Produkthandbuch Revision A

McAfee Data Loss Prevention Discover 10.0.0 Zur Verwendung mit McAfee ePolicy Orchestrator

COPYRIGHT © 2016 Intel Corporation

MARKEN Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.

LIZENZINFORMATIONEN LIZENZVEREINBARUNG HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.

2

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

Inhaltsverzeichnis

Einleitung Informationen zu diesem Handbuch Zielgruppe . . . . . . . Konventionen . . . . . . Quellen für Produktinformationen .

1

2

5 . . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

Einführung

7

Funktionsweise der Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scan-Typen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8 9

Installation von McAfee DLP Discover

11

Optionen und Hinweise zur Installation von McAfee DLP Discover . . . . . . . . . . . . . . Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Von McAfee DLP Discover verwendete Standard-Ports . . . . . . . . . . . . . . . . . . . Hinweise zum Durchführung eines Upgrades von McAfee DLP Discover . . . . . . . . . . . . Installieren von McAfee DLP Discover . . . . . . . . . . . . . . . . . . . . . . . . . Installieren und Lizenzieren der McAfee DLP-Erweiterung . . . . . . . . . . . . . . . Installieren oder Upgrade des Server-Pakets mithilfe von McAfee ePO . . . . . . . . . Manuelles Installieren oder Upgrade des Server-Pakets . . . . . . . . . . . . . . . Durchführen der Schritte nach der Installation . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . Definieren eines Servers für Rechteverwaltung . . . . . . . . . . . . . . . . . . . Erstellen von Nachweisordnern . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Server-Einstellungen . . . . . . . . . . . . . . . . . . . . . .

3

5 5 5 6

Scan- und Richtlinienkonfiguration

21

Auswählen des Scan-Typs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionsweise von Inventar-Scans . . . . . . . . . . . . . . . . . . . . . . . Funktionsweise von Klassifizierungs-Scans . . . . . . . . . . . . . . . . . . . . Funktionsweise von Behebungs-Scans . . . . . . . . . . . . . . . . . . . . . . Wichtige Überlegungen und Einschränkungen in Bezug auf Scans . . . . . . . . . . . . . . Verwenden von Definitionen und Klassifizierungen mit Scans . . . . . . . . . . . . . . . . Verwenden von Klassifizierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . Definitionen für erweiterte Muster . . . . . . . . . . . . . . . . . . . . . . . . Wörterbuchdefinitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Regeln mit Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Richtlinie für Scans . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Definitionen für Scans . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Definitionen für Klassifizierungen . . . . . . . . . . . . . . . . . . . Erstellen von Klassifizierungen . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Regeln für Behebungs-Scans . . . . . . . . . . . . . . . . . . . . Konfigurieren eines Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren eines Inventar-Scans . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Klassifizierungs-Scans . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Behebungs-Scans . . . . . . . . . . . . . . . . . . . . . . .

McAfee Data Loss Prevention Discover 10.0.0

11 11 12 13 14 14 15 16 16 16 18 18 18

21 22 22 23 24 25 26 27 28 29 29 30 35 37 38 39 39 40 41

Produkthandbuch

3

Inhaltsverzeichnis

Durchführen von Scan-Vorgängen . . . . . . . . . . . . . . . . . . . . . . . . . . . Scan-Verhalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zuweisen von McAfee DLP-Berechtigungssätzen . . . . . . . . . . . . . . . . . . . . . Erstellen eines McAfee DLP-Berechtigungssatzes . . . . . . . . . . . . . . . . . . Schützen der Vertraulichkeit durch Unkenntlichmachung . . . . . . . . . . . . . . .

4

Analysieren von gescannten Daten Verwendung von OLAP in McAfee DLP Discover Anzeigen von Scan-Ergebnissen . . . . . . Analysieren der Scan-Ergebnisse . . . . . . Anzeigen von Inventarergebnissen . . . . .

5

49 . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . 49 . . . . 49 . . . 51 . . . . 52

Vorfälle und operative Ereignisse

53

Überwachen und Melden von Ereignissen . . . . . . . . . . . . . . . . . . . . . . . . DLP-Ereignisverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionsweise des Vorfalls-Managers . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Tasks Prüfer festlegen . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Tasks für die Automatische E-Mail-Benachrichtigung . . . . . . . . . . Erstellen eines Tasks Ereignisse bereinigen . . . . . . . . . . . . . . . . . . . . Bearbeiten von Server-Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachen der Task-Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sortieren und Filtern von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Spaltenansichten . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Vorfallsfiltern . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen von Details zu Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktualisieren eines bestimmten Vorfalls . . . . . . . . . . . . . . . . . . . . . . Aktualisieren mehrerer Vorfälle . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Beschriftungen . . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen der Fallinformationen . . . . . . . . . . . . . . . . . . . . . . . . . Zuweisen von Vorfällen zu einem Fall . . . . . . . . . . . . . . . . . . . . . . . Verschieben oder Entfernen von Vorfällen aus Fällen . . . . . . . . . . . . . . . . Aktualisieren von Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen/Entfernen von Beschriftungen zu/von Fällen . . . . . . . . . . . . . . . Löschen von Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Index

4

McAfee Data Loss Prevention Discover 10.0.0

43 44 44 45 46

53 54 54 56 57 57 58 58 59 59 59 60 61 62 63 63 64 64 65 66 66 66 67 67 68 69 70

71

Produkthandbuch

Einleitung

In diesem Handbuch finden Sie die erforderlichen Informationen für die Arbeit mit Ihrem McAfee-Produkt. Inhalt Informationen zu diesem Handbuch Quellen für Produktinformationen

Informationen zu diesem Handbuch In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben.

Zielgruppe Die Dokumentation wurde von McAfee nach eingehender Recherche mit Blick auf die Zielgruppe verfasst. Die Informationen in diesem Handbuch richten sich in erster Linie an: •

Administratoren: Personen, die für die Implementierung und Durchsetzung des Sicherheitsprogramms eines Unternehmens verantwortlich sind.

Konventionen In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet. Buchtitel, Begriff, Hervorhebung

Titel eines Buchs, Kapitels oder Themas; ein neuer Begriff; eine Hervorhebung.

Fett

Text, der stark hervorgehoben wird.

Benutzereingabe, Code, Meldung

Befehle oder andere Texte, die vom Benutzer eingegeben werden; ein Code-Beispiel; eine angezeigte Meldung.

Benutzeroberflächentext

Wörter aus der Benutzeroberfläche des Produkts, z. B. Optionen, Menüs, Schaltflächen und Dialogfelder.

Hypertext-Blau

Ein Link auf ein Thema oder eine externe Website. Hinweis: Zusätzliche Informationen, beispielsweise eine alternative Methode für den Zugriff auf eine Option. Tipp: Vorschläge und Empfehlungen. Wichtig/Vorsicht: Wichtige Ratschläge zum Schutz Ihres Computersystems, der Software-Installation, des Netzwerks, Ihres Unternehmens oder Ihrer Daten. Warnung: Wichtige Ratschläge, um körperliche Verletzungen bei der Nutzung eines Hardware-Produkts zu vermeiden.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

5

Einleitung Quellen für Produktinformationen

Quellen für Produktinformationen Im ServicePortal finden Sie Informationen zu veröffentlichten Produkten, unter anderem die Produktdokumentation und technische Hilfsartikel. Vorgehensweise

6

1

Rufen Sie das ServicePortal unter https://support.mcafee.com auf, und klicken Sie auf die Registerkarte Knowledge Center.

2

Klicken Sie im Fenster Knowledge Base unter Inhaltsquelle auf Produktdokumentation.

3

Wählen Sie ein Produkt aus, und klicken Sie dann auf Suchen, um eine Liste der gewünschten Dokumente anzuzeigen.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

1

Einführung

®

McAfee Data Loss Prevention Discover (McAfee DLP Discover) ist eine Netzwerk-Crawler-Software, die Netzwerkdateisysteme scannt, um vertrauliche Dateien und Daten zu erkennen und zu schützen. McAfee DLP Discover wird auf festgelegten Microsoft Windows-Servern ausgeführt und wird zur Konfiguration, Richtlinienverwaltung und Scan-Analyse in McAfee ePolicy Orchestrator (McAfee ePO ) eingebunden. ®

®

™

Vorzüge McAfee DLP Discover ist ein skalierbares, erweiterbares Software-System, das die Anforderungen von Netzwerken beliebiger Größe erfüllen kann. Sie können die McAfee DLP Discover-Software auf einer beliebigen Anzahl von Servern im Netzwerk bereitstellen. McAfee DLP Discover kann für folgende Zwecke eingesetzt werden: •

Erkennen und Klassifizieren von vertraulichen Inhalten

•

Verschieben oder Kopieren von vertraulichen Inhalten

•

Integration in Microsoft Rights Management Service zum Schutz von Dateien

•

Automatisieren von IT-Tasks wie Auffinden von leeren Dateien, Ermitteln von Berechtigungen und Auflisten von Dateien, die innerhalb eines bestimmten Zeitraums geändert wurden

Unterstützte Repositorys McAfee DLP Discover unterstützt die folgenden Arten von Repositorys: •

Box

•

CIFS (Common Internet File System)

•

SharePoint 2010 und 2013 ESS-Websites (SharePoint Enterprise Search Center) werden nicht unterstützt. Eine ESS-Website ist eine zusammengefasste Übersicht, die keine Dateien, sondern lediglich Verknüpfungen mit den ursprünglichen Dateien enthält. Scannen Sie im Fall von ESS-Websites die tatsächlichen Website-Sammlungen oder die gesamte Web-Anwendung.

Inhalt Funktionsweise der Software Scan-Typen

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

7

1

Einführung Funktionsweise der Software

Funktionsweise der Software ®

McAfee ePO verwendet McAfee Agent, um die McAfee DLP Discover-Software auf einem Erkennungs-Server (einem festgelegten Windows-Server) zu installieren und bereitzustellen. McAfee ePO wendet die Scan-Richtlinie auf Erkennungs-Server an. Zum geplanten Zeitpunkt scannt der Erkennungs-Server das Repository. Die erfassten Daten und die ausgeführten Aktionen hängen vom jeweiligen Scan-Typ und der Scan-Konfiguration ab. Mit McAfee ePO können Sie u. a. die folgenden Konfigurations- und Analyse-Tasks durchführen: •

Anzeigen der verfügbaren Erkennungs-Server

•

Konfigurieren und Planen von Scans

•

Konfigurieren von Richtlinienelementen wie Definitionen, Klassifizierungen und Regeln

•

Überprüfen der Datenanalyse- und Inventarergebnisse

•

Überprüfen der von Behebungs-Scans generierten Vorfälle

Terminologie Im Anschluss wird die Bedeutung einiger Fachbegriffe in McAfee DLP Discover erläutert. Tabelle 1-1

McAfee DLP Discover-Fachbegriffe

Begriff

Definition

Crawling

Abrufen von Dateien oder Metadaten aus Repositorys.

Klassifizierung

Ein Verfahren, das die Identifizierung und Verfolgung vertraulicher Inhalte und Dateien ermöglicht. Anhand von Klassifizierungen können Inhalte wie Textmuster, Wörterbücher und Dokumenteigenschaften abgeglichen werden.

Definition

Eine Konfigurationskomponente, die Bestandteil einer McAfee DLP Discover-Scan-Richtlinie ist. In Definitionen werden Elemente wie geplante Scan-Zeitpunkte, das zu scannende Repository sowie die gesuchten Dateimetadaten angegeben.

Erkennungs-Server Der Windows-Server, auf dem die McAfee DLP Discover-Software installiert ist. Sie können mehrere Erkennungs-Server im Netzwerk installieren. Dateiinformationen Eine Definition, die Namen, Besitzer, Größe, Erweiterung sowie Erstellungs-, Änderungs- und Zugriffsdatum einer Datei enthalten kann. Sie können Dateiinformationen in Filtern verwenden, um Dateien in Scans einzuschließen bzw. aus Scans auszuschließen. Pfad

Ein UNC-Name, eine IP-Adresse oder eine Web-Adresse.

Repository

Ein Box-, CIFS- oder SharePoint-Server. Die Repository-Definition enthält die Pfade und Anmeldeinformationen zum Scannen des Servers.

Planer

8

Eine Definition, die die Scan-Details und den Planungstyp angibt, z. B. täglich, wöchentlich, monatlich, einmal oder sofort.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

Einführung Scan-Typen

1

Scan-Typen McAfee DLP Discover unterstützt drei Arten von Scans: Inventar-, Klassifizierungs- und Behebungs-Scans.

Inventar-Scans Inventar-Scans liefern einen allgemeinen Überblick über die im Repository enthaltenen Dateitypen. Bei einem solchen Scan werden lediglich Metadaten erfasst, die eigentlichen Dateien werden nicht abgerufen. McAfee DLP Discover sortiert gescannte Metadaten nach verschiedenen Inhaltstypen und analysiert Attribute wie Dateigröße, Speicherort und Dateierweiterung. Sie können mithilfe dieses Scans eine Übersicht über Ihr Repository erstellen oder ihn für IT-bezogene Aufgaben verwenden, z. B. zum Auffinden selten genutzter Dateien.

Klassifizierungs-Scans Anhand von Klassifizierungs-Scans können Sie ermitteln, welche Arten von Daten sich im untersuchten Repository befinden. Durch den Abgleich gescannter Inhalte mit Klassifizierungen wie Textmustern oder Wörterbüchern können Sie Datenmuster analysieren, um optimierte Behebungs-Scans zu erstellen.

Behebungs-Scans Mit Behebungs-Scans wird nach Daten gesucht, die eine Richtlinie verletzen. Sie können Dateien überwachen, eine Richtlinie für Rechteverwaltung anwenden sowie Dateien an einen Exportspeicherort kopieren oder verschieben. Alle Aktionen können Vorfälle generieren, die an die Ereignisverwaltung in McAfee ePO gemeldet werden.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

9

1

Einführung Scan-Typen

10

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

2

Installation von McAfee DLP Discover

McAfee DLP Discover besteht aus zwei Komponenten: einer Erweiterung, die die Benutzeroberfläche in McAfee ePO bereitstellt, und einem Server-Paket zur Installation der Software auf dem Erkennungs-Server. Inhalt Optionen und Hinweise zur Installation von McAfee DLP Discover Systemanforderungen Von McAfee DLP Discover verwendete Standard-Ports Hinweise zum Durchführung eines Upgrades von McAfee DLP Discover Installieren von McAfee DLP Discover Durchführen der Schritte nach der Installation

Optionen und Hinweise zur Installation von McAfee DLP Discover McAfee DLP Discover kann auf physischen oder virtuellen Servern ausgeführt werden. Sie können einen oder mehrere Erkennungs-Server im Netzwerk installieren. Sie können McAfee DLP Discover über McAfee ePO oder manuell auf Servern installieren. McAfee empfiehlt die Verwendung von McAfee ePO für die Installation. ®

Auf den für McAfee DLP Discover bestimmten Servern muss McAfee Agent installiert sein und ausgeführt werden. Die Server müssen außerdem mit McAfee ePO kommunizieren und sich in der McAfee ePO-Systemstruktur befinden. Weitere Informationen zum Installieren und Ausführen von McAfee Agent finden Sie im Produkthandbuch zu McAfee Agent.

Systemanforderungen Bei McAfee DLP Discover gelten für die einzelnen Komponenten unterschiedliche Anforderungen. Tabelle 2-1 Anforderungen für McAfee DLP Discover Komponente

Anforderung

McAfee ePO

Version 5.1.3 oder höher Version 5.3.1 oder höher

Systemanforderungen für Erkennungs-Server

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

11

2

Installation von McAfee DLP Discover Von McAfee DLP Discover verwendete Standard-Ports

Tabelle 2-1 Anforderungen für McAfee DLP Discover (Fortsetzung) Komponente

Anforderung

Hardware

• CPU: Intel Core 2, 64 Bit, mindestens zwei CPUs • RAM: mindestens 4 GB • Festplatte: mindestens 100 GB

Virtuelle Server

• vSphere ESXi 5.0 Aktualisierung 2 oder 6.0 • vCenter Server 5.0 Aktualisierung 2 oder 6.0

Betriebssysteme • Windows Server 2008 R2 Standard, Service Pack 1 oder höher, 64 Bit • Windows Server 2012 Standard (64 Bit) • Windows Server 2012 R2 Standard (64 Bit) Der Erkennungs-Server kann nicht auf Domänen-Controllern oder Workstations installiert werden.

McAfee Agent

Version 5.0.2 oder höher

Von McAfee DLP Discover verwendete Standard-Ports McAfee DLP Discover nutzt verschiedene Ports für die Scan-Kommunikation. Möglicherweise müssen Sie zwischengeschaltete Firewalls oder Geräte, die Richtlinien erzwingen, so konfigurieren, dass diese die entsprechenden Ports nicht blockieren. Sofern nicht anders angegeben, verwenden alle aufgeführten Protokolle ausschließlich TCP.

Tabelle 2-2

Für die Scan-Kommunikation verwendete Standard-Ports

Port, Protokoll

Verwendungszweck

• 137, 138, 139 – NetBIOS

CIFS-Scans

• 445 – SMB • 80 – HTTP • 443 – SSL

12

McAfee Data Loss Prevention Discover 10.0.0

SharePoint-Scans SharePoint-Server können für die Verwendung nicht-standardmäßiger HTTP- oder SSL-Ports konfiguriert sein. Konfigurieren Sie Firewalls bei Bedarf so, dass nicht-standardmäßige Ports zugelassen werden.

Produkthandbuch

2

Installation von McAfee DLP Discover Hinweise zum Durchführung eines Upgrades von McAfee DLP Discover

Tabelle 2-2

Für die Scan-Kommunikation verwendete Standard-Ports (Fortsetzung)

Port, Protokoll

Verwendungszweck

53 – DNS (UDP)

DNS-Abfragen

• 1801 – TCP

Microsoft Message Queuing (MSMQ)

• 135, 2101*, 2103*, 2105 – RPC • 1801, 3527 – UDP * Gibt an, dass die Port-Nummer je nach den bei der Initialisierung verfügbaren Ports möglicherweise um 11 erhöht wird. Weitere Informationen hierzu finden Sie im Microsoft-KB-Artikel https://support.microsoft.com/ en-us/kb/178517#/en-us/kb/178517.

Hinweise zum Durchführung eines Upgrades von McAfee DLP Discover Die Schritte zur Durchführung eines Upgrades für McAfee DLP Discover entsprechen weitgehend den Schritten zum Installieren der Erweiterung und des Server-Pakets. 1

Das Upgrade der Erweiterung erfolgt durch eine Installation über die vorhandene Version.

2

Das Upgrade des Erkennungs-Servers wird mittels einer der folgenden Optionen ausgeführt. •

Stellen Sie das Server-Paket mittels McAfee ePO bereit.

•

Installieren Sie das Paket manuell auf dem Server.

3

Bei einem Upgrade von Version 9.4.0 müssen Sie die Richtlinie erneut anwenden, da bei diesem Upgrade Änderungen an der Richtlinienkonfiguration vorgenommen werden.

4

Wenn Sie die in Version 10.x neu hinzugekommenen Funktionen, wie z. B. Box-Scans, verwenden möchten, müssen Sie die entsprechende Kompatibilitätsoption auswählen. Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Einstellungen und dann für Abwärtskompatibilität die Option 10.0.0.0 und höher aus. Vor dem Upgrade des Erkennungs-Servers müssen Sie zunächst in McAfee ePO ein Upgrade der Erweiterung durchführen. McAfee DLP Discover unterstützt die Nutzung einer neueren Erweiterungsversion zum Verwalten eines Servers einer älteren Version. Ein Server einer neueren Version kann jedoch nicht mit einer älteren Erweiterungsversion verwaltet werden.

Ein erneutes Lizenzieren der Software bzw. die erneute Eingabe des Server-Nachweispfads ist nicht erforderlich. Falls MSMQ nach dem Upgrade nicht aktiviert wird oder alte Datenprogrammordner bzw. Registrierungsschlüssel nicht gelöscht wurden, müssen Sie den Erkennungs-Server möglicherweise neu starten. Wenn ein Neustart erforderlich ist, generiert McAfee DLP Discover ein operatives Ereignis. •

Wenn Sie das Server-Paket manuell installiert haben, werden Sie zum Neustart aufgefordert.

•

Haben Sie hingegen McAfee ePO verwendet, hängt die Anzeige dieser Aufforderung u. U. von den Konfigurationseinstellungen von McAfee Agent ab. In einigen Fällen ist MSMQ auch nach einem Neustart noch nicht aktiviert. Der Erkennungs-Server sendet daraufhin ein operatives Ereignis. In einem solchen Fall müssen Sie MSMQ manuell aktivieren und den Erkennungs-Server-Dienst manuell starten.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

13

2

Installation von McAfee DLP Discover Installieren von McAfee DLP Discover

Informationen zu den unterstützten Upgrade-Pfaden finden Sie in den Versionshinweisen zu McAfee Data Loss Prevention Discover. Installieren Sie die Software nicht über eine vorhandene Software-Installation der gleichen Version.

Installieren von McAfee DLP Discover Sie müssen die Erweiterung und das Server-Paket für McAfee DLP installieren. Das Server-Paket wird auf Erkennungs-Servern bereitgestellt. Es installiert McAfee DLP Discover und die erforderlichen Komponenten wie .NET, PostgreSQL, AD RMS-Client 2.1 und C++ Redistributables. Aufgaben •

Installieren und Lizenzieren der McAfee DLP-Erweiterung auf Seite 14 Die Erweiterung stellt die Benutzeroberfläche zum Konfigurieren von McAfee DLP in McAfee ePO bereit.

•

Installieren oder Upgrade des Server-Pakets mithilfe von McAfee ePO auf Seite 15 McAfee empfiehlt, das Server-Paket mithilfe von McAfee ePO zu installieren.

•

Manuelles Installieren oder Upgrade des Server-Pakets auf Seite 16 Wenn Sie das Server-Paket z. B. aufgrund von Problemen mit der Netzwerkverbindung nicht über McAfee ePO installieren können, können Sie McAfee DLP Discover manuell auf dem Erkennungs-Server installieren.

Installieren und Lizenzieren der McAfee DLP-Erweiterung Die Erweiterung stellt die Benutzeroberfläche zum Konfigurieren von McAfee DLP in McAfee ePO bereit. Bevor Sie beginnen •

Laden Sie die McAfee DLP-Erweiterung von der McAfee-Download-Website herunter. Sie können auch in McAfee ePO Menü | Software | Software-Manager aufrufen, um die Software anzuzeigen, herunterzuladen und zu installieren.

•

Der Name des McAfee ePO-Servers muss in den Sicherheitseinstellungen von Internet Explorer in der Liste "Vertrauenswürdige Sites" aufgeführt sein.

Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Software | Erweiterungen aus, und klicken Sie dann auf Erweiterung installieren.

2

Navigieren Sie zur ZIP-Datei mit der Erweiterung, und klicken Sie auf OK. Daraufhin öffnet sich das Installationsdialogfeld mit den Dateiparametern. Vergewissern Sie sich, dass Sie die richtige Erweiterung installieren.

14

3

Klicken Sie auf OK. Die Erweiterung wird nun installiert.

4

Installieren Sie Lizenzen und Komponenten, um die Installation an Ihre Anforderungen anzupassen.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

Installation von McAfee DLP Discover Installieren von McAfee DLP Discover

2

Die Installation der Lizenz aktiviert die zugehörigen McAfee ePO-Komponenten und Richtlinien des McAfee ePO-Richtlinienkatalogs. Folgende Lizenzoptionen sind verfügbar: •

McAfee Device Control

•

McAfee DLP Endpoint (umfasst Device Control)

•

McAfee DLP Discover

•

McAfee DLP Network

®

McAfee DLP Discover kann entweder mit Device Control oder mit McAfee DLP Endpoint installiert werden. McAfee DLP Network kann zusammen mit jeder anderen Option installiert werden.

5

a

Wählen Sie Menü | Datenschutz aus.

b

Wählen Sie DLP-Einstellungen oder McAfee DLP Discover aus, und klicken Sie auf Ja, wenn Sie zur Eingabe der Lizenz aufgefordert werden.

c

Geben Sie im Feld Schlüssel die Lizenz ein, und klicken Sie anschließend auf Hinzufügen.

d

Fügen Sie ggf. eine weitere Lizenz hinzu.

Geben Sie im Feld Standard-Nachweisspeicherung den entsprechenden Speicherpfad ein. Beim Pfad für die Nachweisspeicherung muss es sich um einen Netzwerkpfad im Format \\[Server]\ [lokalerPfad] handeln. Dieser Schritt ist zum Speichern der Einstellungen und zum Aktivieren der Software erforderlich.

6

Klicken Sie auf Speichern.

Die McAfee DLP-Module werden entsprechend der Lizenz unter Menü | Datenschutz angezeigt.

Installieren oder Upgrade des Server-Pakets mithilfe von McAfee ePO McAfee empfiehlt, das Server-Paket mithilfe von McAfee ePO zu installieren. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

2

Checken Sie das Server-Paket ein. a

Wählen Sie in McAfee ePO Menü | Software | Master-Repository aus.

b

Klicken Sie auf Paket einchecken.

c

Navigieren Sie zur ZIP-Datei mit dem Server-Paket, und klicken Sie auf Weiter.

d

Klicken Sie auf Speichern.

Erstellen Sie einen Client-Task. a

Wählen Sie Menü | Systemstruktur aus.

b

Wählen Sie zunächst den Erkennungs-Server und dann Aktionen | Agent | Tasks auf einem einzelnen System ändern aus.

c

Wählen Sie Aktionen | Neue Client-Task-Zuweisung aus.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

15

2

Installation von McAfee DLP Discover Durchführen der Schritte nach der Installation

3

4

Konfigurieren Sie die Task-Zuweisung. a

Wählen Sie im Bereich Produkt die Option McAfee Agent aus.

b

Wählen Sie im Bereich Task-Typ die Option Produktbereitstellung aus.

c

Klicken Sie im Bereich Task-Name auf Neuen Task erstellen.

Konfigurieren Sie den Task. a

Wählen Sie im Bereich Zielplattformen die Option Windows aus.

b

Wählen Sie im Menü Produkte und Komponenten die Option McAfee Discover Server aus.

c

Wählen Sie im Menü Aktion die Option Installieren aus.

d

Klicken Sie auf Speichern.

5

Wählen Sie den Namen des neuen Tasks aus, und klicken Sie anschließend auf Weiter.

6

Legen Sie fest, wann der Task ausgeführt werden soll, und klicken Sie dann auf Weiter.

7

Klicken Sie auf Speichern.

Manuelles Installieren oder Upgrade des Server-Pakets Wenn Sie das Server-Paket z. B. aufgrund von Problemen mit der Netzwerkverbindung nicht über McAfee ePO installieren können, können Sie McAfee DLP Discover manuell auf dem Erkennungs-Server installieren. Vorgehensweise 1

Laden Sie die Datei "DiscoverServerInstallx64.exe" auf den Erkennungs-Server herunter, bzw. kopieren Sie sie dorthin.

2

Doppelklicken Sie auf die Datei, und befolgen Sie die auf dem Bildschirm angezeigten Anweisungen.

Durchführen der Schritte nach der Installation Überprüfen Sie die Installation, und konfigurieren Sie die Server-Einstellungen.

Überprüfen der Installation Sie sollten sich vergewissern, dass McAfee DLP Discover ordnungsgemäß installiert wurde und mit McAfee ePO kommunizieren kann. Wenn eine Installation fehlschlägt, generiert McAfee DLP Discover ein operatives Ereignis. Wählen Sie zur Anzeige von Ereignissen Menü | Datenschutz | DLP-Vorgänge aus.

Vorgehensweise 1

16

Wenn MSMQ nach der Installation nicht aktiviert wird oder alte Datenprogrammordner bzw. Registrierungsschlüssel nicht gelöscht wurden, starten Sie den Erkennungs-Server neu.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

2

Installation von McAfee DLP Discover Durchführen der Schritte nach der Installation

Wenn Sie den Server neu starten müssen, generiert McAfee DLP Discover ein operatives Ereignis. •

Wenn Sie das Server-Paket manuell installiert haben, werden Sie zum Neustart aufgefordert.

•

Haben Sie hingegen McAfee ePO verwendet, hängt die Anzeige dieser Aufforderung von den Konfigurationseinstellungen von McAfee Agent ab. In einigen Fällen ist MSMQ auch nach einem Neustart noch nicht aktiviert. Der Erkennungs-Server sendet daraufhin ein operatives Ereignis. In einem solchen Fall müssen Sie MSMQ manuell aktivieren und den Erkennungs-Server-Dienst manuell starten.

Informationen zur Aktivierung von MSMQ finden Sie in KB87274. 2

3

Vergewissern Sie sich auf dem Server-Betriebssystem, dass die folgenden Dienste und Prozesse von McAfee DLP Discover ausgeführt werden: •

McAfee Discover Service

•

McAfee Discover Server Postgres Service

Führen Sie in McAfee ePO eine Agentenreaktivierung durch, oder erfassen und senden Sie Eigenschaften vom Erkennungs-Server. •

Wählen Sie in McAfee ePO Menü | Systemstruktur und dann den Server aus, und klicken Sie auf Agenten reaktivieren.

•

Klicken Sie auf der Taskleiste des Erkennungs-Servers auf das McAfee-Symbol, wählen Sie McAfee Agent-Statusmonitor aus, und klicken Sie dann auf Eigenschaften erfassen und senden. In der Spalte Status wird die Meldung Richtlinien für DISCOVERxxx werden erzwungen angezeigt.

4

Vergewissern Sie sich, dass der Erkennungs-Server erkannt wird. a

Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.

b

Klicken Sie auf die Registerkarte Erkennungs-Server. Daraufhin wird eine Liste der erkannten Server angezeigt. Wenn der Server nicht aufgeführt wird, wählen Sie Aktionen | Server erkennen aus. Standardmäßig wird dieser Task alle zehn Minuten ausgeführt.

5

Bewährte Methode: Ändern Sie das Agent-Server-Kommunikationsintervall von McAfee Agent, um die Analysedaten zuverlässig auf dem aktuellen Stand zu halten.

a

Wählen Sie Menü | Richtlinie | Richtlinienkatalog aus.

b

Wählen Sie in der Dropdown-Liste Produkt den Eintrag McAfee Agent aus.

c

Suchen Sie in der Spalte Kategorie nach der als Allgemein bezeichneten Standardrichtlinie, und öffnen Sie diese.

d

Ändern Sie auf der Registerkarte Allgemein im Bereich Agent-Server-Kommunikation das Intervall in 5. Wählen Sie zum Deinstallieren des Erkennungs-Servers auf dem Windows-Server Systemsteuerung | Programme und Funktionen aus.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

17

2

Installation von McAfee DLP Discover Durchführen der Schritte nach der Installation

Definieren eines Servers für Rechteverwaltung Sie können Microsoft Windows Rights Management Services in McAfee DLP Discover einbinden, um Richtlinien für Rechteverwaltung (RM) auf Dateien anzuwenden. Bevor Sie beginnen Richten Sie die Rechteverwaltungs-Server ein, und erstellen Sie Benutzer und Richtlinien. Beschaffen Sie sich die Richtlinienvorlagen-URL und das Kennwort für die einzelnen Server.

Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Registrierte Server aus.

2

Klicken Sie auf Neuer Server.

3

Wählen Sie in der Dropdown-Liste Server-Typ den Eintrag Microsoft RMS-Server aus.

4

Geben Sie einen Namen für die Server-Konfiguration ein, und klicken Sie dann auf Weiter.

5

Geben Sie erforderlichen Detailinformationen ein. Klicken Sie nach dem Ausfüllen aller erforderlichen Felder auf Verbindung testen, um die eingegebenen Daten zu überprüfen.

6

Klicken Sie auf Speichern.

Konfigurieren Sie die Server-Einstellungen, um die Anmeldeinformationen für den Rechteverwaltungsdienst festzulegen. Siehe auch Konfigurieren von Server-Einstellungen auf Seite 18

Erstellen von Nachweisordnern In Nachweisordnern werden Nachweisinformationen gespeichert, wenn bei einem Behebungs-Scan Dateien erkannt wurden, die einer Regel entsprechen. Abhängig von Ihrer McAfee DLP-Installation müssen bestimmte Ordner und Netzwerkfreigaben erstellt und ihre Eigenschaften und Sicherheitseinstellungen entsprechend konfiguriert werden. Sie müssen Schreibzugriff für das Benutzerkonto konfigurieren, das die Daten in den Nachweisordner schreibt, wie z. B. das lokale Systemkonto auf dem Erkennungs-Server. Um Nachweise aus McAfee ePO anzeigen zu können, müssen Sie Lesezugriff für das lokale Systemkonto des McAfee ePO-Servers zulassen.

Konfigurieren von Server-Einstellungen Sie können die McAfee DLP Discover-Einstellungen konfigurieren, z. B. die zu verwendende Nachweisfreigabe. Bevor Sie beginnen

18

•

Bei Verwendung eines Servers für Rechteverwaltung benötigen Sie den Domänennamen, den Benutzernamen und das Kennwort.

•

Wenn Sie Behebungs-Scans auf SharePoint-Servern durchführen möchten, müssen Sie ermitteln, ob die SharePoint-Server in Ihrem Unternehmen den Papierkorb verwenden. Wenn diese Einstellung nicht übereinstimmt, können während des Behebungs-Scans Fehler oder unerwartetes Verhalten auftreten.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

Installation von McAfee DLP Discover Durchführen der Schritte nach der Installation

2

Informationen zur Rechteverwaltung und zur Textextrahierung finden Sie im Produkthandbuch zu McAfee Data Loss Prevention Endpoint. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Richtlinie | Richtlinienkatalog aus.

2

Wählen Sie in der Dropdown-Liste Produkt die Option Data Loss Prevention 9.4 aus.

3

(Optional) Wählen Sie in der Dropdown-Liste Kategorie die Option Server-Konfiguration aus. Daraufhin werden alle Server-Konfigurationen für McAfee DLP Discover angezeigt.

4

5

Führen Sie eine der folgenden Aktionen aus. •

Wählen Sie eine Server-Konfiguration zur Bearbeitung aus.

•

Klicken Sie für die Konfiguration McAfee Default auf Duplizieren.

Auf der Seite Nachweiskopierdienst: a

Wählen Sie aus, ob der Dienst aktiviert oder deaktiviert werden soll. Mithilfe des Nachweiskopierdienstes können während des Behebungs-Scans Nachweise gespeichert werden. Wenn der Dienst deaktiviert ist, werden keine Nachweise erfasst, sondern nur Vorfälle generiert.

b

Geben Sie den UNC-Pfad für die Nachweisspeicherungs-Freigabe ein. Wenn Sie nicht das lokale Systemkonto verwenden möchten, geben Sie einen Benutzernamen und ein Kennwort für die Nachweisspeicherung ein.

c

Optional: Setzen Sie die Standardfilter Maximale Größe der Nachweisdatei und Max. Bandbreite bei Nachweisübertragung zurück.

d

Wählen Sie aus, ob das Speichern der ursprünglichen Datei aktiviert oder deaktiviert werden soll. Wenn Sie Deaktiviert auswählen, wird die Einstellung Ursprüngliche Datei speichern in den jeweiligen Regeln außer Kraft gesetzt.

e 6

Legen Sie für den Abgleich mit der Klassifizierung 'Abgekürzte Ergebnisse' oder 'Alle Übereinstimmungen' fest. Sie können den Abgleich auch deaktivieren.

Optional: Auf der Seite Protokollierung können Sie den Ausgabetyp und die Ebene für die Protokollierung festlegen. McAfee empfiehlt die Beibehaltung der Standardwerte.

7

Legen Sie auf der Seite Rechteverwaltung die Anmeldeinformationen für den Rechteverwaltungsdienst fest.

8

Aktivieren oder deaktivieren Sie auf der Seite SharePoint die Option Dateien in Papierkorb löschen. Wenn Sie diese Einstellung aktivieren und der SharePoint-Server den Papierkorb nicht verwendet, schlägt das Verschieben von Dateien fehl, und sie werden stattdessen kopiert. In SharePoint ist der Papierkorb standardmäßig aktiviert.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

19

2

Installation von McAfee DLP Discover Durchführen der Schritte nach der Installation

9

Optional: Auf der Seite Textextrahierung können Sie die Einstellungen für die Textextrahierung konfigurieren. Bewährte Methode: Verwenden Sie die Standardwerte.

a

Legen Sie eine alternative ANSI-Codepage fest. Standardmäßig wird die Standardsprache des Erkennungs-Servers verwendet.

b

20

Legen Sie die maximale Größe für Ein- und Ausgabedateien und die Zeitlimits fest.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

3

Scan- und Richtlinienkonfiguration

Sie können McAfee DLP Discover-Scans und -Richtlinien zum Erkennen und Schützen von Dateien konfigurieren. McAfee DLP Discover und McAfee DLP Endpoint verwenden zahlreiche Konfigurationskomponenten gemeinsam. Je nach Ihrer McAfee DLP-Lizenz können bestimmte Komponenten, wie z. B. Definitionen und Regeln, von beiden Produkten verwendet werden.

Inhalt Auswählen des Scan-Typs Wichtige Überlegungen und Einschränkungen in Bezug auf Scans Verwenden von Definitionen und Klassifizierungen mit Scans Verwenden von Klassifizierungen Verwenden von Regeln mit Scans Konfigurieren der Richtlinie für Scans Konfigurieren eines Scans Durchführen von Scan-Vorgängen Scan-Verhalten Zuweisen von McAfee DLP-Berechtigungssätzen

Auswählen des Scan-Typs Der von Ihnen konfigurierte Scan-Typ bestimmt den Umfang der bei einem Scan abgerufenen Daten, die während des Scans durchgeführten Aktionen und die für den Scan erforderlichen Einstellungen. •

Inventar-Scans rufen ausschließlich Metadaten ab und legen damit eine Basis für die Konfiguration von Klassifizierungs- und Behebungs-Scans.

•

Klassifizierungs-Scans rufen Metadaten ab, analysieren Dateien und gleichen diese mit den von Ihnen definierten Richtlinienklassifizierungen ab.

•

Behebungs-Scans führen die gleiche Analyse wie Klassifizierungs-Scans durch und können Aktionen für Dateien durchführen, die konfigurierten Regeln entsprechen.

Die zu konfigurierenden Richtlinienkomponenten hängen vom jeweiligen Scan-Typ ab. Tabelle 3-1 Erforderliche Richtlinienkomponenten Scan-Typ

Definitionen

Klassifizierungen

Inventar

X

Klassifizierung

X

X

Behebung

X

X

Regeln

X

Die Scan-Ergebnisse werden auf der Registerkarte Datenanalyse angezeigt. Auf der Registerkarte Dateninventar wird der Dateibestand von Scans angezeigt, für die die Option Dateiliste aktiviert ist.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

21

3

Scan- und Richtlinienkonfiguration Auswählen des Scan-Typs

Funktionsweise von Inventar-Scans Inventar-Scans sind die schnellsten Scans, da nur Metadaten abgerufen werden. Daher bildet ein Inventar-Scan einen guten Ausgangspunkt für die Planung Ihrer Strategie zur Verhinderung von Datenlecks. Mithilfe von Inventar-Scans können Sie auch IT-Tasks automatisieren, beispielsweise das Auffinden von leeren Dateien oder Dateien, die über einen längeren Zeitraum nicht geändert wurden. Ein Inventar-Scan führt Folgendes durch: •

Es werden Metadaten erfasst, jedoch keine Dateien heruntergeladen.

•

Es werden OLAP-Zähler (Online Analytical Processing) und ein Dateninventar (Liste der gescannten Dateien) zurückgegeben.

•

Der Zeitpunkt des letzten Zugriffs auf die gescannten Dateien wird wiederhergestellt.

Alle Scans erfassen Metadaten, wie z. B. Dateityp, Dateigröße, Erstellungsdatum und Änderungsdatum. Die verfügbaren Metadaten hängen vom jeweiligen Repository-Typ ab. Box-Scans rufen beispielsweise die Metadaten zur Freigabe und zur Zusammenarbeit sowie den Kontonamen ab. Die Ergebnisse der Inventar-Scans werden auf den Registerkarten Dateninventar und Datenanalyse angezeigt. Siehe auch Konfigurieren eines Inventar-Scans auf Seite 39

Funktionsweise von Klassifizierungs-Scans Sie können Klassifizierungs-Scans auf der Grundlage der Ergebnisse von Inventar-Scans erstellen. Ein Klassifizierungs-Scan führt Folgendes durch: •

Es werden die gleichen Metadaten wie bei einem Inventar-Scan erfasst.

•

Der tatsächliche Dateityp wird anhand des Inhalts der Datei und nicht anhand der Erweiterung analysiert.

•

Es werden Daten zu Dateien erfasst, die der konfigurierten Klassifizierung entsprechen.

•

Der letzte Zugriffszeitpunkt auf die gescannten Dateien wird wiederhergestellt.

Klassifizierungs-Scans sind langsamer als Inventar-Scans, da die Textextrahierung die Dateien aufruft, durchläuft und auf Übereinstimmungen mit den Definitionen in den Klassifizierungsspezifikationen analysiert. Klassifizierungen bestehen aus Definitionen, die Stichwörter, Wörterbücher, Textmuster und Dokumenteigenschaften enthalten können. Anhand dieser Definitionen können vertrauliche Inhalte identifiziert werden, die möglicherweise einen zusätzlichen Schutz erfordern. Mithilfe der OLAP-Tools können Sie mehrdimensionale Muster dieser Parameter anzeigen, anhand derer Sie die Behebungs-Scans optimieren können. Die Ergebnisse von Klassifizierungs-Scans werden auf den Registerkarten Dateninventar und Datenanalyse angezeigt.

Erkennen von verschlüsselten Dateien Klassifizierungs-Scans erkennen Dateien mit folgenden Verschlüsselungstypen:

22

•

Microsoft Rights Management-Verschlüsselung

•

Seclore Rights Management-Verschlüsselung

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

Scan- und Richtlinienkonfiguration Auswählen des Scan-Typs

•

Nicht unterstützte Verschlüsselungstypen oder Kennwortschutz

•

Nicht verschlüsselt

3

Beachten Sie beim Scannen von verschlüsselten Dateien Folgendes: •

McAfee DLP Discover kann mit Microsoft RMS verschlüsselte Dateien extrahieren und scannen, sofern die Anmeldeinformationen in McAfee DLP Discover konfiguriert sind. Anderweitig verschlüsselte Dateien können nicht extrahiert, gescannt oder auf Übereinstimmung mit Klassifizierungen geprüft werden.

•

Dateien, die mit Adobe Primetime-DRM und McAfee File and Removable Media Protection (FRP) verschlüsselt sind, werden als Nicht verschlüsselt erkannt.

•

McAfee DLP Discover unterstützt Optionen für Klassifizierungskriterien für Microsoft Rights Management-Verschlüsselung sowie für Nicht verschlüsselt.

®

Siehe auch Erstellen von Klassifizierungen auf Seite 37 Konfigurieren von Klassifizierungs-Scans auf Seite 40

Funktionsweise von Behebungs-Scans Sie können Behebungs-Scans auf der Grundlage der Ergebnisse von Inventar- und Klassifizierungs-Scans erstellen. Bei Behebungs-Scans werden Regeln angewendet, um vertrauliche Inhalte im gescannten Repository zu schützen. Wenn eine Datei der Klassifizierung in einem Behebungs-Scan entspricht, kann McAfee DLP Discover die folgenden Aktionen ausführen: •

Einen Vorfall generieren

•

Die ursprüngliche Datei auf der Nachweisfreigabe speichern

•

Die Datei kopieren

•

Verschieben der Datei Box- und SharePoint-Scans unterstützen das Verschieben von Dateien ausschließlich auf CIFS-Freigaben.

•

Eine Richtlinie für Rechteverwaltung auf die Datei anwenden

•

(Nur Box-Scans) Anonyme Freigabe so bearbeiten, dass Anmeldung erforderlich ist McAfee DLP Discover kann es nicht verhindern, dass Box-Benutzer die externe Freigabe ihrer Dateien wieder aktivieren.

•

Keine Aktion durchführen Das Verschieben von Dateien und das Anwenden von Richtlinien für Rechteverwaltung werden für SharePoint-Listen nicht unterstützt. Diese Aktionen werden nur für Dateien unterstützt, die an SharePoint-Listen angehängt oder in Dokumentenbibliotheken gespeichert sind. Einige der zur Erstellung von SharePoint-Seiten verwendeten Dateitypen, beispielsweise ".aspx" oder ".js", können nicht verschoben oder gelöscht werden.

Ein Behebungs-Scan führt zudem die gleichen Tasks wie Inventar- und Klassifizierungs-Scans aus. Bei Behebungs-Scans werden Klassifizierungen und Regeln benötigt, um die Aktion zu bestimmen, die für gefundene Dateien ausgeführt werden soll. Die Ergebnisse von Behebungs-Scans werden auf den Registerkarten Dateninventar und Datenanalyse angezeigt. Behebungs-Scans können außerdem Vorfälle generieren, die in der Ereignisverwaltung angezeigt werden.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

23

3

Scan- und Richtlinienkonfiguration Wichtige Überlegungen und Einschränkungen in Bezug auf Scans

Siehe auch Erstellen von Klassifizierungen auf Seite 37 Erstellen von Regeln für Behebungs-Scans auf Seite 38 Konfigurieren von Behebungs-Scans auf Seite 41

Wichtige Überlegungen und Einschränkungen in Bezug auf Scans Beim Planen und Konfigurieren von Scans sollten Sie die folgenden Punkte berücksichtigen.

Verzeichnisausschluss Sie sollten die McAfee DLP Discover-Verzeichnisse und -Prozesse der folgenden Anwendungen ausschließen, um Leistungsbeeinträchtigungen zu vermeiden: •

Antiviren-Software, z. B. McAfee VirusScan Enterprise

•

McAfee Host Intrusion Prevention und sonstige McAfee-Software

•

Firewalls

•

Zugriffsschutz-Software

•

On-Access-Scans

®

®

®

Tabelle 3-2 Auszuschließende McAfee DLP Discover-Elemente Typ

Ausschließen

Prozesse

• dscrawler.exe

• dssvc.exe

• dstex.exe

• dsrms.exe

• dseng.exe

• dsmbroker.exe

• dsreport.exe Verzeichnisse

• c:\programdata\mcafee\discoverserver • c:\program files\mcafee\discoverserver

Registrierungsschlüssel • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee \DiscoverServer • HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DiscoverServer • HKEY_LOCAL_MACHINE\SOFTWARE\ODBC.INI\McAfeeDSPostgres

Repository-Definitionen Für das Konfigurieren von Repository-Speicherorten in McAfee ePO gelten folgende Einschränkungen. •

IP-Adressbereiche werden nur für Adressen der Klasse C unterstützt.

•

IP-Adressbereiche dürfen keine Adressen umfassen, die auf 0 oder 255 enden. Sie können einzelne IP-Adressen definieren, die auf 0 oder 255 enden.

•

24

IPv6 wird nicht unterstützt.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

Scan- und Richtlinienkonfiguration Verwenden von Definitionen und Klassifizierungen mit Scans

3

SharePoint-Scans Bei SharePoint-Scans wird für Systemkataloge, verborgene Listen und mit NoCrawl gekennzeichnete Listen kein Crawling durchgeführt. Da SharePoint-Listen umfassend angepasst werden können, sind möglicherweise weitere Listen vorhanden, die nicht gescannt werden. Für die meisten in SharePoint 2010 bzw. 2013 vordefinierten Listen ist Crawling möglich, u. a. für folgende Listen: •

Ankündigungen

•

Problemverfolgungen

•

Kontakte

•

Hyperlinks

•

Diskussionsrunden

•

Besprechungen

•

Ereignisse

•

Aufgaben

•

Allgemeine Liste

Die in einer Liste enthaltenen einzelnen Elemente werden zu einer XML-Struktur zusammengefasst, die dann als eine einzige XML-Datei gescannt wird. An Listenelemente angehängte Dateien werden in ihrem jeweiligen Zustand gescannt.

Box-Scans Es ist nicht möglich, ein bestimmtes Box-Repository für mehrere Erkennungs-Server zu konfigurieren. Die verfügbaren Scan-Optionen hängen vom verwendeten Konto ab. Wenn Sie andere Konten scannen lassen möchten, wenden Sie sich an den Box-Support, um die Funktion "As-User" aktivieren zu lassen. •

Mit dem Administratorkonto können alle Konten gescannt werden.

•

Mit einem Co-Administratorkonto können das eigene Konto und Benutzerkonten gescannt werden.

•

Mit einem Benutzerkonto kann nur das eigene Konto gescannt werden.

Festlegen der Bandbreite für einen Scan Umfassende Scans können eine erhebliche Bandbreite belegen, insbesondere in Netzwerken mit geringer Übertragungskapazität. Standardmäßig wird die Bandbreite von McAfee DLP Discover während des Scannens nicht beschränkt. Wenn die Bandbreitenbeschränkung aktiviert ist, wird sie von McAfee DLP Discover auf einzelne abgerufene Dateien und nicht generell während des gesamten Scans angewendet. Bei einem Scan kann das konfigurierte Beschränkungslimit unterschritten bzw. überschritten werden. Der für den gesamten Scan gemessene Durchschnittsdurchsatz liegt jedoch sehr nah am konfigurierten Limit. Der Standardwert für die Beschränkung beträgt 2000 kbit/s (sofern aktiviert).

Verwenden von Definitionen und Klassifizierungen mit Scans Mithilfe von Definitionen und Klassifizierungen können Sie Regeln, Klassifizierungskriterien und Scans konfigurieren. Definitionen sind für alle Scan-Typen erforderlich. Es gibt zwei Arten von Definitionen, die für McAfee DLP Discover verwendet werden. •

In Scans verwendete Definitionen geben Zeitpläne, Repositorys und Anmeldeinformationen für Repositorys an.

•

In Klassifizierungen verwendete Definitionen geben an, welche Übereinstimmungen beim Crawling (automatisiertes systematisches Durchsuchen) der Dateien gesucht werden sollen, z. B. die Dateieigenschaften oder die Daten in einer Datei.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

25

3

Scan- und Richtlinienkonfiguration Verwenden von Klassifizierungen

Tabelle 3-3 Verfügbare Definitionen nach Funktion Definition

Verwendungszweck

Erweitertes Muster*

Klassifizierungen

Wörterbuch* Dokumenteigenschaften Tatsächlicher Dateityp* Klassifizierungen und Scans

Dateierweiterung* Dateiinformationen

Scans

Anmeldeinformationen Planer Box Datei-Server (CIFS) SharePoint

* Gibt an, dass vordefinierte (integrierte) Definitionen verfügbar sind.

Klassifizierungs- und Behebungs-Scans identifizieren vertrauliche Dateien und Daten anhand von Klassifizierungen. Klassifizierungen verwenden mindestens eine Definition zum Abgleich von Dateieigenschaften und Inhalten in einer Datei. Mit Klassifizierungs-Scans können Sie Datenmuster in Dateien analysieren. Optimieren Sie auf der Grundlage der Ergebnisse von Klassifizierungs-Scans Ihre Klassifizierungen, die Sie dann für Behebungs-Scans nutzen können. Registrierte Dokumente und Inhalts-Fingerprinting-Kriterien werden in McAfee DLP Discover nicht verwendet. Klassifizierungs- und Behebungs-Scans können manuell klassifizierte Dateien erkennen, aber McAfee DLP Discover kann keine manuellen Klassifizierungen auf Dateien anwenden.

Verwenden von Klassifizierungen Klassifizierungs- und Behebungs-Scans identifizieren anhand von Klassifizierungen vertrauliche Dateien und Daten. Bei einer Klassifizierung werden Dateieigenschaften und Inhalte einer Datei mithilfe von regulären Ausdrücken und Wörterbüchern auf Übereinstimmungen geprüft. Mit Klassifizierungs-Scans können Sie Datenmuster in Dateien analysieren. Optimieren Sie auf der Grundlage der Ergebnisse von Klassifizierungs-Scans Ihre Klassifizierungen, die Sie dann Behebungs-Scans zugrunde legen können. Klassifizierungen setzen sich aus einer oder mehreren Definitionen zusammen. Tabelle 3-4 Definitionen für Klassifizierungen Klassifizierungsdefinition Erklärung

26

Erweitertes Muster

Reguläre Ausdrücke oder Wortfolgen zum Abgleich mit Daten, z. B. Datumsangaben oder Kreditkartennummern.

Wörterbuch

Zusammenstellungen zusammengehöriger Stichwörter und Wortfolgen, wie z. B. anstößige Wörter oder medizinische Begriffe.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

Scan- und Richtlinienkonfiguration Verwenden von Klassifizierungen

3

Tabelle 3-4 Definitionen für Klassifizierungen (Fortsetzung) Klassifizierungsdefinition Erklärung Dokumenteigenschaften

Dateiverschlüsselung

Hierzu zählen folgende Optionen: • Beliebige Eigenschaft

• Zuletzt gespeichert von

• Autor

• Name des Vorgesetzten

• Kategorie

• Sicherheit

• Kommentare

• Betreff

• Firma

• Vorlage

• Stichwörter (Tags)

• Titel

McAfee DLP Discover unterstützt die folgenden Optionen: • Nicht verschlüsselt • Microsoft Rights Management-Verschlüsselung • Nicht unterstützte Verschlüsselungstypen oder kennwortgeschützte Datei

Dateierweiterung

Gruppen zusammengehöriger Dateierweiterungen, z. B. Grafikdateien.

Dateiinformationen

Hierzu zählen folgende Optionen: • Zugriff am (UTC)

• Dateiname

• Erstellt am (UTC)

• Dateibesitzer

• Geändert am (UTC)

• Dateigröße

• Dateierweiterung Stichwort

Ein Zeichenfolgenwert.

Position in Datei

Der Abschnitt der Datei, in dem sich die Daten befinden.

Abstand

Definiert den Zusammenhang zwischen zwei Eigenschaften ausgehend von ihren Positionen im Verhältnis zueinander.

Tatsächlicher Dateityp

Gruppen von Dateitypen. Die integrierte Gruppe Microsoft Excel umfasst beispielsweise Excel XLS-, XLSX- und XML-Dateien sowie Lotus WK1- und FM3-Dateien, CSV- und DIF-Dateien, Apple iWork-Dateien und einige weitere.

Definitionen für erweiterte Muster In erweiterten Mustern werden reguläre Ausdrücke verwendet, die einen komplexen Musterabgleich ermöglichen, um beispielsweise Sozialversicherungs- oder Kreditkartennummern zu erkennen. In Definitionen wird die Google RE2-Syntax für reguläre Ausdrücke verwendet. Definitionen erweiterter Muster enthalten, genau wie Wörterbuchdefinitionen, einen obligatorischen Faktor. Sie können außerdem eine Bestätigung, d. h. einen Algorithmus zum Testen regulärer Ausdrücke, enthalten. Durch eine geeignete Bestätigung kann die Anzahl von False-Positives beträchtlich reduziert werden. Die Definition kann einen optionalen Abschnitt Ignorierte Ausdrücke enthalten, mit dessen Hilfe die Anzahl von False-Positives weiter reduziert werden kann. Bei den ignorierten Ausdrücken kann es sich um reguläre Ausdrücke oder um Stichwörter handeln. Sie können mehrere Stichwörter importieren, um die Erstellung der Ausdrücke zu beschleunigen.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

27

3

Scan- und Richtlinienkonfiguration Verwenden von Klassifizierungen

Erweiterte Muster weisen auf vertraulichen Text hin. Vertrauliche Textmuster sind in angezeigten Nachweisen mit hervorgehobenen Übereinstimmungen unkenntlich gemacht. Wenn sowohl ein übereinstimmendes als auch ein ignoriertes Muster angegeben ist, hat das ignorierte Muster Vorrang. Auf diese Weise können Sie eine allgemeine Regel festlegen und Ausnahmen hinzufügen, ohne die allgemeine Regel neu schreiben zu müssen.

Wörterbuchdefinitionen Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor zugewiesen ist. Klassifizierungskriterien verwenden angegebene Wörterbücher zum Klassifizieren von Dokumenten, wenn ein definierter Schwellenwert (Gesamtfaktor) überschritten wird, d. h., wenn das Dokument eine bestimmte Mindestanzahl von Wörtern aus dem Wörterbuch enthält. Wörterbucheinträge und Zeichenfolgen in einer Stichwortdefinition unterscheiden sich durch den jeweils zugeordneten Faktor. Eine Wörterbuchklassifizierung gibt Ihnen mehr Flexibilität, da Sie einen Schwellenwert festlegen können, der die Klassifizierung relativiert. Die zugewiesenen Faktoren können negativ oder positiv sein, sodass Sie nach Wörtern oder Wortfolgen bei Vorhandensein anderer Wörter oder Begriffe suchen können. In McAfee DLP sind bereits mehrere Wörterbücher integriert, die häufig verwendete Begriffe der Felder Gesundheit, Banken- und Finanzwesen und anderer Branchen abdecken. Sie können auch eigene Wörterbücher erstellen. Wörterbücher können manuell oder durch Kopieren und Einfügen aus anderen Dokumenten erstellt und bearbeitet werden.

Beschränkungen Beim Verwenden von Wörterbüchern gibt es einige Einschränkungen. Wörterbücher werden im Unicode-Format (UTF-8) gespeichert und können daher in jeder Sprache geschrieben werden. Die folgenden Beschreibungen beziehen sich auf Wörterbücher in englischer Sprache. Sie gelten grundsätzlich auch für andere Sprachen, bei manchen Sprachen kann es jedoch zu unvorhergesehenen Problemen kommen. Der Wörterbuchabgleich weist die folgenden Merkmale auf: •

Die Groß-/Kleinschreibung wird nur berücksichtigt, wenn Sie dies beim Erstellen des jeweiligen Wörterbucheintrags festlegen. Bei integrierten Wörterbüchern, die vor Veröffentlichung dieser Funktion erstellt wurden, wird die Groß-/Kleinschreibung nicht berücksichtigt.

•

Optional kann nach der Übereinstimmung von Teilzeichenfolgen oder ganzen Ausdrücken gesucht werden.

•

Ausdrücke werden einschließlich der Leerzeichen abgeglichen.

Wenn der Abgleich von Teilzeichenfolgen ausgewählt ist, lassen Sie bei der Eingabe kurzer Wörter Vorsicht walten, da möglicherweise False-Positives auftreten können. So würden beispielsweise bei dem Wörterbucheintrag "alt" auch Wörter wie "alternativ" oder "Verwaltung" markiert werden. Verwenden Sie zur Vermeidung solcher False-Positives die Option zur Übereinstimmung ganzer Wortfolgen, oder verwenden Sie statistisch unwahrscheinliche Wortfolgen (Statistically Improbable Phrases, SIPs), um bestmögliche Ergebnisse zu erzielen. Eine weitere Quelle für False-Positives sind ähnliche Begriffe. Angenommen, in einer Liste von Krankheiten sind sowohl "Zöliakie" als auch "Zöliakieerkrankung" als separate Einträge aufgeführt. Wenn der zweite Begriff in einem Dokument enthalten und der Abgleich von Teilzeichenfolgen ausgewählt ist, werden zwei Treffer (einer für jeden Eintrag) ausgegeben, wodurch der Gesamtfaktor verfälscht wird.

28

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

Scan- und Richtlinienkonfiguration Verwenden von Regeln mit Scans

3

Verwenden von Regeln mit Scans In Behebungs-Scans werden mithilfe von Regeln vertrauliche Dateien erkannt und entsprechende Aktionen durchgeführt. Beim Crawling (automatisiertes systematisches Durchsuchen) von Dateien durch einen Behebungs-Scan werden die Dateien mit den aktiven Erkennungsregeln abgeglichen. Wenn die Datei dem in einer Regel definierten Repository und den in einer Regel definierten Klassifizierungen entspricht, kann McAfee DLP Discover Aktionen für die Datei ausführen. Folgende Optionen sind verfügbar: •

Keine Aktion durchführen

•

Einen Vorfall erstellen

•

Die ursprüngliche Datei als Nachweis speichern

•

Die Datei kopieren

•

Die Datei verschieben

•

Eine Richtlinie für Rechteverwaltung auf die Datei anwenden

•

(Nur Box-Scans) Anonyme Freigabe für die Datei aufheben

Das Verschieben von Dateien und das Anwenden von Richtlinien für Rechteverwaltung werden für SharePoint-Listen nicht unterstützt. Diese Aktionen werden nur für Dateien unterstützt, die an SharePoint-Listen angehängt oder in Dokumentenbibliotheken gespeichert sind. Einige der zur Erstellung von SharePoint-Seiten verwendeten Dateitypen, beispielsweise ".aspx" oder ".js", können nicht verschoben oder gelöscht werden. Box-Scans unterstützen das Verschieben von Dateien ausschließlich auf CIFS-Freigaben.

Konfigurieren der Richtlinie für Scans Erstellen Sie vor der Einrichtung eines Scans Definitionen, Klassifizierungen und Regeln für Ihre McAfee DLP Discover-Richtlinie. Aufgaben •

Erstellen von Definitionen für Scans auf Seite 30 Sie können Definitionen erstellen und konfigurieren, die in Scans und Klassifizierungen verwendet werden.

•

Erstellen von Definitionen für Klassifizierungen auf Seite 35 Klassifizierungen benötigen mindestens eine Definition zum Abgleich von Daten und Dateieigenschaften.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

29

3

Scan- und Richtlinienkonfiguration Konfigurieren der Richtlinie für Scans

Erstellen von Definitionen für Scans Sie können Definitionen erstellen und konfigurieren, die in Scans und Klassifizierungen verwendet werden. Aufgaben •

Erstellen von Scan-Definitionen auf Seite 30 Für alle Scans ist eine Definition zur Angabe des Repositorys, der Anmeldeinformationen und des Zeitplans erforderlich.

•

Erstellen einer Definition für Anmeldeinformationen auf Seite 31 Für das Lesen und Ändern von Dateien sind in den meisten Repositorys Anmeldeinformationen erforderlich. Wenn für mehrere Repositorys die gleichen Anmeldeinformationen gelten, können Sie für diese Repositorys dieselbe Definition für Anmeldeinformationen verwenden.

•

Erstellen einer CIFS- oder SharePoint-Repository-Definition auf Seite 32 Sie können ein CIFS- oder SharePoint-Repository zum Scannen konfigurieren.

•

Erstellen einer Box-Repository-Definition auf Seite 33 Sie können ein Box-Repository zum Scannen konfigurieren.

•

Exportieren und Importieren von Repository-Definitionen auf Seite 34 Wenn Sie über eine hohe Anzahl an Repositorys verfügen, kann es einfacher sein, sie als XML-Datei zu verwalten, sodass die Repositorys nicht einzeln zu McAfee ePO hinzugefügt und bearbeitet werden müssen.

•

Erstellen einer Planerdefinition auf Seite 34 Der Scan-Planer bestimmt, wann und wie häufig ein Scan ausgeführt wird.

Erstellen von Scan-Definitionen Für alle Scans ist eine Definition zur Angabe des Repositorys, der Anmeldeinformationen und des Zeitplans erforderlich. Bevor Sie beginnen Sie müssen über den Benutzernamen, das Kennwort und den Pfad für das Repository verfügen.

Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.

2

Klicken Sie auf die Registerkarte Definitionen.

3

Erstellen Sie eine Definition für Anmeldeinformationen. Für Behebungs-Scans müssen die Anmeldeinformationen Lese- und Schreibberechtigungen beinhalten. Für Behebungs-Scans, die eine Richtlinie für Rechteverwaltung anwenden oder Dateien verschieben, sind Berechtigungen mit Vollzugriff erforderlich.

30

a

Wählen Sie im linken Fensterbereich Andere | Anmeldeinformationen aus.

b

Wählen Sie Aktionen | Neu aus, und ersetzen Sie den Standardnamen durch einen eindeutigen Namen für die Definition.

c

Geben Sie die Parameter für die Anmeldeinformationen ein. Klicken Sie auf Speichern.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

Scan- und Richtlinienkonfiguration Konfigurieren der Richtlinie für Scans

4

3

Erstellen Sie eine Repository-Definition. a

Wählen Sie im linken Fensterbereich unter Repositorys den Typ des neuen Repositorys aus, das Sie erstellen möchten.

b

Wählen Sie Aktionen | Neu aus, geben Sie im Feld Name einen eindeutigen Repository-Namen ein, und geben Sie unter Typ und Definitionen die weiteren Informationen ein. Die Parameter unter Ausschließen sind optional. Es ist jedoch mindestens eine Definition unter Einschließen erforderlich.

5

Erstellen Sie eine Planerdefinition. a

Wählen Sie im linken Fensterbereich Andere | DLP-Planer aus.

b

Wählen Sie Aktionen | Neu aus, und geben Sie die Planerparameter ein. Klicken Sie auf Speichern. Die verfügbaren Parameteroptionen hängen vom ausgewählten Planungstyp ab.

6

Erstellen Sie eine Definition für Dateiinformationen. Mithilfe von Definitionen für Dateiinformationen können Sie Scan-Filter definieren. Mit diesen Filtern können Sie Repositorys differenzierter scannen, indem Sie ein- und auszuschließende Dateien angeben. Definitionen für Dateiinformationen sind nicht erforderlich, werden aber empfohlen.

a

Wählen Sie im linken Fensterbereich Daten | Dateiinformationen aus.

b

Wählen Sie Aktionen | Neu aus, und ersetzen Sie den Standardnamen durch einen eindeutigen Namen für die Definition.

c

Wählen Sie Eigenschaften zur Verwendung als Filter aus, und geben Sie Werte für Vergleich und Wert ein. Klicken Sie auf Speichern.

Erstellen einer Definition für Anmeldeinformationen Für das Lesen und Ändern von Dateien sind in den meisten Repositorys Anmeldeinformationen erforderlich. Wenn für mehrere Repositorys die gleichen Anmeldeinformationen gelten, können Sie für diese Repositorys dieselbe Definition für Anmeldeinformationen verwenden. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.

2

Klicken Sie auf die Registerkarte Definitionen.

3

Wählen Sie im linken Fensterbereich Anmeldeinformationen aus.

4

Wählen Sie Aktionen | Neu aus.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

31

3

Scan- und Richtlinienkonfiguration Konfigurieren der Richtlinie für Scans

5

Geben Sie einen eindeutigen Namen für die Definition ein. Die Felder Beschreibung und Domänenname sind optional. Alle anderen Felder sind Pflichtfelder. Wenn es sich bei dem Benutzer um einen Domänenbenutzer handelt, geben Sie im Feld Domänenname das Domänen-Suffix an. Handelt es sich hingegen um einen Arbeitsgruppenbenutzer, müssen Sie den Namen des lokalen Computers angeben. Verwenden Sie für das Crawling aller Website-Sammlungen in einer SharePoint-Web-Anwendung Anmeldeinformationen mit vollem Lesezugriff auf die gesamte Web-Anwendung.

6

Klicken Sie bei Windows-Domänen-Repositorys auf Anmeldeinformationen testen, um den Benutzernamen und das Kennwort aus McAfee ePO zu überprüfen. Dabei werden die Anmeldeinformationen des Erkennungs-Servers nicht überprüft. Für Anmeldeinformationen, die nicht zu einer Windows-Domäne gehören, gibt es keine Verifizierung. Wenn ein Scan aufgrund fehlerhafter Anmeldeinformationen fehlschlägt, wird auf der Seite Liste der operativen Ereignisse ein Ereignis erstellt.

Erstellen einer CIFS- oder SharePoint-Repository-Definition Sie können ein CIFS- oder SharePoint-Repository zum Scannen konfigurieren. Sie können zur Angabe der Einschluss- oder Ausschlussparameter für Ordner anstelle eines vollständigen Pfades auch einen regulären Ausdruck in Perl-Syntax verwenden. •

Geben Sie für Einschlusseinträge ein Pfad-Präfix an, z. B. \\Server oder \Server\Freigabe\Ordner. Der reguläre Ausdruck muss mit dem Pfad-Suffix exakt übereinstimmen.

•

Bei Ausschlusseinträgen werden Ordner, die mit dem Pfad übereinstimmen, beim Scan ausgelassen.

Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.

2

Klicken Sie auf die Registerkarte Definitionen.

3

Wählen Sie im linken Bereich unter Repositorys den Repository-Typ aus.

4

Wählen Sie Aktionen | Neu aus.

5

Geben Sie einen Namen ein, wählen Sie die zu verwendenden Anmeldeinformationen aus, und konfigurieren Sie mindestens eine Definition für Einschließen.

6

(CIFS-Repositorys) Konfigurieren Sie mindestens einen Eintrag für Einschließen. a

Wählen Sie den Präfix-Typ aus.

b

Geben Sie im Feld Präfix den UNC-Pfad, eine IP-Adresse oder einen IP-Adressbereich ein. Der UNC-Pfad kann der vollständig qualifizierte Domänenname (FQDN) (z. B. \ \meinserver1.meinedomaene.com) oder der Name des lokalen Computers (z. B. \\meinserver1) sein. Sie können einer Definition beide Versionen hinzufügen. Mehrere Einträge werden als logisches ODER analysiert.

32

c

(Optional) Sie können einen regulären Ausdruck zum Abgleich der zu scannenden Ordner eingeben.

d

Klicken Sie auf Hinzufügen.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

3

Scan- und Richtlinienkonfiguration Konfigurieren der Richtlinie für Scans

7

(SharePoint-Repositorys) Konfigurieren Sie mindestens einen Eintrag für Einschließen. a

Wählen Sie den Typ für Einschließen aus.

b

Konfigurieren Sie mindestens eine URL. Für die Option SharePoint-Server wird nur eine URL verwendet. Der Host-Name ist der NetBIOS-Name des Servers, sofern auf dem Server keine alternative Zugriffszuordnung konfiguriert ist. Informationen zur alternativen Zugriffszuordnung finden Sie in der SharePoint-Dokumentation von Microsoft.

•

Angeben einer Site: Setzen Sie einen Schrägstrich an das Ende der URL (z. B. http:// SPServer/sites/DLP/).

•

Angeben einer Unter-Website: Setzen Sie einen Schrägstrich an das Ende der Unter-Website (z. B. http://SPserver/sites/DLP/Discover/).

•

Angeben einer Web-Anwendung: Geben Sie in der URL nur den Namen und den Port der Web-Anwendung an (z. B. http://SPServer:Port).

•

Angeben einer Liste oder Dokumentenbibliothek: Verwenden Sie die vollständige URL bis zur Standardansicht der Liste (z. B. http://SPServer/sites/DLP/Share%20Documents/ Default.aspx). Die URL der Standardansicht finden Sie auf der Seite für die Listen- oder Bibliothekseinstellungen. Wenn Sie zur Anzeige dieser Einstellungen nicht berechtigt sind, wenden Sie sich an Ihren SharePoint-Administrator.

c

Wenn Sie eine URL für die Sites-Liste konfiguriert haben, klicken Sie auf Hinzufügen.

8

(Optional) Sie können Parameter für Ausschließen konfigurieren, um Ordner von Scans auszuschließen.

9

Klicken Sie auf Speichern.

Erstellen einer Box-Repository-Definition Sie können ein Box-Repository zum Scannen konfigurieren. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.

2

Klicken Sie auf die Registerkarte Definitionen.

3

Wählen Sie im linken Bereich unter Repositorys die Option Box aus.

4

Wählen Sie Aktionen | Neu aus.

5

Geben Sie den Namen und bei Bedarf eine Beschreibung ein.

6

Klicken Sie auf den Link zur Box-Website. Befolgen Sie die Anweisungen auf der Website, um die Box-Anwendung zu definieren und die Client-ID sowie den geheimen Client-Schlüssel abzurufen. •

Wählen Sie beim Definieren der Anwendung die Option für die Verwaltung des Unternehmens aus.

•

Geben Sie als Umleitungs-URI die IP-Adresse des McAfee ePO-Servers ein.

•

Wenn Sie andere Konten scannen lassen möchten, wenden Sie sich an den Box-Support, um die Funktion "As-User" aktivieren zu lassen.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

33

3

Scan- und Richtlinienkonfiguration Konfigurieren der Richtlinie für Scans

7

Geben Sie die Client-ID und den geheimen Client-Schlüssel ein, und klicken Sie dann auf Token abrufen.

8

Gewähren Sie dem Erkennungs-Server bei der entsprechenden Aufforderung auf der Box-Website Zugriff.

9

Geben Sie an, ob alle oder nur bestimmte Benutzerkonten gescannt werden sollen.

10 Klicken Sie auf Speichern.

Exportieren und Importieren von Repository-Definitionen Wenn Sie über eine hohe Anzahl an Repositorys verfügen, kann es einfacher sein, sie als XML-Datei zu verwalten, sodass die Repositorys nicht einzeln zu McAfee ePO hinzugefügt und bearbeitet werden müssen. Mit der Exportfunktion können Sie bestehende Repository-Definitionen und die zugehörigen Anmeldeinformationen in einer XML-Datei speichern. Nutzen Sie diese Datei als Grundlage zum Hinzufügen und Konfigurieren von Repositorys im XML-Format. Beim Importieren einer XML-Datei werden die Repository-Definitionen und Anmeldeinformationen überprüft und zur Liste der Einträge hinzugefügt. Wenn eine Repository-Definition sowohl in McAfee ePO als auch in der XML-Datei vorhanden ist, wird die Definition mit den Daten aus der XML-Datei überschrieben. Die Definitionen sind über den ID-Wert in der XML-Datei eindeutig definiert. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.

2

Klicken Sie auf die Registerkarte Definitionen.

3

Wählen Sie Datei-Server (CIFS) oder SharePoint aus.

4

Führen Sie eine der folgenden Aufgaben durch. •

•

So exportieren Sie Repositorys: 1

Wählen Sie Aktionen | Exportieren aus.

2

Wählen Sie aus, ob die Datei geöffnet oder gespeichert werden soll, und klicken Sie dann auf OK.

So importieren Sie Repositorys: 1

Wählen Sie Aktionen | Importieren aus.

2

Navigieren Sie zur Datei, und klicken Sie auf OK.

Erstellen einer Planerdefinition Der Scan-Planer bestimmt, wann und wie häufig ein Scan ausgeführt wird. Als Planungstyp sind folgende Optionen verfügbar:

34

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

Scan- und Richtlinienkonfiguration Konfigurieren der Richtlinie für Scans

•

Sofort ausführen

•

Wöchentlich

•

Einmal

•

Monatlich

•

Täglich

3

Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.

2

Klicken Sie auf die Registerkarte Definitionen.

3

Klicken Sie im linken Bereich auf Planer.

4

Wählen Sie Aktionen | Neu aus.

5

Geben Sie einen eindeutigen Namen ein, und wählen Sie den Planungstyp aus. Nach der Auswahl des Planungstyps werden die für den jeweiligen Typ erforderlichen Felder angezeigt.

6

Geben Sie die erforderlichen Informationen ein, und klicken Sie dann auf Speichern.

Erstellen von Definitionen für Klassifizierungen Klassifizierungen benötigen mindestens eine Definition zum Abgleich von Daten und Dateieigenschaften. Aufgaben •

Erstellen einer allgemeinen Klassifizierungsdefinition auf Seite 35 Sie können Definitionen für die Verwendung in Klassifizierungen und Regeln erstellen und konfigurieren.

•

Erstellen eines erweiterten Musters auf Seite 36 Erweiterte Muster werden zum Definieren von Klassifizierungen verwendet. Ein erweitertes Muster kann aus einem einzelnen Ausdruck oder aus einer Kombination von Ausdrücken und False-Positive-Definitionen bestehen.

•

Erstellen oder Importieren einer Wörterbuchdefinition auf Seite 37 Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor zugewiesen ist. Mithilfe von Faktoren können Regeldefinitionen präziser abgestuft werden.

Erstellen einer allgemeinen Klassifizierungsdefinition Sie können Definitionen für die Verwendung in Klassifizierungen und Regeln erstellen und konfigurieren. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.

2

Wählen Sie den zu konfigurierenden Definitionstyp und dann Aktionen | Neu aus.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

35

3

Scan- und Richtlinienkonfiguration Konfigurieren der Richtlinie für Scans

3

Geben Sie einen Namen ein, und konfigurieren Sie die Optionen und Eigenschaften für die Definition. Die verfügbaren Optionen und Eigenschaften hängen vom jeweiligen Definitionstyp ab.

4

Klicken Sie auf Speichern.

Erstellen eines erweiterten Musters Erweiterte Muster werden zum Definieren von Klassifizierungen verwendet. Ein erweitertes Muster kann aus einem einzelnen Ausdruck oder aus einer Kombination von Ausdrücken und False-Positive-Definitionen bestehen. Erweiterte Muster werden mithilfe von regulären Ausdrücken definiert. Eine ausführliche Erläuterung von regulären Ausdrücken würde in diesem Dokument zu weit führen. Es gibt zahlreiche Tutorials zu diesem Thema im Internet, in denen Sie sich ausführlich informieren können.

Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.

2

Wählen Sie die Registerkarte Definitionen und dann im linken Bereich die Option Erweitertes Muster aus. Die verfügbaren Muster werden auf der rechten Seite angezeigt. Wenn nur die benutzerdefinierten erweiterten Muster angezeigt werden sollen, deaktivieren Sie das Kontrollkästchen Integrierte Elemente einschließen. Benutzerdefinierte Muster sind die einzigen Muster, die bearbeitet werden können.

3

Wählen Sie Aktionen | Neu aus. Daraufhin öffnet sich die Definitionsseite für das neue erweiterte Muster.

4

Geben Sie einen Namen und optional eine Beschreibung ein.

5

Gehen Sie unter Übereinstimmende Ausdrücke wie folgt vor: a

Geben Sie einen Ausdruck in das Textfeld ein. Fügen Sie bei Bedarf eine Beschreibung hinzu.

b

Wählen Sie in der Dropdown-Liste eine Bestätigung aus. McAfee empfiehlt, nach Möglichkeit einen Validierungsalgorithmus zu verwenden, um die Anzahl von False-Positives gering zu halten. Dies ist jedoch nicht obligatorisch. Wenn Sie keinen Validierungsalgorithmus angeben möchten oder dies für den Ausdruck nicht sinnvoll ist, wählen Sie Keine Überprüfung aus.

c

Geben Sie im Feld Faktor eine Zahl ein. Diese Zahl gibt die Gewichtung des Ausdrucks für den Abgleich mit dem Schwellenwert an. Dieses Feld ist ein Pflichtfeld.

d 6

Klicken Sie auf Hinzufügen.

Gehen Sie unter False-Positive wie folgt vor: a

Geben Sie einen Ausdruck in das Textfeld ein. Wenn Sie Textmuster in einem separaten Dokument gespeichert haben, können Sie sie mit Einträge importieren in die Definition kopieren.

36

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

3

Scan- und Richtlinienkonfiguration Konfigurieren der Richtlinie für Scans

7

b

Wählen Sie im Feld Typ in der Dropdown-Liste den Wert Regulärer Ausdruck aus, wenn die Zeichenfolge ein regulärer Ausdruck ist, oder Stichwort, wenn es sich um Text handelt.

c

Klicken Sie auf Hinzufügen.

Klicken Sie auf Speichern.

Erstellen oder Importieren einer Wörterbuchdefinition Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor zugewiesen ist. Mithilfe von Faktoren können Regeldefinitionen präziser abgestuft werden. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.

2

Klicken Sie auf die Registerkarte Definitionen.

3

Wählen Sie im linken Fensterbereich Wörterbuch aus.

4

Wählen Sie Aktionen | Neu aus.

5

Geben Sie einen Namen und optional eine Beschreibung ein.

6

Fügen Sie dem Wörterbuch nun Einträge hinzu. So importieren Sie Einträge: a

Klicken Sie auf Einträge importieren.

b

Geben Sie nun Wörter oder Wortfolgen ein, oder kopieren Sie diese aus einem anderen Dokument, und fügen Sie sie ein. Das Textfenster ist auf 20.000 Zeilen und 50 Zeichen pro Zeile beschränkt.

c

Klicken Sie auf OK. Allen Einträgen wird der Standardfaktor 1 zugeordnet.

d

Sie können diesen Faktor ändern, indem Sie für den jeweiligen Eintrag auf Bearbeiten klicken.

e

Wählen Sie nach Bedarf die Spalten Beginnen mit, Enden mit bzw. Groß-/Kleinschreibung beachten aus. Beginnen mit und Enden mit ermöglichen den Abgleich von Teilzeichenfolgen.

So erstellen Sie Einträge manuell:

7

a

Geben Sie die Wortfolge und den Faktor ein.

b

Wählen Sie nach Bedarf die Spalten Beginnen mit, Enden mit bzw. Groß-/Kleinschreibung beachten aus.

c

Klicken Sie auf Hinzufügen.

Klicken Sie auf Speichern.

Erstellen von Klassifizierungen Klassifizierungs- und Behebungs-Scans erkennen vertrauliche Dateien anhand von Klassifizierungen.

McAfee Data Loss Prevention Discover 10.0.0

Produkthandbuch

37

3

Scan- und Richtlinienkonfiguration Konfigurieren der Richtlinie für Scans

Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1

Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.

2

Klicken Sie auf Neue Klassifizierung.

3

Geben Sie einen Namen und optional eine Beschreibung ein.

4

Klicken Sie auf OK.

5

Wählen Sie Aktionen | Neue Klassifizierungskriterien aus.

6

Geben Sie den Namen ein.

7

Wählen Sie eine oder mehrere Eigenschaften aus, und konfigurieren Sie dann den Vergleich und die Werte der Einträge. Als Eigenschaften sind vordefinierte und benutzerdefinierte Klassifizierungsdefinitionen verfügbar.

8

•

Klicken Sie auf , um Kriterien hinzuzufügen, und auf , um Kriterien hinzuzufügen, und auf , um Kriterien hinzuzufügen, und auf