usuariosque sus archivos están en cuarentena. Los archivos en cuarentena se cifran para evitar el uso noautorizado.

En el caso de los elementos de correo electrónico en cuarentena, el descubrimiento de McAfee DLPEndpoint adjunta un prefijo al Asunto en Outlook para indicar a los usuarios que sus correoselectrónicos se han puesto en cuarentena. El cuerpo y los datos adjuntos del correo electrónico seponen en cuarentena.

El mecanismo se ha cambiado de las versiones anteriores de McAfee DLP Endpoint, que podían cifrar elcuerpo o los datos adjuntos, para evitar daños en la firma al trabajar con el sistema de firmas de correoelectrónico.

Las tareas y los elementos del calendario de Microsoft Outlook también se pueden poner encuarentena.

Figura 9-1 Ejemplo de correo electrónico en cuarentena

Procedimiento

1 Para restaurar los archivos en cuarentena:

a En la bandeja del sistema del equipo gestionado, haga clic en el icono de McAfee Agent yseleccione Administrar funciones | Consola de DLP Endpoint.

Se abre la consola de DLP Endpoint.

b En la ficha Tareas, seleccione Abrir carpeta de cuarentena.

Se abre la carpeta de cuarentena.

c Seleccione los archivos que se van a restaurar. Haga clic con el botón derecho del ratón yseleccione Liberar de la cuarentena.

El elemento del menú contextual Liberar de la cuarentena solo aparece cuando se seleccionanarchivos de tipo *.dlpenc (cifrado con DLP).

Aparece la ventana emergente Código de autorización.

2 Para restaurar elementos de correo electrónico en cuarentena: Haga clic en el icono de McAfee DLP, ohaga clic con el botón secundario del ratón y seleccione Liberar de cuarentena.

a En Microsoft Outlook, seleccione los mensajes de correo electrónico (u otros elementos) quedesee restaurar.

b Haga clic en el icono de McAfee DLP.

Aparece la ventana emergente Código de autorización.

Descubrimiento de EndpointEncontrar contenido con el rastreador de descubrimiento de Endpoint 9


3 Copie el código del ID de desafío de la ventana emergente y envíelo al administrador de DLP.

4 El administrador genera un código de respuesta y lo envía al usuario. (También se envía un eventoal supervisor de Eventos operativos de DLP que registra todos los detalles).

5 El usuario introduce el código de autorización en la ventana emergente Código de autorización y haceclic en Aceptar.

Los archivos descifrados se restauran a su ubicación original. Si está activada la directiva debloqueo de código de autorización (en la ficha Configuración de los agentes | Servicio de notificación) eintroduce un código incorrecto tres veces, la ventana emergente deja de aparecer durante 30minutos (configuración predeterminada).

En el caso de los archivos, si se ha cambiado o eliminado la ruta de acceso, se restaura la rutaoriginal. Si ya existe un archivo con el mismo nombre en la ubicación, el archivo se restaura comoxxx-copy.abc.



10 Uso de las directivas

McAfee DLP Endpoint almacena directivas y configuraciones en el catálogo de directivas de McAfeeePO.

Las directivas de DLP en el catálogo de directivas de McAfee ePO incluyen conjuntos de reglas (reglasde protección) y sus clasificaciones y definiciones asociadas. También pueden incluir lasconfiguraciones del análisis de descubrimiento de Endpoint y los ajustes del servidor.

Crea reglas y conjuntos de reglas en el Administrador de directivas de DLP. Los conjuntos de reglaspueden contener varias reglas de Protección de datos, Control de dispositivos y Descubrimiento. Lasreglas de un conjunto de reglas son operadores lógicos O, es decir, el conjunto de reglas se aplica si elcontenido examinado coincide con cualquiera de las reglas. Dentro de una regla, algunos parámetrosson operadores lógicos Y o NO, y algunas combinaciones de parámetros son Y, O, o NO, según loespecificado por el administrador.

Flujo de trabajo

Los pasos para gestionar directivas son los siguientes:

1 Cree y guarde los conjuntos de reglas en la páginaAdministrador de directivas de DLP | Conjuntos dereglas.

2 La mayoría de las reglas requieren clasificaciones. Defina las clasificaciones en el móduloClasificación.

3 Asigne el conjunto de reglas a una Directiva de DLP en Administrador de directivas de DLP |Asignación de directivas.

4 Cree o edite las definiciones.

5 Aplique las directivas a McAfee ePO en el Catálogo de directivas.

En el Catálogo de directivas, también puede crear directivas nuevas duplicando el valorpredeterminado u otra directiva existente.

Contenido Cómo funcionan las definiciones Editar una directiva de DLP

10


Cómo funcionan las definicionesLas definiciones se utilizan para configurar reglas, criterios de clasificación y análisis dedescubrimiento.

Las definiciones de McAfee DLP se almacenan en un catálogo de definiciones. Una vez definidas, estándisponibles para todas las funciones de McAfee DLP. Aunque el usuario puede configurar todas lasdefiniciones, algunas también están predefinidas.

Consulte las Definiciones integradas seleccionando la casilla de verificación.

Tabla 10-1 Definiciones disponibles según la función de McAfee DLP

Clasificaciones Conjuntos de reglas

Datos Patrón avanzado* Extensión del archivo*

Diccionario*

Propiedades del documento

Extensión del archivo*

Información del archivo

Tipos de archivo verdadero*

Control de dispositivos Clase de dispositivos

Definiciones de dispositivos

Notificación Justificación

Notificación de usuario

Otro Planificador

Origen/destino Plantilla de aplicación

Dirección de correo electrónico

Grupo de usuarios finales

Carpeta local

Dirección de red (dirección IP)

Puerto de red

Impresora de red

Recurso compartido de red

Nombre de proceso

Lista de URL

Título de ventana

* Indica que hay disponibles definiciones predefinidas (integradas).

Editar una directiva de DLP La configuración de directivas de DLP incluye conjuntos de reglas, asignaciones de directivas ydefiniciones.

10 Uso de las directivasCómo funcionan las definiciones



1 En McAfee ePO, seleccione Menú | Administrador de directivas de DLP. Cree al menos un conjunto de reglasque asignar a la directiva de DLP.

Consulte el apartado Crear un conjunto de reglas en este manual para obtener más información.

2 En McAfee ePO, seleccione Menú | Catálogo de directivas | Producto: Data Loss Prevention 9.4. Abra unaconfiguración de directivas de DLP.

Seleccione una etiqueta de directivas de DLP en la columna Categoría y haga clic en la columnaNombre.

3 Seleccione la ficha Conjuntos de reglas activos.

Si se han asignado algunos conjuntos de reglas a la directiva, estos aparecen indicados en lapágina.

4 Para asignar nuevos conjuntos de reglas a la directiva:

a Seleccione Menú | Administrador de directivas de DLP | Asignación de directiva.

b Seleccione Acciones | Asignar conjuntos de reglas a una directiva.

Si lo prefiere, puede asignar un conjunto de reglas a varias directivas en el menú Acciones.

c En la ventana de selección, elija una directiva de la lista desplegable y seleccione los conjuntosde reglas que desee asignar con las casillas de verificación. Haga clic en Aceptar.

Los conjuntos de reglas seleccionados se aplican a la directiva.

5 Para eliminar conjuntos de reglas de la directiva:

a Seleccione Acciones | Asignar conjuntos de reglas a una directiva.

b En la ventana de selección, anule la selección de los cuadros de los conjuntos de reglas quedesea eliminar de la directiva. Haga clic en Aceptar.

Los conjuntos de reglas seleccionados se eliminan de la directiva.

6 Seleccione la ficha Descubrimiento de Endpoint.

7 Seleccione Acciones | Nuevo Análisis de Endpoint y seleccione el tipo de análisis que desea ejecutar: Correoelectrónico local o Sistema de archivos local.

Aparece una página de configuración del análisis. En la página, seleccione una definición de laPlanificación y las Reglas que aplicar, así como otros detalles del análisis. Haga clic en Guardar cuandohaya rellenado todos los detalles necesarios.

8 Seleccione la ficha Configuración. En esta página conserva el conjunto las opciones siguientes.

• Estrategia de aplicación predeterminada y estrategia de aplicación de omisiones para lasaplicaciones seleccionadas.

• Omisiones de clases de dispositivos y tipos de filtros.

• Agregue usuarios con privilegios o grupos de usuarios.

9 Cuando haya completado todas las modificaciones, haga clic en Aplicar directiva.

Los cambios se aplican a la base de datos de McAfee ePO.

Uso de las directivasEditar una directiva de DLP 10


10 Uso de las directivasEditar una directiva de DLP


Supervisión y generación deinformesPuede utilizar los componentes del software McAfee DLP Endpoint pararealizar el seguimiento de las infracciones de directivas y revisarlas, y pararealizar el seguimiento de los eventos administrativos (operativos).

Capítulo 11 Supervisión y generación de informesCapítulo 12 Recopilación y administración de datosCapítulo 13 Creación de informes


Supervisión y generación de informes


11 Supervisión y generación de informes

McAfee DLP divide los eventos en dos clases: incidentes (es decir, infracciones de directivas) y eventosadministrativos. Estos eventos se ven en las dos consolas, Administrador de incidentes de DLP yEventos operativos de DLP.

Cuando McAfee DLP determina que se ha producido una infracción de directivas, genera un evento y loenvía al Analizador de eventos de McAfee ePO. Estos eventos se pueden ver, filtrar y clasificar en laconsola Administrador de incidentes de DLP, lo que permite a los responsables de la seguridad o a losadministradores ver los eventos y responder inmediatamente. En caso necesario, se adjunta elcontenido sospechoso como prueba del evento.

Como McAfee DLP es fundamental en la estrategia de una empresa para cumplir todas las normativasy la legislación que protege los datos confidenciales, el Administrador de incidentes de DLP presenta lainformación sobre la transmisión de información confidencial de forma precisa y flexible. Los auditores,responsables de firmas, administradores de información confidencial y otros empleados relevantespueden utilizar el Administrador de incidentes de DLP para observar actividades sospechosas o noautorizadas, y actuar conforme a la política de privacidad de la empresa, a las normativascorrespondientes y a otras leyes aplicables.

El administrador del sistema o el responsable de la seguridad pueden seguir los eventosadministrativos relativos a los agentes y al estado de distribución de directivas.

La consola Eventos operativos de DLP muestra detalles sobre el despliegue del cliente, los cambios enlas directivas, el despliegue de directivas, los inicios de sesión en modo seguro, las omisiones deagentes y otros eventos administrativos.

Trabajar con incidentesCuando McAfee DLP recibe datos que coinciden con los parámetros definidos en una regla, sedesencadena una infracción y McAfee DLP genera un incidente.

Con el administrador de incidentes de McAfee ePO, puede consultar, ordenar, agrupar y filtrarincidentes para encontrar infracciones importantes. Puede ver los detalles de los incidentes o eliminarlos que no son útiles.

Visualización de los incidentesEl Administrador de incidentes muestra todos los incidentes de lo que han informado los dispositivosde McAfee DLP. Puede alterar la apariencia de los incidentes para que le ayude a ubicar lasinfracciones importantes de forma más eficaz.Cuando McAfee DLP procesa un objeto, como un mensaje de correo electrónico, se activan variasreglas y el Administrador de incidentes reúne y muestra las infracciones como un incidente, en lugarde como varios independientes.

11


Procedimientos• Ordenar y filtrar incidentes en la página 112

Ordene la manera en la que aparecen los incidentes basándose en atributos como eltiempo, la ubicación, el usuario o la gravedad.

• Configurar vistas de columna en la página 112Utilice las vistas para organizar el tipo y el orden de las columnas que se muestran en eladministrador de incidentes.

• Configurar filtros de incidentes en la página 113Utilice los filtros para mostrar los incidentes que coinciden con los criterios especificados.

• Ver detalles del incidente en la página 114Consulte la información relacionada con un incidente.

Ordenar y filtrar incidentesOrdene la manera en la que aparecen los incidentes basándose en atributos como el tiempo, laubicación, el usuario o la gravedad.


1 En McAfee ePO, seleccione Administrador de incidentes de DLP.

2 Realice una de estas tareas:

• Para ordenar por columna, haga clic en el encabezado de una columna.

• Para cambiar las columnas a una vista personalizada, en la lista desplegable Vista, seleccioneuna vista personalizada.

• Para filtrar por tiempo, en la lista desplegable Hora, seleccione un espacio de tiempo.

• Para aplicar un filtro personalizado, en la lista desplegable Filtro, seleccione un filtropersonalizado.

• Para agrupar por atributo:

1 En la lista desplegable Agrupar por, seleccione un atributo.

Aparecerá una lista de opciones disponibles. La lista contiene hasta 250 de las opciones másfrecuentes.

2 En la lista desplegable, seleccione una opción. Aparecerán los incidentes que coincidan con laselección.

EjemploSeleccione ID de usuario para mostrar los nombres de los usuarios que han desencadenado lasinfracciones. Seleccione un nombre de usuario para mostrar todos los incidentes para eseusuario.

Configurar vistas de columnaUtilice las vistas para organizar el tipo y el orden de las columnas que se muestran en el administradorde incidentes.

11 Supervisión y generación de informesTrabajar con incidentes




2 En la lista desplegable Vista, seleccione Predeterminado y haga clic en Editar.

3 Configure las columnas.

a En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnas seleccionadas.

b En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario.

• Para eliminar una columna, haga clic en x.

• Para mover una columna, haga clic en los botones de flecha, o arrastre y suelte la columna.

c Haga clic en Actualizar vista.

4 Configure los ajustes de la vista.

a Junto a la lista desplegable Vista, haga clic en Guardar.

b Seleccione una de estas opciones:

• Guardar como vista nueva: Especifique un nombre para la vista.

• Omitir la vista existente: Seleccione la vista que desea guardar.

c Seleccione quién puede utilizar la vista.

• Público: Cualquier usuario puede utilizar la vista.

• Privado: Solo el usuario que creó la vista puede utilizarla.

d Especifique si desea que se apliquen los filtros o las agrupaciones actuales a la vista.

e Haga clic en Aceptar.

También puede gestionar las vistas en el administrador de incidentes seleccionando Acciones | Vista.

Configurar filtros de incidentesUtilice los filtros para mostrar los incidentes que coinciden con los criterios especificados.

Ejemplo: Sospecha que un usuario concreto ha estado enviando conexiones que contenían datosconfidenciales a un intervalo de direcciones IP fuera de la empresa. Puede crear un filtro para mostrarlos incidentes que coinciden con el nombre de usuario y el intervalo de direcciones IP.



2 En la lista desplegable Filtro, seleccione (sin filtro personalizado) y haga clic en Editar.

3 Configure los parámetros del filtro.

a En la lista Propiedades disponibles, seleccione una propiedad.

b Introduzca el valor para la propiedad.

Para agregar valores adicionales a la misma propiedad, haga clic en +.

Supervisión y generación de informesTrabajar con incidentes 11


c Seleccione más propiedades según sea necesario.

Para eliminar una entrada de propiedad, haga clic en <.

d Haga clic en Actualizar filtro.

4 Configure los ajustes de filtros.

a Junto a la lista desplegable Filtro, haga clic en Guardar.

b Seleccione una de estas opciones:

• Guardar como filtro nuevo: Especifique un nombre para el filtro.

• Omitir filtro existente: Seleccione el filtro que desea guardar.

c Seleccione quién puede utilizar el filtro.

• Público: Cualquier usuario puede utilizar el filtro.

• Privado: Solo el usuario que creó el filtro puede utilizarlo.

d Haga clic en Aceptar.

También puede gestionar los filtros en el administrador de incidentes seleccionando Acciones | Filtro.

Tipos de incidente y detallesLos incidentes se clasifican en función del tipo de infracción que se ha producido.

El administrador de incidentes muestra los incidentes generados por todos los productos de softwarede McAfee DLP. La página de detalles de Administrador de incidentes de DLP muestra informacióndetallada relacionada con un incidente concreto.

La información y las opciones mostradas varían según el tipo de incidente. Por ejemplo, los detalles deincidentes de Protección de recurso compartido de red contienen información del destino, mientrasque los incidentes de Control de dispositivos contienen información del dispositivo.

Todos los incidentes contienen las fichas Reglas, Registros de auditoría y Comentarios, pero algunos tiposde incidentes, por ejemplo, Protección de recurso compartido de red, también contienen las fichasPrueba y Clasificaciones.

Ver detalles del incidenteConsulte la información relacionada con un incidente.



2 Haga clic en ID de incidente.

La página muestra detalles generales e información de origen. Según el tipo de incidente, aparecenlos detalles del destino o el dispositivo.



3 Para ver información adicional, lleve a cabo una de estas tareas.

• Para ver información del usuario, haga clic en el nombre del usuario en el campo Origen.

• Para ver los archivos de pruebas:

1 Haga clic en la ficha Pruebas.

2 Haga clic en el nombre de un archivo para abrirlo con un programa apropiado.

• Para ver las reglas que desencadenaron el incidente, haga clic en la ficha Reglas.

• Para ver las clasificaciones, haga clic en la ficha Clasificaciones.

La ficha Clasificaciones no aparece para algunos tipos de incidente.

• Para ver el historial de incidentes, haga clic en la ficha Registros de auditoría.

• Para ver los comentarios agregados al incidente, haga clic en la ficha Comentarios.

• Para volver al administrador de incidentes, haga clic en Aceptar.

Gestión de incidentesUtilice el administrador de incidentes para actualizar y gestionar los incidentes.Para eliminar los incidentes, configure una tarea que permita purgar eventos.

Procedimientos

• Actualizar un solo incidente en la página 115Actualice información del incidente como la gravedad, el estado y el revisor.

• Actualizar varios incidentes en la página 116Actualice varios incidentes con la misma información simultáneamente.

• Administrar etiquetas en la página 116Una etiqueta es un atributo personalizado que se utiliza para identificar los incidentes quecomparten rasgos similares.

• Eliminar incidentes en la página 117Elimine los incidentes que no sean útiles.

Actualizar un solo incidenteActualice información del incidente como la gravedad, el estado y el revisor.

La ficha Registros de auditoría informa de todas las actualizaciones y modificaciones realizadas en unincidente.



2 Haga clic en un incidente.


• Para actualizar la gravedad, el estado o la resolución:

1 En las listas desplegables Gravedad, Estado o Solución, seleccione una opción.




• Para actualizar el revisor:

1 Junto al campo Revisor, haga clic en ....

2 Seleccione el grupo o el usuario, y haga clic en Aceptar.


• Para agregar un comentario:

1 Seleccione Acciones | Agregar comentario.

2 Introduzca un comentario y, a continuación, haga clic en Aceptar.

Actualizar varios incidentesActualice varios incidentes con la misma información simultáneamente.

Ejemplo: Ha aplicado un filtro para mostrar todos los incidentes de un usuario concreto y deseacambiar la gravedad de estos incidentes a Grave.



2 Seleccione las casillas de verificación de los incidentes que desea actualizar.

Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en estapágina.


• Para agregar un comentario, seleccione Acciones | Agregar comentario, introduzca un comentario y, acontinuación, haga clic en Aceptar.

• Para enviar los incidentes en un correo electrónico, seleccione Acciones | Enviar por correo electrónicolos eventos seleccionados, introduzca la información y, a continuación, haga clic en Aceptar.

• Para modificar las propiedades, seleccione Acciones | Definir propiedades, modifique las opciones y, acontinuación, haga clic en Aceptar.

Administrar etiquetasUna etiqueta es un atributo personalizado que se utiliza para identificar los incidentes que compartenrasgos similares.

Puede asignar varias etiquetas a un incidente y puede reutilizar una etiqueta para varios incidentes.

Por ejemplo: Tiene incidentes que se relacionan con varios proyectos que su empresa estádesarrollando. Puede crear etiquetas con el nombre de cada proyecto y asignarlas a los incidentescorrespondientes.



2 Seleccione las casillas de verificación de uno o varios incidentes.

Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en estapágina.




• Para agregar etiquetas:

1 Seleccione Acciones | Administrar etiquetas | Adjuntar.

2 Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar.

3 Seleccione una o varias etiquetas.


• Para eliminar etiquetas de un incidente:

1 Seleccione Acciones | Administrar etiquetas | Separar.

2 Seleccione las etiquetas que desea eliminar del incidente.


• Para eliminar etiquetas:

1 Seleccione Acciones | Administrar etiquetas | Eliminar etiquetas.

2 Seleccione las etiquetas que eliminar.


Eliminar incidentesElimine los incidentes que no sean útiles.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP | Tareas de incidentes.

2 En el panel Tipo de tarea (izquierda), seleccione Purgar eventos. Si hay disponibles varios tipos deincidente, seleccione el tipo (Datos en uso/movimiento, Datos en reposo, etc.) en la listadesplegable.

Según su selección en esta lista, puede purgar desde la Lista de incidentes o el Historial de incidentes.

3 Seleccione Acciones | Nueva tarea.

Aparecerá la página Regla de purga.

4 Introduzca un nombre único y, si lo desea, una descripción. Haga clic en Siguiente.

El Estado está Activado de forma predeterminada. Puede cambiar el estado a Desactivado si no tieneprevisto ejecutar la regla directamente.

5 Haga clic en > para seleccionar criterios, elija la Comparación, e introduzca o seleccione el Valor. Hagaclic en < para eliminar criterios. Haga clic en Guardar.

Las tareas de purga se definen de forma predeterminada para su ejecución diaria.



12 Recopilación y administración de datos

La supervisión del sistema consiste en la recopilación y revisión de pruebas y eventos, así como en lageneración de informes. Los datos de incidentes y eventos de las tablas de DLP de la base de datos deMcAfee ePO se pueden ver en las páginas Administrador de incidentes de DLP y Eventos operativos deDLP, o se pueden intercalar en los informes y paneles.

La revisión de los eventos y las pruebas registradas permite a los administradores determinar si lasreglas son demasiado restrictivas, lo que provoca retrasos innecesarios en el trabajo, o si son pocoestrictas, lo que facilita la fuga de datos.

Administrador de incidentes de DLPUtilice la página Administrador de incidentes de DLP en McAfee ePO para ver los eventos de seguridadde las infracciones de directivas.

El administrador de incidentes tiene tres secciones con fichas:

• Lista de incidentes: La lista actual de eventos de infracciones de directivas.

• Tareas de incidentes: Una lista de acciones que puede realizar en la lista o las partes seleccionadas deesta. Incluyen la asignación de revisores a los incidentes, la configuración de notificación por correoelectrónico automáticas y la purga de toda la lista o parte de esta.

• Historial de incidentes: Una lista que contiene todos los incidentes históricos. Purgar la lista delincidente no afecta al historial.

Utilice el módulo Eventos operativos de DLP para ver eventos administrativos como despliegues deagentes. El módulo se organiza de forma idéntica, con tres páginas con fichas: Lista de eventosoperativos, Tareas de eventos operativos e Historial de eventos operativos.

Cómo funciona el administrador de incidentesLa ficha Lista de incidentes del Administrador de incidentes de DLP tiene todas las funcionalidadesnecesarias para revisar los incidentes de infracción de directivas. Los detalles del evento se puedenver al hacer clic en el evento en cuestión. Puede crear y guardar los filtros para modificar la vista outilizar los filtros predefinidos en el panel Agrupar por. También puede modificar la vista al seleccionary ordenar las columnas. Los iconos con código de color y las calificaciones numéricas para la gravedadfacilitan el análisis visual rápido de eventos.

La ficha Lista de incidentes se utiliza con la función Consultas e informes de McAfee ePO para crearinformes y mostrar datos en los paneles de McAfee ePO.

12


Puede realizar las siguientes operaciones en los eventos:

• Etiquetas: Defina una etiqueta para filtrar por ella.

• Definir propiedades: Edite la gravedad, el estado o la resolución; asigne un usuario o un grupopara la revisión de incidentes.

• Liberar redacción: Elimine la redacción para ver los campos protegidos (requiere el permisocorrecto).

La página Eventos operativos de DLP funciona del mismo modo con los eventos administrativos.

Figura 12-1 Administrador de incidentes de DLP

Tareas de incidentes/Tareas de eventos operativos

Utilice la ficha Tareas de incidentes o Tareas de eventos operativos para definir los criterios de lastareas planificadas. La configuración de tareas en las páginas funciona con la función de tareasservidor de McAfee ePO para planificar tareas.

Las fichas de ambas tareas se organizan por Tipo de tarea (panel izquierdo). La ficha Tareas deincidentes también se organiza por tipo de incidente, de modo que es en realidad una matriz 4 x 3, lainformación que se muestra depende de los dos parámetros que seleccione.

Datos en uso/movimiento

Datos en reposo(Endpoint)

Datos en uso/movimiento(Historial)

Definir revisor x x

Notificación de correoautomática x x

Purgar eventos x x x

Caso práctico: configuración de propiedadesLas propiedades son datos que se añaden a un incidente que requiere un seguimiento.Puede agregar las propiedades desde Acciones | Definir propiedades o desde el panel de detallesdel incidente. Las propiedades son:

• Gravedad • Revisando grupo

• Estado • Revisando usuario

• Solución

12 Recopilación y administración de datosAdministrador de incidentes de DLP


El revisor puede ser cualquier usuario de McAfee ePO. El motivo por el cual es posiblecambiar la gravedad es porque, en caso de que el administrador determine que el estadoes un falso positivo, la gravedad original dejará de ser importante.

Caso práctico: cambio de la vistaAdemás de utilizar los filtros para modificar la vista, también puede personalizar loscampos y el orden de visualización. Las vistas personalizadas se pueden guardar y utilizarde nuevo.

Crear un filtro implica las siguientes tareas:

1 Haga clic en Acciones | Vista | Elegir columnas para abrir la ventana de edición de la vista.

2 Utilice el icono x para eliminar columnas y los iconos de flechas para desplazar lascolumnas a la izquierda o a la derecha.

3 Haga clic en Actualizar vista para aplicar la vista personalizada y en Acciones | Vista | Guardarvista para guardar y usar en un futuro. Al guardar la vista también puede guardar lahora y los filtros personalizados. En el menú desplegable de la parte superior de lapágina puede seleccionar las vistas guardadas.

Crear una tarea de definición de revisorPuede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir la cargade trabajo en organizaciones grandes.

Antes de empezarEn McAfee ePO Administración de usuarios | Conjuntos de permisos, cree un revisor o designe unrevisor de grupo, con permisos Definir revisor para Administrador de incidentes de DLP yEventos operativos de DLP.

La tarea Definir revisor asigna un revisor a los incidentes o eventos según los criterios de la regla. Latarea solo se ejecuta en los incidentes donde no se ha asignado un revisor. No puede utilizarla parareasignar incidentes a otro revisor.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección dedatos | Eventos operativos de DLP.

2 Haga clic en Tareas de incidentes o en la ficha Tareas de eventos operativos.

3 Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Definir revisoren el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.

4 Introduzca un nombre y, si lo desea, una descripción. Seleccione un revisor o un grupo y, acontinuación, haga clic en Siguiente.

Las reglas se activan de forma predeterminada. Puede cambiar este ajuste para retrasar laejecución de la regla.

5 Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación yValor. Cuando haya acabado de definir los criterios, haga clic en Guardar.

Si hay varias reglas de Definir revisor, puede volver a ordenarlas en la lista.

Recopilación y administración de datosAdministrador de incidentes de DLP 12


La tarea se ejecuta cada hora.

Una vez definido un revisor, no se le puede omitir a través de la tarea Definir revisor.

Véase también Editar tareas servidor en la página 123

Crear una tarea de correo electrónico automáticaPuede establecer notificaciones por correo electrónico automáticas de incidentes y eventos operativospara los administradores, gestores o usuarios.



2 Haga clic en las fichas Tareas de incidentes o Tareas de eventos operativos.

3 Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Notificación decorreo automática en el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.



5 Seleccione los eventos que desea procesar.

• Procese todos los incidentes/eventos (del tipo de incidente seleccionado).

• Procese los incidentes/eventos desde la última notificación de correo ejecutada.

6 Seleccione Destinatarios.

Este campo es obligatorio. Debe seleccionar al menos un destinatario.

7 Introduzca un asunto para el correo electrónico.

Este campo es obligatorio.

Puede introducir variables de la lista desplegable según sea necesario.

8 Introduzca el texto del cuerpo del correo electrónico.

Puede introducir variables de la lista desplegable según sea necesario.

9 (Opcional) Seleccione la casilla de verificación para adjuntar información de pruebas al correoelectrónico. Haga clic en Siguiente.


La tarea se ejecuta cada hora.




Crear una tarea de purga de eventosCrea tareas de purga de incidentes y eventos para eliminar de la base de datos la información que yano es necesaria.

Se pueden crear tareas de purga para la Lista de incidentes, los incidentes de datos en uso en la listaHistorial o la Lista de eventos operativos.



2 Haga clic en Tareas de incidentes o en la ficha Tareas de eventos operativos.

3 Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Purgar eventosen el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.

La opción Datos en uso/movimiento (archivo) permite purgar eventos del historial.

4 Introduzca un nombre y una descripción opcional y, a continuación, haga clic en Siguiente.



La tarea se ejecuta a diario en el caso de los datos actuales y cada viernes a las 22:00 en el de losdatos históricos.


Editar tareas servidorMcAfee DLP utiliza las Tareas servidor de McAfee ePO para ejecutar las tareas de Administrador deincidentes de DLP y Eventos operativos de DLP.

Todas las tareas de incidentes y eventos operativos se predefinen en la lista de tareas servidor. Lasúnicas opciones disponibles son activar/desactivar las tareas o cambiar la planificación.


1 En McAfee ePO, seleccione Menú | Automatización | Tareas servidor.

2 Seleccione la tarea que desea editar.

Utilice el campo Búsqueda rápida para filtrar la lista.

3 Seleccione Acciones | Editar y, a continuación, haga clic en Planificación.

4 Edite la planificación según sea necesario y, a continuación, haga clic en Guardar.

Véase también Crear una tarea de definición de revisor en la página 121Crear una tarea de correo electrónico automática en la página 122Crear una tarea de purga de eventos en la página 123

Recopilación y administración de datosAdministrador de incidentes de DLP 12


Supervisar resultados de la tareaSupervise los resultados de las tareas de incidentes y de eventos operativos.


1 En McAfee ePO, seleccione Menú | Automatización | Registro de tareas servidor.

2 Localice las tareas de McAfee DLP completadas.

Introduzca DLP en el campo Búsqueda rápida o defina un filtro personalizado.

3 Haga clic en el nombre de la tarea.

Aparecen los detalles de la tarea, incluidos todos los errores si la tarea falló.



13 Creación de informes

McAfee DLP Endpoint utiliza funciones de generación de informes de McAfee ePO. Hay disponiblesvarios informes preprogramados, así como la opción de diseñar informes personalizados.

Consulte el capítulo Consultas de la base de datos de la Guía del producto de McAfee ePolicyOrchestrator para obtener más información.

Contenido Tipos de informes Opciones de informes

Tipos de informesUtilice las funciones de generación de informes de McAfee ePO para supervisar el rendimiento deMcAfee DLP Endpoint.

Se admiten dos tipos de informes:

• Informes de propiedades de DLP

• Informes de eventos de DLP

Se muestran seis informes de propiedades de DLP en los paneles DLP: Resumen de estado. Sefacilitan doce consultas de eventos predefinidas. Las 28 consultas, incluidas las consultas deacumulación, pueden encontrarse en la consola de McAfee ePO en Menú | Generación de informes |Consultas e informes | Grupos compartidos.

McAfee ePO incluye una función de acumulación, que ejecuta consultas que informan sobre los datosde resumen de varias bases de datos de McAfee ePO. Todos los informes de McAfee DLP Endpointestán configurados para admitir consultas de datos acumulados.

Opciones de informesEl software McAfee DLP utiliza informes de McAfee ePO para revisar eventos. Asimismo, puede verinformación sobre las propiedades del producto en el panel de McAfee ePO.

Informes de McAfee ePO

El software McAfee DLP Endpoint integra la generación de informes con el servicio de generación deinformes de McAfee ePO. Para obtener información sobre el uso del servicio de generación de informesde McAfee ePO, consulte la Guía del producto de McAfee ePolicy Orchestrator.

Se admiten las consultas y los informes de datos acumulados de McAfee ePO, que resumen los datosprocedentes de varias bases de datos de McAfee ePO.

13


Se admiten las notificaciones de McAfee ePO. Consulte el capítulo Envío de notificaciones de la Guíadel producto de McAfee ePolicy Orchestrator para obtener más información.

Paneles de ePO

Puede ver información sobre las propiedades del producto de McAfee DLP en Menú | Paneles de McAfeeePO. Hay tres paneles predefinidos:

• DLP: Resumen de incidentes

• DLP: Resumen de operaciones

• DLP: Resumen de directivas

Los paneles se pueden editar y personalizar. Asimismo, se pueden crear nuevos monitores. Consulte ladocumentación de McAfee ePO para conocer las instrucciones.

Los informes predefinidos resumidos en los paneles están disponibles al seleccionar Menú | Consultas einformes. Se enumeran en Grupos compartidos (McAfee ePO 4.6) o Grupos de McAfee (McAfee ePO 5.1).Además, hay un informe de acumulación de DLP: Eventos por tipo.

Paneles predefinidosLa siguiente tabla describe los paneles predefinidos de McAfee DLP.

Tabla 13-1 Paneles de DLP predefinidos

Categoría Opción Descripción

Resumen de incidentes

Número de incidentes al día Estos gráficos muestran el número de incidentestotales y proporcionan diferentes desgloses con elfin de ayudar a analizar problemas específicos.Número de incidentes por gravedad

Número de incidentes por tipo

Número de incidentes por conjuntode reglas

Resumen de operaciones Número de eventos operativos aldía

Muestra todos los eventos administrativos.

Estado del agente Muestra todos los agentes y su estado.

Versión del agente Muestra la distribución de los endpoints en laempresa. Se utiliza para supervisar el progreso deldespliegue de los agentes.

Modo de funcionamiento del agente Muestra un gráfico circular de agentes por modosde funcionamiento de DLP. Los modos defuncionamiento son:• Modo de solo control de dispositivos

• Modo de protección de contenido completo ycontrol de dispositivos

• Modo de protección de almacenamientoextraíble basada en contenido y control dedispositivos

• Desconocido

Eventos operativos por tipo

Descubrimiento (Endpoint): Estadode análisis del sistema de archivoslocal

13 Creación de informesOpciones de informes


Tabla 13-1 Paneles de DLP predefinidos (continuación)

Categoría Opción Descripción

Descubrimiento (Endpoint): Estadode análisis de almacenamiento decorreo electrónico local

Resumen de directivas Distribución de directivas Muestra la distribución de directivas de DLP en laempresa. Se utiliza para supervisar el progreso aldesplegar una nueva directiva.

Conjuntos de reglas implementadospor equipos Endpoint

Usuarios omitidos

Clases de dispositivos no definidas

Usuarios con privilegios

Distribución de revisión dedirectivas

Similar a la distribución de directivas, peromuestra revisiones, es decir, actualizaciones deuna versión existente.

Creación de informesOpciones de informes 13


13 Creación de informesOpciones de informes


Índice

Aacerca de esta guía 7administración de derechos 36, 91

administrador de incidentes 119

Administrador de incidentes de DLP 119

responder a eventos 111

administradores de DLP, definición 41

administradores, definición 41

ampliación de Device Control a la versión completa DLPE, véaseclave de licencia

archivo all_evidences.csv 37

archivos OST 80

archivos PST 80

asignación de directiva 106

Ccarpeta de pruebas 39

carpeta de pruebas, configuración 39

catálogo de directivas 44

Citrix XenApp 86

clases de dispositivos 48

clasificación 61

Clasificación de mensajes de Titus, integración 76

clasificación manual 71

clasificaciones 69

acerca de 61

clave de licencia 35

compatibilidad con JAWS 16

compatibilidad con OS X 16

componentes, Data Loss Prevention (diagrama) 23

configuración del agentecompatibilidad con Mac OS 45

configuración del cliente 45

asignar con ePolicy Orchestrator 31

configuración del servidor 35

configuraciones regionales 84

conjuntos de permisos, definición 42

conjuntos de permisos, filtrado del árbol de sistemas 40

conjuntos de reglasacerca de 93

creación 93

conjuntos de reglas, adición a políticas 106

consola de directivas de DLP, instalación 27

consola de endpoint 16

control de acceso basado en funciones 42

convenciones tipográficas e iconos utilizados en esta guía 7copia de seguridad de directiva 35

correo electrónico 80

criterios de clasificación 62, 70

criterios de marcado 62, 70

cuarentenaliberar de 37

restaurar archivos o elementos de correo electrónico 102

Ddatos

clasificación 66

datos en tránsito 82

datos de DLP, clasificación 67

datos en reposo 9, 99

datos en tránsito 9datos en uso 9definiciones 106

destino web 82

diccionarios 66

documentos registrados 72

extensión de archivo 68

patrón de texto 67

propiedades de documento 68

red 79

definiciones de aplicacionesestrategia 64

definiciones de dispositivos 50

almacenamiento extraíble 52

definiciones de redacerca de 79

intervalo de direcciones 79

intervalo de puertos 79

desafío/respuesta 102

descubrimientoacerca de 99

configurar 102

crear una regla de descubrimiento de sistema de archivos100

destinos de correo electrónicocrear 81

destinos webacerca de 82


Device Control 83, 86

diccionariosacerca de 66

crear 74

importar entradas 74

directiva de DLP 106

directivas 14

actualización 32

asignar 31

definición 12

dispositivoslistas, agregar definiciones de dispositivos Plug and Play 51

dispositivos Plug and Playdefinición de la lista blanca, crear 51

DLP Discover 99

DLP Endpointdespliegue 29

incorporación en ePolicy Orchestrator 28

llamada de activación 32

verificación del despliegue 30

documentaciónconvenciones tipográficas e iconos 7destinatarios de esta guía 7específica de producto, buscar 8

documento, definiciones de propiedades 68

documentos registrados 72

Eestrategia, véase definiciones de aplicaciones eventos

supervisión 111

eventos operativos 119

extensiones de archivosdefiniciones 68

extractor de texto 63

Ffiltros

definiciones de red 79

funciones y permisos 39

Ggrupos de asignación

definición 12

GUID, véase GUID del dispositivo GUID del dispositivo 48

Iincidentes

actualización 115, 116

detalles 114

eliminación 117

etiquetas 116

filtrado 112, 113

incidentes (continuación)orden 112

tipos 114

vistas 112

informes de datos acumulados 125

informes de ePO 125

Jjustificación empresarial 84, 85

justificación empresarial, personalización 95

Llistas blancas 12

definiciones de dispositivos Plug and Play, creación 51

listas de URLcrear 82

llamada de activación 32

longitud de la clave de desafío 35

Mmanual, clasificación 71

marcado 61

acerca de 62

marcadores de posición 95

McAfee ServicePortal, acceso 8

Nnotificación de usuario, personalización 95

notificaciones de ePO 125

notificaciones, ePolicy Orchestrator 125

Ppalabras clave

para la integración de clasificación de mensajes de Titus 76

paneles, opciones de informes 126

patrones avanzadoscrear 75

patrones de textoacerca de 67

plantillas de aplicaciónacerca de 69

propiedades del dispositivo 52

pruebaalmacenamiento para contenido cifrado 37

eventos de endpoint 111

Rreacciones 88

redacción 40

acerca de 43

reglasacerca de 83

control de dispositivos 86

Índice


reglas (continuación)marcado 12

reacciones 88

tipos 83

reglas de clasificación 11

reglas de descubrimiento 12

reglas de dispositivosdefinición 12

reglas de DLPclasificación 11

dispositivo 12

marcado 12

protección 12

reglas de marcadodefinición 12

reglas de proteccióndefinición 12

requisitos de hardware 24

requisitos de software del servidor 24

requisitos del sistema 24

resaltado de referencias, eventos 37

restaurar una directiva 35

SServicePortal, buscar documentación del producto 8

sistemas operativos compatibles 24

software Data Loss Prevention, descripción 21

soporte técnico, encontrar información de productos 8supervisión 119

Ttareas de eventos operativos 123

tareas de incidentes 119, 123

tareas servidor 123

texto en lista blanca 73

TrueCrypt 86

Uubicación, clasificación por 78

Vvalidadores 67

verificación de la instalación 30

Índice


9.4.0 McAfee Data Loss Prevention Endpoint guía le proporcionará toda la información que necesita...

Documents

Transcript of 9.4.0 McAfee Data Loss Prevention Endpoint guía le proporcionará toda la información que necesita...