Guía del producto Revisión A
McAfee Data Loss Prevention 10.0.100 Para uso con McAfee ePolicy Orchestrator
COPYRIGHT © 2016 Intel Corporation
ATRIBUCIONES DE MARCAS COMERCIALES Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
2
McAfee Data Loss Prevention 10.0.100
Guía del producto
Contenido
Prefacio
9
Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 10
1
Descripción general del producto
11
¿Qué es McAfee DLP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funciones clave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funcionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles . . . Funcionamiento del software cliente . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP Endpoint en la plataforma Microsoft Windows . . . . . . . . . . . . . . McAfee DLP Endpoint en la plataforma OS X . . . . . . . . . . . . . . . . . . . . McAfee DLP Discover: análisis de archivos y repositorios . . . . . . . . . . . . . . . . . . Repositorios compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP Prevent: protección del tráfico web y de correo electrónico . . . . . . . . . . . . Protección del tráfico de correo electrónico . . . . . . . . . . . . . . . . . . . . Protección del tráfico web . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles . . Interacción con otros productos McAfee . . . . . . . . . . . . . . . . . . . . . . . . .
11 12 12 14 15 16 17 18 19 19 20 20 20 21 22
Despliegue e instalación 2
Planificación del despliegue
25
Opciones de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Opciones de McAfee DLP Endpoint y Device Control . . . . . . . . . . . . . . . . . Opciones de McAfee DLP Discover . . . . . . . . . . . . . . . . . . . . . . . . Opciones de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . Escenarios de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . Planificación de la directiva DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . Flujo de trabajo de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . El proceso de protección de McAfee DLP . . . . . . . . . . . . . . . . . . . . . Flujo de trabajo de directiva . . . . . . . . . . . . . . . . . . . . . . . . . . Práctica recomendada: flujo de trabajo de McAfee DLP Discover . . . . . . . . . . . . Componentes compartidos de las directivas . . . . . . . . . . . . . . . . . . . . Requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Puertos predeterminados utilizados por McAfee DLP . . . . . . . . . . . . . . . . . . . . Lista de comprobación de despliegue . . . . . . . . . . . . . . . . . . . . . . . . . .
3
Instale McAfee DLP
26 26 27 27 28 29 29 30 33 34 35 35 35 37
39
Descargar archivos de instalación y de las extensiones de productos . . . . . . . . . . . . . 39 Instale y añada la licencia a la extensión de McAfee DLP. . . . . . . . . . . . . . . . . . . 40 Instalar la extensión con el Administrador de software . . . . . . . . . . . . . . . . 40
McAfee Data Loss Prevention 10.0.100
Guía del producto
3
Contenido
Instalar la extensión de forma manual . . . . . . . . . . . . . . . . . . . . . . Activar la licencia de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . Aplicación de compatibilidad con versiones anteriores . . . . . . . . . . . . . . . . Conversión de directivas y migración de datos . . . . . . . . . . . . . . . . . . . Instale McAfee DLP Endpoint y el software cliente Device Control. . . . . . . . . . . . . . . Instale el paquete del servidor de McAfee DLP Discover . . . . . . . . . . . . . . . . . . Consideraciones de la ampliación de McAfee DLP Discover . . . . . . . . . . . . . . Instale o amplíe el paquete del servidor con McAfee ePO. . . . . . . . . . . . . . . Instale o amplíe el paquete del servidor manualmente . . . . . . . . . . . . . . . . Verificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . Instale McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalación de las extensiones . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la información de red . . . . . . . . . . . . . . . . . . . . . . Instalación del software en un appliance virtual . . . . . . . . . . . . . . . . . . Instalación del software en un appliance de hardware . . . . . . . . . . . . . . . . Ejecutar el Asistente de instalación y registrarse con McAfee ePO . . . . . . . . . . . Instalar el paquete del servidor de McAfee DLP Prevent for Mobile Email . . . . . . . . Realización de las tareas posteriores a la instalación . . . . . . . . . . . . . . . . . . .
41 41 43 45 46 46 47 48 48 49 50 50 51 51 52 54 55 55
Configuración y uso 4
Configuración de los componentes del sistema
59
Configuración de McAfee DLP en el catálogo de directivas . . . . . . . . . . . . . . . . . 60 Importar o exportar la configuración de McAfee DLP Endpoint . . . . . . . . . . . . . 60 Configuración del cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Compatibilidad con los parámetros de configuración del cliente . . . . . . . . . . . . 63 Configuración de ajustes del cliente . . . . . . . . . . . . . . . . . . . . . . . 64 Configurar ajustes del servidor . . . . . . . . . . . . . . . . . . . . . . . . . 64 Protección de archivos mediante la gestión de derechos . . . . . . . . . . . . . . . . . . 66 Funcionamiento de McAfee DLP con la administración de derechos . . . . . . . . . . . 67 Servidores de administración de derechos compatibles . . . . . . . . . . . . . . . 67 Definir un servidor de administración de derechos . . . . . . . . . . . . . . . . . 68 Documentación de eventos mediante pruebas . . . . . . . . . . . . . . . . . . . . . . 69 Uso de pruebas y del almacenamiento de pruebas . . . . . . . . . . . . . . . . . 69 Creación de carpetas de pruebas . . . . . . . . . . . . . . . . . . . . . . . . 71 Definir las opciones de configuración de las carpetas de pruebas . . . . . . . . . . . . 72 Control de asignaciones con usuarios y conjuntos de permisos . . . . . . . . . . . . . . . 73 Cree definiciones de usuarios finales . . . . . . . . . . . . . . . . . . . . . . . 74 Asignar conjuntos de permisos de McAfee DLP . . . . . . . . . . . . . . . . . . . 74 Creación de un conjunto de permisos de McAfee DLP . . . . . . . . . . . . . . . . 76 Control de acceso a las funciones de McAfee DLP Prevent . . . . . . . . . . . . . . . . . 79 Restricción de la visualización de appliances por parte de los usuarios en el Árbol de sistemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Permitir que los usuarios editen la directiva . . . . . . . . . . . . . . . . . . . . 79 Control de acceso a las funciones de Administración de appliances . . . . . . . . . . . 79 Uso de las directivas de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . 80 Establecer la configuración del tiempo de espera de conexión . . . . . . . . . . . . . 81 Especifique un nivel máximo de anidación de datos adjuntos archivados . . . . . . . . 81 Agregar MTA adicionales que puedan entregar el correo electrónico . . . . . . . . . . 82 Entregar correos electrónicos mediante un enfoque de operación por turnos . . . . . . . 82 Limitar las conexiones a las redes o los sistemas host especificados . . . . . . . . . . 83 Activar TLS en los mensajes entrantes o salientes . . . . . . . . . . . . . . . . . 83 Uso de servidores de autenticación externos . . . . . . . . . . . . . . . . . . . . 84 Directiva de Ajustes generales de administración de appliances . . . . . . . . . . . . 88 Editar la directiva de Email Gateway para trabajar con McAfee DLP Prevent . . . . . . . 88 Integrar McAfee DLP Prevent en un entorno web . . . . . . . . . . . . . . . . . . 90
4
McAfee Data Loss Prevention 10.0.100
Guía del producto
Contenido
Funciones de McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Protección de medios extraíbles
91
93
Protección de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Gestión de dispositivos con clases de dispositivos . . . . . . . . . . . . . . . . . . . . . 95 Definir una clase de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Obtención de un GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Crear una clase de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 97 Organización de dispositivos con definiciones de dispositivos . . . . . . . . . . . . . . . . 97 Uso de las definiciones de dispositivos . . . . . . . . . . . . . . . . . . . . . . 98 Propiedades del dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Reglas de control de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Creación de una regla para dispositivos de almacenamiento extraíbles . . . . . . . . . 105 Crear una regla para dispositivos Plug and Play . . . . . . . . . . . . . . . . . . 106 Creación de una regla de dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Crear una regla de dispositivos de disco duro fijo . . . . . . . . . . . . . . . . . 108 Crear una regla de dispositivos Citrix . . . . . . . . . . . . . . . . . . . . . . 109 Crear una regla de dispositivos TrueCrypt . . . . . . . . . . . . . . . . . . . . 109 Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles . . . . . . . . . . 110
6
Clasificación del contenido confidencial
113
Componentes del módulo Clasificación . . . . . . . . . . . . . . . . . . . . . . . . . Uso de las clasificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Clasificación en función del destino de los archivos . . . . . . . . . . . . . . . . . Clasificación por ubicación de archivo . . . . . . . . . . . . . . . . . . . . . . Extracción de texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cómo categoriza aplicaciones McAfee DLP Endpoint . . . . . . . . . . . . . . . . Criterios y definiciones de clasificación . . . . . . . . . . . . . . . . . . . . . . . . . Definiciones de diccionario . . . . . . . . . . . . . . . . . . . . . . . . . . Definiciones de patrones avanzados . . . . . . . . . . . . . . . . . . . . . . . Clasificación de contenido con propiedades de documentos o información del archivo . . . Plantillas de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . Clasificación manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Propiedades incrustadas . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de clasificaciones manuales . . . . . . . . . . . . . . . . . . . . Documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Texto en lista blanca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación y configuración de clasificaciones . . . . . . . . . . . . . . . . . . . . . . . Crear una clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de los criterios de clasificación . . . . . . . . . . . . . . . . . . . . . Cargar documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . Cargar archivos con texto para inclusión en lista blanca . . . . . . . . . . . . . . . Configurar los componentes de clasificación para McAfee DLP Endpoint . . . . . . . . . . . Crear criterios de identificación por huellas digitales de contenido . . . . . . . . . . . Caso práctico: Identificación por huellas digitales basada en la aplicación . . . . . . . Asignar permisos de clasificación manual . . . . . . . . . . . . . . . . . . . . Caso práctico: Clasificación manual . . . . . . . . . . . . . . . . . . . . . . . Creación de las definiciones de clasificación . . . . . . . . . . . . . . . . . . . . . . Crear una definición de clasificación general . . . . . . . . . . . . . . . . . . . Crear o importar una definición de diccionario . . . . . . . . . . . . . . . . . . . Crear un patrón avanzado . . . . . . . . . . . . . . . . . . . . . . . . . . . Crear una definición de lista de URL . . . . . . . . . . . . . . . . . . . . . . . Caso práctico: Integración del cliente de Titus con etiquetas de terceros . . . . . . . . . . . Caso práctico: Integración de Boldon James Email Classifier con criterios de clasificación . . . .
McAfee Data Loss Prevention 10.0.100
113 114 115 117 117 118 119 121 122 122 123 124 125 126 127 127 128 128 129 129 130 130 131 131 132 133 134 134 134 135 136 137 138
Guía del producto
5
Contenido
7
Protección de contenido de carácter confidencial
141
Conjuntos de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Crear definiciones de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Crear un nuevo intervalo de puertos de red . . . . . . . . . . . . . . . . . . . . 142 Creación de un intervalo de direcciones de red . . . . . . . . . . . . . . . . . . 143 Crear una definición de lista de direcciones de correo electrónico . . . . . . . . . . . 143 Crear una definición de la impresora de red . . . . . . . . . . . . . . . . . . . 144 Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Reglas de protección de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Reglas de protección de acceso a archivos de la aplicación . . . . . . . . . . . . . 145 Reglas de protección del Portapapeles . . . . . . . . . . . . . . . . . . . . . . 146 Reglas de protección en la nube . . . . . . . . . . . . . . . . . . . . . . . . 146 Reglas de protección de correo electrónico . . . . . . . . . . . . . . . . . . . . 147 Reglas de protección de correo electrónico para dispositivos móviles . . . . . . . . . 148 Reglas de protección de comunicaciones de la red . . . . . . . . . . . . . . . . . 149 Reglas de protección de recursos compartidos de red . . . . . . . . . . . . . . . . 149 Reglas de protección contra impresión . . . . . . . . . . . . . . . . . . . . . . 149 Reglas de protección de almacenamiento extraíble . . . . . . . . . . . . . . . . . 150 Reglas de protección contra capturas de pantalla . . . . . . . . . . . . . . . . . 150 Reglas de protección web . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Asistencia para la configuración de cliente con reglas de protección de datos . . . . . . 151 Acciones de las reglas de protección de datos . . . . . . . . . . . . . . . . . . . 153 Reglas de control de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Reglas de descubrimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Listas blancas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Personalización de mensajes del usuario final . . . . . . . . . . . . . . . . . . . . . . 157 Reacciones disponibles para los tipos de regla . . . . . . . . . . . . . . . . . . . . . . 158 Creación y configuración de reglas y conjuntos de reglas . . . . . . . . . . . . . . . . . 162 Creación de un conjunto de reglas . . . . . . . . . . . . . . . . . . . . . . . 162 Creación de una regla . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 Asignación de conjuntos de reglas a directivas . . . . . . . . . . . . . . . . . . 163 Activar, desactivar o eliminar reglas . . . . . . . . . . . . . . . . . . . . . . . 164 Directiva para crear una copia de seguridad y restaurar . . . . . . . . . . . . . . . 164 Configuración de las columnas de reglas o de conjuntos de reglas . . . . . . . . . . 165 Crear una definición de justificación . . . . . . . . . . . . . . . . . . . . . . . 165 Crear una definición de notificación . . . . . . . . . . . . . . . . . . . . . . . 166 Casos de uso de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Caso práctico: Regla para dispositivos de almacenamiento extraíbles con acceso a archivos mediante proceso en lista blanca . . . . . . . . . . . . . . . . . . . . . . . . 168 Caso práctico: Establecimiento de un dispositivo extraíble como de solo lectura . . . . . 169 Caso práctico: Bloqueo y carga de un iPhone mediante una regla de dispositivos Plug and Play . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 Caso práctico: Evitar que la información de carácter confidencial pueda grabarse en disco 171 Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen a un dominio especificado . . . . . . . . . . . . . . . . . . . . . 172 Caso práctico: Permiso para que un grupo de usuarios específico envíe información de crédito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
8
Análisis de datos con descubrimiento de McAfee DLP Endpoint
179
Protección de los archivos con las reglas de descubrimiento . . . . . . . . . . . . . . . . Modo de funcionamiento del análisis de descubrimiento . . . . . . . . . . . . . . . . . . Encontrar contenido con el rastreador de descubrimiento de Endpoint . . . . . . . . . . . . Creación y definición de una regla de descubrimiento . . . . . . . . . . . . . . . . Creación de una definición de planificador . . . . . . . . . . . . . . . . . . . . Configurar un análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
McAfee Data Loss Prevention 10.0.100
179 180 181 182 183 183
Guía del producto
Contenido
Caso práctico: Restauración de elementos de correo electrónico o archivos en cuarentena
9
Análisis de datos con McAfee DLP Discover
184
187
Elección del tipo de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funcionamiento de los análisis de inventario . . . . . . . . . . . . . . . . . . . Funcionamiento de los análisis de clasificación . . . . . . . . . . . . . . . . . . Funcionamiento de los análisis de corrección . . . . . . . . . . . . . . . . . . . Consideraciones y limitaciones de los análisis . . . . . . . . . . . . . . . . . . . . . . Repositorios y credenciales para análisis . . . . . . . . . . . . . . . . . . . . . . . . Uso de definiciones y clasificaciones con análisis . . . . . . . . . . . . . . . . . . . . . Uso de reglas en análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurar directivas para los análisis . . . . . . . . . . . . . . . . . . . . . . . . . Crear definiciones para los análisis . . . . . . . . . . . . . . . . . . . . . . . Crea reglas para análisis de corrección . . . . . . . . . . . . . . . . . . . . . Configurar un análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurar un análisis de inventario . . . . . . . . . . . . . . . . . . . . . . . Configurar un análisis de clasificación . . . . . . . . . . . . . . . . . . . . . . Configurar un análisis de corrección . . . . . . . . . . . . . . . . . . . . . . . Realizar operaciones de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . Comportamiento de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Análisis de los datos analizados . . . . . . . . . . . . . . . . . . . . . . . . . . . Uso de OLAP por parte de McAfee DLP Discover . . . . . . . . . . . . . . . . . . Ver resultados de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . Analizar resultados de análisis . . . . . . . . . . . . . . . . . . . . . . . . . Ver resultados de inventario . . . . . . . . . . . . . . . . . . . . . . . . . .
187 188 188 189 189 191 192 193 193 194 199 200 200 201 202 203 204 204 204 205 206 207
Supervisión y generación de informes 10
Incidentes y eventos operativos
211
Supervisión y generación de informes . . . . . . . . . . . . . . . . . . . . . . . . . Administrador de incidentes de DLP . . . . . . . . . . . . . . . . . . . . . . . . . . Funcionamiento del administrador de incidentes . . . . . . . . . . . . . . . . . . Trabajar con incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de los incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ordenar y filtrar incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . Configurar vistas de columna . . . . . . . . . . . . . . . . . . . . . . . . . Configurar filtros de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . Ver detalles del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestión de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Actualizar un solo incidente . . . . . . . . . . . . . . . . . . . . . . . . . . Actualizar varios incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . Enviar por correo electrónico los eventos seleccionados . . . . . . . . . . . . . . . Administrar etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . Trabajo en casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestión de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de información del caso . . . . . . . . . . . . . . . . . . . . . . Asignación de incidentes a un caso . . . . . . . . . . . . . . . . . . . . . . . Transferencia o eliminación de incidentes de un caso . . . . . . . . . . . . . . . . Actualización de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adición o eliminación de etiquetas de un caso . . . . . . . . . . . . . . . . . . . Eliminación de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Recopilación y administración de datos
211 212 212 214 215 215 216 217 217 218 219 219 220 221 222 222 222 223 223 224 224 225 226
227
Edición de tareas servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Creación de una tarea de purga de eventos . . . . . . . . . . . . . . . . . . . 228
McAfee Data Loss Prevention 10.0.100
Guía del producto
7
Contenido
Creación de una tarea Notificación de correo automática . . . . . . . . . . . . . . Creación una tarea de definición de revisor . . . . . . . . . . . . . . . . . . . . Supervisar resultados de la tarea . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Opciones de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . Paneles predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de una tarea servidor de acumulación de datos . . . . . . . . . . . . . .
12
Registro y supervisión en McAfee DLP Prevent
229 230 231 231 231 232 232 234
235
Generación de informes de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . Eventos de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . Uso del syslog con McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . Supervisión del estado y el mantenimiento del sistema . . . . . . . . . . . . . . . . . . Panel de Administración de appliances . . . . . . . . . . . . . . . . . . . . . . Tarjetas de mantenimiento del sistema . . . . . . . . . . . . . . . . . . . . . Ver el estado de un appliance . . . . . . . . . . . . . . . . . . . . . . . . . Descargar archivos MIB y SMI . . . . . . . . . . . . . . . . . . . . . . . . .
235 235 237 239 239 239 240 240
Mantenimiento y resolución de problemas 13
Diagnóstico de McAfee DLP Endpoint Herramienta de diagnóstico . . . . . . . . Comprobación del estado del agente . Ejecutar la herramienta de diagnóstico Ajuste de directivas . . . . . . . .
14
243 . . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . .
Mantenimiento y resolución de problemas en McAfee DLP Prevent
247
Administrar con la consola del appliance de McAfee DLP Prevent . . . . . . . . . . . . . . Acceso a la consola del appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . Cambiar la configuración original de la red . . . . . . . . . . . . . . . . . . . . . . . Modificar la velocidad y la configuración del dúplex para appliances de hardware . . . . . . . . Administración de appliances de hardware con el RMM . . . . . . . . . . . . . . . . . . Configuración del RMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejecutar al Asistente de instalación mediante el servicio de KVM remoto . . . . . . . . Práctica recomendada: proteger el RMM . . . . . . . . . . . . . . . . . . . . . Actualizar o reinstalar desde la imagen de instalación interna . . . . . . . . . . . . . . . Reinicie el appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Restablecer los valores predeterminados de fábrica del appliance . . . . . . . . . . . . . . Cerrar sesión en el appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP Prevent no acepta correos electrónicos . . . . . . . . . . . . . . . . . . . Sustitución del certificado por defecto . . . . . . . . . . . . . . . . . . . . . . . . Mensajes de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Crear un informe de escalación mínima (MER) . . . . . . . . . . . . . . . . . . . . .
A
8
243 244 245 245
247 248 248 249 249 250 250 250 251 252 253 253 253 254 255 257
Glosario
259
Índice
263
McAfee Data Loss Prevention 10.0.100
Guía del producto
Prefacio
Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee. Contenido Acerca de esta guía Búsqueda de documentación de productos
Acerca de esta guía Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos utilizados, además de cómo está organizada.
Destinatarios La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va destinada. La información de esta guía está dirigida principalmente a: •
Administradores: personas que implementan y aplican el programa de seguridad de la empresa.
Convenciones En esta guía se utilizan los siguientes iconos y convenciones tipográficas. Cursiva
Título de un manual, capítulo o tema; un nuevo término; énfasis
Negrita
Texto que se enfatiza
Tipo de letra monoespacio
Comandos y texto de otra índole que escribe el usuario; un ejemplo de código; un mensaje que se presenta en pantalla
Tipo de letra estrecho en negrita
Palabras de la interfaz del producto, como opciones, menús, botones y cuadros de diálogo
Azul hipertexto
Un vínculo a un tema o a un sitio web externo Nota: Información adicional para enfatizar una cuestión, recordarle algo al lector o proporcionar un método alternativo Sugerencia: Información sobre prácticas recomendadas Precaución: Consejos importantes para proteger su sistema informático, instalación de software, red, empresa o sus datos Advertencia: Consejos fundamentales para impedir lesiones personales al utilizar un producto de hardware
McAfee Data Loss Prevention 10.0.100
Guía del producto
9
Prefacio Búsqueda de documentación de productos
Búsqueda de documentación de productos En el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplo documentación de los productos, artículos técnicos, etc. Procedimiento
10
1
Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento.
2
En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos.
3
Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos.
McAfee Data Loss Prevention 10.0.100
Guía del producto
1
Descripción general del producto
La fuga de datos se produce cuando sale información confidencial o privada de la empresa como resultado de comunicaciones no autorizadas a través de canales tales como aplicaciones, dispositivos físicos y protocolos de red. ®
McAfee Data Loss Prevention (McAfee DLP) identifica y protege los datos dentro de su red. McAfee DLP le ayuda a comprender los tipos de datos en su red, cómo se accede a ellos, cómo se transmiten y si contienen información confidencial. Use McAfee DLP con el fin de crear e implementar directivas de protección eficaces mientras disminuye la necesidad de errores y versiones de prueba amplias. Contenido ¿Qué es McAfee DLP? Funciones clave Funcionamiento McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles McAfee DLP Discover: análisis de archivos y repositorios McAfee DLP Prevent: protección del tráfico web y de correo electrónico McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles Interacción con otros productos McAfee
¿Qué es McAfee DLP? McAfee DLP es uns suite de productos, cada uno de los cuales protege distintos tipos de datos dentro de su red. •
McAfee Data Loss Prevention Endpoint (McAfee DLP Endpoint): supervisa y controla contenido y acciones de los usuarios en equipos endpoint.
•
McAfee Device Control: controla el uso de medios extraíbles en equipos endpoint.
•
McAfee Data Loss Prevention Discover (McAfee DLP Discover): analiza los repositorios de archivos para identificar y proteger los datos confidenciales.
•
McAfee Data Loss Prevention Prevent (McAfee DLP Prevent): trabaja con su servidor MTA o proxy web para proteger el tráfico web y de correo electrónico.
•
McAfee Data Loss Prevention Prevent for Mobile Email (McAfee DLP Prevent for Mobile Email): Funciona con MobileIron para supervisar las solicitudes de ActiveSync de Microsoft Exchange o de Microsoft Office 365
®
®
®
®
®
McAfee Data Loss Prevention 10.0.100
Guía del producto
11
1
Descripción general del producto Funciones clave
Funciones clave McAfee DLP incluye estas funciones. Protección avanzada: Aproveche la identificación por huellas digitales, la clasificación y el marcado de archivos para proteger datos no estructurados de carácter confidencial, como la propiedad intelectual o los secretos comerciales. McAfee DLP proporciona protección exhaustiva para todos los posibles canales de fuga, incluidos los dispositivos de almacenamiento extraíbles, la nube, las aplicaciones de uso compartido de archivos, correo electrónico, mensajería instantánea, web, impresión, portapapeles y captura de pantalla. Implementación de conformidad: Garantice la conformidad atendiendo las acciones cotidianas de los usuarios finales, como el envío de correos electrónicos, la publicación en la nube y las descargas en dispositivos multimedia extraíbles. Descubrimiento y análisis de archivos: Analice archivos almacenados en equipos endpoint locales, repositorios compartidos o la nube para identificar datos de carácter confidencial. Formación del usuario final: Ofrezca información en tiempo real a través de mensajes emergentes instructivos que contribuyen a forjar una cultura y conciencia corporativa en relación con la seguridad. ®
Administración centralizada: Intégrese de forma nativa con el software de McAfee ePolicy Orchestrator (McAfee ePO ) para simplificar la administración de directivas e incidentes. ®
™
Funcionamiento Todos los productos de McAfee DLP detectan la actividad del usuario o datos de carácter confidencial, toman medidas contra las infracciones de directivas y crean incidentes de infracciones.
Detección e identificación McAfee DLP identifica los datos de su red cuando: •
un usuario los usa o accede a ellos;
•
se encuentran en tránsito en su red o fuera de ella; y
•
se ubican en un sistema de archivos local o en un repositorio compartido.
Reacción y protección El software puede tomar diferentes medidas en cuanto a los datos de carácter confidencial, como: •
notificar un incidente;
•
bloquear el acceso del usuario;
•
mover o cifrar archivos; y
•
poner en cuarentena los correos electrónicos que contienen esos datos.
Supervisión y generación de informes Cuando se descubren infracciones de directivas, McAfee DLP crea un incidente con los detalles de dichas infracciones.
12
McAfee Data Loss Prevention 10.0.100
Guía del producto
Descripción general del producto Funcionamiento
1
Categorización de datos McAfee DLP recopila datos y los categoriza por vectores: datos en movimiento, datos en reposo y datos en uso. Vector de datos Descripción
Productos
Datos en uso
Las acciones que llevan cabo los usuarios en los • McAfee DLP Endpoint equipos endpoint, como la copia de datos y • Device Control archivos en medios extraíbles, la impresión de archivos en una impresora local y la realización de capturas de pantalla.
Datos en movimiento
El tráfico activo de su red. El tráfico se analiza, clasifica y almacena en la base de datos de McAfee DLP.
• McAfee DLP Prevent
Datos en reposo
Los datos que residen en los repositorios y recursos compartidos de archivos. McAfee DLP puede analizar y rastrear los datos en reposo, así como llevar a cabo las acciones correctivas necesarias con ellos.
• McAfee DLP Discover
• McAfee DLP Prevent for Mobile Email
• Descubrimiento de McAfee DLP Endpoint
Cómo interactúan los productos de McAfee DLP La instalación de todos los productos de McAfee DLP permite utilizar todas las funciones de la suite de productos. Este diagrama muestra una red simplificada en la que se despliegan todos los productos de McAfee DLP y McAfee ePO.
McAfee Data Loss Prevention 10.0.100
Guía del producto
13
1
Descripción general del producto McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles
Referencia Descripción
Vector de datos
1
McAfee ePO gestiona la configuración de directivas y de incidentes en todos los productos de McAfee DLP.
No aplicable
2
McAfee DLP Endpoint y Device Control supervisan y limitan el uso que los usuarios pueden hacer de los datos. McAfee DLP Endpoint también analiza el correo electrónico y los sistemas de archivos de los equipos endpoint.
• Datos en uso • Datos en reposo
3
McAfee DLP Discover analiza archivos de los repositorios locales o en Datos en reposo la nube con el fin de encontrar datos de carácter confidencial.
4
• McAfee DLP Prevent recibe correo electrónico de los servidores MTA. Analiza los mensajes, agrega los encabezados apropiados según la directiva configurada y envía los mensajes a un único servidor MTA, que también se conoce como Host inteligente.
Datos en movimiento
• McAfee DLP Prevent recibe tráfico web de los servidores proxy web. Analiza el tráfico web, determina si se debe permitir o bloquear y lo remite al servidor proxy web apropiado. • McAfee DLP Prevent for Mobile Email recibe correo electrónico de un servidor de MobileIron Sentry. Analiza el correo electrónico y datos adjuntos y crea los incidentes o guarda las pruebas, en función de las reglas de protección de dispositivos móviles.
McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles McAfee DLP Endpoint supervisa las acciones que los usuarios de la empresa llevan a cabo con contenido de carácter confidencial en sus equipos. McAfee Device Control evita el uso no autorizado de dispositivos multimedia extraíbles. McAfee DLP Endpoint incluye todas las funciones de Device Control y, además, protege contra la fuga de datos en un amplio conjunto de canales en los que puede producirse.
Funciones principales McAfee Device Control: •
Controla qué datos se pueden copiar en dispositivos extraíbles o controla los propios dispositivos. Puede bloquear completamente los dispositivos o hacer que sean de solo lectura.
•
Bloquea la ejecución de ejecutables en medios extraíbles. Pueden hacerse excepciones para ejecutables requeridos, como la protección antivirus.
•
Protege las unidades USB, smartphones, dispositivos Bluetooth y demás medios extraíbles.
McAfee DLP Endpoint protege contra la fuga de datos desde:
14
•
Software de portapapeles
•
Aplicaciones de nube
•
Correo electrónico (incluido el correo electrónico enviado a los dispositivos móviles)
•
Recursos compartidos de red
•
Impresoras
•
Capturas de pantalla
McAfee Data Loss Prevention 10.0.100
Guía del producto
Descripción general del producto McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles
•
Aplicaciones y navegadores especificados
•
Publicaciones web
1
El motor de clasificación de McAfee DLP aplica las definiciones y los criterios de clasificación que definen el contenido que debe protegerse, así como dónde y cuándo se debe aplicar la protección. Las reglas de protección aplican los criterios de clasificación y otras definiciones para proteger el contenido de carácter confidencial. Reglas
Compatibilidad con
Protección de datos
• McAfee DLP Endpoint • Device Control (solo reglas de protección de almacenamiento extraíble) • McAfee DLP Prevent (reglas de protección web y de correo electrónico)
Device Control
• McAfee DLP Endpoint • Device Control
Descubrimiento
• McAfee DLP Endpoint (descubrimiento de endpoint) • McAfee DLP Discover
El rastreador de descubrimientos de McAfee DLP Endpoint se ejecuta en el equipo endpoint local, realiza búsquedas en archivos de almacenamiento de correo electrónico y el sistema de archivos local, y aplica directivas para proteger el contenido de carácter confidencial.
Funcionamiento McAfee DLP Endpoint protege la información confidencial de la empresa: •
aplica directivas formadas por definiciones, clasificaciones, conjuntos de reglas, configuraciones de cliente de endpoint y planificaciones de descubrimiento de endpoint.
•
Supervisa las directivas y bloquea las acciones con contenido de carácter confidencial, según corresponda.
•
Cifra contenido de carácter confidencial para permitir la acción.
•
Crea informes para revisar y controlar el proceso, y puede almacenar el contenido de carácter confidencial como prueba.
Funcionamiento del software cliente El software cliente McAfee DLP Endpoint se despliega como un complemento de McAfee Agent e implementa las directivas definidas en la directiva de McAfee DLP. El software cliente McAfee DLP Endpoint audita las actividades de los usuarios para supervisar, controlar e impedir que los usuarios no autorizados copien o transfieran información confidencial. A continuación, genera eventos que se registran mediante el Analizador de eventos de McAfee ePO.
Analizador de eventos Los eventos generados por el software cliente McAfee DLP Endpoint se envían al Analizador de eventos de McAfee ePO y se registran en tablas de la base de datos de McAfee ePO. Estos eventos se almacenan en la base de datos para su posterior análisis y se utilizan en otros componentes del sistema.
McAfee Data Loss Prevention 10.0.100
Guía del producto
15
1
Descripción general del producto McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles
Funcionamiento con conexión/sin conexión Puede aplicar diferentes reglas de dispositivos y protección, en función de si el equipo gestionado dispone de conexión (es decir, está conectado a la red de la empresa) o se trata de un equipo sin conexión (desconectado de la red). Algunas reglas también le permiten diferenciar entre equipos que se encuentran dentro de la red y los que se conectan a esta mediante VPN.
McAfee DLP Endpoint en la plataforma Microsoft Windows Los equipos basados en Microsoft Windows se pueden proteger con McAfee Device Control o McAfee DLP Endpoint. El software cliente McAfee DLP Endpoint utiliza tecnología de descubrimiento avanzada, reconocimiento de patrón de texto y diccionarios predefinidos. Identifica contenido de carácter confidencial e incorpora la administración de dispositivos y el cifrado de capas de control añadidas. El software Information Rights Management (IRM) protege archivos confidenciales mediante el cifrado y la administración de los permisos de acceso. McAfee DLP Endpoint admite Microsoft Rights Management Service (RMS) y Seclore FileSecure como métodos complementarios para la protección de datos. Un uso típico consiste en evitar la copia de archivos que no están protegidos con IRM. El software de clasificación verifica que los correos electrónicos y otros archivos se clasifiquen uniformemente y se etiqueten con marcado de protección. McAfee DLP Endpoint se integra con Titus Message Classification y Boldon James Email Classifier for Microsoft Outlook para crear reglas de protección de correo electrónico en función de las clasificaciones aplicadas. Se integra con otros clientes de clasificación de Titus mediante la SDK de Titus para crear otras reglas de protección basadas en las clasificaciones aplicadas.
Compatibilidad con lectores de pantalla Job Access With Sound (JAWS), el software lector de pantalla muy utilizado por invidentes, es compatible con equipos endpoint. Son compatibles las siguientes funciones de McAfee DLP Endpoint: •
Ventana emergente de notificación al usuario final: Si el cuadro de diálogo emergente está definido para que se cierre manualmente (en Administrador de directivas de DLP), el texto del cuadro se lee permitiendo a las personas invidentes navegar por los botones y enlaces.
•
Cuadro de diálogo de justificación de usuario final: Es posible acceder al cuadro combinado con la tecla de tabulación y seleccionarse la justificación con las teclas de flecha.
•
Consola de usuario final Historial de notificaciones: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se ha seleccionado la ficha Historial de notificaciones". No hay contenido que permita realizar acciones. Se lee toda la información en el panel de la derecha.
•
Consola de usuario final Descubrimiento: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se ha seleccionado la ficha Descubrimiento". No hay contenido que permita realizar acciones. Se lee toda la información en el panel de la derecha.
•
Consola de usuario final Tareas: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se ha seleccionado la ficha Tareas". Se puede acceder a todos los pasos con la tecla de tabulación y se leen las instrucciones apropiadas.
•
Consola de usuario final Acerca de: Cuando se selecciona la ficha, JAWS lee lo siguiente: "Se ha seleccionado la ficha Acerca de". No hay contenido que permita realizar acciones. Se lee toda la información en el panel de la derecha.
Múltiples sesiones de usuarios El software cliente McAfee DLP Endpoint admite un cambio rápido de usuario (FUS) con sesiones de varios usuarios en aquellas versiones del sistema operativo Windows que admiten FUS. La compatibilidad con equipos de sobremesa virtuales puede dar lugar a múltiples sesiones de usuarios desde un único equipo host.
16
McAfee Data Loss Prevention 10.0.100
Guía del producto
1
Descripción general del producto McAfee DLP Endpoint y Device Control: Control de contenido de endpoint y medios extraíbles
Consola de Endpoint La consola de Endpoint se ha diseñado para compartir información con el usuario y facilitar la autocorrección de problemas. Se configura en Configuración del cliente | Servicio de interfaz de usuario. En los equipos basados en Microsoft Windows, la consola se activa desde el icono de la bandeja de entrada mediante la selección de Administrar funciones | Consola de DLP Endpoint. Una vez configurada por completo, tiene cuatro páginas con fichas: •
Historial de notificaciones: Muestra eventos, incluidos los detalles de los eventos agregados.
•
Descubrimiento: Muestra los detalles de los análisis de descubrimiento.
•
Tareas: Genera códigos de ID e introduce códigos de autorización para la omisión de agente y la cuarentena.
•
Acerca de: Muestra información sobre el estado del agente, la directiva activa, la configuración y el grupo de asignación de equipos, incluidos los números de ID de revisión.
McAfee DLP Endpoint en la plataforma OS X McAfee DLP Endpoint for Mac impide el uso no autorizado de dispositivos extraíbles y proporciona protección del contenido de carácter confidencial en equipos endpoint y recursos compartidos de red. McAfee DLP Endpoint for Mac admite reglas de dispositivos de almacenamiento extraíbles y Plug and Play. Asimismo, admite las siguientes reglas de protección de datos: •
Reglas de protección de recursos compartidos de red
•
Reglas de protección de almacenamiento extraíble
•
Reglas de protección de acceso a archivos de la aplicación
Puede identificar contenido de carácter confidencial con las clasificaciones, como en los equipos con Windows, pero no se admiten los documentos registrados ni el marcado. Se reconocen las clasificaciones manuales, pero no hay ninguna opción de establecerlas ni verlas en la interfaz de usuario. Se admite la extracción de texto, así como el cifrado de pruebas y las definiciones de justificación empresarial.
McAfee Data Loss Prevention 10.0.100
Guía del producto
17
1
Descripción general del producto McAfee DLP Discover: análisis de archivos y repositorios
Consola de endpoint En los equipos endpoint basados en Mac, la consola se activa desde la opción de menú de McAfee en la barra de estado. El Panel se integra con otros software de McAfee instalados, como McAfee VirusScan for Mac, y muestra una descripción general del estado de todos los software de McAfee instalados. La página Registro de eventos muestra los eventos recientes del software de McAfee. Haga clic en una entrada para ver los detalles. ®
®
Figura 1-1 Pantalla de endpoint de McAfee DLP Endpoint for Mac
Para activar la pantalla de omisión de agente, seleccione Preferencias de la opción de menú.
McAfee DLP Discover: análisis de archivos y repositorios McAfee DLP Discover se ejecuta en los servidores de Microsoft Windows y analiza los sistemas de archivos de red para identificar y proteger los archivos y datos de carácter confidencial. McAfee DLP Discover es un sistema de software extensible y escalable que puede cumplir los requisitos de cualquier red, independientemente de su tamaño. Despliegue el software de McAfee DLP Discover en tantos servidores de la red como necesite.
Funciones clave Utilice McAfee DLP Discover para las siguientes acciones: •
Detectar y clasificar contenido de carácter confidencial.
•
Mover o copiar contenido de carácter confidencial.
•
Hacer la integración con Microsoft Rights Management Service para proteger los archivos.
•
Automatizar tareas de TI, como encontrar archivos vacíos, determinar los permisos y hacer una lista de los archivos que han cambiado en un período de tiempo específico.
Funcionamiento ®
McAfee ePO utiliza McAfee Agent para instalar y desplegar el software de McAfee DLP Discover en un Servidor de descubrimiento, es decir, un servidor Windows designado.
18
McAfee Data Loss Prevention 10.0.100
Guía del producto
Descripción general del producto McAfee DLP Discover: análisis de archivos y repositorios
1
McAfee ePO aplica en los servidores de descubrimiento la directiva de análisis, que analiza el repositorio a la hora planificada. Los datos recopilados y las acciones que se realizan con los archivos dependen del tipo y la configuración de análisis. Utilice McAfee ePO para llevar a cabo tareas de configuración y análisis como las siguientes: •
Mostrar los servidores de descubrimiento disponibles.
•
Configurar y planificar los análisis.
•
Configurar elementos de directivas como las definiciones, las clasificaciones y las reglas.
•
Revisar los análisis de datos y los resultados de inventario.
•
Revisar los incidentes generados a partir de los análisis de corrección.
Repositorios compatibles McAfee DLP Discover admite repositorios locales y en la nube. •
Box
•
Sistema de archivos de Internet común (CIFS)
•
SharePoint 2010 y 2013 Los sitios web del centro de búsqueda Enterprise (ESS) de SharePoint no son compatibles. Son consolidaciones sin archivos; solo tienen vínculos a los archivos originales. En los sitios web del ESS, puede analizar las colecciones de sitios reales o toda la aplicación web.
Tipos de análisis McAfee DLP Discover es compatible con tres tipos de análisis: inventario, clasificación y corrección.
Análisis de inventario Los análisis de inventario le aportan una vista de alto nivel de los tipos de archivos que existen en el repositorio. Este análisis recopila solamente los metadatos; no se obtienen los archivos. McAfee DLP Discover ordena los metadatos analizados en diferentes tipos de contenido y examina atributos como el tamaño, la ubicación y la extensión del archivo. Utilice este análisis para crear una descripción general de su repositorio o para tareas de TI como la ubicación de archivos que se utilizan con poca frecuencia.
Análisis de clasificación Los análisis de clasificación le ayudan a entender los datos existentes en el repositorio objetivo. Al hacer coincidir el contenido analizado con clasificaciones como los patrones de texto o los diccionarios, puede analizar los patrones de datos para crear análisis de corrección optimizados.
Análisis de corrección Los análisis de corrección encuentran los datos que infringen una directiva. Puede supervisar, aplicar una directiva de administración de derechos, copiar o mover archivos a una ubicación para exportar. Todas las acciones pueden provocar incidentes que se notifican al Administrador de incidentes de McAfee ePO.
McAfee Data Loss Prevention 10.0.100
Guía del producto
19
1
Descripción general del producto McAfee DLP Prevent: protección del tráfico web y de correo electrónico
McAfee DLP Prevent: protección del tráfico web y de correo electrónico McAfee DLP Prevent se integra con un proxy web o servidor MTA para supervisar el tráfico web y de correo electrónico y evitar posibles incidentes de fuga de datos.
Protección del tráfico de correo electrónico McAfee DLP Prevent se integra con cualquier MTA que admita la inspección de encabezados.
Funciones clave McAfee DLP Prevent interactúa con el tráfico de correo electrónico, genera incidentes y registra los incidentes en McAfee ePO para su posterior revisión de casos.
Funcionamiento
Figura 1-2 Flujo de tráfico de correo electrónico de McAfee DLP Prevent
1 Usuarios: Los mensajes de correo electrónico entrantes o salientes van al servidor MTA. 2 Servidor MTA: Reenvía los mensajes de correo electrónico a McAfee DLP Prevent. 3 McAfee DLP Prevent: Recibe conexiones SMTP recibe desde el servidor MTA y: • descompone el mensaje de correo electrónico en sus distintos componentes, • extrae el texto para la identificación por huellas digitales y el análisis de reglas, • analiza el mensaje de correo electrónico para detectar infracciones de directivas, • agrega un encabezado X-RCIS-Action, • envía el mensaje al Host inteligente configurado. En este ejemplo, el Host inteligente configurado es el MTA original.
4 Servidor MTA: El servidor MTA actúa en el mensaje de correo electrónico en función de la información que obtenga del encabezado X-RCIS-Action.
Protección del tráfico web Funciones clave McAfee DLP Prevent recibe conexiones ICAP de un servidor proxy web, analiza el contenido y determina si se debe permitir o bloquear el tráfico.
20
McAfee Data Loss Prevention 10.0.100
Guía del producto
Descripción general del producto McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles
1
Funcionamiento
Figura 1-3 Flujo de tráfico web de McAfee DLP Prevent
Paso Descripción 1
Los usuarios envían tráfico web al servidor proxy web.
2
El servidor proxy web reenvía el tráfico web a McAfee DLP Prevent.
3
McAfee DLP Prevent inspecciona el tráfico web y devuelve una respuesta al servidor proxy web para permitir el tráfico hasta el servidor de destino o denegar el acceso. El servidor proxy web envía el tráfico web inspeccionado a los destinos correspondientes.
McAfee DLP Prevent for Mobile Email: protección de correo electrónico para dispositivos móviles McAfee DLP Prevent for Mobile Email se integra con los servidores Mobile Device Management (MDM) de MobileIron para analizar los correos electrónicos enviados a dispositivos móviles.
Funciones clave McAfee DLP Prevent for Mobile Email analiza el tráfico de correo electrónico de ActiveSync de Microsoft Exchange o de Microsoft Office 365, genera incidentes y registra los incidentes y pruebas en McAfee ePO para su posterior revisión de casos.
Funcionamiento Mediante la función de ActiveSync de Microsoft Exchange, las aplicaciones de correo electrónico de los dispositivos móviles pueden conectarse directamente a Exchange para enviar y recibir mensajes de correo electrónico. Este tráfico de correo electrónico no utiliza SMTP, por lo que no puede ser detectado por la protección de correo electrónico de McAfee DLP Prevent. El servidor MDM de MobileIron Sentry actúa como un proxy frontal de ActiveSync que intercepta el tráfico de correo electrónico de los dispositivos móviles. Reenvía el correo electrónico al servidor de McAfee DLP para dispositivos móviles, donde el correo electrónico y sus datos adjuntos se analizan según las reglas de protección de dispositivos móviles del Administrador de directivas de DLP. El contenido de carácter confidencial activa un evento en el Administrador de incidentes de DLP para su posterior revisión de casos.
McAfee Data Loss Prevention 10.0.100
Guía del producto
21
1
Descripción general del producto Interacción con otros productos McAfee
Interacción con otros productos McAfee McAfee DLP se integra con otros productos McAfee para aumentar la funcionalidad de la suite de productos. Producto
Descripción
McAfee ePO
Todos los productos McAfee DLP se integran con McAfee ePO para la configuración, administración y supervisión.
McAfee Email Gateway
Se integra con McAfee DLP Prevent para proporcionar protección de correo electrónico.
McAfee File and Removable Media Protection (FRP)
Se integra con McAfee DLP Endpoint para cifrar los archivos confidenciales. No se puede usar en McAfee DLP Endpoint for Mac.
McAfee Logon Collector
Se integra con McAfee DLP Prevent para obtener información de autenticación de usuario.
McAfee Web Gateway
Se integra con McAfee DLP Prevent para proporcionar protección web.
®
®
®
®
22
McAfee Data Loss Prevention 10.0.100
Guía del producto
Despliegue e instalación Determine la opción de despliegue que mejor se adapte a su entorno y, a continuación, instale la extensión. En función de sus productos de McAfee DLP, instale los clientes de endpoint de McAfee DLP Endpoint, el paquete de servidor de McAfee DLP Discover o la extensión y el appliance de McAfee DLP Prevent.
Capítulo 2 Capítulo 3
Planificación del despliegue Instale McAfee DLP
McAfee Data Loss Prevention 10.0.100
Guía del producto
23
Despliegue e instalación
24
McAfee Data Loss Prevention 10.0.100
Guía del producto
2
Planificación del despliegue
Prepare su entorno para la instalación. Contenido Opciones de despliegue Planificación de la directiva DLP Requisitos del sistema Puertos predeterminados utilizados por McAfee DLP Lista de comprobación de despliegue
McAfee Data Loss Prevention 10.0.100
Guía del producto
25
2
Planificación del despliegue Opciones de despliegue
Opciones de despliegue La suite de productos McAfee DLP ofrece varias opciones de integración en su red.
Opciones de McAfee DLP Endpoint y Device Control La instalación recomendada para una implementación sencilla de McAfee DLP Endpoint está en el servidor de McAfee ePO. Para ver las recomendaciones sobre si se debe utilizar un servidor independiente para la base de datos de McAfee ePO en instalaciones más complejas, consulte la Hardware Sizing and Bandwidth Usage Guide (Guía sobre el uso del ancho de banda y el tamaño del hardware) para McAfee ePolicy Orchestrator.
Figura 2-1
Componentes y relaciones de McAfee DLP Endpoint
La arquitectura recomendada incluye: •
•
26
Servidor de McAfee ePO: Alberga las consolas de McAfee DLP Endpoint, Administrador de incidentes y Operaciones, y se comunica con el software McAfee Agent en los equipos endpoint. •
Analizador de eventos de McAfee ePO: Se comunica con McAfee Agent y almacena información de eventos en una base de datos.
•
Analizador de eventos de DLP: Recopila eventos de McAfee DLP Endpoint procedentes del Analizador de eventos de McAfee ePO y los almacena en tablas de DLP en la base de datos de SQL.
•
Base de datos de ePO: Se comunica con el Distribuidor de directivas de McAfee ePO para distribuir directivas y con el Analizador de eventos de DLP para recopilar eventos y pruebas.
Estación de trabajo del administrador: Accede a McAfee ePO y a la consola de directivas de McAfee DLP Endpoint en un navegador.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Planificación del despliegue Opciones de despliegue
•
2
Endpoint gestionado: aplica las directivas de seguridad mediante el software siguiente: •
Cliente de McAfee DLP Endpoint: Un complemento de McAfee Agent que proporciona las directivas y procesos de McAfee DLP Endpoint.
•
McAfee Agent: Proporciona el canal de comunicación entre el servidor de McAfee ePO y el software cliente McAfee DLP Endpoint.
Opciones de McAfee DLP Discover McAfee DLP Discover puede ejecutarse en servidores virtuales o físicos. Puede instalar uno o varios servidores de descubrimiento en su red mediante McAfee ePO (recomendado) o de forma manual. Asegúrese de que todos los servidores que usa para McAfee DLP Discover cumplen los siguientes requisitos: •
El servidor tiene McAfee Agent instalado y en funcionamiento.
•
El servidor se comunica con McAfee ePO.
•
El servidor se agrega al Árbol de sistemas de McAfee ePO.
Para obtener más información sobre la instalación y el funcionamiento de McAfee Agent, consulte la Guía del producto de McAfee Agent.
Opciones de McAfee DLP Prevent McAfee DLP Prevent puede ejecutarse en un appliance de hardware virtual o físico. •
Los dispositivos virtuales pueden ejecutar en su propio servidor VMware ESX o ESXi.
•
Puede instalar McAfee DLP Prevent en los modelos de appliances 4400 o 5500.
•
También puede instalar un servidor VMWare ESX o ESXi en los modelos de appliances 4400 o 5500.
Requisitos del MTA Un servidor MTA debe reunir estos requisitos para integrarse con McAfee DLP Prevent. •
El MTA debe enviar todo o una parte del tráfico de correo electrónico a McAfee DLP Prevent. Ejemplo: En algunos entornos, puede ser preferible para McAfee DLP Prevent procesar solo el correo que va hacia o desde sitios públicos, como Gmail, en lugar de procesar cada correo electrónico enviado y recibido en la red.
•
El MTA debe ser capaz de inspeccionar los encabezados de correo electrónico para poder distinguir el correo electrónico procedente de McAfee DLP Prevent y actuar en las cadenas de encabezados que McAfee DLP Prevent agrega a los mensajes de correo electrónico. Si no se admiten determinadas acciones en el servidor MTA, no configure reglas en McAfee DLP Prevent para usar estas acciones.
•
El MTA debe garantizar que los mensajes de correo electrónico recibidos desde McAfee DLP Prevent se dirigen hacia el destino deseado y no vuelvan a McAfee DLP Prevent. Ejemplo: El enrutamiento puede definirse con una dirección IP de origen o el número de puerto, o comprobando si existen encabezados X-RCIS-Action.
Requisitos de McAfee DLP Prevent for Mobile Email El software de McAfee DLP Prevent for Mobile Email puede ejecutarse en servidores físicos o virtuales. Los requisitos son los mismos que para el software del servidor de McAfee DLP Discover. No ejecute ambos productos desde el mismo servidor.
McAfee Data Loss Prevention 10.0.100
Guía del producto
27
2
Planificación del despliegue Opciones de despliegue
Escenarios de despliegue Debido al número de productos de McAfee DLP y a la forma de implementarlos, las implementaciones difieren generalmente de red a red.
Implementación de McAfee DLP Endpoint en entornos Citrix McAfee DLP Endpoint para Windows puede instalarse en los controladores de Citrix XenApp y XenDesktop. El uso de McAfee DLP Endpoint para Windows en entornos de Citrix tiene los siguientes requisitos: •
Citrix XenApp 6.5 FP2 o 7.8
•
Citrix XenDesktop 7.0, 7.5 o 7.8
Implemente McAfee Agent y McAfee DLP Endpoint en los controladores de Citrix, como en cualquier equipo endpoint. Implemente una directiva de McAfee DLP Endpoint para Windows en los controladores de Citrix. McAfee DLP Endpoint no tiene que implementarse en los equipos endpoint para funcionar con Citrix. Solo se requiere Citrix Receiver 4.4.1000. Cuando el endpoint de Windows se conecta al controlador de Citrix y abre archivos o correos electrónicos, se aplican las reglas.
Funcionamiento Las reglas de protección de Citrix se diferencian de McAfee DLP Endpoint instalado en un equipo de la empresa en lo siguiente: •
Las reglas para dispositivos Citrix no se admiten cuando se utiliza un servidor controlador independiente con XenApp 7.8.
•
No se admiten las reglas de protección contra capturas de pantalla. Esto se debe a que la captura de pantalla se activa desde el equipo endpoint donde la regla no surte efecto. Para obtener protección contra capturas de pantalla, instale McAfee DLP Endpoint en el equipo endpoint.
•
Se admiten reglas de protección del Portapapeles, pero sin eventos ni notificaciones emergentes. Esto se debe a que el intento de acción de copiar se lleva a cabo en el controlador de Citrix, donde las reglas son compatibles, pero el intento de acción de pegar se lleva a cabo en el endpoint, y no se puede activar la ventana emergente ni generar un evento.
Estas limitaciones no se aplican si utiliza RDP para conectarse al controlador de Citrix.
Ejecutar McAfee Device Control en equipos aislados Device Control puede utilizarse para controlar el uso de dispositivos extraíbles conectados a sistemas aislados. La seguridad de los sistemas aislados incluye limitar los dispositivos extraíbles que se utilizan normalmente con estos sistemas a dispositivos reconocidos y usos autorizados. Podemos distinguir tres tipos de sistemas aislados, con pequeñas diferencias entre ellos. La configuración de cada uno de ellos para Device Control se realiza de forma diferente.
28
1
Equipos conectados a la intranet de la empresa, pero aislados de Internet
2
Red de equipos aislados que incluye un servidor de McAfee ePO
3
Equipos aislados, en los que la única forma de obtener información de entrada o salida es utilizando dispositivos de almacenamiento extraíbles
McAfee Data Loss Prevention 10.0.100
Guía del producto
Planificación del despliegue Planificación de la directiva DLP
2
Funcionamiento En el caso 1, McAfee Agent se despliega en los equipos aislados. El sistema funciona, por tanto, de forma normal, recibiendo directivas desde McAfee ePO y enviando incidentes al servidor de McAfee ePO. Todas las comunicaciones permanecen en la intranet. En el caso 2, se pueden crear directivas y opciones de configuración en el servidor principal de McAfee ePO. Crear una copia de seguridad y guárdelo en un dispositivo de almacenamiento extraíble. Lleve la copia de seguridad al servidor aislado de McAfee ePO y cópiela mediante el botón Restaurar en Configuración de DLP. Escenario 3 utiliza el modo de inserción de directiva de funcionamiento. El cliente de Device Control está configurado para obtener directivas de la carpeta especificada. Las directivas creadas con un servidor externo de McAfee ePO se copian manualmente en dicha carpeta. En este modo de funcionamiento, los eventos de McAfee Agent se almacenan en una carpeta local y deben copiarse manualmente en el servidor de McAfee ePO a intervalos regulares. Si Device Control está configurado con reglas de protección de almacenamiento extraíble, los eventos del agente incluyen pruebas, incidentes y eventos operativos.
Planificación de la directiva DLP Para ayudarle a planificar su estrategia DLP, conozca los flujos de trabajo y componentes de la directiva.
Flujo de trabajo de McAfee DLP Utilice este flujo de trabajo como guía general para trabajar con los productos de McAfee DLP. •
•
•
•
Comprender los datos: Detecte e identifique los datos que están en su red. 1
Utilice McAfee DLP para supervisar de forma pasiva las acciones de los usuarios y los datos de la red. Puede utilizar las reglas predefinidas o crear una directiva básica.
2
Revise los incidentes y examine los resultados de los análisis en busca de posibles infracciones de directivas. Utilice esta información para comenzar a crear una directiva efectiva.
Configurar las directivas: Utilice las reglas para reaccionar ante las infracciones y proteger los datos. 1
Clasifique y defina los datos confidenciales mediante la configuración de las clasificaciones y definiciones.
2
Realice un seguimiento de los datos de carácter confidencial y archivos que contengan identificación por huellas digitales de contenido y documentos registrados.
3
Proteja los datos con los análisis y las reglas. Configure la acción que se realizará cuando se descubran, acceda o transmitan datos confidenciales.
Supervisar resultados: Controle incidentes y cree informes. 1
Revise los incidentes de falsos positivos e infracciones de directivas originales.
2
Agrupe los incidentes relacionados en casos que pueden escalarse a otros departamentos, como asesoramiento jurídico o recursos humanos.
Perfeccione las directivas: Ajuste las directivas según las necesidades. Continúe con la supervisión de incidentes, analice los resultados y ajuste las directivas en función de los tipos de infracciones y falsos positivos que encuentre.
McAfee Data Loss Prevention 10.0.100
Guía del producto
29
2
Planificación del despliegue Planificación de la directiva DLP
El proceso de protección de McAfee DLP Las funciones y componentes de las directivas de McAfee DLP conforman un proceso de protección que se ajusta al flujo de trabajo general.
Figura 2-2 El proceso de protección de McAfee DLP
Clasificar Para proteger el contenido de carácter confidencial, defina y clasifique primero la información confidencial que se debe proteger. El contenido se clasifica mediante la definición de clasificaciones y de criterios de clasificación. Los criterios de clasificación definen las condiciones sobre cómo se han clasificado los datos. Entre los métodos para definir criterios se incluyen los siguientes: •
Patrones avanzados: expresiones regulares combinadas con algoritmos de validación, utilizados para buscar coincidencias de patrones como números de tarjetas de crédito.
•
Diccionarios: listas de palabras o términos concretos, por ejemplo, del ámbito médico para detectar posibles infracciones de la HIPAA.
•
Tipos de archivos verdaderos: propiedades del documento, información del archivo o la aplicación que creó el archivo.
•
Ubicación de origen o de destino: direcciones URL, recursos compartidos de red, o la aplicación o el usuario que creó o recibió el contenido.
McAfee DLP Endpoint admite software de clasificación de terceros. Puede clasificar el correo electrónico con el clasificador del correo electrónico de Boldon James. Puede clasificar correos electrónicos u otros archivos con los clientes de clasificación Titus, como Titus Message Classification, Titus Classification for Desktop y Titus Classification Suite. Para implementar el soporte de Titus, la SDK de Titus debe estar instalada en los equipos endpoint. McAfee DLP Prevent admite clasificaciones de Titus. No admite clasificaciones de Boldon James.
30
McAfee Data Loss Prevention 10.0.100
Guía del producto
Planificación del despliegue Planificación de la directiva DLP
2
Seguimiento McAfee DLP puede rastrear el contenido en función de la ubicación en la que se almacena o la aplicación utilizada para crearlo. McAfee DLP Endpoint para usuarios de Windows también puede crear clasificaciones manuales que se pueden utilizar para rastrear cualquier archivo. Los mecanismos utilizados para rastrear contenido son: •
Identificación por huellas digitales de contenido: compatible con McAfee DLP Endpoint
•
Documentos registrados: compatible con McAfee DLP Endpoint para Windows y McAfee DLP Prevent
•
Clasificaciones manuales: creado solo con McAfee DLP Endpoint para usuarios de Windows, pero se admite en todos los productos de McAfee DLP
Identificación por huellas digitales de contenido La identificación por huellas digitales de contenido es una técnica de rastreo de contenido exclusiva de McAfee DLP Endpoint. El administrador crea un conjunto de criterios de identificación por huellas digitales de contenido que define la ubicación del archivo o la aplicación utilizada para acceder a este y la clasificación que aplicar al archivo. El cliente de McAfee DLP Endpoint rastrea cualquier archivo abierto desde las ubicaciones o aplicaciones definidas en los criterios de identificación por huellas digitales de contenido y crea firmas por huella digital de esos archivos en tiempo real al acceder a ellos. A continuación, utiliza las firmas para rastrear los archivos o los fragmentos de estos. Criterios de identificación por huellas digitales de contenido puede definirse por aplicación, ruta de acceso UNC (ubicación) o URL (aplicación web). Compatibilidad con información de huellas digitales persistente Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o los flujos alternativos de datos (ADS) de un archivo. Al acceder a estos archivos, el software McAfee DLP Endpoint rastrea la transformación de los datos y mantiene la clasificación del contenido de carácter confidencial de forma permanente, con independencia de cómo se utiliza. Si, por ejemplo, un usuario abre un documento de Word con identificación por huella digital, copia unos párrafos del documento en un archivo de texto y adjunta dicho archivo a un mensaje de correo electrónico, el mensaje saliente tendría la misma firma que el documento original. En el caso de sistemas de archivos que no sean compatibles con EA o ADS, el software McAfee DLP Endpoint almacena información de firma en el disco en forma de metarchivo. Los metarchivos se almacenan en una carpeta oculta cuyo nombre es ODB$, que el software cliente McAfee DLP Endpoint crea automáticamente. Las firmas y los criterios de identificación por huellas digitales de contenido no son compatibles con McAfee Device Control.
Documentos registrados La función de documentos registrados se basa en el análisis previo de todos los archivos de los repositorios especificados (por ejemplo, el sitio de SharePoint) y en la creación de firmas de fragmentos de cada archivo en estos repositorios. Estas firmas se distribuyen entonces a todos los endpoints gestionados. El cliente de McAfee DLP Endpoint puede entonces rastrear cualquier párrafo copiado desde uno de esos documentos y clasificarlo según la clasificación de la firma del documento registrado.
McAfee Data Loss Prevention 10.0.100
Guía del producto
31
2
Planificación del despliegue Planificación de la directiva DLP
Los documentos registrados hacen un amplio uso de memoria lo que podría afectar al rendimiento, ya que cada documento que el cliente de McAfee DLP Endpoint inspecciona se compara con todas las firmas de documento registrado para identificar su origen. Práctica recomendada: Para reducir el número de firmas y los problemas de rendimiento que supone esta técnica, utilice documentos registrados únicamente para rastrear los documentos más delicados.
Clasificación manual Los usuarios que realizan clasificaciones manuales tienen la opción de aplicar las huellas digitales o las clasificaciones de contenido a los archivos. La identificación por huellas digitales de contenido aplicada manualmente es idéntica a la identificación por huellas digitales aplicada automáticamente descrita anteriormente. Las clasificaciones de contenido aplicadas manualmente incrustan una etiqueta física en el archivo que se puede utilizar para rastrear el archivo cada vez que se copie, pero no crean firmas, por lo que no se puede realizar un seguimiento del contenido de estos archivos que ha sido copiado en otros archivos.
Proteger Cree reglas para identificar datos de carácter confidencial y lleve a cabo las acciones adecuadas. Las reglas se componen de condiciones, excepciones y acciones. Las condiciones incluyen varios parámetros (por ejemplo, las clasificaciones) para definir los datos o la acción del usuario que identificar. Las excepciones especifican los parámetros que excluir de la activación de la regla. Las acciones especifican cómo se comporta la regla cuando se activa, por ejemplo, bloqueando el acceso del usuario, cifrando un archivo y creando un incidente.
Reglas de protección de datos McAfee DLP Endpoint, Device Control y McAfee DLP Prevent utilizan reglas de protección de datos para evitar la distribución no autorizada de datos clasificados. Cuando un usuario intenta copiar o adjuntar datos clasificados, McAfee DLP intercepta el intento y utiliza las reglas de protección de datos para determinar qué acción llevar a cabo. Por ejemplo, McAfee DLP Endpoint puede detener el intento y mostrar un cuadro de diálogo al usuario final. El usuario introduce la justificación del intento y continúa el procesamiento. McAfee DLP Prevent utiliza reglas de protección de correo electrónico y la Web para supervisar y realizar acciones en las comunicaciones procedentes de un servidor MTA o servidor proxy web. McAfee Device Control solo utiliza reglas de protección de datos de almacenamiento extraíble.
Reglas de control de dispositivos Las reglas de Device Control supervisan y, en caso necesario, impiden que el sistema cargue dispositivos físicos como dispositivos de almacenamiento extraíbles, Bluetooth, Wi-Fi y otros dispositivos Plug and Play. Las reglas de control de dispositivos constan de definiciones de dispositivos y especificaciones de reacción, y pueden asignarse a grupos de usuarios finales mediante el filtrado de la regla con definiciones de grupos de usuarios finales.
Reglas de descubrimiento McAfee DLP Endpoint y McAfee DLP Discover utilizan las reglas de descubrimiento para el análisis de archivos y datos. Descubrimiento de Endpoint es un rastreador que se ejecuta en los equipos gestionados. Analiza el sistema de archivos local del endpoint, la bandeja de entrada (en caché) de correo electrónico local y los archivos PST. El sistema de archivos local y las reglas de descubrimiento de almacenamiento de
32
McAfee Data Loss Prevention 10.0.100
Guía del producto
Planificación del despliegue Planificación de la directiva DLP
2
correo electrónico definen si el contenido debe ponerse en cuarentena, marcarse o cifrarse. Estas también pueden definir si debe informarse de los archivos o correos electrónicos clasificados como un incidente, y de si deben almacenarse los archivos o correos electrónicos como prueba del incidente. Los análisis del sistema de archivos no son compatibles en los sistemas operativos del servidor.
McAfee DLP Discover analiza los repositorios y puede mover o copiar archivos, aplicar directivas de gestión de derechos a los archivos y crear incidentes.
Conjuntos de reglas Las reglas se organizan en conjuntos de reglas. Un conjunto de reglas puede contener cualquier combinación de tipos de reglas.
Directivas Las directivas contienen conjuntos de reglas activos y se implementan desde McAfee ePO al software cliente de McAfee DLP Endpoint, al servidor de descubrimiento o al appliance de McAfee DLP Prevent. Las directivas de McAfee DLP Endpoint también contienen información de asignación de directivas y definiciones.
Supervisar Revise los incidentes por infracciones de directiva que se hayan producido. Entre las funciones de supervisión se incluyen las siguientes: •
Administración de incidentes: Los incidentes se envían al analizador de eventos de McAfee ePO y se almacenan en una base de datos. Los incidentes contienen los detalles sobre la infracción y pueden, opcionalmente, incluir información de pruebas. Puede ver los incidentes y pruebas tal y como se reciben en la consola Administrador de incidentes de DLP.
•
Administración de casos: Agrupe incidentes relacionados en casos para una revisión exhaustiva en la consola Administración de casos de DLP.
•
Eventos operativos: Consulte errores y eventos administrativos en la consola Operaciones de DLP.
•
Recopilación de pruebas: Si hay reglas configuradas para la recopilación de pruebas, se guardará una copia de los datos o archivos y se vinculará a un incidente específico. Esta información ayuda a determinar la gravedad o la exposición del evento. La prueba se cifra mediante el algoritmo AES antes de que se guarde.
•
Subrayado de coincidencias: Se pueden guardar pruebas resaltando el texto que ha provocado el incidente. La prueba resaltada se guarda como un archivo HTML cifrado independiente.
•
Informes: McAfee DLP Endpoint puede crear informes, gráficos y tendencias para su visualización en los paneles de McAfee ePO.
Flujo de trabajo de directiva Los productos de McAfee DLP utilizan un flujo de trabajo similar para la creación de directivas. Una directiva está compuesta de reglas, que se agrupan en conjuntos de reglas. Las reglas utilizan clasificaciones y definiciones para especificar lo que McAfee DLP detecta. Las reacciones de las reglas determinan la acción que se realizará cuando existen datos que coinciden con una regla. Utilice el siguiente flujo de trabajo para la creación de directivas. 1
Cree clasificaciones y definiciones.
2
Cree reglas de descubrimiento, dispositivos y protección de datos. Todas las reglas deben incluir clasificaciones o definiciones.
McAfee Data Loss Prevention 10.0.100
Guía del producto
33
2
Planificación del despliegue Planificación de la directiva DLP
3
Asignar conjuntos de reglas a las directivas de DLP. Para McAfee DLP Discover, cree definiciones de análisis.
4
Asigne y despliegue las directivas en el Árbol de sistemas. Para McAfee DLP Discover, aplique directivas a los servidores de Discover.
Figura 2-3 Cómo conforman una directiva los componentes de las directivas
Las opciones y la disponibilidad de estos componentes puede variar dependiendo de qué McAfee DLP utilice. Véase también Componentes compartidos de las directivas en la página 35
Práctica recomendada: flujo de trabajo de McAfee DLP Discover Utilice este flujo de trabajo como guía al implementar McAfee DLP Discover, especialmente en entornos nuevos.
34
1
Ejecute un análisis de inventario para recopilar los metadatos de los archivos de los repositorios de su organización. Los resultados del análisis le ayudarán a comprender los tipos de archivos que se encuentran en los repositorios.
2
Configure clasificaciones para detectar información confidencial o sensible. Utilice estas clasificaciones para definir y ejecutar un análisis de clasificación.
3
Utilice los resultados del análisis de clasificación para ver dónde se encuentra la información confidencial.
McAfee Data Loss Prevention 10.0.100
Guía del producto
2
Planificación del despliegue Requisitos del sistema
4
Configure un análisis de corrección para cifrar los archivos confidenciales o para moverlos a un repositorio más seguro.
5
Continúe ejecutando análisis de forma regular y supervise los resultados de los análisis y las incidencias generadas. Perfeccione el análisis en función de los resultados o cambios en la directiva de su organización.
Componentes compartidos de las directivas Los productos de McAfee DLP comparten muchos componentes de configuración de directivas. Componente Definiciones
Device Control
McAfee DLP Endpoint
McAfee DLP Discover
McAfee DLP Prevent
X
X
X
X
Clasificaciones
X*
X
X
X
Criterios de clasificación de contenido
X*
X
X
X
X**
X**
Criterios de identificación por huellas digitales de contenido
X
Clasificaciones manuales
X
Documentos registrados
X
X
Texto en lista blanca
X
X
Reglas y conjuntos de reglas
X
X
X
X
Configuración del cliente
X
X X
X
X
X
X
X
X
Configuración del servidor Prueba
X*
Gestión de derechos
* Device Control utiliza clasificaciones, criterios de clasificación de contenido y pruebas únicamente en las reglas de protección de almacenamiento extraíble. ** McAfee DLP Discover y McAfee DLP Prevent pueden analizar archivos de clasificaciones manuales, pero no pueden asignarlas.
Requisitos del sistema Todos los productos de McAfee DLP tienen sus propios requisitos. Para ver una lista con los requisitos del sistema para los productos de McAfee DLP, consulte las Notas de la versión de McAfee Data Loss Prevention.
Puertos predeterminados utilizados por McAfee DLP McAfee DLP utiliza varios puertos para las comunicaciones de la red. Configure cualquier firewall intermediario o dispositivos de implementación de directivas para permitir esos puertos donde sea necesario. Todos los protocolos que aparecen en la lista utilizan solo TCP, a menos que se indique lo contrario. Para obtener más información acerca de los puertos que se comunican con McAfee ePO, consulte el artículo KB66797.
McAfee Data Loss Prevention 10.0.100
Guía del producto
35
2
Planificación del despliegue Puertos predeterminados utilizados por McAfee DLP
Tabla 2-1 Puertos predeterminados de McAfee DLP Discover Puerto, protocolo
Utilizar
• 137, 138, 139: NetBIOS
Análisis CIFS
• 445: SMB Análisis de Box y SharePoint
• 80: HTTP
Los servidores de SharePoint pueden estar configurados para utilizar puertos SSL o HTTP no estándar. Si lo necesita, configure los firewall para permitir los puertos no estándar.
• 443: SSL
53: DNS (UDP)
Consultas DNS
• 1801: TCP
Microsoft Message Queuing (MSMQ)
• 135, 2101*, 2103*, 2105: RPC • 1801, 3527: UDP * Indica que los números de puerto pueden aumentar en 11 dependiendo de los puertos disponibles en la inicialización. Para obtener más información, consulte el artículo de Microsoft Knowledge Base https://support.microsoft.com/ en-us/kb/178517#/en-us/kb/178517. Tabla 2-2 Puertos predeterminados de McAfee DLP Prevent Puerto
Utilizar
22: SSH
SSH (cuando está activado)
25: SMTP
Tráfico SMTP con el MTA
161: SNMP
SNMP (cuando está activado)
1344: ICAP
Tráfico ICAP con el proxy web
8081: ePO
Servicio de agente de ePO
10443: HTTPS
Tráfico HTTPS para descargar, por ejemplo, el informe de escalación mínima (MER) y los archivos MIB
11344: ICAP
ICAP a través de SSL
53: DNS (UDP) Consultas DNS 123: NTP
36
Solicitudes NTP
McAfee Data Loss Prevention 10.0.100
Guía del producto
Planificación del despliegue Lista de comprobación de despliegue
2
Lista de comprobación de despliegue Antes de instalar productos de McAfee DLP, compruebe que dispone de la información necesaria para un correcto despliegue. Tabla 2-3 Consideraciones sobre McAfee DLP Endpoint y Device Control Determinar
Consideración
Impacto en el trabajo
Pruebe las nuevas instalaciones o actualizaciones en una subred de la red de producción. Establezca nuevas reglas para Sin acción y supervise los resultados en el Administrador de incidentes de DLP para medir el impacto. Ajuste los parámetros de las reglas para que coincidan con los requisitos antes de la implementación en la red de producción. En organizaciones grandes, el despliegue a gran escala suele hacerse en fases para minimizar el impacto y dejar tiempo para la resolución de problemas.
Tipo de despliegue (físico o virtual)
Los despliegues virtuales tienen limitaciones adicionales. Consulte la Sizing Guide (guía de dimensionamiento) correspondiente para obtener más información.
Tabla 2-4 Consideraciones sobre McAfee DLP Discover Determinar
Consideración
Servidores de Discover
Determine el número y los servidores de Windows para instalar el software de servidor de McAfee DLP Discover.
Método de instalación del servidor
Determine si va a instalar el software de McAfee DLP Discover a través de McAfee ePO o de forma manual.
Repositorios
Cree una lista de los repositorios que se van a analizar. Recopile las rutas y las credenciales para estos repositorios y compruebe que estos tipos de repositorios son compatibles con McAfee DLP Discover.
McAfee Data Loss Prevention 10.0.100
Guía del producto
37
2
Planificación del despliegue Lista de comprobación de despliegue
Tabla 2-5 Consideraciones sobre McAfee DLP Prevent Determinar
Consideración
Seguridad
Al preparar el entorno, tenga en cuenta estos aspectos: • Utilice la administración fuera de banda de una red a la que McAfee ePO pueda tener acceso para aislar la administración y el tráfico de red. • El tráfico de LAN1 no debe ser accesible desde fuera de su organización. • Conecte cualquier interfaz de Baseboard Management Controller, controlador de administración de placa base, (BMC) a una red de administración segura específica. • Controle quién puede acceder a la consola del appliance físico o virtual.
Información de red
Al preparar el entorno de red, tenga en cuenta estos aspectos: • Interfaces de red: Compruebe que son direcciones IP estáticas en lugar de direcciones IP dinámicas. • Dirección IP para el tráfico de cliente: El nombre de dominio completo (nombre del host.nombre de dominio) debe llevar a esta dirección IP cuando se consulta el servidor DNS. La dirección IP debe llevar al FQDN en una búsqueda inversa.
• Cuenta de inicio de sesión: El appliance tiene una cuenta de inicio de sesión de administrador local para el registro en el shell de la máquina virtual. Para que la cuenta sea segura, debe cambiar la contraseña predeterminada. • (Opcional) Dirección IP de la interfaz de administración: Puede utilizar la interfaz fuera de banda (OOB) para el tráfico de administración. De lo contrario, el tráfico de administración y de cliente utiliza la interfaz de LAN1. Módulo de administración remota (RMM)
38
(Solo para appliances de hardware) Si tiene intención de utilizar el RMM para la administración de appliances, utilice una red segura o cerrada para conectarse al RMM.
McAfee Data Loss Prevention 10.0.100
Guía del producto
3
Instale McAfee DLP
Instale las extensiones y paquetes que necesite para sus productos y realice cualquier configuración inicial. Todos los productos de McAfee DLP utilizan la extensión de McAfee DLP para McAfee ePO. Instálela como su punto inicial.
Contenido Descargar archivos de instalación y de las extensiones de productos Instale y añada la licencia a la extensión de McAfee DLP. Instale McAfee DLP Endpoint y el software cliente Device Control. Instale el paquete del servidor de McAfee DLP Discover Instale McAfee DLP Prevent Realización de las tareas posteriores a la instalación
Descargar archivos de instalación y de las extensiones de productos Descargue los archivos de la instalación. Antes de empezar Busque el número de concesión que recibió al adquirir el producto. También puede utilizar el Administrador de software de McAfee ePO (Menú | Software | Administrador de software) para ver, descargar e instalar el software. Procedimiento 1
En un navegador web, vaya a www.mcafee.com/us/downloads/downloads.aspx.
2
Introduzca su número de concesión y, a continuación, seleccione el producto y la versión.
3
En la ficha Descargas de software, seleccione y guarde el archivo que corresponda.
Producto
Descripción del archivo
Nombre del archivo
Todos los productos
Extensión de McAfee Data Loss Prevention
DLP_Mgmt_version_Package.zip
McAfee DLP Endpoint, Device Control
Software cliente
• Device Control: HDLP_Agent_Device_Control_version_x.zip • Microsoft Windows: HDLP_Agent_version_x.zip • Mac OS X: DLPAgentInstaller.zip
McAfee Data Loss Prevention 10.0.100
Guía del producto
39
3
Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP.
Producto
Descripción del archivo
Nombre del archivo
McAfee DLP Discover
Paquete de servidor
McAfeeDLPDiscoverversionLicensed.zip
McAfee DLP Prevent
Extensión de McAfee DLP Prevent
dlp-prevent-server-package-version-extensions.zip
Extensión AME
appliance-management-package-version-extensions.zip
Extensión de Common commonui-core-package-version-extensions.zip UI Imagen de instalación • Appliance virtual: McAfee-PS-version.ps.hw8.hdd.ova de McAfee DLP • Appliance de hardware: McAfee-PS-version.iso Prevent McAfee DLP Prevent for Mobile Email
Ninguno (parte de la extensión de McAfee Data Loss Prevention). La activación del componente de McAfee DLP Prevent for Mobile Email requiere una licencia de McAfee DLP Prevent.
N/D
Instale y añada la licencia a la extensión de McAfee DLP. La extensión proporciona la interfaz de usuario para configurar McAfee DLP en McAfee ePO. Antes de empezar Compruebe que el nombre del servidor de McAfee ePO aparece en la lista Sitios de confianza en la configuración de seguridad de Internet Explorer. Procedimientos •
Instalar la extensión con el Administrador de software en la página 40 Puede utilizar el Administrador de software para instalar, actualizar y eliminar extensiones.
•
Instalar la extensión de forma manual en la página 41 Instale la extensión con la página de Extensiones.
•
Activar la licencia de McAfee DLP en la página 41 Proporcione la licencia para tener acceso a las consolas de McAfee DLP.
•
Aplicación de compatibilidad con versiones anteriores en la página 43 Las directivas compatibles con versiones anteriores permiten utilizar la nueva extensión con versiones anteriores del cliente, lo que proporciona a las grandes empresas una ruta de ampliación ordenada.
•
Conversión de directivas y migración de datos en la página 45 Ampliar a McAfee DLP 10.0 desde versiones anteriores a 9.4.100 requiere la migración o conversión de los incidentes, los eventos operativos o las directivas. Las tareas servidor de McAfee ePO se utilizan para la conversión/migración.
Instalar la extensión con el Administrador de software Puede utilizar el Administrador de software para instalar, actualizar y eliminar extensiones.
40
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP.
3
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Software | Administrador de software.
2
En el panel izquierdo, expanda Software (por etiqueta) y seleccione Data Loss Prevention.
3
Seleccione su producto de McAfee DLP. Si va a instalar McAfee DLP Prevent como uno de sus productos, seleccione la entrada para McAfee DLP Prevent, que instala todas las extensiones necesarias: •
McAfee DLP
•
Common UI
•
Extensión de administración de appliances
•
McAfee DLP Prevent
4
Para todo el software disponible, haga clic en Incorporar.
5
Seleccione la casilla de verificación para aceptar el acuerdo de y, a continuación, haga clic en Aceptar.
Se instalará la extensión. Aparecerán las extensiones incorporadas en la lista de Software incorporado. A medida que se publican nuevas versiones del software, puede utilizar la opción Actualizar para actualizar las extensiones.
Instalar la extensión de forma manual Instale la extensión con la página de Extensiones. Antes de empezar Descargue la extensión de McAfee DLP del sitio web de descargas de McAfee.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Software | Extensionesy, a continuación, haga clic en Instalar extensión.
2
Vaya al archivo con extensión .zip y haga clic en Aceptar. El cuadro de diálogo de instalación muestra los parámetros de archivo para verificar que está instalando la extensión correcta.
3
Haga clic en Aceptar para instalar la extensión.
Activar la licencia de McAfee DLP Proporcione la licencia para tener acceso a las consolas de McAfee DLP. Debe introducir al menos una clave de licencia (más de una si dispone de varios productos de McAfee DLP). Las licencias introducidas determinan las opciones de configuración de McAfee ePO disponibles. Puede introducir una licencia tanto para McAfee DLP Endpoint como para Device Control en el campo McAfee DLP Endpoint. Si se reemplaza un tipo de licencia por otro, cambia la configuración.
McAfee Data Loss Prevention 10.0.100
Guía del producto
41
3
Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP.
Puede introducir las claves de estos productos: •
McAfee DLP Endpoint o Device Control
•
McAfee DLP Discover
•
McAfee DLP Prevent (especificado en el campo McAfee Network DLP) Esta licencia también activa el servidor de McAfee DLP de software para dispositivos móviles.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
Instale licencias y componentes en Configuración de DLP para personalizar la instalación. El módulo Configuración de DLP tiene tres páginas con fichas. En la ficha General, se requiere información. Puede utilizar los valores predeterminados para el resto de opciones de configuración si no tiene requisitos especiales. a
Seleccione Menú | Protección de datos | Configuración de DLP.
b
Para cada licencia que desee agregar, en el campo Claves de licencia | Clave, introduzca la licencia y luego haga clic en Agregar. La instalación de la licencia activa los componentes relacionados de McAfee ePO y las directivas del catálogo de directivas de McAfee ePO.
c
En el campo Almacenamiento de pruebas predeterminado, introduzca la ruta. La ruta de almacenamiento de pruebas debe ser una ruta de red, es decir, \\[servidor]\[recurso compartido]. Este paso es necesario para guardar la configuración y activar el software.
d
Establezca la contraseña compartida. Práctica recomendada: Si desea mejorar la seguridad, cambie la contraseña.
e
Establezca la compatibilidad con versiones anteriores. Para disfrutar de compatibilidad con antiguos clientes, seleccione la compatibilidad con 9.4.0.0 o 9.4.200.0. Este ajuste limita la posibilidad de utilizar nuevas funciones. Existen dos modos de compatibilidad disponibles: el estricto y el no estricto. En el modo estricto, no se puede aplicar una directiva con errores de compatibilidad con versiones anteriores. En el modo no estricto, el propietario de la directiva (o un usuario con permisos de administrador) puede optar por aplicar una directiva con errores de compatibilidad con versiones anteriores. La compatibilidad con versiones anteriores se aplica a las directivas de McAfee DLP Endpoint y McAfee DLP Discover. No se aplica a las directivas de McAfee DLP Prevent.
2
(Opcional) En la ficha Avanzada, edite las opciones de configuración. Las demás opciones tienen valores predeterminados. Puede aceptar los valores predeterminados y guardar la página, o bien editarlos según sea necesario. a
Establezca la longitud de la clave desafío/respuesta. Las opciones son claves de 8 y 16 caracteres.
b
Establezca los permisos del Árbol de sistemas. Con el permiso de acceso al Árbol de sistemas se puede filtrar información de incidentes, eventos, consultas y paneles.
42
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP.
c
Seleccione la opción de visualización del producto en eventos de Administración de incidentes.
d
Seleccione las opciones de correo electrónico de Administración de casos.
e
Establezca la zona horaria personalizada de los eventos.
3
Con ella, los administradores pueden ordenar los eventos según su zona horaria local. Este valor es la diferencia de la zona horaria con respecto a la hora UTC. f
Establezca el estado predeterminado de las reglas del Administrador de directivas. De forma predeterminada, el Administrador de directivas puede crear reglas que estén activadas o desactivadas y notificar incidentes con y sin almacenamiento de pruebas. Si activa la opción de generación de informes, todas las reglas supervisarán de forma predeterminada y solo tendrá que definir la reacción de las reglas cuando desee omitir el valor predeterminado. Esta configuración predeterminada se aplica a todas las reglas (para McAfee DLP Endpoint, McAfee DLP Discover o McAfee DLP Prevent).
3
Haga clic en Guardar.
4
Para crear una copia de seguridad de la configuración, seleccione la ficha Crear una copia de seguridad y restaurar y, a continuación, haga clic en Copia de seguridad en archivo.
Los módulos de McAfee DLP aparecen en Menú | Protección de datos según la licencia. Véase también Configuración del cliente en la página 61 Configurar ajustes del servidor en la página 64
Aplicación de compatibilidad con versiones anteriores Las directivas compatibles con versiones anteriores permiten utilizar la nueva extensión con versiones anteriores del cliente, lo que proporciona a las grandes empresas una ruta de ampliación ordenada. La compatibilidad con versiones anteriores está disponible para las directivas de McAfee DLP 10.0.0, 9.4.0 y 9.4.200. Las opciones aparecen en la página Configuración de DLP (Menú | Protección de datos | Configuración de DLP). La compatibilidad con versiones anteriores no está disponible para las directivas de McAfee DLP 9.3. Las directivas de versiones anteriores a la 9.4.0 se deben migrar al esquema 9.4. Cuando se trabaja en un modo compatible con versiones anteriores, la extensión de McAfee DLP no transfiere las directivas a los endpoints si contienen condiciones que pueden causar que las versiones de cliente anteriores interpreten incorrectamente la directiva. Más del 90% de las directivas de la versión 10.0.100 son funciones obsoletas o funciones que los clientes de la versión 9.4 pueden ignorar sin que se produzca ningún problema. La compatibilidad con versiones anteriores evita que se aplique el página de Validación de directivas. La columna Detalles de la página incluye una descripción de lo que puede ocurrir si aplica la regla a los clientes de endpoint que no admiten esta función. McAfee DLP Prevent puede utilizar las directivas con advertencias creadas en modo no estricto. Cuando se aplica la compatibilidad con versiones anteriores en modo estricto, las directivas con errores no se pueden aplicar a la base de datos de McAfee ePO y, por tanto, no son detectados por McAfee DLP Prevent. Ejemplo: Descripciones de dispositivos Las definiciones de los dispositivos en las versiones 9.4.200 y 10.0 de McAfee DLP pueden incluir un parámetro opcional llamado Descripción del dispositivo no disponible en versiones anteriores. Utilizar una descripción del dispositivo para definir una definición de dispositivos e incluir dicha definición en una regla de Device Control crea un conjunto de reglas que no se puede aplicar a clientes con la versión 9.4.0. Si acepta la directiva a pesar de la advertencia, aparece el error en la página Validación de directivas. El campo Detalles explica el error "hará coincidir y realizará reacciones para dispositivos que no deseaba hacer coincidir...". Puede hacer clic en Editar para reparar el error.
44
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP Instale y añada la licencia a la extensión de McAfee DLP.
3
Conversión de directivas y migración de datos Ampliar a McAfee DLP 10.0 desde versiones anteriores a 9.4.100 requiere la migración o conversión de los incidentes, los eventos operativos o las directivas. Las tareas servidor de McAfee ePO se utilizan para la conversión/migración. Antes de empezar Esta tarea describe la ampliación desde McAfee DLP Endpoint 9.3.x. Puede ampliar desde McAfee DLP Endpoint 9.4.0 directamente. Puede definir la compatibilidad con versiones anteriores para dar soporte a clientes de 9.4.0, pero debe ejecutar la tarea servidor Conversión de eventos de incidentes de DLP de la versión 9.4 a la 9.4.1 y superiores si desea mostrar incidentes y eventos operativos antiguos en la versión 10.0 de las consolas Administrador de incidentes de DLP y Operaciones de DLP.
Amplíe la extensión de McAfee DLP Endpoint a la versión 9.3.600 (9.3 parche 6) o posterior y, después, instale McAfee DLP 9.4.100 o una extensión posterior en McAfee ePO. La tarea de conversión de directivas solo convierte las reglas que están activadas y aplicadas a la base de datos. Para comprobar el estado de las reglas que desea convertir, revise su directiva de McAfee DLP Endpoint 9.3 antes de la conversión.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Automatización | Tareas servidor.
2
Seleccione Conversión de directivas de DLP y, a continuación, haga clic en Acciones | Ejecutar. Se abre la página Registro de tareas servidor y le permite verificar que la tarea se está ejecutando. La directiva convertida es compatible con la versión 9.4.100 y con directivas posteriores. La tarea falla si se ha ejecutado con anterioridad. Si hace cambios en la directiva McAfee DLP 9.3 y desea volver a ejecutar la conversión, edite la tarea servidor eliminando la selección de la opción No ejecutar la conversión de directivas si existe el 'Conjunto de reglas de conversión de directivas [9.3]' en la página Acciones. El conjunto de reglas anterior se borra y sustituye.
3
Vuelva a la página Tareas servidor, seleccione Migración de incidentes de DLP y, a continuación, haga clic en Acciones | Editar. La opción Migración de eventos operativos de DLP se lleva a cabo de la misma forma.
4
Seleccione Estado de planificación | Activado y, a continuación, Siguiente dos veces. La migración está preprogramada, de modo que puede omitir la página Acciones.
McAfee Data Loss Prevention 10.0.100
Guía del producto
45
3
Instale McAfee DLP Instale McAfee DLP Endpoint y el software cliente Device Control.
5
Seleccione un tipo de planificación y la repetición de esta. Práctica recomendada: Planificar las tareas de migración para que se realicen los fines de semana o en horario no laborable debido a la carga que suponen para el procesador.
a
Establezca la fecha de inicio y fecha de fin para definir un período de tiempo y programar la tarea para cada hora.
b
Planifique la repetición de la tarea según el tamaño de la base de datos de incidentes que vaya a migrar. Los incidentes se migran en grupos de 200 000.
6
Haga clic en Siguiente para revisar la configuración; a continuación, haga clic en Guardar.
Instale McAfee DLP Endpoint y el software cliente Device Control. Use McAfee ePO para desplegar el software cliente en equipos endpoint. Para llevar a cabo una instalación limpia del software cliente 10.0 de McAfee DLP Endpoint, no es necesario volver a iniciar el equipo endpoint. Sin embargo, si amplía el software desde una versión anterior, se debe reiniciar el equipo endpoint tras la instalación. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Software | Repositorio principal.
2
En el repositorio principal, haga clic en Incorporar paquete.
3
Seleccione el tipo de paquete Producto o actualización (.ZIP). Haga clic en Examinar. En el caso de cliente de Microsoft Windows, vaya a ...\HDLP_Agent_10_0_0_xxx.zip. En el caso de cliente de Mac, vaya a ...\DlpAgentInstaller.zip.
4
Haga clic en Siguiente.
5
Revise los detalles en la pantalla Incorporar paquete y, a continuación, haga clic en Guardar. El paquete se agrega al repositorio principal.
Instale el paquete del servidor de McAfee DLP Discover El paquete de servidor se despliega en los servidores de descubrimiento e instala McAfee DLP Discover y los componentes necesarios, como los archivos redistribuibles .NET, postgreSQL, AD RMS client 2.1 y C++.
46
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP Instale el paquete del servidor de McAfee DLP Discover
3
Procedimientos •
Instale o amplíe el paquete del servidor con McAfee ePO. en la página 48 Se recomienda utilizar McAfee ePO para instalar el paquete del servidor.
•
Instale o amplíe el paquete del servidor manualmente en la página 48 Si no puede instalar el paquete del servidor a través de McAfee ePO por problemas como la conectividad de la red, puede instalar manualmente McAfee DLP Discover en el servidor de descubrimiento.
•
Verificación de la instalación en la página 49 Asegúrese de que McAfee DLP Discover se ha instalado correctamente y se ha establecido comunicación con McAfee ePO.
Consideraciones de la ampliación de McAfee DLP Discover Los pasos para ampliar McAfee DLP Discover son prácticamente idénticos a los necesarios para instalar la extensión y el paquete del servidor. 1
Amplíe la extensión al instalarla sobre la versión ya existente.
2
Amplíe el servidor Discover mediante una de estas opciones. •
Utilice McAfee ePO para desplegar el paquete del servidor.
•
Instale el paquete manualmente en el servidor.
3
Cuando amplíe desde la versión 9.4.0, vuelva a aplicar la directiva debido a los cambios en la configuración de directivas.
4
Si planea utilizar funciones nuevas de la versión 10.x, por ejemplo, los análisis de Box, debe seleccionar la opción de compatibilidad adecuada. En McAfee ePO, seleccione Menú | Protección de datos | Configuración de DLP y, a continuación, en Compatibilidad con versiones anteriores, seleccione 10.0.0.0 y versiones posteriores. Debe ampliar la extensión en McAfee ePO antes de hacerlo con el servidor Discover. McAfee DLP Discover admite el uso de una extensión de versión posterior para administrar un servidor con una versión anterior. No puede gestionar un servidor de versión posterior haciendo uso de una extensión de versión anterior.
No tiene que volver a agregar la licencia del software ni introducir de nuevo la ruta del servidor de prueba. Es posible que necesite reiniciar el servidor de descubrimiento si no se activa MSMQ tras la ampliación o si no se eliminan las claves de registro o las carpetas de programas de datos antiguas. Si tiene que reiniciar el servidor, McAfee DLP Discover genera un evento operativo. •
Si ha instalado el paquete de servidor manualmente, el servidor le solicitará que reinicie.
•
Si ha utilizado McAfee ePO, el mensaje puede mostrarse según los parámetros de configuración de McAfee Agent. En algunos casos, es posible que no se active MSMQ incluso después de reiniciar, por lo que el servidor de descubrimiento enviará un evento operativo. Si sucede esto, tendrá que activar MSMQ manualmente y poner en marcha el servidor Discover.
Para obtener más información sobre las rutas de ampliación compatibles, consulte las Notas de la versión de McAfee Data Loss Prevention Discover. No instale el software sobre una instalación ya existente de la misma versión.
McAfee Data Loss Prevention 10.0.100
Guía del producto
47
3
Instale McAfee DLP Instale el paquete del servidor de McAfee DLP Discover
Instale o amplíe el paquete del servidor con McAfee ePO. Se recomienda utilizar McAfee ePO para instalar el paquete del servidor. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
2
3
4
Incorpore el paquete del servidor. a
En McAfee ePO, seleccione Menú | Software | Repositorio principal.
b
Haga clic en Incorporar paquete.
c
Vaya al archivo .zip del paquete del servidor y haga clic en Siguiente.
d
Haga clic en Guardar.
Cree una tarea cliente. a
Seleccione Menú | Árbol de sistemas.
b
Seleccione el servidor de descubrimiento y, después, seleccione Acciones | Agente | Modificar tareas en un solo sistema.
c
Seleccione Acciones | Nueva asignación de tarea cliente.
Configure la asignación de tarea. a
En el área Producto, seleccione McAfee Agent.
b
En el área Tipo de tarea, seleccione Despliegue de productos.
c
En el área Nombre de tarea, haga clic en Crear nueva tarea.
Configure la tarea. a
En el área Plataformas de destino, seleccione Windows.
b
En el menú de Productos y componentes, seleccione McAfee Discover Server.
c
En el menú Acción, seleccione Instalar.
d
Haga clic en Guardar.
5
Seleccione el nombre de la nueva tarea y, a continuación, haga clic en Siguiente.
6
Configure cuándo ejecutar la tarea y después haga clic en Siguiente.
7
Haga clic en Guardar.
Instale o amplíe el paquete del servidor manualmente Si no puede instalar el paquete del servidor a través de McAfee ePO por problemas como la conectividad de la red, puede instalar manualmente McAfee DLP Discover en el servidor de descubrimiento. Procedimiento
48
1
Descargue o transfiera el archivo DiscoverServerInstallx64.exe al servidor de descubrimiento.
2
Haga doble clic en el archivo y siga las instrucciones que aparecen en la pantalla.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP Instale el paquete del servidor de McAfee DLP Discover
3
Verificación de la instalación Asegúrese de que McAfee DLP Discover se ha instalado correctamente y se ha establecido comunicación con McAfee ePO. En caso de que se produzca un fallo en la instalación, McAfee DLP Discover genera un evento operativo. Para ver los eventos, seleccione Menú | Protección de datos | Operaciones de DLP.
Procedimiento 1
Si no se activa MSMQ tras la instalación o si no se eliminan las claves de registro o las carpetas de programas de datos antiguas, debe reiniciar el servidor de descubrimiento. Si tiene que reiniciar el servidor, McAfee DLP Discover genera un evento operativo. •
Si ha instalado el paquete de servidor manualmente, se le solicitará reiniciar el servidor.
•
Si ha utilizado McAfee ePO, el mensaje puede mostrarse según los parámetros de configuración de McAfee Agent. En algunos casos, es posible que no se active MSMQ incluso después de reiniciar, por lo que el servidor de descubrimiento enviará un evento operativo. Si sucede esto, tendrá que activar MSMQ manualmente y poner en marcha el servidor Discover.
Para obtener más información acerca de cómo habilitar MSMQ, consulte el artículo KB87274. 2
3
En el sistema operativo del servidor, compruebe que los procesos y servicios de McAfee DLP Discover se encuentran en funcionamiento: •
McAfee Discover Service
•
Servicio de Postgres del servidor de McAfee Discover
Active los agentes de McAfee ePO o recopile y envíe las propiedades desde el servidor de descubrimiento. •
En McAfee ePO, seleccione Menú | Árbol de sistemas, elija el servidor y haga clic en Activar agentes.
•
En la bandeja del sistema del servidor de descubrimiento, haga clic en el icono de McAfee, seleccione Monitor de estado de McAfee Agent y haga clic en Recopilar y enviar propiedades. La columna Estado muestra Implementando directivas para DISCOVERxxxx.
4
Asegúrese de que se detecta el servidor de descubrimiento. a
En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
b
Haga clic en la ficha Servidores de descubrimiento. Aparecerá una lista de los servidores detectados. Si el servidor no figura, seleccione Acciones | Detectar servidores. Esta tarea se ejecuta cada 10 minutos de forma predeterminada.
5
Práctica recomendada: Cambie el intervalo de comunicación agente-servidor de McAfee Agent para garantizar que los datos analíticos están actualizados.
a
Seleccione Menú | Directiva | Catálogo de directivas.
b
En la lista desplegable Producto, seleccione McAfee Agent.
McAfee Data Loss Prevention 10.0.100
Guía del producto
49
3
Instale McAfee DLP Instale McAfee DLP Prevent
c
En la columna Categoría, localice la directiva predeterminada que figura como General y ábrala.
d
En la ficha General, en el área Puerto de comunicación agente-servidor, cambie el intervalo a 5. Para desinstalar el servidor de descubrimiento, vaya a Panel de control | Programas y características del servidor Windows.
Instale McAfee DLP Prevent Instale el appliance y regístrelo con McAfee ePO. Procedimientos •
Instalación de las extensiones en la página 50 Si ha instalado manualmente la extensión de McAfee DLP en lugar de utilizar el Administrador de software, también debe instalar las extensiones necesarias para McAfee DLP Prevent.
•
Configuración de la información de red en la página 51 Configure el servidor DNS, el servidor NTP y el Host inteligente en McAfee ePO.
•
Instalación del software en un appliance virtual en la página 51 Utilice el archivo OVA para instalar el software en su entorno virtual.
•
Instalación del software en un appliance de hardware en la página 52 Instale McAfee DLP Prevent en un appliance modelo 4400 o 5500.
•
Ejecutar el Asistente de instalación y registrarse con McAfee ePO en la página 54 Utilice el Asistente de instalación para configurar las opciones de red y registre el appliance con McAfee ePO.
•
Instalar el paquete del servidor de McAfee DLP Prevent for Mobile Email en la página 55
Instalación de las extensiones Si ha instalado manualmente la extensión de McAfee DLP en lugar de utilizar el Administrador de software, también debe instalar las extensiones necesarias para McAfee DLP Prevent. Antes de empezar •
Descargue las extensiones.
•
Instale la extensión de McAfee DLP.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda.
50
1
En McAfee ePO, seleccione Menú | Software | Extensionesy, a continuación, haga clic en Instalar extensión.
2
Siga estos pasos para cada una de las extensiones. Instale las extensiones en este orden: •
Paquete de Common UI
•
Extensión de administración de appliances
•
McAfee DLP Prevent
a
Busque el archivo con extensión .zip.
b
Haga clic dos veces en Aceptar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP Instale McAfee DLP Prevent
3
Configuración de la información de red Configure el servidor DNS, el servidor NTP y el Host inteligente en McAfee ePO. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.
2
En la lista desplegable Producto, seleccione Ajustes generales de administración de appliances.
3
Seleccione la directiva My Default.
4
Agregue el servidor DNS y el servidor NTP y, a continuación, haga clic en Guardar.
5
En la lista desplegable Producto, seleccione Servidor de DLP Prevent.
6
Seleccione la directiva My Default para la Configuración de correo electrónico.
7
Introduzca la dirección IP del Host inteligente y, a continuación, haga clic en Guardar.
Instalación del software en un appliance virtual Utilice el archivo OVA para instalar el software en su entorno virtual. Procedimiento 1
Inicie VMware vSphere Client e inicie sesión en VMware vCenter Server.
2
Haga clic en Actions | Deploy OVF Template (Acciones | Desplegar plantilla OVF). Aparecerá el cuadro de diálogo Deploy OVF Template (Desplegar plantilla OVF).
3
Seleccione Local file | Browse (Archivo local | Examinar) y abra el archivo OVA que ha descargado del sitio web de descargas de McAfee.
4
Siga las instrucciones que aparecen en pantalla y haga clic en Next (Siguiente) para avanzar en la instalación. a
Valide el paquete y seleccione Accept extra configuration options (Aceptar opciones de configuración adicionales).
b
Introduzca un nombre para el appliance y, a continuación, especifique el centro de datos y la carpeta en la que desplegarlo.
c
Seleccione el clúster y un grupo de recursos opcional.
d
Seleccione el almacén de datos para el appliance. Práctica recomendada: Seleccione la opción Thick Provision Lazy Zeroed (Aprovisionamiento pesado sin puesta a cero diferido) como formato del disco virtual. El rendimiento inicial podría verse afectado junto con otras opciones. La opción Thick Eager (Pesado con puesta a cero) puede llevar algún tiempo en finalizar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
51
3
Instale McAfee DLP Instale McAfee DLP Prevent
e
Seleccione las redes virtuales. De forma predeterminada, se configuran estas direcciones IP: •
LAN_1: 10.1.1.108/24 Utilice la red LAN_1 para el tráfico SMTP o ICAP. También se puede utilizar para el tráfico de administración.
•
OOB: 10.1.3.108/24 (Opcional) Utilice la red fuera de banda (OOB) para el tráfico de administración, incluida la comunicación con McAfee ePO. Si la red utiliza DHCP, se utilizará en su lugar la primera dirección IP que el servidor DHCP asigna al appliance. Puede configurar la dirección IP de forma manual con el asistente de instalación. El appliance no admite el uso de una configuración de DHCP continua.
La gateway predeterminada del appliance utiliza la red LAN1. Configure cualquier enrutamiento necesario en la interfaz OOB mediante rutas estáticas. f 5
Revise el resumen.
Haga clic en Finish (Finalizar). Utilice la información de Recent Tasks (Tareas recientes) para comprobar si se crea la máquina virtual.
6
Vaya a la máquina virtual y enciéndala.
Instalación del software en un appliance de hardware Instale McAfee DLP Prevent en un appliance modelo 4400 o 5500. Procedimientos •
Conexión del appliance en la página 52 Prepare el appliance para la instalación.
•
Instalar una nueva imagen en los appliances de hardware en la página 53 Instalar McAfee DLP Prevent en el appliance.
Conexión del appliance Prepare el appliance para la instalación. De forma predeterminada, se configura cada appliance con estas direcciones IP: •
LAN1: 10.1.1.108/24 Utilice la red LAN1 para el tráfico SMTP o ICAP. También se puede utilizar para el tráfico de administración.
•
OOB: 10.1.3.108/24 (Opcional) Utilice la red fuera de banda (OOB) para el tráfico de administración, incluida la comunicación con McAfee ePO. Si la red utiliza DHCP, se utilizará en su lugar la primera dirección IP que el servidor DHCP asigna al appliance. Puede configurar la dirección IP de forma manual con el asistente de instalación. El appliance no admite el uso de una configuración de DHCP continua.
La gateway predeterminada del appliance utiliza la red LAN1. Configure cualquier enrutamiento necesario en la interfaz OOB mediante rutas estáticas. El appliance también tiene un módulo de administración remota (RMM) que ofrece la funcionalidad de administración desasistida, como el acceso remoto a KVM y al BIOS del appliance.
52
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP Instale McAfee DLP Prevent
3
Para obtener más información acerca de cómo identificar los puertos de red de su appliance, consulte la Guía del hardware de McAfee Data Loss Prevention. Procedimiento 1
Conecte al appliance un monitor, un teclado y un ratón.
2
Conecte la interfaz LAN1 del appliance a su red.
3
(Opcional) Conecte la interfaz OOB a una red distinta.
4
(Opcional) Conecte la interfaz RMM a una red de administración. Práctica recomendada: Utilice una red protegida o cerrada para el RMM.
Configuración de la consola serie Puede utilizar la consola serie para instalar únicamente el software de McAfee DLP Prevent. Debe utilizar otro método, como el RMM, para configurar la red y registrarse con McAfee ePO. Puede activar la RMM a través de la consola serie. El progreso de la instalación no aparece cuando se utiliza la consola serie.
Tabla 3-1
Parámetros de conexión en serie
Configuración de puerto
Valor
Velocidad de transmisión en baudios
115200
Bits de datos
8
Bits de parada
1
Paridad
Ninguno
Control de flujo
Ninguno
Véase también Configuración del RMM en la página 250
Instalar una nueva imagen en los appliances de hardware Instalar McAfee DLP Prevent en el appliance. Puede realizar la instalación inicial mediante los siguientes métodos: •
Unidad USB Utilizar software de escritura de imagen, como Image Writer de Launchpad, para escribir la imagen en la unidad USB. Para obtener más información, consulte el artículo KB87321.
•
Unidad de CD con USB
•
(solo dispositivos 4400) Unidad de CD integrada
•
Unidad de CD virtual que utiliza el módulo de administración remota (RMM)
Procedimiento 1
Al utilizar el archivo ISO de instalación, se crean o configuran los medios gráficos externos.
2
Inserte o conecte los medios al appliance.
3
Encienda o reinicie el appliance.
McAfee Data Loss Prevention 10.0.100
Guía del producto
53
3
Instale McAfee DLP Instale McAfee DLP Prevent
4
Antes de que se inicie el sistema operativo, pulse F6 para ver el menú de arranque y seleccione los medios externos. R3c0n3x es la contraseña del BIOS para dispositivos 4400.
5
Siga las instrucciones que aparecen en pantalla.
6
Lea el acuerdo de licencia para el usuario final y, a continuación, pulse Y para aceptarlo.
7
En el menú de instalación, pulse A para una instalación completa y, a continuación, pulse Y para continuar. Una vez completada la secuencia de instalación, se reiniciará el appliance. Si se produce un error en la instalación, llame al soporte técnico de McAfee. No intente realizar la instalación de nuevo.
Ejecutar el Asistente de instalación y registrarse con McAfee ePO Utilice el Asistente de instalación para configurar las opciones de red y registre el appliance con McAfee ePO. Después de que se instale y reinicie el appliance, el Asistente de instalación se iniciará automáticamente. Si ha instalado el software mediante la consola serie en un appliance de hardware, utilice otro método, como el RMM, para completar al Asistente de instalación. Procedimiento 1
Elija el idioma del Asistente de instalación y, a continuación, configure las opciones de red básicas. El asistente contiene información que le ayudará a establecer la configuración. a
En la página de Bienvenida, seleccione Configuración de red básica y haga clic en Siguiente.
b
Complete las opciones en la página Configuración básica y, a continuación, haga clic en Siguiente. Se recomienda cambiar la contraseña predeterminada la primera vez que ejecute el Asistente de instalación. La nueva contraseña debe tener al menos ocho caracteres. La contraseña predeterminada es contraseña.
c
Complete las opciones en la página Servicios de red y, a continuación, haga clic en Siguiente.
d
Revise la información de la página Resumen y realice las correcciones necesarias.
e
Haga clic en Finish (Finalizar). Se aplicará la configuración de red inicial. El asistente se reiniciará después de que se aplique la configuración de red la primera vez finalice el Asistente de instalación o de que se haya registrado con un nuevo McAfee ePO en caso necesario.
2
54
Regístrese en McAfee ePO. a
Seleccione Registro de ePO y haga clic en Siguiente.
b
Complete las opciones en la página Registro de ePO.
c
Haga clic en Finish (Finalizar).
McAfee Data Loss Prevention 10.0.100
Guía del producto
Instale McAfee DLP Realización de las tareas posteriores a la instalación
3
3
Inicie sesión en McAfee ePO. El producto aparecerá en el Árbol de sistemas. Si es necesario, mueva la entrada a la ubicación correcta de la jerarquía.
Instalar el paquete del servidor de McAfee DLP Prevent for Mobile Email El paquete del servidor de McAfee DLP Prevent for Mobile Email puede implementarse en servidores de forma manual o con McAfee ePO. La instalación es idéntica a la del paquete del servidor de McAfee DLP Discover. No instale ambos paquetes de servidor en el mismo servidor.
Véase también Instale o amplíe el paquete del servidor con McAfee ePO. en la página 48 Instale o amplíe el paquete del servidor manualmente en la página 48
Realización de las tareas posteriores a la instalación Tras la instalación, establezca opciones de configuración y directivas para sus productos. Las tareas incluyen: •
Crear y configurar carpetas de pruebas.
•
Definir las opciones de configuración de cliente y del servidor.
•
Crear clasificaciones, definiciones y reglas.
•
Asignar las opciones de configuración y directivas en el árbol de sistemas.
•
(McAfee DLP Discover y McAfee DLP Endpoint) Crear análisis.
•
(McAfee DLP Prevent) Integrar con un servidor MTA o proxy web.
Véase también Documentación de eventos mediante pruebas en la página 69 Criterios y definiciones de clasificación en la página 119 Reglas en la página 144 Protección de los archivos con las reglas de descubrimiento en la página 179 Uso de las directivas de McAfee DLP Prevent en la página 80 Configuración de ajustes del cliente en la página 64 Configurar ajustes del servidor en la página 64 Configurar directivas para los análisis en la página 193 Descargar archivos de instalación y de las extensiones de productos en la página 39
McAfee Data Loss Prevention 10.0.100
Guía del producto
55
3
Instale McAfee DLP Realización de las tareas posteriores a la instalación
56
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración y uso Configure el software para lograr un uso optimizado en el entorno empresarial según las decisiones de gestión sobre qué contenido debe protegerse y cuál es el mejor modo de protegerlo.
Capítulo Capítulo Capítulo Capítulo Capítulo Capítulo
4 5 6 7 8 9
Configuración de los componentes del sistema Protección de medios extraíbles Clasificación del contenido confidencial Protección de contenido de carácter confidencial Análisis de datos con descubrimiento de McAfee DLP Endpoint Análisis de datos con McAfee DLP Discover
McAfee Data Loss Prevention 10.0.100
Guía del producto
57
Configuración y uso
58
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema
Los componentes del sistema se pueden personalizar para dar respuesta a las necesidades de su empresa. La configuración de las opciones del sistema y de los agentes permite optimizar el sistema para proteger la información confidencial de la empresa de forma eficaz. Contenido Configuración de McAfee DLP en el catálogo de directivas Protección de archivos mediante la gestión de derechos Documentación de eventos mediante pruebas Control de asignaciones con usuarios y conjuntos de permisos Control de acceso a las funciones de McAfee DLP Prevent Uso de las directivas de McAfee DLP Prevent Funciones de McAfee ePO
McAfee Data Loss Prevention 10.0.100
Guía del producto
59
4
Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas
Configuración de McAfee DLP en el catálogo de directivas McAfee DLP utiliza el catálogo de directivas de McAfee ePO para almacenar directivas y configuraciones de cliente. McAfee DLP crea directivas en el catálogo de directivas de McAfee ePO. Las directivas se asignan a equipos endpoint en el Árbol de sistemas de McAfee ePO. •
Directiva de DLP: contiene los conjuntos de reglas activos asignados a la directiva, los análisis de descubrimiento de endpoint planificados y la configuración de la estrategia de aplicaciones, las omisiones de clases de dispositivos y los usuarios con privilegios, así como la validación de directivas.
•
Configuración del servidor: Contiene las configuraciones de McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Prevent for Mobile Email. Le permite definir las opciones de servicio de copia de pruebas y de registro, los ajustes de administración de derechos y de SharePoint y las opciones de extractor de texto. La configuración de servidor solo se muestra si se ha registrado una licencia de McAfee DLP Discover o de McAfee DLP Prevent. Práctica recomendada: Cree configuraciones de servidor independientes para McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Prevent for Mobile Email.
McAfee DLP Prevent solo utiliza la sección Servicio de copia de pruebas de la configuración de servidor, McAfee DLP Prevent for Mobile Email solo utiliza el Proxy de ActiveSync. McAfee DLP Discover utiliza todas las secciones, excepto el Proxy de ActiveSync. •
Configuraciones del cliente: Las configuraciones independientes de los equipos Microsoft Windows y OS X contienen los ajustes de configuración para los clientes de McAfee DLP Endpoint. Los ajustes determinan cómo aplican los clientes las directivas de McAfee DLP en los equipos endpoint. Las configuraciones del cliente solo se muestran si se ha registrado una licencia de McAfee DLP Endpoint.
La Directiva de DLP incluye Conjuntos de reglas activos, la configuración de Descubrimiento de endpoint, Configuración y la Validación de directivas. Las directivas de configuración del cliente (Windows, OS X) contienen los ajustes que determinan cómo funcionan los equipos endpoint con las directivas. Son donde se activa el Servicio de copia de pruebas para McAfee DLP Endpoint. Utilice las directivas de configuración de servidor para McAfee Data Loss Prevention Discover y McAfee DLP Prevent. Configure ajustes como el Servicio de copia de pruebas y los parámetros de registro.
Importar o exportar la configuración de McAfee DLP Endpoint Las configuraciones de directivas de endpoint pueden guardarse en formato HTML como copia de seguridad o transferir las directivas a otros servidores de McAfee ePO. No utilice este procedimiento para guardar configuraciones de directivas de DLP. Mientras que la opción Exportar guarda el archivo, la opción Importar no puede importarlo. Para guardar las directivas de DLP, utilice la página Copia de seguridad y restauración en Configuración de DLP.
60
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Catálogo de directivas | Producto | Data Loss Prevention.
2
Siga uno de estos procedimientos: •
Para exportar, haga clic en Exportar. En la ventana Exportar, haga clic con el botón derecho en el vínculo del archivo y seleccione Guardar vínculo como para guardar la directiva como un archivo XML. El botón Exportar exporta todas las directivas. Puede exportar una directiva individual, seleccionando Exportar en la columna Acciones en la fila de nombre de directiva.
•
Para importar una directiva guardada, haga clic en Importar. En la ventana Importar directivas, vaya a una directiva guardada, haga clic en Abrir y, a continuación, en Aceptar. La ventana de importación se abre, mostrando las directivas que está a punto de importar y si hay un conflicto de nombre. Puede anular la selección de cualquier directiva en conflicto y no importarla. Si decide importar una directiva con un conflicto de nombre, esta sobrescribirá la directiva existente y asumirá sus asignaciones.
Configuración del cliente El software cliente McAfee DLP Endpoint para McAfee Agent reside en los equipos de la empresa y ejecuta la directiva definida. Asimismo, el software supervisa las actividades del usuario que afectan al contenido de carácter confidencial. La configuración del cliente se almacena en la directiva, que se despliega en los equipos gestionados. El Catálogo de directivas viene con las directivas predeterminadas de McAfee para las configuraciones de endpoint OS X y Windows y la directiva de DLP. Haga clic en Duplicar (en la columna Acciones) para crear una copia editable como base de su directiva.
La configuración del cliente se almacena en la directiva, que se despliega en los equipos gestionados mediante McAfee ePO. Si se actualiza la configuración, debe volver a desplegar la directiva.
Vigilancia del servicio del cliente La vigilancia del servicio del cliente no se puede utilizar en McAfee DLP Endpoint for Mac.
Para mantener el funcionamiento normal del software McAfee DLP Endpoint, incluso en caso de interferencia malintencionada, McAfee DLP Endpoint ejecuta un servicio de protección denominado Vigilancia del servicio del cliente. Este servicio supervisa el software McAfee DLP Endpoint y lo reinicia si se interrumpe su ejecución por cualquier motivo. El servicio está activado de forma predeterminada. Si desea comprobar que se está ejecutando, busque en los procesos del Administrador de tareas de Windows un servicio denominado fcagswd.exe.
Opciones de configuración del cliente Las opciones de configuración del cliente determinan cómo funciona el software del endpoint. La mayor parte de las opciones de configuración del cliente tienen valores predeterminados razonables que se pueden utilizar para la configuración y las pruebas iniciales sin alteración. Práctica recomendada: Para comprobar que las opciones de configuración del cliente siguen cumpliendo sus requisitos, revíselas periódicamente.
La siguiente tabla incluye algunos de los ajustes más importantes que debe comprobar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
61
4
Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas
Tabla 4-1
Configuración del endpoint
Ajuste
Detalles
Configuración avanzada
Ejecutar el cliente de DLP en modo seguro
Esta opción está desactivada de forma predeterminada. Al activar esta opción, McAfee Se aplica únicamente DLP Endpoint es completamente funcional cuando el equipo se inicia en modo seguro. Existe un a los clientes de mecanismo de recuperación en caso de que el Windows. cliente de McAfee DLP Endpoint provoque un fallo de arranque. Omisión de agente Se aplica a los clientes de Windows y Mac OS X.
Rastreo de contenido Se aplica a los clientes de Windows y Mac OS X.
Conectividad corporativa Se aplica a los clientes de Windows y Mac OS X.
Protección del correo electrónico Se aplica únicamente a los clientes de Windows.
Servicio de copia de pruebas Se aplica a los clientes de Windows y Mac OS X.
Módulos y modo de funcionamiento Se aplica a los clientes de Windows y Mac OS X.
62
Descripción
La omisión de agente se detiene cuando se carga una nueva configuración de cliente. Esta opción está desactivada de forma predeterminada.
Utilizar la siguiente página de código ANSI de respaldo
Si no se define ningún idioma, el respaldo es el idioma predeterminado del equipo endpoint.
Procesos en lista blanca
Se agregan procesos y extensiones a la lista blanca.
Detección de red corporativa
Se pueden aplicar diferentes acciones preventivas a equipos endpoint dentro de la red corporativa o fuera de la red. En el caso de algunas reglas, pueden aplicarse distintas acciones preventivas cuando se está conectado a una VPN. Para usar la opción de VPN o determinar la conectividad de la red por servidor corporativo y no por conexión a McAfee ePO, defina la dirección IP del servidor en la sección pertinente.
Detección de VPN corporativa
Almacenamiento en caché de correos electrónicos
Almacena las firmas de etiqueta de correos electrónicos en el disco para eliminar los que se han vuelto a analizar.
API de administración de correo electrónico
El correo electrónico saliente lo gestiona tanto el modelo de objetos de Outlook (OOM) como la interfaz de programación de aplicaciones de mensajería (MAPI). OOM es la API predeterminada, aunque algunas configuraciones requieren MAPI.
Integración del complemento de terceros de Outlook
Se admiten dos aplicaciones de clasificación de terceros: Titus y Boldon James.
Estrategia de tiempo de espera de correo electrónico
Establece el tiempo máximo permitido para analizar un correo electrónico y la acción aplicable si se supera dicho tiempo.
Recurso compartido de almacenamiento de pruebas (UNC)
Sustituya el texto de ejemplo por el recurso compartido de almacenamiento de pruebas.
Configuración de cliente
Se puede modificar la manera en que se muestra el subrayado de coincidencias definiendo las coincidencias de clasificación de forma que aparezcan todas o solo los resultados abreviados.
Modo de funcionamiento
Defina Device Control o el modelo completo de McAfee DLP Endpoint. Restablezca este parámetro para ampliar o reducir su licencia.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas
Tabla 4-1
4
Configuración del endpoint (continuación)
Ajuste
Detalles
Descripción
Módulos de protección de datos
Active los módulos necesarios. Práctica recomendada: Para mejorar el rendimiento, anule la selección de los módulos que no utilice.
Web Protection Se aplica únicamente a los clientes de Windows.
Evaluación de la protección Seleccione entradas para la evaluación de la web solicitud web al que coinciden con las reglas de protección web. Esta configuración permitir bloquear solicitudes enviadas por AJAX a otra dirección URL desde la que se muestra en la barra de direcciones. Debe seleccionar al menos una opción. Procesar solicitudes HTTP GET
Las solicitudes GET están desactivadas de forma predeterminada porque consumen muchos recursos. Utilice esta opción con precaución.
Versiones de Chrome compatibles
Si utiliza Google Chrome, haga clic en Examinar para agregar la lista actual de versiones compatibles. La lista es un archivo XML que descarga del Soporte de McAfee.
Estrategia de tiempo de espera de Web
Establece el tiempo de espera de análisis de publicación web, la acción que realizar si se sobrepasa el tiempo de espera y un mensaje de usuario opcional.
Direcciones URL en lista blanca
Enumera las direcciones URL excluidas de las reglas de protección web.
Compatibilidad con los parámetros de configuración del cliente McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac están configurados de forma similar en directivas del cliente distintas. Tabla 4-2 Página de depuración y registro Parámetro
Compatibilidad con sistemas operativos
Eventos administrativos comunicados por los clientes
Las opciones de configuración de filtro que se pueden aplicar en McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac son: • Cliente entra en el modo de omisión • Cliente sale del modo de omisión • Cliente instalado Todos los demás ajustes corresponden solo a McAfee DLP Endpoint para Windows.
Registro
Se puede utilizar en McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac.
Tabla 4-3 Página Componentes de la interfaz de usuario Sección
Parámetro
Interfaz de usuario cliente
Mostrar consola de DLP (todas las McAfee DLP Endpoint para Windows únicamente opciones) Activar ventana emergente de notificación al usuario final
McAfee Data Loss Prevention 10.0.100
Compatibilidad con sistemas operativos
McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac
Guía del producto
63
4
Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas
Tabla 4-3 Página Componentes de la interfaz de usuario (continuación) Sección
Parámetro
Compatibilidad con sistemas operativos
Mostrar cuadro de diálogo de solicitud de justificación
McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac
Desafío y respuesta
Todas las opciones
McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac
Directiva de bloqueo de código de autorización
Todas las opciones
McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac
Imagen de banner de cliente
Todas las opciones
McAfee DLP Endpoint para Windows únicamente
Configuración de ajustes del cliente Configure los ajustes para McAfee DLP Endpoint. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.
2
En la lista desplegable Producto, seleccione Data Loss Prevention 10.
3
(Opcional) En la lista desplegable Categoría, seleccione Configuración del cliente Windows o Configuración del cliente Mac OS X.
4
Seleccione una configuración para editarla o haga clic en Duplicar para la configuración de McAfee Default.
5
En la página Servicio de copia de pruebas, introduzca el recurso compartido de almacenamiento y las credenciales.
6
Actualice los ajustes en el resto de páginas según sea necesario.
7
Haga clic en Aplicar directiva.
Configurar ajustes del servidor Establecer las opciones de configuración del servidor de McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP para dispositivos móviles. Antes de empezar Para la configuración del servidor de McAfee DLP Discover: •
Si está utilizando un servidor de administración de derechos, obtenga el nombre de dominio, el nombre de usuario y la contraseña.
•
Si tiene pensado ejecutar análisis de corrección en los servidores de SharePoint, determine si los servidores de SharePoint de su empresa utilizan la papelera de reciclaje. No combinar correctamente este ajuste puede ocasionar errores o comportamientos inesperados durante el análisis de corrección.
Para el servidor de McAfee DLP para dispositivos móviles, establezca la Configuración de ActiveSync del servidor de MobileIron Sentry de la siguiente forma:
64
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema Configuración de McAfee DLP en el catálogo de directivas
•
Autenticación del servidor: de paso
•
Servidor(es) ActiveSync: [Dirección del proxy de DLP ActiveSync] McAfee DLP Server para dispositivos móviles requiere certificación. Consulte KBxxxxx para obtener más información sobre cómo obtener e instalar certificados.
•
El servidor de McAfee DLP para dispositivos móviles utiliza únicamente la configuración del Proxy de ActiveSync.
•
McAfee DLP Prevent utiliza únicamente la configuración del Servicio de copia de pruebas.
•
McAfee DLP Discover puede utilizar todas las opciones de configuración del servidor, excepto el Proxy de ActiveSync, aunque algunas son opcionales.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.
2
En la lista desplegable Producto, seleccione Data Loss Prevention 10.
3
(Opcional) En la lista desplegable Categoría, seleccione Configuración del servidor.
4
Siga uno de estos procedimientos: •
Seleccione una configuración del servidor que editar.
•
Haga clic en Duplicar para la configuración de McAfee Default.
5
(Opcional, solo para McAfee DLP Discover) En la página de Box, compruebe las opciones del historial de versiones y de la papelera.
6
En la página Servicio de copia de pruebas, introduzca el recurso compartido de almacenamiento y las credenciales. Para McAfee DLP Prevent, especifique un nombre de usuario y una contraseña. No utilice la opción de la cuenta de sistema local. Práctica recomendada: Utilice los valores predeterminados para la Configuración del servidor. (McAfee DLP Prevent ignora la configuración del ancho de banda de transmisión.)
7
(Opcional, solo para McAfee DLP Discover) En la página Registro, defina el tipo de resultado del registro y el nivel de registro. Práctica recomendada: Utilice los valores predeterminados.
8
(Solo para el servidor de McAfee DLP para dispositivos móviles) En la página del Proxy de ActiveSync, introduzca el nombre DNS del servidor de ActiveSync.
9
(Solo para McAfee DLP Discover) En la página Gestión de derechos, defina las credenciales del servicio de gestión de derechos.
10 (Solo para McAfee DLP Discover) En la página SharePoint, seleccione o anule la selección de Utilizar papelera de reciclaje al eliminar un archivo. Si activa esta opción y el servidor SharePoint no utiliza la papelera de reciclaje, cualquier acción de Mover llevada a cabo en los archivos fallará y tomará de forma predeterminada el valor Copiar. El valor predeterminado en SharePoint es activar la papelera de reciclaje.
McAfee Data Loss Prevention 10.0.100
Guía del producto
65
4
Configuración de los componentes del sistema Protección de archivos mediante la gestión de derechos
11 (Opcional, solo para McAfee DLP Discover) En la página Extractor de texto, establezca las opciones de configuración del extractor de texto. Práctica recomendada: Utilice los valores predeterminados.
a
Defina la página de códigos de respaldo ANSI. El valor predeterminado utiliza el idioma predeterminado del servidor Discover.
b
Defina el tamaño máximo del archivo de entrada y de salida, y los tiempos de espera.
12 Haga clic en Aplicar directiva. Véase también Protección de archivos mediante la gestión de derechos en la página 66 Documentación de eventos mediante pruebas en la página 69 Acciones de las reglas de protección de datos en la página 153
Protección de archivos mediante la gestión de derechos McAfee DLP Endpoint y McAfee DLP Discover pueden integrarse con los servidores de administración de derechos (RM) para aplicar la protección a los archivos que coincidan con las clasificaciones de la regla. Con la versión 10.x de McAfee DLP Endpoint, debe instalar Active Directory Rights Management Services Client 2.1, compilación 1.0.2004.0, en todos los equipos endpoint con servicios de administración de derechos. El comando Aplicar directiva de administración de derechos no funciona sin esta versión del cliente de administración de derechos.
McAfee DLP Prevent puede reconocer si un correo electrónico dispone de protección de administración de derechos. Sin embargo, McAfee DLP Prevent no permite aplicar directivas de administración de derechos a correos electrónicos. Puede aplicar una reacción de la directiva de administración de derechos a la protección de datos y a las reglas de descubrimiento: •
Protección en la nube
•
Protección del servidor de archivos (CIFS)
•
Sistema de archivos de Endpoint
•
Protección de SharePoint
•
Protección de Box Las directivas de administración de derechos no se pueden utilizar con las reglas de Device Control.
McAfee DLP puede reconocer los archivos protegidos con administración de derechos añadiendo una propiedad de cifrado de archivos a los criterios de clasificación o identificación por huellas digitales de contenido. Dichos archivos pueden incluirse o excluirse de la clasificación.
66
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema Protección de archivos mediante la gestión de derechos
Funcionamiento de McAfee DLP con la administración de derechos McAfee DLP sigue un flujo de trabajo para aplicar las directivas de administración de derechos a los archivos.
Flujo de trabajo de la administración de derechos 1
Cree y aplique una protección de datos o una regla de descubrimiento con una reacción para aplicar la directiva de administración de derechos. La reacción requiere un servidor de administración de derechos y la introducción de una directiva de administración de derechos.
2
Cuando un archivo activa la regla, McAfee DLP envía el archivo al servidor de administración de derechos.
3
El servidor de administración de derechos aplica las protecciones en función de la directiva especificada, como el cifrado del archivo, la limitación de los usuarios con permiso para acceder a él o descifrarlo y la limitación de las condiciones en las que se puede acceder al archivo.
4
El servidor de administración de derechos envía el archivo de vuelta al origen con las protecciones aplicadas.
5
Si ha configurado una clasificación para el archivo, McAfee DLP puede supervisar dicho archivo.
Limitaciones El software de McAfee DLP Endpoint no inspecciona los archivos protegidos por la administración de derechos en relación con el contenido. Cuando se aplica al archivo una clasificación protegida por la administración de derechos, únicamente se mantienen los criterios de identificación de contenido por huellas digitales (ubicación, aplicación o aplicación web). Si un usuario modifica el archivo, todas las firmas de huella digital se pierden al guardar el archivo.
Servidores de administración de derechos compatibles McAfee DLP Endpoint es compatible con Microsoft Windows Rights Management Services (Microsoft RMS) y con Seclore FileSecure™ Information Rights Management (IRM). McAfee DLP Discover es compatible con Microsoft RMS.
Microsoft RMS McAfee DLP es compatible con Microsoft RMS en Windows Server 2003 y Active Directory RMS (AD-RMS) en Windows Server 2008 y 2012. Puede aplicar la protección de Windows Rights Management Services a los siguientes appliances: Tipo de documento
Versión
Microsoft Word
2010, 2013 y 2016
Microsoft Excel Microsoft PowerPoint SharePoint
2007
Exchange Server Con Microsoft RMS, McAfee DLP puede inspeccionar el contenido de los archivos protegidos si el usuario actual cuenta con permisos de visualización. Para obtener más información sobre Microsoft RMS, visite http://technet.microsoft.com/es-es/library/ cc772403.aspx.
McAfee Data Loss Prevention 10.0.100
Guía del producto
67
4
Configuración de los componentes del sistema Protección de archivos mediante la gestión de derechos
Seclore IRM McAfee DLP Endpoint es compatible con Seclore FileSecure RM, que admite más de 140 formatos de archivo, entre los que se incluyen los formatos de documento más usados: •
Documentos de Microsoft Office.
•
Documentos de Open Office.
•
Archivos PDF.
•
Formatos de texto y basados en texto, incluidos: CSV, XML y HTML.
•
Formatos de imagen, incluidos: JPEG, BMP, GIF, etc.
•
Formato de diseño de ingeniería, incluidos: DWG, DXF y DWF.
El cliente de McAfee DLP Endpoint trabaja con FileSecure Desktop Client para ofrecer integración tanto en línea como fuera de línea. Para obtener más información sobre Seclore IRM, visite http://seclore.com/ seclorefilesecure_overview.html.
Definir un servidor de administración de derechos McAfee DLP Endpoint admite dos sistemas de administración de derechos: Microsoft Windows Rights Management Services (RMS) y Seclore FileSecure™. Para utilizar estos sistemas, configure el servidor proporcionando las directivas de administración de derechos en McAfee ePO. Antes de empezar •
Configure los servidores de administración de derechos, y cree usuarios y directivas. Obtenga la URL y la contraseña para todos los servidores: plantilla de directiva, certificación y licencias. Para Seclore, necesita el ID de Hot Folder Cabinet y la frase de contraseña, así como información sobre licencias avanzadas si las hubiera.
•
Compruebe que tenga permiso para ver, crear y editar los servidores de Microsoft RMS y Seclore. En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos y compruebe que pertenece a un grupo que tiene los permisos requeridos en Servidores registrados.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Servidores registrados.
2
Haga clic en Nuevo servidor. Se abre la página de descripción de Servidores registrados.
68
3
En la lista desplegable Tipo de servidor, seleccione el tipo de servidor que desea configurar: Servidor Microsoft RMS o Servidor Seclore.
4
Escriba un nombre para la configuración del servidor y, a continuación, haga clic en Siguiente.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema Documentación de eventos mediante pruebas
5
6
4
Introduzca los detalles necesarios. Cuando haya introducido los campos necesarios, haga clic en Probar conectividad para verificar los datos introducidos. •
Los ajustes de RMS también incluyen una sección Configuración de implementación de DLP. El campo Ruta local a la plantilla de RMS es opcional, pero los campos de URL para la certificación y las licencias son obligatorios a menos que elija la opción de descubrimiento de servicios automático con Active Directory.
•
Seclore requiere información de HotFolder Cabinet, pero la información de licencias adicional es opcional.
Haga clic en Guardar cuando haya terminado la configuración.
Documentación de eventos mediante pruebas La prueba es una copia de los datos que han provocado la publicación de un evento de seguridad en el Administrador de incidentes de DLP. En caso de ser posible, se crean varios archivos de pruebas para un evento. Por ejemplo, si se activa una regla de protección de correo electrónico, el correo electrónico, el texto del cuerpo y los datos adjuntos se guardan como archivos de pruebas. Si se produce una clasificación en los encabezados de correo electrónico, no se escribirá ninguna prueba independiente porque puede encontrarse en el propio mensaje. El texto coincidente se incluye en el resaltado de coincidencias de las pruebas del cuerpo.
Uso de pruebas y del almacenamiento de pruebas La mayoría de las reglas permiten almacenar pruebas. Cuando esta opción está seleccionada, se almacena una copia cifrada del contenido bloqueado o supervisado en la carpeta de pruebas predefinida. McAfee DLP Endpoint almacena la prueba en una ubicación temporal del cliente entre los intervalos de comunicación agente-servidor. Cuando McAfee Agent pasa información al servidor, la carpeta se purga y la prueba se almacena en la carpeta de pruebas del servidor. Puede especificar el tamaño máximo y la antigüedad del almacenamiento local de pruebas cuando el equipo está fuera de línea.
Requisitos previos para almacenamiento de pruebas El almacenamiento de pruebas está activado de manera predeterminada en McAfee DLP. Si no desea guardar pruebas, puede aumentar el rendimiento desactivando el servicio de pruebas. A continuación se indican las opciones obligatorias o los valores predeterminados a la hora de configurar el software: •
Carpeta de almacenamiento de pruebas: Crear una carpeta de almacenamiento de pruebas de red y especificar la ruta UNC a la carpeta son requisitos para la aplicación de una directiva en McAfee ePO. Especifique la ruta en la página Configuración de DLP. La ruta UNC predeterminada se copia en las páginas del Servicio de copia de pruebas de la configuración del servidor (McAfee DLP Discover, McAfee DLP Prevent) y de la configuración de los clientes (McAfee DLP Endpoint) del Catálogo de directivas. Puede editar el valor predeterminado para especificar varias carpetas de almacenamiento de pruebas en las opciones de configuración.
•
Servicio de copia de pruebas: El servicio de copia de pruebas de McAfee DLP Endpoint se activa en la página Módulos y modo de funcionamiento de la directiva de configuración del cliente. Para recopilar pruebas, también debe activarse la opción Servicio de generación de informes, en la que consta como entrada secundaria. Para McAfee DLP Discover y McAfee DLP Prevent, el servicio se activa en la directiva de configuración del servidor.
Véase también Configuración de ajustes del cliente en la página 64 Configurar ajustes del servidor en la página 64
McAfee Data Loss Prevention 10.0.100
Guía del producto
69
4
Configuración de los componentes del sistema Documentación de eventos mediante pruebas
Memoria y almacenamiento de pruebas El número de archivos de pruebas almacenados por evento influye en el volumen de almacenamiento, el rendimiento del analizador de eventos y la presentación en pantalla (y, por tanto, la experiencia del usuario) de las páginas Administrador de incidentes de DLP y Operaciones de DLP. Para cumplir con requisitos de pruebas diferentes, el software McAfee DLP realiza lo siguiente: •
El número máximo de archivos de pruebas que almacenar por evento se define en la página Servicio de copia de pruebas.
•
Cuando un gran número de archivos de pruebas se vinculan a un solo evento, solo los primeros 100 nombres de archivo se almacenan en la base de datos y se muestran en la página de detalles Administrador de incidentes de DLP. Los archivos de pruebas restantes (hasta el máximo definido) se almacenan en recurso compartido de almacenamiento de pruebas, pero no se asocian al evento. En el caso de los informes y las consultas, para los que se filtran las pruebas en función del nombre de archivo, solo se tiene acceso a los 100 primeros nombres de archivo.
•
El campo Número de correspondencias total del Administrador de incidentes de DLP muestra el número total de pruebas.
•
Si el almacenamiento de pruebas alcanza un nivel crítico, McAfee DLP Prevent rechaza el mensaje de forma temporal y se genera un error de SMTP. A continuación, se crear un evento en el historial de Eventos de clientes y aparece un mensaje de alerta en el panel de Administración de appliances.
Resaltado de coincidencias La opción de resaltado de coincidencias permite a los administradores identificar exactamente el contenido de carácter confidencial que ha provocado un evento. Cuando se selecciona, se guarda un archivo de pruebas HTML cifrado que contiene el texto extraído. El archivo de pruebas se compone de fragmentos; un fragmento de huellas digitales y clasificaciones de contenido contiene normalmente el texto confidencial, con 100 delante y 100 detrás (por contexto) organizados por la huella digital o la clasificación de contenido que activó el evento. Además, incluye un recuento del número de eventos por huella digital o clasificación de contenido. Si hay varias coincidencias entre los 100 caracteres de la anterior coincidencia, se subrayan dichas coincidencias, y el texto resaltado y los siguientes 100 caracteres se agregan al fragmento. Si la coincidencia se encuentra en el encabezado o pie de página de un documento, el fragmento contiene el texto resaltado sin el prefijo o sufijo de 100 caracteres. Las opciones de visualización se definen en la página del Servicio de copia de pruebas de la directiva de configuración servidor o del cliente en el campo Archivo de coincidencias de clasificación: •
Crear resultados abreviados (predeterminada)
•
Crear todas las coincidencias
•
Desactivado: desactiva la función de subrayado de coincidencias.
Los resultados abreviados pueden contener hasta 20 fragmentos. Un archivo de resaltado de todas las coincidencias puede contener una cantidad ilimitada de fragmentos, pero existe un límite en el número de coincidencias por clasificación. En el caso de las clasificaciones Patrón avanzado y Palabra clave, el límite de coincidencias es 100. En el caso de clasificaciones Diccionario, el límite de coincidencias por entrada de diccionario es 250. Si hay varias clasificaciones en un archivo de resaltado de coincidencias, los nombres de dichas clasificaciones y los números de coincidencias se muestran al comienzo del archivo, antes de los fragmentos.
70
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema Documentación de eventos mediante pruebas
4
Reglas que permiten el almacenamiento de pruebas Estas reglas pueden almacenar pruebas. Tabla 4-4 Pruebas guardadas por las reglas Regla
Elemento que se guarda
Producto
Regla de protección de acceso a archivos de la aplicación
Copia del archivo
McAfee DLP Endpoint
Regla de protección del Portapapeles
Copia del Portapapeles
Regla de protección en la nube
Copia del archivo
Regla de protección de correo electrónico
Copia del correo electrónico • McAfee DLP Endpoint • McAfee DLP Prevent
Regla de protección de dispositivos móviles
Copia del correo electrónico McAfee DLP Prevent for Mobile Email
Regla de protección de recursos compartidos de red
Copia del archivo
Regla de protección contra impresión
Copia del archivo
Regla de protección de almacenamiento extraíble
Copia del archivo
Regla de protección contra capturas de pantalla
JPEG de la pantalla
Regla de protección web
Copia de la publicación web
Regla de descubrimiento del sistema de archivos
Copia del archivo
Regla de descubrimiento de almacenamiento de correo electrónico
Copia del archivo .msg
Regla de protección de Box
Copia del archivo
McAfee DLP Endpoint
McAfee DLP Discover
Regla de Protección del servidor de archivos (CIFS) Copia del archivo Regla de protección de SharePoint
Copia del archivo
Creación de carpetas de pruebas Las carpetas de pruebas contienen información que utilizan todos los productos de software de McAfee DLP para la creación de directivas y la generación de informes. Según cuál sea su instalación de McAfee DLP, deben crearse algunas carpetas y recursos compartidos de red, y establecerse sus propiedades y la configuración de seguridad correspondiente. Las rutas de las carpetas de las pruebas están definidas en ubicaciones distintas en los diferentes productos de McAfee DLP. Cuando se instala más de un producto de McAfee DLP en McAfee ePO, las rutas UNC de las carpetas de las pruebas se sincronizan. No es necesario que las carpetas estén en el mismo equipo que el servidor de bases de datos de McAfee DLP, pero suele ser recomendable que así sea. La ruta de almacenamiento de pruebas debe ser un recurso compartido de red, es decir, debe incluir el nombre del servidor.
•
Carpeta de pruebas: Determinadas reglas permiten almacenar pruebas, por lo que debe designar, con antelación, dónde situarlas. Por ejemplo, cuando se bloquea un archivo, se puede incluir una copia de este en la carpeta de pruebas.
•
Copiar y mover carpetas: McAfee DLP Discover utiliza esta opción para procesar archivos.
Proponemos las siguientes rutas y nombres de carpetas, y los siguientes nombres de recursos compartidos, pero puede crear otros según las necesidades de su propio entorno.
McAfee Data Loss Prevention 10.0.100
Guía del producto
71
4
Configuración de los componentes del sistema Documentación de eventos mediante pruebas
•
c:\dlp_resources\
•
c:\dlp_resources\Pruebas
•
c:\dlp_resources\copy
•
c:\dlp_resources\move
Véase también Definir las opciones de configuración de las carpetas de pruebas en la página 72
Definir las opciones de configuración de las carpetas de pruebas Las carpetas de pruebas almacenan información de las pruebas cuando los archivos coinciden con una regla. Según cuál sea su instalación de McAfee DLP, deben crearse algunas carpetas y recursos compartidos de red, y establecerse sus propiedades y la configuración de seguridad correspondiente. El campo Almacenamiento de pruebas predeterminado de Configuración de DLP cumple el requisito básico, pero se recomienda configurar los recursos compartidos de pruebas independientes para cada producto de McAfee DLP. La configuración de los recursos compartidos de prueba que se describe a continuación anula la configuración predeterminada. Debe configurar el permiso de escritura para la cuenta del usuario que escribe en la carpeta de pruebas como, por ejemplo, la cuenta del sistema local del servidor. Para ver las pruebas de McAfee ePO, debe conceder acceso de lectura a la cuenta del sistema local del servidor de McAfee ePO.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.
2
En la lista desplegable Producto, seleccione Data Loss Prevention 10.
3
Desde la lista desplegable Categoría, seleccione una de estas opciones según el producto que desea configurar. •
Configuración de cliente de Windows: McAfee DLP Endpoint para Windows
•
Configuración de cliente de Mac OS X: McAfee DLP Endpoint for Mac
•
Configuración del servidor: McAfee DLP Discover y McAfee DLP Prevent
4
Seleccione una configuración para editarla o haga clic en Duplicar para la configuración de McAfee Default.
5
En la página Servicio de copia de pruebas: a
Seleccione si el servicio está activado o desactivado. El servicio de copia de pruebas permite almacenar pruebas cuando se activan las reglas. Si está desactivado, las pruebas no se recopilan y solo se generan los incidentes.
72
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos
b
En caso necesario, introduzca el recurso compartido de almacenamiento de pruebas (UNC). Si no desea utilizar la cuenta del sistema local, introduzca un nombre de usuario y una contraseña para almacenar las pruebas. Para McAfee DLP Prevent, debe especificar un nombre de usuario y una contraseña.
De forma predeterminada, se introduce la ruta UNC en la página Configuración de DLP al configurar la licencia. Puede cambiar la ruta UNC para cada directiva de trabajo que cree o mantener la predeterminada. c
(Opcional) Restablezca los filtros de Tamaño máximo del archivo de pruebas y Ancho de banda de transmisión de pruebas máximo predeterminados. McAfee DLP Prevent ignora la configuración del ancho de banda de transmisión.
d
Seleccione si el almacenamiento del archivo original está activado o desactivado. Al seleccionar Desactivado, se omite la configuración de Almacenar archivo original en las reglas individuales.
e 6
Defina la coincidencia de clasificación con los resultados abreviados o todas las coincidencias. También puede desactivar la coincidencia con este control.
Haga clic en Aplicar directiva.
Véase también Uso de pruebas y del almacenamiento de pruebas en la página 69
Control de asignaciones con usuarios y conjuntos de permisos McAfee DLP utiliza Usuarios y Conjuntos de permisos de McAfee ePO para asignar diferentes partes de la administración de McAfee DLP a grupos o usuarios distintos. Práctica recomendada: Cree conjuntos de permisos, usuarios y grupos de McAfee DLP específicos. Cree distintas funciones mediante la asignación de permisos de administrador y revisor diferentes para los módulos de McAfee DLP diferentes de McAfee ePO.
Compatibilidad de permisos de filtrado del árbol de sistemas McAfee DLP admite los permisos de filtrado del Árbol de sistemas de McAfee ePO en Administrador de incidentes de DLP y Operaciones de DLP. Cuando se activa el filtrado del Árbol de sistemas, los operadores de McAfee ePO solo pueden ver los incidentes de los equipos de su sección permitida del Árbol de sistemas. De forma predeterminada, los administradores de grupos no tienen permisos en el Árbol de sistemas de McAfee ePO. Independientemente de los permisos asignados en el conjunto de permisos de Data Loss Prevention, no pueden ver ningún incidente en las consolas Administrador de incidentes de DLP ni Operaciones de DLP. El filtrado del Árbol de sistemas está desactivado de forma predeterminada, pero puede activarse en Configuración de DLP. Práctica recomendada: Para los clientes que han utilizado Administradores de grupos en los conjuntos de permisos de Data Loss Prevention, asigne Administradores de grupo. Permiso Ver la ficha "Árbol de sistemas" (en Sistemas) Permisos Acceso al Árbol de sistemas al nivel adecuado
Redacción de información confidencial y conjuntos de permisos de McAfee ePO Para cumplir las exigencias legales de algunos mercados sobre la protección de información confidencial bajo cualquier circunstancia, el software McAfee DLP ofrece una función de redacción de
McAfee Data Loss Prevention 10.0.100
Guía del producto
73
4
Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos
datos. Los campos de las consolas Administrador de incidentes de DLP y Operaciones de DLP que contienen información de carácter confidencial se pueden redactar para impedir visualizaciones no autorizadas. Los vínculos a pruebas de carácter confidencial se ocultan. La función se ha diseñado con una "clave doble" de desbloqueo. Por tanto, para utilizar la función, debe crear dos conjuntos de permisos: uno para ver los incidentes y eventos, y otro para ver los campos redactados (permiso de supervisor). Ambas funciones pueden asignarse al mismo usuario.
Cree definiciones de usuarios finales McAfee DLP tiene acceso a los servidores de Active Directory (AD) o de protocolo ligero de acceso a directorios (LDAP) para crear definiciones de usuarios finales. Los grupos de usuarios finales se utilizan para los permisos y asignaciones de administrador, así como en las reglas de dispositivos y protección. Pueden componerse de usuarios, grupos de usuarios o unidades organizativas (OU). Por tanto, permiten al administrador elegir un modelo adecuado. Las empresas organizadas en un modelo OU pueden continuar utilizando ese modelo, mientras otras pueden emplear grupos o usuarios individuales, según se requiera. Los objetos LDAP se identifican por el nombre o ID de seguridad (SID). Los SID son más seguros y los permisos pueden conservarse incluso si se les asigna un nuevo nombre a las cuentas. No obstante, se almacenan en formato hexadecimal y deben codificarse para convertirlos a un formato legible. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2
Haga clic en la ficha Definiciones.
3
Seleccione Origen/destino | Grupo de usuarios finales y, a continuación, Acciones | Nuevo.
4
En la página Nuevo grupo de usuarios finales, introduzca un nombre único y, si lo desea, una descripción.
5
Seleccione el método para identificar objetos (mediante el SID o el nombre).
6
Haga clic en uno de los botones Agregar: Agregar usuarios, Agregar grupos o Agregar OU. La ventana de selección se abre y muestra el tipo de información seleccionado. Si la lista es larga, es posible que tarde unos segundos en mostrarse. Si no aparece ningún tipo de información, seleccione Contenedor y elementos secundarios en el menú desplegable Valor predeterminado.
7
Seleccione los nombres y haga clic en Aceptar para agregarlos a la definición. Repita la operación según sea necesario para agregar usuarios, grupos o usuarios organizativos adicionales.
8
Haga clic en Guardar.
Asignar conjuntos de permisos de McAfee DLP Los conjuntos de permisos de McAfee DLP asignan permisos para ver y guardar las directivas, y para ver los campos redactados. También se utilizan para asignar el control de acceso según funciones (RBAC). Al instalar el software del servidor de McAfee DLP, se agrega el conjunto de permisos de McAfee ePO Data Loss Prevention. Si hay una versión anterior de McAfee DLP instalada en el mismo servidor de McAfee ePO, aparecerá también dicho conjunto de permisos.
74
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos
Los conjuntos de permisos abarcan todas las secciones de la consola de administración. Existen tres niveles de permisos: •
Utilizar: El usuario solo puede ver los nombres de los objetos (definiciones, clasificaciones, etc.), no los detalles. Para las directivas, el permiso mínimo es ningún permiso.
•
Ver y utilizar: El usuario puede ver los detalles de los objetos, pero no puede editarlos.
•
Permisos totales: El usuario puede crear y cambiar los objetos.
Puede definir permisos para distintas secciones de la consola de administración, otorgando a los administradores y revisores permisos diferentes según sea necesario. Las secciones se agrupan por jerarquía lógica, por ejemplo, al seleccionar Clasificaciones se seleccionan automáticamente las Definiciones, ya que la configuración de los criterios de clasificación requiere el uso de definiciones. Los grupos de permisos de McAfee DLP Endpoint son: Grupo I
Grupo II
Grupo III
• Catálogo de directivas
• Administrador de directivas de DLP
• Clasificaciones
• Administrador de directivas de DLP
• Clasificaciones
• Definiciones
• Clasificaciones
• Definiciones
• Definiciones El grupo de permisos de McAfee DLP Discover es: •
DLP Discover
•
Administrador de directivas de DLP
•
Clasificaciones
•
Definiciones
Administración de incidentes, Eventos operativos y Administración de casos se pueden seleccionar por separado. Los permisos de Acciones de Data Loss Prevention se han movido al conjunto de permisos de Acciones de Help Desk. Estos permisos permiten a los administradores generar claves de desinstalación y omisión de cliente, claves de liberación de cuarentena y claves principales.
McAfee Data Loss Prevention 10.0.100
Guía del producto
75
4
Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos
Además del permiso predeterminado de la sección, puede definir una omisión para cada objeto. La omisión puede aumentar o disminuir el nivel de permisos. Por ejemplo, en los permisos de Administrador de directivas de DLP, se enumeran todos los conjuntos de reglas existentes cuando se crea el conjunto de permisos. Puede definir una omisión diferente para cada uno. Cuando se crean nuevos conjuntos de reglas, estos reciben el nivel de permisos predeterminado.
Figura 4-1 Conjuntos de permisos de McAfee DLP
Creación de un conjunto de permisos de McAfee DLP Los conjuntos de permisos se utilizan para definir distintas funciones administrativas y del revisor en el software McAfee DLP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos.
2
Seleccione un conjunto de permisos predefinido o haga clic en Nuevo para crear uno.
3
a
Escriba un nombre para el conjunto y seleccione los usuarios.
b
Haga clic en Guardar.
Seleccione un conjunto de permisos y haga clic en la opción Editar de la sección Data Loss Prevention. a
En el panel de la izquierda, seleccione un módulo de protección de datos. Administración de incidentes, Eventos operativos y Administración de casos se pueden seleccionar por separado. Otras opciones crean automáticamente los grupos predefinidos.
b
Edite las opciones y omita permisos según precise. Catálogo de directivas no dispone de opciones que editar. Si va a asignar Catálogo de directivas a un conjunto de permisos, puede editar los submódulos del grupo Catálogo de directivas.
c
76
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos
4
Procedimientos •
Caso práctico: Permisos de administrador de DLP en la página 77 Puede separar las tareas de administrador según sea necesario para, por ejemplo, crear un administrador de directivas sin responsabilidades de revisión de eventos.
•
Caso práctico: Limitar la visualización del Administrador de incidentes de DLP con permisos de redacción en la página 77 Para proteger la información confidencial y cumplir los requisitos legales que se establecen en algunos mercados, McAfee DLP Endpoint ofrece una función de redacción de datos.
Caso práctico: Permisos de administrador de DLP Puede separar las tareas de administrador según sea necesario para, por ejemplo, crear un administrador de directivas sin responsabilidades de revisión de eventos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Conjuntos de permisos.
2
Haga clic en Nuevo para crear un conjunto de permisos. a
Escriba un nombre para el conjunto y seleccione los usuarios. Para editar una directiva, el usuario debe ser propietario de esta o bien miembro del conjunto de permisos de administrador global.
b 3
Haga clic en Guardar.
En el conjunto de permisos de Data Loss Prevention, seleccione Catálogo de directivas. Administrador de directivas de DLP, Clasificaciones y Definiciones se seleccionan automáticamente.
4
En cada uno de los tres submódulos, compruebe que el usuario dispone de permisos y acceso totales. El valor predeterminado es Permisos totales.
El administrador puede ahora crear y cambiar las directivas, las reglas, las clasificaciones y las definiciones.
Caso práctico: Limitar la visualización del Administrador de incidentes de DLP con permisos de redacción Para proteger la información confidencial y cumplir los requisitos legales que se establecen en algunos mercados, McAfee DLP Endpoint ofrece una función de redacción de datos. Al utilizar la redacción de datos, ciertos campos del Administrador de incidentes de DLP y de Operaciones de DLP con información confidencial se cifran para evitar la visualización no autorizada y se ocultan los vínculos a las pruebas. Los campos nombre del equipo y nombre de usuario están predefinidos como confidenciales.
En este ejemplo, se indica cómo configurar los permisos del Administrador de incidentes de DLP para un revisor de redacción, es decir, un único administrador que no puede ver los incidentes reales, pero sí revelar campos cifrados cuando así lo precise otro revisor que esté viendo el incidente.
McAfee Data Loss Prevention 10.0.100
Guía del producto
77
4
Configuración de los componentes del sistema Control de asignaciones con usuarios y conjuntos de permisos
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos.
2
Cree conjuntos de permisos para revisores habituales y para el revisor de redacción. a
Haga clic en Nuevo (o en Acciones | Nuevo).
b
Introduzca el nombre del grupo, como Revisor de incidentes de DLPE o Revisor de redacción. Podrá asignar distintos tipos de incidentes a los distintos grupos de revisores. Deberá crear los grupos en Conjuntos de permisos para asignarles incidentes.
c
Asigne usuarios al grupo; elíjalos de entre los usuarios de McAfee ePO disponibles o asigne usuarios de Active Directory o grupos al conjunto de permisos. Haga clic en Guardar.
El grupo aparecerá en la lista Conjuntos de permisos del panel izquierdo. 3
Seleccione un conjunto de permisos de revisor estándar y haga clic en la opción Editar de la sección Data Loss Prevention. a
En el panel de la izquierda, seleccione Administración de incidentes.
b
En la sección Revisor de incidentes, seleccione El usuario puede ver los incidentes que se han asignado a los siguientes conjuntos de permisos, haga clic en el icono de selección y elija el conjunto o los conjuntos de permisos pertinentes.
c
En la sección Redacción de datos de incidentes, anule la selección del campo Permiso de supervisor predeterminado y seleccione la opción Ocultar datos confidenciales de incidentes. Al seleccionarla, se activa la función de redacción. Si se deja sin seleccionar, se muestran todos los campos de datos en texto no cifrado.
4
d
En la sección Tareas de incidentes, seleccione o anule la selección de las tareas como precise.
e
Haga clic en Guardar.
Seleccione el conjunto de permisos de revisor de redacción y haga clic en la opción Editar de la sección Data Loss Prevention. a
En el panel de la izquierda, seleccione Administración de incidentes.
b
En la sección Revisor de incidentes, seleccione El usuario puede ver todos los incidentes. En este ejemplo, se presupone que existe un único revisor de redacción para todos los incidentes. También puede asignar varios revisores de redacción a distintos conjuntos de incidentes.
c
En la sección Redacción de datos de incidentes, seleccione las opciones Permiso de supervisor y Ocultar datos confidenciales de incidentes.
d
En la sección Tareas de incidentes, anule la selección de todas las tareas. Los revisores de redacción, normalmente, no tienen otras tareas de revisor. Este aspecto es opcional y dependerá de sus necesidades específicas.
e
78
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema Control de acceso a las funciones de McAfee DLP Prevent
4
Control de acceso a las funciones de McAfee DLP Prevent Utilice los Conjuntos de permisos de McAfee ePO para controlar qué funciones de su organización tienen acceso a McAfee DLP Prevent y a las directivas y la configuración de Administración de appliances.
Restricción de la visualización de appliances por parte de los usuarios en el Árbol de sistemas Utilice la opción Ningún permiso para restringir la visualización de appliances por parte de los usuarios en el Árbol de sistemas, así como la visualización o edición de las directivas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Conjuntos de permisos en la sección Administración de usuarios del menú.
2
Seleccione el conjunto de permisos para el cual desee editar las funciones.
3
Busque la función Directiva de DLP Prevent y haga clic en Editar.
4
Seleccione Ningún permiso y haga clic en Guardar.
Permitir que los usuarios editen la directiva Configure la función para que permitir que los usuarios vean y cambien la configuración de directivas y tareas. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Conjuntos de permisos en la sección Administración de usuarios del menú.
2
Seleccione el conjunto de permisos para el cual desee editar las funciones.
3
Busque la función Directiva de DLP Prevent y haga clic en Editar.
4
Seleccione Ver y modificar la configuración de directivas y tareas y haga clic en Guardar.
Control de acceso a las funciones de Administración de appliances Para McAfee DLP Prevent, puede aplicar dos funciones a las funciones de Administración de appliances. •
Directiva común de Administración de Appliances: Controla quién puede ver o cambiar la directiva de Ajustes generales de administración de appliances en el Catálogo de directivas.
•
Administración de appliances: Controla quién puede ver las estadísticas y tareas de la administración de appliances y quién puede crear y ejecutar las tareas de la base de datos.
Para obtener más información sobre los permisos para las funciones de Administración de appliances, consulte los temas de la Extensión de ayuda de la administración de appliances.
Permitir que los usuarios vean las estadísticas de Administración de appliances Permita que los usuarios de un conjunto de permisos seleccionado vean el estado y las estadísticas del sistema en el panel Administración de appliances.
McAfee Data Loss Prevention 10.0.100
Guía del producto
79
4
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, abra el menú y seleccione Conjuntos de permisos en la sección Administración de usuarios.
2
Seleccione el conjunto de permisos para el cual desee editar las funciones.
3
Seleccione la función Administración de appliances y haga clic en Editar.
4
En Estado y estadísticas del appliance, seleccione Ver estado y estadísticas y haga clic en Guardar.
Restricción de la visualización de la configuración de Ajustes generales de administración de appliances por parte de los usuarios La configuración de directiva de Ajustes generales de administración de appliances permite que los usuarios definan la fecha y la hora del appliance, agreguen servidores DNS y rutas estáticas, permitan el inicio de sesión remoto mediante SSH y agreguen uno o más servidores de registro remoto. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, abra el menú y seleccione Conjuntos de permisos.
2
Seleccione el conjunto de permisos para el cual desee editar las funciones.
3
Haga clic en Editar junto a la Directiva común de Administración de Appliances.
4
Seleccione Ningún permiso y haga clic en Guardar.
Uso de las directivas de McAfee DLP Prevent La configuración de las directivas está disponible en el Catálogo de directivas:
Servidor de DLP Prevent •
Utilice la categoría Configuración de correo electrónico para definir los Hosts inteligentes, los hosts permitidos y las opciones de configuración de Transport Layer Security (TLS).
•
Utilice la categoría General para especificar la configuración del tiempo de espera de conexión y proteger el appliance frente a ataques de denegación de servicio.
•
Utilice la categoría Usuarios y grupos para seleccionar un servidor LDAP desde el que obtener información de usuario y configurar McAfee Logon Collector.
Data Loss Prevention Edite las opciones de configuración del Servicio de copia de pruebas en la categoría de directiva Configuración del servidor de McAfee Data Loss Prevention para trabajar con McAfee DLP Prevent. Las siguientes opciones de la sección Servicio de copia de pruebas de la categoría de directiva Configuración del servidor no se aplican a McAfee DLP Prevent.
80
•
El espacio libre en el disco duro debe ser superior a (MB):
•
Ancho de banda de transmisión de pruebas máximo (kBps)
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
4
Ajustes generales de administración de appliances Edite la categoría General para: •
Especificar la configuración del DNS.
•
Configurar servidores de registro remoto.
•
Editar la fecha y la hora del appliance.
•
Permitir la supervisión y alertas de SNMP.
•
Agregar ajustes de enrutamiento estático.
Para obtener más información sobre la configuración de la directiva Ajustes generales del appliance , consulte los temas de la Extensión de ayuda de la administración de appliances.
Establecer la configuración del tiempo de espera de conexión Cambie el número de segundos durante los cuales McAfee DLP Prevent intentará conectarse con un MTA. De forma predeterminada, McAfee DLP Prevent intenta conectarse durante veinte segundos. Si en ese tiempo es imposible establecer la conexión, existe un problema con la red o con el MTA que debería investigarse. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría General y abra la directiva que desee editar.
3
En Conexión en curso, escriba el número de segundos que McAfee DLP Prevent puede dedicar a intentar conectarse a un MTA.
4
Haga clic en Guardar.
Especifique un nivel máximo de anidación de datos adjuntos archivados Para proteger el appliance frente a ataques de denegación de servicio, establezca el nivel máximo de anidación de datos adjuntos archivados que McAfee DLP Prevent intente analizar antes de que se agote el tiempo. Un ejemplo de archivo adjunto anidado es un archivo .zip dentro de otro archivo zip.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría General y abra la directiva que desee editar.
3
En Nivel máximo de anidamiento, establezca el nivel máximo de anidamiento de datos adjuntos archivados.
4
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
81
4
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
Agregar MTA adicionales que puedan entregar el correo electrónico McAfee DLP Prevent entrega mensajes de correo electrónico mediante el Host inteligente configurado. Además del Host inteligente, puede agregar más MTA a los que McAfee DLP Prevent puede entregar mensajes de correo electrónico. Antes de empezar Asegúrese de que tiene las direcciones IP o nombres de los Hosts inteligentes. McAfee DLP Prevent puede aceptar mensajes de correo electrónico de más de un MTA, pero reenvía los mensajes de correo electrónico inspeccionados únicamente a uno de los Hosts inteligentes configurados. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la directiva que desee editar.
3
Agregue los detalles de los MTA que desee utilizar.
4
Haga clic en Actualizar.
5
Haga clic en Guardar.
Entregar correos electrónicos mediante un enfoque de operación por turnos Configurar McAfee DLP Prevent para entregar a varios servidores de correo electrónico mediante la distribución de los mensajes de correo electrónico entre ellos. Antes de empezar Asegúrese de que tiene las direcciones IP o nombres de los Hosts inteligentes.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda.
82
1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la directiva que desee editar.
3
Seleccione la casilla de verificación Turnos y añada los detalles de los agentes de transferencia de mensajes (MTA) que desee utilizar.
4
Haga clic en Actualizar.
5
Haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
Limitar las conexiones a las redes o los sistemas host especificados De forma predeterminada, McAfee DLP Prevent acepta mensajes procedentes de cualquier host. Especifique los hosts que pueden enviar mensajes a McAfee DLP Prevent para que solo los MTA de origen legítimos puedan retransmitir correos electrónicos a través del appliance. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la directiva que desee editar.
3
Seleccione Aceptar solo correo de estos hosts.
4
Escriba los detalles de un host desde el que el appliance de McAfee DLP Prevent pueda recibir mensajes. Agregue la información del host mediante su dirección IP y subred, nombres de dominio o nombre de dominio con caracteres comodín.
5
Haga clic en Actualizar para agregar los detalles a la lista de hosts permitidos. Puede crear grupos de hosts de retransmisión mediante subredes o dominios con caracteres comodín. Para agregar más de una subred, debe crear entradas independientes para cada una.
Activar TLS en los mensajes entrantes o salientes Puede especificar si McAfee DLP Prevent utiliza TLS para proteger en todo momento los mensajes entrantes y salientes o si solo lo utiliza cuando está disponible (conocido como Oportunista). TLS funciona mediante la comunicación con un conjunto de parámetros, conocido como negociación inicial, al comienzo de una conexión entre los servidores participantes. Cuando se definen estos parámetros, las comunicaciones entre los servidores se convierten en seguras, por lo que no pueden ser descodificadas por servidores que no hayan participado en la negociación inicial. El proceso de negociación inicial •
El appliance solicita una conexión segura al servidor de correo electrónico receptor y le presenta una lista de suites de cifrado.
•
El servidor receptor selecciona el cifrado admitido más potente de la lista y proporciona los detalles para el appliance.
•
Los servidores utilizan la infraestructura de clave pública (PKI) para establecer la autenticidad mediante el intercambio de certificados digitales.
•
Al usar la clave pública del servidor, el appliance genera un número aleatorio como clave de sesión y lo envía al servidor de correo electrónico receptor. El servidor receptor descifra la clave mediante la clave privada.
•
Tanto el appliance como el servidor de correo electrónico receptor utilizan la clave cifrada para establecer la comunicación y completar el proceso de negociación inicial.
McAfee Data Loss Prevention 10.0.100
Guía del producto
83
4
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
Una vez finalizada la negociación inicial, la conexión segura se utiliza para transferir los mensajes de correo electrónico. La conexión sigue siendo segura hasta que se cierra la conexión. Si selecciona la opción Siempre para las comunicaciones salientes, pero el Host inteligente no está configurado para usar TLS, McAfee DLP Prevent envía un error 550 x.x.x.x: Denegado por la directiva. Conversación TLS requerida.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría Configuración de correo electrónico y abra la directiva que desee editar.
3
En Transport Layer Security, seleccione Siempre, Nunca u Oportunista para comunicaciones entrantes. Oportunista es la configuración predeterminada.
4
Seleccione Siempre, Nunca u Oportunista para las comunicaciones salientes. Oportunista es la configuración predeterminada.
5
Haga clic en Guardar.
Uso de servidores de autenticación externos McAfee DLP Prevent puede funcionar con servidores LDAP registrados y con McAfee Logon Collector. Recupera información de usuario y datos de inicio de sesión para ayudar a identificar a los usuarios responsables de incidentes de fuga de datos mediante su nombre, grupo, departamento, ciudad o país. McAfee DLP Prevent puede: •
Obtener información de los servidores de Active Directory y de los servidores de directorio OpenLDAP que están registrados con McAfee ePO.
•
Comunicarse con un servidor LDAP registrado mediante SSL.
•
Actuar en las reglas de protección del correo electrónico y protección web que se aplican a usuarios y grupos específicos.
•
Conectarse a los puertos del Catálogo global en lugar de a los puertos LDAP estándar para recuperar información sobre usuarios y grupos al consultar Active Directory.
•
Incluir información del usuario en los incidentes para que pueda ver todos los incidentes generados por un usuario, independientemente del producto de McAfee DLP que los haya detectado.
McAfee Logon Collector registra los eventos de inicio de sesión de usuarios de Windows y comunica la información a McAfee DLP Prevent. McAfee DLP Prevent puede asignar una dirección IP a un nombre de usuario de Windows si no hay más información de autenticación disponible.
¿Qué sucede si el servidor LDAP no está disponible? McAfee DLP Prevent almacena la información LDAP en caché. La caché se actualiza cada 24 horas, por lo que la no disponibilidad temporal del servidor LDAP no afecta a la disponibilidad del servicio de McAfee DLP Prevent. Si se produce un error en la actualización de la caché, McAfee DLP Prevent utiliza la caché anterior. Si la caché anterior no está disponible, realiza una búsqueda LDAP para obtener la información.
84
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
4
En caso de que McAfee DLP Prevent necesite información de grupos LDAP para evaluar las reglas para una solicitud o un mensaje y LDAP no esté configurado o el servidor no esté disponible: •
Para tráfico SMTP: se devuelve un código de error temporal (451), de forma que el mensaje se pone en cola en el servidor de envío y se produce un reintento.
•
Para tráfico ICAP: se devuelve un código 500 de estado ICAP, el cual indica que el servidor ha encontrado un error y no ha podido analizar la solicitud. Puede configurar su gateway web para que se abra o se cierre en caso de recibir un error del servidor de McAfee DLP Prevent.
Servidores OpenLDAP y Active Directory •
OpenLDAP y Active Directory producen esquemas de usuario distintos. Active Directory dispone de un conjunto de parámetros restringido, mientras que OpenLDAP es personalizable.
•
Los servidores de OpenLDAP y Active Directory identifican a los usuarios mediante distintos métodos de identificación. Active Directory utiliza sAMAccountName, mientras que OpenLDAP utiliza UID. Las consultas LDAP para sAMAccountName se controlan mediante la propiedad UID en los sistemas OpenLDAP.
•
Los servidores OpenLDAP y Active Directory también identifican clases de usuario mediante distintos atributos de usuario. En lugar de clases de objetos de usuario, OpenLDAP utiliza inetOrgPerson, que no admite atributos de país o memberOf.
Autenticación de protección web adicional Al aplicar reglas de protección web, McAfee DLP Prevent puede obtener información de usuario de: •
Encabezado de solicitud de ICAP X-Authenticated-User enviado desde la gateway web.
•
McAfee Logon Collector
Si se indica un nombre de usuario en el encabezado de ICAP X-Authenticated-User, este se utiliza con preferencia a los datos de McAfee Logon Collector. Práctica recomendada: Se recomienda utilizar el encabezado X-Authenticated-User como método de autenticación porque indica que la gateway web ha autenticado al usuario final de forma positiva. Para configurarlo, debe realizar varias configuraciones adicionales en la gateway web. Para obtener más información, vea la documentación de producto de su gateway web.
Si el encabezado X-Authenticated-User no está disponible, puede configurar McAfee Logon Collector para que ofrezca autenticación adicional. McAfee Logon Collector es otro producto de McAfee que supervisa los eventos de inicio de sesión de Windows y asigna una dirección IP a un identificador de seguridad (SID). Para utilizar McAfee Logon Collector, debe tener al menos un servidor LDAP configurado: McAfee DLP Prevent puede consultar a este servidor para convertir un SID en un nombre de usuario. Al aplicar reglas de protección web, McAfee DLP Prevent evalúa la información de grupo a partir de la información de usuario. Ignora cualquier valor del encabezado X-Authenticated-Groups de la gateway web. Para obtener información de usuarios o grupos al aplicar reglas de protección web, debe tener al menos un servidor LDAP configurado. McAfee DLP Prevent consulta a los servidores LDAP para obtener los atributos requeridos. Por ejemplo, para McAfee Logon Collector, McAfee DLP Prevent utiliza el servidor LDAP para convertir el SID en un DN de usuario.
Esquemas de autenticación admitidos McAfee DLP Prevent admite los esquemas de autenticación LDAP y NTLM para procesar el encabezado X-Authenticated-User desde la gateway web.
McAfee Data Loss Prevention 10.0.100
Guía del producto
85
4
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
Con NTLM, McAfee DLP Prevent espera que el formato del encabezado X-Authenticated-User sea NTLM:// para Active Directory. No se admite NTLM con OpenLDAP.
Con LDAP, McAfee DLP Prevent espera que el formato del encabezado X-Authenticated-User sea LDAP:// para Active Directory y OpenLDAP. McAfee DLP Prevent utiliza el atributo LDAP distinguishedName para recuperar los detalles de usuario para las reglas de protección web. Compruebe que su servidor LDAP expone este atributo para asegurarse de que el esquema de autenticación LDAP funciona correctamente.
Caso práctico Quiere configurar una regla de protección web que bloquee las cargas de datos PCI para todos los usuarios de un departamento excepto uno. 1
Registre un servidor de Active Directory con McAfee ePO que contenga la cuenta de usuario del empleado del que sospecha.
2
Configure McAfee Logon Collector.
3
Cree una regla de protección web que busque solicitudes web de usuarios en el grupo NOMBRE DEL GRUPO coincidentes con una clasificación.
4
Cree una excepción para el usuario NOMBRE DE USUARIO.
5
Defina la reacción como Bloquear.
6
Compruebe en el Administrador de incidentes de DLP si hay incidentes enviados por el usuario que contengan el nombre de componente.
Recuperar información de los servidores LDAP registrados McAfee DLP Prevent puede obtener información de usuarios y grupos de servidores LDAP registrados con McAfee ePO. Seleccione los servidores LDAP registrados de los que desee que los appliances de McAfee DLP Prevent obtengan información. Antes de empezar Se han registrado los servidores LDAP con McAfee ePO. Para obtener más información sobre el registro de servidores LDAP con McAfee ePO, consulte la Guía de producto de McAfee ePolicy Orchestrator. Los detalles de los usuarios y grupos se utilizan al evaluar la información del Remitente en una regla de Protección de correo electrónico. McAfee DLP Prevent puede: •
Conectarse a los servidores OpenLDAP y Active Directory.
•
Comunicarse con un servidor LDAP registrado mediante SSL.
•
Conectarse a los puertos del Catálogo global en lugar de a los puertos LDAP estándar para recuperar información sobre usuarios y grupos al consultar Active Directory. Si ha configurado Active Directory para utilizar los puertos del Catálogo global, asegúrese de que al menos uno de estos atributos se replique en el servidor del Catálogo global desde los dominios del bosque:
86
•
proxyAddresses
•
mail
McAfee Data Loss Prevention 10.0.100
Guía del producto
4
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
Si McAfee DLP Prevent necesita utilizar la autenticación NTLM para el tráfico ICAP, también deberán replicarse los siguientes atributos de LDAP: •
configurationNamingContext
•
netbiosname
•
msDS-PrincipalName Los mensajes se rechazan temporalmente con un código de estado 451 cuando se cumplen estas dos condiciones:
•
McAfee DLP Prevent utiliza reglas que especifican que el remitente es un miembro de un determinado grupo de usuarios LDAP.
•
McAfee DLP Prevent no está configurado para recibir información del servidor LDAP que contiene ese grupo de usuarios.
Los eventos se envían al informe Eventos de clientes si se produce un error de sincronización con el servidor LDAP o de una consulta LDAP.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione el producto Servidor de DLP Prevent, elija la categoría Usuarios y grupos y abra la directiva que desee editar.
3
En Servidores LDAP, seleccione los servidores LDAP que desee utilizar.
4
Haga clic en Guardar.
Agregar un certificado y un servidor de Logon Collector en McAfee DLP Prevent Agregue un certificado de McAfee Logon Collector en McAfee DLP Prevent y agregue un certificado de McAfee Data Loss Prevention Prevent en McAfee Logon Collector. Antes de empezar Al menos un servidor de McAfee Logon Collector debe estar configurado. Para obtener más información, consulte la Guía de administración de McAfee Logon Collector.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
Para descargar el certificado del appliance de McAfee DLP Prevent, vaya a https://: 10443/certificados y, a continuación seleccione [host.dominio.crt]
2
En McAfee Logon Collector, seleccione Menú | CA de confianza | Nueva autoridad | Elegir archivo, seleccione el certificado que se ha descargado y haga clic en Guardar.
3
En McAfee ePO, abra el Catálogo de directivas.
4
Seleccione el producto Servidor de DLP Prevent, elija la categoría Usuarios y grupos y abra la directiva que desee editar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
87
4
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
5
6
Agregue los detalles del servidor de McAfee Logon Collector en McAfee DLP Prevent. a
En la sección de McAfee Logon Collector, seleccione Identificar a los usuarios que realizan solicitudes web.
b
Haga clic en + para abrir el cuadro de diálogo Agregar.
c
Introduzca la dirección IPv4 o un nombre de host de un servidor de McAfee Logon Collector al que desee conectarse.
d
Edite el puerto de McAfee Logon Collector en caso de que sea necesario.
Obtenga el texto del certificado de McAfee Logon Collector. a
En McAfee Logon Collector, seleccione Menú | Configuración del servidor.
b
Haga clic en Certificado de duplicación de identidad.
c
Seleccione el texto del certificado en el campo Base 64 y cópielo en el Portapapeles o en un archivo.
7
Vuelva al cuadro de diálogo Agregar y seleccione Importar desde archivo o Pegar desde el Portapapeles para agregar el texto del certificado.
8
Haga clic en Aceptar para completar la autenticación de McAfee Logon Collector. [Opcional] Agregue más servidores de McAfee Logon Collector. El servidor de McAfee Logon Collector se agrega a la lista de servidores.
Directiva de Ajustes generales de administración de appliances La categoría de directivas Ajustes generales de administración de appliances se instala como parte de la extensión de administración de appliances. Los ajustes generales se aplican a appliances nuevos o en los que se ha restablecido la imagen inicial. •
Información sobre fecha y hora, y zona horaria
•
Listas de servidores DNS
•
Información de enrutamiento estático
•
Configuración de inicio de sesión remoto de Secure Shell (SSH)
•
Configuración de registro remoto
•
Supervisión y alertas de SNMP
En la Ayuda de administración de appliances, se encuentra disponible información acerca de estas opciones.
Editar la directiva de Email Gateway para trabajar con McAfee DLP Prevent Para redireccionar el correo electrónico desde el appliance de Email Gateway a McAfee DLP Prevent para su análisis y emprender acciones sobre los posibles incidentes de fuga de datos, edite la directiva de configuración de Email Gateway. Para configurar McAfee DLP Prevent para enviar mensajes de correo electrónico a la puerta de enlace de correo electrónico para que puedan ser procesados, edite la directiva Configuración de correo electrónico.
88
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
4
Caso práctico: Configurar Email Gateway para procesar los resultados del análisis Configure la directiva de configuración de correo electrónico para realizar acciones ante posibles incidentes de fuga de datos. Antes de empezar Configure y ejecute un appliance de Email Gateway administrado por McAfee ePO.
Procedimiento En este ejemplo, se supone que McAfee DLP Prevent ha detectado un posible incidente de fuga de datos enviado en un mensaje de correo electrónico desde un appliance de Email Gateway. También se supone que desea bloquear la salida del correo electrónico de su organización e informar al remitente de la acción realizada. Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione McAfee Email Gateway desde la lista Productos y seleccione la directiva de configuración de correo electrónico.
3
Seleccione Agregar directiva y haga clic en Agregar regla. a
En Tipo de regla, seleccione Encabezado de correo electrónico.
b
En Nombre de encabezado, seleccione X-RCIS-Action.
c
En el campo Valor, seleccione ^BLOCK$.
d
Haga clic en Aceptar y, a continuación, Aceptar otra vez.
4
En Opciones de directivas, seleccione Acción basada en directivas.
5
Seleccione Aceptar y soltar los datos y, a continuación, seleccione Enviar uno o más correos electrónicos de notificación.
6
Haga clic en Entregar un correo electrónico de notificación al remitente y en Aceptar.
7
Guarde la directiva.
Redirigir el correo electrónico a McAfee DLP Prevent Redirija el correo electrónico de Email Gateway a McAfee DLP Prevent para su análisis. Antes de empezar Deje que McAfee ePO gestione un appliance de Email Gateway o un appliance virtual.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, abra el Catálogo de directivas.
2
Seleccione McAfee Email Gateway en la lista de Productos y seleccione la categoría de configuración de correo electrónico.
McAfee Data Loss Prevention 10.0.100
Guía del producto
89
4
Configuración de los componentes del sistema Uso de las directivas de McAfee DLP Prevent
3
Haga clic en Agregar directiva y en Agregar regla. a
En Tipo de regla, seleccione Encabezado de correo electrónico.
b
En Nombre de encabezado, seleccione X-MFE-Encrypt y defina la Coincidencia como "no está presente".
c
Haga clic en Aceptar y en Aceptar de nuevo.
4
En Opciones de directivas, seleccione Acción basada en directivas.
5
Seleccione Ruta a una retransmisión alternativa.
6
Seleccione la retransmisión para el servidor de McAfee DLP Prevent y haga clic en Aceptar. Consulte la Ayuda en línea de McAfee ePO para obtener información sobre las retransmisiones.
7
Guarde la directiva.
Integrar McAfee DLP Prevent en un entorno web McAfee DLP Prevent trabaja con el proxy web para proteger el tráfico web. McAfee DLP Prevent utiliza ICAP o ICAPS (ICAP a través de TLS) para procesar el tráfico web, que utiliza estos puertos: •
ICAP: 1344
•
ICAPS: 11344
Utilice estos pasos de alto nivel para configurar el entorno y obtener protección web. 1
Configure los clientes de endpoint para enviar el tráfico web para el proxy web.
2
Configure el proxy web para reenviar el tráfico HTTP a McAfee DLP Prevent a través de ICAP.
3
Configurar la directiva de McAfee DLP Prevent para especificar la acción que se desea realizar en función del contenido del tráfico. Ejemplo: Configurar una regla para permitir o bloquear el tráfico de determinados usuarios que contenga números de tarjetas de crédito.
Después de que McAfee DLP Prevent analice el tráfico, realiza una de estas acciones: •
Permite el tráfico e informa al proxy web.
•
Se deniega el tráfico y muestra una página de bloqueo al usuario.
Véase también Protección del tráfico web en la página 20 Caso práctico: Permiso para que un grupo de usuarios específico envíe información de crédito en la página 173
Integrar con Web Gateway Configurar Web Gateway para reenviar el tráfico ICAP a McAfee DLP Prevent para su análisis. McAfee DLP Prevent devuelve una respuesta a Web Gateway para permitir o denegar la página.
90
McAfee Data Loss Prevention 10.0.100
Guía del producto
Configuración de los componentes del sistema Funciones de McAfee ePO
4
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En Web Gateway, seleccione Directiva y, a continuación, haga clic en la ficha Configuración.
2
Siga estos pasos para crear al cliente ICAP REQMOD.
3
4
5
6
a
Haga clic con el botón derecho en Cliente ICAP y, a continuación, haga clic en Agregar.
b
Introduzca un nombre como, por ejemplo, ICAP-REQMOD-Client.
c
En el panel Configuración de, seleccione Cliente ICAP.
d
En el panel Servicio ICAP, haga clic en Agregar.
e
Introduzca un nombre y, a continuación, haga clic en Aceptar y editar.
f
Haga clic en el signo más de color verde (Agregar servidor ICAP) y, a continuación, escriba la dirección IP y el puerto del appliance de McAfee DLP Prevent.
g
Haga clic en Aceptar tres veces.
Agregue el conjunto de reglas. a
Haga clic en la ficha Conjuntos de reglas.
b
Seleccione Agregar | Conjunto de reglas de la biblioteca.
c
Seleccione el conjunto de reglas Cliente ICAP y, a continuación, haga clic en Aceptar.
Edite la configuración de REQMOD. a
En la ficha Conjuntos de reglas expanda el conjunto de reglas Cliente ICAP y seleccione ReqMod.
b
Seleccione Llamar al servidor de ReqMod y, a continuación, haga clic en Editar.
c
Seleccione el paso Criterios de la regla.
d
Seleccione Si se encuentran coincidencias con los siguientes criterios.
e
Seleccione la entrada de los criterios y haga clic en Editar.
f
Desde la lista desplegable Configuración, seleccione el cliente ICAP REQMOD que ha creado.
g
Haga clic en Aceptar y, a continuación, haga clic en Finalizar.
Active la regla. a
En la ficha Conjuntos de reglas, seleccione la regla Cliente ICAP.
b
Seleccione Activar.
Haga clic en Guardar cambios.
Funciones de McAfee ePO McAfee DLP utiliza las siguientes funciones de McAfee ePO. Debe disponer de los permisos apropiados para acceder a la mayoría de funciones.
McAfee Data Loss Prevention 10.0.100
Guía del producto
91
4
Configuración de los componentes del sistema Funciones de McAfee ePO
Función de McAfee Elementos agregados ePO Acciones
Acciones que puede realizar desde el Árbol de sistemas o utilizar para personalizar las respuestas automáticas.
Tareas cliente
Tareas cliente que puede usar para automatizar la administración y el mantenimiento en los sistemas cliente.
Paneles
Paneles y monitores que puede usar para realizar un seguimiento de su entorno.
Eventos y respuestas
• Eventos para los que se pueden configurar respuestas automáticas.
Propiedades de sistema gestionado
Propiedades que puede revisar en el Árbol de sistemas o utilizar para personalizar las consultas.
Conjuntos de permisos
• Conjuntos de permisos.
Directivas
Categorías de directiva Directiva de DLP, Configuración del cliente Windows y Configuración del cliente Mac OS para McAfee DLP Endpoint y Configuración del servidor para McAfee DLP Discover en el grupo de productos Data Loss Prevention 10.
• Grupos de evento y tipos de evento que puede usar para personalizar las respuestas automáticas.
• Categoría de permisos de Data Loss Prevention disponible en todos los conjuntos de permisos existentes.
Consultas e informes • Consultas predeterminadas que puede usar para ejecutar informes. • Grupos de propiedades personalizados basados en propiedades de sistemas gestionados que puede usar para crear sus propios informes y consultas. Tareas servidor
Se utiliza para las tareas de Administrador de incidentes de DLP y Operaciones de DLP.
Protección de datos
Se utiliza para configurar, gestionar y supervisar McAfee DLP.
Help Desk
Se utiliza para emitir claves de desafío/respuesta para desinstalar aplicaciones protegidas, liberar archivos de la cuarentena y omitir directivas de seguridad temporalmente cuando hay una necesidad empresarial legítima.
Si desea obtener información adicional acerca de estas funciones, consulte la documentación de McAfee ePO.
92
McAfee Data Loss Prevention 10.0.100
Guía del producto
5
Protección de medios extraíbles
®
McAfee Device Control protege a las empresas de los riesgos asociados con la transferencia no autorizada de contenido de carácter confidencial siempre que se utilizan dispositivos de almacenamiento. Device Control puede supervisar o bloquear dispositivos conectados a equipos gestionados por la empresa, lo que le permite controlar su uso en lo que respecta a la distribución de información confidencial. Teléfonos inteligentes, dispositivos de almacenamiento extraíbles, dispositivos Bluetooth, reproductores de MP3 o dispositivos Plug and Play: todos se pueden controlar. McAfee Device Control es un componente de McAfee DLP Endpoint que se vende por separado. Aunque se utilice el término "Device Control" en esta sección, todas las funciones y descripciones también están disponibles en McAfee DLP Endpoint. La implementación de las reglas de Device Control en los equipos Microsoft Windows y OS X es parecida, pero no idéntica. En la siguiente tabla, se exponen algunas de las diferencias. Tabla 5-1 Terminología de Device Control Término
Sistemas operativos
Definición
Clase de dispositivo
Windows
Grupo de dispositivos que tienen características parecidas y que se pueden gestionar de un modo similar. Las clases de dispositivo tienen los estados Gestionada, No gestionada o En lista blanca.
Definición del dispositivo
Windows y Mac OS Lista de propiedades de dispositivo que se emplea X para identificar o agrupar dispositivos.
Propiedad del dispositivo
Windows y Mac OS Propiedad, como tipo de bus, ID de proveedor o ID X de producto, que se puede usar para definir un dispositivo.
Regla de dispositivo
Windows y Mac OS Determina la acción que se debe llevar a cabo X cuando un usuario intenta utilizar un dispositivo cuya definición coincide con la de la directiva. La regla se aplica al hardware y afecta tanto al controlador del dispositivo como al sistema de archivos. Las reglas de dispositivos se pueden asignar a usuarios finales concretos.
Dispositivo gestionado
Windows
Estado de clase de dispositivo que indica que los dispositivos incluidos en ella los gestiona Device Control.
Regla para dispositivos Windows y Mac OS Sirve para bloquear o supervisar un dispositivo, o de almacenamiento X configurarlo como de solo lectura. extraíbles Regla de protección de almacenamiento extraíble
McAfee Data Loss Prevention 10.0.100
Windows y Mac OS Determina la acción que se debe llevar a cabo X cuando un usuario intenta copiar contenido establecido como confidencial en un dispositivo gestionado.
Guía del producto
93
5
Protección de medios extraíbles Protección de dispositivos
Tabla 5-1 Terminología de Device Control (continuación) Término
Sistemas operativos
Definición
Dispositivo no gestionado
Windows
Estado de clase de dispositivo que indica que los dispositivos incluidos en ella no los gestiona Device Control.
Dispositivo en lista blanca
Windows
Estado de clase de dispositivo que indica que los dispositivos incluidos en ella no los puede gestionar Device Control, ya que intentar gestionarlos puede afectar al equipo gestionado, al mantenimiento del sistema o a la eficiencia.
Contenido Protección de dispositivos Gestión de dispositivos con clases de dispositivos Definir una clase de dispositivo Organización de dispositivos con definiciones de dispositivos Propiedades del dispositivo Reglas de control de dispositivos Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles
Protección de dispositivos Las unidades USB, los pequeños discos duros externos, los smartphones y demás dispositivos extraíbles sirven para eliminar de la empresa datos de carácter confidencial. Las unidades USB son un método sencillo, barato y apenas rastreable a la hora de descargar grandes cantidades de datos. A menudo, se consideran el "arma preferida" para las transferencias de datos no autorizadas. El software de Device Control supervisa y controla las unidades USB y demás dispositivos externos, incluidos smartphones, dispositivos Bluetooth, dispositivos Plug and Play, reproductores de audio y discos duros que no pertenecen al sistema. Device Control se ejecuta en la mayoría de los sistemas operativos Windows y OS X, incluidos los servidores. Consulte la página de requisitos del sistema de esta guía para obtener más información. La protección de McAfee Device Control se construye en tres capas: •
Clases de dispositivos: Recopilaciones de dispositivos que cuentan con características parecidas y que se pueden gestionar de un modo similar. Las clases de dispositivo son solo pertinentes para las definiciones y reglas de dispositivos Plug and Play, y no para los sistemas operativos OS X.
•
Definiciones de dispositivos: Identificación y agrupación de dispositivos en función de las propiedades que tienen en común.
•
Reglas para dispositivos: Control del comportamiento de los dispositivos.
Una regla de dispositivos se compone de una lista de las definiciones de dispositivos incluidas o excluidas de la regla, y la acción realizada cuando el uso del dispositivo activa la regla. Además, puede especificar los usuarios finales incluidos o excluidos de la regla. De forma opcional, pueden incluir una definición de aplicaciones para filtrar la regla conforme al origen del contenido de carácter confidencial.
94
McAfee Data Loss Prevention 10.0.100
Guía del producto
Protección de medios extraíbles Gestión de dispositivos con clases de dispositivos
5
Reglas de protección de almacenamiento extraíble Además de las reglas para dispositivos, Device Control incluye un tipo de regla de protección de datos. Las reglas de protección de almacenamiento extraíble incluyen una o más clasificaciones para definir el contenido de carácter confidencial que activa la regla. De forma opcional, pueden incluir una definición de aplicaciones o URL de navegador Web, así como incluir o excluir a usuarios finales. No se pueden utilizar URL de navegadores web en McAfee DLP Endpoint for Mac.
Gestión de dispositivos con clases de dispositivos La Clase de dispositivos es una recopilación de dispositivos que tienen características parecidas y que se pueden gestionar de modo similar. Las clases de dispositivo asignan un nombre e identifican los dispositivos utilizados por el sistema. Cada definición de clase de dispositivo incluye un nombre, y uno o varios identificadores únicos globales (GUID). Por ejemplo, Intel® PRO/1000 PL Network Connection y Dell wireless 1490 Dual Band WLAN Mini-Card son dos dispositivos que pertenecen a la clase Adaptador de red. Las clases de dispositivos no se aplican a los dispositivos OS X.
Organización de las clases de dispositivo El Administrador de directivas de DLP muestra las clases de dispositivos (integradas) predefinidas dentro de la ficha Definiciones de Control de dispositivos. Las clases de dispositivos se clasifican por estado: •
Los dispositivos de tipo Gestionado son dispositivos Plug and Play específicos o de almacenamiento extraíbles gestionados por McAfee DLP Endpoint.
•
Los dispositivos de tipo No gestionado no los gestiona Device Control según la configuración predeterminada.
•
Los dispositivos de tipo En lista blanca son dispositivos que Device Control no trata de controlar, como los procesadores o los dispositivos de baterías.
Para evitar que el sistema operativo o el sistema en sí funcionen indebidamente, las clases de dispositivo no pueden editarse, pero sí duplicarse y cambiarse para añadir a la lista clases definidas por el usuario. Práctica recomendada: No agregue una clase de dispositivo a la lista sin probar qué consecuencias puede tener. En el Catálogo de directivas, use la ficha Directiva de DLP | Clases de dispositivos | Configuración para crear anulaciones temporales de estados de clases de dispositivos y de la configuración del tipo de filtro.
Las anulaciones se pueden utilizar para probar los cambios definidos por el usuario antes de crear una clase definitiva, así como para solucionar problemas relacionados con el control de dispositivos. Device Control emplea definiciones de dispositivos y reglas de control de dispositivos Plug and Play para supervisar el comportamiento de las clases de dispositivo gestionados y dispositivos concretos pertenecientes a una clase de dispositivo gestionado. Por otra parte, las reglas para dispositivos de almacenamiento extraíbles no requieren una clase de dispositivo gestionado. El motivo tiene que ver con que los dos tipos de reglas de dispositivos emplean las clases de dispositivo de manera diferente:
McAfee Data Loss Prevention 10.0.100
Guía del producto
95
5
Protección de medios extraíbles Definir una clase de dispositivo
•
Las reglas para dispositivos Plug and Play se activan en el momento en que el dispositivo de hardware se conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es necesario que la clase de dispositivo sea gestionado para reconocerlo.
•
Las reglas de dispositivos de almacenamiento extraíbles se activan al montar un nuevo sistema de archivos. Cuando esto sucede, el cliente de Device Control asocia la letra de la unidad con el dispositivo de hardware concreto y comprueba las propiedades del dispositivo. Debido a que la reacción se debe al funcionamiento de un sistema de archivos (es decir, se produce al montarlo), no es necesario gestionar la clase de dispositivo.
Véase también Crear una clase de dispositivos en la página 97
Definir una clase de dispositivo Si en la lista predefinida no existe una clase de dispositivo adecuada o si no se crea automáticamente al instalar hardware nuevo, puede crear una nueva clase de dispositivo en la consola del administrador de directivas de McAfee DLP Endpoint.
Obtención de un GUID Las definiciones de la clase de dispositivos requieren un nombre y uno o varios identificadores únicos globales (GUID). Algunos dispositivos de hardware instalan su propia clase de dispositivos nueva. Para controlar el comportamiento de los dispositivos de hardware Plug and Play que definen su propia clase de dispositivos, primero debe agregar una nueva clase de dispositivos en el estado Gestionado en la lista Clases de dispositivos. La clase de dispositivos se define con dos propiedades: un nombre y un GUID. El nombre del nuevo dispositivo se muestra en el administrador de dispositivos, pero el GUID solo se muestra en el registro de Windows y no es fácil obtenerlo. Con el fin de facilitar la recuperación de los GUID y nombres de los nuevos dispositivos, el cliente de Device Control informa del evento Nueva clase de dispositivos encontrada al Administrador de incidentes de DLP cuando un dispositivo de hardware que no pertenece a una clase de dispositivos reconocida se conecta al equipo host. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP | Lista de incidentes.
2
Haga clic en Editar junto a la lista desplegable Filtro para editar los criterios de filtrado.
3
En la lista Propiedades disponibles (panel izquierdo), seleccione Tipo de incidente.
4
Compruebe que el valor de la lista desplegable Comparación sea Igual a.
5
En la lista desplegable Valores, seleccione Se ha encontrado una clase nueva de dispositivo.
6
Haga clic en Actualizar filtro. En la Lista de incidentes aparecen las nuevas clases de dispositivos encontradas en todos los equipos Endpoint.
7
96
Para ver el nombre y el GUID de un dispositivo determinado, haga doble clic en el elemento para mostrar los detalles del incidente.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Protección de medios extraíbles Organización de dispositivos con definiciones de dispositivos
5
Crear una clase de dispositivos Cree una clase de dispositivos si no existe una clase de dispositivos adecuada en la lista predefinida o si no se ha creado automáticamente al instalar el nuevo hardware. Antes de empezar Obtenga el identificador único global (GUID) del dispositivo antes de empezar la tarea.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Control de dispositivos | Clase de dispositivos.
3
Siga uno de estos procedimientos: •
Seleccione Acciones | Nuevo.
•
Busque una clase de dispositivo similar en la lista de clases de dispositivo integrada y haga clic en la opción Duplicar de la columna Acciones. Haga clic en Editar en la clase de dispositivo duplicada.
4
Introduzca un Nombre único y, si lo desea, una Descripción.
5
Compruebe el Estado y el Tipo de filtro requeridos.
6
Introduzca el GUID y, a continuación, haga clic en Aceptar. El GUID debe tener el formato correcto. Este se le solicitará si lo ha introducido de forma incorrecta.
7
Haga clic en Guardar.
Véase también Gestión de dispositivos con clases de dispositivos en la página 95 Organización de dispositivos con definiciones de dispositivos en la página 97
Organización de dispositivos con definiciones de dispositivos Una definición de dispositivo es una lista de propiedades como el tipo de bus, la clase de dispositivo, el ID del proveedor y el ID del producto. Las definiciones de dispositivos sirven para identificar y agrupar dispositivos según sus propiedades comunes. Algunas propiedades de dispositivo se pueden aplicar a cualquier definición y otras son exclusivas de un tipo de dispositivo concreto o de varios tipos. Los tipos de definiciones de dispositivos disponibles son los siguientes: •
Los dispositivos de disco duro fijo se conectan al equipo y el sistema operativo no los marca como almacenamiento extraíble. Device Control puede supervisar las unidades de disco duro fijo que no son unidades de arranque.
•
Los dispositivos Plug and Play se agregan al equipo gestionado sin necesidad de realizar configuraciones ni instalaciones manuales de DLL o controladores. Entre los dispositivos Plug and Play se incluye la mayoría de los dispositivos de Microsoft Windows. Los dispositivos de Apple OS X solo son compatibles como USB.
McAfee Data Loss Prevention 10.0.100
Guía del producto
97
5
Protección de medios extraíbles Organización de dispositivos con definiciones de dispositivos
•
Los dispositivos de almacenamiento extraíbles son dispositivos externos con un sistema de archivos que aparecen en el equipo gestionado como unidades. Las definiciones de dispositivos de almacenamiento extraíbles admiten sistemas operativos Microsoft Windows o Apple OS X.
•
Los dispositivos Plug and Play en lista blanca no interactúan correctamente con la función de administración de dispositivos y pueden hacer que el sistema deje de responder o causar otros problemas graves. Solo son compatibles los dispositivos con Microsoft Windows. Las definiciones de dispositivos Plug and Play en lista blanca se agregan automáticamente a la lista de excluidos en todas las reglas de control de dispositivos Plug and Play. Nunca serán dispositivos gestionados, aunque la clase de dispositivo principal a la que pertenecen sea gestionado.
Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles e incluyen propiedades adicionales relativas a los dispositivos de almacenamiento extraíbles. Práctica recomendada: Utilice las reglas y definiciones de dispositivos de almacenamiento extraíbles para controlar los dispositivos que se pueden clasificar de cualquiera de las dos formas, como pueden ser los dispositivos de almacenamiento masivo USB.
Véase también Crear una clase de dispositivos en la página 97
Uso de las definiciones de dispositivos Varios parámetros se agregan a las definiciones de dispositivos como operador lógico O (valor predeterminado) u operador lógico Y. Siempre se agregan varios tipos de parámetro como operador lógico Y. Por ejemplo, la siguiente selección de parámetros:
Crea esta definición: •
El tipo de bus es: Firewire (IEEE 1394) O USB
•
La clase de dispositivos Y es uno de los dispositivos de memoria O de los dispositivos portátiles de Windows
Crear una definición de dispositivos Las definiciones de dispositivos especifican las propiedades de un dispositivo para activar la regla. Práctica recomendada: Cree las definiciones de dispositivos Plug and Play en lista blanca para los dispositivos que no controlan de un modo claro la gestión, lo que podría ocasionar que el sistema dejase de responder o crear otros problemas graves. No se aplicarán otras acciones en estos dispositivos incluso si se activa una regla.
98
McAfee Data Loss Prevention 10.0.100
Guía del producto
Protección de medios extraíbles Organización de dispositivos con definiciones de dispositivos
5
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2
En el panel de la izquierda, seleccione Control de dispositivos | Definiciones de dispositivos.
3
Seleccione Acciones | Nuevo y, a continuación, elija el tipo de definición.
4
Introduzca un Nombre único y, si lo desea, una Descripción.
5
(Solo para dispositivos Plug and Play y dispositivos de almacenamiento extraíbles) Seleccione la opción Se aplica a para los dispositivos Microsoft Windows u OS X. La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativo seleccionado.
6
Seleccione las propiedades para el dispositivo. La lista de propiedades disponibles varía según el tipo de dispositivo.
•
Para agregar una propiedad, haga clic en >.
•
Para eliminar una propiedad, haga clic en .
•
Para eliminar una propiedad, haga clic en .
•
Para eliminar una propiedad, haga clic en de confianza > explorador > editor. O lo que es lo mismo, el editor se encuentra en la posición más baja. Si una aplicación es un editor en una plantilla y cualquier otro elemento en otra del mismo conjunto de reglas, McAfee DLP Endpoint no trata la aplicación como editor.
118
McAfee Data Loss Prevention 10.0.100
Guía del producto
Clasificación del contenido confidencial Criterios y definiciones de clasificación
6
Criterios y definiciones de clasificación Los criterios y definiciones de clasificación contienen una o varias condiciones que describen las propiedades del contenido o del archivo. Tabla 6-1 Condiciones disponibles Propiedad
Se aplica a
Definición
Productos
Patrón avanzado
Definiciones y criterios
Frases o expresiones regulares que se utilizan Todos los productos para ver la coincidencia con datos, como fechas o números de tarjetas de crédito.
Diccionario
Definiciones y criterios
Recopilaciones de palabras clave y frases relacionadas, como terminología médica u obscenidades.
Palabra clave
Criterios
Un valor alfanumérico. Puede agregar varias palabras clave a los criterios de identificación por huellas digitales o clasificación de contenido. El valor booleano predeterminado para varias palabras clave es O, pero se puede cambiar a Y.
Proximidad
Criterios
Se define la semejanza entre dos propiedades en función de su ubicación con respecto a la otra. Se pueden utilizar patrones avanzados, diccionarios o palabras clave para cualquiera de las dos propiedades. El parámetro Cercanía se define como "inferior a x caracteres", donde el valor predeterminado es 1. También puede especificar un parámetro Número de correspondencias para determinar el número mínimo de coincidencias que derivarán en un acierto.
Propiedades del documento
Definiciones y criterios
Contiene estas opciones: • Cualquier propiedad
• Guardado por última vez por
• Autor
• Nombre del administrador
• Categoría
• Seguridad
• Comentarios
• Asunto
• Empresa
• Plantilla
• Palabras clave
• Título
Cualquier propiedad es una propiedad definida por el usuario.
McAfee Data Loss Prevention 10.0.100
Guía del producto
119
6
Clasificación del contenido confidencial Criterios y definiciones de clasificación
Tabla 6-1 Condiciones disponibles (continuación) Propiedad
Se aplica a
Cifrado del archivo Criterios
Definición
Productos
Contiene estas opciones:
• McAfee DLP Endpoint for Windows (todas las opciones)
• Sin cifrar* • Autoextractor cifrado de McAfee. • McAfee Endpoint Encryption • Cifrado de Microsoft Rights Management* • Cifrado de administración de derechos de Seclore.
• McAfee DLP Discover y McAfee DLP Prevent (opciones marcadas con *)
• Tipos de cifrado no compatibles o archivo protegido con contraseña* Extensión del archivo
Definiciones y criterios
Grupos de tipos de archivo compatibles como los archivos MP3 y PDF.
Todos los productos
Información del archivo
Definiciones y criterios
Contiene estas opciones:
• Todos los productos
• Fecha de acceso
• Nombre del archivo*
• Fecha de creación
• Propietario del archivo
• Fecha de modificación
• Tamaño de archivo*
• McAfee DLP Prevent (opciones marcadas con *)
• Extensión del archivo* Ubicación en el archivo
Criterios
La sección del archivo donde se ubican los datos. • Documentos de Microsoft Word: El motor de clasificación puede identificar el encabezado, el cuerpo y el pie de página. • Documentos de PowerPoint: WordArt se considera un encabezado; todo lo demás se identifica como cuerpo. • Otros documentos: El encabezado y el pie de página no son aplicables. Los criterios de clasificación no contemplarán el documento si están seleccionados.
Etiquetas de terceros
Criterios
Se utiliza para especificar los nombres de campo y valores de Titus.
• McAfee DLP Endpoint for Windows • McAfee DLP Prevent
Tipo de archivo verdadero
120
Definiciones y criterios
McAfee Data Loss Prevention 10.0.100
Grupos de tipos de archivos.
Todos los productos
Por ejemplo, el grupo integrado de Microsoft Excel incluye archivos Excel XLS, XLSX y XML, así como Lotus WK1 y FM3, CSV y DIF, Apple iWork, etc.
Guía del producto
6
Clasificación del contenido confidencial Criterios y definiciones de clasificación
Tabla 6-1 Condiciones disponibles (continuación) Propiedad
Se aplica a
Definición
Productos
Plantilla de aplicación
Definiciones
La aplicación o el ejecutable que accede al archivo.
Grupo de usuarios finales
Definiciones
Se utilizan para definir los permisos de clasificación manual.
• McAfee DLP Endpoint for Windows
Recurso compartido de red
Definiciones
El recurso compartido de red en el que se almacena el archivo.
Lista de URL
Definiciones
La dirección URL desde la que se accede al archivo.
• McAfee DLP Endpoint for Mac McAfee DLP Endpoint for Windows
Véase también Creación de las definiciones de clasificación en la página 134
Definiciones de diccionario Un diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignada una calificación. Los criterios de clasificación e identificación por huellas digitales de contenido utilizan diccionarios específicos para clasificar un documento si se supera el umbral definido (calificación total), es decir, si aparecen en el documento suficientes palabras del diccionario. La diferencia entre un diccionario y una cadena en una definición de palabra clave es la calificación asignada. •
La clasificación de una palabra clave siempre marca el documento si la expresión está presente.
•
Una clasificación de diccionarios le da más flexibilidad, ya que permite establecer un umbral, lo que hace que la clasificación sea relativa.
Las calificaciones asignadas pueden ser negativas o positivas, lo que le permite buscar palabras o expresiones en presencia de otras palabras o expresiones. El software de McAfee DLP incluye varios diccionarios integrados con términos utilizados habitualmente en los ámbitos de la salud, la banca, las finanzas y otros sectores. Además, puede crear sus propios diccionarios. Los diccionarios se pueden crear (y editar) de forma manual o mediante la función de copiar y pegar de otros documentos.
Limitaciones Existen ciertas limitaciones para utilizarlos. Los diccionarios se guardan en formato Unicode (UTF-8) y se pueden escribir en cualquier idioma. Las siguientes descripciones se aplican a los diccionarios escritos en inglés. Las descripciones generalmente se aplican a otros idiomas, pero pueden ocurrir problemas imprevistos en algunos. La coincidencia de diccionarios tiene tres características: •
Solo distingue entre mayúsculas y minúsculas cuando crea entradas de diccionario que distinguen entre mayúsculas y minúsculas. Los diccionarios integrados, creados antes de que esta función estuviera disponible, no distinguen entre mayúsculas y minúsculas.
•
Puede buscar coincidencias con subcadenas o frases completas.
•
Hace coincidir las frases, incluidos los espacios.
McAfee Data Loss Prevention 10.0.100
Guía del producto
121
6
Clasificación del contenido confidencial Criterios y definiciones de clasificación
Si se especifica la coincidencia con subcadenas, tenga cuidado al introducir palabras cortas debido a la posible aparición de falsos positivos. Por ejemplo, la entrada de "sal" en el diccionario indicaría "saltar" y "asalto". A fin de evitar falsos positivos de este tipo, utilice la opción de coincidencia con toda la frase o use frases improbables desde el punto de vista estadístico a fin de obtener los mejores resultados. Otra fuente de falsos positivos son las entradas similares. Por ejemplo, en algunos listados de enfermedades de HIPAA (Health Insurance Portability and Accountability Act), "celíaco" y "enfermedad celíaca" aparecen como entradas independientes. Si el segundo término aparece en un documento y se especifica la coincidencia con subcadenas, se producen dos resultados (uno para cada entrada) y se sesga la calificación total. Véase también Crear o importar una definición de diccionario en la página 134
Definiciones de patrones avanzados Los patrones avanzados utilizan expresiones regulares (regex) que permiten una coincidencia con patrones más complejos, como números de la Seguridad Social o de tarjetas de crédito. Las definiciones utilizan la sintaxis de expresiones regulares de Google RE2. Las definiciones de patrones avanzados incluyen una calificación (obligatoria), como con las definiciones de diccionario. Además, pueden incluir un validador opcional: un algoritmo utilizado para probar las expresiones regulares. El uso del validador adecuado también puede reducir los falsos positivos de manera significativa. La definición puede incluir una sección Expresiones ignoradas opcional para continuar reduciendo los falsos positivos. Las expresiones ignoradas pueden ser expresiones regex o palabras clave. Puede importar varias palabras clave para agilizar la creación de expresiones. Los patrones avanzados indican la presencia de texto confidencial. Los patrones de texto confidencial se redactan en pruebas con resaltado de coincidencias. Si se especifica un patrón incluido y otro ignorado, tiene prioridad el patrón ignorado. De esta forma, es posible especificar una regla general y agregar excepciones sin tener que volver a escribir la regla general.
Véase también Crear un patrón avanzado en la página 135
Clasificación de contenido con propiedades de documentos o información del archivo Las definiciones de propiedades de documento clasifican el contenido mediante valores de metadatos predefinidos. Las definiciones de información del archivo clasifican contenido por metadatos del archivo.
Propiedades del documento Las propiedades del documento se pueden recuperar de cualquier documento Microsoft Office o PDF, y se pueden utilizar en definiciones de clasificación. Se admite la coincidencia parcial mediante la comparación de Contiene. Existen tres tipos de propiedades de documento:
122
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial Criterios y definiciones de clasificación
•
Propiedades predefinidas: Propiedades estándar, como el autor y el título.
•
Propiedades personalizadas: Propiedades personalizadas agregadas a los metadatos del documento admitidas por algunas aplicaciones como Microsoft Word. Una propiedad personalizada puede hacer referencia a un tipo de documento estándar que no se encuentra en la lista de propiedades predefinidas, pero no puede duplicar una propiedad que aparece en la lista.
•
Cualquier propiedad: Permite la definición de una propiedad por un valor. Esta función resulta útil en los casos en los que la palabra clave se ha introducido en el parámetro de propiedad incorrecto o cuando se desconoce el nombre de la propiedad. Por ejemplo, al agregar el valor Secreta al parámetro Cualquier propiedad, se clasifican todos los documentos que tienen la palabra Secreta en al menos una propiedad.
Información del archivo Las definiciones de información del archivo se utilizan en la protección de datos y las reglas de descubrimiento, así como en las clasificaciones, para aumentar la granularidad. La información del archivo incluye la fecha creada, la fecha modificada, el propietario del archivo y el tamaño del archivo. Las propiedades de la fecha tienen opciones de fecha exactas (antes, después, entre) y relativas (en los últimos x días, semanas, años). Tipo de archivo (solo extensiones) es una lista de extensiones predefinida y extensible. McAfee DLP Prevent no puede detectar las condiciones de archivo Fecha de acceso, Fecha de creación, Fecha de modificación y Propietario del archivo porque no están incrustadas en el archivo. En consecuencia, las condiciones se pierden cuando el archivo está en movimiento o al cargarlo en la nube o en un sitio web:
Plantillas de aplicación Una plantilla de aplicación controla aplicaciones concretas mediante propiedades como el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana. Una plantilla de aplicación puede definirse para una sola aplicación o para un grupo de aplicaciones similares. Hay plantillas integradas (predefinidas) para un número de aplicaciones comunes como el explorador de Windows, los navegadores web, las aplicaciones de cifrado y los clientes de correo electrónico. La definición de plantilla de la aplicación incluye un campo con una casilla de verificación para sistemas operativos. El análisis de archivos asignados a la memoria es una función solo de Windows y se desactiva de forma automática cuando se seleccionan las aplicaciones OS X. Las plantillas de aplicaciones para Microsoft Windows pueden utilizar cualquiera de los siguientes parámetros: •
Línea de comandos: admite argumentos de línea de comandos, como java-jar, que pueden controlar aplicaciones que anteriormente no lo permitían.
•
Directorio ejecutable: el directorio en el que se encuentra el archivo ejecutable. Un uso de este parámetro es controlar las aplicaciones U3.
•
Hash de archivo ejecutable: nombre de visualización de la aplicación con hash SHA2 identificativo.
•
Nombre del archivo ejecutable: por lo general, suele ser el mismo que el nombre de visualización (menos el hash SHA2), pero puede ser distinto si se cambia el nombre del archivo.
•
Nombre del archivo ejecutable original: idéntico al nombre del archivo ejecutable, a menos que se haya cambiado el nombre del archivo.
•
Nombre del producto: nombre genérico del producto (por ejemplo, Microsoft Office 2012) si se incluye en las propiedades del archivo ejecutable.
McAfee Data Loss Prevention 10.0.100
Guía del producto
123
6
Clasificación del contenido confidencial Clasificación manual
•
Nombre del proveedor: nombre de la empresa, si se incluye en la lista de propiedades del archivo ejecutable.
•
Título de ventana: valor dinámico al que, en tiempo de ejecución, se le añade el nombre del archivo activo.
Todos los parámetros, excepto el nombre de aplicación SHA2 y el directorio ejecutable, aceptan las coincidencias de subcadenas. Las plantillas de aplicaciones para OS X pueden utilizar cualquiera de los siguientes parámetros: •
Línea de comandos
•
Directorio ejecutable
•
Hash del archivo ejecutable
•
Nombre del archivo ejecutable
Clasificación manual Los usuarios finales pueden aplicar o eliminar manualmente clasificaciones o identificaciones por huellas digitales de contenido a los archivos. La función de clasificación manual aplica la clasificación de archivos. Es decir, que no es necesario que las clasificaciones aplicadas estén relacionadas con el contenido. Por ejemplo, un usuario puede colocar una clasificación de PCI en cualquier archivo. El archivo no tiene que contener números de tarjeta de crédito. La clasificación manual está incrustada en el archivo. En los archivos de Microsoft Office, la clasificación se almacena como una propiedad de documento. En los demás archivos admitidos, se almacena como propiedad XMP. En el caso del correo electrónico, se añade como texto marcado. Al configurar la clasificación manual, también puede permitir que un usuario aplique manualmente huellas digitales de contenido. La función de clasificación manual funciona con McAfee DLP Endpoint, McAfee DLP Prevent y McAfee DLP Discover. Las posibilidades en cuanto a la clasificación manual son las siguientes: •
Los usuarios finales de McAfee DLP Endpoint para Windows pueden clasificar los archivos de forma manual.
•
Los clientes de McAfee DLP Endpoint (tanto en equipos endpoint Mac como Windows) y McAfee DLP Prevent pueden detectar de forma manual los archivos clasificados (por ejemplo, datos adjuntos del correo electrónico) y tomar las medidas adecuadas en función de la clasificación.
•
Con McAfee DLP Discover se pueden detectar las clasificaciones manuales en los análisis de clasificación y de corrección, así como tomar las medidas adecuadas en los análisis de corrección.
De forma predeterminada, los usuarios finales no tienen permiso para ver, agregar ni quitar clasificaciones, pero se pueden asignar clasificaciones específicas a grupos de usuarios específicos o a Todos. De este modo, los usuarios asignados pueden aplicar la clasificación a los archivos mientras trabajan. La clasificación manual también le permite mantener la directiva de clasificación de su organización incluso en aquellos casos excepcionales en los que el sistema no procesa automáticamente la información confidencial o única. Al configurar el permiso para la clasificación manual, tiene la opción de permitir que las clasificaciones de contenido, las huellas digitales de contenido o ambas se apliquen de forma manual.
124
McAfee Data Loss Prevention 10.0.100
Guía del producto
Clasificación del contenido confidencial Clasificación manual
6
Compatibilidad con la clasificación manual McAfee DLP ofrece dos tipos de compatibilidad con las clasificaciones manuales: compatibilidad con los archivos de Microsoft Office y compatibilidad con todos los tipos de archivos admitidos. En lo que respecta a la creación de archivos, se pueden utilizar las aplicaciones de Microsoft Office (Word, Excel y PowerPoint) y Microsoft Outlook. Los usuarios finales pueden elegir clasificar los archivos haciendo clic en el icono de clasificación manual. También puede configurar las opciones para forzar a los usuarios a clasificar los archivos mediante la activación de la ventana emergente de clasificación manual cuando se guardan los archivos o se envían correos electrónicos de Outlook. La clasificación manual de un correo electrónico es válida solo en un subproceso específico. Si envía el mismo correo electrónico dos veces en subprocesos diferentes, deberá clasificarlo dos veces. En el caso de los mensajes de correo electrónico, la información añadida al encabezado o pie de página (establecido en la página de clasificación manual Configuración general) se agrega como texto no cifrado.
Todos los tipos de archivo admitidos pueden clasificarse con el menú del botón derecho del explorador de Windows.
Véase también Asignar permisos de clasificación manual en la página 132
Propiedades incrustadas Las propiedades incrustadas cuando se utiliza la clasificación manual permiten que las aplicaciones de terceros se integren con los documentos clasificados de McAfee DLP. La siguiente tabla enumera los tipos de archivos admitidos y la tecnología aplicada. Tipo de documento
Tipo de archivo verdadero
Método
Microsoft Word
DOC, DOCX, DOCM, DOT, DOTX, DOTM
Microsoft PowerPoint
PPT, PPTX, PPS, PPSX, PPSM, PPTM, POT, POTM, POTX
propiedad del documento
McAfee Data Loss Prevention 10.0.100
Guía del producto
125
6
Clasificación del contenido confidencial Clasificación manual
Tipo de documento
Tipo de archivo verdadero
Microsoft Excel
XLS, XLSX, XLSM, XLSB, XLT, XLTX, XLTM
Documento XPS
XPS
Portable Document Format
PDF
Formatos de audio y vídeo
AIF, AIFF, AVI, MOV, MP2, MP3, MP4, MPA, MPG, MPEG, SWF, WAV, WMA, WMV
Formatos de gráfico e imagen
PNG, GIF, JPG, JPEG, TIF, TIFF, BMP, DNG, WMF, PSD
Método
Propiedad XMP
La siguiente tabla enumera las propiedades internas. Clasificación
Nombre de propiedad
Clasificación manual de archivos
DLPManualFileClassification
Autor de la última modificación de la clasificación de DLPManualFileClassificationLastModifiedBy archivos Fecha de última modificación de la clasificación de archivos
DLPManualFileClassificationLastModificationDate
Versión de la clasificación de archivos
DLPManualFileClassificationVersion
Clasificación automática de descubrimiento de endpoint
DLPAutomaticFileClassification
Versión de la clasificación automática de descubrimiento de endpoint
DLPAutomaticFileClassificationVersion
Configuración de clasificaciones manuales Clasificación manual tiene varias opciones que determinan cómo interactúa la función y qué mensajes se muestran. La clasificación manual permite a los usuarios finales de McAfee DLP Endpoint para Windows agregar clasificaciones a los archivos con el menú del botón derecho en el explorador de Windows. Para aplicaciones de Microsoft Office y Outlook, se pueden aplicar clasificaciones manuales al guardar archivos o al enviar correos electrónicos. Todos los productos de McAfee DLP pueden aplicar las reglas basadas en las clasificaciones manuales. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Haga clic en Clasificación manual.
3
En la lista desplegable Ver, seleccione Configuración general.
4
Seleccione o anule la selección de las opciones para ajustarse a sus necesidades empresariales.
5
(Opcional) Seleccione la información adicional que agregar al correo electrónico haciendo clic en y seleccionando una definición de notificación o creando una. Las notificaciones admiten la función Configuraciones regionales para todos los idiomas compatibles. La compatibilidad con el idioma también se aplica a los comentarios de correo electrónico agregada.
Véase también Personalización de mensajes del usuario final en la página 157
126
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial Documentos registrados
Documentos registrados La función de documentos registrados es una extensión de la identificación por huellas digitales de contenido basada en la ubicación. Ofrece a los administradores otro modo de definir la información de carácter confidencial a fin de evitar su distribución de formas no autorizadas. McAfee DLP Discover y McAfee DLP Endpoint for Mac no admiten documentos registrados.
Los documentos registrados están predefinidos como confidenciales, por ejemplo, las hojas de cálculo de estimaciones de venta para el siguiente trimestre. El software de McAfee DLP categoriza e identifica por huellas digitales el contenido de estos archivos. Las firmas creadas son independientes del idioma, es decir, el proceso funciona para todos los idiomas. Cuando crea un paquete, las firmas se cargan en la base de datos de McAfee ePO para distribuirlas a todas las estaciones de trabajo de los endpoints. El cliente de McAfee DLP Endpoint de los equipos gestionados controla la distribución de los documentos que contienen fragmentos de contenido registro. Para utilizar los documentos registrados, cargue los archivos en la pestaña Registrar documentos del módulo Clasificación y asígnelos a una clasificación en ese momento. El cliente del endpoint ignora las clasificaciones que no son aplicables. Por ejemplo, los paquetes de documentos registrados clasificados con las propiedades del archivo se ignoran cuando se analiza el correo electrónico en busca de contenido de carácter confidencial. Existen dos opciones de vista: Estadísticas y Clasificaciones. La vista de las estadísticas muestra el número total de archivos, su tamaño, el número de firmas, etc., en el panel de la izquierda y, en el de la derecha, las estadísticas de cada archivo. Utilice estos datos para eliminar los paquetes menos importantes si se va a llegar al límite de firmas. La vista de clasificaciones muestra los archivos cargados por clasificación. En la parte superior derecha figura la información sobre la creación de paquetes más reciente y los cambios en la lista de archivos. Cuando crea un paquete, el software procesa todos los archivos de la lista y carga las huellas digitales en la base de datos de McAfee ePO para su distribución. Cuando agregue o elimine documentos, debe crear un nuevo paquete. El software no intenta calcular si ya se ha tomado la huella digital de algunos de los archivos; siempre procesa la lista entera. El comando Crear paquete funciona en la lista de documentos registrados y en los documentos en lista blanca a la vez para crear un solo paquete. El número máximo de firmas por paquete es de un millón para los documentos registrados y los documentos en lista blanca.
Véase también Cargar documentos registrados en la página 129
Texto en lista blanca McAfee DLP ignora el texto en lista blanca cuando procesa el contenido del archivo. McAfee DLP Discover y McAfee DLP Endpoint for Mac no admiten texto en lista blanca.
McAfee Data Loss Prevention 10.0.100
Guía del producto
127
6
Clasificación del contenido confidencial Creación y configuración de clasificaciones
Puede cargar los archivos que contienen texto a McAfee ePO para incluirlos en una lista blanca. El texto en lista blanca impedirá que el contenido se clasifique o marque, incluso si hay partes de él que coinciden con la clasificación o los criterios de identificación por huellas digitales de contenido. Utilice la lista blanca para texto que aparezca habitualmente en los archivos, como texto repetitivo, avisos legales e información de copyright. •
Los archivos que van a incluirse en lista blanca deben contener al menos 400 caracteres.
•
Si un archivo contiene tanto datos categorizados como incluidos en lista blanca, el sistema no lo ignora. Todos los criterios de clasificación e identificación por huellas digitales de contenido asociados con el contenido siguen vigentes.
Véase también Cargar archivos con texto para inclusión en lista blanca en la página 130
Creación y configuración de clasificaciones Cree clasificaciones y criterios para su uso en reglas o análisis. Procedimientos •
Crear una clasificación en la página 128 Las reglas de protección de datos y de descubrimiento requieren definiciones de clasificación en su configuración.
•
Creación de los criterios de clasificación en la página 129 Aplique los criterios de clasificación a los archivos en función del contenido y las propiedades del archivo.
•
Cargar documentos registrados en la página 129 Seleccione y clasifique documentos para distribuir en los equipos Endpoint.
•
Cargar archivos con texto para inclusión en lista blanca en la página 130 Cargue los archivos que contienen el texto utilizado habitualmente para la inclusión en listas blancas.
Crear una clasificación Las reglas de protección de datos y de descubrimiento requieren definiciones de clasificación en su configuración. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda.
128
1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Haga clic en Nueva clasificación.
3
Introduzca un nombre y, si lo desea, una descripción.
4
Haga clic en Aceptar.
5
Agregue grupos de usuarios finales a la clasificación manual o documentos registrados a la clasificación, haciendo clic en Editar para el componente correspondiente.
6
Agregue criterios de identificación por huellas digitales o clasificación de contenido con el control Acciones.
McAfee Data Loss Prevention 10.0.100
Guía del producto
6
Clasificación del contenido confidencial Creación y configuración de clasificaciones
Creación de los criterios de clasificación Aplique los criterios de clasificación a los archivos en función del contenido y las propiedades del archivo. Los criterios de clasificación de contenido se crean a partir de las Definiciones de los archivos y los datos. Si no existe una definición requerida, puede crearla cuando defina el criterio. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2
Seleccione la clasificación a la que quiere agregar los criterios y haga clic en Acciones | New Content Classification Criteria (Nuevos criterios de clasificación de contenido).
3
Introduzca el nombre.
4
Seleccione una o varias propiedades y configure las entradas de comparación y valor.
5
•
Para eliminar una propiedad, haga clic en para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación y Valor. Cuando haya acabado de definir los criterios, haga clic en Guardar. Práctica recomendada: Si hay varias reglas de Definir revisor, puede volver a ordenarlas en la lista.
230
McAfee Data Loss Prevention 10.0.100
Guía del producto
Recopilación y administración de datos Supervisar resultados de la tarea
11
La tarea se ejecuta cada hora. Tras definir un revisor, no se le puede omitir a través de la tarea Definir revisor.
Véase también Edición de tareas servidor en la página 227
Supervisar resultados de la tarea Supervise los resultados de las tareas de incidentes y de eventos operativos. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Automatización | Registro de tareas servidor.
2
Localice las tareas de McAfee DLP completadas. Práctica recomendada: Introduzca DLP en el campo Búsqueda rápida o defina un filtro personalizado.
3
Haga clic en el nombre de la tarea. Aparecen los detalles de la tarea, incluidos todos los errores si la tarea falló.
Creación de informes McAfee DLP utiliza funciones de generación de informes de McAfee ePO. Hay disponibles varios informes preprogramados, así como la opción de diseñar informes personalizados. Consulte el capítulo Consultas de la base de datos de la Guía del producto de McAfee ePolicy Orchestrator para obtener más información.
Tipos de informes Utilice las funciones de generación de informes de McAfee ePO para supervisar el rendimiento de McAfee DLP Endpoint. Se admiten cuatro tipos de informes en los paneles de McAfee ePO: •
Resumen de incidentes de DLP
•
Resumen de descubrimiento de DLP Endpoint
•
Resumen de directivas de DLP
•
Resumen de operaciones de DLP
Los paneles proporcionan un total de 22 informes, basándose en las 28 consultas encontradas en Menú | Informes | Consultas e informes | Grupos de McAfee | Data Loss Prevention en la consola de McAfee ePO.
McAfee Data Loss Prevention 10.0.100
Guía del producto
231
11
Recopilación y administración de datos Creación de informes
Opciones de informes El software McAfee DLP utiliza informes de McAfee ePO para revisar eventos. Asimismo, puede ver información sobre las propiedades del producto en el panel de McAfee ePO.
Informes de McAfee ePO El software McAfee DLP Endpoint integra la generación de informes con el servicio de generación de informes de McAfee ePO. Para obtener información sobre el uso del servicio de generación de informes de McAfee ePO, consulte la Guía del producto de McAfee ePolicy Orchestrator. Se admiten las consultas y los informes de datos acumulados de McAfee ePO, que resumen los datos procedentes de varias bases de datos de McAfee ePO. Se admiten las notificaciones de McAfee ePO. Consulte el capítulo Envío de notificaciones de la Guía del producto de McAfee ePolicy Orchestrator para obtener más información.
Paneles de ePO Puede ver información sobre las propiedades del producto de McAfee DLP en Menú | Paneles de McAfee ePO. Hay cuatro paneles predefinidos: •
Resumen de incidentes de DLP
•
Resumen de descubrimiento de DLP Endpoint
•
Resumen de directivas de DLP
•
Resumen de operaciones de DLP
Los paneles se pueden editar y personalizar. Asimismo, se pueden crear nuevos monitores. Consulte la documentación de McAfee ePO para conocer las instrucciones. Las consultas predefinidas resumidas en los paneles están disponibles al seleccionar Menú | Consultas e informes. Se enumeran en Grupos de McAfee.
Paneles predefinidos La siguiente tabla describe los paneles predefinidos de McAfee DLP. Tabla 11-1 Paneles de DLP predefinidos Categoría
DLP: Resumen de incidentes
Opción
Descripción
Número de incidentes al día
Estos gráficos muestran el número de incidentes totales y proporcionan diferentes desgloses con el fin de ayudar a analizar problemas específicos.
Número de incidentes por gravedad Número de incidentes por tipo Número de incidentes por conjunto de reglas
DLP: Resumen de operaciones
232
Número de eventos operativos al día
Muestra todos los eventos administrativos.
Versión del agente
Muestra la distribución de los equipos Endpoint en la empresa. Se utiliza para supervisar el progreso del despliegue de agentes.
Distribución de productos DLP en equipos endpoint
Muestra un gráfico circular que representa el número de equipos endpoint de Windows y Mac, así como el número de equipos endpoint donde no hay instalado ningún cliente.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Recopilación y administración de datos Creación de informes
11
Tabla 11-1 Paneles de DLP predefinidos (continuación) Categoría
Opción
Descripción
Descubrimiento de DLP (endpoint): Muestra un gráfico circular que muestra el número Estado de análisis del sistema de de propiedades de análisis de descubrimiento del archivos local sistema de archivos local y sus estados (completada, en funcionamiento, sin definir). Estado del agente
Muestra todos los agentes y su estado.
Modo de funcionamiento del agente
Muestra un gráfico circular de agentes por modos de funcionamiento de DLP. Los modos de funcionamiento son: • Modo de solo control de dispositivos • Modo de protección de contenido completo y control de dispositivos • Modo de protección de almacenamiento extraíble basada en contenido y control de dispositivos • Desconocido
DLP: Resumen de directivas
DLP: Resumen de descubrimiento de endpoints
Descubrimiento de DLP (endpoint): Estado de análisis de almacenamiento de correo electrónico local
Muestra un gráfico circular que muestra el número de propiedades de análisis de descubrimiento del almacenamiento de correo electrónico local y sus estados (completada, en funcionamiento, sin definir).
Distribución de directivas
Muestra la distribución de directivas de DLP en la empresa. Se utiliza para supervisar el progreso al desplegar una nueva directiva.
Conjuntos de reglas implementados por equipos endpoint
Muestra un gráfico de barras que muestra el nombre del conjunto de reglas y el número de directivas aplicadas.
Usuarios omitidos
Muestra el nombre del sistema o del usuario y el número de propiedades de la sesión de usuario.
Clases de dispositivos no definidas (para dispositivos Windows)
Muestra las clases de dispositivo no definidas para dispositivos Windows.
Usuarios con privilegios
Muestra el nombre del sistema o del usuario y el número de propiedades de la sesión de usuario.
Distribución de revisión de directivas
Similar a la distribución de directivas, pero muestra revisiones, es decir, actualizaciones de una versión existente.
Descubrimiento de DLP Muestra un gráfico circular con el estado de (Endpoint): Estado de análisis más ejecución de todos los análisis del sistema de reciente del sistema de archivos archivos local. local Descubrimiento de DLP (Endpoint): Archivos confidenciales más recientes del análisis del sistema de archivos
Muestra un gráfico de barras con el intervalo de archivos confidenciales encontrados en los archivos del sistema.
Descubrimiento de DLP Muestra un gráfico de barras con el intervalo de (Endpoint): Errores más recientes errores encontrados en los archivos del sistema. de análisis del sistema de archivos local
McAfee Data Loss Prevention 10.0.100
Guía del producto
233
11
Recopilación y administración de datos Creación de informes
Tabla 11-1 Paneles de DLP predefinidos (continuación) Categoría
Opción
Descripción
Descubrimiento de DLP (Endpoint): Clasificaciones más recientes de análisis del sistema de archivos local
Muestra un gráfico de barras con las clasificaciones aplicadas a los archivos del sistema.
Descubrimiento de DLP Muestra un gráfico circular con el estado de (Endpoint): Estado más reciente de ejecución de todas las carpetas de correo los análisis de correo electrónico electrónico local. local Descubrimiento de DLP (Endpoint): Correos electrónicos confidenciales más recientes del análisis del correo electrónico local
Muestra un gráfico de barras con el intervalo de correos electrónicos de carácter confidencial encontrados en las carpetas de correo electrónico local.
Descubrimiento de DLP Muestra un gráfico de barras con el intervalo de (Endpoint): Últimos errores de errores encontrados en las carpetas de correo análisis de correo electrónico local electrónico local. Descubrimiento de DLP (Endpoint): Clasificaciones más recientes del análisis de correo electrónico local
Muestra un gráfico de barras con las clasificaciones aplicadas a los correos electrónicos locales.
Creación de una tarea servidor de acumulación de datos Las tareas de acumulación de McAfee ePO extraen datos de varios servidores para generar un único informe. Puede crear informes de acumulación para los eventos e incidentes operativos de McAfee DLP. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
En McAfee ePO, seleccione Menú | Automatización | Tareas servidor.
2
Haga clic en Nueva tarea.
3
En el Generador de tareas servidor, introduzca un nombre y una nota opcional; a continuación, haga clic en Siguiente.
4
En la lista desplegable Acciones, seleccione Acumular datos. Aparece el formulario de datos acumulados.
234
5
(Opcional) Seleccione servidores en el campo Acumular los datos de la tabla desde.
6
En la lista desplegable Tipos de datos, seleccione Incidentes de DLP, Eventos operativos de DLP o McAfee DLP Endpoint Discovery, según sea necesario.
7
(Opcional) Configure las opciones Purgar, Filtro o Método de acumulación. Haga clic en Siguiente.
8
Introduzca el tipo de planificación, la fecha de inicio, la fecha de finalización y la hora de planificación. Haga clic en Siguiente.
9
Revise la información de Resumen y haga clic en Guardar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
12
Registro y supervisión en McAfee DLP Prevent
McAfee DLP Prevent incluye opciones de registro y supervisión que proporcionan información sobre el mantenimiento del sistema y estadísticas del tráfico web y de correo electrónico, y pueden ayudarle a resolver problemas. Contenido Generación de informes de eventos Supervisión del estado y el mantenimiento del sistema
Generación de informes de eventos En McAfee ePO hay disponibles varios eventos de McAfee DLP Prevent desde el registro de Eventos de clientes y el registro de Operaciones de DLP. Puede obtener información adicional desde el syslog local y desde un servidor de registro remoto, en caso de tener uno activado. El registro de Eventos de clientes también muestra los eventos de Administración de appliances. Para obtener más información sobre estos eventos, vea la Ayuda en línea para la Administración de appliances.
Eventos de McAfee DLP Prevent McAfee DLP Prevent envía eventos al registro de Eventos de clientes o al registro de Operaciones de DLP.
Eventos de registro de Eventos de cliente Práctica recomendada: Asegúrese de purgar el registro de Eventos de clientes de forma regular.
ID de evento
Texto del evento de UI
Descripción
15001
Error de consulta LDAP
Error en la consulta. Se indican los motivos en las descripciones de eventos
15007
Sincronización del directorio LDAP
Estado de la sincronización del directorio
210003
El uso de los recursos ha alcanzado el nivel crítico
McAfee DLP Prevent no puede analizar un mensaje porque el directorio ha alcanzado un nivel crítico
McAfee Data Loss Prevention 10.0.100
Guía del producto
235
12
Registro y supervisión en McAfee DLP Prevent Generación de informes de eventos
ID de evento
Texto del evento de UI
Descripción
220000
Inicio de sesión de usuario
Un usuario ha iniciado sesión en McAfee DLP Prevent: • 354: Se ha iniciado sesión en la GUI correctamente • 355: No se ha podido iniciar sesión en la GUI • 424: Se ha iniciado sesión en SSH correctamente • 425: No se ha podido iniciar sesión en SSH • 426: Se ha iniciado sesión en la consola del appliance correctamente • 427: No se ha podido iniciar sesión en la consola del appliance • 430: Se ha cambiado el usuario correctamente • 431: No se ha podido cambiar el usuario
220001
Cierre de sesión de usuario
Un usuario ha cerrado sesión en McAfee DLP Prevent: • 356: El usuario de la GUI ha cerrado sesión • 357: La sesión ha caducado • 428: El usuario de SSH ha cerrado sesión • 429: El usuario de la consola del appliance ha cerrado sesión • 432: El usuario ha cerrado sesión
220900
Instalación del certificado
• El certificado se ha instalado correctamente • Error en la instalación del certificado: No puede instalarse un certificado por uno de los motivos siguientes: • Frase de contraseña incorrecta
• Firma incorrecta
• Falta la clave privada
• Certificado de CA incorrecto
• Error de cadena
• Cadena demasiado larga
• Certificado incorrecto
• Objetivo incorrecto
• Certificado caducado
• Revocado
• Ya no es válido
• CRL incorrecto o inexistente
El motivo también se notifica en el syslog. Si el motivo no coincide con ninguno de los disponibles, se devuelve el evento de error de instalación de certificado por defecto.
Eventos de registro de Operaciones de DLP
236
ID de evento
Texto del evento de UI
Descripción
19100
Cambio de directiva
Administración de appliances ha insertado una directiva al appliance correctamente
19500
Error al insertar directiva
Administración de appliances no ha podido insertar una directiva al appliance
McAfee Data Loss Prevention 10.0.100
Guía del producto
Registro y supervisión en McAfee DLP Prevent Generación de informes de eventos
ID de evento
Texto del evento de UI
Descripción
19105
Error de replicación de pruebas
• No se ha podido cifrar un archivo de pruebas
Error al analizar
• Posible ataque de denegación de servicio
19501
12
• No se ha podido copiar un archivo de pruebas al servidor de pruebas
• No se ha podido descomponer el contenido para analizarlo 19502
DLP Prevent registrado
El appliance se ha registrado correctamente con McAfee ePO
Uso del syslog con McAfee DLP Prevent McAfee DLP Prevent envía información de registro de SMTP y hardware al syslog local, y uno o más servidores de registro remoto si los tiene activados. Se envían mensajes informativos con detalles sobre eventos, como, por ejemplo, el estado de la instalación de certificados, a /var/log/messages. Utilice la configuración de la categoría General de la directiva Ajustes generales del appliance para configurar los servidores de registro remotos.
McAfee DLP Prevent envía información al syslog en el formato de evento común (CEF). CEF es un estándar de administración de registros abierto que mejora la interoperabilidad de la información sobre seguridad desde distintos dispositivos y aplicaciones de seguridad y red. Para simplificar la integración, el formato de mensaje del syslog se utiliza como mecanismo de transporte. Esto aplica un prefijo común a cada mensaje que contiene la fecha y el nombre de host. Para obtener más información sobre CEF y los campos de datos de eventos de McAfee DLP Prevent, vea la Guía del formato de evento común de McAfee DLP Prevent, disponible en la base de conocimiento de McAfee. Práctica recomendada: Seleccione el protocolo TCP para enviar los datos de eventos de McAfee DLP Prevent a un servidor de registro remoto. UDP tiene un límite de 1024 bytes por paquete, por lo que los eventos que superan esta cantidad quedan truncados.
Las entradas de syslog contienen información sobre el propio dispositivo (el proveedor, el nombre de producto y la versión), la gravedad del evento y la fecha en la que el evento se ha producido. La tabla proporciona información sobre algunos de los campos más comunes de McAfee DLP Prevent que aparecen en las entradas del syslog. Los eventos de mensaje SMTP pueden incluir el remitente y el destinatario, el asunto y las direcciones IP de origen y destino. Cada intento de enviar un mensaje genera al menos una entrada en el registro. Si el mensaje incluye contenido que infringe una directiva de prevención de fuga de datos, se agrega otra entrada al registro. En caso de introducirse dos entradas al registro, ambas contienen el número de McAfeeDLPOriginalMessageID correspondiente.
Tabla 12-1 Definiciones de entrada de registro de syslog Campo
Definición
act
Acción de McAfee DLP tomada a raíz del evento
app
Nombre del proceso que generó el evento
msg
Mensaje descriptivo del evento, por ejemplo, El disco RAID está en estado de reconstrucción
dvc
Host en el que ha ocurrido el evento
dst
Dirección IP de destino si la conexión está disponible
dhost
Nombre de host de destino si la conexión está disponible
McAfee Data Loss Prevention 10.0.100
Guía del producto
237
12
Registro y supervisión en McAfee DLP Prevent Generación de informes de eventos
Tabla 12-1 Definiciones de entrada de registro de syslog (continuación) Campo
Definición
src
Dirección IP de origen del host que realiza la conexión
shost
Nombre de host de origen del host que realiza la conexión
suser
Remitente del correo electrónico
duser
Lista de las direcciones de correo electrónico de los destinatarios
sourceServiceName
Nombre de la directiva activa
filePath
Nombre del archivo en el que se ha producido la detección
Campo
ID único asignado a cada mensaje de correo electrónico
rt
Hora en la que se produjo el evento en milisegundos desde el Epoch
flexNumber1
ID asignado al motivo del evento
McAfeeDLPOriginalSubject
Línea de asunto original del mensaje
McAfeeDLPOriginalMessageId
Número de ID original asignado al mensaje
McAfeeDLPProduct
Nombre del producto de McAfee DLP que detectó el evento
McAfeeDLPHardwareComponent Nombre del appliance de hardware de McAfee DLP que detectó el evento McAfeeEvidenceCopyError
Ha habido un problema al copiar la prueba
McAfeeDLPClassificationText
Información sobre las clasificaciones de McAfee DLP
campos cs Las entradas cs del syslog se comportan según el valor del campo cs5: Valor
Definición
cs1
Si cs5 es 'DL' o 'DPA': el archivo que activó la regla de DLP Si cs5 es 'AR': la regla de bloqueo de retransmisión que activó el evento
cs2
Si cs5 es 'DP' o 'DPA': las categorías DLP que se activaron
cs3
Si cs5 es 'DP': las categorías DLP que se activaron
cs4
Datos adjuntos del correo electrónico (si están disponibles)
cs5
Para un evento de detección, el analizador que activó el evento: 'DL' - Data Loss Prevention
cs6
Asunto del correo electrónico
cs1Label Si cs5 es 'DP' o 'DPA': 'dlpfile' Si cs5 es 'AR': 'antirelay-rule' cs2Label Si cs5 es 'DP' o 'DPA': 'dlp-rules' cs3Label Si cs5 es 'DP': dlpclassification' cs4Label email-attachments cs5Label master-scan-type cs6Label email-subject
238
McAfee Data Loss Prevention 10.0.100
Guía del producto
Registro y supervisión en McAfee DLP Prevent Supervisión del estado y el mantenimiento del sistema
12
Supervisión del estado y el mantenimiento del sistema Utilice el panel Administración de appliances de McAfee ePO para gestionar sus appliances, ver el estado de mantenimiento del sistema y obtener información detallada sobre las alertas.
Panel de Administración de appliances El panel de Administración de appliances combina la vista de árbol de los Appliances, las tarjetas de Mantenimiento del sistema, las Alertas y los paneles de Detalles. El panel muestra la siguiente información para todos los appliances administrados. •
Una lista de los appliances de McAfee DLP Prevent
•
Indicadores que muestran si un appliance necesita atención
•
Información detallada sobre cualquier problema detectado
La barra de información incluye el nombre del appliance, el número de alertas notificadas actualmente y otra información específica del appliance sobre el que se ha informado.
Tarjetas de mantenimiento del sistema Las tarjetas de mantenimiento del sistema muestran el estado, las alertas y las notificaciones que le ayudan a administrar todos los appliances de McAfee virtuales y físicos que tiene en su red. Las tarjetas de mantenimiento del sistema de los appliances de McAfee DLP Prevent muestran la siguiente información. Panel
Información
Estado del • Pruebas en espera: número de archivos que se encuentra a la espera de ser copiados en el sistema almacén de pruebas. El tamaño de la cola se actualiza en tiempo real. • Mensajes de correo electrónico: número de mensajes que han sido entregados, rechazados permanente o temporalmente, o que no se han podido analizar. Los contadores muestran datos de los 60 segundos anteriores. • Solicitudes web: número de solicitudes web recibidas y número de solicitudes web que no se han podido analizar. Los contadores muestran datos de los 60 segundos anteriores. • Uso de la CPU: uso total de la CPU. • Memoria: índice de intercambio de memoria. • Disco: porcentaje de uso del disco. • Red: interfaces de red del appliance que muestran información sobre los datos recibidos y transmitidos. Los contadores muestran datos de los 60 segundos anteriores. Alertas
Muestra errores o advertencias relacionados con: • Estos del mantenimiento del sistema • Tamaño de cola de pruebas • Implementación de directivas • Comunicación entre McAfee ePO y McAfee DLP Prevent Puede obtener más información sobre una alerta en el panel Detalles.
McAfee Data Loss Prevention 10.0.100
Guía del producto
239
12
Registro y supervisión en McAfee DLP Prevent Supervisión del estado y el mantenimiento del sistema
Ver el estado de un appliance Puede averiguar si un appliance está funcionando correctamente o necesita atención viendo la información de Administración de appliances. Procedimiento 1
Inicie sesión en McAfee ePO.
2
En el menú, seleccione Administración de appliances de la sección Sistemas.
3
Desde la vista de árbol Appliances, expanda la lista de appliances hasta que encuentre el appliance que desea ver. La información sobre los estados y alertas está disponible en la Ayuda en línea para la Administración de appliances.
Descargar archivos MIB y SMI Descargar los archivos MIB y SMI para ver las capturas y los contadores SNMP que están disponibles en el appliance. Para obtener más información sobre el funcionamiento del appliance con SNMP, consulte la Ayuda en línea de la Extensión de administración de appliances de McAfee. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda.
240
1
Vaya a https://:10443/mibs.
2
Descargue los archivos MCAFEE-SMI.txt y MCAFEE-DLP-PREVENT-MIB.txt en el idioma en el que desee ver la información.
3
Importe los archivos MIB y SMI a su software de supervisión de red.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas Utilice la herramienta de diagnóstico de McAfee DLP para solucionar problemas con McAfee DLP Endpoint para clientes Windows. Utilice la consola del appliance de McAfee DLP Prevent para acceder a las opciones de solución de problemas y mantenimiento.
Capítulo 13 Capítulo 14
Diagnóstico de McAfee DLP Endpoint Mantenimiento y resolución de problemas en McAfee DLP Prevent
McAfee Data Loss Prevention 10.0.100
Guía del producto
241
Mantenimiento y resolución de problemas
242
McAfee Data Loss Prevention 10.0.100
Guía del producto
13
Diagnóstico de McAfee DLP Endpoint
Utilice la herramienta de diagnóstico de McAfee DLP Endpoint para solucionar problemas y supervisar el estado del sistema.
Herramienta de diagnóstico La herramienta de diagnóstico está diseñada para facilitar la resolución de problemas de McAfee DLP Endpoint en equipos endpoint de Microsoft Windows. No se admitirá en los equipos Mac OS X. La herramienta de diagnóstico reúne información sobre el rendimiento del software cliente. El equipo de TI utiliza esta información para solucionar problemas y ajustar directivas. Cuando existen problemas graves, se puede utilizar para recopilar datos para que los analice el equipo de desarrollo de McAfee DLP. La herramienta se distribuye como una utilidad que se instala en equipos con problemas. Consta de siete páginas con fichas, cada una destinada a un aspecto diferente del funcionamiento del software McAfee DLP Endpoint. En todas las páginas que muestran información en tablas (todas excepto General information [Información general] y Tools [Herramientas]), puede ordenar las tablas por cualquier columna, haciendo clic en el encabezado de la columna deseada.
General information (Información general)
Recopila datos como, por ejemplo, si se están ejecutando los procesos y controladores del agente, así como la directiva general, el agente e información de registro. Cuando se detecta un error, se muestra información sobre este.
DLPE Modules (Módulos de DLPE)
Muestra la configuración del agente (como en la consola de directivas de McAfee DLP Endpoint, igual que en Configuración de los agentes | Varios). Muestra el ajuste y el estado de configuración de cada módulo, complemento y controlador. Al seleccionar un módulo, se muestran detalles que pueden ayudarle a determinar los problemas.
Data Flow (Flujo de datos)
Muestra el número de eventos y la memoria utilizada por el cliente de McAfee DLP Endpoint, así como información de los eventos cuando se selecciona uno específico.
Tools (Herramientas)
Permite llevar a cabo varias pruebas y muestra los resultados. En caso necesario, se realiza un volcado de datos para su posterior análisis.
Process list (Lista de procesos)
Muestra todos los procesos que se están ejecutando actualmente en el equipo. Al seleccionar un proceso, se muestran detalles y los títulos de ventana y definiciones de aplicaciones relacionados.
McAfee Data Loss Prevention 10.0.100
Guía del producto
243
13
Diagnóstico de McAfee DLP Endpoint Herramienta de diagnóstico
Devices (Dispositivos)
Muestra todos los dispositivos Plug and Play y extraíbles actualmente conectados al equipo. Al seleccionar un dispositivo, se muestran detalles del dispositivo y las definiciones de dispositivos relacionadas. Muestra todas las reglas de control de dispositivos activos y las definiciones importantes de las definiciones de dispositivos.
Active policy (Directiva activa)
Muestra todas las reglas incluidas en la directiva activa y las definiciones de directivas relevantes. Al seleccionar una regla o definición, se muestran los detalles.
Comprobación del estado del agente Utilice la ficha de información general para obtener una descripción general del estado del agente. La información en la ficha de información general está diseñada para confirmar las expectativas y responder a preguntas básicas. ¿Se están ejecutando los procesos y controladores del agente? ¿Qué versiones de productos están instaladas? ¿Cuáles son el modo de funcionamiento y la directiva actuales?
Procesos y controladores del agente Una de las cuestiones más importantes en la solución de problemas es: "¿Funciona todo como debería?" Las secciones Procesos y controladores del agente responden a esto de un vistazo. Las casillas de verificación muestran si el proceso está activado; el punto de color muestra si se está ejecutando. Si el proceso o controlador están desactivados, el cuadro de texto proporciona información sobre cuál es el problema. La memoria máxima predeterminada es 150 MB. Un valor alto para este parámetro puede indicar problemas. Tabla 13-1 Procesos del agente Término Proceso
Estado esperado
Fcag
Agente de McAfee DLP Endpoint (cliente)
activado; en ejecución
Fcags
Servicio de agente McAfee DLP Endpoint
activado; en ejecución
Fcagte
Extractor de texto de McAfee DLP Endpoint
activado; en ejecución
Fcagwd
Vigilancia del servicio de McAfee DLP Endpoint
activado; en ejecución
Fcagd
Agente de McAfee DLP Endpoint con volcado automático
solo activado para solucionar problemas
Tabla 13-2 Controladores
244
Término Proceso
Estado esperado
Hdlpflt
activado; en ejecución
Controlador de minifiltro de McAfee DLP Endpoint (implementa reglas de dispositivos de almacenamiento extraíbles)
Hdlpevnt Evento de McAfee DLP Endpoint
activado; en ejecución
Hdlpdbk
Controlador de filtro de dispositivos de McAfee DLP Endpoint (implementa reglas de dispositivos Plug and Play)
se puede desactivar en la configuración
Hdlpctrl
Control de McAfee DLP Endpoint
activado; en ejecución
Hdlhook
Controlador de interceptación de McAfee DLP Endpoint
activado; en ejecución
McAfee Data Loss Prevention 10.0.100
Guía del producto
Diagnóstico de McAfee DLP Endpoint Herramienta de diagnóstico
13
Sección de información del agente Las opciones Modo de funcionamiento y Estado del agente deben coincidir. El indicador Conectividad del agente, junto con la dirección de EPO, pueden resultar útiles para solucionar problemas. Conectividad del agente tiene tres opciones: en línea, fuera de línea o con conexión por VPN.
Ejecutar la herramienta de diagnóstico La herramienta de diagnóstico proporciona a los equipos de TI información detallada sobre el estado del agente. Antes de empezar ®
La herramienta de diagnóstico requiere autenticación con McAfee Help Desk. Procedimiento 1
Haga doble clic en el archivo hdlpDiag.exe. Se abre una ventana de autenticación.
2
Copie el código de identificación en el cuadro de texto Código de identificación de Help Desk en la página Generar clave de omisión de cliente de DLP. Complete el resto de la información y cree un código de autorización.
3
Copie el código de autorización en el cuadro de texto Código de validación de la ventana de autenticación y haga clic en Aceptar. Se abre la herramienta de diagnóstico. Las fichas General Information (Información general), DLPE Modules (Módulos de DLPE) y Process List (Lista de procesos) disponen de un botón Refresh (Actualizar) en la esquina inferior derecha. Los cambios que se producen cuando hay una ficha abierta no actualizan la información de dichas fichas automáticamente. Haga clic en el botón Refresh (Actualizar) con frecuencia para asegurarse de que está visualizando los datos más actuales.
Ajuste de directivas La herramienta de diagnóstico puede utilizarse para solucionar problemas o ajustar las directivas. Caso práctico: Uso alto de la CPU En ocasiones, los usuarios pueden verse afectados por un rendimiento lento cuando se implementa una directiva nueva. Una posible causa es el uso alto de la CPU. Para determinarlo, vaya a la ficha Process List (Lista de procesos). Si ve más eventos de lo normal para un proceso, podría ser el problema. Por ejemplo, una comprobación reciente detectó que taskmgr.exe se clasificó como Editor y contaba con el segundo mayor número total de eventos. Es muy poco probable que esta aplicación esté perdiendo datos y el cliente de McAfee DLP Endpoint no tiene que supervisarla tan de cerca. Para probar la teoría, cree una plantilla de aplicación. En el catálogo de directivas, vaya a Directiva de DLP | Configuración y defina una omisión para el valor De confianza. Aplique la directiva y pruebe si el rendimiento ha mejorado.
McAfee Data Loss Prevention 10.0.100
Guía del producto
245
13
Diagnóstico de McAfee DLP Endpoint Herramienta de diagnóstico
Caso práctico: Creación de una clasificación de contenido eficaz y de criterios de identificación por huellas digitales de contenido El marcado de datos confidenciales constituye el aspecto central de una directiva de protección de datos. La herramienta de diagnóstico muestra información que le ayudara a diseñar una clasificación de contenido y criterios de identificación por huellas digitales de contenido eficaces. Las etiquetas pueden demasiado estrictas, lo que omitiría datos que también deberían etiquetarse, o demasiado dispersa, lo que generaría falsos positivos. La página Active Policy (Directiva activa) enumera las clasificaciones, así como los criterios de clasificación de contenido y de identificación por huellas digitales de contenido. La página Data Flow (Flujo de datos) enumera todas las etiquetas aplicadas por la directiva, y el recuento de cada una. Cuando los recuentos son superiores a lo esperado, puede que existan falsos positivos. En un caso particular, un recuento extremadamente alto permitió descubrir que el texto de renuncia activó la clasificación. Al agregar la renuncia a la lista blanca se eliminaron los falsos positivos. En la misma línea, si un recuento es muy inferior a lo esperado, se puede deducir que existe una clasificación demasiado estricta. Si se etiqueta un archivo nuevo mientras la herramienta de diagnóstico está en funcionamiento, se muestra la ruta del archivo en el panel de detalles. Utilice esta información para localizar los archivos para realizar pruebas.
246
McAfee Data Loss Prevention 10.0.100
Guía del producto
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent
Utilice la consola del appliance para las tareas de mantenimiento general, como cambiar la configuración de red y la realización de actualizaciones de software. Se encuentran disponibles opciones de solución de problemas, comprobaciones de integridad y mensajes de error para ayudarle a identificar y resolver los problemas con los appliances de McAfee DLP Prevent. Contenido Administrar con la consola del appliance de McAfee DLP Prevent Acceso a la consola del appliance Cambiar la configuración original de la red Modificar la velocidad y la configuración del dúplex para appliances de hardware Administración de appliances de hardware con el RMM Actualizar o reinstalar desde la imagen de instalación interna Reinicie el appliance Restablecer los valores predeterminados de fábrica del appliance Cerrar sesión en el appliance McAfee DLP Prevent no acepta correos electrónicos Sustitución del certificado por defecto Mensajes de error Crear un informe de escalación mínima (MER)
Administrar con la consola del appliance de McAfee DLP Prevent Utilice credenciales de administrador para abrir la consola del appliance y editar la configuración de red que haya introducido en el Asistente de instalación y llevar a cabo otras tareas de mantenimiento y solución de problemas. Tabla 14-1 Opciones de menú de la consola del appliance Opción
Definición
Graphical configuration wizard Abre el asistente de configuración gráfica. Si inicia sesión mediante SSH, la opción del asistente de configuración gráfica no estará disponible.
Shell
Abre el shell del appliance.
Enable/Disable SSH
Activa o desactiva el SSH como método de conexión al appliance.
McAfee Data Loss Prevention 10.0.100
Guía del producto
247
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent Acceso a la consola del appliance
Tabla 14-1 Opciones de menú de la consola del appliance (continuación) Opción
Definición
Generate MER
Crea un informe de escalación mínima (MER) que enviará al soporte técnico de McAfee para que diagnostique los problemas del appliance.
Power down
Cierra el appliance.
Reboot
Reinicia el appliance.
Rescue Image
Crea una imagen de rescate desde la cual se puede arrancar el appliance.
Reset to factory defaults
Restablece los valores predeterminados de fábrica del appliance.
Change password
Cambia la contraseña de la cuenta de administrador.
Logout
Cierra sesión en el appliance principal.
Acceso a la consola del appliance La consola del appliance permite realizar varias tareas de mantenimiento. Existen distintas formas de acceder a la consola según el tipo de appliance que tenga. Tabla 14-2 Métodos de acceso a la consola Método
Appliance virtual
Appliance de hardware
SSH
X
X
Cliente de vSphere
X
KVM local (teclado, monitor y ratón)
X
RMM
X
Puerto serie
X
Cambiar la configuración original de la red Puede utilizar el asistente de configuración gráfica para cambiar la configuración de la red que especificó durante el proceso de instalación. Procedimiento 1
Inicie sesión en el appliance con credenciales de administrador. Si inicia sesión mediante SSH, la opción del asistente de configuración gráfica no estará disponible.
248
2
Abra el asistente de configuración gráfica.
3
Edite la configuración del Programa de instalación de red básica que desee cambiar.
4
Haga clic en Finalizar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas en McAfee DLP Prevent Modificar la velocidad y la configuración del dúplex para appliances de hardware
14
Modificar la velocidad y la configuración del dúplex para appliances de hardware De forma predeterminada, las interfaces de red están configuradas para la negociación automática. Utilice la línea de comandos para cambiar la velocidad y la configuración del dúplex. Procedimiento 1
Mediante una sesión de línea de comandos, inicie sesión en el appliance.
2
En el menú Opciones, seleccione la opción Shell.
3
Consulte la ayuda sobre la formación del comando. $ /opt/NETAwss/mgmt/nic_options -?
4
•
Utilice lan1 para la interfaz del cliente y mgmt para la interfaz de administración.
•
--(no)autoneg activa o desactiva la negociación automática. De forma predeterminada, esta opción está activada.
•
--duplex especifica el dúplex (medio o completo). El valor predeterminado es completo.
•
--speed especifica la velocidad de la red en Mb/s (0, 100 o 1000). El valor predeterminado es 1000.
•
--mtu especifica el tamaño de la unidad de transmisión máxima (MTU) en bytes (valor entre 576 y 1500). El valor predeterminado es 1500.
Escriba el comando para cambiar la configuración. Ejemplos: •
Para desactivar la negociación automática y establecer una velocidad de red de 100 Mb/s en la interfaz del cliente: $ sudo /opt/NETAwss/mgmt/nic_options --noautoneg --speed 100 lan1
•
Para restaurar el comportamiento predeterminado del puerto de administración: $ sudo /opt/NETAwss/mgmt/nic_options mgmt
Administración de appliances de hardware con el RMM Utilice el RMM, también conocido como "controlador de administración de placa base" (BMC), para administrar un appliance de hardware de forma remota. El RMM no está disponible en los appliances virtuales. Utilice la consola del appliance para activar y realizar la configuración básica del RMM. Tras configurar los ajustes de red del RMM, también puede acceder a la consola del appliance mediante el servidor web integrado. En la interfaz web, puede comprobar el estado del hardware, realizar una configuración adicional y gestionar el appliance de forma remota. Vaya a: https:// Utilice las credenciales de administrador del appliance para acceder a la interfaz de usuario. Puede configurar el RMM para utilizar el LDAP para la autenticación en lugar de la cuenta de administrador. De forma predeterminada, están activados todos los protocolos utilizados para acceder al RMM: •
HTTP/HTTPS
•
SSH
McAfee Data Loss Prevention 10.0.100
Guía del producto
249
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent Administración de appliances de hardware con el RMM
•
IPMI a través de LAN
•
KVM remota
Configuración del RMM Configure los ajustes de red y protocolos que utiliza el RMM. Procedimiento 1
Inicie sesión en el appliance con la consola.
2
En el menú de consola, seleccione Configure the BMC (Configurar el BMC).
3
Lleve a cabo una de estas tareas. •
•
Para configurar la información de red: 1
Seleccione Configure the address (Configurar la dirección).
2
Escriba la dirección IP, la máscara de red y la gateway opcional. Use las flechas de arriba y abajo para desplazarse por las opciones.
3
Pulse Intro o seleccione OK (Aceptar) para guardar los cambios.
Para configurar los protocolos admitidos: 1
Seleccione Configure remote protocols (Configurar protocolos remotos).
2
Pulse la barra espaciadora para activar o desactivar una opción. Use las flechas de arriba y abajo para desplazarse por las opciones.
3
Pulse Intro o seleccione OK (Aceptar) para guardar los cambios.
Utilice la cuenta y la contraseña de administrador para iniciar sesión en el appliance utilizando el RMM.
Ejecutar al Asistente de instalación mediante el servicio de KVM remoto Si no dispone de acceso local al teclado, el monitor y el ratón para ejecutar al Asistente de instalación, puede hacerlo mediante la interfaz web RMM. Procedimiento 1
Utilice un navegador web e inicie sesión en https://.
2
Haga clic en la ficha Control remoto.
3
Haga clic en Iniciar consola.
4
Con algunos navegadores, puede que tenga que descargarse la aplicación de consola remota. En este caso, descargue y abra el archivo jviewer.jnlp.
5
Desde el shell de administración, seleccione Asistente de configuración gráfica.
Práctica recomendada: proteger el RMM Proteja su entorno RMM para evitar que usuarios no autorizados accedan al appliance.
250
•
Asegúrese de que el firmware RMM está actualizado.
•
Conecte el puerto RMM a una VLAN o red física específica y protegida.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas en McAfee DLP Prevent Actualizar o reinstalar desde la imagen de instalación interna
14
•
Desactive los protocolos que no se utilicen. Únicamente HTTP/HTTPS y el servicio de KVM remoto deben configurar de forma remota el appliance.
•
Si los appliances utilizan RMM4, asegúrese de que están configurados para forzar el uso de HTTPS. La interfaz web y la consola del appliance muestran el tipo de RMM que utiliza el appliance: RMM3 o RMM4.
Desde la interfaz web, haga clic en la ficha Configuration (Configuración), seleccione Security Settings (Configuración de seguridad) y, a continuación, seleccione la opción Force HTTPS (Forzar HTTPS). •
Cambie de forma periódica la contraseña de administrador.
Actualizar o reinstalar desde la imagen de instalación interna McAfee DLP Prevent contiene una partición con una imagen de instalación interna que puede utilizar para actualizar o reinstalar el appliance. Utilice la opción de ampliar en el menú de la consola para realizar estas acciones. •
actualizar, utilizar una versión anterior o volver a instalar el appliance desde la imagen de instalación. Si se utiliza una versión anterior, no se conservará la configuración ni el registro de McAfee ePO.
•
Actualice la imagen de instalación con una versión anterior o posterior del software de McAfee DLP Prevent mediante medios externos. Estos métodos son compatibles con el archivo de imagen ISO de McAfee DLP Prevent. •
Unidad USB: Cree una unidad USB de arranque o copie el archivo ISO en la unidad. Es posible utilizar unidades USB con formato Windows o Linux. No se admite el formato de sistema de archivos exFAT de Windows.
•
•
CD: Grabe un CD de arranque y utilice una unidad de CD con USB. Para los dispositivos 4400, puede utilizar la unidad de CD incorporada.
•
CD virtual: Enlace el archivo ISO con el CD virtual en un entorno ESX o utilice el RMM para dispositivos de hardware.
•
SCP: Utilice la copia protegida para copiar el archivo ISO y actualice la imagen de instalación interna.
Cree una unidad USB que contenga la imagen de instalación actual. Al crear la imagen USB, se eliminan todos los datos de la unidad USB.
•
Vea la versión o el estado de la imagen de instalación.
Procedimiento 1
Mediante una sesión de línea de comandos, inicie sesión en el appliance.
2
En el menú de la consola, seleccione Actualizar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
251
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent Reinicie el appliance
3
Realice una de estas tareas. •
Ampliar o reinstalar: 1
Seleccione Arranque a partir de la imagen de instalación interna.
2
Seleccione una de estas opciones: •
Completo: Mantiene todas las opciones de configuración, incluidos los archivos de pruebas y el resaltado de coincidencias que se van a copiar en el recurso compartido de almacenamiento de pruebas.
•
Config: Mantiene todas las opciones de configuración, pero no conserva los archivos de pruebas o el resaltado de coincidencias que se van a copiar.
•
Básica: Mantiene solo las opciones de configuración de red y el registro de McAfee ePO.
•
Reinstalar: Vuelve a instalar sin conservar ninguna opción de configuración. Debe utilizar el Asistente de instalación para registrarse con McAfee ePO. Si va a instalar una versión anterior a la que está instalada actualmente, se mostrará una advertencia de que solo puede llevar a cabo la reinstalación.
3
Seleccione Sí.
El appliance se reiniciará e instalará. •
Para actualizar la imagen de instalación desde una unidad de CD o USB: 1
Inserte el dispositivo en el appliance.
2
Seleccione Actualizar la imagen de instalación interno desde un dispositivo externo.
3
Compruebe que el dispositivo externo se ha identificado correctamente en la lista. Si se detectan varios archivos ISO, deben seleccionarse todos los archivos de la lista.
4
Seleccione la imagen y el dispositivo ISO y, a continuación, seleccione Sí.
•
Para actualizar la imagen de instalación mediante SCP, utilice una sesión de línea de comandos o una utilidad como WinSCP para copiar el archivo en /inicio/admin/subir/iso.
•
Para crear una unidad USB que contenga la imagen de instalación:
•
1
Inserte la unidad USB en el appliance.
2
Seleccione Copiar la imagen de instalación interna en un dispositivo de memoria flash USB.
3
Seleccione Sí.
Para ver información sobre la última vez que se utilizó la imagen de instalación y la versión cargada actualmente en la imagen de instalación, seleccione Mostrar detalles de la imagen de instalación interna.
Reinicie el appliance Apague y reinicie McAfee DLP Prevent. Procedimiento
252
1
Inicie sesión en el appliance con credenciales de administrador.
2
En el menú general de la consola, seleccione Reiniciar.
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas en McAfee DLP Prevent Restablecer los valores predeterminados de fábrica del appliance
14
Restablecer los valores predeterminados de fábrica del appliance Restablezca la configuración original del appliance. Tendrá que volver a configurar los valores de configuración de red. Procedimiento 1
Inicie sesión en el appliance con credenciales de administrador. Se abrirá el menú general de la consola.
2
En el menú general de la consola, pulse la opción Restablecer valores predeterminados de fábrica.
Cerrar sesión en el appliance Cierre la sesión iniciada y vuelva al mensaje de inicio de sesión. Procedimiento 1
Inicie sesión en el appliance con credenciales de administrador. Se abrirá el menú general de la consola.
2
En el menú general de la consola, pulse la opción Cerrar sesión. Puede que se cierre la sesión SSH o que la consola vuelva al mensaje de inicio de sesión.
McAfee DLP Prevent no acepta correos electrónicos Si no está configurado un Host inteligente, McAfee DLP Prevent no puede aceptar mensajes de correo electrónico porque no tiene ningún lugar al que pueda enviarlos. McAfee DLP Prevent presenta el error Problema del sistema 451: Vuelva a intentarlo más tarde. (no se ha configurado ningún Host inteligente) y cierra la conexión. Puede comprobar si McAfee DLP Prevent puede aceptar correos electrónicos usando telnet. Si el appliance está configurado correctamente, aparece un mensaje de bienvenida 220:
220 host.dominio.ejemplo PVA/SMTP listo
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. •
Para resolver un problema de conexión, debe: a
Instalar las extensiones necesarias en McAfee ePO.
b
Registrar el appliance con un servidor de McAfee ePO. Siga los pasos de la Ayuda del Asistente de instalación de McAfee DLP Prevent.
c
Configure al menos un servidor DNS en la directiva Ajustes generales de administración de appliances. Consulte la sección Configuración de la configuración general de la Ayuda en línea de la Extensión de administración de appliances.
McAfee Data Loss Prevention 10.0.100
Guía del producto
253
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent Sustitución del certificado por defecto
d
Configure un Host inteligente en la categoría de directiva Configuración de correo electrónico de McAfee DLP Prevent.
e
Aplique una directiva de McAfee Data Loss Prevention. Consulte la sección de asignación de directivas de la ayuda en línea de McAfee ePolicy Orchestrator.
Véase también Uso de las directivas de McAfee DLP Prevent en la página 80
Sustitución del certificado por defecto Si su configuración de Email Gateway no acepta el certificado autofirmado por defecto, puede sustituir el certificado para TLS con otro certificado firmado. Los formatos de certificado admitidos para los certificados firmados de PKI son:
•
PKCS#12(.p12/.pfx)
•
Certificados de cadena con codificación PEM
Utilice los siguientes pasos para instalar un certificado firmado de PKI. Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
Mediante una sesión de línea de comandos, inicie sesión en el appliance.
2
Active SSH si todavía no lo está.
3
Copie el certificado al appliance: •
Utilice una utilidad como WinSCP para copiar un certificado descifrado a /inicio/admin/subir/ cert. El certificado se instala automáticamente.
•
En el shell del appliance, escriba el siguiente comando para instalar un certificado cifrado en cualquier ubicación con acceso de escritura para el usuario (que no sea /inicio/admin/subir/ cert). /opt/NETAwss/mgmt/import_ssl_cert "--file" --passphrase
4
En McAfee ePO, seleccione Catálogo de directivas | Producto | Servidor de DLP Prevent | Configuración de correo electrónico y active TLS.
Si el certificado no se ha podido instalar, se indicará el motivo detallado en el syslog y se mostrará una descripción breve en el registro de eventos de clientes de McAfee ePO. Véase también Eventos de McAfee DLP Prevent en la página 235 Uso del syslog con McAfee DLP Prevent en la página 237
254
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas en McAfee DLP Prevent Mensajes de error
14
Mensajes de error Si el appliance no está configurado correctamente, trata de identificar el problema y envía un mensaje de error temporal o permanente. El texto entre paréntesis del mensaje de error proporciona información adicional sobre el problema. Algunos mensajes de error retransmiten la respuesta del Host inteligente, de manera que la respuesta de McAfee DLP Prevent contiene la dirección IP, que viene indicada por x.x.x.x. Por ejemplo, el error 442 192.168.0.1: Conexión rechazada indica que el Host inteligente con la dirección 192.168.0.1 no ha aceptado la conexión SMTP. Tabla 14-3 Mensajes de errores temporales Texto
Causa
Acción recomendada
451 (el sistema no se ha registrado con un servidor de ePO)
No se ha completado la instalación inicial.
Registre el appliance con un servidor de McAfee ePO mediante la opción Asistente de configuración gráfica de la consola del appliance.
451 (no se ha configurado ningún servidor DNS)
La configuración aplicada desde McAfee ePO no ha especificado ningún servidor DNS.
Configure al menos un servidor DNS en la categoría General de la directiva Ajustes generales del appliance.
451 (no se ha configurado ningún Host inteligente)
La configuración aplicada desde McAfee ePO no ha especificado ningún Host inteligente.
Configure un Host inteligente en la categoría de directiva Configuración de correo electrónico.
451 (el archivo de directivas OPG no se encuentra en la ubicación configurada)
La configuración aplicada desde McAfee ePO estaba incompleta.
• Asegúrese de que se instala la extensión de Data Loss Prevention. • Configure una directiva de Data Loss Prevention. • Póngase en contacto con el representante del soporte técnico. El archivo de configuración OPG debe aplicarse con el archivo de directivas OPG.
451 (el archivo de configuración OPG no se encuentra en la ubicación configurada)
La configuración aplicada desde McAfee ePO estaba incompleta.
• Asegúrese de que se instala la extensión de Data Loss Prevention. • Configure una directiva de Data Loss Prevention. • Póngase en contacto con el representante del soporte técnico. El archivo de configuración OPG debe aplicarse con el archivo de directivas OPG.
McAfee Data Loss Prevention 10.0.100
Guía del producto
255
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent Mensajes de error
Tabla 14-3 Mensajes de errores temporales (continuación) Texto
Causa
451 (falta configuración Este error se produce cuando se del servidor LDAP) cumplen estas dos condiciones: • McAfee DLP Prevent contiene una regla que especifica un remitente como miembro de un grupo de usuarios LDAP.
Acción recomendada Compruebe que el servidor LDAP está seleccionado en la categoría de directiva Usuarios y grupos.
• McAfee DLP Prevent no está configurado para recibir información de grupo desde el servidor LDAP que contiene ese grupo de usuarios. 451 (error al resolver la directiva basada en el remitente)
Una directiva contiene condiciones del remitente LDAP, pero no puede obtener la información del servidor LDAP porque:
Compruebe que el servidor LDAP está disponible.
• McAfee DLP Prevent y el servidor LDAP no se han sincronizado. • El servidor LDAP no responde. 442 x.x.x.x: Conexión rechazada
McAfee DLP Prevent no pudo Compruebe que el Host inteligente conectarse al Host inteligente para puede recibir correos electrónicos. enviar el mensaje o se pierde la conexión al Host inteligente durante una conversación.
Tabla 14-4 Mensajes de errores permanentes Error
Causa
Acción
550 (el host/dominio no está permitido)
McAfee DLP Prevent ha rechazado la conexión del MTA de origen.
Compruebe que el MTA se encuentra en la lista de hosts permitidos en la categoría de directiva Configuración de correo electrónico.
550 x.x.x.x: Denegado por El Host inteligente no ha aceptado un Compruebe la configuración de la directiva. Conversación comando STARTTLS, pero McAfee DLP TLS en el host. TLS requerida Prevent está configurado para enviar el correo electrónico en todo momento a través de una conexión TLS.
256
McAfee Data Loss Prevention 10.0.100
Guía del producto
Mantenimiento y resolución de problemas en McAfee DLP Prevent Crear un informe de escalación mínima (MER)
14
Tabla 14-5 Mensajes de error de ICAP Error
Causa
Acción
500 (falta configuración del servidor LDAP)
Este error se produce cuando se cumplen estas dos Compruebe que el condiciones: servidor LDAP está seleccionado en la • McAfee DLP Prevent contiene una regla que categoría de directiva especifica un usuario final como miembro de un Usuarios y grupos. grupo de usuarios LDAP. • McAfee DLP Prevent no está configurado para recibir información de grupo desde el servidor LDAP que contiene ese grupo de usuarios.
500 (error al resolver la directiva basada en el usuario final)
Una directiva contiene condiciones del remitente LDAP, pero no puede obtener la información del servidor LDAP porque:
Compruebe que el servidor LDAP está disponible.
• McAfee DLP Prevent y el servidor LDAP no se han sincronizado. • El servidor LDAP no responde.
Crear un informe de escalación mínima (MER) Cree un informe de escalación mínima para facilitar al servicio técnico de McAfee la información necesaria para diagnosticar un problema con McAfee DLP Prevent. El informe de escalación mínima está disponible en una dirección URL del servidor de McAfee DLP Prevent. Hasta cinco informes pueden estar disponibles al mismo tiempo. Cada uno de ellos se eliminará después de 24 horas. Puede tardar varios minutos para generar un informe de escalación mínima, cuyo tamaño será de varios megabytes. En ocasiones, podría tardar más tiempo en generar un informe.
El informe contiene información, como registros de hardware, versiones de software, uso de memoria y espacio en disco, información del sistema y la red, archivos abiertos, procesos activos, IPC, archivos binarios, informes, imágenes de rescate y pruebas del sistema. El informe no contiene información de la prueba ni del resaltado de coincidencias. Práctica recomendada: Cuando cree un informe de escalación mínima, especifique una contraseña para proteger el informe. No olvide incluir la contraseña cuando envíe el informe al servicio técnico de McAfee.
Procedimiento Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda. 1
Inicie sesión en el appliance con credenciales de administrador. Se abrirá el menú general de la consola.
2
Utilice la tecla de la flecha hacia abajo para seleccionar Generate MER (Generar MER).
3
Escriba una contraseña que puede utilizar el servicio de soporte técnico de McAfee para abrir el MER y utilice la tecla de la flecha para pasar al campo de confirmación de la contraseña.
McAfee Data Loss Prevention 10.0.100
Guía del producto
257
14
Mantenimiento y resolución de problemas en McAfee DLP Prevent Crear un informe de escalación mínima (MER)
4
Pulse INTRO para empezar a generar el informe. Cuando el informe esté listo, recibirá una notificación con la dirección URL (https://: 10443/mer) desde la que se podrá descargar el informe.
5
Vaya a la dirección URL y seleccione el informe de escalación mínima que desea descargar. Hasta cinco informes están disponibles al mismo tiempo. Si se genera otro informe, se elimina el informe más antiguo.
6
Siga las instrucciones del servicio de soporte técnico de McAfee para enviar el informe. Si ha establecido una contraseña, no olvide incluirla.
258
McAfee Data Loss Prevention 10.0.100
Guía del producto
A
Glosario
Tabla A-1
Terminología de McAfee DLP
Plazo
Definición
Productos
Acción
Lo que hace una regla cuando el contenido coincide con la definición de la regla. Algunos ejemplos comunes de acciones son bloquear, cifrar o poner en cuarentena.
Todo
Rastreo
Recuperar archivos e información de repositorios, sistemas de archivos y correo electrónico.
• McAfee DLP Endpoint (Discovery) • McAfee DLP Discover
Clasificación
Se utiliza para identificar y rastrear archivos y contenido de carácter confidencial. Puede incluir clasificaciones de contenido, huellas digitales de contenido, documentos registrados y texto en lista blanca.
Todo
Clasificación del contenido
Mecanismo para identificar contenido de carácter confidencial a partir de condiciones de datos, como diccionarios y patrones de texto, y condiciones de archivos como propiedades de documentos o extensiones de archivos.
Todo
Identificación por Mecanismo para clasificar y rastrear contenido de McAfee DLP Endpoint huellas digitales carácter confidencial. Los criterios de identificación por para Windows de contenido huellas digitales de contenido especifican aplicaciones o ubicaciones y pueden incluir condiciones de archivos y datos. Las firmas de huella digital mantienen el contenido de carácter confidencial cuando este se copia o mueve. Vector de datos
Definición del uso o el estado del contenido. McAfee DLP protege los datos confidenciales cuando se almacenan (datos en reposo), cuando se utilizan (datos en uso) y cuando se transfieren (datos en movimiento).
Todo
Definición
Componente de la configuración que crea una clasificación o directiva de análisis de McAfee DLP Discover.
Todo
Clase de dispositivo
Recopilación de dispositivos con características • Device Control parecidas que se pueden gestionar de un modo similar. • McAfee DLP Endpoint Las clases de dispositivos se aplican únicamente en equipos con Windows y su estado puede ser para Windows Gestionado, No gestionado o En lista blanca.
Servidor Discover
El servidor Windows donde se instala el software de McAfee DLP Discover.
McAfee DLP Discover
Puede instalar varios servidores Discover en su red.
McAfee Data Loss Prevention 10.0.100
Guía del producto
259
A
Glosario
Tabla A-1
Terminología de McAfee DLP (continuación)
Plazo
Definición
Productos
Información del archivo
Una definición que puede incluir el nombre del archivo, Todos los productos el propietario, el tamaño, la extensión y las fechas de creación, modificación o acceso. Utilice las definiciones de información del archivo de los filtros para incluir o excluir los archivos que se va a analizar.
Identificación por Procedimiento de extracción de texto que utiliza un • McAfee DLP Endpoint huellas digitales algoritmo para asignar un documento a cadenas de para Windows bits o firmas. Se utiliza para crear documentos registrados y para la identificación por huellas digitales • McAfee DLP Prevent de contenido. Dispositivos gestionados
Estado de una clase de dispositivos que indica que los dispositivos de dicha clase son gestionados por Device Control.
• Device Control
Cadena coincidente
Contenido encontrado que coincide con una regla.
Todos los productos
MTA
Agente de transferencia de mensajes
McAfee DLP Prevent
Ruta
Un nombre UNC, una dirección IP o una dirección web. • McAfee DLP Endpoint (Discovery)
• McAfee DLP Endpoint
• McAfee DLP Discover • McAfee DLP Prevent Directiva
Conjunto de definiciones, clasificaciones y reglas que definen cómo el software de McAfee DLP protege los datos.
Todos los productos
Revisor de redacción
Permite redactar información confidencial en las consolas Administrador de incidentes de DLP y Operaciones de DLP para impedir visualizaciones no autorizadas.
Todos los productos
Documentos registrados
Archivos analizados previamente de repositorios • McAfee DLP Endpoint especificados. Las firmas de los archivos se distribuyen para Windows a todos los equipos endpoint gestionados y se utilizan para rastrear y clasificar el contenido copiado de estos • McAfee DLP Prevent archivos.
Repositorio
Carpeta, servidor o cuenta que contiene archivos compartidos.
• McAfee DLP Endpoint (Discovery)
La definición de repositorio incluye las rutas y las credenciales para analizar los datos.
• McAfee DLP Discover
Regla
Define la acción que se lleva a cabo cuando se intenta transferir o transmitir datos de carácter confidencial.
Todos los productos
Conjunto de reglas
Combinación de las reglas.
Todos los productos
Planificador
Una definición que especifica los detalles de análisis y el tipo de planificación: diaria, semanal, mensual, una vez o inmediata.
• McAfee DLP Endpoint (Discovery)
McAfee DLP Endpoint divide las aplicaciones en cuatro categorías denominadas estrategias que afectan al modo en el que funciona el software con distintas aplicaciones. En orden decreciente de seguridad, las estrategias son Editor, Explorador, De confianza y Archivador.
McAfee DLP Endpoint
Estrategia
260
McAfee Data Loss Prevention 10.0.100
• McAfee DLP Discover
Guía del producto
Glosario
Tabla A-1
A
Terminología de McAfee DLP (continuación)
Plazo
Definición
Productos
Dispositivos no gestionados
Estado de una clase de dispositivos que indica que los dispositivos de dicha clase no son gestionados por Device Control. Algunos equipos endpoint utilizan dispositivos que tienen problemas de compatibilidad con los controladores de dispositivos de McAfee DLP Endpoint. Para evitar problemas operativos, estos dispositivos se definen como no gestionados.
• Device Control
Dispositivos en lista blanca
Estado de una clase de dispositivos que indica que Device Control no intenta controlar los dispositivos de dicha clase. Algunos ejemplos son los procesadores y dispositivos de baterías.
Device Control McAfee DLP Endpoint para Windows
McAfee Data Loss Prevention 10.0.100
• McAfee DLP Endpoint para Windows
Guía del producto
261
A
Glosario
262
McAfee Data Loss Prevention 10.0.100
Guía del producto
Índice
A acerca de esta guía 9 Activar agentes 49 acumulación de datos 234 administración de derechos 66, 68 administrador de incidentes 212 Administrador de incidentes de DLP 212 respuesta a eventos 211 Ajustes generales de administración de appliances 88 Almacenamiento de pruebas 70 ampliación 47 análisis clasificación 188, 201 corrección 189, 202 credenciales 195 inventario 188, 200 planificador 198 repositorios 196, 197 resultados 205 tipos de 19 análisis de clasificación acerca de 188 configuración 201 análisis de corrección acerca de 189 configuración 202 análisis de inventario acerca de 188 configuración 200 análisis iniciados por el usuario 179 analizador de eventos 15 ancho de banda 189 archivo, acceso reglas, acerca de 104 archivos OST 116 archivos PST 116 ataque de denegación de servicio evitar 81 autenticación de protección web 84 autorreparación del usuario 179
B Boldon James 138
McAfee Data Loss Prevention 10.0.100
Boldon James, integración 137 Box 146
C caracteres comodín, en las definiciones de dirección de correo electrónico 147 carpeta de pruebas 71 casos actualización 224 adición de comentarios 224 asignación de incidentes 223 creación 222 eliminación 226 envío de notificaciones 224 etiquetas 225 información 222 registros de auditoría 223 catálogo de directivas 60 certificados 254 Chrome, versiones compatibles 150 clases de dispositivos 95 clasificación 113 correo electrónico 138 criterios 129 manual 124 clasificación de correo electrónico 138 clasificación del contenido criterios 114 clasificación manual 126, 132 clasificación manual, persistencia 114 clasificaciones 128 acerca de 113 compatibilidad con JAWS 16 compatibilidad con OS X 17, 93, 97, 104–106, 113, 117, 123, 145, 150
compatibilidad con versiones anteriores 43 componentes, Data Loss Prevention (diagrama) 26 configuración de bloqueo de retransmisión 83 Configuración de DLP 41 configuración del agente compatibilidad con Mac OS 63 configuración del cliente 61 árbol de sistemas 60 Configuración del tiempo de espera 81
Guía del producto
263
Índice
conjuntos de permisos 74 Administración de appliances 79 McAfee DLP Prevent 79 conjuntos de permisos, definición 76 conjuntos de permisos, filtrado del Árbol de sistemas 73 conjuntos de reglas acerca de 141 creación 162 Consola de directivas de DLP, instalación 40 consola de endpoint 15–17 control de acceso basado en funciones 76 controladores protección en la nube 146 convenciones tipográficas e iconos utilizados en esta guía 9 conversión 45 correo electrónico 116 dispositivos móviles 21 red 20 correo electrónico de la red 20 correo electrónico para dispositivos móviles 21 credenciales 195 criterio de identificación por huellas digitales de contenido 31 criterios de identificación por huellas digitales 131 cuarentena restauración de archivos o elementos de correo electrónico de 184
D datos clasificación 121 datos en tránsito 117 datos de DLP, clasificación 122 datos en reposo 180 definiciones credenciales 195 destino web 117 diccionarios 121 documentos registrados 127 extensión del archivo 122 información del archivo 194 McAfee DLP Discover 192 para análisis 194 patrón de texto 122 planificador 198 propiedades de documento 122 red 116 repositorios 196, 197 definiciones de aplicaciones estrategia 118 definiciones de dispositivos 97 almacenamiento extraíble 100 definiciones de propiedades de documento 122 definiciones de red acerca de 116 intervalo de direcciones 143
264
McAfee Data Loss Prevention 10.0.100
definiciones de red (continuación) intervalo de puertos 142 Definiciones para reglas Definiciones de reglas 142 desafío/respuesta 184 descubrimiento acerca de 180 configuración 183 creación de una regla de descubrimiento del sistema de archivos 182 descubrimiento de endpoints 179 destinos web acerca de 117 diccionarios acerca de 121 creación 134 importación de entradas 134 direcciones de correo electrónico creación 143 Directiva del servidor de DLP Prevent 80 directiva, configuración 193 directivas definición 32 DLP Prevent 80 directivas, ajuste 245 dispositivos listas, agregar definiciones de dispositivos Plug and Play 99 dispositivos Plug and Play definición en lista blanca, creación 99 DLP Discover 180 DLP Endpoint incorporar en McAfee ePO 46 DLP Prevent activar TLS 83 bloqueo de retransmisión 83 con McAfee Web Gateway 90 Configuración del tiempo de espera 81 Configurar MTA adicionales 82 directiva seleccione LDAP 86 Entrega por turnos 82 evita los ataques de denegación de servicio 81 hosts permitidos 83 McAfee Logon Collector 84, 87 notificaciones de usuario 157 protección de correo electrónico 20 protección web 20 reacciones de regla 148 servidores LDAP 84 sustituir el certificado por defecto 254 y McAfee Email Gateway 88 DLP Prevent for Mobile Email, instalación 55 documentación convenciones tipográficas e iconos 9 destinatarios de esta guía 9
Guía del producto
Índice
J
documentación (continuación) específica de producto, buscar 10 documentos registrados 31, 127 Dropbox 146
justificación empresarial, personalización 157
E
LDAP 86 limitaciones 189
Encabezado X-RCIS-Action 148 Entrega de mensajes por turnos 82 estrategia, véase definiciones de aplicaciones Estrategia de tiempo de espera, publicación web 150 etiquetas incrustadas 124, 125 eventos supervisión 211 eventos operativos 212 excepciones de reglas 162 extensiones de archivo definiciones 122 extractor de texto 117
F filtros 194 definiciones de red 116 funcionamiento con conexión/sin conexión 15 funciones de McAfee ePO 91 funciones y permisos 71
G Google Chrome, versiones compatibles 150 Google Drive 146 grupos de asignación definición 32 GUID, véase GUID del dispositivo GUID del dispositivo 96
L
listas blancas 32 definiciones de dispositivos Plug and Play, crear 99 listas de direcciones de correo electrónico 147 listas de URL creación 136
M manual, clasificación 132 marcado 113 acerca de 114 marcadores de posición 157 McAfee Agent 27 McAfee DLP Prevent Asistente de instalación 54, 250 Consola serie 53 instalación 50 Requisitos del servidor MTA 27 McAfee Email Gateway con McAfee DLP Prevent 88 McAfee Logon Collector 84 McAfee ServicePortal, acceso 10 McAfee Web Gateway con McAfee DLP Prevent 90 migración 45 MTA Agregar más 82
N
H herramienta de diagnóstico 245 Herramienta de diagnóstico 243
I identificación por huellas digitales de contenido criterios 114 Imagen de instalación interna 251 incidentes actualización 219 detalles 217 etiquetas 221 filtrado 215, 217 orden 215 vistas 216 informes de datos acumulados 232 informes de ePO 232 instalación 46
McAfee Data Loss Prevention 10.0.100
notificación de usuario, personalización 157 notificaciones de ePO 232 notificaciones, ePolicy Orchestrator 232
O OLAP 204 OneDrive 146
P paneles, opciones de informe 232 patrones avanzados creación 135 patrones de texto acerca de 122 planificador 198 plantillas de aplicación acerca de 123 Portapapeles Microsoft Office 146
Guía del producto
265
Índice
prácticas recomendadas 31, 41, 45, 73, 97, 99, 168 propiedades del dispositivo 101 proximidad 114 prueba almacenamiento para contenido cifrado 69 eventos de Endpoint 211 puerto de administración, conexión 52 puertos predeterminados 35
R reacciones 158 reacciones de regla 148 redacción 73 reglas 144 acerca de 193 Citrix XenApp 104 crear 162 excepciones 162 protección de correo electrónico 147 protección en la nube 146 reacciones 158 reglas de almacenamiento de pruebas 71 reglas de clasificación 30 reglas de descubrimiento de endpoint 162 reglas de dispositivos acerca de 104 Reglas de dispositivos Citrix XenApp 104 Reglas de dispositivos TrueCrypt 104 reglas de DLP clasificación 30 dispositivo 32 protección 32 reglas de protección 162 definición 32 Reglas de protección contra impresión 116 reglas de protección de correo electrónico 147 Reglas de protección del Portapapeles 146 reglas de protección en la nube 146 Reglas de protección web 150 reglas para para análisis de corrección 199
266
McAfee Data Loss Prevention 10.0.100
reglas para dispositivos 162 definición 32 regulación 189 repositorios 196, 197 Resaltado de coincidencias, eventos 70 RMM 249, 250
S ServicePortal, buscar documentación del producto 10 servicio de vigilancia 61 servidores de Active Directory 84 servidores de autenticación 84 servidores OpenLDAP 84 sesiones de usuarios 104 soporte técnico, encontrar información de productos 10 soporte TIE 145 supervisión 212 Syncplicity 146
T tareas de eventos operativos 227 tareas de incidentes 212, 227 tareas servidor 45, 227 tareas servidor, acumulación 234 texto en lista blanca 130 Titus, integración 137 TLS activar 83 Transport Layer Security ver TLS 83
U ubicación, clasificación por 117
V validadores 122 Versiones de Chrome no compatibles con 145 vigilancia del servicio cliente 61
Guía del producto
0A02
