Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Funciones clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Cómo funciona. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Flujo de trabajo para proteger los datos confidenciales con McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Caso práctico: Flujo de trabajo de la directiva de prevención de fuga de datos para bloquear datos adjuntos de
correo electrónico con información de carácter confidencial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Implementación de la directiva para habilitar la función PIP en los appliances de McAfee DLP. . . . . . . . . . . . 44
Resaltado de coincidencias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Crear un usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Caso de uso: limitar la visualización del Administrador de incidentes de DLP con permisos de redacción
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Restricción de la visualización de las opciones de Ajustes generales de gestión de appliances por parte
de los usuarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Extracción de texto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Ventajas de utilizar plantillas para definir los criterios de identificación por huellas digitales de contenido. . . . . . 90
Preparación del archivo de huella digital para la coincidencia exacta de datos. . . . . . . . . . . . . . . . . . . . . . . . . 101
Opciones para generar el archivo de huella digital con la herramienta EDMTrain. . . . . . . . . . . . . . . . . . 104
Formación automatizada de un archivo de origen de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Verificar el estado del archivo de huella digital cargado mediante la llamada a la API REST. . . . . . . . . 114
Cómo pueden clasificar sus propios archivos los usuarios finales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Caso de uso: crear una definición de diccionario basada en palabras clave. . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Clasificación de contenido de carácter confidencial mediante etiquetas de Boldon James y Titus. . . . . . . . . . . . . 137
Clasificar contenido de carácter confidencial mediante etiquetas de Microsoft RMS o Azure Information Protection
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Uso de reglas y directivas para proteger el contenido de carácter confidencial. . . . . . . . . . . . 140
Notificación para un remitente de correo electrónico acerca de las infracciones de directivas. . 149
Asignar e insertar una directiva para configurar un appliance de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . 167
Caso práctico: regla de acceso a archivos de dispositivos de almacenamiento extraíbles con un proceso para
ignorar nombres de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Caso práctico: Bloquear y cargar un iPhone con una regla de dispositivos Plug and Play. . . . . . . . . . . . . . . . 169
Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen
a un dominio especificado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Caso práctico: Permitir que un grupo de usuarios específico envíe información de crédito. . . . . . . . . . . . . . 173
Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destino. . . . . . . . . . . . 174
Ejemplo de uso: Añadir encabezados personalizados a los mensajes de correo electrónico. . . . . . . . . . . . . 177
Caso práctico: Impedir que los datos se filtren en la web desde aplicaciones basadas en la nube. . . . . . . . 180
Ventajas de las plantillas de dispositivo para definir los parámetros de dispositivo. . . . . . . . . . . . . . . . . . . . . 188
Creación de una plantilla de dispositivos Plug and Play excluidos de la. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Configuración de MVISION Cloud para utilizar las clasificaciones locales de McAfee DLP. . . . . . . . . . . 200
Crear directivas de McAfee DLP mediante clasificaciones de McAfee DLP locales. . . . . . . . . . . . . . . . . . 201
Proteger el correo electrónico: uso de directivas de McAfee DLP en McAfee MVISION Cloud. . . . . . . . . . . . . 203
3. Creación de conectores de correo electrónico: enrutamiento del correo electrónico después del
análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Uso de directivas para definir cómo funcionan los appliances de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Deshabilitación del acceso a los puertos de gestión a través de la interfaz de tráfico. . . . . . . . . . . . . . . . . . . 213
Cerrar los puertos SMTP del appliance de McAfee DLP Prevent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Añadir más MTA que pueden entregar mensajes de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Configuración de McAfee DLP Prevent para analizar solamente el tráfico ICAP cifrado. . . . . . . . . . . . . . . . . . 218
Cerrar los puertos ICAP del appliance de McAfee DLP Prevent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Habilitación de un appliance de McAfee DLP Prevent para procesar las solicitudes de respuesta. . . . . . . . . 218
Cambios en el proxy web necesarios para la integración con McAfee Logon Collector. . . . . . . . . . . . . 224
Aplicación de reglas de protección de comunicaciones de la red para el tráfico FTP, HTTP o SMTP. . . . . . . . 225
Página Elegir entre los valores existentes (conjuntos de reglas de análisis). . . . . . . . . . . . . . . . . . . . . . . 289
Guarde una regla existente como una búsqueda de DLP Capture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Caso práctico: ajuste de una regla para eliminar los falsos positivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Conjuntos de permisos necesarios para ejecutar las llamadas a la API de incidentes. . . . . . . . . . . . . . . . . . . . . . . . 341
Visualización de la información del estado de los appliances de McAfee DLP Prevent en McAfee ePO. . . . . . . . . 368
Visualización de la información del estado de los appliances de McAfee DLP Monitor en McAfee ePO. . . . . . . . . 371
Diagnóstico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Apéndice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
General. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Clasificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Adición de un controlador de dominio y monitor de inicio de sesión a McAfee Logon Collector. . . . . . . . . . 458
Cómo funciona McAfee Logon Collector con los appliances de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . 459
McAfee® Data Loss Prevention (McAfee DLP) es un paquete de productos que protege frente a la fuga de datos mediante su
identificación y puesta a salvo en la red y fuera de ella. Las directivas de McAfee DLP ayudan a comprender los tipos de datos en
su red, cómo se accede a ellos, cómo se transmiten y si contienen información de carácter confidencial. Utilice McAfee DLP a fin
de crear e implementar directivas de protección eficaces, a la vez que se reduce la necesidad de un amplio proceso de ensayo y
error.
Cada uno de los productos de McAfee DLP protege distintos tipos de datos en su red.
• McAfee® Data Loss Prevention Endpoint (McAfee DLP Endpoint) for Windows : solución de agente basada en
contenido que inspecciona las acciones del usuario. Analiza los datos en uso en los endpoints y bloquea o cifra la
transferencia de datos no autorizada identificada como confidencial. La característica de descubrimiento de endpoints
analiza el sistema de archivos local y los archivos de almacenamiento de correo electrónico, y aplica reglas para proteger
el contenido de carácter confidencial.
• McAfee® Data Loss Prevention Endpoint for Mac (McAfee DLP Endpoint for Mac): ofrece una protección similar a
equipos Macintosh con sistemas operativos macOS.
• McAfee® Device Control: controla el uso de medios extraíbles en los endpoints. Device Control contiene un
subconjunto de reglas de protección en McAfee DLP Endpoint para Windows y Mac.
• McAfee® Data Loss Prevention Discover (McAfee DLP Discover): analiza los repositorios de Box, SharePoint, bases de
datos y archivos de red para identificar y proteger los datos confidenciales mediante la copia o movimiento de archivos
o mediante la aplicación de una directiva de administración de derechos. Los análisis de registro extraen información
de huella digital de los repositorios de archivos para la clasificación de archivos y almacenan las firmas en una base de
datos de documentos registrados.
• McAfee® Data Loss Prevention Prevent (McAfee DLP Prevent): colabora con su servidor MTA o proxy web para
proteger el tráfico web y de correo electrónico.
• McAfee® Data Loss Prevention Monitor (McAfee DLP Monitor) : analiza de forma pasiva el tráfico de red sin cifrar en
busca de posibles incidentes de fuga de datos.
Funciones clave
McAfee DLP proporciona protección exhaustiva para todos los posibles canales de fuga, incluidos los dispositivos de
almacenamiento extraíbles, la nube, las aplicaciones de uso compartido de archivos, correo electrónico, mensajería instantánea,
web, impresión, portapapeles y captura de pantalla.
Implementación de conformidad: garantice la conformidad abordando las acciones cotidianas de los usuarios, como el envío de
correos electrónicos, la publicación en la nube y las descargas en dispositivos multimedia extraíbles.
Protección avanzada: aplique la identificación por huellas digitales, la clasificación y el etiquetado de archivos para proteger
datos no estructurados de carácter confidencial, como la propiedad intelectual o los secretos comerciales.
Análisis y descubrimiento: analice los archivos y las bases de datos almacenados en endpoints locales, repositorios compartidos
o la nube para identificar datos de carácter confidencial.
Formación del usuario: proporcione información en tiempo real a través de mensajes emergentes instructivos que contribuyen
a forjar una cultura y conciencia corporativa en relación con la seguridad.
Gestión centralizada: realice integraciones con el software de McAfee ePO para simplificar la gestión de directivas e incidentes.
• Controla qué datos se pueden copiar en dispositivos extraíbles o controla los propios dispositivos. Puede bloquear
completamente los dispositivos o hacer que sean solo de lectura.
• Proporciona protección de las unidades USB, los smartphones, los dispositivos Bluetooth y otros medios extraíbles.
• Evita la ejecución de ejecutables en medios extraíbles. Pueden hacerse excepciones para archivos ejecutables
obligatorios, como la protección antivirus. (Solo la versión para Windows)
Funciones principales de McAfee DLP Discover
• Detecta y clasifica el contenido de carácter confidencial.
• Crea bases de datos de firmas de documentos registrados.
• Mueve o copia archivos de contenido confidencial.
• Se integra con Microsoft Rights Management Service para aplicar la protección de archivos.
• Automatiza tareas de TI, como encontrar archivos vacíos, determinar los permisos y hacer una lista de los archivos que
han cambiado en un período de tiempo específico.
• Es compatible con el reconocimiento óptico de caracteres (OCR) para los análisis de clasificación, corrección y registro de
repositorios basados en archivos.
Funciones principales de McAfee Data Loss Prevention Endpoint
• McAfee DLP Endpoint incluye todas las funciones de Device Control.
• El motor de clasificación aplica las definiciones y los criterios de clasificación que definen el contenido que debe
protegerse, así como dónde y cuándo se debe aplicar la protección.
• Las reglas de protección aplican los criterios de clasificación y otras definiciones para proteger el contenido de carácter
confidencial.
• Protege contra la fuga de datos en las siguientes ubicaciones:
Software del Portapapeles
Aplicaciones en la nube
Correo electrónico
Recursos compartidos de red
Impresoras
Capturas de pantalla
Acceso a archivos de la aplicación
Publicaciones web
Almacenamiento extraíble
Archivos del sistema de archivos local
Note
El portapapeles, las impresoras, las capturas de pantalla y la protección de mensajes web no son compatibles actualmente
con macOS
El rastreador de descubrimiento de McAfee DLP Endpoint se ejecuta en el endpoint local, realiza búsquedas en el sistema de
archivos local y los archivos de almacenamiento de correo electrónico, y aplica directivas para proteger el contenido de carácter
confidencial.
• Implementa de forma proactiva las directivas para todo tipo de información enviada por correo electrónico o web.
• Implementa directivas para la información que sepa que es de carácter confidencial y para la que no lo sepa.
• Filtra y controla la información de carácter confidencial para protegerla frente a riesgos conocidos y desconocidos.
• Proporciona una amplia variedad de directivas y reglas integradas para los requisitos comunes, como la conformidad
normativa, la propiedad intelectual y el uso aceptable.
• Es compatible con el reconocimiento óptico de caracteres (OCR) para los análisis de imágenes adjuntas a los mensajes
de correo electrónico. Las imágenes también pueden ser archivos .pdf creados por un analizador de documentos.
Funciones principales de Data Loss Prevention Monitor
• Analiza el tráfico de protocolos TCP habituales para identificar los usuarios o dispositivos que envían un gran volumen de
tráfico desconocido, lo que podría indicar una infracción de la directiva de la empresa.
• Analiza los puntos de fuga de datos sin influir en la red para contribuir a planificar su estrategia de prevención de fuga
de datos.
• Admite protocolos sin proxy de otros gateways de correo electrónico o web.
• Supervisa el tráfico de la red en busca de dispositivos que no tengan instalado McAfee DLP.
• Proporciona una amplia variedad de directivas y reglas integradas para los requisitos comunes, como la conformidad
normativa, la propiedad intelectual y el uso aceptable.
• Admite el reconocimiento óptico de caracteres (OCR) para los análisis de imágenes adjuntas a mensajes web o imágenes
encontradas en otro tráfico de red.
Los appliances de McAfee DLP Prevent y McAfee DLP Monitor que tengan la función DLP Capture habilitada también:
• Capturar contenido para analizar después las palabras clave, la actividad del usuario o el nombre de archivo, e identificar
posibles incidentes de fuga de datos que las reglas de protección de comunicaciones de la red, de protección de correo
electrónico o de protección web activas no tuvieron en cuenta.
• Permitir la personalización completa de las reglas de protección de comunicaciones de la red, del correo electrónico o
web para realizar pruebas con la base de datos de DLP Capture.
Cómo funciona
Todos los productos de McAfee DLP detectan la actividad del usuario o datos de carácter confidencial, toman medidas contra las
infracciones de directivas y crean incidentes de infracciones.
La instalación de todos los productos de McAfee DLP permite utilizar todas las funciones de la suite de productos. El diagrama
siguiente muestra una red simplificada en la que se han desplegado todos los productos de McAfee DLP y McAfee ePO.
1. Los administradores crean directivas en McAfee ePO y las despliegan en los clientes de McAfee DLP Endpoint para
Windows y McAfee DLP Endpoint for Mac.
a. Los usuarios crean, guardan y copian archivos o correos electrónicos.
b. El cliente de McAfee DLP Endpoint aplica las directivas y bloquea o permite las acciones del usuario.
c. La aplicación de las directivas crea incidentes que se envían al Administrador de incidentes de DLP para la generación
de informes y análisis.
2. McAfee DLP Discover analiza los archivos desde los repositorios locales o en la nube y las bases de datos locales,
recopilando los metadatos del archivo.
a. McAfee DLP Discover recibe las clasificaciones y directivas de McAfee DLP que se aplicarán durante los análisis de
clasificación o corrección.
b. El software del servidor DLP crea bases de datos de documentos registrados para su uso en directivas para McAfee
DLP Discover, McAfee DLP Prevent y McAfee DLP Monitor.
c. Los incidentes de los análisis de corrección se envían al Administrador de incidentes de DLP para la generación de
informes y análisis.
3. McAfee DLP Prevent recibe correo electrónico de los servidores MTA y tráfico web de los servidores proxy de la web.
Analiza los mensajes de correo electrónico y el tráfico web, aplica las directivas de McAfee DLP y envía incidentes y pruebas
al Administrador de incidencias de DLP.
4. McAfee DLP Monitor analiza el tráfico de red y, a continuación, crea incidentes o guarda pruebas para los protocolos
admitidos. Aplica reglas de protección de comunicaciones de la red, reglas de protección web o reglas de protección de
correo electrónico.
McAfee Device Control controla el contenido de carácter confidencial copiado en dispositivos extraíbles. McAfee DLP Endpoint
inspecciona también las acciones de los usuarios de empresa en contenido de carácter confidencial al enviar por correo
electrónico, mediante las aplicaciones de nube y al registrar en sitios web o recursos compartidos de red
El software cliente de McAfee DLP Endpoint se despliega como un complemento de McAfee Agent e implementa las directivas
definidas en la directiva de McAfee DLP. Audita las actividades del usuario para supervisar, controlar y evitar que los usuarios no
autorizados copien o transfieran datos confidenciales y genera eventos registrados por el analizador de eventos de McAfee ePO.
Los eventos generados por el software cliente de McAfee DLP Endpoint se envían al analizador de eventos de McAfee ePO y
se registran en tablas en la base de datos de McAfee ePO. Los eventos se almacenan en la base de datos para un análisis más
detallado y se utilizan en otros componentes del sistema.
1. Cree las directivas formadas por definiciones, clasificaciones y conjuntos de reglas (grupos de Device Control, protección
de datos y reglas de descubrimiento) en las consolas del Administrador de directivas de DLP y de Clasificación en McAfee
ePO.
2. Despliegue las directivas en los endpoints.
3. Recopile los incidentes de los endpoints para la supervisión y generación de informes.
McAfee DLP Endpoint para Windows protege la información empresarial confidencial mediante cuatro niveles de protección:
1. Las reglas de Device Control controlan la información copiada a las unidades externas.
2. Las reglas de protección de datos controlan los datos a medida que se utilizan o copian en archivos o correos electrónicos.
3. El descubrimiento de endpoints analiza los repositorios de correo electrónico y archivos locales en busca de información
confidencial.
4. Las reglas de control de aplicaciones web bloquean las direcciones URL especificadas por nombre o reputación.
McAfee DLP Endpoint for Mac protege la información empresarial confidencial mediante tres niveles de protección:
1. Las reglas de Device Control controlan la información copiada a las unidades externas.
2. Las reglas de protección de datos controlan los datos a medida que se utilizan o copian en archivos.
3. El descubrimiento de endpoints analiza los repositorios de archivos locales en busca de información confidencial.
• Aplica directivas formadas por definiciones, clasificaciones, conjuntos de reglas, configuraciones de cliente de endpoint y
planificaciones de descubrimiento de endpoint.
• Supervisa las directivas y bloquea las acciones con contenido de carácter confidencial, según corresponda.
• Cifra contenido de carácter confidencial para permitir la acción.
• Crea informes para revisar y controlar el proceso, y puede almacenar el contenido de carácter confidencial como prueba.
Puede aplicar distintas reglas de dispositivo y protección, en función de si el equipo gestionado está en línea (conectado a la
red de la empresa) o fuera de línea (desconectado de la red). Algunas reglas también le permiten diferenciar entre los equipos
dentro de la red y los que están conectados a la red mediante VPN.
Los equipos basados en Windows se pueden proteger mediante McAfee Device Control o McAfee DLP Endpoint para Windows.
El software cliente McAfee DLP Endpoint para Windows utiliza tecnología de descubrimiento avanzada, reconocimiento de
patrón de texto y diccionarios predefinidos. Identifica contenido de carácter confidencial e incorpora la gestión de dispositivos y
cifrado para añadir capas de control.
Information Rights Management (IRM) protege los archivos sensibles mediante el cifrado y la gestión de permisos de acceso.
McAfee DLP Endpoint para Windows admite Microsoft Rights Management Service (RMS) local, Azure RMS y Seclore FileSecure
como métodos complementarios para la protección de datos. Habitualmente se utiliza para evitar la copia de archivos que no
están protegidos por IRM.
El software de clasificación se asegura de que los correos electrónicos y otros archivos se clasifiquen uniformemente y se
etiqueten con marcado de protección. McAfee DLP Endpoint para Windows se integra con Titus Message Classification y
Boldon James Email Classifier for Microsoft Outlook para crear reglas de protección de correo electrónico en función de las
clasificaciones aplicadas. Se integra con otros clientes de clasificación de Titus mediante el SDK de Titus para crear otras reglas
de protección basadas en las clasificaciones aplicadas.
Job Access With Sound (JAWS), el software lector de pantalla muy utilizado por invidentes, es compatible con endpoints de
Windows.
Consola de Endpoint
La consola de endpoint se diseñó para compartir información con el usuario y facilitar la corrección automática de problemas. Se
configura en la pestaña Configuración del cliente Windows → Servicio de interfaz de usuario.
La consola se activa desde el icono del área de notificación mediante la selección de Administrar funciones → Consola
de DLP Endpoint. También se puede activar haciendo doble clic en DlpConsoleRunner.exe en la carpeta C:\Archivos de
programa\McAfee\DLP\Agent\Tools\. Completamente configurado, tiene cuatro páginas con fichas:
• Historial de notificaciones: Muestra eventos, incluidos los detalles de los eventos agregados.
• Descubrimiento: Muestra los detalles de los análisis de descubrimiento.
• Tareas: Genera códigos de ID e introduce códigos de autorización para la omisión de agente y la cuarentena.
• Acerca de: Muestra información sobre el estado del agente, la directiva activa, la configuración y el grupo de asignación
de equipos, incluidos los números de ID de revisión.
McAfee DLP Endpoint for Mac impide el uso no autorizado de dispositivos extraíbles y proporciona protección para el contenido
de carácter confidencial en los endpoints y los recursos compartidos de red.
Los equipos macOS se pueden proteger con McAfee Device Control o McAfee DLP Endpoint for Mac. Ambos admiten reglas
de dispositios Plug-and-Play y de almacenamiento extraíbles. McAfee DLP Endpoint for Mac también admite estas reglas de
protección de datos y de descubrimiento de archivos de endpoint:
Puede identificar el contenido de carácter confidencial mediante las clasificaciones, como en los equipos con Windows, pero no
se admiten los documentos registrados ni la identificación por huellas digitales de contenido.
• Clasificación manual
• Extracción de texto
• Cifrado de pruebas
• Definiciones de justificación empresarial
Consola de endpoint
En los endpoints basados en macOS, la consola se activa desde el menulet de McAfee situado en la barra de estado. El Panel
se integra con otros software de McAfee instalados, como McAfee® VirusScan® for Mac y muestra una descripción general del
estado de todos los productos de McAfee instalados. La página Registro de eventos muestra los eventos recientes del software
de McAfee. Haga clic en una entrada para ver los detalles.
Para activar la pantalla de omisión de agente, seleccione Preferencias desde la opción de menú.
McAfee DLP Discover se ejecuta en servidores Microsoft Windows y analiza las bases de datos y los sistemas de archivos de la
red para identificar y proteger los archivos y los datos de carácter confidencial.
McAfee DLP Discover es un sistema de software extensible y escalable que puede cumplir los requisitos de cualquier red,
independientemente de su tamaño. Despliegue el software de McAfee DLP Discover en tantos servidores de la red como
necesite.
McAfee ePO utiliza McAfee Agent para instalar y desplegar el software de McAfee DLP Discover en un servidor de
descubrimiento: uno designado para Windows Server. Para realizar análisis de registro, en los que también se requiere una
base de datos de registro, instale el software DLP Server.
McAfee ePO aplica la directiva de análisis en los servidores Discover, los cuales analizan el repositorio o la base de datos
a la hora planificada. Los datos recopilados y las acciones que se aplican a los archivos dependen del tipo de análisis y la
configuración. En el caso de los análisis de base de datos, las únicas acciones disponibles son informar del incidente y almacenar
pruebas.
Utilice McAfee ePO para llevar a cabo tareas de configuración y análisis como las siguientes:
• Box
• Servidor de archivos: incluye los siguientes tipos de repositorio.
Sistema común de archivos de Internet (CIFS)
Note
No se admiten los sitios web de SharePoint Enterprise Search Center (ESS). Un sitio web de ESS es una consolidación
que no contiene archivos, sino solo vínculos a los archivos originales. En el caso de los sitios web de ESS, se analizan
las colecciones de sitios en sí o toda la aplicación web.
Bases de datos:
• Microsoft SQL
• MySQL, solo ediciones comerciales
• Oracle
• Db2
McAfee DLP Discover es compatible con cuatro tipos de análisis: inventario, clasificación, corrección y registro de documentos.
Análisis de inventario
Utilice los análisis de inventario para obtener una idea general sobre los tipos de archivos que existen en el repositorio.
Esta análisis recopila solo metadatos: no se obtienen los archivos. McAfee DLP Discover ordena los metadatos analizados en
diferentes tipos de contenido y examina atributos como el tamaño, la ubicación y la extensión del archivo. Utilice este análisis
para crear una descripción general de su repositorio o para tareas de TI como la localización de archivos que se utilizan con poca
frecuencia. Se pueden ejecutar análisis de inventario en todas las bases de datos y los repositorios de archivos compatibles.
Análisis de clasificación
Utilice los análisis de clasificación para que le ayuden a entender los datos existentes en el repositorio en cuestión. Al hacer
coincidir el contenido analizado con clasificaciones como los patrones de texto o los diccionarios, puede analizar los patrones de
datos para crear análisis de corrección optimizados. Se pueden ejecutar análisis de clasificación en todas las bases de datos y los
repositorios de archivos compatibles.
Análisis de corrección
Utilice los análisis de corrección para localizar datos que infringen una directiva. Se pueden ejecutar análisis de corrección en
todas las bases de datos y los repositorios de archivos compatibles.
En el caso de los análisis de Box, servidor de archivos y SharePoint, puede supervisar, aplicar una directiva de administración
de derechos, aplicar la clasificación automática, copiar, mover archivos a una ubicación de exportación o eliminar clasificaciones
automáticas. Todas las acciones pueden provocar incidentes que se notifican al Administrador de incidentes de DLP de McAfee
ePO. Los análisis de Box también pueden cambiar un recurso compartido anónimo por uno que requiera inicio de sesión.
En el caso de los análisis de base de datos, es posible supervisar, notificar incidentes y almacenar pruebas.
Análisis de registro
Utilice los análisis de registro de documentos para extraer el contenido de los archivos en función de los criterios de huella
digital seleccionados y guardar los datos en una base de datos de firmas.
Los documentos registrados pueden definir análisis de clasificación y corrección, o bien directivas para McAfee DLP Prevent
y McAfee DLP Monitor. Se pueden ejecutar análisis de registro de documentos únicamente en los repositorios de archivos
compatibles, pero no en las bases de datos. Un archivo en concreto puede ser seleccionado potencialmente por más de un
análisis de registro de documentos. En tal caso, se clasifica en función de más de un conjunto de criterios, y sus firmas se
registran en más de un documento registrado.
McAfee DLP Prevent se integra con cualquier MTA que admita la inspección de encabezados. Analiza los mensajes de correo
electrónico y aplica las directivas de McAfee DLP.
1. Usuarios: los mensajes de correo electrónico entrantes o salientes van al servidor MTA.
2. Servidor MTA: reenvía los mensajes de correo electrónico a McAfee DLP Prevent.
3. McAfee DLP Prevent: recibe las conexiones SMTP del servidor MTA y:
Bloquea el mensaje de correo electrónico y envía una notificación al host inteligente (servidor MTA).
Añade un encabezado X-RCIS-Action y envía el mensaje al host inteligente configurado (servidor MTA).
Añade encabezados personalizados al mensaje de correo electrónico entregado cuando se desencadena
una regla. El mensaje de correo electrónico analizado se envía al host inteligente (servidor MTA)
configurado para clasificar el correo electrónico y realizar la acción apropiada. El encabezado personalizado
puede informar del número de reglas y calificación acumulativa de todas las reglas que han infringido una
directiva o cualquier otra definición personalizada.
Note
4. Servidor MTA: reenvía el mensaje de correo electrónico al destinatario previsto o devuelve el mensaje de correo
electrónico:
a. Cuando se bloquea el mensaje de correo electrónico, el host inteligente (servidor MTA) lo devuelve al remitente en
forma de datos adjuntos con una notificación. De forma opcional, puede configurar el envío de un incidente a McAfee
ePO.
b. Cuando se añade un encabezado X-RCIS-Action, el host inteligente (servidor MTA) actúa sobre el mensaje de correo
electrónico según la información que obtiene del encabezado X-RCIS-Action. De forma opcional, puede configurar el
envío de un incidente a McAfee ePO.
c. (Opcional) Cuando se configura un encabezado personalizado, McAfee DLP Prevent incluye los valores del
encabezado personalizado definidos y la reacción de regla básica (encabezado X-RCIS-Action o Sin acción), y envía
el correo electrónico analizado al host inteligente (servidor MTA) para clasificar el correo electrónico y realizar la acción
apropiada.
Note
Esto no cambia el comportamiento del producto en lo que respecta a la detección de encabezados SMTP por parte
de McAfee DLP Prevent.
5. Servidor de documentos registrados: es una forma de definir la información confidencial y protegerla de la distribución de
formas no autorizadas.
McAfee DLP Prevent recibe conexiones ICAP de un servidor proxy web, analiza el contenido y determina si se debe permitir o
bloquear el tráfico.
Cómo funciona
Utilice McAfee DLP Monitor para obtener más información acerca de la cantidad y los tipos de datos que se transfieren a través
de la red. McAfee DLP Monitor no bloquea ni cambia el tráfico de red, por lo que puede integrarse en un entorno de producción
sin que afecte al tráfico activo.
• Protección de correo electrónico: de forma predeterminada, McAfee DLP Monitor inspecciona el tráfico SMTP mediante
reglas de protección de correo electrónico que incorporan información específica del protocolo, como por ejemplo las
direcciones del remitente y el destinatario del correo electrónico.
• Protección web: de forma predeterminada, McAfee DLP Monitor inspecciona el tráfico HTTP y FTP mediante las reglas
de protección web, las cuales incorporan información específica del protocolo, como la dirección URL.
• Protección de comunicaciones de la red: McAfee DLP Monitor puede inspeccionar todo el tráfico admitido mediante
reglas de protección de comunicaciones de la red, que no incorporan ninguna información específica del protocolo. Si
no desea analizar el tráfico SMTP, HTTP o FTP con reglas de protección web y de correo electrónico, puede configurar
McAfee DLP Monitor para que utilice las reglas de protección de comunicaciones de la red. Para deshabilitar el análisis
del tráfico SMTP, HTTP o FTP, vaya a Menú → Catálogo de directivas → Gestión de appliances de DLP → Ajustes de
McAfee DLP Monitor y desmarque las opciones del campo Aplicación de regla de protocolo.
Note
El uso de reglas de Protección de correo electrónico y Protección web permite compartir reglas con McAfee DLP Prevent.
Protocolos admitidos
• SMTP *
• IMAP *
• POP3 *
• HTTP
• LDAP
• Telnet
• FTP
• IRC
• SMB **
* Estos protocolos son compatibles con STARTTLS (la conexión inicial de texto sin formato se convierte en TLS/SSL tras el
comando STARTTLS). McAfee DLP Monitor considera estos protocolos como cifrados y no los analiza si se utiliza STARTTLS.
** Los datos transferidos mediante SMB podrían estar cifrados según la versión del protocolo y su configuración.
Note
McAfee DLP Monitor no analiza el contenido de las conexiones cifradas directamente. Puede utilizar un gateway dedicado
(por ejemplo, la función de derivación SSL de Web Gateway) a fin de interceptar la conexión cifrada y enviar los
datos descifrados a McAfee DLP Monitor para su análisis. Consulte la documentación de su gateway para obtener más
información. Si McAfee DLP Monitor no puede clasificar una conexión como un protocolo conocido, muestra la conexión
como desconocida.
McAfee ePO: todos los productos de McAfee DLP se integran con McAfee ePO para la configuración, gestión, supervisión y
generación de informes.
McAfee® File and Removable Media Protection (FRP): se integra con McAfee DLP Endpoint for Windows para cifrar los archivos
de carácter confidencial.
McAfee® Logon Collector: se integra con McAfee DLP Monitor y McAfee DLP Prevent para la información de autenticación de
usuario.
McAfee® Web Gateway: se integra con McAfee DLP Prevent para proporcionar protección web.
McAfee® MVISION Cloud: sincroniza las clasificaciones con MVISION Cloud, extrae los incidentes al Gestor de incidentes de DLP.
Utilice McAfee DLP para supervisar las acciones de los usuarios y los datos de la red. Puede utilizar reglas predefinidas o crear
una directiva básica.
1. Cree clasificaciones desde la consola Clasificación. Clasifique y defina los datos confidenciales mediante la configuración de
clasificaciones y definiciones. Para obtener más información, consulte Clasificación de los datos
2. Rastree cómo y dónde se utilizan los archivos que incluyen contenido de carácter confidencial con etiquetas o documentos
registrados. Para obtener más información, consulte Rastrear cómo y cuándo se utiliza contenido de carácter confidencial.
3. Proteja los datos confidenciales mediante la aplicación de reglas con el Gestor de directivas de DLP. Proteja los datos con
análisis y reglas. Configure la acción que se realizará al descubrir, transmitir o acceder a datos confidenciales. Para obtener
más información, consulte Protección de datos confidenciales con reglas y directivas.
4. Analice los incidentes de McAfee DLP desde el Gestor de incidentes de DLP. Revise los incidentes y analice los resultados
de los análisis en busca de posibles infracciones de directivas. Utilice esta información para comenzar a crear una
directiva efectiva. Puede gestionar los incidentes agrupando y trabajando con incidentes que pueden escalarse a otros
departamentos, como el de Asesoramiento Jurídico o Recursos Humanos. También puede crear informes con paneles y
consultas. Para obtener más información, consulte Revisión y gestión de incidentes para ajustar las directivas.
Introducción a DLP: la función Introducción a DLP permite configurar cualquiera de los productos de McAfee DLP de forma
rápida y ejecutar las políticas inmediatamente después de la instalación. Esta opción permite añadir los datos de la ubicación de
red compartida y la licencia, y crear su primera regla y directiva de McAfee DLP.
Para proteger el contenido de carácter confidencial, defina y clasifique primero la información confidencial que se debe proteger.
El contenido se clasifica mediante la definición de clasificaciones y de criterios de clasificación. Los criterios de clasificación
definen las condiciones sobre cómo se han clasificado los datos. Entre los métodos para definir criterios se incluyen los
siguientes:
• Patrones avanzados: expresiones regulares combinadas con algoritmos de validación, utilizados para buscar
coincidencias de patrones como números de tarjetas de crédito. Los patrones avanzados se clasifican según una
calificación, es decir, el número de veces que las expresiones confidenciales deben aparecer en el contenido para que
se desencadene la regla. El editor de clasificaciones incluye varios patrones avanzados integrados para garantizar la
conformidad con las normativas gubernamentales y simplificar la detección de información personal. También puede
crear sus propios patrones avanzados.
• Diccionarios: listas de palabras o términos concretos, por ejemplo, términos médicos para detectar posibles infracciones
de HIPAA.
• Palabras clave: un valor de cadena que define los datos confidenciales. Puede añadir varias palabras clave para las
clasificaciones de contenido. Las palabras clave no son las mismas en todas las clasificaciones. Si necesita utilizar las
mismas palabras clave en todas las clasificaciones, utilice un diccionario.
• Tamaño de archivo: el tamaño del archivo para detectar los datos confidenciales. También puede definir un intervalo de
tamaños de archivo.
• Tipos de archivo verdaderos: el tipo de archivo verdadero para determinar qué archivos deben identificar los datos
confidenciales. El tipo de archivo verdadero ayuda a detectar las infracciones de datos adjuntos cuando las extensiones
de archivo cambian de nombre y se envían como datos adjuntos. Por ejemplo, un archivo .cpp guardado como
archivo .txt se puede detectar mediante los criterios de clasificación de tipo de archivo verdadero.
• Extensión de archivo: los tipos de archivo para detectar los datos confidenciales, como MP3 y PDF.
• Ubicación de origen o de destino: direcciones URL, recursos compartidos de red, o la aplicación o el usuario que
crearon o recibieron el contenido.
• Ubicación en el archivo: la sección del archivo donde buscar el contenido de carácter confidencial; puede ser el
encabezado, pie de página, cuerpo o los primeros caracteres. Al especificar el número de caracteres para la opción en
los primeros (caracteres) de una clasificación, se busca el contenido de carácter confidencial en el encabezado, es decir,
en la primera parte de la primera página de un documento.
• Documentos de Microsoft Word: se identifica el encabezado, el cuerpo y el pie de página.
Documentos de PowerPoint: se identifica WordArt como encabezado y todo lo demás como cuerpo.
Otros documentos: solo es aplicable el cuerpo.
McAfee DLP Endpoint admite software de clasificación de terceros. Puede clasificar el correo electrónico con el clasificador de
correo electrónico de Boldon James. Puede clasificar correos electrónicos u otros archivos con los clientes de clasificación Titus,
como Titus Message Classification, Titus Classification for Desktop y Titus Classification Suite. Para implementar el soporte de
Titus, la SDK de Titus debe estar instalada en los equipos endpoint.
McAfee DLP puede rastrear el contenido según la ubicación del almacenamiento o la aplicación utilizada para crearlo.
• Identificación por huellas digitales de contenido: compatible con McAfee DLP Endpoint para Windows y appliances de
McAfee DLP.
• Documentos registrados: compatible con todos los productos de McAfee DLP, excepto McAfee DLP Endpoint for Mac.
Note
El registro solo manual, realizado en el módulo de Clasificación, es compatible con McAfee DLP Endpoint for
Windows, McAfee DLP Prevent y McAfee DLP Monitor.
El registro automático, realizado por análisis de registro de McAfee DLP Discover, es compatible con McAfee DLP
Discover, McAfee DLP Prevent y McAfee DLP Monitor.
• Clasificaciones manuales: creadas por usuarios de McAfee DLP Endpoint y McAfee DLP Endpoint for Mac, pero
compatibles con todos los productos de McAfee DLP.
Identificación por huellas digitales de contenido
La identificación por huellas digitales de contenido es una técnica para la identificación y el rastreo de contenido. El
administrador crea un conjunto de criterios de identificación por huellas digitales de contenido. Estos criterios definen la
ubicación del archivo o la aplicación utilizada para acceder al archivo y la clasificación que aplicar a los archivos. El cliente
de McAfee DLP Endpoint rastrea cualquier archivo que se abre desde las ubicaciones (o por las aplicaciones) definido en los
criterios de identificación por huellas digitales de contenido y crea firmas de huellas digitales de estos archivos en tiempo real
cuando se accede a ellos. A continuación, utiliza las firmas para rastrear los archivos o fragmentos de ellos. Puede definir los
criterios de identificación por huellas digitales de contenido por aplicación, ruta UNC (ubicación) o URL (aplicación web).
Para los sistemas de archivos que no son compatibles con EA o ADS, el software de McAfee DLP Endpoint almacena la
información de la firma como un metarchivo en el disco. Los metarchivos se almacenan en una carpeta oculta denominada
ODB$, que el software cliente de McAfee DLP Endpoint crea automáticamente.
Note
Las firmas y los criterios de identificación por huellas digitales de contenido no son compatibles con McAfee Device Control.
Documentos registrados
La función de documentos registrados se basa en el análisis previo de todos los archivos en repositorios específicos (como el
SharePoint de ingeniería) y en la creación de firmas de fragmentos de cada archivo en estos repositorios. McAfee DLP Endpoint
y los productos de red de McAfee DLP utilizan documentos registrados, pero difieren en la forma en que se distribuyen las
firmas de los archivos.
Registro manual en McAfee DLP Endpoint for Windows: las firmas de los archivos se cargan en McAfee ePO desde cuando
carga archivos manualmente y crea un paquete. Estas firmas están disponibles para la descarga por parte de los endpoints
desde el depósito de S3. El cliente de McAfee DLP Endpoint puede rastrear entonces cualquier contenido copiado de uno de
estos documentos y clasificarlo de acuerdo con la clasificación de la firma del documento registrado.
Registro manual en productos de red de McAfee DLP: las firmas de los archivos se cargan en McAfee ePO desde McAfee DLP
cuando carga archivos manualmente y crea un paquete. Un paquete de estas firmas de archivos se guarda en un recurso
compartido de prueba. Estas firmas están disponibles para su descarga por parte de los appliances desde la ubicación
compartida. A continuación, el appliance puede rastrear cualquier contenido copiado desde uno de esos documentos y
clasificarlo según la clasificación de la firma del documento registrado.
Registro automático en productos de red de McAfee DLP: McAfee DLP Discover ejecuta el análisis de registro en repositorios
de archivos. Las firmas creadas se almacenan en bases de datos de firmas en servidores designados como servidores DLP.
McAfee DLP Discover los utiliza para crear análisis de clasificación y corrección. McAfee DLP Prevent y McAfee DLP Monitor los
utilizan para definir reglas.
Los documentos registrados utilizan una gran cantidad de memoria, lo que puede afectar al rendimiento, ya que cada
documento que inspecciona el software de McAfee DLP se compara con todas las firmas de documentos registrados para
identificar su origen.
Tip
Para minimizar el número de firmas y las implicaciones de rendimiento de esta técnica, utilice los documentos registrados
únicamente a fin de rastrear los documentos de carácter confidencial.
Clasificación manual
Cuando trabaja con la clasificación manual tiene la opción de aplicar huellas digitales o clasificaciones de contenido a sus
archivos. La identificación por huellas digitales de contenido aplicada manualmente es idéntica a la identificación por huellas
digitales aplicada automáticamente descrita anteriormente.
Las clasificaciones de contenido aplicadas manualmente incrustan una etiqueta física en el archivo que se puede utilizar para
rastrearlo cada vez que se copie, pero no crean firmas. El contenido copiado de estos archivos a otros archivos no se puede
rastrear.
La clasificación manual se admite en equipos Microsoft Windows y macOS. Si intenta clasificar un tipo de archivo que no admite
el marcado (por ejemplo, archivos TXT), aparece un mensaje de error.
Cree reglas para identificar datos de carácter confidencial y llevar a cabo las acciones adecuadas.
• Reglas de protección de datos: Las reglas de protección de datos se utilizan para evitar la distribución no autorizada
de datos clasificados. Al intentar copiar o adjuntar datos clasificados a un correo electrónico, McAfee DLP intercepta el
intento y utiliza las reglas de protección de datos para determinar qué acción llevar a cabo. Por ejemplo, si la acción de
regla requiere una justificación empresarial, McAfee DLP Endpoint detiene el intento y muestra un cuadro de diálogo.
Cuando el usuario introduce la justificación del intento, el procesamiento continúa.
McAfee DLP Endpoint utiliza varias reglas para inspeccionar las acciones del usuario. Analiza los datos en uso en
los endpoints y bloquea la transferencia no autorizada de datos identificados como confidenciales.
McAfee DLP Prevent utiliza reglas de protección de correo electrónico y de protección web para supervisar y
realizar acciones en las comunicaciones procedentes de un servidor MTA o servidor proxy web.
McAfee DLP Monitor puede aplicar las reglas de protección de comunicaciones de la red, de protección de
correo electrónico o de protección web para analizar el tráfico admitido en la red.
McAfee Device Control solo utiliza reglas de protección de datos de almacenamiento extraíble.
• Reglas de control de dispositivos: Las reglas de control de dispositivos supervisan y, en caso necesario, impiden que
el sistema cargue dispositivos físicos tales como dispositivos de almacenamiento extraíbles, Bluetooth, Wi-Fi y otros
dispositivos Plug and Play. Las reglas de control de dispositivos constan de plantillas de dispositivo y especificaciones de
reacción, y pueden asignarse a grupos de usuarios concretos mediante el filtrado de la regla con definiciones de grupos
de usuarios.
• Reglas de control de aplicaciones: Las reglas de control de aplicaciones bloquean la aplicación en lugar de bloquear el
contenido. Por ejemplo, una regla de control de aplicaciones web bloquea una dirección URL especificada por nombre o
por reputación.
• Reglas de descubrimiento: Las reglas de descubrimiento se utilizan para el análisis de datos y archivos.
Descubrimiento de endpoints es un rastreador que se ejecuta en los equipos gestionados. Analiza el sistema de
archivos local del endpoint, la bandeja de entrada (en caché) de correo electrónico local y los archivos PST. Las reglas
de descubrimiento del sistema de archivos local definen si el contenido se debe poner en cuarentena, cifrar, proteger el
contenido mediante huellas digitales o aplicar una directiva de administración de derechos o clasificación. Los correos
electrónicos locales se pueden poner en cuarentena o se puede proteger el contenido mediante huellas digitales. Estas
reglas también pueden definir si debe informarse de un incidente, y de si deben almacenarse los archivos o correos
electrónicos como prueba del incidente.
Note
Los análisis del sistema de archivos no son compatibles con los sistemas operativos del servidor.
McAfee DLP Discover analiza los repositorios de archivos y bases de datos, y puede mover o copiar archivos, aplicar
directivas de gestión de derechos a los archivos y crear incidentes.
Directivas
Las directivas contienen conjuntos de reglas activos y se despliegan desde McAfee ePO en el software cliente de McAfee DLP
Endpoint, el servidor de McAfee DLP Discover, McAfee DLP Prevent o McAfee DLP Monitor. Las directivas de McAfee DLP
Endpoint también contienen información de asignación de directivas y definiciones.
Puede revisar, analizar y gestionar los incidentes por infracciones de directiva que se hayan producido. Estas funciones incluyen
las siguientes:
• Gestión de incidentes: los incidentes se envían al analizador de eventos de McAfee ePO y se almacenan en una base de
datos. Los incidentes contienen los detalles sobre la infracción y, opcionalmente, pueden incluir información de pruebas.
Puede ver los incidentes y pruebas tal y como se reciben en la consola Gestor de incidentes de DLP.
• Gestión de casos: agrupe incidentes relacionados en casos para una revisión exhaustiva en la consola Gestión de casos
de DLP.
• Recopilación de pruebas: si hay reglas configuradas para la recopilación de pruebas, se guardará una copia de los
datos o archivos y se vinculará a un incidente específico. Esta información puede ayudar a determinar la gravedad o la
exposición del evento. Las pruebas se cifran con el algoritmo AES-256 antes de guardarse.
• Resaltado de coincidencias: se pueden guardar pruebas resaltando el texto que ha provocado el incidente. La prueba
resaltada se guarda como un archivo HTML cifrado independiente.
• Informes: se crean informes, gráficos y tendencias en paneles de McAfee ePO.
Las opciones y la disponibilidad de estos componentes varían en función del producto de McAfee DLP que utilice.
Tenga en cuenta que dispone de algunos esquemas de arquitectura y planificación de su solución empresarial, en formatos de
AutoCAD y Visio, que ha guardado en una ubicación compartida. El administrador desea bloquear todos los datos adjuntos de
AutoCAD o Visio con información de carácter confidencial para que no salgan de la red. Puede seguir estos pasos para bloquear
los datos adjuntos de estas extensiones específicas y evitar la fuga de datos.
1. Cree una definición o elija una definición integrada (consulte el paso 1 de la siguiente tarea).
2. Cree una clasificación y criterios de clasificación (consulte el paso 2 de la siguiente tarea).
Procedimiento
1. Elija una definición integrada o cree una definición para incluir frases que haya que rastrear.
a. En McAfee ePO, vaya a Menú → Protección de datos → Clasificación y seleccione Definiciones.
b. Seleccione Diccionario, haga clic en Acción → Nuevo elemento, escriba un nombre para la definición del
diccionario y una descripción opcional, y haga clic en Acción → Añadir. También puede utilizar un diccionario
existente.
c. En Expresión, escriba la palabra interna, establezca la Calificación 1 y seleccione Distinción de mayúsculas y
minúsculas para que solo coincida con la palabra clave cuando esté en minúscula. Para añadir varias expresiones,
puede hacer clic en Guardar y nuevo.
f. En la propiedad Extensiones de archivo, haga clic en el icono Seleccionar ( ) para abrir la ventana Elegir entre los
valores existentes. Elija todos los tipos de archivo que desee bloquear. Para añadir más valores, haga clic en +.
g. En la propiedad Tipo de archivo real, haga clic en el icono para seleccionar ( ) para abrir la ventana Elegir entre
los valores existentes. Elija todos los tipos de archivo que desee bloquear. Para añadir más valores, haga clic en +.
h. Haga clic en Guardar.
3. Cree un conjunto de reglas que incluya una regla de Protección de correo electrónico y añada los criterios de
clasificación que ha creado.
a. Vaya a Menú → Protección de datos → Gestor de directivas de DLP.
b. Haga clic en Acciones → Nuevo conjunto de reglas. Introduzca un nombre para el conjunto de reglas y una
descripción que le sirva de referencia. Haga clic en Aceptar.
Se ha creado un nuevo conjunto de reglas. Haga clic en el conjunto de reglas y cree una nueva regla.
c. Haga clic en Acciones → Nueva regla → Regla de protección de correo electrónico.
d. Escriba el nombre de la regla y, opcionalmente, una descripción. Seleccione el estado Habilitado y haga clic en la
casilla para seleccionar McAfee Network DLP e implementar la directiva.
e. En la pestaña Condiciones, en Clasificación de, seleccione uno de los adjuntos (*) y contiene uno de (O). A
continuación, seleccione los criterios de clasificación que ha creado.
f. Establezca la opción Destinatario como cualquier destinatario (TODOS).
g. En la pestaña Reacciones, establezca la reacción que desee que se produzca cuando se desencadene la regla.
Establezca la Acción en Bloquear y devolver correo electrónico al remitente y, a continuación, seleccione la
Notificación del usuario. Haga clic en Guardar.
4. Asigne conjuntos de reglas a una directiva. Antes de asignar conjuntos de reglas a una directiva, active el conjunto de
reglas.
a. Vaya a Menú → Directiva → Catálogo de directivas.
b. En la lista desplegable Producto, seleccione Data Loss Prevention <versión> y Directiva de DLP.
c. Haga clic en el vínculo Editar de la directiva que desee actualizar.
d. En la página de la directiva, vaya a Conjuntos de reglas activos → Acciones y, a continuación, haga clic en Activar
conjunto de reglas.
Se abrirá la ventana Activar conjunto de reglas.
e. Seleccione las casillas de uno o varios conjuntos de reglas que desee aplicar a la directiva.
f. Haga clic en Aceptar y en Aplicar directiva.
McAfee DLP muestra el estado de la directiva aplicada.
5. Asigne e inserte la directiva en appliances de McAfee DLP.
a. Vaya a Menú → Sistemas → Árbol de sistemas.
b. Seleccione la casilla de verificación de uno o varios appliances de McAfee DLP Prevent (sistema de destino) al que
desee asignar la directiva.
c. Haga clic en Activar agentes para insertar la directiva en appliances de McAfee DLP de inmediato.
Se abrirá la ventana Activar McAfee Agent.
d. Al lado de Tipo de llamada de activación, seleccione si desea enviar una Llamada de activación del agente o una
Llamada de activación de SuperAgent.
e. Acepte el valor predeterminado Ejecución aleatoria (0–60 minutos) o indique un valor diferente.
Si especifica 0, los agentes responden de forma inmediata.
f. Haga clic en Aceptar para enviar la llamada de activación a los appliances de destino.
También puede insertar la directiva con la opción Interrumpir la herencia y asignar la directiva y los ajustes a partir de
este punto. Para obtener información, consulte Asignar e insertar una directiva en un sistema.
Resultados
El appliance ya está establecido con la directiva para bloquear los datos adjuntos de correo electrónico con información de
carácter confidencial.
Finalidad
McAfee utiliza los datos de appliances de McAfee DLP que se recopilan a través de McAfee Agent. Los datos recopilados son:
• analizados por McAfee para mejorar las funciones del producto y la experiencia de los clientes con el producto;
• utilizados por el Soporte técnico de McAfee para solucionar problemas.
Protección de la privacidad
Los datos de appliances de McAfee DLP recopilados por McAfee Agent se utilizarán solamente para la mejora de productos
y para el servicio de soporte técnico. Los datos específicos del sistema se filtrarán o utilizarán de forma agregada, a menos
que el Soporte técnico requiera lo contrario. Para obtener detalles sobre el aviso de privacidad de McAfee, consulte https://
www.mcafee.com/enterprise/en-us/about/legal/privacy.html.
Puede configurar los ajustes del servidor de McAfee ePO para habilitar la función Product Improvement Program.
Procedimiento
1. Haga clic en Menú → Configuración → Ajustes del servidor, seleccione Product Improvement Program en las Categorías
de ajustes y, a continuación, haga clic en Editar.
2. Seleccione Sí para permitir que McAfee recopile datos anónimos de diagnóstico y uso.
3. Haga clic en Guardar.
Resultados
Implementación de la directiva para habilitar la función PIP en los appliances de McAfee DLP
Puede gestionar Product Improvement Program (PIP) en los appliances de McAfee DLP mediante la directiva PIP de McAfee
Agent.
Antes de empezar
Asegúrese de habilitar los ajustes del servidor de Product Improvement Program antes de implementar las directivas.
Procedimiento
1. Haga clic en Menú → Sistemas → Árbol de sistemas y, a continuación, seleccione un grupo en el Árbol de sistemas.
Todos los sistemas de ese grupo (pero no de sus subgrupos) aparecen en el panel de detalles.
2. Seleccione los appliances necesarios y, a continuación, haga clic en Acciones → Agente → Establecer directiva y
herencia.
3. Seleccione McAfee Agent como el Producto, Product Improvement Program como la Categoría y, a continuación,
seleccione la directiva necesaria.
4. Seleccione si desea Restablecer herencia o Interrumpir herencia y, a continuación, haga clic en Guardar.
• Directiva de DLP: contiene Conjuntos de reglas activos asignados a la directiva, análisis de Descubrimiento de
endpoints planificados, Ajustes para la estrategia de aplicaciones, omisiones de clases de dispositivos y usuarios con
privilegios, y Validación de directivas.
• Configuración del servidor: contiene las configuraciones de McAfee DLP Discover, McAfee DLP Prevent, y McAfee
DLP Monitor. Permite establecer las opciones del servicio de copia de pruebas y de registro, los ajustes de gestión de
derechos y de SharePoint y las opciones del extractor de texto.
Note
Debe crear configuraciones de servidor independientes para cada uno de sus productos de McAfee DLP. La
configuración del servidor aparece solo si se ha registrado una licencia de McAfee DLP Discover, McAfee DLP
Prevent o McAfee DLP Monitor.
McAfee DLP Prevent y McAfee DLP Monitor utilizan solamente la sección Almacenamiento compartido y prueba y OCR
de la configuración del servidor. McAfee DLP Discover utiliza todas las secciones excepto Proxy ActiveSync.
• Configuraciones del cliente: las configuraciones independientes para los equipos Microsoft Windows y macOS
contienen los ajustes de configuración para los clientes de McAfee DLP Endpoint. Los ajustes determinan cómo aplican
los clientes las directivas de McAfee DLP a los endpoints. Habilite el Almacenamiento compartido y prueba para los
productos de McAfee DLP Endpoint en la página de configuración del cliente.
Note
Las configuraciones de cliente aparecen solo si se ha registrado una licencia de McAfee DLP Endpoint.
El software de cliente de McAfee DLP Endpoint para McAfee Agent reside en los equipos de la empresa y ejecuta la
directiva definida. El software también supervisa la actividad del usuario relacionada con contenido de carácter confidencial.
La configuración de cliente se almacena en la directiva, la cual se despliega en los equipos administrados.
Note
El Catálogo de directivas viene con las directivas predeterminadas de McAfee para las configuraciones de endpoint de OS X y
Windows y la directiva de DLP. Haga clic en Duplicar (en la columna Acciones) para crear una copia editable como base de la
directiva.
La configuración de cliente se almacena en la directiva, la cual se despliega en los equipos gestionados por McAfee ePO. Si se
actualiza la configuración, deberá volver a desplegar la directiva.
Note
La vigilancia del servicio cliente no es compatible con McAfee DLP Endpoint for Mac.
Para mantener un funcionamiento normal del software McAfee DLP Endpoint incluso cuando existe una interferencia
malintencionada, McAfee DLP Endpoint ejecuta un servicio de protección llamado Vigilancia de servicio cliente. Este servicio
supervisa el software McAfee DLP Endpoint y lo reinicia si deja de ejecutarse por cualquier motivo. El servicio está habilitado
de forma predeterminada. Si desea comprobar que está funcionando, busque en los procesos del Administrador de tareas de
Microsoft Windows un servicio llamado fcagswd.exe.
Protección del Portapapeles Procesos lista de ignorados McAfee DLP Endpoint ignora
Se aplica únicamente a los las operaciones del Portapapeles
clientes de Windows que las aplicaciones indicadas
llevan a cabo
Protección contra impresión Procesos lista de ignorados McAfee DLP Endpoint ignora las
Se aplica únicamente a los acciones de impresión que las
clientes de Windows aplicaciones indicadas llevan a
cabo
Tip
Para comprobar que las opciones de configuración del cliente sigan cumpliendo sus requisitos, revíselas periódicamente.
La siguiente tabla incluye algunos de los ajustes más importantes que debe comprobar.
Configuración del endpoint
Depuración y registro Registrar eventos de DLP en un Use estos ajustes para configurar
servidor HTTP externo el servidor que recibe los datos
sin procesar del cliente de
McAfee DLP Endpoint.
• Impresión
• Copiar a almacenamiento
extraíble
• Cargar un archivo en la web
• Cargar un archivo en la nube
• Enviar un correo electrónico
• Conectar o desconectar un
dispositivo Plug and Play
• Conectar o desconectar un
dispositivo de almacenamiento
extraíble
• Archivos de pruebas
• Archivo con coincidencias de
clasificación
• Huellas digitales de
documentos registrados
Para el documento registrado
manual, las huellas digitales
se copian en el recurso
compartido de todas las
pruebas disponibles. (Aplicable
solo a McAfee DLP Endpoint
for Windows).
• Paquete que contiene textos
ignorados. (Aplicable solo a
McAfee DLP Endpoint for
Windows).
• Resumen de análisis de
descubrimiento de endpoints
en formato de archivo CSV
Note: Se recomienda
no permitir los modos de
invitado y de incógnito de
Chrome a los usuarios finales.
Si alguna de estas opciones
está permitida, es posible
que la URL web activa en el
endpoint no esté disponible
para el cliente de McAfee DLP.
Puede habilitar el procesamiento en segundo plano de los correos electrónicos para reducir el impacto en los usuarios al enviar
correos electrónicos mediante Microsoft Outlook. Establezca la cantidad máxima de tiempo permitido para analizar los correos
electrónicos.
Note
Actualmente, el procesamiento en segundo plano se aplica cuando el usuario final hace clic en Nuevo correo electrónico en
Outlook para enviar un correo electrónico. Cuando un usuario final envía un correo electrónico desde menús rápidos, Mis
tareas, Invitaciones, etc., dicho correo se procesa solamente en segundo plano según el tiempo establecido en Configuración
de cliente de Windows → Protección de correo electrónico → Estrategia de tiempo de espera de correo electrónico →
Tiempo máximo de análisis de correo electrónico (s). La acción que el usuario final debe llevar a cabo si se supera el tiempo
de procesamiento del correo electrónico se establece desde Configuración de cliente de Windows → Protección de correo
electrónico → Procesos en segundo plano de Outlook → Acción que realizar si se supera el tiempo máximo.
La función de procesos en segundo plano de Outlook se admite enMcAfee DLP Endpoint for Windows 11.6 o versiones
posteriores.
Procedimiento
1. En McAfee ePO, seleccione Menú → Directiva → Catálogo de directivas
2. Seleccione Data Loss Prevention <versión> y la Configuración de cliente de Windows que desee editar.
3. En la página Protección de correo electrónico, seleccione Habilitar procesos en segundo plano.
4. Seleccione, en segundos, el tiempo máximo dedicado al análisis de los correos electrónicos. Con el control deslizante,
defina qué cantidad de tiempo seleccionado se destinará al análisis de correos electrónicos en primer plano y en
segundo plano.
Se recomienda analizar los correos electrónicos en primer plano entre 3 y 5 segundos. Si el procesamiento de correo
electrónico no se completa en primer plano, el análisis pasa a segundo plano y los usuarios finales pueden seguir
trabajando en Outlook. Establezca el tiempo de análisis en primer plano a cero únicamente si todas sus reglas de
protección de correo electrónico están establecidas como Sin acción.
5. Habilite un mensaje emergente que permita a los usuarios finales elegir entre revisar un correo electrónico bloqueado
o descartarlo.
Al habilitar este mensaje emergente, se omiten las configuraciones de notificación definidas en la regla Protección de
correo electrónico.
6. Si el tiempo de procesamiento del correo electrónico se supera, puede establecer que se permita el envío del correo
electrónico o que se bloquee. Si elige que el correo electrónico se bloquee, los usuarios finales recibirán un mensaje
emergente para indicar que el análisis ha superado el tiempo máximo y el correo electrónico se ha bloqueado. Si es
necesario, puede editar este mensaje.
McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac están configurados en directivas de cliente individuales.
Eventos administrativos notificados por los Los ajustes de filtro que se aplican tanto a
clientes McAfee DLP Endpoint para Windows y McAfee DLP
Endpoint for Mac son:
Interfaz de usuario cliente Mostrar consola de DLP (todas McAfee DLP Endpoint para
las opciones) Windows únicamente
Directiva de bloqueo de código Todas las opciones McAfee DLP Endpoint para
de liberación Windows y McAfee DLP Endpoint
for Mac
Imagen de banner de cliente Todas las opciones McAfee DLP Endpoint para
Windows únicamente
Procedimiento
1. En McAfee ePO, seleccione Menú → Directiva → Catálogo de directivas.
2. En McAfee ePO 5.10, seleccione Data Loss Prevention <versión>.
• En McAfee ePO 5.9 y versiones anteriores, seleccione Data Loss Prevention <versión> en la lista desplegable
Producto.
3. En McAfee ePO 5.10, seleccione Configuración de cliente de Windows o Configuración de cliente de Mac OS X.
• (Opcional) En McAfee ePO 5.9 y versiones anteriores, seleccione Configuración de cliente de Windows o
Configuración de cliente de Mac OS X en la lista desplegable Categoría.
4. Seleccione una configuración para editarla o haga clic en Duplicar en la configuración McAfee Default.
Configure los ajustes de McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Monitor.
Antes de empezar
Para los ajustes del servidor de McAfee DLP Discover:
• Si utiliza un servidor de gestión de derechos, obtenga el nombre de dominio, el nombre de usuario y la contraseña.
• Si tiene previsto realizar análisis de corrección en servidores de SharePoint, determine si los servidores de SharePoint de
su empresa utilizan la papelera de reciclaje. Un error de concordancia en este ajuste puede conducir a errores o a un
comportamiento inesperado durante el análisis de corrección.
• Si va a utilizar la función de reconocimiento óptico de caracteres (OCR), instale el paquete de OCR sobre el software del
servidor de McAfee DLP Discover . Una vez actualizado el software del servidor de McAfee DLP Discover, añada los
detalles de la licencia del reconocimiento óptico de caracteres y habilite la casilla de correspondiente en los ajustes de
configuración del servidor.
• McAfee DLP Prevent y McAfee DLP Monitor utilizan solamente los ajustes Almacenamiento compartido y prueba y
Reconocimiento óptimo de caracteres (OCR).
• McAfee DLP Discover puede utilizar todas las opciones de ajuste del servidor excepto ActiveSync Proxy, aunque algunas
son opcionales.
Procedimiento
1. En McAfee ePO, seleccione Menú → Directiva → Catálogo de directivas.
2. En McAfee ePO 5.10, seleccione Data Loss Prevention <versión>.
• En McAfee ePO 5.9 y versiones anteriores, seleccione Data Loss Prevention <versión> en la lista desplegable
Producto.
• (Opcional) En McAfee ePO 5.9 y versiones anteriores, seleccione Configuración del servidor en la lista desplegable
Categoría.
5. (Opcional, solo para McAfee DLP Discover) En la página Box, compruebe las opciones del historial de versiones y de la
papelera.
6. En la página Almacenamiento compartido y prueba:
a. Introduzca el recurso compartido de almacenamiento y las credenciales.
En el caso de McAfee DLP Prevent o McAfee DLP Monitor, especifique un nombre de usuario y una contraseña. No
seleccione la opción de la cuenta de sistema local.
Tip
Use los valores predeterminados para Ajustes del servidor. McAfee DLP Prevent y McAfee DLP Monitor ignoran
el ajuste de ancho de banda de transmisión de pruebas.
Note
Si CIFS y DLP Server están configurados para copiar pruebas, McAfee DLP Prevent y McAfee DLP Monitor utilizan
solamente DLP Server, incluso si falla y no utiliza el recurso compartido CIFS.
Tip
b. Seleccione en qué proceso de McAfee DLP Discover debe ejecutarse un volcado automático de memoria para
almacenar contenido de la memoria. El contenido puede analizarse en busca de problemas del sistema, como
bloqueos.
Note
El análisis del contenido de un volcado de memoria requiere el conocimiento de herramientas de desarrollo, como
Microsoft Visual Studio.
Caution
Si habilita este ajuste y el servidor de SharePoint no utiliza la papelera de reciclaje, cualquier acción de Mover llevada a
cabo en los archivos falla y toma de forma predeterminada el valor Copiar. El ajuste predeterminado en SharePoint es
habilitar la papelera de reciclaje.
12. (Opcional, solo para McAfee DLP Discover ) En la página Extractor de texto, configure los ajustes del extractor de texto.
Tip
Note
El reconocimiento óptico de caracteres consume muchos recursos. Si está analizando una gran cantidad de imágenes,
el tiempo de análisis puede aumentar significativamente. Anule la selección de la casilla cuando no sea necesario el
análisis de reconocimiento óptico de caracteres.
Restablecer la contraseña compartida también evita un compromiso entre dos servidores de McAfee ePO diferentes o un
compromiso entre dos directivas diferentes en el mismo servidor de McAfee ePO. Puede seguir estos pasos antes de aplicar la
directiva My Default de DLP:
Por ejemplo, si duplica la directiva My Default de DLP en el Catálogo de directivas y la envía a los endpoints, a los appliances
de McAfee DLP o a los servidores de McAfee DLP Discover, cualquier servidor de McAfee ePO puede omitirla. Cuando aplica el
código de omisión del otro servidor de McAfee ePO, el código de respuesta permite la omisión. Esto sucede porque los códigos
de desafío-respuesta para la directiva de DLP My Default son los mismos en todas las instalaciones de McAfee ePO. Cualquier
otro administrador de McAfee ePO puede omitir cualquier directiva de DLP que se base en la directiva My Default de DLP. Por
lo tanto, es obligatorio restablecer la contraseña compartida o crear una directiva que no sea la directiva My Default de DLP
para evitar omitir los sistemas no asociados al servidor de McAfee ePO en el que está trabajando.
Procedimiento
1. En McAfee ePO, vaya a Menú → Protección de datos → Ajustes de DLP → General.
2. Actualice la contraseña compartida según sea necesario y guárdela de forma confidencial.
3. Se le pedirá que guarde los cambios cuando intente ir a una página diferente. Haga clic en Sí hacerlo.
McAfee DLP Endpoint y McAfee DLP Discover admiten la aplicación de directivas con Microsoft RMS local, Azure RMS y Seclore.
Important
Al usar Azure RMS, debe instalar Azure Information Protection 2.6.111 en cada endpoint mediante los servicios de gestión de
derechos. El comando Aplicar gestión de derechos no funciona sin esta versión del cliente de gestión de derechos.
• McAfee DLP Prevent y McAfee DLP Monitor pueden identificar si un correo electrónico o los datos adjuntos tienen
aplicada la protección de gestión de derechos pero no son compatibles con la aplicación de directivas de gestión de
derechos.
Puede aplicar una reacción de la directiva de gestión de derechos a estas reglas de protección de datos y descubrimiento:
• Protección en la nube
• Descubrimiento del sistema de archivos de endpoint
• Protección de almacenamiento extraíble
• (Solo para McAfee DLP Discover ) Protección del recurso compartido de red, incluyendo lo siguiente:
Protección de Box
Protección del servidor de archivos
Protección de SharePoint
McAfee DLP puede reconocer los archivos protegidos con gestión de derechos añadiendo una propiedad de cifrado de archivos
a los criterios de clasificación o identificación por huellas digitales de contenido. Estos archivos se pueden incluir o excluir de la
clasificación.
McAfee DLP sigue un flujo de trabajo para aplicar las directivas de gestión de derechos a los archivos.
1. Cree y aplique una protección de datos o una regla de descubrimiento con una reacción para aplicar la directiva de gestión
de derechos. La reacción requiere un servidor de gestión de derechos y la entrada de una directiva de gestión de derechos.
2. Cuando un archivo activa la regla, McAfee DLP cifra el archivo mediante el servidor de gestión de derechos seleccionado.
3. El servidor de gestión de derechos aplica las protecciones en función de la directiva especificada, como el cifrado del
archivo, la limitación de los usuarios con permiso para acceder a él o descifrarlo, la limitación de los usuarios con permiso
para leer archivos etiquetados o acceder a ellos, y la limitación de las condiciones en las que se puede acceder al archivo.
4. El servidor de gestión de derechos envía el archivo de vuelta al origen con las protecciones aplicadas.
5. Si ha configurado una clasificación para el archivo, McAfee DLP puede supervisar dicho archivo.
Limitaciones
El software McAfee DLP Endpoint no inspecciona el contenido de los archivos protegidos por la gestión de derechos. Cuando
se aplica una clasificación a un archivo protegido por la gestión de derechos, únicamente se mantienen los criterios de
identificación por huellas digitales de contenido (ubicación, aplicación o aplicación web). Si un usuario modifica el archivo, todas
las firmas de huella digital se pierden al guardar el archivo.
McAfee DLP Endpoint es compatible con Microsoft Windows Rights Management Services (Microsoft RMS), incluyendo la opción
local y Azure RMS, y con Seclore FileSecure™ Information Rights Management (IRM). McAfee DLP Discover es compatible con
Microsoft RMS local y Azure RMS.
Microsoft RMS
McAfee DLP es compatible con Microsoft RMS en Windows Server 2003 y Active Directory RMS (AD-RMS) en Windows Servers
2008 y 2012. McAfee DLP también es compatible con Azure RMS y Office 365. Puede aplicar la protección de Windows Rights
Management Services a las siguientes aplicaciones:
Microsoft Excel
Microsoft PowerPoint
SharePoint 2007
Exchange Server
Con Microsoft RMS, McAfee DLP puede inspeccionar el contenido de los archivos protegidos según las propiedades del
documento o las etiquetas de Azure Information Protection aplicadas, siempre y cuando el usuario actual tenga permisos de
visualización.
Seclore IRM
McAfee DLP Endpoint es compatible con Seclore FileSecure RM, que admite más de 140 formatos de archivo, incluidos los
formatos de documento utilizados con más frecuencia:
• PDF
• Formatos de texto y basados en texto, como CSV, XML y HTML
• Formatos de imagen, como JPEG, BMP y GIF
• Formatos de diseño técnico, como DWG, DXF y DWF
El cliente de McAfee DLP Endpoint funciona con FileSecure Desktop Client para proporcionar integración tanto en línea como
fuera de línea.
La prueba es una copia de los datos que han provocado la publicación de un evento de seguridad en Administrador de
incidentes de DLP.
McAfee DLP Endpoint almacena la prueba en una ubicación temporal del cliente entre los intervalos de comunicación agente-
servidor. Cuando McAfee Agent pasa información al servidor, la carpeta se purga y la prueba se almacena en la carpeta de
pruebas del servidor. Puede especificar el tamaño máximo y la antigüedad del almacenamiento local de pruebas cuando el
equipo está desconectado.
• Carpeta de almacenamiento de pruebas: crear una carpeta de almacenamiento de pruebas de red y especificar la ruta
UNC a la carpeta son requisitos para aplicar una directiva en McAfee ePO. Especifique la ruta predeterminada en la
página Ajustes de DLP → General.
• Servicio de copia de pruebas: la ruta UNC predeterminada se copia en la página Almacenamiento compartido y
prueba del Catálogo de directivas. En el caso de McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Monitor,
la página Almacenamiento compartido y prueba está en la configuración del servidor. En el caso de McAfee DLP
Endpoint, se encuentra en las configuraciones de cliente de Windows y macOS. Puede especificar varias carpetas de
almacenamiento de pruebas en las opciones de configuración.
Note
Si su appliance de McAfee DLP se encuentra en una zona DMZ, puede especificar un servidor de pruebas fuera de su
firewall en la página General del catálogo de directivas de Gestión de appliances de DLP.
• Servicio de generación de informes: en el caso de McAfee DLP Endpoint for Windows, también debe activar las
opciones Servicio de generación de informes y Servicio de copia de pruebas en la página Módulos y modo de
funcionamiento de la configuración del cliente para habilitar la recopilación de pruebas.
Las pruebas se almacenan en las carpetas de pruebas de la red. Puede especificar un recurso compartido de almacenamiento
distinto para cada producto de McAfee DLP.
El número de archivos de pruebas almacenados por evento influye en el volumen de almacenamiento, el rendimiento del
analizador de eventos y la presentación en pantalla (y, por tanto, la experiencia del usuario) de las páginas Administrador de
incidentes de DLP y Operaciones de DLP.
La mayoría de las reglas permiten la opción de almacenar pruebas. Cuando esta opción está seleccionada, se almacena una
copia cifrada del contenido en la carpeta de pruebas predefinida. Si es posible, se crean varios archivos de pruebas para un
evento. Por ejemplo, si se desencadena una regla de protección de correo electrónico, el correo electrónico, el texto del cuerpo y
los datos adjuntos se guardan como archivos de pruebas.
Note
Si se produce una clasificación en los encabezados de correo electrónico, no se escribirá ninguna prueba independiente,
puesto que podrá encontrarse en el propio mensaje. El texto coincidente se incluirá en el resaltado de coincidencias de las
pruebas del cuerpo.
Para cumplir con requisitos de pruebas diferentes, el software McAfee DLP realiza lo siguiente:
• El recurso compartido de almacenamiento UNC y el número máximo de archivos de pruebas que se almacenan por
evento se definen en la página Almacenamiento compartido y prueba. Cada instancia de la configuración del cliente de
Windows, la configuración de cliente de macOS y la configuración del servidor puede tener valores diferentes para estos
parámetros.
• El campo Administrador de incidentes de DLP Número total de correspondencias muestra el número total de pruebas.
• Si el almacenamiento de pruebas alcanza un nivel crítico, McAfee DLP Prevent rechazará temporalmente el mensaje y
se generará un error de SMTP. A continuación, se mostrará un evento en la página Eventos de cliente y aparecerá una
alerta en el panel Gestión de appliances.
Purga de archivos de pruebas
Las pruebas pueden contener información cubierta por las directivas o las leyes que regulan el almacenamiento de información
privada.
Para optimizar el rendimiento del sistema, McAfee DLP purga los incidentes de la tabla de la lista de incidentes en vivo y
los traslada a la vista Historial de incidentes cuando se alcanza un millón de incidentes, comenzando por los incidentes más
antiguos.
La tarea servidor Purga del historial de eventos e incidentes operativos de DLP elimina eventos e incidentes de las tablas
de la base de datos del historial y marca los archivos de pruebas para su eliminación. Si el evento o incidente todavía está
en los incidentes en vivo y en las tablas de la lista de eventos operativos, esta tarea lo borrará de las tablas en vivo. De
forma predeterminada, esta tarea servidor se ejecuta semanalmente. Los archivos de pruebas se reservan durante dos meses
naturales y, si no los necesita otro evento operativo o incidente de la base de datos, se borran con la tarea servidor Purga de
pruebas de DLP. De forma predeterminada, esta tarea servidor se ejecuta todos los viernes a las 23:30 h.
Tip
No ejecute Purga de pruebas de DLP cuando más de una instancia de McAfee ePO comparta una ruta de almacenamiento
de pruebas.
Resaltado de coincidencias
La opción de subrayado de coincidencias permite a los administradores identificar exactamente el contenido de carácter
confidencial que ha provocado un evento.
Cuando se selecciona, se guarda un archivo de pruebas XML cifrado que contiene el texto extraído.
El archivo de pruebas se compone de fragmentos, también llamados cadenas coincidentes; un fragmento de huellas digitales y
clasificaciones de contenido contiene normalmente el texto confidencial, con 100 caracteres delante y 100 detrás (por contexto)
organizados por la huella digital o la clasificación de contenido que desencadenó el evento. Además, incluye un recuento
del número de eventos por huella digital o clasificación de contenido. Si hay varias coincidencias entre los 100 caracteres de
la anterior coincidencia, se subrayan dichas coincidencias, y el texto resaltado y los siguientes 100 caracteres se añaden al
fragmento. Si la coincidencia se encuentra en el encabezado o pie de página de un documento, el fragmento contiene el texto
resaltado sin el prefijo o sufijo de 100 caracteres.
Para McAfee DLP Endpoint y McAfee DLP Endpoint for Mac, las opciones de visualización se establecen en la página
Almacenamiento compartido y prueba de la directiva de configuración del cliente en el campo Archivo de coincidencias de
clasificación. Para McAfee DLP Discover, las opciones de visualización se establecen en la página Almacenamiento compartido
y prueba de la directiva de configuración del servidor en el campo Archivo de coincidencias de clasificación:
En el campo Información de incidentes, puede elegir mostrar la Cadena coincidente breve en la página de detalles del
incidente. Las cadenas coincidentes breves contienen hasta un máximo de tres coincidencias resaltadas en forma de una sola
cadena. Las cadenas coincidentes breves, como otras coincidencias resaltadas, se guardan como archivos cifrados.
Pruebas guardadas por reglas de McAfee DLP Monitor o McAfee DLP Prevent
Las carpetas de pruebas incluyen información que todos los productos de software de McAfee DLP utilizan para crear directivas
y generar informes. En función de la instalación de McAfee DLP, se deben crear determinados recursos compartidos de red y
carpetas, y se deben configurar sus propiedades y ajustes de seguridad adecuadamente.
Las rutas de las carpetas de pruebas se establecen en ubicaciones distintas en los diferentes productos de McAfee DLP. Cuando
se instala más de un producto de McAfee DLP en McAfee ePO, las rutas UNC de las carpetas de pruebas se sincronizan.
Note
La ruta de almacenamiento de pruebas debe ser un recurso compartido de red, es decir, debe incluir el nombre del servidor.
• Carpeta de pruebas: determinadas reglas permiten almacenar pruebas, por lo que debe designar con antelación una
ubicación donde colocarlas. Por ejemplo, si se bloquea un archivo, se coloca una copia de este en la carpeta de pruebas.
• Copiar y mover carpetas: McAfee DLP Discover utiliza esta opción para corregir archivos.
Le sugerimos las rutas de carpeta, los nombres de carpeta y los nombres de recurso compartido siguientes, pero puede crear
otros según sea necesario para su entorno.
• c:\recursos_dlp\
• c:\recursos_dlp\prueba
• c:\recursos_dlp\copia
• c:\recursos_dlp\mover
Para obtener más información sobre la creación de carpetas de pruebas, consulte Creación y configuración de carpetas de
pruebas.
McAfee DLP tiene acceso a los servidores de Active Directory (AD) o de protocolo ligero de acceso a directorios (LDAP) para crear
definiciones de usuarios finales. Las definiciones de usuario pueden componerse de usuarios, grupos de usuarios o unidades
organizativas (OU). Por tanto, permiten al administrador elegir un modelo adecuado. Las empresas organizadas con un modelo
de OU pueden continuar utilizando ese modelo, mientras otras pueden emplear grupos o usuarios individuales, según se
requiera.
Utilice nombres o ID de seguridad (SID) para identificar objetos LDAP. Los SID son más seguros y los permisos pueden
conservarse incluso si se les asigna un nuevo nombre a las cuentas. No obstante, se almacenan en formato hexadecimal y
deben descodificarse para convertirlos a un formato legible.
Las definiciones de usuario se configuran en el Administrador de directivas de DLP en la página Grupo de usuarios finales → de
Definiciones. A los usuarios administrativos se les asignan permisos en los Conjuntos de permisos de McAfee ePO. Las reglas
de protección de datos, descubrimiento y control de la aplicación pueden aplicarse a usuarios finales o grupos determinados
especificándolas en la regla Condiciones. Puede obtenerse granularidad adicional excluyendo usuarios o grupos específicos en
la ficha Excepciones de la definición de la regla. Además, a los usuarios con privilegios se les puede nombrar en el Catálogo de
directivas de la página Configuración de la directiva de DLP. Los usuarios con privilegios se supervisarán solo si activan una regla.
No están bloqueados por ninguna regla en la directiva.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. Haga clic en la pestaña Definiciones.
3. Seleccione Origen/destino → Grupo de usuarios finales y, a continuación, Acciones → Nuevo elemento.
4. En la página Nuevo grupo de usuarios finales, introduzca un nombre único y, si lo desea, una descripción.
5. Seleccione el método para identificar objetos (mediante el SID o el nombre).
6. Haga clic en uno de los botones Agregar: Agregar usuarios, Agregar grupos o Agregar OU.
La ventana de selección muestra el tipo de información seleccionado.
Si la lista es larga, es posible que tarde unos segundos en mostrarse. Si no aparece ninguna información, seleccione
Contenedor y elementos secundarios en la lista desplegable Valor predefinido.
Tip
Cree conjuntos de permisos, usuarios y grupos específicos de McAfee DLP. Cree distintas funciones mediante la asignación
de permisos de administrador y revisor diferentes para los distintos módulos de McAfee DLP en McAfee ePO.
Tip
Si utiliza Administradores de grupo en los conjuntos de permisos de Data Loss Prevention, proporcione a los
Administradores de grupo:
confidencial en los campos de las consolas Administrador de incidentes de DLP y Operaciones de DLP para impedir
visualizaciones no autorizadas. La redacción se puede controlar eligiendo campos de datos de carácter confidencial de
incidentes específicos. Los vínculos a pruebas confidenciales están ocultos. La función está diseñada con una versión de «doble
clave». Por lo tanto, para utilizar la función, es necesario crear dos conjuntos de permisos: uno para ver los incidentes y eventos, y
otro para ver los campos redactados (permiso de supervisor). Ambas funciones se pueden asignar al mismo usuario.
McAfee DLP utiliza la arquitectura REST (del inglés REpresentational State Transfer, transferencia de estado representacional)
para ciertas funciones con objeto de reducir el ancho de banda.
Puedes utilizar las llamadas a la API REST de McAfee DLP para crear directivas en determinadas circunstancias, así como
para descifrar archivos de pruebas e importar definiciones. También puedes utilizar las llamadas a la API REST para importar
información de un usuario de un archivo CSV.
Para utilizar la función de API REST de McAfee DLP, los administradores de McAfee DLP deben ser usuarios válidos de McAfee
ePO con permisos que les permitan realizar las acciones invocadas por las API.
Puedes crear llamadas a la API REST McAfee DLP en el lenguaje de programación de tu elección. Consulta KB87855 para ver un
ejemplo de código fuente de Java que muestra cómo utilizar la API REST.
Los conjuntos de permisos de McAfee DLP asignan permisos para ver y guardar las directivas, así como para ver los campos
redactados. También se utilizan para asignar el control de acceso basado en funciones (RBAC).
Al instalar el software del servidor de McAfee DLP, se agrega el conjunto de permisos de McAfee ePO Data Loss Prevention. Si
hay una versión anterior de McAfee DLP instalada en el mismo servidor de McAfee ePO, aparecerá también dicho conjunto de
permisos.
Los conjuntos de permisos abarcan todas las secciones de la consola de gestión. Estos son los tres niveles de permisos:
• Utilizar: el usuario solo puede ver los nombres de los objetos (definiciones, clasificaciones, etc.), no los detalles.
Note
• Ver y utilizar: el usuario puede ver los detalles de los objetos, pero no puede cambiarlos.
• Todos los permisos: el usuario puede crear y cambiar objetos.
Puede definir permisos para distintas secciones de la consola de gestión y otorgar a los administradores y revisores permisos
diferentes según sea necesario. Las secciones se agrupan por jerarquía lógica, por ejemplo, al seleccionar Clasificaciones
se seleccionan automáticamente las Definiciones, ya que la configuración de los criterios de clasificación requiere el uso de
definiciones.
• DLP Discover
• Captura
• Clasificaciones
• Definiciones
Administración de incidentes, Eventos operativos, Administración de casos, Configuración de DLP y Captura se pueden
seleccionar por separado.
Note
Los permisos de Acciones de Data Loss Prevention se han movido al conjunto de permisos de Acciones de Help Desk.
Estos permisos permiten a los administradores generar claves de desinstalación y omisión de cliente, claves de liberación de
cuarentena y claves globales.
Además del permiso predeterminado de la sección, puede definir una omisión para cada objeto. La omisión puede aumentar
o disminuir el nivel de permisos. Por ejemplo, en los permisos del Gestor de directivas de DLP, se muestra una lista de todos
los conjuntos de reglas existentes cuando se crea el conjunto de permisos. Puede definir una omisión diferente para cada uno.
Cuando se crean nuevos conjuntos de reglas, estos reciben el nivel de permisos predeterminado.
Crear un usuario
Procedimiento
1. En McAfee ePO, seleccione Menú → Administración de usuarios → Usuarios.
2. Haga clic en Nuevo usuario y escriba un nombre de usuario.
3. Seleccione si desea activar o desactivar el estado de inicio de sesión de esta cuenta.
Tip
Deshabilite la cuenta si va a configurar un usuario que aún no ha empezado a trabajar para la empresa.
4. Seleccione un método de autenticación para esta cuenta y proporcione las credenciales necesarias.
• Autenticación de Windows
• Autenticación basada en certificados
5. (Opcional) Proporcione el nombre completo, la dirección de correo electrónico, el número de teléfono y una descripción
del usuario en el cuadro de texto Notas.
6. Decida si el usuario será administrador o seleccione los conjuntos de permisos adecuados.
7. Haga clic en Guardar para volver a la ficha Usuarios.
Resultados
Los conjuntos de permisos definen diferentes roles de administrador y revisor en el software de McAfee DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → Gestión de usuarios → Conjuntos de permisos.
2. Seleccione un conjunto de permisos predefinido y haga clic en Nuevo conjunto de permisos para crear un conjunto de
permisos o en Importar para importar un conjunto de permisos.
3. En la sección Prevención de fuga de datos, haga clic en Editar.
a. En el panel de la izquierda, seleccione un módulo de protección de datos.
Administración de incidentes, Eventos operativos y Administración de casos se pueden activar por separado. Otras
opciones crean automáticamente los grupos predefinidos.
b. Edite las opciones y omita permisos según sea necesario.
El Catálogo de directivas no dispone de opciones que se puedan editar. Si va a asignar el Catálogo de directivas a un
conjunto de permisos, puede editar los submódulos del grupo Catálogo de directivas.
c. Haga clic en Guardar.
Puede separar las tareas de administrador según sea necesario para, por ejemplo, crear un administrador de directivas sin
responsabilidades de revisión de eventos.
Procedimiento
1. En McAfee ePO, seleccione Menú → Gestión de usuarios → Conjuntos de permisos.
2. Haga clic en Nuevo conjunto de permisos para crear un conjunto de permisos.
a. Introduzca un nombre para el conjunto y seleccione los usuarios.
Para editar una directiva, el usuario debe ser el propietario o bien un miembro del conjunto de permisos de
administrador global.
b. Haga clic en Guardar.
3. En el conjunto de permisos Data Loss Prevention, seleccione Catálogo de directivas.
Note
4. En cada uno de los tres submódulos, compruebe que el usuario dispone de permisos y acceso totales.
La configuración predeterminada es Permisos totales.
Resultados
El administrador ya puede crear y cambiar las directivas, las reglas, las clasificaciones y las definiciones.
Caso de uso: limitar la visualización del Administrador de incidentes de DLP con permisos de
redacción
Para proteger la información confidencial y cumplir con los requisitos legales de algunos mercados, McAfee DLP Endpoint ofrece
una función de redacción de datos.
Cuando se utiliza la redacción de datos, los campos específicos de las pantallas Administrador de incidentes de DLP y
Operaciones de DLP, que contienen información confidencial, se cifran para evitar la visualización no autorizada, y se ocultan los
vínculos a las pruebas.
Note
Los campos nombre de equipo y nombre de usuario están predefinidos como privados.
En este ejemplo se muestra cómo configurar los permisos del Gestor de incidentes de DLP para un revisor de redacción: un
único gestor que no puede ver los incidentes reales, pero que puede revelar los campos cifrados cuando sea necesario para que
otro revisor vea el incidente.
Procedimiento
1. En McAfee ePO, seleccione Menú → Gestión de usuarios → Conjuntos de permisos.
2. Cree conjuntos de permisos para los revisores habituales y para el revisor de redacción.
a. Haga clic en Nuevo conjunto de permisos.
b. Introduzca un nombre para el grupo, como Revisor de incidentes de DLPE o Revisor de redacción.
Note
Puede asignar distintos tipos de incidentes a diferentes grupos de revisores. Debe crear los grupos en Conjuntos
de permisos antes de poder asignarles incidentes.
c. Asigne usuarios al grupo, ya sea de usuarios disponibles de McAfee ePO o mediante la asignación de usuarios o
grupos de Active Directory al conjunto de permisos. Haga clic en Guardar.
El grupo aparece en la lista Conjuntos de permisos del panel izquierdo.
3. Seleccione un conjunto de permisos de revisor estándar y, a continuación, haga clic en Editar, en la sección Data Loss
Prevention.
a. En el panel izquierdo, seleccione Gestión de incidentes.
b. En la sección Revisor de incidentes, seleccione El usuario puede ver los incidentes asignados a los siguientes
conjuntos de permisos, haga clic en el icono de elegir y seleccione el conjunto o los conjuntos de permisos
pertinentes.
c. En la sección Redacción de datos de incidentes, anule la selección del valor predeterminado Permiso de
supervisor y seleccione la opción Ocultar datos confidenciales de incidentes.
Al seleccionar esta opción, se activa la función de redacción. Al anular la selección, se muestran todos los campos de
datos en texto no cifrado.
d. En la sección Tareas de incidentes, seleccione o anule la selección de las tareas según proceda.
e. Haga clic en Guardar.
4. Seleccione el conjunto de permisos de revisor de redacción y, a continuación, haga clic en Editar, en la sección Data
Loss Prevention.
a. En el panel izquierdo, seleccione Gestión de incidentes.
b. En la sección Revisor de incidentes, seleccione El usuario puede ver todos los incidentes.
Note
En este ejemplo, se asume un único revisor de redacción para todos los incidentes. También puede asignar
diferentes revisores de redacción a distintos conjuntos de incidentes.
c. En la sección Redacción de datos de incidentes, seleccione las opciones Permiso de supervisor y Ocultar datos
confidenciales de incidentes.
d. En la sección Tareas de incidentes, anule la selección de todas las tareas.
Note
Los revisores de redacción no suelen tener otras tareas de revisor. Esto es opcional de acuerdo con sus requisitos
específicos.
Procedimiento
1. En McAfee ePO, seleccione Menú → Gestión de usuarios → Conjuntos de permisos.
2. Seleccione un conjunto de permisos predefinido y haga clic en Nuevo conjunto de permisos para crear un conjunto de
permisos o en Importar para importar un conjunto de permisos.
3. En la sección Acciones de DLP Help Desk, haga clic en Editar.
4. Seleccione la clave o las claves que puede generar el administrador.
La opción Generar clave de respuesta global estará disponible cuando se haya seleccionado al menos otra clave.
5. Haga clic en Guardar.
Utilice la opción Ningún permiso para restringir la visualización de appliances por parte de los usuarios en el Árbol de
sistemas, así como la visualización o edición de las directivas.
Procedimiento
1. En McAfee ePO, seleccione Menú → Gestión de usuarios → Conjuntos de permisos.
2. Seleccione el conjunto de permisos cuyos roles desee editar.
3. Seleccione Ningún permiso y haga clic en Guardar.
Configure el rol para permitir que los usuarios vean y modifiquen los ajustes de directivas y tareas.
Procedimiento
1. En McAfee ePO, seleccione Menú → Gestión de usuarios → Conjuntos de permisos.
2. Seleccione el conjunto de permisos cuyos roles desee editar.
3. Seleccione Ver y modificar los ajustes de directivas y tareas, y haga clic en Guardar.
Resultados
Los usuarios seleccionados pueden ver y modificar los ajustes de directiva de Gestión de appliances de McAfee DLP.
En el caso de los appliances de McAfee DLP, puede aplicar dos roles para acceder a las funciones de Gestión de appliances.
• Directiva común de Gestión de appliances: controla quién puede ver o cambiar la directiva de Ajustes generales de
gestión de appliances en el Catálogo de directivas.
• Gestión de appliances: controla quién puede ver las estadísticas y tareas de la gestión de appliances, y quién puede
crear y ejecutar las tareas de la base de datos.
Permita que los usuarios de un conjunto de permisos seleccionado vean el mantenimiento y las estadísticas del sistema en el
panel Gestión de appliances (Sistemas → Gestión de appliances).
Procedimiento
1. En McAfee ePO, seleccione Menú → Gestión de usuarios → Conjuntos de permisos.
2. Seleccione el conjunto de permisos cuyos roles desee editar.
3. Seleccione el rol Gestión de appliances y haga clic en Editar.
4. En Estado y estadísticas del appliance, seleccione Ver estado y estadísticas y haga clic en Guardar.
Resultados
Los usuarios seleccionados pueden ver las estadísticas y el mantenimiento del sistema de los appliances en el panel
Gestión de appliances.
Los ajustes de directiva de Ajustes generales de gestión de appliances permiten que los usuarios establezcan la fecha y la hora
del appliance, añadan servidores DNS y rutas estáticas, permitan el inicio de sesión remoto mediante SSH y añadan uno o más
servidores de registro remoto.
Procedimiento
1. En McAfee ePO, Menú → Gestión de usuarios → Conjuntos de permisos.
2. Seleccione el conjunto de permisos cuyos roles desee editar.
3. Haga clic en Editar junto a la Directiva común de Gestión de appliances.
4. Seleccione Ningún permiso y haga clic en Guardar.
Resultados
Important
Eventos y respuestas
• Eventos para los que se pueden configurar
respuestas automáticas.
• Grupos de evento y tipos de evento que puede
usar para personalizar las respuestas automáticas.
Consultas e informes
• Consultas predeterminadas que puede usar para
ejecutar informes.
Si desea obtener información adicional acerca de estas funciones, consulte la documentación de McAfee ePO.
McAfee DLP utiliza dos mecanismos y dos modos para clasificar el contenido de carácter confidencial.
• Las clasificaciones automáticas se definen en McAfee DLP y se distribuyen mediante McAfee ePO en las directivas
desplegadas. A continuación, se pueden aplicar al contenido con las reglas de protección de datos o de descubrimiento.
• Los usuarios autorizados aplican clasificaciones manuales a archivos y correos electrónicos en sus equipos. El cuadro de
diálogo de clasificación manual se admite en McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac.
Note
McAfee DLP Prevent y McAfee DLP Monitor pueden implementar reglas de protección de datos en función de las
clasificaciones manuales, pero no pueden verlas ni establecerlas.
Los dos mecanismos son las clasificaciones de contenido y la identificación por huellas digitales de contenido.
Note
• Las clasificaciones de contenido se aplican de forma diferente para las clasificaciones automáticas y para las
clasificaciones manuales
Para la clasificación automática, los criterios de clasificación se comparan con el contenido cada vez que se
activa una regla.
En cuanto a la clasificación manual, la clasificación está incrustada como una etiqueta física dentro del archivo o
correo electrónico.
• Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o en el flujo de datos
alternativo (ADS) de un archivo, o bien en una carpeta oculta (ODB$).
Todos los productos de McAfee DLP admiten clasificaciones de contenido, es decir, pueden aplicarlas asignándolas a reglas de
descubrimiento o de protección de datos.
Durante el despliegue, McAfee DLP muestra muchas clasificaciones predefinidas. Las clasificaciones predefinidas incluyen, entre
otras, las clasificaciones de datos personales específicas para distintos países de la Unión Europea, que se pueden utilizar para la
precisión de la detección, específicamente cuando se analizan los datos personales de ciudadanos de la Unión Europea.
Puede utilizar clasificaciones predefinidas como en las reglas de protección pero, si desea personalizar una clasificación, debe
duplicarla previamente. Las clasificaciones reducen los falsos positivos.
El módulo Clasificación de McAfee DLP almacena criterios de clasificación e identificación por huellas digitales de contenido,
así como las definiciones utilizadas para configurarlos. También es allí donde se configuran los repositorios de los documentos
registrados, la autorización del usuario para la clasificación manual y el texto ignorado.
• Clasificación manual: configura los grupos de usuarios a quienes se permite identificar por huellas digitales o clasificar
de forma manual el contenido.
• Definiciones: define el contenido, las propiedades y la ubicación de los archivos para la clasificación.
• Clasificación: crea clasificaciones y define los criterios de clasificación e identificación por huellas digitales de contenido.
• Probador de clasificación: prueba las clasificaciones comprobando si una fase o un archivo desencadena las
clasificaciones.
• Registrar documentos: carga archivos que contienen contenido conocido como de carácter confidencial para su
distribución a los endpoints; muestra la información del análisis de registro de McAfee DLP Discover.
• Texto ignorado: carga archivos que contienen texto ignorado para su distribución a los endpoints.
Clasificación del contenido
Las clasificaciones de contenido incluyen condiciones de archivo y datos que definen el contenido de carácter confidencial. En
el caso de la clasificación automática, los criterios de clasificación se comparan con el contenido cada vez que se activa una
regla de protección de datos, de descubrimiento de endpoint o de McAfee DLP Discover. En cuanto a la clasificación manual,
la clasificación está incrustada como una etiqueta física dentro del archivo o correo electrónico. Las clasificaciones de contenido
manuales son persistentes y permanecen en el archivo cuando este se copia en el almacenamiento, se adjunta a un correo
electrónico o se carga en un sitio web como SharePoint.
Las clasificaciones de contenido automáticas son compatibles con todos los productos de McAfee DLP. Las reglas de protección
de datos basadas en las clasificaciones manuales se implementan en todos los productos de McAfee DLP, pero únicamente
McAfee DLP Endpoint (para las versiones Windows y Mac) cuanta con el cuadro de diálogo de clasificación manual que permite a
los usuarios clasificar archivos.
Los criterios de clasificación de contenido identifican patrones de texto de carácter confidencial, diccionarios y palabras clave,
ya sean solas o en combinaciones. Las combinaciones pueden ser varias propiedades especificadas o propiedades con una
relación definida que se conoce como proximidad. También pueden especificar las condiciones del archivo, por ejemplo, el tipo,
el cifrado, las propiedades del documento o la ubicación en el archivo (encabezado/cuerpo/pie de página).
• McAfee DLP Endpoint for Windows puede aplicar las huellas digitales de contenido a las reglas de protección de datos e
implementar las reglas.
• McAfee DLP Prevent y McAfee DLP Monitor pueden implementar huellas digitales de contenido en reglas, pero no
pueden aplicarlas al contenido.
• McAfee DLP Discover puede utilizar los criterios de clasificación de huellas digitales de contenido de Ubicación,
SharePoint o Box en los análisis de registro, pero no puede utilizarlos o aplicarlos en los análisis de clasificación o
de corrección.
Los criterios de identificación por huellas digitales de contenido se aplican a los archivos o al contenido en función de una de las
siguientes opciones:
Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o en los flujos de datos alternativos
(ADS) de un archivo, o bien en una carpeta oculta (ODB$). Puede seleccionar la tecnología que prefiera en la página de
configuración del cliente de Windows Rastreo de contenido. Se aplican a un archivo cuando se guarda. El mecanismo es
el mismo que el de las huellas digitales de contenido automáticas o manuales. Si un usuario copia o mueve contenido
identificado por huellas digitales a otro archivo, los criterios de identificación por huellas digitales se aplican a ese archivo.
Si el contenido identificado por huellas digitales se elimina del archivo, también lo hacen las firmas de huellas digitales de
contenido correspondientes. Si el archivo se copia en un sistema que no es compatible con EA o ADS (como SharePoint), los
criterios de identificación por huellas digitales se pierden.
Note
McAfee DLP Endpoint aplica los criterios de identificación por huellas digitales de contenido a los archivos tras la aplicación
de una directiva, independientemente de si se utiliza o no la clasificación en una regla de protección.
• McAfee DLP Prevent aplica los criterios cuando un correo electrónico o solicitud web coincide con una clasificación
configurada.
• McAfee DLP Monitor aplica los criterios cuando el tráfico de red coincide con una clasificación configurada.
• McAfee DLP Endpoint aplica los criterios en los siguientes supuestos:
El archivo coincide con una clasificación configurada.
El archivo o contenido de carácter confidencial se mueve a una nueva ubicación o se copia en esta.
Se encuentra la coincidencia de un archivo durante un análisis de descubrimiento.
Un correo electrónico o una solicitud web coinciden con una clasificación configurada.
Cómo categoriza McAfee DLP las aplicaciones que se utilizan en las clasificaciones y los conjuntos de reglas que pueden afectar
al rendimiento del sistema.
Note
McAfee DLP divide las aplicaciones en cuatro categorías llamadas estrategias. Estas categorías o estrategias afectan al modo
en que el software funciona con las diferentes aplicaciones. Puede cambiar la estrategia para conseguir un equilibrio entre la
seguridad y el rendimiento del equipo.
Las estrategias, en orden decreciente de seguridad, son las que se indican a continuación:
• Editor: Cualquier aplicación que pueda modificar contenido de archivos. En esta categoría se engloban los editores
“clásicos”, como Microsoft Word y Microsoft Excel, así como navegadores, software de edición de gráficos, software de
contabilidad, etc. La mayor parte de las aplicaciones son editores. El cliente de McAfee DLP Endpoint analiza siempre los
archivos abiertos o creados por editores.
• Explorador: una aplicación que copia o mueve archivos sin cambiarlos, como Microsoft Windows Explorer o
determinadas aplicaciones del shell.
• De confianza: una aplicación que necesita acceso sin restricciones a los archivos para realizar análisis. Por ejemplo,
McAfee® VirusScan® Enterprise o el software de copia de seguridad. Utilice la estrategia de confianza cuando desee
asegurarse de que el cliente de McAfee DLP Endpoint no analiza los archivos abiertos o creados por la aplicación.
• Archivador: una aplicación que puede volver a procesar archivos. Por ejemplo, software de compresión de archivos
como WinZip y aplicaciones de cifrado como el software de McAfee Endpoint Encryption o PGP.
Cómo trabajar con las estrategias DLP
Las estrategias de aplicación se establecen en la página Plantilla de aplicación en Gestor de directivas de DLP → Definiciones.
Utilice las plantillas integradas o cree sus propias plantillas personalizadas.
Note
No es posible editar estrategias en las plantillas integradas. Puede crear omisiones en la página Directiva de DLP →
Configuración → Estrategia de aplicación. Cree y elimine omisiones según sea necesario para experimentar con el ajuste de
la directiva.
Cambie la estrategia según sea necesario para optimizar el rendimiento. Por ejemplo, el alto nivel de observación que recibe
una aplicación de editor no es coherente con el procesamiento frecuente de software de copia de seguridad. La penalización de
rendimiento es alta y el riesgo de fuga de datos de una aplicación de este tipo es bajo, por lo que no se recomienda utilizar la
estrategia de confianza con estas aplicaciones.
También puede crear más de una plantilla para una aplicación y asignarle más de una estrategia. Use plantillas diferentes
en clasificaciones y reglas distintas para lograr resultados diversos en contextos diferentes. Sea cuidadoso al asignar dichas
plantillas a los conjuntos de reglas para evitar conflictos. McAfee DLP resuelve los posibles conflictos conforme a la jerarquía
siguiente: archivador > de confianza > explorador > editor. O lo que es lo mismo, el editor se encuentra en la posición más baja.
Si una aplicación es un editor en una plantilla y cualquier otro elemento en otra plantilla del mismo conjunto de reglas, McAfee
DLP no trata la aplicación como editor.
La estrategia de confianza es el mecanismo general que debe utilizar para asegurarse de que el cliente de McAfee DLP
Endpoint no analice los archivos abiertos o creados por la aplicación. Use este mecanismo para aplicaciones que siempre
necesiten acceso sin restricciones a los archivos.
Los procesos ignorados se utilizan para crear excepciones a las reglas. Las direcciones URL ignoradas crean excepciones para
las reglas de protección web. Puede añadir aplicaciones a la lista de ignorados para crear excepciones en el portapapeles y
reglas de protección de la impresora, así como para definir excepciones para el rastreo de contenido durante la creación de
huellas digitales de contenido.
Note
Las reglas de protección de comunicaciones de la red de datos pueden ser entrantes, salientes o de ambos tipos.
Para la clasificación por destino, solo son relevantes las reglas salientes.
McAfee DLP Endpoint protege el contenido de carácter confidencial de los correos electrónicos añadiendo clasificaciones de
contenido y bloqueando el envío de correos electrónicos con contenido de carácter confidencial. La directiva de protección de
correo electrónico puede especificar reglas diferentes para usuarios y destinos de correo electrónico distintos, o para los correos
electrónicos protegidos con el cifrado o la administración de derechos. Es posible activar reglas para McAfee DLP Endpoint
para Windows, para McAfee DLP Prevent o para ambos. Las clasificaciones manuales añadidas por los usuarios de McAfee DLP
Endpoint para Windows se admiten en los appliances de McAfee DLP.
McAfee DLP Endpoint protege los datos de carácter confidencial de los encabezados, del cuerpo o de los datos adjuntos de los
correos electrónicos cuando se envían. El descubrimiento de almacenamiento de correo electrónico detecta correos electrónicos
con datos de carácter confidencial en archivos OST o PST, y los etiqueta o los pone en cuarentena.
McAfee DLP Endpoint protege el contenido de carácter confidencial del correo electrónico añadiendo clasificaciones de
contenido y bloqueando el envío de correos electrónicos con contenido de carácter confidencial. La directiva de protección
de correo electrónico puede especificar reglas diferentes para usuarios y destinos de correo electrónico distintos, o para los
correos electrónicos protegidos con el cifrado o la gestión de derechos. Es posible habilitar reglas para McAfee DLP Endpoint
for Windows, para McAfee DLP Prevent o para ambos. Las clasificaciones manuales añadidas por los usuarios de McAfee DLP
Endpoint para Windows se admiten en los appliances de McAfee DLP.
Las definiciones de red funcionan como criterios de filtrado en las reglas de protección de la red.
• Las Direcciones de red supervisan las conexiones de red entre un origen externo y un equipo gestionado. La definición
puede ser una sola dirección, un intervalo o una subred. Puede incluir y excluir a direcciones de red definidas en reglas
de protección de comunicaciones de la red.
• Las definiciones de Puerto de red en las reglas de protección de comunicaciones de la red le permiten excluir servicios
específicos según lo definido por los puertos de red. Se integra una lista de servicios comunes y sus puertos. Puede
editar los elementos de la lista o crear sus propias definiciones.
• Las definiciones de Recurso compartido de red especifican las carpetas de red compartidas en las reglas de protección
de recurso compartido de red. Puede incluir o excluir los recursos compartidos definidos.
Las reglas de protección contra impresión gestionan impresoras locales y de red, y bloquean o supervisan la impresión de
material confidencial.
Las reglas de protección contra impresión de McAfee DLP Endpoint admiten el modo avanzado y son compatibles con las
impresoras V4. Los usuarios finales y las impresoras definidos pueden incluirse o excluirse de una regla. En la regla se pueden
incluir impresoras de imágenes y en PDF.
Las reglas de protección de impresoras pueden incluir definiciones de aplicaciones. Puede definir los procesos ignorados que
están exentos de las reglas de protección contra impresión en la página Protección contra impresión de la Configuración de
cliente de Windows.
Las direcciones web se utilizan en las reglas de protección web y las reglas de control de aplicaciones web.
Puede utilizar las definiciones de direcciones web (URL) para evitar que los datos marcados se publiquen en los destinos web
definidos (sitios web o páginas concretas de un sitio web), o bien para impedir que se publiquen en sitios web no definidos.
Generalmente, las definiciones de direcciones web establecen los sitios web internos y externos en los que se admite la
publicación de datos marcados.
McAfee DLP Endpoint utiliza varios métodos para ubicar y clasificar el contenido de carácter confidencial. Datos en reposo es
el término utilizado para describir las ubicaciones de los archivos. Clasifica el contenido planteando preguntas como "¿dónde se
encuentra en la red?" o "¿en qué carpeta se encuentra?" Datos en uso es el término utilizado para definir el contenido por cómo
y dónde se utiliza. Clasifica el contenido planteando preguntas como "¿qué aplicación lo solicitó?" o "¿cuál es la extensión del
archivo?"
Las reglas de la función de descubrimiento de McAfee DLP Endpoint encuentran sus datos en reposo. Pueden buscar contenido
de archivos de equipos de endpoint o archivos de almacenamiento de correo electrónico (PST, PST asignado y OST). En
función de las propiedades, aplicaciones o ubicaciones de la clasificación de la regla, esta puede buscar en ubicaciones de
almacenamiento concretas y aplicar políticas de cifrado, cuarentena o administración de registros. Asimismo, los archivos se
pueden etiquetar o clasificar para controlar cómo se usan.
Extracción de texto
El extractor de texto analiza el contenido cuando se abren o se copian archivos y los compara con los patrones de texto y
las definiciones de diccionarios de las reglas de clasificación. Cuando se produce una coincidencia, se aplican los criterios al
contenido.
McAfee DLP es compatible con los caracteres acentuados. Cuando un archivo de texto ASCII contiene una mezcla de caracteres
acentuados, como los que existen en francés y español, además de otros caracteres latinos estándar, es posible que el
extractor de texto no identifique correctamente el conjunto de caracteres. Este problema se produce en todos los programas de
extracción de texto. En este caso, no se conoce ningún método o técnica para identificar la página de código ANSI. Cuando el
extractor de texto no es capaz de identificar la página de código, no se reconocen los patrones de texto ni las firmas de huella
digital en contenido. El documento no se puede clasificar correctamente y, por tanto, no es posible llevar a cabo las medidas
de supervisión o bloqueo correctas. Para solventar este problema, McAfee DLP utiliza una página de código de respaldo. Como
respaldo, actúa el idioma predeterminado del equipo o bien otro diferente establecido por el administrador.
El extractor de texto puede ejecutar varios procesos en función del número de núcleos del procesador.
Los criterios de clasificación e identificación por huellas digitales de contenido utilizan los diccionarios especificados para
clasificar un documento si se supera un umbral definido (calificación total), es decir, si aparecen en el documento suficientes
palabras del diccionario. Las calificaciones asignadas pueden ser negativas o positivas, lo que permite buscar palabras o
expresiones en presencia de otras palabras o expresiones.
La diferencia entre un diccionario y una cadena en una definición de palabra clave es la calificación asignada.
• Una clasificación por palabra clave siempre etiqueta el documento si la expresión está presente.
• Una clasificación de diccionario ofrece más flexibilidad, ya que permite establecer un umbral al aplicar la definición, lo
que hace que la clasificación sea relativa. El umbral puede llegar hasta 1000. También puede elegir cómo se cuentan
las coincidencias: Contar varias repeticiones de cada cadena coincidente aumenta el recuento con cada coincidencia,
mientras que Contar cada cadena coincidente una sola vez cuenta cuántas entradas del diccionario coinciden con el
documento.
El software de McAfee DLP incluye varios diccionarios integrados con términos utilizados habitualmente en los ámbitos de la
sanidad, la banca, las finanzas y otros sectores. También puede crear sus propios diccionarios y editarlos manualmente, o copiar
y pegar desde otros documentos.
Limitaciones
Existen algunas limitaciones para el uso de diccionarios. Los diccionarios se guardan en Unicode (UTF-8) y se pueden escribir en
cualquier idioma. Las siguientes descripciones se aplican a los diccionarios escritos en inglés. Por lo general, las descripciones se
aplican a otros idiomas, pero pueden existir problemas imprevistos en ciertos idiomas.
• Solo distinguen entre mayúsculas y minúsculas cuando se crean entradas de diccionario que las distinguen. Los
diccionarios integrados creados antes de que esta función estuviera disponible no distinguen entre mayúsculas y
minúsculas.
• De forma opcional, puede buscar coincidencias con subcadenas o expresiones completas.
Las definiciones de patrones avanzados incluyen una calificación (obligatoria), como con las definiciones de diccionario.
Además, pueden incluir un validador opcional: un algoritmo utilizado para probar las expresiones regulares. El uso del
validador adecuado también puede reducir los falsos positivos de manera significativa. La definición puede incluir una
sección Expresiones ignoradas opcional para continuar reduciendo los falsos positivos. Las expresiones ignoradas pueden ser
expresiones regex o palabras clave. Puede importar varias palabras clave para agilizar la creación de expresiones.
A fin de garantizar la conformidad con las normativas gubernamentales recientes y simplificar la detección de información
personal, se han agregado más definiciones de patrones avanzados integradas. Además, también se han agregado muchos
algoritmos de validación.
Important
Cuando se trabaja con productos de McAfee DLP anteriores, la evaluación de un patrón avanzado en combinación con una
expresión regular puede generar un falso positivo. Cuando el producto de McAfee DLP anterior ya no es compatible con el
nuevo algoritmo de validación, se omite el algoritmo de validación. Si la expresión regular coincide, pero el valor no es válido
según el algoritmo de validación, la coincidencia positiva indicada es un falso positivo.
A la hora de definir un patrón avanzado, se puede elegir cómo se contarán las coincidencias: Contar varias repeticiones de cada
cadena coincidente aumenta el recuento con cada coincidencia, mientras que Contar cada cadena coincidente una sola vez
cuenta cuántos patrones definidos tienen una coincidencia exacta en el documento.
Los patrones avanzados indican texto de carácter confidencial. Los patrones de texto de carácter confidencial se redactan en
pruebas subrayadas.
Note
Si se especifica un patrón de coincidencia y otro que se ignora, tiene prioridad el patrón ignorado. Esto permite especificar una
regla general y agregarle excepciones sin que se reescriba la regla general.
Note
Las condiciones de archivo Fecha de acceso, Fecha de creación, Fecha de modificación Propietario del archivo no se
incluyen en el archivo y, por lo tanto, no se pueden detectar. Las condiciones se pierden cuando el archivo está en
movimiento o al cargarlo en la nube o en un sitio web.
Se puede definir una plantilla de aplicación para una única aplicación o un grupo de aplicaciones similares. Existen plantillas
integradas (predefinidas) para diversas aplicaciones habituales como Windows Explorer, navegadores web, aplicaciones de
cifrado y clientes de correo electrónico.
En la definición de plantilla de la aplicación se incluye un campo con una casilla de verificación para sistemas operativos. El
análisis de archivos asignados a la memoria es una función solo de Windows y se desactiva de forma automática cuando se
seleccionan las aplicaciones OS X.
Las plantillas de aplicaciones para Microsoft Windows pueden utilizar cualquiera de los parámetros siguientes:
• Línea de comandos: permite argumentos de línea de comandos, por ejemplo, java-jar, que pueden controlar
aplicaciones que antes eran incontrolables.
• Directorio ejecutable: el directorio en el que se ubica el archivo ejecutable. Un uso de este parámetro es controlar las
aplicaciones U3.
• Hash del archivo ejecutable: el nombre para mostrar de la aplicación, con un hash SHA-2 identificador.
• Nombre del archivo ejecutable: normalmente es el mismo que el nombre para mostrar (excepto el hash SHA-2), pero
puede ser diferente si se modifica el nombre del archivo.
• Nombre del archivo ejecutable original: idéntico al nombre del archivo ejecutable, a menos que se haya modificado el
nombre del archivo.
• Nombre del producto: el nombre genérico del producto —por ejemplo, Microsoft Office 2012—, si figura en las
propiedades del archivo ejecutable.
• Nombre del proveedor: el nombre de la empresa, si figura en las propiedades del archivo ejecutable.
• Título de ventana: un valor dinámico que cambia en el tiempo de ejecución para incluir el nombre del archivo activo.
Todos los parámetros, excepto el nombre de aplicación de SHA-2 y el directorio ejecutable, aceptan las coincidencias de
subcadenas.
Las plantillas de aplicaciones para macOS pueden utilizar cualquiera de los parámetros siguientes:
• Línea de comandos
• Directorio ejecutable
• Hash del archivo ejecutable
• Nombre del archivo ejecutable
La función de clasificación manual aplica la clasificación de archivos. Es decir, que no es necesario que las clasificaciones
aplicadas estén relacionadas con el contenido. Por ejemplo, un usuario puede colocar una clasificación de PCI en cualquier
archivo. El archivo no tiene que contener números de tarjeta de crédito. La clasificación manual está incrustada en el archivo.
En los archivos de Microsoft Office, la clasificación se almacena como una propiedad de documento. En los demás archivos
admitidos, se almacena como propiedad XMP. En el caso del correo electrónico, se añade como texto marcado.
Al configurar la clasificación manual, también puede permitir que un usuario aplique manualmente huellas digitales de
contenido.
• Los usuarios de McAfee DLP Endpoint (en endpoints tanto Windows como Mac) pueden clasificar archivos
manualmente.
• Los clientes de McAfee DLP Endpoint (en endpoints tanto Windows como Mac), McAfee DLP Prevent y McAfee
DLP Monitor pueden detectar los archivos clasificados de forma manual (por ejemplo, en datos adjuntos de correo
electrónico) y realizar la acción adecuada en función de la clasificación.
• Con McAfee DLP Discover se pueden detectar las clasificaciones manuales en los análisis de clasificación y de
corrección, así como tomar las medidas adecuadas en los análisis de corrección.
De forma predeterminada, los usuarios no tienen permiso para ver, añadir o eliminar clasificaciones, pero puede asignar
clasificaciones específicas a grupos de usuarios concretos o a Todos. De este modo, los usuarios asignados pueden aplicar la
clasificación a los archivos mientras trabajan. La clasificación manual también le permite mantener la directiva de clasificación
de su organización incluso en aquellos casos excepcionales en los que el sistema no procesa automáticamente la información
confidencial o única.
Al configurar el permiso para la clasificación manual, tiene la opción de permitir que se apliquen manualmente las clasificaciones
de contenido, las huellas digitales de contenido o ambas.
En lo que respecta a la creación de archivos, se pueden utilizar las aplicaciones de Microsoft Office (Word, Excel y PowerPoint) y
Microsoft Outlook. Los usuarios pueden elegir clasificar los archivos haciendo clic en el icono de clasificación manual. También
puede establecer opciones para forzar a los usuarios a clasificar los archivos mediante la activación de la ventana emergente de
clasificación manual cuando se guardan los archivos o se envían los correos electrónicos de Outlook.
La clasificación manual de un correo electrónico es válida solo en un subproceso específico. Si envía el mismo correo electrónico
dos veces en subprocesos diferentes, deberá clasificarlo dos veces. En el caso de los correos electrónicos, la información que se
añade al encabezado o al pie de página (establecida en la página Ajustes generales de la clasificación manual) se añade como
texto no cifrado.
Todos los tipos de archivos admitidos se pueden clasificar desde el Explorador de Windows o el Finder de Mac mediante el menú
del botón derecho del ratón (o, en el caso de los Mac, Ctrl + clic).
Las propiedades incrustadas cuando se utiliza la clasificación manual permiten que las aplicaciones de terceros se integren con
los documentos clasificados de McAfee DLP.
Microsoft Word DOC, DOCX, DOCM, DOT, DOTX, propiedad del documento
DOTM
Clasificación manual tiene varias opciones que determinan cómo interactúa la función y qué mensajes se muestran.
La clasificación manual permite a los usuarios finales de McAfee DLP Endpoint para Windows agregar clasificaciones a los
archivos con el menú del botón derecho en el explorador de Windows. Para aplicaciones de Microsoft Office y Outlook, se
pueden aplicar clasificaciones manuales al guardar archivos o al enviar correos electrónicos. Todos los productos de McAfee DLP
pueden aplicar las reglas basadas en las clasificaciones manuales.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Haga clic en Clasificación manual.
3. En la lista desplegable Ver, seleccione Configuración general.
4. Seleccione o anule la selección de las opciones para ajustarse a sus necesidades empresariales.
5. (Opcional) Seleccione la información adicional que agregar al correo electrónico haciendo clic en y seleccionando
una definición de notificación o creando una.
Las notificaciones admiten la función Configuraciones regionales para todos los idiomas compatibles. La compatibilidad
con el idioma también se aplica a los comentarios de correo electrónico agregada.
Para crear documentos registrados, McAfee DLP aplica categorías y huellas digitales al contenido de los archivos predefinidos
como de carácter confidencial. Por ejemplo, hojas de cálculo de estimación de ventas para el próximo trimestre. Usa las huellas
digitales para crear firmas que se almacenan como documentos registrados. Las firmas creadas son independientes del idioma,
es decir, el proceso funciona para todos los idiomas.
Registro manual
Para crear documentos registrados manualmente, cargue archivos del módulo Clasificación en la página Registrar documentos.
A continuación, cree paquetes desde los archivos cargados para crear firmas. Estas firmas están disponibles para su descarga
por parte de los endpoints y appliances desde el depósito de S3 y se utilizan en las reglas implementadas en los endpoints.
Cuando se crea un paquete, McAfee DLP procesa todos los archivos de la lista y carga las huellas digitales (firmas) en McAfee
ePO. Cuando añada o elimine documentos, deberá volver a crear un nuevo paquete. El software no intenta calcular si ya se ha
aplicado la huella digital a algunos de los archivos. Siempre procesa la lista entera.
Los appliances de McAfee DLP también utilizan el registro manual. Las firmas de los archivos se cargan en McAfee ePO desde
McAfee DLP al cargar los archivos y crear un paquete de forma manual. Estas firmas están disponibles para la descarga por
parte de los appliances desde la ubicación compartida. A continuación, el appliance puede rastrear cualquier contenido copiado
desde uno de esos documentos y clasificarlo según la clasificación de la firma del documento registrado.
Texto ignorado: cargue archivos de texto ignorado en la página Texto ignorado. El texto ignorado no impide que el contenido
se clasifique, incluso si hay partes de él que coinciden con la clasificación o los criterios de identificación por huellas digitales de
contenido. El texto ignorado que suele aparecer en los archivos, como textos modelo, avisos legales e información de copyright.
Los paquetes de texto ignorado se crean por separado a partir de paquetes de documentos registrados y se distribuyen a los
endpoints de forma similar.
• Los archivos que deben ignorarse deben contener al menos 400 caracteres.
• Si un archivo contiene tanto datos clasificados como ignorados, el sistema no lo ignora. Todos los criterios de
clasificación e identificación por huellas digitales de contenido asociados con el contenido siguen vigentes.
Registro automático
Cree automáticamente documentos registrados ejecutando análisis de registro de documentos de McAfee DLP Discover.
Utilícelos para definir análisis de clasificación y corrección, así como reglas de protección para McAfee DLP Prevent y McAfee
DLP Monitor.
Los análisis de registro de McAfee DLP Discover crean archivos de firma que se almacenan como paquetes de documentos
registrados en la red, normalmente en el recurso compartido de almacenamiento de pruebas. Un servidor de DLP asignado
para que actúe como la base de datos de firmas carga las firmas de todos los recursos compartidos de almacenamiento. Cada
configuración de servidor en el Catálogo de directivas puede especificar un servidor de DLP para distribuir los paquetes de
documentos registrados, por lo que puede haber más de un servidor de DLP en una red. En tal caso, recomendamos que se
configure cada servidor de DLP para que cargue las firmas de todos los recursos compartidos de almacenamiento, ya que las
bases de datos de firmas ya no están sincronizadas. Cuando un análisis de McAfee DLP Discover desea hacer coincidir huellas
digitales o si McAfee DLP Monitor o McAfee DLP Prevent necesitan acceder a la base de datos para crear una directiva, envían
una llamada HTTP mediante las API REST.
Puede ejecutar análisis de registro en los repositorios del servidor de archivos, SharePoint o Box. Asigne una clasificación a
los documentos registrados en la página Detalles de análisis cuando configure el análisis. Podrá ver los análisis de la página
Registrar documentos si selecciona Tipo: registro automático.
La vista Agrupar por para el registro manual permite agrupar por clasificación o tipo/extensión. Muestra los archivos cargados
por tipo o clasificación. Puede filtrar los datos por clasificación o con un filtro personalizado. La información sobre la última
creación del paquete y los cambios realizados a la lista de archivos se muestra en la parte superior derecha.
Para el registro automático, Agrupar por permite agrupar por clasificación, servidor de repositorio, análisis o tipo de archivo
verdadero. Puede filtrar los datos por análisis, clasificación o con un filtro personalizado.
Los registros de empleados, los registros de clientes y los registros médicos de pacientes son ejemplos típicos de información
confidencial enorme que necesita protección. Aunque puede proteger estos registros haciendo coincidir los patrones y los
términos del diccionario, estos métodos de coincidencia de datos requieren una lógica de regla y una condición complejas, que
son propensas a la coincidencia falsa.
Buscar coincidencias en los campos individuales de un registro confidencial (por ejemplo, el nombre, la fecha de nacimiento y el
número de teléfono) puede no resultar útil y dar lugar fácilmente a una coincidencia falsa. Sin embargo, si se cotejan dos o más
campos del mismo registro confidencial (por ejemplo, el nombre y el número de Seguridad Social) en el mismo texto (como un
mensaje de correo electrónico o un documento), indica que hay información relacionada importante.
La función EDM (mejorada) ofrece un mejor rendimiento de análisis e identificación por huellas digitales en comparación con
la función EDM actual. Para que EDM (mejorada) funcione, es necesario ejecutar la herramienta EDMTrain para formación del
archivo de origen de datos. La herramienta normaliza y aplica hashes al archivo de origen de datos, y genera los archivos .props
(archivo de metadatos) y .dis (archivo de huella digital) necesarios.
La función EDM (mejorada) es compatible con multibyte mediante Unicode para habilitar el procesamiento de datos en todos los
idiomas admitidos, incluidos el chino, el japonés y el coreano.
1. Exporte los registros de usuario de una base de datos a un archivo .csv o .tsv. También puede usar el comando de barra
vertical para enviar registros de usuario desde la base de datos a la herramienta EDMTrain (herramienta de huella digital)
para su procesamiento.
2. Ejecute la herramienta EDMTrain para entrenar el archivo de origen de datos y generar el archivo de huella digital. Para
obtener más información, consulte Preparación del archivo de origen de datos para la coincidencia exacta de datos.
3. Especifique la ubicación del recurso compartido CIFS del archivo .props en McAfee ePO. Cuando se especifica el
archivo .props, McAfee ePO también copia el archivo .dis en la ubicación del recurso compartido de pruebas. Vuelva a
cargar manualmente el archivo de huella digital en caso de que haya algún cambio en el archivo de origen de datos.
Para obtener más información, consulte Buscar una coincidencia exacta en un archivo de origen de datos mediante EDM
(mejorada). O BIEN Ejecute la llamada a la API fileUpload para que McAfee ePO copie el archivo de huella digital en la
ubicación del recurso compartido de pruebas. Para obtener más información, consulte Cargar el archivo de huella digital
mediante la llamada a la API REST.
Important
El proceso de carga con ambos métodos copia la base de datos de EDM en un subdirectorio llamado
ExactDataFingerprints en todos los recursos compartidos de pruebas configurados. Si añade o cambia una ruta de
recurso compartido de pruebas, los archivos de EDM no se sincronizarán automáticamente. Puede copiar el contenido
del subdirectorio ExactDataFingerprints de un recurso compartido de pruebas existente o cargar una base de datos de
huellas digitales actualizada para todos los orígenes de datos existentes.
4. Defina los criterios de clasificación del contenido mediante los criterios de coincidencia exacta de datos. Elija las columnas
que quiera analizar dentro de la proximidad especificada. Si lo desea, puede especificar las columnas obligatorias y excluir
cualquier combinación de columnas de la búsqueda de coincidencias. Para obtener más información, consulte Buscar una
coincidencia exacta en un archivo de origen de datos mediante EDM (mejorada).
5. Cree un conjunto de reglas con los criterios de clasificación de EDM (mejorada), aplíquelo e inserte la directiva con el nuevo
conjunto de reglas en los appliances.
• Número de coincidencias de campo (celdas): el número de coincidencias de campo dentro de la proximidad especificada
constituye una coincidencia de registro (puede aparecer en cualquier orden).
• Proximidad: la proximidad se mide en palabras. La proximidad es la distancia máxima permitida entre los campos
adyacentes que puede especificar para las coincidencias de campo. Puede establecer la proximidad entre 0 y 40
palabras.
• Valores de columna: permite seleccionar los valores de columna que se deben encontrar en una coincidencia y dentro
de la proximidad especificada. Puede especificar las Columnas que analizar de lista de valores de columna que se
incluye en el archivo de huella digital. De forma opcional, puede especificar las Columnas obligatorias que deben
estar presentes para que coincida un registro. También puede establecer Excepciones para excluir una combinación
de columnas, lo que significa que una coincidencia únicamente compuesta por cualquier combinación de las columnas
excluidas no contará como una coincidencia de registro.
Elegir las columnas al crear criterios de coincidencia de contenido
Tomemos el siguiente registro de un conjunto de datos protegido con EDM (mejorada):
Puede decidir que los datos que no quiere filtrar es la combinación del número de cuenta con cualquier información que se
pueda utilizar para identificar al propietario de la cuenta.
Si especifica los criterios de coincidencia de registro como "al menos 2 de los 5 valores de celda con no más de 15 palabras entre
los valores de celda coincidentes" y añade "Número de cuenta" como columna obligatoria, cualquier documento que contenga el
número de cuenta dentro de la proximidad especificada de uno o más valores de columna desencadenará una coincidencia de
registro.
Observe lo siguiente:
• Ejemplo A: El número de teléfono de Juan García es el +1-555-1234. Reside en Nueva York y su número de cuenta es el
123-456-789 con número de cliente 234567.
• Ejemplo B: 123-456-789 234567
Puede que decida que la combinación de "Número de cuenta" y "Número de cliente" no constituye una filtración y que esté
provocando falsos positivos en las hojas de cálculo numéricas, por lo que puede crear una excepción para la coincidencia
"Número de cuenta", "Número de cliente".
Sin embargo, esos campos combinados con cualquier otra celda seguirán siendo una coincidencia. El ejemplo A sigue siendo una
coincidencia porque "Nombre completo" se combina con "Número de teléfono", "Número de cuenta" y "Número de cliente":
• La primera línea del archivo de origen de datos puede ser un encabezado de nombres de columna, ya que los
encabezados se extraen al archivo .props. La opción -h (--header) que se utiliza en el comando edmtrain indica que la
primera línea es una línea de encabezado. Si no se especifica la opción de encabezado, la herramienta genera el archivo
de salida con los nombres de columna, como Columna 1, Columna 2 y Columna 3.
• Un nombre de columna no puede contener más de 100 caracteres.
• Los números de teléfono del archivo de huella digital solo coinciden con números idénticos en archivos de texto. Por
ejemplo, un número de teléfono introducido en un CSV sin código de país no desencadena una coincidencia con el
mismo número del archivo de texto si incluye el código de país.
• La coincidencia exacta de datos es compatible con multibyte mediante Unicode para habilitar el procesamiento de datos
en todos los idiomas admitidos, incluidos el chino, el japonés y el coreano.
El contenido del archivo de origen de datos se autentica mediante token y se normaliza antes de que se aplique el hash en
huellas digitales. Se aplican las mismas reglas a los datos que se analizan en busca de la coincidencia exacta de datos:
• Los datos de usuario se consideran iguales independientemente del uso de mayúsculas y minúsculas. Por ejemplo, se
considera que Datos, DATOS y datos es lo mismo.
• Los caracteres que no se correspondan con palabras (equivalentes a PCRE \W) no se tienen en cuenta para las
coincidencias. Esto hace que el carácter de subrayado y sus variantes se consideren un caso especial en el que se
tiene en cuenta un separador de identificador para las coincidencias.
• Los códigos de área de direcciones en japonés (chōme-ban-gō) se normalizan de forma que 二丁目21番9号, 2の21の
9 se considera lo mismo que 2-21-9.
• Aplica la normalización de ICU NFKC (Unicode® Standard, anexo núm. 15). Por ejemplo, los caracteres japoneses de
media anchura y ancho completo se convierten a sus formas equivalentes normales.
• Aplica reglas ICU para la segmentación de texto (Unicode® Standard, anexo núm. 29 y los identificadores de palabras
únicas de ASCII) con estas desviaciones secundarias, de modo que el texto se dividirá en tokens más significativos para la
coincidencia exacta de los datos:
Las variantes de coma y punto y coma se consideran divisores de palabras cuando se encuentran entre
números. Sin embargo, "/" no se considera como un divisor de palabras si se encuentra entre números, de
modo que las fechas se tratarán como una sola palabra.
Las variantes "-", "+", y "@" no se consideran como divisores de palabras si se encuentran entre números y/o
letras.
• Las reglas ICU para la segmentación de texto con identificadores de una sola palabra ASCII permiten estos caracteres y
separadores:
La versión de EDM en McAfee DLP Prevent v11.6, McAfee DLP Monitor v11.6 y versiones anteriores se sustituye por EDM
(mejorada) en la versión v11.8, que es una solución más escalable. Aunque esta versión sigue siendo compatible con ambas
versiones de EDM, se recomienda cambiar a la versión más reciente de EDM, ya que la solución anterior se eliminará en una
versión futura de McAfee DLP. EDM (mejorada) no está disponible actualmente en McAfee DLP Discover.
Si no cambia la versión de EDM para el análisis, la clasificación de EDM existente seguirá funcionando hasta que se elimine.
Un appliance con McAfee DLP Prevent v11.8 o McAfee DLP Monitor v11.8 puede analizar para EDM (mejorada) o para la versión
anterior de EDM, pero no para ambas funciones a la vez. Si solo hay un tipo de clasificación de EDM presente en la directiva
recibida, es la que se utilizará. Si existen ambos tipos de directivas de EDM, un ajuste en la directiva Configuración del servidor
decide qué versión de EDM se utilizará. De forma predeterminada, EDM (mejorada) tiene prioridad si ambas están presentes.
Para establecer la preferencia:
Para empezar a utilizar EDM (mejorada), establezca la huella digital del archivo del origen de datos mediante la herramienta
EDMTrain y vuelva a crear las clasificaciones mediante EDM (mejorada). Seleccione Uso de EDM (mejorada) al crear Nuevos
criterios de clasificación de contenido y seleccione el archivo de huellas digitales para cambiar a la versión de EDM (mejorada).
Si ya está utilizando EDM y desea actualizar a EDM (mejorada), debe hacer lo siguiente:
Procedimiento
1. Anule la selección de Preferir EDM (mejorada) en los ajustes de directiva de Configuración del servidor para establecer
que funcione con la versión anterior de EDM.
2. Despliegue una instancia de prueba de una directiva de configuración del servidor de McAfee DLP Prevent o McAfee
DLP Monitor. Asigne esta instancia a otra directiva de ajustes del servidor con la preferencia establecida en EDM
(mejorada).
3. Cree versiones de EDM (mejorada) de su archivo de huella digital y sus clasificaciones.
4. Establezca las directivas para que se desencadenen en función de cualquiera de las coincidencias de clasificación. (Por
ejemplo, la clasificación ES "EDM de base de datos de clientes" O "EDM de base de datos de clientes mejorada").
5. Pruebe la clasificación y las reglas revisadas.
6. Cuando haya realizado todos los cambios oportunos, cambie la preferencia de todos los appliances de nuevo a EDM
(mejorada) mediante la selección de Preferir EDM (mejorada) en los ajustes de directiva de Configuración del servidor.
Los archivos de huella digital se crean automáticamente cuando se entrena el archivo de origen de datos mediante la
herramienta EDMTrain. Como requisito previo para la coincidencia exacta de datos, el archivo de origen de datos debe
entrenarse con la herramienta EDMTrain para generar el archivo .props y el archivo .dis.
No se recomienda utilizar valores comunes en un archivo de origen de datos. Los valores deben ser exclusivos para obtener los
mejores resultados al utilizar EDM. Analice los datos que desee proteger (coincidencia) y asegúrese de que se trata de un valor
de coincidencia significativo. Todos los valores del archivo de origen de datos se normalizan y se convierten en hash en el archivo
de huella digital, independientemente de la definición que se utilice en las clasificaciones.
Note
Es necesario que la elección del delimitador o separador entre las columnas sea algo que no se produzca en los datos, por lo
que se recomienda utilizar el formato de archivo .tsv en lugar del formato de archivo .csv.
Requisitos del sistema para la herramienta EDMTrain para procesar los archivos de origen de datos
La herramienta EDMTrain es compatible con las plataformas Windows y Linux. Para entrenar un archivo de origen de datos
de gran tamaño con hasta 6000 millones de celdas, la herramienta EDMTrain debe estar instalada en un sistema que, como
mínimo, tenga estas especificaciones:
• Memoria de 8 GB
• CPU de doble núcleo
• Espacio en disco temporal (en el directorio especificado por la variable de entorno, TMPDIR para Linux y TMP para
Windows) de 50 GB a 75 GB por cada mil millones de celdas, dependiendo del número de celdas con múltiples palabras
en el conjunto de datos.
• Espacio en disco para la base de datos final en el directorio de salida de aproximadamente 10 GB por mil millones de
celdas
La herramienta EDMTrain es un ejecutable disponible en la página Vincular archivo de huella digital para la coincidencia exacta
de datos. Para descargar la herramienta EDMTrain:
1. Vaya a McAfee ePO, seleccione Menú → Clasificación → Documentos registrados → Huellas digitales de datos exactos.
2. Haga clic en Añadir origen de datos EDM → Nueva solución EDM para abrir la página Vincular archivo de huella digital
para la coincidencia exacta de datos.
3. En función de la plataforma del sistema, haga clic en el paquete de Windows o Linux para descargar y ejecutar el
ejecutable con el fin de instalar la herramienta en el sistema.
Generación de los archivos de metadatos (.props) y huella digital (.dis) mediante la herramienta
EDMTrain
El archivo de origen de datos debe entrenarse para generar los formatos de archivo .props y .dis. para la coincidencia exacta
de datos y analizar los registros de usuario. El archivo .props contiene información, como el número de columnas detectadas,
encabezados de columna, detalles de huella digital, tamaño de archivo, nombre de la base de datos y suma de comprobación del
archivo .dis. El archivo .dis contiene detalles con huellas digitales de los registros de usuario en formato normalizado y con hash.
Puede utilizar la interfaz de línea de comandos (CLI) o cualquier herramienta de transferencia de datos de terceros, como PuTTy,
para ejecutar el comando edmtrain con estas opciones a fin de entrenar el archivo de origen de datos.
Parámetros posicionales
Cuando estas opciones no se mencionan explícitamente en la línea de comandos, edmtrain considera el primer archivo como
archivo de entrada y el segundo como archivo de salida.
Estos ejemplos pueden ayudarle a entender cómo especificar distintas opciones con el comando edmtrain para generar el
archivo de huella digital.
Exportar los registros de la base de datos mediante el comando de barra vertical y generar el archivo
de huella digital
Recomendado: utilice el comando de barra vertical (|) para exportar los registros de la base de datos directamente a la
herramienta EDMTrain y generar el archivo de huella digital en lugar de exportar el archivo de base de datos a un archivo .tsv
temporal.
Después de entrenar 1M.csv, se generan los archivos de salida 1M.dis y 1M.props porque la opción del nombre del archivo de
salida no está especificada en la línea de comandos. Los archivos procesados se guardan en la misma ubicación que 1M.csv.
{
"Records": "333333",
"Columns": [
"id",
"accountnumber",
"surname",
"firstname",
"sortcode\r"
],
"Fingerprints": "999999",
"FingerprintsSize": "12282699",
"CSVFileSize": "15333357",
"Revision": "1623685866",
"SkippedCells": "0",
"DbName": "1M"
}
Tenga en cuenta que los datos que se deben entrenar son así:
id,accountnumber,surname,firstname,sortcode
1092831,78192110,smith,john,08-12-29
0921231,23424334,flint,graham, 01-22-33
Al utilizar el siguiente comando sin la opción --header, la herramienta genera huellas digitales para el contenido del archivo .csv y
también para las palabras del encabezado.
Las huellas digitales también se crean para "ID", "accountnumber", "surname", "firstname" y "sortcode", y se tienen en cuenta
para las coincidencias. Los encabezados que se generan tienen los nombres "column 1", "column 2", "column 3", "column 4" y
"column 5" porque no se especifica --header en la línea de comandos. En tal caso, puede excluir los valores de encabezado de la
huella digital especificando la opción --header en la línea de comandos.
Los nombres de las columnas se mostrarán en la interfaz de usuario al crear clasificaciones solo si especifica --header. Esto
permite definir fácilmente las columnas, las excepciones y otras columnas obligatorias, ya que se pueden ver los nombres de
columna en lugar de "column 1", "column 2".
Después de entrenar 1M.csv, se generan los archivos de salida, out.dis y out.props. Los archivos procesados se guardan en la
misma ubicación que 1M.csv.
Generar el archivo de huella digital para un archivo de origen de datos con valores separados por
tabulaciones
Imagine que el archivo de origen de datos de entrada (1M.tsv) tiene valores separados por tabulaciones. De forma
predeterminada, la tabulación se considera como valor delimitador si no se especifica la opción del delimitador.
También puede especificar el delimitador para los valores separados por tabulaciones mediante una de estas opciones:
Fíjese en el uso de comillas dobles en "\t" para que el comando reconozca los valores separados por tabulaciones en el archivo.
Las columnas no se separan correctamente si se especifica un delimitador incorrecto y el archivo .props tiene este aspecto:
"Columns": [
"ssn,account_number,credit_card_number"
],
Output:
Number of columns detected: 3
> 1: ssn
> 2: account_number
> 3: credit_card_number
Capacity for 10,572,227,072 entries
> Records read: 333,333
> Cells written: 999,999
> Bytes written: 12,282,699
Total number of columns: 3
Total number of records: 333,333
> Total number of bad records: 0
> Total number of empty records: 0
Total number of fingerprints: 999,999
> Total number of skipped cells: 0
> Total number of discarded cells: 0
Database created successfully: tab_sep_1M.dis
Build time: 5 seconds
Generar el archivo de huella digital donde los valores de campo con identificadores utilicen
separadores
Cuando la EDM (mejorada) analiza identificadores numéricos, los caracteres separadores presentes en los identificadores
numéricos se normalizan (por ejemplo, 1234-5678-9012 y 1234.5678.9012 se normalizan como 123456789012). Esto significa
que se encontrará una coincidencia con un identificador numérico independientemente de si se utilizan o no separadores.
Se aplica la misma normalización a los identificadores alfabéticos y alfanuméricos, excepto a ".". El carácter "." no se considera
como separador entre un número y una letra y viceversa. Por ejemplo, "12.34" y "AB.CD" son identificadores de una sola palabra,
pero "12.CD" se considera como dos palabras.
La opción --split-ids también admite un separador de espacio mediante el entrenamiento del identificador, como si los
separadores "-" y "." se sustituyeran por espacios. Esto solo funciona con identificadores de una sola palabra, por lo que
"1234-5678" se entrena como "1234 5678", pero "Piso 12-2, Villa Verde" no se ve afectado. El hash para "1234 5678" es el mismo
que para "1234-5678", por lo que amplía lo que se busca durante el análisis mediante la lógica multipalabra.
Si el identificador numérico que se está entrenando ya está separado por espacios, la opción --split-IDs no es necesaria y no se
debe utilizar, ya que ralentiza el entrenamiento.
Si quiere dividir los identificadores con más separadores, procese la exportación de la base de datos antes de la identificación
por huellas digitales mediante el ajuste de los datos. Si los datos no tienen separadores, es necesario añadir espacios en los
lugares pertinentes del archivo de origen de datos.
Datos con huella ¿Se ha utilizado ¿Existe ¿Existe coincidencia con 1234 5678?
digital la opción --split- coincidencia con
IDs? 1234-5678?
12345678 No Sí No
12345678 Sí Sí No
1234-5678 No Sí No
1234-5678 Sí Sí Sí
1234 5678 No Sí Sí
1234 5678 Sí Sí Sí
¿Qué son las coincidencias secundarias? Para obtener un rendimiento óptimo, los valores de las celdas con huella digital no
deben contener grandes números de valores repetidos. Esto se debe a que todas las posibles coincidencias de filas se deben
examinar. Por ejemplo, si un origen de datos de dos columnas tiene una columna con 100 000 valores de celda de "Smith", se
tendrán en cuenta las 100 000 coincidencias posibles cuando se busque una coincidencia de fila. Para mejorar el rendimiento,
cuando un valor de celda se produce más de 99 veces, los valores se marcan como "secundarios". Cuando se analiza más de
una columna, los hashes secundarios solos no desencadenan nunca una coincidencia; para que desencadenen una coincidencia,
deben estar cerca de un hash principal.
Truncamiento de valores de celda duplicados: cuando un valor de celda se produce más de 999 veces, las apariciones
posteriores no se registran. Estas celdas se registran como errores. Algunos errores están permitidos (de forma predeterminada,
el 5 %), pero si el límite de errores se supera, no se puede realizar el entrenamiento de datos.
Opciones de comando para un conjunto de datos con muchos valores repetidos: para evitar que se descarten muchas celdas
con valores comunes (como ciudad o apellidos), es posible marcar otras columnas como "principal". En este caso, todas las
columnas que no estén marcadas como principales se tratarán como secundarias, pero no se descartarán los valores de celda
duplicados de las columnas secundarias.
Por ejemplo, si tiene un conjunto de datos de dos columnas o si designa el número de cuenta como columna principal, se
resolvería el problema de los desencadenadores perdidos, ya que los apellidos no se descartarían.
Note
Esto solo funciona con campos casi exclusivos. Al igual que en este ejemplo, si se produce un número de cuenta más de 99
veces, el resto de veces se descartará, de modo que se volverán a introducir los desencadenadores perdidos.
Para designar más de una columna como principal, utilice la opción --primary <column_name> varias veces.
También puede usar números de columna en lugar de nombres de columna con --primary.
Si los datos no tienen valores que se produzcan más de 1000 veces, la opción --primary no es obligatoria. Le recomendamos que
utilice --primary si la herramienta de formación produce un error similar a este:
Sin embargo, algunos errores están permitidos (de forma predeterminada, el 5 %). Si el límite de errores se supera, no se puede
realizar el entrenamiento de datos. Puede aumentar el umbral de error, pero eso también aumenta el nivel de destrucción, por
lo que se recomienda utilizar --primary para evitar descartar valores.
Para automatizar el proceso de formación de un archivo de origen de datos para cualquier cambio de datos, puede configurar
una tarea periódica del sistema en el sistema donde haya instalado la herramienta EDMTrain. La tarea del sistema debe
comprobar periódicamente si se han realizado cambios en el archivo de origen de datos y ejecutar la herramienta EDMTrain
para actualizar el archivo de huella digital en la ubicación de salida. Por ejemplo, puede configurar una tarea que compruebe
cada domingo si hay actualizaciones en el archivo de origen de datos y que ejecute la herramienta EDMTrain en el archivo de
origen de datos para actualizar el archivo .props y el archivo .dis. A continuación, puede ejecutar las llamadas a la API REST
mediante el comando de PowerShell o bash para que McAfee ePO copie y verifique el archivo de huella digital en la carpeta del
recurso compartido de pruebas.
Important
Se recomienda ejecutar la llamada a la API solo cuando se haya cambiado el archivo de huella digital. Cargar un archivo de
huella digital muy grande requiere bastante tiempo y utiliza los recursos del sistema. Vuelva a crear y entrenar el archivo de
origen de datos cuando sea necesario para reordenar o eliminar una columna. Tampoco se puede cambiar el nombre de
la columna. Debe volver a crear el archivo de huella digital para cualquier cambio y, a continuación, volver a crear los
criterios de clasificación del contenido.
Asegúrese de habilitar la opción API REST en McAfee ePO antes de ejecutar las llamadas a la API. Para habilitar la API REST en
McAfee ePO, seleccione Menú → Protección de datos → Ajustes de DLP → Avanzada → Habilitar API REST.
• Llamada a la API fileUpload: utilice la llamada a la API fileUpload POST para solicitar que McAfee ePO copie el archivo de
huella digital de la ruta de almacenamiento compartido especificada a la ubicación de recurso compartido de pruebas
configurada. Para obtener más información, consulte Cargar el archivo de huella digital mediante la llamada a la API
REST.
• Llamada a la API fileStatus: utilice la llamada a la API fileStatus GET para verificar el estado del archivo de huella digital
cargado. Para obtener más información, consulte Verificar el estado del archivo de huella digital cargado mediante la
llamada a la API REST.
Usar cURL como herramienta de transferencia de datos
Para enviar solicitudes a la interfaz REST, puede utilizar cURL como herramienta de transferencia de datos.
Una solicitud enviada con curl normalmente tiene tres partes principales: el comando curl, una o varias opciones y una URL. Por
ejemplo, en la siguiente solicitud de carga de archivo, el comando curl aparece con la opción -F para solicitar los datos mediante
el formato "multipart/form-data", especificado en el formato "field=value pair". La opción -u se utiliza para pasar los parámetros
de autorización. La opción -X se utiliza para pasar el método de la solicitud.
Ejemplo:
Una URL de una solicitud especifica un protocolo, que puede ser HTTP o HTTPS en comunicación con la interfaz REST, la
dirección IP o el nombre de host y el número de puerto del servidor de McAfee ePO al que se envía una solicitud, y la ruta
interna en el servidor de McAfee ePO a la interfaz de REST.
Mediante estas y otras opciones de curl junto con las URL apropiadas, puede enviar solicitudes a la interfaz REST para realizar las
tareas según sea necesario.
La herramienta de transferencia de datos de curl está disponible en Linux y otros sistemas operativos UNIX y se describe con
todos los detalles en la página man de curl.
El método de solicitud se especifica en curl mediante la opción -X. Con la interfaz REST, puede utilizar los métodos GET y POST,
por ejemplo: curl -X POST<URL>
URL
Una URL de una solicitud especifica un protocolo, que puede ser HTTP o HTTPS en comunicación con la interfaz REST, la
dirección IP o el nombre de host y el número de puerto al que se envía una solicitud. Va seguido por el nombre de la actividad
(llamada a la API REST) que se debe realizar y parámetros adicionales, si los hay.
Como la interfaz REST se encuentra en la carpeta rest del servidor de McAfee ePO, la ruta de carpeta aparece en la URL.
De forma similar, una URL en una solicitud GET especifica el protocolo HTTP o HTTPS en comunicación con la interfaz REST
seguido de la llamada a la API fileStatus REST que se debe realizar para comprobar el estado del archivo cargado:
En esta solicitud, la URL también tiene un parámetro de consulta, filename para verificar el estado del archivo de huella digital
cargado. El nombre del archivo debe ser único, ya que no se pasa la ruta del archivo, y debe especificarse sin la extensión del
archivo. Los parámetros de consulta se introducen mediante un ? (signo de interrogación), como en la línea de comandos.
Parámetros de autenticación
Para hacerlo, incluya el nombre de usuario y la contraseña en la solicitud que envíe a la interfaz REST con el formato "admin:<
password>". Puede usar la opción -u para enviar los parámetros de autenticación:
También puede usar el formato -u admin, que hace que curl solicite la contraseña.
Para enviar parámetros de entrada o cargar archivos con curl, utilice la opción -F (--form).
Esto hace que curl haga una solicitud (POST) mediante Content-Type: multipart/form-data, y se especifica -F con el formato
"field=value pair".
Con -F se añade Content-Type: encryption_type="multipart/form-data" a la solicitud. Por ejemplo, el siguiente comando con la
opción -v (detalle):
Utilice la llamada a la API fileUpload para solicitar que McAfee ePO copie el archivo de huella digital desde la ubicación de
almacenamiento compartido a la carpeta de recurso compartido de pruebas configurada. El archivo de huella digital, en formato
normalizado y con hash, se copia en el recurso compartido de pruebas de forma asíncrona.
Donde los parámetros para la opción -F se transmiten con el formato "field=value pair" y <Shared_Storage_location_file.props> es
la ruta de ubicación de almacenamiento compartido del sistema Windows o Linux. Si no se proporcionan los parámetros de
autenticación de almacenamiento compartido, se intentará usar la autenticación de McAfee ePO. -u se utiliza para transmitir los
detalles de autorización del servidor de McAfee ePO, y epo_server_name:port es la dirección IP del servidor de McAfee ePO (o el
nombre de host) y el número de puerto. El número de puerto predeterminado es 8443. Especifique -X para añadir el método de
solicitud. Puede usar la opción -v en la línea de comandos para ver los detalles de contenido.
Parámetros de la solicitud
Parámetros de entrada
Utilice estos parámetros de entrada con la opción -F para especificar los detalles de la ubicación de almacenamiento compartido
(CIFS) y sus credenciales en formato "field=value pair". Con -F se añade Content-Type: encryption_type="multipart/form-data" a la
solicitud.
Parámetros de autorización
Utilice estos parámetros con -u para especificar los detalles de autorización de McAfee ePO.
Nombre del
parámetro Descripción Obligatorio Tipo
Parámetros de respuesta
Los parámetros que devuelve la solicitud de API fileUpload son:
Elemento Descripción
• En curso
• Completado
• Error
Elemento Descripción
Código de estado
Lista de códigos de estado HTTP devueltos para la solicitud fileUpload.
Código Descripción
• En curso
• Completado
• Error
Código Descripción
Verificar el estado del archivo de huella digital cargado mediante la llamada a la API REST
Utilice la llamada a la API fileStatus para consultar o verificar el estado del archivo de huella digital cargado.
Donde -X se utiliza para pasar la URL al método de solicitud GET. Especifica el protocolo HTTP o HTTPS en comunicación con
la interfaz REST seguido de la llamada a la API fileStatus que se debe realizar para comprobar el estado del archivo cargado. El
nombre del archivo debe ser único, ya que no se pasa la ruta de acceso, y debe especificarse sin la extensión del archivo. -u
se utiliza para pasar los parámetros de autorización del servidor de McAfee ePO, y epo_server_name:puerto es la dirección IP del
servidor de McAfee ePO (o el nombre de host) y el número de puerto. El número de puerto predeterminado es 8443.
Parámetros de la solicitud
Parámetro de entrada
Utilice filename como parámetro de consulta con ? (signo de interrogación) para verificar el estado del archivo de huella digital
cargado. El nombre de archivo de huella digital debe ser único y debe especificarse sin la extensión de archivo.
Parámetros de autorización
Utilice estos parámetros para especificar los detalles de autorización de McAfee ePO.
Nombre del
parámetro Descripción Obligatorio Tipo
Parámetros de respuesta
Los parámetros que devuelve la solicitud de API fileStatus son:
• En curso
• Completado
• Error
Código de estado
Lista de códigos de estado HTTP devueltos para la consulta fileStatus.
Código Descripción
• En curso
• Completado
• Error
Puede proteger los datos confidenciales mediante la función de coincidencia exacta de datos (EDM). Los datos confidenciales
o los registros de datos que desee proteger deben entrenarse con la herramienta EDMTrain para generar el archivo de huellas
digitales y utilizarse como criterio de clasificación para hacer coincidir los datos con cualquier infracción.
Antes de empezar
Entrene el archivo de origen de datos para generar el archivo de huella digital, necesario para la coincidencia exacta de datos
mediante la herramienta EDMTrain en la ubicación de almacenamiento compartido. Para obtener más información, consulte
Preparación del archivo de huella digital para la coincidencia exacta de datos.
Asegúrese de que la preferencia esté establecida en EDM (mejorada) en la directiva de configuración del servidor.
Los appliances de McAfee DLP Prevent son compatibles con el análisis de correos electrónicos y publicaciones web con EDM
(mejorada). Los appliances de McAfee DLP Monitor son compatibles con el análisis de correos electrónicos, publicaciones web y
tráfico de red con EDM (mejorada).
Los registros de datos se almacenan en archivos de origen de datos como filas de datos donde las celdas de cada fila están
relacionadas, por ejemplo:
Procedimiento
1. Especifique el archivo de huella digital del archivo de origen de datos que quiera proteger para evitar que se filtre.
a. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
b. En la pestaña Registrar documentos, seleccione Huellas digitales de datos exactos en la lista desplegable Tipo.
c. Haga clic en Añadir un origen de datos de EDM y haga clic en Nueva solución EDM.
d. En la página Vincular archivo de huella digital para la coincidencia exacta de datos, especifique la ubicación de
almacenamiento compartido del archivo .props y las credenciales de autorización.
Note
Cuando carga un archivo de huella digital actualizado (con revisiones realizadas en el mismo archivo) con un cambio
en el orden de las columnas, los nombres de columna o el número de columnas, se muestra un mensaje similar al
siguiente.
Los números y/o nombres de las columnas difieren de los datos existentes: \\<cifsshare_location>\<filename>.dis
O BIEN
La lista de columnas no coincide con el archivo de propiedades de {dis file name}
Debe volver a crear el archivo de huella digital si aparece alguno de estos mensajes y, a continuación, volver a crear los
criterios de clasificación del contenido.
Note
Si se selecciona la opción En uso, se utiliza la versión anterior de la clasificación de EDM. Puede utilizar EDM o EDM
(mejorada) en la clasificación, pero no ambas opciones.
Introduzca estos valores para crear los criterios de clasificación de EDM (mejorada):
• Origen de datos: especifique el archivo de origen de datos para la coincidencia exacta de datos.
• Columnas que analizar: seleccione los valores de columna que se deben encontrar en una coincidencia.
• Criterios de registro único: coincide con un registro en un archivo, por ejemplo, "al menos X de Y valores de
celda aparecen en el texto, en cualquier orden y con una distancia inferior a Z caracteres". Z es el valor de
proximidad y es la distancia máxima permitida entre los campos adyacentes.
• Número de registros únicos: por ejemplo, "encontrar al menos X registros en el texto analizado".
• Columnas obligatorias (opcional): seleccione las columnas obligatorias que deben estar presentes para que
coincida un registro.
• Excepciones (opcional): seleccione una combinación de columnas que desee excluir de la coincidencia, lo que
significa que una coincidencia compuesta únicamente por cualquier combinación de las columnas excluidas
no contará como una coincidencia de registro.
Para obtener información sobre cómo crear un conjunto de reglas y añadir una regla a un conjunto de reglas, consulte
Crear un conjunto de reglas y Crear una regla.
4. Asigne conjuntos de reglas a una directiva. Antes de asignar conjuntos de reglas a una directiva, active los conjuntos de
reglas.
Para obtener más información, consulte Asignar conjuntos de reglas a las directivas.
5. Asigne e inserte la directiva en appliances de McAfee DLP.
Para obtener más información, consulte Asignar e insertar una directiva en un sistema.
Important
La versión de EDM en McAfee DLP Prevent v11.6, McAfee DLP Monitor v11.6 y versiones anteriores se sustituye por EDM
(mejorada) en la versión v11.8, que es una solución más escalable. Aunque esta versión sigue siendo compatible con ambas
versiones de EDM, se recomienda cambiar a la versión más reciente de EDM, ya que la solución anterior se eliminará en una
versión futura de McAfee DLP. EDM (mejorada) no está disponible actualmente en McAfee DLP Discover. Para obtener más
información, consulte Ruta de actualización para utilizar EDM (mejorada).
Buscar coincidencias en los campos individuales de un registro confidencial (por ejemplo, el nombre, la fecha de nacimiento, el
número de teléfono o la ciudad) puede no resultar útil y dar lugar fácilmente a una coincidencia falsa. Sin embargo, si se cotejan
dos o más campos del mismo registro confidencial (por ejemplo, el nombre y el número de Seguridad Social) en el mismo texto
(como un mensaje de correo electrónico o un documento), indica que hay información relacionada importante.
EDM permite la coincidencia asociativa de varios campos del mismo registro, lo que permite reglas basadas en:
Ejemplo
Tenga en cuenta que tiene este registro de datos en un archivo CSV que se debe proteger:
En la página Criterios de coincidencia exacta de huellas digitales de datos, intente que coincida con «si hay al menos 5
valores de celda de 5 valores de celda...». Si un usuario envía un mensaje de correo electrónico con «El CNN de Juan García es
1111222233334444...», esto no coincidirá con la fila de CSV, ya que es necesario que coincidan al menos 5 columnas. El correo
electrónico no se bloquea; sin embargo, el CCN se filtra.
En este ejemplo de CSV, tenga en cuenta que desea evitar que se filtren el número de la tarjeta de crédito y de la Seguridad
Social de un individuo, y que utilice los criterios «si hay al menos 2 valores de celda de 4 valores de celda...», sin tener en cuenta
la columna «Número de teléfono». En este caso, es posible obtener muchos desencadenadores de EDM falsos para diferentes
combinaciones de datos activados de las columnas 1, 2, 3 y 4.
A la hora de definir los criterios de EDM, le recomendamos que analice con detalle cuántas columnas deben coincidir y que
los criterios sean lo más estrictos posible. Por ejemplo, utilice los criterios «si hay al menos 3 valores de celda de 4 valores de
celda...» para proteger los datos que contienen el nombre, el apellido y el CCN; o el nombre, el apellido y el SSN, sin que se
produzcan desencadenadores falsos.
Los archivos de huellas digitales se crean automáticamente mediante la carga de archivos CSV en McAfee ePO. Para conjuntos
de datos extensos con más de 100 000 filas, cargue el archivo CSV mediante la utilidad CSV2Fingerprints.exe y utilice la función
Crear paquete. Se crea un archivo de huella digital y el hash de la celda CSV se añade a un archivo de huella digital. Este archivo
se copia a la carpeta del recurso compartido de almacenamiento de red de pruebas, donde McAfee DLP Discover, McAfee
DLP Prevent y McAfee DLP Monitor lo seleccionan para utilizarlo en los análisis de clasificación y corrección.
Note
En los casos en los que existe una diferencia entre los archivos de huellas digitales disponibles en el appliance y los archivos
de huellas digitales esperados que están definidos en la directiva, la inserción de directivas se rechaza temporalmente. Esto
puede suceder si el archivo .zip que contiene huellas digitales nuevas aún se está descargando y procesando, y McAfee ePO
introduce una nueva directiva que contiene referencias a archivos de huellas digitales que aún no se han procesado. Una
vez completado el procesamiento del archivo de huella digital, la siguiente inserción de directiva se realiza correctamente (a
menos que añada nuevas huellas digitales y directivas, en cuyo caso la inserción de directiva se rechazará temporalmente de
nuevo). El panel Administración de appliances la muestra como una directiva corrupta. Se trata de un problema temporal
hasta la siguiente inserción de la directiva.
Texto con comas: incluir el texto Islas Vírgenes Británicas "Islas Vírgenes Británicas"
en comillas dobles
• Registros de huellas digitales de datos exactos: coincide con el archivo CSV específico
• Criterios de coincidencia de registro único: coincide con un registro en un archivo, por ejemplo, "al menos X de Y
valores de celda aparecen en el texto, en cualquier orden y con una distancia inferior a Z caracteres"
• Número de registros de coincidencia: por ejemplo, "encontrar al menos X registros en el texto analizado"
Idiomas compatibles
EDM puede analizar el tráfico en todos los idiomas, excepto en aquellos que no utilicen caracteres en blanco o signos de
puntuación para separar palabras. Por ejemplo, el chino y el japonés.
Limitaciones
• La primera línea del archivo CSV debe ser un encabezado de nombres de columna.
• Las huellas digitales solo se pueden cargar como archivos CSV o .zip. Los archivos CSV deben estar delimitados por
comas y no pueden contener más de 100 000 registros o filas (excepto el encabezado) cuando se invoca la utilidad desde
la interfaz de usuario.
Note
La creación automática de huellas digitales está limitada a archivos con menos de 100 000 registros. Para archivos
CSV más grandes, descargue la utilidad y cree los archivos manualmente mediante una línea de comandos o
mediante la función de arrastrar y soltar en la utilidad.
Note
Puede evitar esta limitación si coloca los nombres y los apellidos en columnas diferentes.
• Si el criterio contiene varias condiciones (por ejemplo, Patrones avanzados AND Diccionarios AND EDM), este se evalúa
en función de las condiciones que se reconocen y se ignora EDM.
• Si el criterio contiene solo EDM, se considera vacío y se evalúa como falso, es decir, como sin coincidencias.
Puede proteger los datos confidenciales mediante la función de coincidencia exacta de datos (EDM). Los registros de datos o de
datos confidenciales que desee proteger deben guardarse en formato de archivo .csv y utilizarse como clasificaciones para que
coincidan con los datos de cualquier infracción.
La función de McAfee DLP Discover es compatible con la correspondencia exacta de datos en los repositorios de File Server,
SharePoint, Box y de base de datos.
Los appliances de McAfee DLP Prevent son compatibles con el análisis de correos electrónicos y publicaciones web con EDM.
Los appliances de McAfee DLP Monitor son compatibles con el análisis de correos electrónicos, publicaciones web y tráfico de
red con EDM.
Los registros de datos se almacenan en archivos CSV como filas de datos donde las celdas de cada fila están relacionadas, por
ejemplo:
Cuando añada una condición de coincidencia de datos exacta a una definición de clasificación, aplique esa clasificación a los
archivos cargados y cree un paquete de EDM. McAfee DLP hace que el paquete de EDM esté disponible para los análisis de
clasificación y corrección.
Procedimiento
1. Cargue archivos CSV con los registros de datos que desee evitar que se filtren.
a. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
b. En la pestaña Registrar documentos, seleccione Huellas digitales de datos exactos en la lista desplegable Tipo.
c. Haga clic en Añadir un origen de datos de EDM y en Solución EDM anterior.
d. Seleccione un archivo CSV o .zip para cargar y, a continuación, haga clic en Aceptar.
Para cargas con más de 100 000 registros, haga clic en el vínculo del ejecutable para abrir la utilidad
CSV2Fingerprints.exe y generar el archivo fingerprints.zip.
2. Cree o añada una condición de coincidencia de datos exacta.
a. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
b. Opcional: cree una clasificación mediante la selección de Acciones → Nueva clasificación en la lista de
clasificaciones.
También puede añadir una condición de EDM a una clasificación existente.
c. Seleccione Acciones → Nuevo criterio de clasificación de contenido.
d. En la lista Condiciones de los datos, seleccione Coincidencia exacta de los datos y Uso.
f. Haga clic en el icono de elegir y seleccione un archivo CSV de la lista de archivos que ha cargado. Rellene los
criterios de coincidencia y el número de registros para la coincidencia. Haga clic en Aceptar.
3. Cree el paquete. En la pestaña Registrar documentos, seleccione Huellas digitales de datos exactos en la lista
desplegable Tipo. Haga clic en Acciones y, a continuación, en Crear paquete.
Todos los documentos cargados se añaden al paquete y este se copia en la carpeta de recurso compartido de pruebas de
red.
4. (Solo para McAfee DLP Discover) Cree una regla de descubrimiento de red.
a. En Administrador de directivas de DLP, abra un conjunto de reglas o cree uno.
b. En la pestaña Descubrimiento, seleccione Acciones → Nueva regla de descubrimiento y, después, seleccione uno
de los tipos de repositorios admitidos por la función (servidor de archivos, SharePoint, Box o base de datos).
c. Seleccione la clasificación que ha creado en el paso 2 y un repositorio que coincida con el tipo seleccionado en el
subpaso b. Rellene el resto de campos y haga clic en Guardar.
5. (Solo para McAfee DLP Discover) Ejecute el análisis.
a. En McAfee DLP Discover, en la página Operaciones de análisis, seleccione Acciones → Nuevo análisis y, a
continuación, seleccione el tipo de repositorio apropiado.
b. Seleccione el tipo de análisis (Clasificación o Corrección) y rellene el resto de los campos según sea necesario.
c. En la pestaña Repositorios, seleccione uno.
d. En la pestaña Reglas, seleccione el conjunto de reglas que incluye la regla creada en el paso 4.
e. Haga clic en Guardar.
Utilice esta pantalla para configurar una coincidencia exacta de huellas digitales de datos.
Opción Definición
Registros de huellas digitales de datos exactos Abre una ventana con una lista de las huellas
digitales de datos exactos entre las que seleccionar.
Criterios de coincidencia de registro único Contiene dos campos de texto para especificar los
criterios de coincidencia: el primer campo especifica
el número de valores de celda para la coincidencia.
El segundo especifica la proximidad.
Puedes utilizar la función de reconocimiento óptico de caracteres (OCR, por sus siglas en inglés) para extraer texto de los
archivos de imagen. El texto extraído se compara con las definiciones de clasificación para clasificar o corregir archivos.
En McAfee DLP Discover, puede utilizar la función de OCR al analizar cualquier repositorio basado en archivos. No se admiten
los análisis de la base de datos.
En los appliances de McAfee DLP, puede utilizar la función de reconocimiento óptico de caracteres cuando se analizan imágenes
adjuntas a correos electrónicos, se cargan en publicaciones web o se encuentran en otro tráfico de red.
Note
La función de OCR se admite en McAfee DLP Discover 11.1.100 y versiones posteriores y en los appliances de McAfee DLP
11.4.0 y versiones posteriores.
El reconocimiento óptico de caracteres forma parte de la función de extracción de texto. Cuando el extractor de texto encuentra
un archivo de imagen, se realiza una segunda pasada con OCR para extraer el texto y clasificar, corregir o registrar el archivo de
acuerdo con las reglas relevantes. La función también funciona con imágenes guardadas como un archivo .pdf. Si un archivo .pdf
contiene texto e imágenes, se analiza como un archivo de texto de la forma habitual. Por ejemplo, los appliances de McAfee
DLP supervisan un documento confidencial de copia impresa analizado y enviado en un correo electrónico como archivo
adjunto .pdf. El análisis de OCR funciona con todos los idiomas compatibles con McAfee DLP, así como con la mayoría de los
idiomas occidentales y asiáticos.
Para obtener más información sobre la instalación, actualización del paquete OCR en McAfee DLP Discover, consulta la Guía de
instalación de McAfee Data Loss Prevention Discover, la Guía de instalación de KB91046.
No es necesaria ninguna instalación de software adicional en los appliances de McAfee DLP para ejecutar la función de OCR.
• BMP*
• GIF
• JPEG
• PCX
• PDF
• PNG
• TIFF
* Aunque se pueden analizar archivos BMP, no se admiten archivos BMP de 32 bits (8 bits por canal de color y canal alfa de 8
bits).
Los siguientes formatos de imagen no se admiten en appliances de McAfee DLP , pero se admiten en :
En los appliances de McAfee DLP Prevent, el error de análisis de OCR da como resultado que todo el correo electrónico o la
publicación web se traten como no analizables. Si no hay un conjunto de acciones de mayor prioridad, como BLOCK (Bloquear),
se ejecuta la acción UNSCANNABLE (No escaneable). El appliance de McAfee DLP Prevent añade el encabezado X-RCIS-Action:
SCANFAIL a los mensajes de correo electrónico no analizables que recibe el host inteligente.
En el caso de las publicaciones web, el proxy web recibe un estado de ICAP 400 - Solicitud incorrecta. Cualquier otra detección en
el correo electrónico o en una publicación web sigue provocando incidentes de DLP.
Limitaciones
OCR consume muchos recursos y aumenta significativamente el tiempo de análisis si hay muchos archivos de imagen en el
repositorio.
Por este motivo, en McAfee DLP Discover, se puede deshabilitar con una casilla en la página Extractor de texto de la
configuración del servidor si no es necesario.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Haga clic en Acciones → Nueva clasificación.
3. Introduzca un nombre y, si quiere, una descripción.
4. Elija un grupo al que asociar la clasificación.
5. Haga clic en Aceptar.
6. Agregue grupos de usuarios finales a la clasificación manual o documentos registrados a la clasificación, haciendo clic
en Editar para el componente correspondiente.
7. Agregue criterios de identificación por huellas digitales o clasificación de contenido con el control Acciones.
Las clasificaciones integradas existentes se agrupan en grupos lógicos, mientras que las clasificaciones nuevas se categorizan en
el grupo Sin asignar hasta que se les asigne un grupo.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Haga clic en Nuevo grupo de clasificación, en el menú Acciones.
3. Escriba un nombre para el grupo y una descripción opcional.
4. Haga clic en Guardar y nuevo para guardar el nombre del grupo e introducir otro grupo de clasificación nuevo. O haga
clic en Guardar para salir de la ventana.
5. Para administrar las clasificaciones de un grupo, seleccione el nombre del grupo y haga clic en Administrar
clasificaciones.
Se abrirá la ventana Elegir clasificaciones.
6. Seleccione una o varias clasificaciones de la lista y haga clic en Guardar.
Las clasificaciones seleccionadas se agregarán al grupo.
Resultados
La lista de clasificaciones se agrupa en categorías lógicas para una administración más eficiente.
Aplique los criterios de clasificación a los archivos en función del contenido y las propiedades del archivo.
Los criterios de clasificación de contenido se crean a partir de las definiciones de archivos y datos. Si no existe una definición
requerida, puede crearla cuando defina los criterios.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Seleccione la clasificación a la que quiere agregar los criterios y haga clic en Acciones → New Content Classification
Criteria (Nuevos criterios de clasificación de contenido).
3. Introduzca el nombre.
4. Seleccione las propiedades y configure las entradas de comparación y valor.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Haga clic en Nueva clasificación y especifique un nombre exclusivo y una descripción opcional.
3. Haga clic en Acciones y seleccione Nuevo criterio de clasificación de contenido o haga clic en el vínculo Editar para
cambiar un criterio de clasificación existente.
4. Haga clic en Propiedades del documento, después en ... y seleccione Nuevo elemento.
5. Seleccione la propiedad que desee y haga clic en Guardar.
Seleccione y cree paquetes de archivos para crear firmas. Estas firmas están disponibles para que los appliances y los endpoints
rastreen y clasifiquen contenido.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Haga clic en la pestaña Registrar documentos y seleccione Tipo: registro manual.
3. Haga clic en Carga de archivo.
Aparecerá la ventana Elegir archivo.
4. Navegue hasta el archivo, selecciónelo y seleccione si quiere sustituirlo si existe el nombre y qué clasificación aplicar al
archivo.
Carga de archivo procesa un solo archivo. Para cargar varios documentos, cree un archivo .zip.
5. Haga clic en Aceptar.
Se carga y se procesa el archivo, y se muestran los datos estadísticos en la página.
6. Haga clic en Crear paquete cuando se haya completado la lista de archivos.
Cuando se eliminen los archivos, quítelos de la lista y cree un paquete nuevo para aplicar los cambios.
7. Para cargar documentos ignorados, repita este procedimiento en la pestaña Clasificación → Texto ignorado.
En el caso del texto ignorado, solo aparece la opción de sustituir el archivo en la ventana Elegir archivo.
Resultados
Los paquetes de firma de todos los documentos registrados y todos los documentos ignorados se cargan en la base de datos de
McAfee ePO para su distribución a los endpoints.
Note
A partir de McAfee DLP 11.5 y versiones posteriores, al crear el paquete se aplican todas las configuraciones de cliente y el
número de versión se incrementa.
Ejecute el Probador de clasificación para comprobar si con sus clasificaciones se desencadena una expresión o un archivo.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación. Haga clic en la pestaña Probador de
clasificación.
2. En Lista de clasificaciones, seleccione las clasificaciones que desee probar. Las clasificaciones que no se pueden probar
aparecen atenuadas.
3. Para introducir texto, haga clic en Examinar para seleccionar un archivo de su red o seleccione Texto sin formato para
introducir texto de forma manual.
El tamaño máximo de archivo para la carga es de 50 MB.
4. En Tiempo de desactivación de la prueba, seleccione cuánto tiempo debe intentar proporcionar resultados el probador
de clasificación.
5. Haga clic en Iniciar prueba.
Resultados
Desde esta página, puede probar las clasificaciones comprobando si una fase o un archivo desencadena las clasificaciones.
Realice la prueba.
• Tiempo de desactivación de
la prueba: utilice el menú
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. En la lista Clasificación, seleccione la clasificación cuyo uso en las reglas desee comprobar.
3. Seleccione Acciones → Uso de clasificación.
En la ventana Uso de clasificación se muestra una lista de todas las reglas que utilizan la clasificación seleccionada. Si es
necesario, puede hacer clic en una regla para realizar cambios.
Note
Si elimina una clasificación que se está usando con otras reglas, la ventana Uso de clasificación se abrirá
automáticamente.
Aplique criterios de identificación por huellas digitales a los archivos según la ubicación del archivo o la aplicación.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Seleccione la clasificación a la que agregar criterios.
3. Seleccione Acciones → New Content Fingerprinting Criteria (Nuevos criterios de identificación de contenido por huellas
digitales) y, a continuación, elija el tipo de criterio.
4. Introduzca un nombre y especifique información adicional según el tipo de criterios de identificación por huellas
digitales.
Configure a los usuarios con permisos para clasificar los archivos manualmente.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Haga clic en la ficha Clasificación manual.
3. En la lista desplegable Ver, seleccione Agrupar por clasificaciones o Agrupar por grupos de usuarios finales.
Puede asignar clasificaciones a grupos de usuarios finales o grupos de usuarios finales a clasificaciones, lo que le resulte
más cómodo. La lista Ver determina cómo se ven los elementos.
4. Si agrupa por clasificaciones:
a. Seleccione una clasificación en la lista desplegable.
b. En la sección Clasificaciones, elija el tipo de clasificación.
Si la lista es muy larga, redúzcala escribiendo una cadena en el cuadro de texto Filtrar lista.
c. Seleccione Acciones → Seleccionar grupos de usuarios finales.
d. En la ventana Elegir entre los valores existentes, seleccione grupos de usuarios o haga clic en Nuevo elemento
para crear un nuevo grupo. Haga clic en Aceptar.
5. Si agrupa por grupos de usuarios finales:
a. Seleccione un grupo de usuarios en la lista que aparece.
b. Seleccione Acciones → Seleccionar clasificaciones.
c. En la ventana Elegir entre los valores existentes, seleccione clasificaciones. Haga clic en Aceptar.
Se pueden asignar permisos de clasificación manual a aquellos trabajadores cuyas tareas requieran crear con asiduidad archivos
que contienen información confidencial. Pueden clasificar los archivos a la vez que los crean como parte de su flujo de trabajo
habitual.
Los usuarios que trabajan en equipos Windows o Mac con McAfee DLP Endpoint pueden clasificar los archivos manualmente.
Los archivos clasificados manualmente son compatibles con las reglas de McAfee DLP Discover, McAfee DLP Prevent y McAfee
DLP Monitor.
En este ejemplo, un proveedor de servicios sanitarios sabe que todos los registros de pacientes deben considerarse
confidenciales de conformidad con la normativa de HIPAA. Los trabajadores que crean o editan registros de pacientes reciben
permisos manuales de clasificación.
Procedimiento
1. Cree un grupo o grupos de usuarios para los trabajadores que crean o editan los registros de pacientes.
a. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
b. En la pestaña Definiciones, seleccione Origen/destino → Grupo de usuarios finales.
c. Seleccione Acciones → Nuevo elemento, sustituya el nombre predeterminado por un nombre significativo como,
por ejemplo, Grupo de usuarios de PHI y, a continuación, añada usuarios o grupos a la definición.
d. Haga clic en Guardar.
2. Cree una clasificación de PHI (Protected Health Information).
a. En el módulo Clasificación, en la ficha Clasificación, seleccione [Muestra] PHI [integrado] en el panel de la
izquierda y, a continuación, seleccione Acciones → Duplicar clasificación.
Aparecerá una copia editable de la clasificación de muestra.
b. Edite los campos de Nombre, Descripción y Criterios de clasificación según sea necesario.
c. En el campo Clasificación manual, haga clic en Editar.
d. En la sección Acciones adicionales, seleccione el tipo de clasificación.
De manera predeterminada, solo está seleccionada la Clasificación manual.
e. Seleccione Acciones → Seleccionar grupos de usuarios finales.
f. En la ventana Elegir entre los valores existentes, seleccione el grupo o los grupos que ha creado anteriormente y,
a continuación, haga clic en Aceptar.
g. Vuelva a la pestaña Clasificación y seleccione Acciones → Guardar clasificación.
Resultados
Los trabajadores que formen parte de los grupos asignados ya pueden clasificar los registros de pacientes a la vez que los crean.
Para ello, haga clic con el botón derecho en el archivo, seleccione Protección de datos y elija la opción adecuada.
Note
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Seleccione el tipo de definición que quiera configurar y, a continuación, seleccione Acciones → Nueva clasificación.
3. Introduzca un nombre y configure las opciones y las propiedades de la definición.
Las opciones y las propiedades disponibles varían según el tipo de definición.
Un diccionario es una recopilación de palabras o expresiones clave en la que cada entrada tiene una calificación asignada. Las
puntuaciones permiten definiciones de reglas más detalladas.
Es posible crear una definición de diccionario mediante la importación de un archivo de diccionario en formato CSV. También se
pueden importar elementos con un script que contenga llamadas a API REST. El administrador que ejecute el script debe ser un
usuario válido de McAfee ePO con permisos en los Conjuntos de permisos de McAfee ePO para realizar las acciones invocadas
por las API.
Tip
Los archivos CSV de diccionario pueden emplear varias columnas. Exporte un diccionario a fin de comprender cómo se
rellenan las columnas antes de crear un archivo para la importación.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Haga clic en la pestaña Definiciones.
3. En el panel de la izquierda, seleccione Diccionario.
4. Seleccione Acciones → Nuevo elemento.
5. Introduzca un nombre y, si quiere, una descripción.
6. Añada entradas al diccionario.
Para importar entradas:
a. Haga clic en Importar entradas.
b. Introduzca palabras o expresiones, o bien cópielas y péguelas desde otro documento.
La ventana de texto está limitada a 20.000 líneas de 50 caracteres por línea.
c. Haga clic en Aceptar.
A todas las entradas se les asigna una calificación predeterminada de 1.
d. Si es necesario, actualice la calificación predeterminada de 1 haciendo clic en Editar en la entrada.
e. Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea necesario.
Empieza por y Termina por ofrecen coincidencia con subcadenas.
Para crear entradas manualmente:
a. Haga clic en Acciones → Agregar.
b. Introduzca la frase y la calificación.
c. Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea necesario.
d. Haga clic en Guardar o en Guardar y nueva para añadir otra entrada.
7. Haga clic en Guardar.
Cree una definición de diccionario basada en una palabra clave en minúsculas y agréguela a una clasificación.
Procedimiento
1. En McAfee ePO, vaya a Clasificación → Definiciones → Diccionario y haga clic en Acciones → Nuevo elemento.
2. Asigne un nombre a la definición del diccionario y una descripción opcional y, a continuación, haga clic en Acciones →
Agregar.
3. En Expresión, escriba la palabra seguridad, establezca la Calificación en 1 y seleccione Distinción entre mayúsculas y
minúsculas para que se produzca la coincidencia con la palabra clave solo cuando esté en minúsculas.
4. Haga clic en Añadir y, a continuación, en Guardar.
5. Seleccione Clasificación → Nueva clasificación. Asigne un nombre a la clasificación, agregue una descripción opcional y
haga clic en Aceptar.
6. Seleccione la clasificación recién creada y haga clic en Acción → Nuevo criterio de clasificación de contenido.
7. Seleccione el diccionario y use la comparación (O/Y/NO).
8. Haga clic en (...) y seleccione la definición del diccionario recién creado, asígnele un umbral de 10 y haga clic en Aceptar.
9. Asigne la clasificación a una regla para desencadenar la clasificación.
Los patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón avanzado puede incluir una expresión
sencilla o una combinación de expresiones y definiciones de falsos positivos.
Note
No hay ningún equivalente para las opciones Coincidencia de porcentaje y Número de bytes desde el principio en los
appliances de McAfee DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Seleccione la pestaña Definiciones y Patrón avanzado en el panel izquierdo.
Para ver solo los patrones avanzados definidos por el usuario, anule la selección de Incluir elementos incorporados. Los
patrones definidos por el usuario son los únicos que pueden editarse.
Los patrones disponibles aparecerán en el panel de la derecha.
3. Select Actions → New Item.
4. Introduzca un nombre y, si quiere, una descripción.
5. En Expresiones coincidentes:
a. Introduzca una expresión en el cuadro de texto y agregue una descripción opcional.
b. Seleccione un validador en la lista desplegable o, si la validación no es adecuada para la expresión, seleccione Sin
validaciones.
Un validador es lo mismo que un algoritmo en McAfee DLP 9.3.x. Puede utilizarlo para minimizar los falsos positivos.
c. Introduzca un número en el campo Calificación para indicar el peso de la expresión en la coincidencia de umbral.
d. Haga clic en Agregar.
6. En Expresiones ignoradas:
a. Introduzca una expresión en el cuadro de texto.
Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos en la definición mediante
Importar entradas.
b. En el campo Tipo, seleccione RegEx en la lista desplegable si la cadena es una expresión regular, o bien Palabra
clave si es texto.
También se pueden añadir expresiones de palabras clave mediante Importar palabras clave, escribiendo las palabras
clave separadas por una línea nueva.
c. Haga clic en Agregar.
7. Agregue el recuento al concepto:
a. Asigne a todas las expresiones una calificación de 1.
b. Cuando asigne el diccionario a la clasificación, proporcione al umbral el mismo valor que tuviera la configuración
de recuento en McAfee DLP 9.3.x.
c. Seleccione Contar varias repeticiones de cada cadena coincidente si la calificación debe agregarse en caso de
existir varias apariciones de una misma expresión en un documento.
d. Seleccione Contar cada cadena coincidente solo una vez si la calificación no debe agregarse y debe ser única
aunque existan varias apariciones de una misma expresión en un documento.
e. Seleccione Empieza por y Termina por para ver si el documento comienza o termina con la expresión, o bien
seleccione ambas opciones para buscar la expresión en cualquier parte del documento.
f. Para que la coincidencia se produzca según el número de líneas desde el principio del documento, puede crear
una nueva expresión regular mediante condiciones como menor que, igual a o mayor que.
8. Haga clic en Guardar.
Las definiciones de listas de URL se utilizan para definir las reglas de protección web y los criterios de clasificación de
identificación de huellas digitales de contenido web. Se añaden a las reglas y clasificaciones como condiciones de Dirección
web (URL).
Es posible crear una definición de lista de URL mediante la importación de la lista en formato CSV. También se pueden importar
elementos con un script que contenga llamadas a API REST. El administrador que ejecute el script debe ser un usuario válido de
McAfee ePO con permisos en los Conjuntos de permisos de McAfee ePO para realizar las acciones invocadas por las API.
Tip
Los archivos CSV de lista de URL pueden emplear varias columnas. Exporte una lista de URL a fin de comprender cómo se
rellenan las columnas antes de crear un archivo para la importación.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Lista de URL y, después, Acciones → Nuevo elemento.
3. Introduzca un nombre único y una definición opcional.
4. Siga uno de estos procedimientos:
• Introduzca la información de Protocolo, Host, Puerto y Ruta en los cuadros de texto y, a continuación, haga clic en
Agregar.
Note
• Pegue una URL en el cuadro de texto Pegar URL, haga clic en Analizar y, a continuación, en Agregar.
El software rellena los campos de URL.
5. Una vez agregadas a la definición todas las URL requeridas, haga clic en Guardar.
Antes de empezar
Note
Estos ajustes afectan únicamente al uso de etiquetas de terceros con el correo electrónico. Puede utilizar etiquetas de
terceros con los archivos sin tener que modificar la configuración de cliente.
Titus y Boldon James son soluciones habituales para clasificar y etiquetar archivos y mensajes de correo electrónico de manera
proactiva. McAfee DLP Endpoint puede integrarse en estas aplicaciones llamando a API de terceros para identificar los archivos
etiquetados y determinar las etiquetas. Puede aplicar las clasificaciones creadas con etiquetas de terceros al correo electrónico y
a todas las reglas de protección y descubrimiento que inspeccionan archivos.
Note
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Haga clic en Nueva clasificación.
3. Escriba un nombre exclusivo y, si lo desea, una descripción.
4. Haga clic en Acciones y seleccione Nuevos criterios de clasificación de contenido o Nuevos criterios de identificación
por huellas digitales de contenido.
5. Seleccione la propiedad Etiquetas de terceros.
6. Seleccione las etiquetas de clasificación según sea necesario.
• Introduzca el nombre de etiqueta de Titus y un valor. Defina la cadena de valor seleccionando un valor de la lista
desplegable y escribiendo un valor. Defina la cadena de valor introducida para los nombres de etiqueta de Titus
como:
equivale a uno de
es igual a todos de
contiene uno de
contiene todos de
• Introduzca el nombre del selector de Boldon James y el valor. Defina la cadena de valor seleccionando un valor de
la lista desplegable y escribiendo un valor. Defina la cadena de valor introducida para los nombres de etiqueta de
Boldon James como:
equivale a uno de
es igual a todos de
contiene uno de
contiene todos de
Antes de empezar
Asegúrese de que el servidor está definido en Servidores registrados en McAfee ePO. Para obtener más información acerca del
registro de servidores de terceros, consulte la guía de instalación de McAfee DLP Endpoint.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Haga clic en Nueva clasificación.
3. Escriba un nombre exclusivo y, si lo desea, una descripción.
4. Haga clic en Acciones y seleccione Nuevos criterios de clasificación de contenido o Nuevos criterios de identificación
por huellas digitales de contenido.
5. Seleccione la propiedad Etiquetas de terceros.
6. Seleccione las etiquetas de clasificación según sea necesario.
• Seleccione el nombre del servidor de Microsoft RMS en la lista desplegable Valor y una plantilla para dicho servidor.
Para seleccionar una plantilla, haga clic en el selector y seleccione la plantilla en la ventana emergente.
• Seleccione el nombre del servidor de Azure RMS en la lista desplegable Valor y especifique una etiqueta. Para
seleccionar una etiqueta, haga clic en el selector y seleccione la etiqueta en la ventana emergente.
Resultados
En la página Grupos de reglas se muestra una lista de los grupos de reglas establecidos y el estado de cada uno. La pantalla
incluye el número de incidentes registrados para cada conjunto de reglas, cuántas reglas se han definido y cuántas se han
activado. Los iconos de colores indican los tipos de reglas activadas. La información sobre herramientas mostrada cuando se
pasa el ratón sobre los iconos muestra el tipo de regla y el número de reglas activadas.
En el conjunto de reglas aaa (1), se ha definido una regla de protección de datos y está habilitada (1/1 a la izquierda de la
sección Reglas de datos). Los iconos azules muestran qué tipos de reglas están definidos. La información sobre herramientas
muestra que una de estas reglas es una regla de protección contra capturas de pantalla. Para ver qué reglas están definidas pero
desactivadas, abra la regla para su edición.
Los intervalos de puertos de red sirven como criterios de filtrado en las reglas de protección de comunicaciones de la red.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Puerto de red y, a continuación, haga clic en Acciones → Nuevo.
También puede editar las definiciones integradas.
3. Escriba un nombre único y, si lo desea, una descripción.
4. Introduzca los números de puerto, separados por comas y, si quiere, una descripción; después, haga clic en Agregar.
5. Cuando haya añadido todos los puertos necesarios, haga clic en Guardar.
Los intervalos de direcciones de red sirven como criterios de filtrado en las reglas de protección de comunicaciones de la red.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Dirección de red (dirección IP) y, a continuación, haga clic en Acciones → Nuevo.
3. Introduzca un nombre único y una definición opcional.
4. Introduzca una dirección, un intervalo o una subred en el cuadro de texto. Haga clic en Añadir.
En la página se mostrarán ejemplos con el formato correcto.
Note
Solo se admiten direcciones IPv4. Si se introduce una dirección IPv6, aparecerá el mensaje La dirección IP no es válida en
lugar de indicar que no es compatible.
5. Cuando haya introducido todas las definiciones necesarias, haga clic en Guardar.
Las definiciones de lista de direcciones de correo electrónico son dominios de correo electrónico predefinidos o direcciones de
correo electrónico específicas que pueden incluirse en las reglas de protección de correo electrónico.
Para que las reglas de protección de correo electrónico sean más detalladas, incluya algunas direcciones de correo electrónico y
excluya otras. Asegúrese de crear ambos tipos de definiciones.
Tip
Para combinaciones de operadores que utilice con frecuencia, añada varias entradas a una definición de lista de direcciones
de correo electrónico.
También se pueden importar elementos con un script que contenga llamadas a la API REST. El administrador que ejecute
el script debe ser un usuario de McAfee ePO válido con permisos en Conjuntos de permisos de McAfee ePO para realizar las
acciones que se invocan mediante las API.
Tip
Los archivos CSV de lista de direcciones de correo electrónico utilizan varias columnas. Exporte una lista de direcciones a fin
de comprender cómo se rellenan las columnas antes de crear un archivo para la importación.
Las definiciones de valores de correo electrónico admiten caracteres comodín y pueden definir condiciones. Un ejemplo de
condición definida con un carácter comodín es *@mcafee.com. La combinación de una condición de la lista de direcciones con
un grupo de usuarios en una regla aumenta el grado de detalle.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Lista de direcciones de correo electrónico y, a continuación, Acciones → Nuevo.
3. Introduzca un Nombre y, si lo desea, una Descripción.
4. Seleccione un Operador en la lista desplegable.
Los operadores definidos con la opción Direcciones de correo electrónico admiten caracteres comodín en el campo Valor.
5. Introduzca un valor y, a continuación, haga clic en Añadir.
6. Haga clic en Guardar cuando haya acabado de agregar direcciones de correo electrónico.
Utilice definiciones de impresoras de red para crear reglas de protección de impresoras detalladas. Las impresoras definidas
pueden incluirse en las reglas o excluirse de estas.
Antes de empezar
Obtenga la ruta UNC de la impresora en la red.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Impresora de red y, a continuación, seleccione Acciones → Nuevo elemento.
3. Introduzca un Nombre exclusivo y, de forma opcional, una Descripción.
4. Introduzca la ruta de UNC.
Todos los demás campos son opcionales.
5. Haga clic en Guardar.
Las definiciones de listas de URL se utilizan para definir las reglas de protección web y los criterios de clasificación de
identificación por huellas digitales de contenido web. Se añaden a las reglas y clasificaciones como condiciones de Dirección
web (URL).
Es posible crear una definición de lista de URL mediante la importación de la lista en formato CSV.
También se pueden importar elementos con un script que contenga llamadas a la API REST. El administrador que ejecute el
script debe ser un usuario de McAfee ePO con permisos en McAfee ePO Conjuntos de permisos para realizar las acciones que
se invocan mediante las API.
Tip
Los archivos CSV de lista de URL pueden utilizar varias columnas. Exporte una lista de URL a fin de comprender cómo se
rellenan las columnas antes de crear un archivo para la importación.
Realice estos pasos para cada dirección URL que sea necesaria.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Lista de URL y, a continuación, Acciones → Nuevo elemento.
3. Introduzca un Nombre exclusivo y, de forma opcional, una Descripción.
4. Siga uno de estos procedimientos:
• Introduzca la información de Protocolo, Host, Puerto y Ruta en los cuadros de texto y, a continuación, haga clic en
Añadir.
Note
• Pegue una URL en el cuadro de texto Pegar URL, haga clic en Analizar y, a continuación, en Añadir.
El software rellena los campos de URL.
5. Una vez agregadas a la definición todas las URL requeridas, haga clic en Guardar.
Los conjuntos de reglas pueden contener cuatro tipos de reglas: protección de datos, control de dispositivos, descubrimiento y
control de la aplicación, aunque no todos los tipos de regla son compatibles con todos los productos de McAfee DLP.
Note: Si ha
instalado
Device
Control con
contenido con
reconocimient
o de
protección de
almacenamie
nto extraíble,
se admiten las
reglas de
protección de
almacenamie
nto extraíble.
web y de
comunicaciones
de la red
Una regla consta de tres partes, además de la definición básica de la regla. La definición básica incluye el Nombre de la regla, la
Descripción opcional, listas desplegables para definir el Estado (habilitado o deshabilitado) y la Gravedad, así como casillas para
definir qué producto de McAfee DLP admite la regla. Las tres partes de la regla (Condición, Excepciones y Reacción) se definen
en pestañas independientes de la definición de reglas.
Condición
La condición define lo que hace que la regla se active. En el caso de las reglas de descubrimiento y protección de datos, la
condición siempre incluye una clasificación y puede incluir otras condiciones. Por ejemplo, una regla de protección de la nube
contiene campos para definir el usuario y el servicio en la nube, además de la clasificación. En el caso de las reglas de control
de dispositivos, la condición siempre especifica el usuario y puede incluir otras condiciones, tales como la plantilla de dispositivo.
Las reglas de control de dispositivos no incluyen clasificaciones.
Excepciones
Las excepciones definen los parámetros excluidos de la regla. Las excepciones cuentan con un ajuste independiente que permite
habilitarlas o deshabilitarlas. De este modo, se puede activar o desactivar la excepción al probar las reglas. La creación de
definiciones de excepciones es opcional.
Por ejemplo, una regla de protección de la nube puede permitir que los usuarios y las clasificaciones especificados carguen
datos en los servicios en la nube indicados. Al mismo tiempo, bloquea los usuarios y las clasificaciones definidos en la sección de
condiciones de la propia regla.
Las definiciones de excepciones para las reglas de protección de datos y descubrimiento son similares a las definiciones de
condiciones. Los parámetros disponibles para la exclusión constituyen un subconjunto de los parámetros disponibles para
definir la condición.
Las definiciones de excepciones de las reglas de protección de datos son similares a las definiciones de condiciones. Los
parámetros disponibles para la exclusión constituyen un subconjunto de los parámetros disponibles para definir la condición.
En el caso de las reglas de control de dispositivos, una excepción se define mediante la selección de plantillas de dispositivo
excluidas de una lista. Las plantillas excluidas disponibles dependen del tipo de regla de dispositivo.
Reacción
La reacción define lo que ocurre cuando se desencadena la regla. Las acciones disponibles varían según el tipo de regla, pero
el valor predeterminado para todas las reglas es Sin acción. Al seleccionarlo junto con la opción Notificar incidente, puede
supervisar la frecuencia con la que se infringen las reglas. Este procedimiento resulta útil para ajustar la regla al nivel adecuado
con el fin de detectar fugas de datos sin crear falsos positivos.
La reacción también define si la regla se aplica fuera de la empresa y, en el caso de algunas reglas, cuando se encuentra
conectada a la empresa mediante VPN.
Utilice las reputaciones de seguridad de archivos y certificados de Threat Intelligence Exchange para definir reglas.
Puede definir ciertas reglas con las reputaciones de Threat Intelligence Exchange.
El software de McAfee® Threat Intelligence Exchange (TIE) determina y distribuye las reputaciones de seguridad de archivos y
certificados. McAfee DLP se comunica con McAfee® Data Exchange Layer (DXL) en TIE para compartir información acerca de
los niveles de amenaza de archivos y certificados. Puede definir el campo Aplicaciones en las reglas de protección de acceso a
archivos de la aplicación en función de la reputación de TIE.
Las reglas de protección de datos supervisan y controlan el contenido y la actividad de los usuarios.
Las reglas de protección de datos deben especificar al menos una clasificación. La clasificación identifica el contenido como
sensible o no, y determina en consecuencia lo que se puede hacer con el contenido. Otras definiciones de la regla actúan como
filtros para determinar qué archivos se supervisan.
Las reglas de protección de datos son compatibles de manera distinta con las diferentes aplicaciones de McAfee DLP.
• McAfee DLP Endpoint for Windows es compatible con todas las reglas de protección de datos.
• McAfee DLP Endpoint for Mac es compatible con las reglas de protección de almacenamiento extraíble, de recursos
compartidos de red, de acceso a archivos de aplicaciones y de protección de correo electrónico.
• McAfee DLP Prevent admite reglas de protección web y de correo electrónico.
• McAfee DLP Monitor admite reglas de protección de correo electrónico, web y comunicaciones de la red.
Note
McAfee DLP Monitor es un dispositivo pasivo que informa sobre los incidentes detectados, pero no bloquea ni
modifica los datos.
Las reglas de protección de acceso a archivos de la aplicación supervisan los archivos en función de la aplicación o las
aplicaciones donde se hayan creado. Se admiten en equipos Microsoft Windows y macOS. En McAfee DLP Endpoint for Mac,
solo se admiten navegadores y aplicaciones compatibles con macOS.
Seleccione una aplicación o una definición de URL para limitar la regla a aplicaciones específicas. Asimismo, puede especificar
una reputación de TIE.
Note
Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o identificación por huellas digitales
de contenido. También puede limitar la regla a usuarios locales o grupos de usuarios específicos.
Las reglas de protección del Portapapeles gestionan el contenido que se copia con el Portapapeles de Windows. Solo se admiten
en McAfee DLP Endpoint for Windows.
Las reglas de protección del Portapapeles se usan para bloquear la copia de contenido de carácter confidencial de una aplicación
a otra, o bien para solicitar la justificación para ello. La regla puede definir tanto la aplicación copiada desde como la aplicación
copiada a, o bien puede escribir una regla general que especifique cualquier aplicación para el origen o el destino. Los
navegadores compatibles pueden especificarse como aplicaciones. La regla se puede filtrar con una definición de usuario final
para limitarla a determinados usuarios. Al igual que con otras reglas de protección de datos, se definen las excepciones a la regla
en la ficha Excepciones.
De forma predeterminada, se permite copiar contenido de carácter confidencial de una aplicación de Microsoft Office a otra. Si
desea bloquear la opción de copia dentro de Microsoft Office, desactive el Portapapeles de Microsoft Office en la configuración
de cliente de Windows.
Las reglas de protección de la nube gestionan los archivos cargados en aplicaciones en la nube. Se admiten en McAfee DLP
Endpoint for Windows y McAfee DLP Endpoint for Mac
Las aplicaciones en la nube se utilizan cada vez con mayor frecuencia para crear copias de seguridad y compartir archivos. La
mayoría de las aplicaciones en la nube crean una carpeta especial en la unidad que se sincroniza con el servidor de la nube.
McAfee DLP Endpoint intercepta la creación de archivos en la carpeta de la aplicación en la nube, analiza los archivos y aplica las
directivas pertinentes. Si la directiva permite sincronizar el archivo con la carpeta de la aplicación en la nube y este se modifica
más tarde, se vuelve a analizar el archivo y a aplicar la directiva. Si el archivo modificado infringe una directiva, no se puede
sincronizar con la nube.
• Box Sync
• Dropbox
• Google Drive
• iCloud
• OneDrive (personal)
• OneDrive para la empresa (groove.exe)
• Syncplicity
Note
iCloud y Syncplicity no son compatibles con McAfee DLP Endpoint for Mac.
Para aumentar la velocidad de análisis, puede especificar las subcarpetas de nivel superior incluidas o excluidas en la regla.
Las reglas de protección de correo electrónico supervisan o bloquean el correo electrónico enviado a determinados destinos o
usuarios. Se admiten en McAfee DLP Endpoint for Windows , McAfee DLP Endpoint for Mac (admite solamente la supervisión
de correos electrónicos), McAfee DLP Monitor, McAfee DLP Prevent y McAfee® MVISION Cloud.
Las reglas de protección de correo electrónico que se implementan en McAfee DLP Monitor y McAfee DLP Prevent se pueden
guardar como búsquedas de DLP Capture de modo que sea posible ajustar la configuración sin que afecte al análisis de la regla
activa.
Las reglas de protección de correo electrónico pueden bloquear los mensajes de correo electrónico según los siguientes
parámetros:
• Las definiciones de Clasificación limitan la regla a determinados criterios de clasificación o identificación por huellas
digitales de contenido. Puede aplicar clasificaciones al correo electrónico completo o simplemente al asunto, al cuerpo, a
los encabezados o a los datos adjuntos. Desde McAfee DLP 11.1, la opción uno de los elementos del correo electrónico
no incluye encabezados de correo electrónico aparte del asunto para las reglas de protección de correo electrónico
utilizadas por los appliances de McAfee DLP. Es necesario añadir otros encabezados de correo electrónico por separado.
• Las definiciones de Remitente limitan la regla a determinados grupos de usuarios o listas de direcciones de correo
electrónico. La información sobre el grupo de usuarios puede obtenerse de los servidores LDAP registrados. También
puede limitar la regla a los usuarios locales o a los usuarios que no hagan uso del servidor LDAP.
• El campo Sobre de correo electrónico especifica que el correo electrónico está protegido por permisos RMS, cifrado PGP,
firma digital o cifrado S/MIME. Esta opción suele usarse para definir excepciones.
Note
Cuando el sobre es S/MIME y no hay ningún certificado S/MIME para el destinatario, aparece el mensaje emergente
de Outlook que permite que el correo electrónico se envíe sin cifrar. Sin embargo, si hay una regla coincidente para
bloquear el correo electrónico, McAfee DLP Prevent lo bloquea.
• La lista Destinatario incluye definiciones de lista de direcciones de correo electrónico. Las definiciones pueden utilizar
caracteres comodín en el campo del operador.
Mensajes que no se pueden analizar
Si McAfee DLP Prevent no puede extraer el texto de un mensaje para analizarlo porque, por ejemplo, dicho mensaje está
dañado, sigue este procedimiento:
Note
Si el mensaje contiene datos adjuntos cifrados, dañados o protegidos con contraseña, se analiza el mensaje para encontrar
desencadenadores de fuga de datos, pero no se analizan los datos adjuntos. No se agrega el valor SCANFAIL porque el contenido
del mensaje se ha analizado de forma parcial.
McAfee DLP Prevent le permite bloquear activamente un mensaje de correo electrónico y devolvérselo al remitente con una
notificación cuando se produce una infracción de directiva.
Puede configurar McAfee DLP Prevent para bloquear un correo electrónico que infrinja una directiva y enviar una notificación al
host inteligente configurado.
El host inteligente devuelve el correo electrónico original al remitente como archivo adjunto a la notificación. A esta notificación
también se adjunta un archivo con detalles adicionales en formato HTML. Este archivo de detalles adicionales incluye
información sobre el tipo de incidente, el nivel de gravedad, el estado bloqueado, la fecha y la hora en las que se ha producido
el incidente y los detalles del remitente y del destinatario. El archivo también muestra los detalles de prueba, las reglas que han
activado el incidente y los detalles de clasificación.
Important
La reacción de bloqueo y devolución del correo electrónico al remitente siempre tiene prioridad sobre la reacción de añadir
el encabezado X-RCIS-Action.
Puede seleccionar una definición predefinida de Notificación de usuario como el mensaje de notificación o crear una
notificación personalizada mediante los valores de marcador de posición en la página Definición de notificación de usuario.
También puede optar por enviar un incidente acerca del mensaje devuelto.
Si la entrega del correo electrónico de notificación al remitente falla debido a un código de error temporal (4xx), el incidente no
se genera. El correo original permanece en el estado de error temporal y se pone en cola en el host inteligente de envío. El host
inteligente vuelve a intentar el envío del mensaje de correo electrónico.
Si se rechaza la entrega del correo electrónico de notificación al remitente debido a un error permanente (5xx), se genera un
incidente. El correo original se rechaza con el código de error 5xx.
Note
Cuando la entrega de un correo electrónico de notificación falla debido al código de error 5xx, el mensaje de correo
electrónico original del remitente se bloquea. El mensaje de correo electrónico no se devuelve al remitente y el Gestor de
incidentes muestra dicho mensaje como bloqueado.
Puede realizar varias acciones en los mensajes de correo electrónico que se envían al host inteligente. Puede utilizar la reacción
Añadir encabezado a X-RCIS-Action para añadir valores a los encabezados de mensaje de correo electrónico. El host inteligente
implementa la acción indicada en el encabezado X-RCIS-Action.
Cuando no se supervisa, McAfee DLP Prevent envía siempre un mensaje de correo electrónico a un host inteligente configurado.
El host inteligente implementa la acción indicada en el encabezado X-RCIS-Action.
Si el mensaje activa varias reglas, el valor de prioridad más alta se inserta en el encabezado X-RCIS-Action (donde 1 es la
prioridad más alta). Si no se activa ninguna regla, se inserta el valor ALLOW.
Si otro appliance analiza un mensaje y añade un encabezado X-RCIS, McAfee DLP Prevent sustituye el encabezado existente por
su proprio encabezado.
Puede configurar el appliance de McAfee DLP para omitir el análisis de los correos electrónicos enviados desde las direcciones
de correo electrónico especificadas. Para estos correos electrónicos omitidos, puede optar por añadir el valor BYPASS al
encabezado X-RCIS-Action o no añadir un encabezado en el mensaje enviado al host inteligente configurado.
Al configurar una reacción de regla de protección de correo electrónico, además de las reacciones de regla básicas (Sin acción
y Añadir encabezado X-RCIS-Action), puede elegir, de manera opcional, añadir encabezados personalizados en el mensaje de
correo electrónico entregado. El encabezado personalizado puede informar de detalles sobre las reglas que han infringido una
directiva o cualquier otro valor de encabezado personalizado cuando se desencadena una regla.
Durante la entrega de un mensaje de correo electrónico, McAfee DLP Prevent incluye la reacción de regla básica y los valores de
encabezado personalizados, y envía el correo electrónico analizado al host inteligente. El host inteligente implementa la acción
indicada en las reacciones. Las reacciones de regla básicas tienen prioridad sobre los valores de encabezado personalizados.
McAfee DLP Prevent le permite utilizar tres encabezados personalizados integrados y uno de los encabezados personalizados
definidos. Para crear una definición de encabezado personalizada, utilice Gestor de directivas de DLP → definiciones y
establezca la prioridad de la definición del encabezado personalizado.
McAfee DLP Prevent es compatible con estos encabezados personalizados integrados y se seleccionan de manera
predeterminada:
Encabezados personalizados integrados
Cuando se desencadena más de una regla para un correo electrónico, se utiliza la acción de la regla con la gravedad más alta
en la respuesta del encabezado personalizado. Esto depende de la prioridad de la regla según la gravedad de la regla y la
prioridad de la acción. Si se configuran los encabezados personalizados en dos reglas de protección de correo electrónico con
valores en conflicto y si ambas reglas se desencadenan para el mismo correo electrónico, la priorización se calcula en función
de la gravedad de la regla, la prioridad de la acción integrada estándar y la prioridad del encabezado personalizado para decidir
qué encabezado personalizado específico de la regla se añade al correo electrónico. Ejemplo de reglas en conflicto: Regla 1
custom-header="PCI" y Regla 2 custom-header="SSN".
McAfee DLP Prevent añade el encabezado X-MFE-PREVENT: SCANFAIL a su respuesta de ICAP cuando detecta contenido no
analizable o para solicitudes ICAP que superan el tamaño máximo de archivo configurado para analizar.
McAfee DLP Prevent categoriza el contenido como no analizable cuando no se puede analizar. Entre los ejemplos de contenido
no analizable se incluyen los archivos dañados, los archivos que superan el tamaño y el tiempo máximos de análisis, y los
archivos que superan la profundidad máxima si hay archivos anidados. El appliance permite una solicitud de ICAP con contenido
no analizable y envía una respuesta de ICAP 2xx de vuelta al servidor proxy web. Además, el appliance añade el encabezado
X-MFE-PREVENT: SCANFAIL a su respuesta de ICAP cuando detecta contenido no analizable.
De forma predeterminada, el appliance de McAfee DLP Prevent envía una respuesta de ICAP 4xx de vuelta al servidor proxy web
para las solicitudes de ICAP que superan el tamaño máximo de archivo configurado para analizar. Puede configurar el appliance
de McAfee DLP Prevent para permitir estas solicitudes de ICAP con una respuesta 2xx. Cuando la configuración está habilitada,
el appliance envía la respuesta de ICAP 2xx de vuelta al servidor proxy web y añade también el encabezado X-MFE-PREVENT:
SCANFAIL con información sobre la causa de la respuesta de ICAP. Para obtener información sobre cómo configurar para
permitir solicitudes de ICAP que superen el tamaño máximo de archivo configurado para analizar con una respuesta 2xx, véase
KB91550.
Las reglas de protección de comunicaciones de la red supervisan o bloquean los datos que entran o salen de su red. Se admiten
en McAfee DLP Endpoint for Windows.
Las reglas de protección de comunicaciones de la red controlan el tráfico de red en función de las direcciones de red
(obligatorias) y los puertos (opcionales) especificados. También puede especificar las conexiones entrantes o salientes, o ambas.
Es posible agregar una definición de dirección de red y una definición de puerto, pero estas pueden contener varias direcciones
o puertos.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de identificación por huellas digitales de contenido.
También puede limitar la regla a usuarios locales o grupos de usuarios específicos, o bien especificar la aplicación durante la
creación de la conexión.
Note
Las reglas de protección de comunicaciones de la red de McAfee DLP Endpoint for Windows no comprueban los criterios de
clasificación de contenido. Use criterios de identificación por huellas digitales de contenido cuando defina las clasificaciones
usadas con reglas de protección de comunicaciones de la red.
Las reglas de protección de recursos compartidos de red controlan el contenido de carácter confidencial almacenado en los
recursos compartidos de red. Se admiten en equipos Microsoft Windows y macOS.
Las reglas de protección de recursos compartidos de red se pueden aplicar a todos los recursos compartidos de red o a recursos
compartidos específicos. Se puede incluir una definición de recurso compartido en la regla y la definición puede contener varios
recursos compartidos. Una clasificación incluida (obligatorio) define qué contenido de carácter confidencial está protegido.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o identificación por huellas digitales
de contenido. También puede limitar la regla a los usuarios locales o a los grupos de usuarios especificados, por parte de los
recursos compartidos de red específicos o por la aplicación que copia el archivo.
Las reglas de protección contra impresión supervisan o bloquean la impresión de archivos. Solo se admiten en McAfee DLP
Endpoint for Windows.
Use las clasificaciones para limitar la regla. También puede limitar la regla especificando los usuarios, las impresoras o las
aplicaciones que imprimirán el archivo. La definición de la impresora puede especificar impresoras locales, impresoras de red,
impresoras de red o impresoras de imágenes.
Las reglas de protección de almacenamiento extraíble supervisan o bloquean la escritura de datos con origen o destino en
dispositivos de almacenamiento extraíbles. Se admiten en McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac.
En McAfee DLP Endpoint for Mac, no se admiten los dispositivos de CD y DVD.
Las reglas de protección de almacenamiento extraíble controlan los dispositivos de CD y DVD, los dispositivos de
almacenamiento extraíbles o ambos. También pueden bloquear la copia en o desde el dispositivo, o ambas cosas. Limite la
regla mediante criterios de clasificación o de identificación por huellas digitales de contenido en las clasificaciones (obligatorio).
También puede definir la regla con usuarios, aplicaciones o URL web especificados.
Note
Las reglas de protección de almacenamiento extraíble de McAfee DLP Endpoint for Mac solo admiten el control de los
dispositivos de almacenamiento extraíbles. No admiten dispositivos de CD y DVD.
Use las clasificaciones para limitar la regla. También puede limitar la regla especificando los usuarios o las aplicaciones que
copian el archivo.
Las reglas de protección contra capturas de pantalla controlan los datos que se copian y pegan de una pantalla. Solo se admiten
en McAfee DLP Endpoint for Windows.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de identificación por huellas digitales de contenido.
También puede limitar la regla a usuarios locales o grupos de usuarios específicos, o bien por aplicaciones visibles en la pantalla.
Note
Las reglas de protección contra capturas de pantalla no comprueban los criterios de clasificación de contenido. Utilice
criterios de identificación por huellas digitales de contenido cuando defina las clasificaciones utilizadas con reglas de
capturas de pantalla.
Para bloquear capturas de pantalla desde el panel de vista previa de Windows Explorer, deshabilite el panel en la configuración
del cliente ( Catálogo de directivas → Configuración del cliente de Windows → Protección contra capturas de pantalla).
Las reglas de protección web supervisan o bloquean la publicación de datos en sitios web, incluidos los sitios de correo
electrónico web. Se admiten en McAfee DLP Endpoint for Windows y McAfee DLP Prevent. McAfee DLP Monitor también es
compatible con las reglas de protección web, pero no puede bloquear datos.
Las reglas de protección web aplicadas en McAfee DLP Monitor y McAfee DLP Prevent se pueden guardar como búsquedas de
DLP Capture para que puedas ajustar la configuración sin que el análisis de reglas en vivo se vea afectado.
• Clasificación
• Usuario final
• Dirección web (URL)
• Tipo de carga
Defina la regla agregando definiciones de Lista de URL a la condición de dirección web. Puedes utilizar las definiciones de Lista
de URL integradas tal cual o con los cambios que hayas definido. Internet Explorer, Firefox, Chrome y Microsoft Edge (basado
en Chromium) y permiten excluir URL en las reglas de protección web. Introduce las direcciones URL que quieras excluir en la
página Protección web de la configuración del cliente.
Note
Para obtener más información acerca de las definiciones de lista de URL, consulta el artículo KB90846.
Utilice el tipo de carga es una carga de archivos para limitar la regla solamente a los archivos. Esta opción permite que se
carguen sin inspección otros tipos de datos, tales como el correo o los formularios web.
Las reglas de protección web añaden incidentes repetidos. Si intenta cargar el mismo archivo en un sitio web varias veces o bien
si el sitio web intenta automáticamente cargas repetidas, genera un solo incidente en el Gestor de incidentes de DLP.
En publicaciones de texto, la regla de protección web evalúa la condición de la dirección web (URL) con la URL de solicitud HTTP.
Dado que las solicitudes HTTP dependen de las extensiones de navegador Chrome, las publicaciones de texto solo se pueden
supervisar.
Note
Se recomienda deshabilitar los modos de invitado y de incógnito de Chrome en la configuración del cliente de Windows. Si
alguna de estas opciones está habilitada, es posible que la URL web activa en el endpoint no esté disponible.
Una alternativa al bloqueo de las publicaciones web en el endpoint es aplicar las reglas de protección web de McAfee DLP
mediante la implementación de las mismas reglas de protección de publicación web en McAfee DLP Prevent. También puedes
utilizar Skyhigh® Security Secure Web Gateway (SWG), que tiene capacidades nativas de DLP.
Las reglas de control de dispositivos definen la medida que se debe tomar cuando se usan determinados dispositivos.
Las reglas de control de dispositivos pueden supervisar o bloquear dispositivos conectados a equipos gestionados por la
empresa.
McAfee DLP Endpoint for Windows admite los siguientes tipos de reglas:
McAfee DLP Endpoint for Mac admite los siguientes tipos de reglas:
• Regla para dispositivos Plug and Play (solo para dispositivos USB)
• Regla para dispositivos de almacenamiento extraíbles
Las reglas de control de dispositivos se describen a fondo en Protección de los datos de carácter confidencial para que no se
copien en los dispositivos de almacenamiento.
Protección de SharePoint
Las reglas de control de aplicaciones web son similares a las reglas de protección web, pero no analizan los datos ni incluyen
una clasificación. En lugar de bloquear el contenido cargado en los sitios web especificados, bloquean todas las solicitudes GET
dirigidas a las aplicaciones web especificadas. La regla comprueba la barra de direcciones del navegador, la dirección URL de
publicación y el encabezado del sitio de referencia HTTP. Si alguno de ellos coincide con la definición de URL especificada en la
condición de la regla, esta se activa.
Listas de ignorados
Las listas de ignorados son recopilaciones de elementos que quiere que el sistema ignore.
Puede especificar procesos ignorados para la extracción de texto en la página Rastreo de contenido. En función de la definición,
el extractor de texto no analiza la identificación por huellas digitales de contenido ni archivos abiertos con la aplicación
especificada, ni crea huellas digitales dinámicas para la carga web. La definición puede especificar carpetas y extensiones
específicas, lo que permite un control detallado de lo que se encuentra ignorado. Si no se indica ningún nombre de carpeta, el
proceso no se supervisa mediante las reglas de acceso a archivos de la aplicación.
Algunos dispositivos Plug and Play no funcionan correctamente con la gestión de dispositivos. El intento de gestionarlos podría
provocar que el sistema deje de responder o provocar otros problemas graves. Los dispositivos Plug and Play excluidos se
excluyen automáticamente cuando se aplica una directiva.
Note
Las definiciones Plug and Play excluidas no se aplican a los sistemas operativos macOS.
La pestaña Excepciones de las reglas de control de dispositivos viene definida por las listas de exclusión específicas de la regla
que las incluye. Las listas de exclusión excluyen las definiciones específicas de la regla.
Las notificaciones admiten mensajes de texto enriquecido (HTML). Las definiciones de justificación y notificación pueden
especificar las Configuraciones regionales (idiomas) y añadir marcadores de posición que se sustituyen por los valores reales.
Cuando se definen las configuraciones regionales, aparecen los mensajes y los botones de opción (para las justificaciones
empresariales) en el idioma predeterminado del equipo endpoint. Se admiten las siguientes configuraciones regionales:
• Japonés
• Coreano
• Chino (simplificado)
• Chino (tradicional)
Inglés (Estados Unidos) es la configuración regional estándar predefinida, pero se puede establecer cualquier configuración
regional compatible como valor predeterminado en la definición. La configuración regional predeterminada se utiliza cuando las
otras configuraciones que se han definido no están disponibles como idioma predeterminado del equipo endpoint. McAfee DLP
Prevent intenta detectar el idioma preferido del usuario en los encabezados de las solicitudes.
Note
McAfee DLP Prevent no es totalmente compatible con las configuraciones regionales para coreano, ruso y chino
(simplificado).
Notificación de usuario
Las notificaciones de usuario de McAfee DLP Endpoint son mensajes emergentes que informan al usuario de la infracción de
una directiva.
Note
Cuando una regla desencadena varios eventos, en el mensaje emergente se indica Hay nuevos eventos DLP en su consola de
DLP, en lugar de mostrar varios mensajes.
Puede incluir texto enriquecido en el mensaje emergente mediante la inclusión de etiquetas HTML incrustadas en un elemento
<DIV>.
Cuando McAfee DLP Prevent bloquea una solicitud web, envía la notificación de usuario como un documento HTML que se
muestra en el navegador del usuario. El texto de notificación que configure puede contener etiquetas HTML incrustadas, como
<p>, <ul> o <li>. En la alerta visualizada por el usuario también se muestra Acceso denegado.
Justificación empresarial
(Solo para McAfee DLP Endpoint) La justificación empresarial es una forma de omisión de una directiva. Cuando se especifica
Solicitar justificación como acción en una regla, el usuario puede introducir la justificación para continuar sin que se le bloquee.
Marcadores de posición
Los marcadores de posición son una manera de introducir texto variable en los mensajes, en función de lo que activó el mensaje
de usuario final. Los marcadores de posición disponibles son los siguientes:
• %s para los valores contextuales (por ejemplo, el nombre de archivo, el nombre de dispositivo, el asunto del correo
electrónico o la URL)
• %f para los valores contextuales en McAfee DLP Prevent para correo electrónico (por ejemplo, el nombre de archivo, el
asunto del correo electrónico o el cuerpo del correo electrónico), para los valores contextuales en McAfee DLP Prevent
para Web y McAfee DLP Endpoint (por ejemplo, la ruta completa o la URL)
Los conjuntos de reglas combinan varias reglas de protección de dispositivos, protección de datos y análisis de descubrimiento.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. Haga clic en la pestaña Conjuntos de reglas.
3. Seleccione Acciones → Nuevo conjunto de reglas.
4. Introduzca el nombre y una nota opcional, y haga clic en Aceptar.
Siga los pasos genéricos de este proceso para crear una regla y sus acciones, y añadirla a un conjunto de reglas. Los pasos se
pueden aplicar a todos los tipos de reglas.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. Haga clic en la pestaña Conjuntos de reglas.
3. Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la pestaña adecuada para la regla de
Protección de datos, Control de dispositivos, Descubrimiento o Control de aplicaciones.
4. Seleccione Acciones → Nueva regla y, a continuación, elija el tipo de regla.
5. En la ficha Condición, introduzca la información.
• En el caso de algunas condiciones, como los elementos de plantillas de dispositivos o las clasificaciones, haga clic
en … para seleccionar un elemento existente o crear uno nuevo.
• En el menú desplegable Usuario final , para las opciones pertenece a uno de los grupos de usuarios finales
(O) o pertenece a todos los grupos de usuarios finales siguientes (Y), haga clic en … para seleccionar un grupo
existente o crear uno nuevo.
• Para añadir criterios adicionales, haga clic en +.
• Para eliminar criterios, haga clic en –.
6. (Opcional) Para agregar excepciones a la regla, haga clic en la ficha Excepciones.
a. Seleccione Acciones → Agregar excepción de regla.
No se muestra ningún botón Acciones para las reglas de dispositivos. Para añadir excepciones a las reglas de
dispositivo, seleccione una entrada en la lista que se muestra.
b. Rellene los campos según proceda.
7. Según el producto, configure las opciones de Acción, Notificación de usuario y Notificar incidente en la pestaña
Reacción.
Las reglas pueden tener diferentes acciones, en función de si el equipo endpoint se encuentra en la red corporativa o no.
Algunas reglas también pueden tener una acción diferente cuando existe conexión con la red corporativa mediante VPN.
8. Haga clic en Guardar.
Antes de asignarse a equipos o appliances de endpoints, los conjuntos de reglas se asignan a directivas y estas se guardan en la
base de datos de McAfee ePO.
Antes de empezar
Asegúrese de crear los conjuntos de reglas y activarlos antes de asignarlos a directivas.
Para activar conjuntos de reglas, vaya a la página Catálogo de directivas y edite la directiva de DLP que sea necesaria. En la
página de la directiva seleccionada, vaya la pestaña Conjuntos de reglas activos, seleccione Acciones → Activar conjunto de
reglas y haga clic en Aceptar.
Note
En la página Conjuntos de reglas activos, puede hacer clic en Aplicar directiva para aplicar el conjunto de reglas
seleccionado a la directiva. Este es un método alternativo de asignar conjuntos de reglas a una directiva seleccionada.
Procedimiento
1. En la página Gestor de directivas de DLP → Asignación de directivas, lleve a cabo una de las siguientes acciones:
• Seleccione Acciones → Asignar un conjunto de reglas a las directivas. En la ventana de asignación, seleccione un
conjunto de reglas de la lista desplegable y las directivas a las que asignarlo. Haga clic en Aceptar.
• Seleccione Acciones → Asignar conjuntos de reglas a una directiva. En la ventana de asignación, seleccione una
directiva de la lista desplegable y los conjuntos de reglas a los que asignarlo. Haga clic en Aceptar.
Note
Si anula la selección de un conjunto de reglas o una directiva previamente seleccionados, el conjunto de reglas se
eliminará de la directiva.
2. Seleccione Acciones → Aplicar directivas seleccionadas. En la ventana de asignación, seleccione las directivas que desee
aplicar a la base de datos de McAfee ePO. Haga clic en Aceptar.
Solo las directivas que aún no se hayan guardado en la base de datos aparecerán en la ventana de selección. Si cambia
una asignación de conjunto de reglas o una regla en un conjunto de reglas asignado, aparecerá la directiva y se aplicará la
directiva revisada en lugar de la anterior.
Note
En lo que respecta a las reglas integradas, solo puede duplicar una regla y hacer cambios en la regla duplicada.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. Haga clic en la pestaña Conjuntos de reglas.
3. Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la pestaña adecuada para la regla de
Protección de datos, Control de dispositivos, Descubrimiento o Control de aplicaciones.
4. Seleccione una o varias reglas.
5. Actualice o elimine las reglas seleccionadas.
Puede crear una copia de seguridad de directivas, incluidas las reglas y las clasificaciones, de un servidor de McAfee ePO y
restaurarlas en un servidor de McAfee ePO.
Asegúrese de que se haya añadido una clave de licencia antes de restaurar el archivo. Si restaura el archivo sin una licencia,
todas las reglas se deshabilitarán y deberá habilitarlas antes de aplicar la directiva.
En el caso de McAfee DLP Discover, debe reasignar los servidores Discover a los análisis antes de aplicar la directiva.
Procedimiento
1. En McAfee ePO, seleccione Protección de datos → Ajustes de DLP → Copia de seguridad y restauración.
2. Introduzca una contraseña de cifrado para el archivo de copia de seguridad.
3. Haga clic en Crear copia de seguridad a archivo y guarde el archivo en un lugar como una unidad USB o una carpeta
compartida.
4. En otra cuenta de McAfee ePO, seleccione Protección de datos → Ajustes de DLP → Copia de seguridad y restauración.
5. Introduzca la contraseña para descifrar el archivo.
6. Haga clic en Restaurar desde archivo y seleccione el archivo guardado anteriormente.
Utilice esta página para realizar una copia de seguridad de la configuración de McAfee DLP o restaurar la configuración de un
archivo guardado.
Definiciones de las opciones
Mueva, añada o elimine las columnas que se muestran para las reglas o los conjuntos de reglas.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. Haga clic en la pestaña Conjuntos de reglas.
En McAfee DLP Endpoint, las definiciones de justificación empresariales definen los parámetros de la acción preventiva de la
justificación en las reglas.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. Haga clic en la pestaña Definiciones y seleccione Notificación → Justificación.
3. Seleccione Acciones → Nuevo.
4. Escriba un nombre exclusivo y, si quiere, una descripción.
5. Para crear definiciones de justificación en más de un idioma, seleccione Acciones de configuración regional → Nueva
configuración regional. Para cada configuración regional requerida, seleccione una configuración regional de la lista
desplegable.
Las configuraciones regionales seleccionadas se añadirán a la lista.
6. Para cada configuración regional, haga lo siguiente:
a. En el panel de la izquierda, seleccione la configuración regional que quiera editar. Introduzca texto en los cuadros
de texto y seleccione las casillas según proceda.
Mostrar cadenas de coincidencia proporciona un vínculo en la ventana emergente para mostrar el contenido
correspondiente destacado. Más información proporciona un vínculo a una página de Intranet o un documento
para obtener información.
Note
Al introducir una definición de configuración regional, las casillas y las acciones no están disponibles. Solo puede
introducir el título, la descripción general y las etiquetas del botón. En Opciones de justificación, puede sustituir
las definiciones predeterminadas por la versión de configuración regional mediante la característica Editar de la
columna Acciones.
b. Introduzca una Descripción general de la justificación y, si quiere, el Título del cuadro de diálogo.
El resumen es una instrucción general para el usuario, por ejemplo: Esta acción requiere una justificación empresarial.
La entrada máxima es de 500 caracteres.
c. Introduzca texto para las etiquetas de los botones y seleccione las acciones de los botones. Seleccione la casilla
Ocultar botón para crear una definición de dos botones.
Las acciones de botón deben coincidir con las acciones de prevención disponibles para el tipo de regla que usa la
definición. Por ejemplo, las reglas de protección de recurso compartido de red solo pueden tener Ninguna acción o
Solicitud de justificación para evitar acciones. Si selecciona Bloquear para una de las acciones de botón e intenta
usar la definición en una definición de regla de protección de recurso compartido de red, aparecerá un mensaje de
error.
d. Introduzca texto en el cuadro de texto y haga clic en Agregar para añadirlo a la lista de Opciones de justificación.
Seleccione la casilla Mostrar opciones de justificación si quiere que el usuario final vea la lista.
Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que se desencadenara la
ventana emergente.
7. Cuando se hayan completado todas las configuraciones regionales, haga clic en Guardar.
Con McAfee DLP Endpoint, las notificaciones de usuario aparecen en ventanas emergentes o en la consola del usuario final
cuando las acciones de usuario infringen las directivas.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. Haga clic en la pestaña Definiciones y seleccione Notificación → Notificación de usuario.
3. Seleccione Acciones → Nuevo.
4. Escriba un nombre exclusivo y, de forma opcional, una descripción. Seleccione el tamaño y la posición del cuadro de
diálogo.
5. Para crear definiciones de notificación de usuario en más de un idioma, seleccione Acciones de configuración regional
→ Nueva configuración regional. Para cada configuración regional requerida, seleccione una configuración regional de
la lista desplegable.
Las configuraciones regionales seleccionadas se añadirán a la lista.
6. Para cada configuración regional, haga lo siguiente:
a. En el panel de la izquierda, seleccione la configuración regional que quiera editar.
Note
Seleccione la casilla Configuración regional predeterminada para establecer cualquier configuración regional
como predeterminada.
c. (Opcional) Seleccione la casilla Mostrar vínculo a más información e introduzca una dirección URL para
proporcionar información más detallada.
Note
7. Cuando se hayan completado todas las configuraciones regionales, haga clic en Guardar.
Procedimiento
1. Haga clic en Menú → Directiva → Catálogo de directivas, seleccione la categoría Directiva de DLP y haga clic en Nueva
directiva.
2. Seleccione la directiva que quiera duplicar, escriba un nombre para la nueva directiva y haga clic en Aceptar.
La directiva aparecerá en el Catálogo de directivas.
3. Seleccione el nombre de la nueva directiva para abrir el asistente Configuración de directivas.
4. Edite la configuración de la directiva y haga clic en Guardar.
Antes de empezar
Debe crear y activar un conjunto de reglas para la directiva. Para obtener información acerca de la activación de un conjunto de
reglas, consulte Asignar conjuntos de reglas a las directivas.
Procedimiento
1. En McAfee ePO, haga clic en Menú → Sistemas → Árbol de sistemas → Directivas asignadas y, a continuación, seleccione
un grupo del Árbol de sistemas.
2. Seleccione el producto Data Loss Prevention <versión>.
Todas las directivas asignadas, organizadas por producto, aparecerán en el panel de detalles.
3. Haga clic en el vínculo Editar asignación correspondiente a la categoría Directiva de DLP.
4. Seleccione Interrumpir la herencia y asignar la directiva y los ajustes a partir de este punto, cambie la directiva
asignada por la directiva que ha creado y haga clic en Guardar.
Note
También puede hacer clic en Activar agentes para insertar la directiva en los appliances de McAfee DLP de forma
inmediata.
Resultados
Antes de empezar
• Cree y active un conjunto de reglas para la directiva. Para obtener información sobre cómo activar conjuntos de reglas,
consulte Asignar conjuntos de reglas a las directivas.
• Configure una directiva de appliance asignada a un conjunto de reglas.
Procedimiento
1. En McAfee ePO, haga clic en Menú → Sistemas → Árbol de sistemas → Directivas y, a continuación, seleccione un grupo
en el Árbol de sistemas.
2. Seleccione el producto Gestión de appliances de DLP.
Todas las directivas asignadas, organizadas por producto, aparecerán en el panel de detalles.
3. Haga clic en el vínculo Editar asignación correspondiente a la categoría Directiva de DLP.
4. Seleccione Interrumpir la herencia y asignar la directiva y los ajustes a partir de este punto y cambie la directiva
asignada por la directiva que ha creado.
Note
También puede hacer clic en Activar agentes para insertar la directiva en los appliances de McAfee DLP de forma
inmediata.
Resultados
Puede incluir los nombres de archivo en la lista de ignorados como una excepción a una regla de bloqueo de almacenamiento
extraíble.
Las reglas de dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles se usan para impedir que las
aplicaciones actúen en los dispositivos extraíbles. Los nombres de archivo excluidos se definen como procesos que no están
bloqueados. En este ejemplo, se bloquean los dispositivos de almacenamiento extraíbles de SanDisk, pero se permite que el
software antivirus los analice para eliminar los archivos infectados.
Note
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. En la pestaña Definiciones, localice la plantilla de dispositivo integrada Todos los dispositivos de almacenamiento
extraíbles de SanDisk (Windows) y haga clic en Duplicar.
La plantilla utiliza el ID de proveedor de SanDisk 0781.
Tip
Duplique las plantillas integradas para personalizar una plantilla. Por ejemplo, puede añadir otros ID de proveedor a la
plantilla de SanDisk duplicada para añadir otras marcas de dispositivos extraíbles.
A diferencia de las reglas de dispositivos Plug and Play, las reglas de protección de dispositivos de almacenamiento extraíbles
tienen una opción de solo lectura.
Al establecer los dispositivos extraíbles como de solo lectura, puede permitir a los usuarios utilizar sus dispositivos personales
como reproductores de MP3 y evitar a la vez su uso como dispositivos de almacenamiento.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. En la pestaña Definiciones, en la página Plantillas de dispositivos, cree un elemento de plantilla de dispositivo de
almacenamiento extraíble.
Note
Las plantillas de dispositivos de almacenamiento extraíbles se deben categorizar como plantillas de Windows o Mac.
Comience por duplicar una de las plantillas integradas para Windows o Mac y personalícela. El Tipo de bus puede
incluir USB, Bluetooth y cualquier otro tipo de bus que se quiera usar. Identifique los dispositivos con ID de proveedor o
nombres de dispositivo.
Caso práctico: Bloquear y cargar un iPhone con una regla de dispositivos Plug and Play
Se puede bloquear el uso de los iPhone de Apple como dispositivos de almacenamiento mientras se cargan desde el equipo.
Este caso práctico crea una regla que impide que un usuario utilice el iPhone como dispositivo de almacenamiento masivo. Se
usa una regla de protección de dispositivos Plug and Play porque permite que los iPhones se carguen independientemente de la
forma en que se especifique la regla. Esta característica no es compatible con otros smartphones ni otros dispositivos móviles de
Apple. No impide que un iPhone se cargue desde el equipo.
Para definir una regla de dispositivos Plug and Play para dispositivos específicos, cree una definición de dispositivos con el
proveedor y los códigos de ID de producto (ID prov. o PID). Puede encontrar esta información en la ventana Administrador de
dispositivos cuando el dispositivo esté enchufado. Como este ejemplo solo requiere un ID prov., puede usar la definición de
dispositivos incorporada Todos los dispositivos de Apple en lugar de buscar la información.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. En la pestaña Conjuntos de reglas, seleccione un conjunto de reglas (o cree uno). Haga clic en la pestaña Control de
dispositivos y cree una regla de dispositivos Plug and Play. Uso de la definición de dispositivos incorporada Todos los
dispositivos de Apple como la definición (es uno de (O)) incluida.
3. En la pestaña Reacción, establezca el valor de Acción en Bloquear.
4. Haga clic en Guardar y, a continuación, en Cerrar.
Las reglas de protección de acceso a archivos de aplicaciones se pueden usar para impedir el uso de grabadores de CD y DVD
para copiar información clasificada.
Antes de empezar
Cree una clasificación para identificar el contenido clasificado. Use parámetros que sean relevantes para su entorno: palabra
clave, patrón de texto, información de archivos, etc.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. En la pestaña Conjuntos de reglas, seleccione un conjunto de reglas actual o Acciones → Nuevo conjunto de reglas y
establezca un conjunto de reglas.
3. En la pestaña Protección de datos, seleccione Acciones → Nueva regla → Protección de acceso a archivos de
aplicaciones.
4. (Opcional) Introduzca un nombre en el campo Nombre de la regla (obligatorio). Seleccione las opciones para los
campos Estado y Gravedad.
5. En la pestaña Condición, en el campo Clasificación, seleccione la clasificación que ha creado para su contenido de
carácter confidencial.
6. En el campo Usuario final, seleccione grupos de usuarios (opcional).
La adición de usuarios o grupos a la regla limita la regla a usuarios específicos.
7. En el campo Aplicaciones, seleccione Aplicación de grabación de medios [integrada] en la lista de definiciones de
aplicaciones disponibles.
Puede crear su propia definición de grabador de medios mediante la edición de la definición integrada. La edición de una
definición integrada crea automáticamente una copia de la definición original.
8. (Opcional) En la pestaña Excepciones, cree excepciones a la regla.
Las definiciones de excepciones pueden incluir cualquier campo que se encuentre en una definición de condición. Es
posible definir varias excepciones para su uso en situaciones diferentes. Un ejemplo es definir los "usuarios con privilegios"
que están exentos de la regla.
9. En la pestaña Reacción, establezca el valor de Acción en Bloquear. Seleccione una Notificación de usuario (opcional).
Haga clic en Guardar y en Cerrar.
También puede cambiar el informe de incidentes predeterminado y la acción de prevención cuando el equipo no esté
conectado a la red.
10. En la pestaña Asignación de directivas, asigne el conjunto de reglas a una directiva o a varias:
a. Seleccione Acciones → Asignar un conjunto de reglas a las directivas.
b. Seleccione el conjunto de reglas apropiado en la lista desplegable.
c. Seleccione la directiva o las directivas a las que asignarla.
11. Seleccione Acciones → Aplicar directivas seleccionadas. Seleccione las directivas que quiera aplicar a la base de datos
de McAfee DLP Endpoint y haga clic en Aceptar.
Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se
envíen a un dominio especificado
Los mensajes salientes se bloquean si contienen la palabra Confidencial, a menos que el destinatario esté exento de la regla.
Comportamiento esperado
Procedimiento
1. Cree una definición de lista de direcciones de correo electrónico para un dominio que esté exento de la regla.
a. En la sección Protección de datos de McAfee ePO, seleccione Gestor de directivas de DLP y haga clic en
Definiciones.
b. Seleccione la definición Lista de direcciones de correo electrónico y cree otra copia de El dominio de correo
electrónico de mi organización integrado.
c. Seleccione la definición de lista de direcciones de correo electrónico que ha creado y haga clic en Editar.
d. En Operador, seleccione El nombre de dominio es y defina el valor como ejemplo.com.
e. Haga clic en Guardar.
2. Cree un conjunto de reglas con una regla de Protección de correo electrónico.
a. Haga clic en Conjuntos de reglas y seleccione Acciones → Nuevo conjunto de reglas.
b. Asigne al conjunto de reglas el nombre Bloquear si aparece "Confidencial" en el correo electrónico.
c. Cree una copia de la clasificación Confidencial integrada.
Aparecerá una copia editable de la clasificación.
d. Haga clic en Acciones → Nueva regla → Regla de protección de correo electrónico.
e. Asigne a la nueva regla el nombre Bloquear si aparece "Confidencial" y habilítela.
f. Implemente la regla en McAfee DLP Endpoint for Windows.
g. Seleccione la clasificación que ha creado y añádala a la regla.
h. Establezca la opción Destinatario en cualquier destinatario (TODOS).
Mantenga los demás ajustes de la pestaña Condición con los ajustes predeterminados.
3. Agregue excepciones a la regla.
a. Haga clic en Excepciones y, a continuación, seleccione Acciones → Agregar excepción de regla.
Los mensajes de correo electrónico salientes se bloquean si contienen la palabra Confidencial. El mensaje de correo electrónico
no se envía al destinatario desde el host inteligente. El correo electrónico original se envía de vuelta al remitente como datos
adjuntos en un mensaje de notificación. Puede seleccionar una notificación de usuario predefinida o personalizarla. Además, en
la notificación se adjunta información adicional sobre el correo electrónico bloqueado en formato de archivo HTML.
Procedimiento
1. Cree un conjunto de reglas con una regla de Protección de correo electrónico.
a. En McAfee ePO, seleccione Protección de datos → Gestor de directivas de DLP.
b. Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones → Nuevo conjunto de reglas.
c. Asigne el nombre Bloquear correo electrónico y devolver al remitente al conjunto de reglas.
d. Cree una copia duplicada de la clasificación Confidencial integrada.
Aparecerá una copia editable de la clasificación.
e. Haga clic en Acciones → Nueva regla → Regla de protección de correo electrónico.
f. Asigne el nombre Devolver correo electrónico a la nueva regla y habilítela.
g. Implemente la regla en DLP Prevent.
h. Seleccione la clasificación que ha creado y añádala a la regla.
Mantenga los demás ajustes de la pestaña Condición con los ajustes predeterminados.
2. Configure la reacción a los mensajes que contengan la palabra Confidencial.
a. Haga clic en Reacción.
b. En DLP Prevent, seleccione Acciones → Bloquear y devuelva el correo electrónico al remitente.
c. Seleccione la notificación que debe enviarse en Notificación de usuario.
3. (Opcional) Para informar de un incidente relacionado con el mensaje de correo electrónico devuelto, seleccione la
casilla Notificar incidente. Para guardar la prueba, seleccione la casilla Almacenar el correo electrónico original como
prueba.
4. Guarde y aplique la directiva.
5. Establezca la dirección de correo electrónico del remitente para los mensajes de correo electrónico rebotados.
a. Abra el Catálogo de directivas.
b. Seleccione el producto Gestión de appliances de DLP, seleccione la categoría Ajustes de correo electrónico de
McAfee DLP Prevent y abra la directiva que desee editar.
c. Especifique la dirección de correo electrónico del remitente en el campo Remitente de mensajes de rebote. Debe
ser una dirección de correo electrónico genérica.
d. Haga clic en Guardar.
Caso práctico: Permitir que un grupo de usuarios específico envíe información de crédito
Permita a las personas del grupo de usuarios de recursos humanos enviar mensajes que contengan información personal de
crédito, obteniendo la información a través de Active Directory.
Antes de empezar
Registre un servidor de Active Directory con McAfee ePO. Utilice las funciones de Servidores registrados en McAfee ePO para
añadir detalles del servidor.
1. (Opcional solo para McAfee DLP Prevent) Seleccione un servidor LDAP del que obtener el grupo de usuarios.
2. Cree una clasificación de la información personal de crédito.
3. Cree un conjunto de reglas y una regla que actúe sobre la nueva clasificación.
4. Defina el grupo de usuarios de recursos humanos a los que no se les aplica la regla.
5. Bloquee mensajes que contengan información personal de crédito.
6. Aplique la directiva.
Tip
Para asegurarse de que sus reglas identifiquen posibles incidentes de pérdida de datos con el mínimo de falsos positivos,
cree sus reglas con el ajuste Sin acción. Supervise el Gestor de incidentes de DLP hasta que esté seguro de que la regla
identifica correctamente los incidentes y, a continuación, cambie la Acción a Bloquear.
Procedimiento
1. Seleccione el servidor LDAP del que desea obtener el grupo de usuarios.
a. En McAfee ePO, abra el Catálogo de directivas.
b. Seleccione la directiva del Servidor de McAfee DLP Prevent.
c. Abra la categoría Usuarios y grupos y la directiva que desee editar.
d. Seleccione los servidores de Active Directory que desee utilizar.
e. Haga clic en Guardar.
2. En el menú de McAfee ePO, seleccione Clasificación y cree una clasificación PCI duplicada.
3. Cree el conjunto de reglas y las excepciones.
a. Abra el Gestor de directivas de DLP.
b. En Conjuntos de reglas, cree un conjunto de reglas con el nombre Bloquear PCI para DLP Prevent y Endpoint.
c. Abra el conjunto de reglas creado, seleccione Acción → Nueva regla → Protección de correo electrónico y escriba
un nombre para la regla.
d. En Implementar en, seleccione DLP Endpoint for Windows y DLP Prevent.
e. En Clasificación de, seleccione la clasificación que ha creado.
f. Deje los campos Remitente, Sobre de correo electrónico y Destinatario con los ajustes predeterminados.
4. Especifique el grupo de usuarios que desee excluir de la regla.
a. Seleccione Excepciones, haga clic en Acciones → Añadir excepción de regla y asigne el nombre Excepción del grupo
de recursos humanos.
Note
Si desea probar la regla, puede mantener la Acción como Sin acción hasta que esté seguro de que se
desencadena de la forma esperada.
Note
Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destino
Cree clasificaciones que permitan que los datos adjuntos NEED-TO-SHARE se envíen a los empleados de Estados Unidos,
Alemania e Israel.
Antes de empezar
1. Utilice las funciones de Servidores registrados en McAfee ePO para añadir detalles de los servidores LDAP. Para obtener
más información sobre el uso de servidores registrados, consulte la Guía del producto de McAfee ePO.
2. Utilice la función Ajustes de LDAP en la categoría de directiva Usuarios y grupos para enviar la información de grupo al
appliance de McAfee DLP Prevent.
Las clasificaciones de ejemplo de la tabla muestran cómo se comportan las clasificaciones con distintos destinatarios y
desencadenadores de clasificación.
Comportamiento esperado
Procedimiento
1. Cree una definición de lista de direcciones de correo electrónico para los dominios que estén exentos de la regla.
a. En la sección Protección de datos de McAfee ePO, seleccione Gestor de directivas de DLP y haga clic en
Definiciones.
b. Seleccione la definición Lista de direcciones de correo electrónico y cree otra copia de El dominio de correo
electrónico de mi organización integrado.
c. Seleccione la definición de lista de direcciones de correo electrónico que ha creado y haga clic en Editar.
d. En Operador, seleccione El nombre de dominio es igual a y establezca el valor ejemplo1.com.
e. Cree una entrada para ejemplo2.com.
f. Haga clic en Guardar.
g. Repita estos pasos para crear una definición para gov.il.
h. Vuelva a repetir los pasos para crear una definición para gov.us.
2. Cree un conjunto de reglas que incluya una regla de Protección de correo electrónico.
a. Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones → Nuevo conjunto de reglas.
b. Asigne el nombre Permitir correo electrónico NEED-TO-SHARE a la dirección de correo electrónico de Israel y Estados Unidos al
conjunto de reglas.
3. Cree una regla y añada los criterios de clasificación NEED-TO-SHARE.
a. Haga clic en Acciones → Nueva regla → Regla de protección de correo electrónico.
b. Asigne el nombre NEED-TO-SHARE a la regla, habilítela e impleméntela en DLP Endpoint for Windows y DLP Prevent.
c. Configure Clasificación de como uno de los adjuntos (*).
d. Seleccione contiene uno de (O) y los criterios de clasificación NEED-TO-SHARE.
e. Establezca el Destinatario en cualquier destinatario (TODOS).
f. Mantenga los demás ajustes de la pestaña Condición con los ajustes predeterminados.
4. Añada excepciones a la regla y habilite cada excepción.
• Excepción 1
Configure Clasificación de como adjunto coincidente.
Seleccione contiene uno de (O) y los criterios de clasificación NEED-TO-SHARE.
Configure Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y seleccione
la definición de dirección de correo electrónico que ha creado y que incluye ejemplo.com y ejemplo2.com.
• Excepción 2
Configure Clasificación de como adjunto coincidente.
Seleccione contiene todos (AND), así como los criterios de clasificación NEED-TO-SHARE e .il (Israel).
Establezca Destinatario en el destinatario coincidente pertenece a uno de los grupos (O) y seleccione
gov.il.
• Excepción 3
Configure Clasificación de como adjunto coincidente.
Seleccione contiene todos (AND), así como los criterios de clasificación NEED-TO-SHARE y .us (Estados
Unidos).
Establezca Destinatario en el destinatario coincidente pertenece a uno de los grupos (O) y seleccione
gov.us.
Puede añadir valores de encabezado personalizados a un mensaje de correo electrónico. McAfee DLP Prevent le permite
añadir tres encabezados personalizados integrados y un encabezado personalizado adicional con las reacciones de regla básicas
cuando se infringe una directiva. Los encabezados personalizados pueden informar del número de reglas y la calificación
acumulativa de todas las reglas que han infringido una directiva o de cualquier otro valor de encabezado personalizado en el
mensaje de correo electrónico entregado.
Antes de empezar
Procedimiento
1. Cree una definición de encabezados personalizados:
a. En McAfee ePO, abra Protección de datos → Gestor de directivas de DLP.
b. Seleccione Definiciones y, en la categoría Otros, haga clic en Encabezado personalizado.
c. Haga clic en Acciones → Nuevo elemento.
d. En la página Nuevos detalles del encabezado personalizado, introduzca el nombre del encabezado personalizado
y el valor de encabezado.
El nombre de encabezado personalizado y el valor deben introducirse mediante valores ASCII y no deben contener
espacios ni dos puntos (:). La prioridad del encabezado personalizado aparece en orden descendente. Haga clic en la
flecha hacia arriba y hacia abajo para cambiar la prioridad.
e. Haga clic en Guardar.
2. Cree un conjunto de reglas o modifique un conjunto de reglas existente:
• Haga clic en Acciones → Nuevo conjunto de reglas e introduzca los detalles para crear el conjunto de reglas. Haga
clic en el conjunto de reglas. O BIEN
• Haga clic en el conjunto de reglas existente para modificar el conjunto de reglas.
Se abrirá la página Conjunto de reglas de DLP.
3. Cree una regla o modifique una regla existente:
• En la página Conjunto de reglas de DLP → Protección de datos, haga clic en Acciones → Nueva regla → Protección
de correo electrónico para crear una regla. O BIEN
• Haga clic en la regla existente para modificarla.
4. Añada encabezados personalizados a una reacción de regla:
a. En la página de reglas Protección de correo electrónico, introduzca los detalles de la regla, habilite o deshabilite la
regla y establezca la gravedad de la regla.
b. Defina las condiciones y las excepciones para la regla.
c. Seleccione la pestaña Reacción.
d. En la sección McAfee DLP Prevent, establezca la Acción en Sin acción o Añadir encabezado X-RCIS Action.
e. (Opcional) Configure el encabezado personalizado mediante el campo Añadir encabezado personalizado. Haga
clic en el menú de tres puntos para seleccionar el encabezado personalizado del conjunto de definiciones
de encabezado personalizado que ha creado en el paso 1. Puede añadir un encabezado personalizado y
los encabezados personalizados integrados para una regla. Los encabezados personalizados integrados están
habilitados de manera predeterminada.
f. Seleccione Notificar incidente.
g. Guarde la regla y haga clic en Cerrar.
5. Asigne el conjunto de reglas a una directiva y aplíquela para que los cambios sean efectivos inmediatamente:
a. En el Gestor de directivas de DLP, seleccione Asignación de directivas.
Note
Una organización quiere bloquear todos los dispositivos extraíbles de la empresa y mantener a la vez una lista de dispositivos
específicos de confianza. Además, es necesario bloquear contenido específico en todos los dispositivos, incluidos los de
confianza.
Procedimiento
1. Bloquee todos los dispositivos extraíbles de la organización con la regla para dispositivos de almacenamiento
extraíbles.
a. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
b. En la pestaña Conjuntos de reglas, seleccione o cree un conjunto de reglas. En el caso de los nuevos conjuntos de
reglas, asegúrese de asignarles una directiva.
c. En la pestaña Control de dispositivos, seleccione Acciones → Nueva regla → Regla para dispositivos de
almacenamiento extraíbles.
d. Introduzca un nombre para la regla y seleccione Estado → Habilitado.
e. En la sección Condiciones, seleccione el valor integrado de Dispositivos de almacenamiento extraíbles (Windows)
en el campo Almacenamiento extraíble.
f. En la ficha Reacción, seleccione Acción → Bloqueada. Seleccione la opción Notificar incidente.
g. En la lista Notificación de usuario, seleccione Notificación de usuario predeterminada de administración de
dispositivos y haga clic en Aceptar.
h. Haga clic en Guardar y, a continuación, en Cerrar.
2. Identifique los dispositivos de confianza y cree una plantilla de dispositivo.
a. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de incidentes de DLP y haga clic en la lista de
incidentes.
b. En el panel Filtrar por, en Tipo de incidente, seleccione Enchufe de dispositivo.
c. Haga clic en el ID de incidente de un dispositivo que quiera establecer como de confianza para verificar
las opciones Detalles de endpoint e Información adicional del dispositivo. Desde aquí puede obtener detalles
específicos sobre el dispositivo, tales como el número de serie.
d. Haga clic en Aceptar para volver a la lista de incidentes.
e. Seleccione la casilla situada junto al incidente y elija Crear plantilla de dispositivo → Dispositivo de
almacenamiento extraíble.
f. Introduzca un nombre para la plantilla de dispositivo y haga clic en Guardar. Repita los pasos e y f para cada uno
de los dispositivos de confianza.
Caso práctico: Impedir que los datos se filtren en la web desde aplicaciones basadas en la nube
Su organización quiere evitar que se filtre contenido en la web a través de servicios en la nube, tales como Dropbox y Google
Drive. El equipo de ventas necesita acceso a su carpeta compartida en Google Drive y derechos de copia.
Procedimiento
1. Bloquee los servicios de Dropbox y Google Drive con la regla de protección en la nube.
a. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
b. En la pestaña Conjuntos de reglas, seleccione o cree un conjunto de reglas. En el caso de los nuevos conjuntos de
reglas, debe asignar una directiva.
c. En la pestaña Protección de datos, seleccione Acciones → Nueva regla → Regla de protección en la nube.
d. Introduzca un nombre para la regla y seleccione Estado → Habilitado.
e. En la pestaña Condición, en el campo Clasificación, seleccione la clasificación que ha creado para su contenido de
carácter confidencial.
f. En el campo Servicios en la nube, seleccione Dropbox y Google Drive.
2. Especifique el grupo de usuarios y la carpeta que quiera excluir de la regla.
a. Seleccione Excepciones, haga clic en Acciones → Agregar excepción de regla y asígnele el nombre Ventas.
b. Establezca el valor Estado en Habilitado.
c. En Clasificación de, seleccione contiene cualquier dato (TODO).
d. En Usuario final, seleccione Pertenece a uno de los grupos de usuarios finales (O).
e. Seleccione Nuevo elemento y cree un grupo de usuarios finales llamado Equipo de ventas.
f. Haga clic en el botón para añadir un grupo, seleccione equipo de ventas y haga clic en Aceptar.
g. En Nombre de subcarpeta de nivel superior, seleccione Es igual a y escriba el nombre de la carpeta (por ejemplo,
Discurso de ventas).
3. Añada la URL de Google Drive cuyo contenido quiera bloquear para evitar filtraciones.
En su organización están interesados en bloquear los datos relacionados con el Reglamento general de protección de datos
(GDPR) para que no salgan de la organización.
McAfee DLP incluye un conjunto de reglas, reglas y clasificaciones integrados para los datos relacionados con el RGPD. Utilice
el conjunto de reglas integrado Bloquear RGPD y las clasificaciones de ejemplo para configurar las directivas de los datos
relacionados con el RGPD.
Procedimiento
1. Cree una copia duplicada del conjunto de reglas del RGPD.
a. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
b. En la pestaña Conjuntos de reglas, seleccione Mostrar ejemplos de conjunto de reglas integradas.
c. En la columna Acciones de [Ejemplo] Bloquear contenido relacionado con RGPD [integrado], haga clic en Duplicar.
El nuevo conjunto de reglas Bloquear contenido relacionado con RGPD se añadirá a la lista de conjuntos de reglas.
2. Edite el conjunto de reglas Bloquear contenido relacionado con RGPD.
a. En la pestaña Conjuntos de reglas, seleccione el conjunto de reglas Bloquear contenido relacionado con RGPD.
b. Edite la descripción según sea necesario.
c. En la pestaña Protección de datos, seleccione la regla Bloquear contenido relacionado con RGPD copiado en
medios de almacenamiento extraíbles.
d. En la pestaña Condición, deje o elimine las clasificaciones de PII para países específicos según sea necesario para
su organización.
e. Seleccione cada una de las reglas restantes para eliminar las clasificaciones de PII según sea necesario.
f. No modifique las reglas predeterminadas restantes.
g. Haga clic en Guardar.
3. Asigne el conjunto de reglas Bloquear contenido relacionado con RGPD a una directiva.
Device Control puede supervisar o bloquear los dispositivos conectados a equipos gestionados por la empresa, lo que le
permite supervisar y controlar su uso en lo que respecta a la distribución de información de carácter confidencial. Los
dispositivos como teléfonos inteligentes, dispositivos de almacenamiento extraíbles, dispositivos Bluetooth, reproductores de
MP3 o dispositivos Plug and Play se pueden controlar. McAfee Device Control es un componente de McAfee DLP Endpoint que
se vende como un producto independiente. Aunque se use el término Device Control en esta sección, todas las características
y descripciones también se aplican a McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac.
Grupo de dispositivos: una lista de plantillas de dispositivo agrupadas en una misma plantilla. Se utiliza para simplificar las
reglas a la vez que se mantiene el grado de detalle.
Propiedad del dispositivo: una propiedad, como tipo de bus, ID de proveedor o ID de producto, que se puede usar para definir
un dispositivo.
Regla de dispositivo: determina la acción que se debe llevar a cabo cuando un usuario intenta utilizar un dispositivo cuya
definición coincide con la de la directiva.. La regla se aplica al hardware y afecta tanto al controlador del dispositivo como al
sistema de archivos. Las reglas de dispositivos se pueden asignar a usuarios concretos.
Regla para dispositivos de almacenamiento extraíble: sirve para bloquear o supervisar un dispositivo, o bien configurarlo como
de solo lectura.
Regla de protección de almacenamiento extraíble: determina la acción que se debe llevar a cabo cuando un usuario intenta
copiar contenido etiquetado como de carácter confidencial en un dispositivo gestionado.
Clase de dispositivo*: recopilaciones de dispositivos que cuentan con características parecidas y que se pueden gestionar de un
modo similar. Las clases de dispositivo tienen el estado Gestionado, No gestionado o Excluido.
Dispositivo gestionado *: estado de una clase de dispositivo que indica que los dispositivos de dicha clase están gestionados
por Device Control.
Dispositivo no gestionado*: estado de una clase de dispositivo que indica que los dispositivos de dicha clase no están
gestionados por Device Control.
Dispositivo excluido*: estado de una clase de dispositivo que indica que Device Control no puede gestionar los dispositivos de
esa clase porque intentarlo puede afectar al equipo gestionado, al mantenimiento del sistema o a la eficiencia.
* Solo Windows
Las unidades USB son un método sencillo, barato y apenas rastreable a la hora de descargar grandes cantidades de datos.
A menudo, se consideran el "arma preferida" para las transferencias de datos no autorizadas. El software de Device Control
supervisa y controla las unidades USB y demás dispositivos externos, incluidos smartphones, dispositivos Bluetooth, dispositivos
Plug and Play, reproductores de audio y discos duros que no pertenecen al sistema. Device Control se ejecuta en la mayoría de
los sistemas operativos Microsoft Windows y macOS, incluidos los servidores. Para obtener más información, consulte la página
requisitos del sistema de esta guía.
• Clases de dispositivos: recopilaciones de dispositivos que cuentan con características parecidas y que se pueden
gestionar de un modo similar. Las clases de dispositivos se aplican solo a reglas y definiciones de dispositivo Plug
and Play, y no se pueden aplicar a los sistemas operativos macOS.
• Definiciones de dispositivos: identificación y agrupación de dispositivos en función de las propiedades que tienen en
común.
• Reglas de dispositivos: control del comportamiento de los dispositivos.
Una regla de dispositivos se compone de una lista de las definiciones de dispositivos incluidas o excluidas de la regla, y las
acciones realizadas cuando el uso del dispositivo activa la regla. Además, puede especificar los usuarios que se deben incluir en
la regla o excluir de ella. De forma opcional, pueden incluir una definición de aplicaciones para filtrar la regla conforme al origen
del contenido de carácter confidencial.
Note
No se pueden utilizar URL de navegadores web en McAfee DLP Endpoint for Mac.
Las clases de dispositivos asignan un nombre e identifican los dispositivos utilizados por el sistema. Cada definición de la
clase de dispositivos incluye un nombre, y uno o varios identificadores únicos globales (GUID). Por ejemplo, Intel® PRO/1000 PL
Network Connection y Dell wireless 1490 Dual Band WLAN Mini-Card son dos dispositivos que pertenecen a la clase de dispositivos
Adaptador de red.
Note
• Los dispositivos de tipo Gestionado son dispositivos Plug and Play específicos o dispositivos de almacenamiento
extraíbles gestionados por Device Control.
• Los dispositivos de tipo No gestionado son dispositivos que Device Control no gestiona en la configuración
predeterminada.
• Los dispositivos excluidos son dispositivos que Device Control no intenta controlar, tales como los procesadores o los
dispositivos de batería.
Para evitar un posible mal funcionamiento del sistema o del sistema operativo, no es posible editar las clases de dispositivo. Se
pueden duplicar y cambiar para agregar clases definidas por el usuario a la lista.
Tip
No añada una clase de dispositivo a la lista sin probar primero qué consecuencias puede tener. En el Catálogo de directivas,
use la pestaña Directiva de DLP → Clases de dispositivos → Ajustes para crear omisiones temporales de estados de clases
de dispositivos y de los ajustes del tipo de filtro.
Las omisiones se pueden utilizar para probar los cambios definidos por el usuario antes de crear una clase definitiva y para
solucionar problemas relacionados con Device Control.
Device Control utiliza definiciones de dispositivos y reglas de control de dispositivos Plug and Play para supervisar el
comportamiento de las clases de dispositivo gestionados y dispositivos concretos pertenecientes a una clase de dispositivo
gestionado. Por otra parte, las reglas para dispositivos de almacenamiento extraíbles no requieren una clase de dispositivo
gestionado. Esto se debe a que los dos tipos de reglas de dispositivos utilizan las clases de dispositivo de manera diferente:
• Las reglas para dispositivos Plug and Play se desencadenan en el momento en el que el dispositivo de hardware se
conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es necesario que la clase de
dispositivo sea gestionado para reconocerlo.
• Las reglas para dispositivos de almacenamiento extraíbles se desencadenan al montar un nuevo sistema de archivos.
Cuando ocurre esto, el cliente de Device Control asocia la letra de unidad con el dispositivo de hardware específico y
comprueba las propiedades del dispositivo. Puesto que la reacción es para una operación del sistema de archivos (es
decir, cuando el sistema de archivos está montado), no es necesario que la clase de dispositivo se gestione.
Las definiciones de clase de dispositivo requieren un nombre y uno o varios identificadores únicos globales (GUID).
Algunos dispositivos de hardware instalan su propia nueva clase de dispositivo. Si no existe una clase de dispositivo adecuada en
la lista predefinida o si no se crea automáticamente cuando se instala un nuevo hardware, puede crear una clase de dispositivo
en el Administrador de directivas de DLP. Para controlar el comportamiento de los dispositivos de hardware Plug and Play que
definen su propia clase de dispositivo, primero debe agregar una nueva clase de dispositivo al estado Gestionado en la lista
Clases de dispositivos.
Una clase de dispositivo está definida por dos propiedades: un nombre y un GUID. El nombre de un nuevo dispositivo se muestra
en el administrador de dispositivos, pero el GUID solo se muestra en el Registro de Windows y no existe una forma fácil de
obtenerlo. A fin de facilitar la recuperación de nuevos nombres y GUID de dispositivo, el cliente de Device Control informa de un
evento de Se ha encontrado una clase nueva de dispositivo en el Gestor de incidentes de DLP cuando se conecta al equipo host un
dispositivo de hardware que no pertenece a una clase de dispositivo reconocida.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de incidentes de DLP → Lista de incidentes.
2. Haga clic en Editar junto a la lista desplegable Filtro para editar los criterios de filtrado.
3. En la lista Propiedades disponibles (panel izquierdo), seleccione Tipo de incidente.
4. Compruebe que el valor de la lista desplegable Comparación es Es igual a.
5. En la lista desplegable Valores, seleccione Se ha encontrado una nueva clase de dispositivo.
6. Haga clic en Actualizar filtro.
La Lista de incidentes muestra las nuevas clases de dispositivo que se encuentran en todos los equipos endpoint.
7. Para ver el nombre y el GUID de un dispositivo específico, haga doble clic en el elemento para mostrar los detalles de
los incidentes.
Permite crear una clase de dispositivo si no existe una clase de dispositivo adecuada en la lista predefinida o si no se crea
automáticamente al instalar el hardware nuevo.
Antes de empezar
Obtenga el GUID del dispositivo antes de iniciar esta tarea.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Control de dispositivos → Clase de dispositivo.
3. Siga uno de estos procedimientos:
El rol de las plantillas de dispositivo es identificar y agrupar los dispositivos en función de las propiedades que tienen en común.
Algunas propiedades de los dispositivos se pueden aplicar a cualquier plantilla de dispositivo, mientras que otras son exclusivas
de uno o varios tipos de dispositivos.
Note
Las plantillas de dispositivos Plug and Play excluidos de la se añaden automáticamente a la lista de
excluidos en todas las reglas de control de dispositivos Plug and Play y se ocultan. Nunca serán dispositivos
gestionados, aunque la clase de dispositivo principal a la que pertenecen sea gestionada.
• McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac
Los dispositivos Plug and Play se añaden al equipo gestionado sin necesidad de realizar configuraciones ni
instalaciones manuales de DLL y controladores. Entre los dispositivos Plug and Play se incluyen la mayoría de los
dispositivos Microsoft Windows. En McAfee DLP Endpoint for Mac, solo son compatibles con USB.
Los dispositivos de almacenamiento extraíbles son dispositivos externos con un sistema de archivos que
aparecen en el equipo gestionado como unidades.
También puedes crear plantillas de grupos de dispositivos, que son conjuntos de plantillas de dispositivos definidas con
anterioridad. Los grupos de dispositivos deben especificar solo un sistema operativo, ya sea Microsoft Windows o macOS.
Las plantillas de dispositivos de almacenamiento extraíbles son más flexibles e incluyen propiedades adicionales relacionadas
con los dispositivos de almacenamiento extraíbles.
Tip
Utiliza las reglas y plantillas de dispositivos de almacenamiento extraíbles para controlar los dispositivos que se pueden
clasificar de cualquiera de las dos formas, como pueden ser los dispositivos de almacenamiento masivo USB.
Es posible añadir varios parámetros a una única plantilla de dispositivo. La lista de propiedades disponibles y los valores varían
según el tipo de dispositivo.
Se añaden varios parámetros a las plantillas de dispositivo como operador lógico O (valor predeterminado) o como operador
lógico Y. Siempre se agregan varios tipos de parámetros como operador lógico Y.
Las plantillas de dispositivos (definiciones) especifican las propiedades de un dispositivo para desencadenar la regla.
Las plantillas de dispositivo se pueden crear como se describe a continuación, mediante la importación desde un archivo CSV,
a partir de un incidente de conexión de dispositivo en el Administrador de incidentes de DLP o con un script que contenga
llamadas a API REST. El administrador que ejecute el script debe ser un usuario válido de McAfee ePO con permisos en los
Conjuntos de permisos de McAfee ePO para realizar las acciones invocadas por las API.
Tip
Cree definiciones de dispositivos Plug and Play excluidos para los dispositivos que no controlan de un modo claro la gestión,
lo que podría ocasionar que el sistema dejase de responder o crear otros problemas graves. No se aplican acciones en estos
dispositivos aunque se desencadene una regla.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Control de dispositivos → Plantillas de dispositivo.
3. Seleccione Acciones → Nuevo elemento y, a continuación, elija el tipo de definición.
4. Introduzca un Nombre único y, si lo desea, una Descripción.
5. (Solo para dispositivos Plug and Play y dispositivos de almacenamiento extraíbles) Seleccione la opción Se aplica a para
los dispositivos Microsoft Windows u OS X.
La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativo seleccionado.
6. Seleccione las propiedades para el dispositivo.
Note
Los grupos de dispositivos simplifican las reglas y mantienen el grado de detalle mediante la combinación de varias plantillas de
dispositivos en un solo grupo.
Los grupos de dispositivos se pueden crear tal y como se describe a continuación, o bien con un script que contenga
llamadas API REST. El administrador que ejecute el script debe ser un usuario válido de McAfee ePO con permisos en los
Conjuntos de permisos de McAfee ePO para realizar las acciones invocadas por las API.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel Plantillas de dispositivos, seleccione Acciones → Nuevo grupoy seleccione el tipo de grupo.
Se admiten tres tipos de grupos de dispositivos: Unidad de disco duro fija, Dispositivo Plug and Play o Dispositivo de
almacenamiento extraíble.
3. Escriba un Nombre único para el grupo y una Descripción opcional.
4. Seleccione la opción Se aplica a para dispositivos Microsoft Windows o macOS.
Este campo no está disponible para grupos de dispositivos de unidades de disco duro fijos.
5. Mediante las casillas, seleccione los elementos que quiera añadir al grupo.
Puede filtrar las listas de plantillas de dispositivos largas escribiendo en el cuadro de texto Elementos de filtrado y haga clic
en Ir.
6. Haga clic en Guardar.
Un dispositivo de almacenamiento extraíble es un dispositivo externo con un sistema de archivos que aparece en el equipo
gestionado como una unidad. Las plantillas de dispositivos de almacenamiento son más flexibles que las plantillas de
dispositivos Plug and Play e incluyen propiedades adicionales en función de los dispositivos.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Control de dispositivos → Plantillas de dispositivos y seleccione Acciones →
Nuevo elemento → Plantilla de dispositivo de almacenamiento extraíble.
3. Introduzca un Nombre único y una Descripción opcional.
4. Seleccione la opción Se aplica a para dispositivos Microsoft Windows o macOS.
La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativo seleccionado.
5. Seleccione las propiedades para el dispositivo.
El objetivo de los dispositivos Plug and Play exlcuidos de la es tratar con aquellos dispositivos que no funcionan correctamente
con la gestión de dispositivos. Si no están exlcuidos de la , podrían provocar que el sistema deje de responder o causar otros
problemas graves. Las plantillas de dispositivos Plug and Play exluidos de la no se admiten en McAfee DLP Endpoint for Mac.
Los dispositivos Plug and Play excluidos de la se añaden automáticamente a las reglas de dispositivos Plug and Play y se ocultan.
Nunca se gestionan, incluso si la clase de dispositivo principal está gestionada.
Tip
Para evitar problemas de compatibilidad, añade los dispositivos que no admiten bien la gestión a la lista de dispositivos
excluidos de la .
Procedimiento
1. En McAfee ePO, selecciona Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, selecciona Control de dispositivos → Plantillas de dispositivos y, a continuación, elige
Acciones → Elemento nuevo → Plantilla de dispositivos Plug and Play excluidos.
3. Introduce un Nombre único y, si quieres, una Descripción.
4. Selecciona las propiedades para el dispositivo.
• Para añadir valores adicionales a la propiedad, haz clic en +. Los valores se añaden como operadores lógicos O de
forma predeterminada. Haz clic en el botón y/o para cambiarlo a Y.
• Para quitar propiedades, haz clic en -.
5. Haz clic en Guardar.
Puede crear excepciones para las reglas de dispositivos de almacenamiento Plug and Play y extraíbles en función de los números
de serie de los dispositivos y las identidades de usuario emparejados. Al vincular el dispositivo con el usuario con sesión iniciada,
se crea un nivel mayor de seguridad.
Antes de empezar
Obtenga los números de serie del dispositivo para los dispositivos que va a añadir a la definición.
Puede crear una definición de par de usuario y número de serie mediante la importación de la información en formato CSV.
También puede exportar las definiciones existentes en formato CSV.
Tip
Los archivos CSV de pares de usuario y número de serie usan varias columnas. Exporte una definición para comprender
cómo se rellenan las columnas antes de crear un archivo para la importación.
Note
Las definiciones de pares de usuario y número de serie no se admiten en McAfee DLP Endpoint for Mac.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Control de dispositivos → Número de serie y par de usuario final.
3. Select Actions → New Item.
4. Escriba un nombre exclusivo y, si quiere, una descripción.
5. Introduzca la información necesaria en los cuadros de texto situados en la parte inferior de la página y haga clic en
Añadir. Repita los pasos las veces necesarias para añadir pares de usuarios finales y números de serie adicionales.
Para Tipo de usuario → Todos, deje el campo Usuario final en blanco. Si especifica un usuario, use el formato
usuario@nombre.dominio.
6. Haga clic en Guardar.
Note
Las reglas de control de dispositivos SOLO se desencadenan cuando se conecta un dispositivo. La notificación enviada
(bloquear, solo lectura, informar de incidente) depende de la acción de la regla. Las acciones del usuario en un dispositivo
conectado no provocan que se registren más incidentes ni que se envíen más notificaciones.
Las reglas para dispositivos de almacenamiento extraíbles no requieren una clase de dispositivo gestionado debido a la
diferencia en la forma en que los dos tipos de reglas de dispositivo utilizan las clases de dispositivo:
• Las reglas para dispositivos Plug and Play se desencadenan en el momento en que el dispositivo de hardware se conecta
al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es necesario que la clase de dispositivo sea
gestionado para reconocerlo.
• Las reglas para dispositivos de almacenamiento extraíbles se desencadenan al montar un nuevo sistema de archivos.
Cuando se produce el montaje del sistema de archivos, el software de McAfee DLP Endpoint asocia la letra de unidad
con el dispositivo de hardware específico y verifica las propiedades del dispositivo. Puesto que la reacción es para una
operación del sistema de archivos, no una unidad de dispositivo, no es necesario que la clase de dispositivo se gestione.
Note
Las reglas para dispositivos tienen un parámetro Implementar en que aplica la regla a Windows, a macOS o a ambos. Las
plantillas de dispositivo utilizadas en las reglas para dispositivos tienen un parámetro Se aplica a que especifica Dispositivos
Windows o Dispositivos macOS. Al seleccionar las plantillas de dispositivo, el sistema operativo de la plantilla y la regla
deben coincidir. Los clientes de McAfee DLP Endpoint para ambos sistemas operativos ignoran las propiedades que no
se aplican al sistema en cuestión. Sin embargo, no se puede guardar una regla que, por ejemplo, se implemente solo en
Windows pero que contenga plantillas de dispositivo para macOS.
Un dispositivo Plug and Play es un dispositivo que puede agregarse al equipo gestionado sin necesidad de realizar
configuraciones ni instalaciones manuales de DLL o controladores.
Con el fin de que las reglas para dispositivos Plug and Play controlen los dispositivos de hardware de Microsoft Windows, las
clases de dispositivos especificadas en las plantillas de dispositivos que usa la regla deben estar configuradas con el estado
Gestionado.
Important
Las reglas para dispositivos tienen un parámetro Implementar en que aplica la regla a Windows, a macOS o a ambos. Las
plantillas de dispositivo utilizadas en las reglas para dispositivos tienen un parámetro Se aplica a que especifica Dispositivos
Windows o Dispositivos macOS. Al seleccionar las plantillas de dispositivo, el sistema operativo de la plantilla y la regla
deben coincidir. Los clientes de McAfee DLP Endpoint para ambos sistemas operativos ignoran las propiedades que no se
aplican a ese sistema, pero no se puede guardar una regla que, por ejemplo, se implementa solo en Windows pero contiene
plantillas del dispositivo macOS.
Las reglas de disco duro fijo incluyen una definición de unidad con una acción para bloquear o hacer de solo lectura, una
definición de usuario y la opción de notificar al usuario. No protegen el arranque ni la partición del sistema.
El software McAfee DLP Endpoint puede bloquear los dispositivos Citrix asignados a sesiones de escritorio compartidas.
Se pueden bloquear todas las unidades de disquetes, fijas, de CD, extraíbles y de red, así como las impresoras y el
redireccionamiento del portapapeles. Puede asignar la regla a usuarios concretos.
Las reglas de dispositivo de TrueCrypt son un subconjunto de reglas para dispositivos de almacenamiento extraíbles. Los
dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas para dispositivos TrueCrypt o con reglas de protección
de almacenamiento extraíble.
• Use una regla de dispositivos si quiere bloquear o supervisar un volumen TrueCrypt o hacerlo de solo lectura.
• Use una regla de protección si quiere una protección basada en el contenido para los volúmenes TrueCrypt.
Note
El software cliente de McAfee DLP Endpoint trata todos los montajes de TrueCrypt como almacenamiento extraíble, incluso
cuando la aplicación de TrueCrypt escribe en el disco local.
Siga estas reglas generales para crear los distintos tipos de reglas de dispositivos.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de directivas de DLP → Conjuntos de reglas.
2. Seleccione Acciones → Nuevo conjunto de reglas o edite un conjunto de reglas existente.
3. Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la pestaña Control de dispositivos.
4. Seleccione Acciones → Nueva regla y seleccione el tipo de regla que desee crear.
5. Introduzca un Nombre de regla único.
6. (Opcional) Cambie el estado y seleccione una gravedad.
7. (Únicamente para reglas de dispositivos Plug and Play y de almacenamiento extraíbles) Anule la selección de las
casillas de McAfee DLP Endpoint for Windows o McAfee DLP Endpoint for Mac OS X si la regla se aplica solo a uno de los
sistemas operativos.
8. En la ficha Condición, seleccione uno o varios elementos o grupos.
Algunas reglas de dispositivo le permiten asignar grupos de usuarios o un Nombre de proceso de forma opcional. Las
reglas de Citrix tienen recursos en lugar de elementos. Las reglas de TrueCrypt solo tienen grupos de usuarios opcionales.
Note
Cuando se guarda la regla, la plantilla de dispositivo utilizada para crear los elementos o grupos se valida con respecto
al sistema operativo seleccionado en el campo Implementar en. Si no coinciden, aparece un mensaje de error. Para
corregir el error, elimine las plantillas o cambie el sistema operativo seleccionado en Implementar en antes de guardar
la regla.
Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles impiden a los dispositivos de almacenamiento
extraíbles ejecutar las aplicaciones. Puede especificar los dispositivos incluidos y excluidos en la regla. Dado que debe permitirse
la ejecución de algunos ejecutables, como las aplicaciones de cifrado en los dispositivos cifrados, la regla incluye un parámetro
Nombre de archivo → no es ninguno de para excluir los archivos denominados de la regla de bloqueo.
Las reglas de acceso a archivos utilizan el tipo y la extensión de archivo verdaderos para determinar qué archivos se deben
bloquear. El tipo de archivo verdadero identifica el archivo por su tipo de datos registrados internamente, proporcionando
una identificación precisa incluso si se cambió la extensión. De forma predeterminada, la regla bloquea los archivos
comprimidos (.zip, .gz, .jar, .rar y .cab) y los ejecutables (.bat, .bin, .cgi, .com, .cmd, .dll, .exe, .class, .sys y .msi). Puede personalizar
las definiciones de extensiones de archivos para agregar cualquier tipo de archivo que precise.
Note
Las reglas de acceso a archivos también impiden que los archivos ejecutables se copien en dispositivos de almacenamiento
extraíbles, puesto que el controlador de filtros de archivo no puede diferenciar entre abrir y crear un ejecutable.
Note
Para obtener instrucciones sobre cómo habilitar la función de integración de Skyhigh Security Cloud y cómo configurar las
conexiones de servidor, consulte la Guía de instalación de McAfee DLP Endpoint 11.x.x.
Skyhigh Security Cloud es un bróker de seguridad de acceso a la nube (CASB) que puede detectar el comportamiento del
usuario y aplicar reglas de protección en la nube.
Puede aplicar directivas creadas en McAfee DLP a contenido de nube con Skyhigh Security Cloud de dos formas.
• Para implementar un comportamiento de clasificación consistente en las directivas locales y en la nube, aplique las
clasificaciones de McAfee DLP a directivas de Skyhigh Security Cloud
Tip
Se pueden aplicar las clasificaciones para proteger el contenido cargado en los servicios en la nube seleccionados,
tales como Box Sync o Microsoft OneDrive.
• Para implementar un comportamiento de regla de protección de correo electrónico consistente para el correo
electrónico local y en la nube, aplica la directiva de McAfee DLP directamente.
Tip
Las reglas de protección de correo electrónico que incluyen la opción Implementar en Skyhigh Security Cloud DLP
amplían el soporte a servicios de correo electrónico en la nube compatibles, tales como Microsoft Exchange Online.
Los incidentes comunicados en Skyhigh Security Cloud se pueden utilizar para el análisis y la generación de informes en el
Gestor de incidentes de DLP, lo que proporciona una vista combinada de los incidentes de DLP que se producen tanto en los
puntos de implementación locales como en la nube.
Utiliza el siguiente flujo de trabajo para añadir clasificaciones de McAfee DLP a reglas de protección de Skyhigh Security Cloud:
1. El administrador de McAfee DLP crea definiciones de clasificación y las agrega a una directiva.
2. El administrador de McAfee DLP aplica la directiva de McAfee DLP a Skyhigh Security Cloud.
3. El administrador de Skyhigh Security Cloud permite el uso de las clasificaciones de DLP en la IU de Skyhigh Security Cloud
y añade las clasificaciones de DLP a las reglas de protección de Skyhigh Security Cloud.
4. Las reglas de protección de Skyhigh Security Cloud se aplican al contenido de las cuentas de servicio en la nube protegidas
del cliente.
Utilice el siguiente flujo de trabajo para aplicar una directiva de Skyhigh Security Cloud a Exchange Online:
1. El administrador de McAfee DLP crea una directiva de DLP con reglas de correo electrónico y reacciones de Skyhigh
Security Cloud asociadas
2. El administrador de McAfee DLP aplica la directiva de McAfee DLP a Skyhigh Security Cloud.
3. El administrador de Skyhigh Security Cloud activa la directiva de DLP para Exchange Online dentro de la interfaz de
Skyhigh Security Cloud.
4. La directiva de DLP se aplica al contenido de Exchange Online en la cuenta de clientes conectados.
Para habilitar la copia de pruebas desde Skyhigh Security Cloud, ve a Ajustes de directiva → Enviar archivos de pruebas a
ePOHabilitar. McAfee DLP descarga los archivos de pruebas y los copia en el almacenamiento de pruebas de DLP local.
Archivos de prueba que se extraen de Skyhigh Security Cloud se puede abrir a través del Administrador de incidentes de
McAfee DLP, donde también se muestran resaltados los resultados.
Note
La copia de pruebas solo es compatible con los incidentes de directiva de clasificación de Skyhigh Security Cloud.
Para obtener información más detallada acerca de cómo se asigna cada propiedad de incidente de Skyhigh Security Cloud al
término equivalente en el Gestor de incidentes de DLP, consulta el artículo KB90962.
Cuando se produce una infracción de una directiva de McAfee DLP que utiliza clasificaciones sincronizadas de McAfee DLP,
se crea un incidente en MVISION Cloud. Además, este incidente se sincroniza de nuevo con McAfee ePO porque McAfee ePO
permite ver y administrar todos los incidentes de McAfee DLP (tanto locales como en la nube).
Limitaciones de directivas
• Si es necesario realizar más acciones de corrección manual en los incidentes generados (por ejemplo, liberar un archivo
de la cuarentena), estas acciones deben realizarse desde la interfaz de MVISION Cloud.
Insertar directivas de McAfee DLP en MVISION Cloud y aplicarlas a los mensajes de correo electrónico
El siguiente diagrama describe el proceso de alto nivel para insertar una directiva de McAfee DLP en MVISION Cloud.
1. Inserte la directiva de McAfee DLP en MVISION Cloud con el mandato Aplicar las directivas seleccionadas en el
Administrador de directivas de DLP.
2. MVISION Cloud carga la directiva.
3. Un usuario envía un correo electrónico desde la nube.
4. MVISION Cloud recibe el correo electrónico.
Cuando la integración de MVISION Cloud está activada, aparece una regla de directivas de MVISION Cloud DLP llamada
Clasificación de McAfee Classification.
Antes de empezar
Configure la integración con MVISION Cloud en la página Configuración de DLP → Servidor de MVision Cloud.
Procedimiento
1. Seleccione Directiva → Crear directiva o Editar directiva.
2. Introduzca un nombre y, si lo desea, una descripción.
3. En Reglas, seleccione Agregar regla → Clasificación de McAfee.
4. En el campo Nombre, introduzca el nombre de la clasificación importada que desea incluir en la directiva.
Resultados
Configuración de MVISION Cloud para utilizar las clasificaciones locales de McAfee DLP
En MVISION Cloud, puede optar por utilizar las clasificaciones locales de McAfee DLP, debido a las reglas de contenido de las
directivas de DLP de nube. Con esta opción, no es necesario volver a crear las reglas de contenido en el inquilino de MVISION
Cloud, sino simplemente sincronizar las clasificaciones ya creadas en McAfee ePO.
Procedimiento
1. Seleccione Directiva → Configuración de directiva.
2. Haga clic en DLP local y, a continuación, haga clic en McAfee DLP.
3. Haga clic en Activar en Usar directivas definidas en McAfee DLP local.
4. Haga clic en Seleccionar servicios y, a continuación, elija los servicios en la nube para los que desee utilizar las
clasificaciones de McAfee como reglas de contenido. Esto le ofrece la posibilidad de utilizar las reglas de clasificación de
McAfee para algunos servicios y reglas de MVISION Cloud para otros servicios.
Por ejemplo, es posible que desee utilizar las clasificaciones de McAfee para servicios de O365 tales como SharePoint y
OneDrive, pero utilizar reglas de MVISION Cloud nativas para Slack.
Important
No seleccione Exchange Online como uno de los servicios para utilizar las clasificaciones de McAfee DLP locales.
Una vez configurado MVISION Cloud para sincronizar las clasificaciones de McAfee DLP, puede crear directivas mediante esas
clasificaciones.
Procedimiento
1. Vete a Directiva → Directivas de DLP y seleccione Crear una nueva directiva de DLP desde el menú Acción.
2. Para Tipo, elija API.
3. Para Contenido, elija McAfee On Prem DLP.
Important
Cuando elija McAfee On Prem DLP para Regla de contenido, las reglas que utilice en directivas solo pueden ser reglas
de clasificación o reglas de colaboración.
Si busca solo coincidencias de contenido (por ejemplo, si busca documentos con 10 o más números de la seguridad social),
utilice las reglas de clasificación. Si busca coincidencias de contenido, combinadas con un contexto de nube (por ejemplo, si
busca documentos con 10 o más números de la seguridad social que se comparten con usuarios externos), utilice las reglas
de clasificación, combinadas con reglas de colaboración
4. Para Servicios, seleccione uno o varios de los servicios en la nube que ha seleccionado para utilizar en las
clasificaciones de DLP instaladas.
5. Defina el resto de la directiva, incluidas las acciones de respuesta, y haga clic en Guardar.
Note: La conectividad
también se comprueba al
hacer clic en Guardar.
El nombre de usuario
y la contraseña son los
del inquilino servidor de
MVISION Cloud McAfee ePO.
Proteger el correo electrónico: uso de directivas de McAfee DLP en McAfee MVISION Cloud
Incorporar DLP en el correo electrónico amplía el alcance de MVISION Cloud DLP a los mensajes enviados desde los buzones de
correo electrónico de su organización.
Cuando se utiliza Incorporar DLP en el correo electrónico, tienen lugar acciones de corrección de Exchange Online en tiempo real
de modo que los datos nunca abandonen la organización a través de los mensajes de correo electrónico de la herramienta.
Componentes
Los siguientes componentes son necesarios para esta función:
Los mensajes de error recibidos desde el gateway SMTP receptor se retransmiten de nuevo al gateway SMTP emisor de forma
que la puerta de enlace emisora pueda volver a poner en cola el mensaje para transportarlo.
Opciones de corrección
Como DLP en línea se realiza en tiempo real, requiere la integración MVISION Cloud Gateway basada en la API. MVISION Cloud
Gateway garantiza que los correos se bloqueen, eliminen o se pongan en cuarentena antes de que salgan de cualquier cuenta
de correo electrónico de un remitente. Por ejemplo, si se configura una directiva de DLP que elimine los mensajes de correo
electrónico que contengan palabras clave de carácter confidencial, cualquier mensaje que contenga una palabra especificada se
eliminará del buzón de correo de un remitente. Con MVISION Cloud Gateway puede elegir entre las siguientes opciones:
Bloquear: cuando se bloquea un mensaje de correo electrónico, permanece en la carpeta Enviados del remitente, pero el
destinatario no lo recibe. El administrador de MVISION Cloud no recibe una copia del correo electrónico de la carpeta En
cuarentena. El correo electrónico no sale de la cuenta del remitente.
Eliminar: cuando se elimina un mensaje de correo electrónico, este se quita de la carpeta Enviados del remitente y el
destinatario no lo recibe. El administrador de MVISION Cloud no recibe el correo electrónico en la carpeta En cuarentena.
Cuarentena: cuando se pone en cuarentena un mensaje de correo electrónico, se quita de la carpeta Enviados del remitente y
el destinatario no lo recibe. El administrador de MVISION Cloud recibe el correo electrónico en la carpeta En cuarentena. Los
mensajes de correo electrónico se ponen en cuarentena en tiempo real, API 8031.
Notificaciones: puede optar por notificar por correo electrónico a los usuarios y a los administradores de MVISION Cloud
cuando se bloquean, se eliminan o se ponen en cuarentena los mensajes.
Hay cinco pasos para activar DLP en línea: configurar Exchange Online en MVISION Cloud, enrutar el correo electrónico de
Office 365 a MVISION Cloud, enrutar el correo electrónico después del análisis, crear una regla de enrutamiento del correo en
Office 365 y probar el programa de instalación.
Antes de empezar
Para permitir el flujo correcto del tráfico de correo electrónico, configure un nuevo conector de Office 365. Puede obtener más
información acerca de los conectores en Configuración del flujo de correo mediante conectores de Office 365.
Procedimiento
1. Seleccione Configuración → Service Management (Administración del servicio).
2. Haga clic en Microsoft Exchange Online.
3. Si se ha configurado Exchange Online, haga clic en Predeterminado. De lo contrario, haga clic en Nueva instancia.
4. Haga clic en Instalación y, a continuación, haga clic en Configurar.
5. En la pantalla de requisitos de la empresa, seleccione Inline Only (Solo en línea). Haga clic en Siguiente.
6. Revise los requisitos previos, seleccione I have reviewed all prerequisites (He revisado todos los requisitos previos) y
haga clic en Siguiente.
7. Ahora agregue los dominios que se utilizan para McAfee DLP. Agregue los dominios de Microsoft Exchange Online y,
a continuación, el dominio de correo electrónico asociado a su despliegue de McAfee ePO. A continuación, escriba un
valor para Nombre de Host y Puerto. Asegúrese de que el dominio de servidor de correo electrónico de MVision Cloud
que se ha generado automáticamente es correcto. Haga clic en Siguiente.
8. Para Quarantine Settings (Configuración de cuarentena), puede escribir una dirección de correo electrónico opcional a
la que se envían los archivos en cuarentena. Para activar esta opción, seleccione Quarantine Emails and Attachments
(Correo electrónico y datos adjuntos en cuarentena) y, a continuación, escriba la dirección de correo electrónico. Haga
clic en Siguiente.
9. En la pantalla Resumen, asegúrese de que todas las opciones son correctas. Haga clic en Listo.
2. Creación de conectores de correo electrónico: enrutamiento del correo electrónico de Office 365
Cree dos conectores de correo. El primer conector envía correos electrónicos de Office 365 a MVISION Cloud para inspección y el
segundo acepta los mensajes de correo electrónico una vez han sido analizados por MVISION Cloud.
Antes de empezar
Cree un grupo de seguridad. A fin de limitar la repercusión que supone activar Inline DLP, es aconsejable configurar un grupo de
seguridad de Office 365 con direcciones de correo electrónico que pueda utilizar para pruebas. Una vez que esté satisfecho con
el rendimiento, puede agregar grupos de seguridad adicionales o usar Inline DLP con todas las direcciones de correo electrónico
de la organización. Véase Administración de grupos de seguridad con el correo activado para obtener instrucciones.
Si no está familiarizado con la configuración de los conectores de Office 365, puede encontrar información aquí.
Procedimiento
1. Inicie sesión en Office 365 como administrador global y vaya hasta el centro de Administración de Exchange.
2. Seleccione Mail flow (Flujo de correo) y, a continuación, Conectores.
3. Agregue un conector. Siga las instrucciones que encontrará aquí: Configuración de los conectores para enrutar el
correo entre Office 365 y su propio servidor de correo electrónico. Asegúrese de definir las opciones siguientes:
a. Nombre del nuevo conector Office 365 para correo electrónico MVision Cloud DLP.
b. Asegúrese de seleccionar Only when I have a transport rule set up that redirects messages to this connector
(Solo cuando tenga un conjunto de reglas de transporte que redirija los mensajes a este conector) al configurar el
conector nuevo.
c. Asegúrese de seleccionarUsar siempre TLS y Cualquier certificado digital, incluso el autofirmado, cuando se
pregunte cómo conectar Office 365 con el servidor de correo electrónico de su partner.
3. Creación de conectores de correo electrónico: enrutamiento del correo electrónico después del
análisis
Procedimiento
1. Vuelva a Mail flow (Flujo de correo) y, a continuación, a Conectores.
2. Agregue un nuevo conector.
3. En Select your mail flow scenario (Seleccionar escenario de flujo de correo), establezca lo siguiente:
• Turn it on (Encender)
• Retain internal Exchange email headers (Conservar encabezados de correo electrónico Exchange internos)
7. Haga clic en Siguiente.
8. En la pantalla Edit Connector (Editar conector), en How should Office 365 identify email from your email server (¿Cómo
debe Office 365 identificar el mensaje de correo electrónico desde su servidor de correo electrónico?), seleccione By
verifying that the IP address of the sending server matches one of these IP addresses that belong to your organization
(Comprobando que la dirección IP del servidor remitente coincide con una de estas direcciones IP que pertenecen a la
organización). A continuación, escriba una lista de todas las direcciones IP de origen.
9. Haga clic en Siguiente.
Resultados
Procedimiento
1. Inicie sesión en Office 365 como administrador global y vaya hasta el centro de Administración de Exchange.
2. Seleccione Flujo de correo y, a continuación, reglas.
3. Configure una nueva regla de la manera siguiente:
6. Seleccione el conector Office 365 to Skyhigh Cloud Email DLP (Office 365 para correo electrónico de Skyhigh Cloud DLP).
Haga clic en Aceptar.
7. En la pantalla Nueva regla, agregue una excepción. En Excepto si, elija El encabezado de un mensaje coincide y,
a continuación, elija coincide con estos patrones de texto. Haga clic en Introducir texto y, a continuación, escriba
X-SHN-DLP-SCAN. Haga clic en Aceptar.
8. Escriba success (correcto) en el cuadro de texto y, a continuación, haga clic en Aceptar.
9. Anule la selección de Audit this rule with severity level (Auditar esta regla con el nivel de gravedad) y, a continuación,
haga clic en Guardar para guardar la regla.
5. Prueba de la instalación
Procedimiento
1. Pruebe el correo electrónico saliente:
a. Inicie sesión su cuenta de Office 365 con un usuario que sea miembro del grupo de seguridad que ha creado en el
paso 2.
b. Envíe un correo electrónico de prueba a su dirección de correo electrónico y confirme que se recibe.
2. Confirme que DLP del correo electrónico de MVISION Cloud ha transmitido el mensaje de texto. Utilice el rastreo de
mensajes en el centro de administración de Microsoft Exchange para verificar que DLP en línea funciona.
a. Utilice un intervalo de fechas personalizado para filtrar el ruido según sea necesario.
b. Cree una directiva para activarse poco (solo en el registro), de forma moderada (cuarentena) y mucho
(eliminación).
c. Localice el mensaje que se envió anteriormente a sí mismo y haga doble clic para revisar los detalles.
d. Revise el rastreo de mensajes y confirme que el correo electrónico se ha enviado mediante el conector.
La opción Ancho de banda de transmisión de pruebas máximo (KB/s) en Ajustes de cliente no se aplica a los appliances de
McAfee DLP.
Para equilibrar la carga del tráfico entrante y garantizar una alta disponibilidad, puede crear clústeres de appliances de McAfee
DLP Prevent.
Antes de empezar
Configure dos o más appliances de McAfee DLP Prevent con LAN 1 conectados al mismo segmento de red.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría General y abra la directiva que desee editar.
3. En Equilibrio de carga, seleccione Habilitar.
4. En ID de clúster, use las flechas para seleccionar un número a fin de identificar el clúster.
5. En Dirección IP virtual, introduzca una dirección IP virtual para que los paquetes dirigidos a dicha dirección IP virtual se
envíen al appliance principal del clúster.
Los appliances del clúster utilizan la máscara de red asignada a la dirección IP física. La dirección IP virtual debe estar en la
misma red o subred que el resto de los appliances de McAfee DLP Prevent, y no puede ser la misma dirección IP que la de
otro appliance del clúster.
6. Haga clic en Guardar.
Resultados
McAfee ePO inserta la configuración en todos los appliances del clúster cuando se aplican los cambios. El clúster tarda
unos cinco minutos en estabilizarse e identificar el appliance principal y los analizadores del clúster. Las descripciones de los
Para equilibrar la carga del análisis del tráfico entrante, puede configurar un clúster de appliances de McAfee DLP Monitor.
Antes de empezar
• Configure el appliance de McAfee DLP Monitor para un rol de clúster desde el Asistente de instalación durante la
instalación.
• Configure dos o más appliances de McAfee DLP Monitor con LAN 1 conectados al mismo segmento de red.
• Todos los appliances de un clúster deben encontrarse en la misma red o subred.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP <versión>, elija la categoría General y abra la directiva que desee
editar.
3. En Equilibrio de carga, seleccione Habilitar.
4. En ID de clúster, use las flechas para seleccionar un número a fin de identificar el clúster.
5. En Dirección IP virtual, introduzca una dirección IP virtual para que los paquetes dirigidos a dicha dirección IP virtual se
envíen al appliance principal del clúster.
Los appliances del clúster utilizan la máscara de red asignada a la dirección IP física. La dirección IP virtual debe estar en
la misma red o subred que el resto de appliances de McAfee DLP Monitor, y no puede ser la misma dirección IP que la de
otro appliance del clúster.
Caution
El ID de clúster y la dirección IP virtual deben ser idénticos para todos los miembros de un clúster.
Resultados
McAfee ePO inserta la configuración en todos los appliances del clúster cuando se aplican los cambios. El clúster tarda unos
cinco minutos en estabilizarse e identificar el appliance principal y los analizadores del clúster. Las descripciones de los
Configure el appliance de McAfee DLP para que realice las operaciones criptográficas de manera conforme con FIPS 140-2.
Debido a la naturaleza de FIPS 140-2, al habilitar esta función disminuye el rendimiento de su appliance.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría General y abra la directiva que desee editar.
3. En Modo de seguridad, seleccione el modo Habilitar FIPS 140-2 y haga clic en Guardar.
Cambie el número de segundos durante los cuales McAfee DLP Prevent intentará conectarse con un MTA.
De forma predeterminada, el appliance de McAfee DLP Prevent intenta conectarse durante 20 segundos. Si no se puede
establecer la conexión en ese tiempo, hay un problema con la red o con el MTA que se debe investigar.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de correo electrónico de McAfee DLP
Prevent y abra la directiva que desee editar.
3. En Ajustes de conexión → Conexión de enlace, escriba el número de segundos que el appliance de McAfee DLP Prevent
puede pasar intentando conectarse a un MTA.
4. Haga clic en Guardar.
Algunos incidentes tienen elementos de pruebas asociados. Puede almacenar las pruebas en un servidor de pruebas.
Antes de empezar
El servidor de pruebas debe ser un recurso compartido CIFS con permisos de lectura/escritura.
Realice esta tarea para configurar los ajustes predeterminados de almacenamiento de pruebas compartido. Los ajustes
introducidos se reflejan el las directivas configuradas en las páginas Catálogo de directivas → Data Loss Prevention <versión>
→ Configuración del servidor, Catálogo de directivas → Data Loss Prevention <versión> → Configuración de cliente de
Windows y Catálogo de directivas → Data Loss Prevention <versión> → Configuración de cliente de Mac OS X. Puede
actualizar los ajustes de McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Monitor, y el servidor de DLP en la directiva
Configuración del servidor.
Procedimiento
1. En McAfee ePO, seleccione Menú → Ajustes de DLP → General.
2. Introduzca la ruta de acceso al servidor de pruebas en Almacenamiento compartido para guardar los ajustes y activar
el software.
La ruta de almacenamiento de pruebas debe ser una ruta de red, es decir, \\[servidor]\[recurso compartido].
3. Proporcione el nombre de usuario y la contraseña para acceder al servidor y haga clic en Guardar.
Si su appliance de McAfee DLP se encuentra en una zona desmilitarizada (DMZ), puede copiar los archivos de pruebas de forma
segura, a pesar de que no haya acceso de red al recurso compartido de archivos de pruebas. McAfee DLP permite copiar los
archivos de pruebas al recurso compartido de archivos de pruebas a través del servidor de McAfee DLP.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría General y abra la directiva que desee editar.
3. En el servidor de McAfee DLP para la copia de pruebas, haga clic en + para añadir el nombre del host o la dirección IP
de los servidores de McAfee DLP a los que desee que se conecte el appliance de McAfee DLP.
4. Haga clic en Actualizar y, a continuación, guarde los cambios.
Después de añadir el servidor de DLP para copiar pruebas, edite la directiva de Catálogo de directivas → Data Loss Prevention
<versión> → Condiguración del servidor aplicada al servidor de DLP y habilite el servicio HTTP de almacenamiento de pruebas.
Especifique un servidor de McAfee DLP Discover en el Catálogo de directivas para utilizar los documentos registrados en las
directivas de los appliances de McAfee DLP.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría General y abra la directiva que desee editar.
3. En Servidor de McAfee DLP para documentos registrados, haga clic en el botón de añadir (+) para introducir las
direcciones IP o los nombres de host de los servidores de McAfee DLP Discover donde estén las bases de datos de
documentos registrados que desee utilizar.
Los servidores de base de datos de documentos registrados son servidores de McAfee DLP Discover con el rol de servidor
de McAfee DLP. El puerto del servidor está predefinido como 6379.
4. (Opcional) Seleccione la casilla de verificación Utilizar TLS para especificar una conexión segura.
5. Haga clic en Guardar.
Es posible personalizar el texto que aparece en la parte superior de la pantalla de inicio de sesión de la consola del appliance y
cuando se conecta mediante SSH.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría General y abra la directiva que desee editar.
3. En Banner de inicio de sesión personalizado, seleccione Mostrar un banner personalizado y haga clic en Guardar.
Debe utilizar texto sin formato.
Resultados
La próxima vez que inicie sesión en la consola del appliance o conecte con ella mediante SSH, el texto se mostrará después de
que proporcione sus credenciales de usuario.
Es posible separar el tráfico de gestión del tráfico de cliente para mejorar la seguridad.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría General y abra la directiva que desee editar.
3. En Gestión fuera de banda, seleccione Deshabilitar el acceso en banda a los puertos de gestión.
Los puertos mostrados solo son accesibles a través de la interfaz de gestión.
4. Añada o elimine puertos de gestión en la lista según sea necesario y haga clic en Guardar.
Para proteger el appliance frente a los ataques de denegación de servicio, establezca el nivel máximo de anidación de datos
adjuntos archivados que el appliance intenta analizar antes de que se agote el tiempo.
Note
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría General y abra la directiva que desee editar.
3. En Ajustes de análisis → Nivel máximo de anidamiento, establezca el nivel máximo de anidamiento de datos adjuntos
archivados.
4. Haga clic en Guardar.
Puede configurar el appliance de McAfee DLP Prevent para el envío de correo electrónico autenticado en escenarios en los
que las directivas de red no permiten la comunicación por correo electrónico en el puerto 25. También puede utilizar esta
configuración cuando sea obligatorio utilizar el envío de correo autenticado.
Antes de empezar
• Asegúrese de que el host inteligente configurado admita el mecanismo de inicio de sesión para la autenticación.
Cuando esta función está habilitada, el appliance de McAfee DLP Prevent escucha en el puerto 587 para aceptar los correos
electrónicos mediante los mecanismos de autenticación admitidos. Actualmente, el appliance de McAfee DLP Prevent solo es
compatible con el mecanismo LOGIN para SMTP AUTH.
En el caso de los correos electrónicos recibidos en el puerto 587, el appliance de McAfee DLP Prevent espera que el MTA
entrante utilice el mecanismo LOGIN para proporcionar los detalles de nombre de usuario y contraseña. El appliance de McAfee
DLP Prevent se conecta con el puerto 587 o el puerto especificado en la configuración de host inteligente del MTA saliente (host
inteligente). A continuación, utiliza estas credenciales de inicio de sesión (a través del mecanismo LOGIN) durante la entrega del
correo electrónico.
La autenticación de nombre de usuario y contraseña enviada por el MTA entrante suele ocurrir en el host inteligente cuando el
appliance le entrega el correo electrónico. El appliance de McAfee DLP Prevent no almacena los detalles de nombre de usuario y
contraseña.
Note
El appliance de McAfee DLP Prevent ordena implícitamente Transport Layer Security (TLS) para las comunicaciones entrantes
y salientes cuando se habilita el envío de correo electrónico autenticado. Los ajustes de Transport Layer Security en Gestión
de appliances de DLP <versión> → Ajustes de correo electrónico de McAfee DLP Prevent no se utilizan para el envío de
correo electrónico autenticado.
Procedimiento
1. En McAfee ePO, seleccione Menú → Directiva → Catálogo de directivas.
2. En Producto → Gestión de appliances de DLP, seleccione la categoría Ajustes de correo electrónico de McAfee DLP
Prevent y abra la directiva que desee editar.
3. En el campo SMTP, seleccione la casilla Habilitar envío de correo autenticado (utiliza SMTP AUTH mediante TLS en el
puerto 587).
4. Haga clic en Guardar.
Para mejorar el rendimiento y la seguridad de los appliances de McAfee DLP Prevent dedicados a analizar tráfico web, cierre los
puertos SMTP.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, seleccione la categoría Ajustes de correo electrónico de McAfee
DLP Prevent y abra la directiva que desee editar.
3. En el campo SMTP, anule la selección de Habilitar SMTP y Habilitar envío de correo autenticado (utiliza SMTP AUTH
mediante TSL en el puerto 587).
McAfee DLP Prevent entrega mensajes de correo electrónico mediante el host inteligente configurado. Además del host
inteligente, puede añadir más MTA a los que McAfee DLP Prevent entregar mensajes de correo electrónico.
Antes de empezar
Asegúrese de que tiene las direcciones IP o los nombres de host de los hosts inteligentes.
McAfee DLP Prevent acepta mensajes de correo electrónico de más de un MTA, pero reenvía los mensajes de correo electrónico
inspeccionados únicamente a uno de los hosts inteligentes configurados.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de correo electrónico de McAfee DLP
Prevent y abra la directiva que desee editar.
3. En el campo Hosts inteligentes, añada los detalles de los MTA que desee utilizar.
4. Haga clic en Actualizar y en Guardar.
Configure e appliance de McAfee DLP Prevent para la entrega a varios servidores de correo electrónico mediante la distribución
de los mensajes de correo electrónico entre ellos.
Antes de empezar
Asegúrese de que tiene las direcciones IP o los nombres de host de los hosts inteligentes.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de correo electrónico de McAfee DLP
Prevent y abra la directiva que desee editar.
3. En Hosts inteligentes, seleccione la casilla Operación por turnos. Haga clic en + para añadir un MTA. Añada los detalles
de los MTA y haga clic en Actualizar.
4. Haga clic en Guardar.
De forma predeterminada, el appliance de McAfee DLP Prevent acepta los mensajes de cualquier host. Especifique los hosts
que pueden enviar mensajes a McAfee DLP Prevent para que solo los MTA de origen legítimo puedan retransmitir correos
electrónicos a través del appliance.
Antes de empezar
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de correo electrónico de McAfee DLP
Prevent y abra la directiva que desee editar.
3. En Hosts permitidos, seleccione Aceptar correos solo de estos hosts.
4. Escriba los detalles de un host desde el que el appliance de McAfee DLP Prevent pueda recibir mensajes.
Añada la información del host con su dirección IP y subred, los nombres de dominio o el nombre de dominio con caracteres
comodín.
5. Haga clic en Actualizar para agregar los detalles a la lista de hosts permitidos.
Puede crear grupos de hosts de retransmisión mediante subredes o dominios con caracteres comodín. Para añadir más de
una subred, debe crear entradas independientes para cada una.
6. Haga clic en Guardar.
Puede configurar el appliance de McAfee DLP Prevent para que omita el análisis de los correos electrónicos enviados desde las
direcciones de correo electrónico especificadas.
Antes de empezar
Note
Los mensajes de correo electrónico omitidos no se notifican en los incidentes. Los appliances tampoco generan pruebas ni
capturan datos de los mensajes de correo electrónico omitidos.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas
2. Seleccione el producto Gestión de appliances de DLP <versión>, elija la categoría Ajustes de correo electrónico de
McAfee DLP Prevent y abra la directiva que desee editar.
3. En el campo Omisión de análisis de DLP, escriba la dirección de correo electrónico del remitente que desee omitir del
análisis. Utilice el formato es para especificar la dirección de correo electrónico real. Utilice el formato coincidencias
para especificar varias direcciones de correo electrónico mediante *@nombre_dominio.com. Haga clic en Actualizar
después de escribir cada dirección de correo electrónico o nombre de dominio.
Puede especificar si McAfee DLP Prevent utiliza TLS para proteger los mensajes entrantes y salientes o si solo lo utiliza cuando
está disponible (lo que se conoce como configuración Oportunista). Se utiliza TLS 1.1 como versión mínima del protocolo.
McAfee DLP Prevent puede realizar operaciones criptográficas conforme a FIPS 140-2. Esto significa que las conexiones TLS
entrantes y salientes utilizan algoritmos criptográficos de seguridad alta.
Important
El uso de FIPS 140-2 puede afectar al rendimiento cuando se analiza el contenido SMTP.
La opción para habilitar FIPS 140-2 está situada en la categoría General del producto Gestión de appliances de DLP en el
Catálogo de directivas. Debido a la naturaleza de FIPS 140-2, al habilitar esta función disminuye el rendimiento de su appliance.
TLS funciona mediante la comunicación de un conjunto de parámetros —lo que se conoce como protocolo de enlace— al
comienzo de una conexión entre los servidores participantes. Cuando se definen estos parámetros, las comunicaciones entre
los servidores son seguras, de manera que los servidores que no hayan participado en el protocolo de enlace no las pueden
descodificar.
• El appliance solicita una conexión segura al servidor de correo electrónico receptor y le presenta una lista de suites de
cifrado.
• El servidor receptor selecciona el cifrado admitido más potente de la lista y proporciona los detalles para el appliance.
• Los servidores utilizan la infraestructura de clave pública (PKI) para establecer la autenticidad mediante el intercambio
de certificados digitales.
• Al usar la clave pública del servidor, el appliance genera un número aleatorio como clave de sesión y lo envía al servidor
de correo electrónico receptor. El servidor receptor descifra la clave mediante la clave privada.
• Tanto el appliance como el servidor de correo electrónico receptor utilizan la clave cifrada para establecer la
comunicación y completar el proceso del protocolo de enlace.
Una vez finalizado el protocolo de enlace, la conexión segura se utiliza para transferir los mensajes de correo electrónico. La
conexión permanece segura hasta que se cierra.
Note
Si se selecciona la opción Siempre para las comunicaciones salientes, pero el host inteligente no está configurado para usar
TLS, McAfee DLP Prevent envía un error 550 x.x.x.x: Denegado por la directiva. Error de conversación TLS requerida.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de correo electrónico de McAfee DLP
Prevent y abra la directiva que desee editar.
Configuración de McAfee DLP Prevent para analizar solamente el tráfico ICAP cifrado
Para mejorar la seguridad, puede hacer que el appliance de McAfee DLP Prevent deje de analizar el tráfico ICAP no cifrado.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, seleccione la categoría Ajustes web de McAfee DLP Prevent y abra
la directiva que desee editar.
3. En Ajustes web, anule la selección de ICAP no cifrado (puerto 1344).
4. Haga clic en Guardar.
Para mejorar la seguridad y el rendimiento de un appliance de McAfee DLP Prevent dedicado a analizar el tráfico de correo
electrónico, puede cerrar los puertos ICAP.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, seleccione la categoría Ajustes web de McAfee DLP Prevent y abra
la directiva que desee editar.
3. En Ajustes web, anule la selección de las dos opciones del servicio ICAP.
4. Haga clic en Guardar.
Habilitación de un appliance de McAfee DLP Prevent para procesar las solicitudes de respuesta
Es posible configurar un appliance de McAfee DLP Prevent para analizar las solicitudes realizadas a sus servidores web por parte
de usuarios externos.
Note
Un despliegue habitual de McAfee DLP Prevent consiste en tener el appliance de McAfee DLP Prevent dentro de la red y el
servidor web fuera de ella. La habilitación del análisis de RESPMOD puede afectar al rendimiento porque se tarda más en
obtener respuestas del appliance, lo cual provoca una ralentización de la experiencia para el usuario.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, seleccione la categoría Ajustes web de McAfee DLP Prevent y abra
la directiva que desee editar.
3. En Ajustes web, seleccione RESPMOD.
Los appliances de McAfee DLP pueden funcionar con los servidores LDAP registrados y McAfee Logon Collector para recuperar
los datos de inicio de sesión y la información de usuario. Estos datos ayudan a identificar a los usuarios responsables de
incidentes de fuga de datos mediante su nombre, grupo, departamento, ciudad o país.
• Obtener información de los servidores de Active Directory y de los servidores de directorio OpenLDAP que están
registrados con McAfee ePO.
• Comunicarse con servidores LDAP registrados mediante SSL.
• Sincronizar los appliances con los servidores LDAP a diario en el momento configurado.
• Actuar en las reglas de protección del correo electrónico y protección web que se aplican a usuarios y grupos específicos.
• Actuar en las reglas de protección de comunicaciones de la red que se aplican a determinados usuarios y grupos
(McAfee DLP Monitor).
• Conectarse a los puertos del Catálogo global en lugar de a los puertos LDAP estándar para recuperar información sobre
usuarios y grupos al consultar Active Directory.
• Incluir información del usuario en los incidentes para que pueda ver todos los incidentes generados por un usuario,
independientemente del producto de McAfee DLP que los haya detectado.
McAfee Logon Collector registra los eventos de inicio de sesión de usuarios de Windows y comunica la información a los
appliances de McAfee DLP. Los appliances de McAfee DLP pueden asignar una dirección IP a un nombre de usuario de Windows
si no hay más información de autenticación disponible.
Note
Si los appliances de McAfee DLP no pueden conectarse o comunicarse con un servidor LDAP recién configurado, la
búsqueda basada en el dominio y la inserción de directiva fallarán. La inserción de directiva también falla si ha configurado
usuarios o grupos basados en el dominio en directivas y no ha seleccionado el servidor LDAP para el appliance.
En caso de que McAfee DLP Prevent necesite información de grupos LDAP para evaluar las reglas para una solicitud o un
mensaje y LDAP no esté configurado o el servidor no esté disponible:
• Para tráfico SMTP: se devuelve un código de error temporal (451), de forma que el mensaje se pone en cola en el
servidor de envío y se produce un reintento.
• Para tráfico ICAP: se devuelve un código 500 de estado ICAP que indica que el servidor ha encontrado un error y no ha
podido analizar la solicitud. Puede configurar su gateway web para que se abra o se cierre en caso de recibir un error del
servidor de McAfee DLP Prevent.
En el caso de McAfee DLP Monitor, si McAfee Logon Collector o la información LDAP no están disponibles, no se puede realizar
la coincidencia con las reglas que hacen referencia a información de usuarios y grupos, y no se crean incidentes. El flujo de
tráfico no se ve afectado.
Tip
Se recomienda utilizar el encabezado X-Authenticated-User como método de autenticación porque indica que el gateway
web ha autenticado al usuario de forma positiva. Para configurarlo, debe realizar varias configuraciones adicionales en el
gateway web. Para obtener más información, vea la documentación de producto de su gateway web.
Si el encabezado X-Authenticated-User no está disponible, puede configurar McAfee Logon Collector para que ofrezca
autenticación adicional. McAfee Logon Collector es otro producto de McAfee que supervisa los eventos de inicio de sesión
de Windows y asigna una dirección IP a un identificador de seguridad (SID). Para utilizar McAfee Logon Collector, debe tener al
menos un servidor LDAP configurado: el appliance de McAfee DLP puede enviar una consulta a este servidor para convertir un
SID en un nombre de usuario.
Al aplicar reglas de protección web o de correo electrónico, McAfee DLP Prevent evalúa la información de grupo a partir de la
información de usuario. Ignora cualquier valor del encabezado X-Authenticated-Groups del gateway web.
A fin de seleccionar reglas basadas en usuarios y grupos para McAfee DLP Monitor, debe configurar McAfee Logon Collector.
Important
Para obtener información de usuarios o grupos, debe tener al menos un servidor LDAP configurado. El appliance de McAfee
DLP envía consultas a los servidores LDAP para obtener los atributos requeridos. Por ejemplo, en el caso de McAfee Logon
Collector, el appliance de McAfee DLP utiliza el servidor LDAP para convertir el SID en un DN de usuario.
El appliance de McAfee DLP Prevent espera que el formato del encabezado X-Authenticated-User sea uno de los siguientes para
Active Directory:
• NTLM — NTLM://<NetBIOS_name/sAMAccountName>
• WINNT — WINNT://<NetBIOS_name/sAMAccountName>
• KERBEROS — Kerberos://<Realm-Name>/<sAMAccountName>
• LOCAL — Local://UPN, donde UPN es el nombre principal de usuario de Active Directory en formato
<user_name@internet.domain.com>.
Note
Con LDAP, McAfee DLP Prevent espera que el formato del encabezado X-Authenticated-User sea con el formato LDAP://
<LDAP_servername/distinguished-name> para Active Directory y OpenLDAP.
Note
McAfee DLP Prevent utiliza el atributo LDAP distinguished-name para recuperar los detalles de usuario para las reglas de
protección web. Compruebe que su servidor LDAP expone este atributo para asegurarse de que el esquema de autenticación
LDAP funciona correctamente.
Caso práctico
Quiere configurar una regla de protección web que bloquee las cargas de datos PCI para todos los usuarios de un departamento
excepto uno.
1. Registre un servidor de Active Directory en McAfee ePO que contenga la cuenta de usuario del empleado del que sospecha.
2. Configure McAfee Logon Collector.
3. Cree una regla de protección web que busque solicitudes web de usuarios en el grupo NOMBRE DEL GRUPO coincidentes
con una clasificación.
4. Cree una excepción para el usuario NOMBRE DE USUARIO.
5. Establezca la reacción en Bloquear.
6. Supervise en el Gestor de incidentes de DLP si hay incidentes enviados por el usuario que contengan el nombre de
componente.
Para utilizar las reglas de asignación de directivas, habilitar los conjuntos de permisos asignados de forma dinámica y habilitar el
inicio de sesión de usuario de Active Directory, debe disponer de un servidor LDAP registrado.
Procedimiento
1. Seleccione Menú → Configuración → Servidores registrados y haga clic en Nuevo servidor.
2. Seleccione Servidor LDAP en el menú Tipo de servidor y, a continuación, especifique un nombre único y una descripción
opcional, y haga clic en Siguiente.
3. Seleccione un servidor de OpenLDAP o de Active Directory de la lista Tipo de servidor LDAP.
4. Especifique un nombre de dominio o un nombre de servidor concreto.
Utilice nombres de dominio DNS (por ejemplo, dominiointerno.com), o bien nombres de dominio completos o direcciones IP
para los servidores (por ejemplo, servidor1.dominiointerno.com o 192.168.75.101). Los servidores de OpenLDAP solo pueden
utilizar nombres de servidor. No pueden especificarse mediante dominios.
5. Especifique si desea usar el Catálogo global (no disponible para los servidores de OpenLDAP).
Selecciónelo solo si el dominio registrado es el principal de varios dominios locales únicamente para evitar el tráfico de red
potencial, lo que puede afectar al rendimiento.
6. En caso de no utilizar el Catálogo global, seleccione si desea obtener las referencias.
La obtención de referencias puede generar tráfico de red no local.
7. Elija si se debe utilizar SSL para comunicarse con este servidor.
8. Si va a configurar un servidor OpenLDAP, introduzca el puerto.
9. Introduzca un nombre de usuario y una contraseña de una cuenta de administrador en el servidor.
McAfee DLP pueden obtener información sobre usuarios y grupos de los servidores LDAP registrados con McAfee ePO.
Es necesario seleccionar los servidores LDAP registrados de los que desea que los appliances de McAfee DLP obtengan
información.
Antes de empezar
Asegúrese de que los servidores LDAP estén registrados con McAfee ePO.
Los detalles de los usuarios y grupos se utilizan cuando se evalúa la información del Remitente. El appliance de McAfee DLP
puede realizar lo siguiente:
• Conectarse a los puertos del Catálogo global en lugar de a los puertos LDAP estándar para recuperar información sobre
usuarios y grupos al consultar Active Directory.
Si ha configurado Active Directory para utilizar los puertos del Catálogo global, asegúrese de que al menos uno de estos
atributos se replique en el servidor del Catálogo global desde los dominios del bosque:
proxyAddresses
mail
Si un appliance de McAfee DLP necesita utilizar la autenticación NTLM o WINNT para analizar las reglas de protección
web, también deberán replicarse los siguientes atributos de LDAP:
configurationNamingContext
netbiosname
msDS-PrincipalName
Los mensajes se rechazan temporalmente con un código de estado 451 cuando se cumplen estas dos condiciones:
• McAfee DLP Prevent utiliza reglas que especifican que el remitente es un miembro de un determinado grupo de
usuarios de LDAP.
• McAfee DLP Prevent no está configurado para recibir información del servidor LDAP que contiene ese grupo de
usuarios.
Los eventos se envían a la página Eventos de cliente si se produce un error de sincronización con el servidor LDAP o de una
consulta LDAP.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Usuarios y grupos y abra la directiva que desee
editar.
3. En servidores LDAP, seleccione al menos un servidor LDAP válido para activar la configuración de sincronización.
4. En el campo Iniciar sincronización diaria en, establezca la hora de sincronización diaria. La hora predeterminada de
inicio de la sincronización está establecida a las 3 a.m.
La sincronización del appliance con servidores LDAP se realiza diariamente a la hora configurada.
5. (Opcional) Seleccione y actualice el campo Retrasar el inicio de la sincronización en hasta (horas) para configurar
el retraso entre el inicio de la sincronización de los appliances. El retraso de sincronización predeterminado entre
appliances se establece en dos horas. Puede configurar el intervalo de inicio de la sincronización retrasada aleatoria
entre 1 y 10 horas.
6. Haga clic en Guardar.
Para empezar a utilizar McAfee Logon Collector con un appliance de McAfee DLP, debe añadir un certificado de McAfee Logon
Collector a un appliance y, a continuación, añadir un certificado de appliance de McAfee DLP a McAfee Logon Collector.
Antes de empezar
• Realice estos cambios en el proxy web para garantizar una comunicación fluida entre McAfee Logon Collector y el
appliance de McAfee DLP:
El proxy web debe configurarse para enviar el encabezado X-Client-IP. Este suele ser el IP del host que ejecuta el
navegador o el cliente web.
El proxy web no debe enviar el encabezado X-Authenticated-User.
Procedimiento
1. Para descargar el certificado del appliance de McAfee DLP, vaya a https://<APPLIANCE>:10443/certificates y, a
continuación, seleccione [nombre de host.dominio.crt].
2. En McAfee Logon Collector, seleccione Menú → CA de confianza → Nueva autoridad → Elegir archivo, seleccione el
certificado que ha descargado y haga clic en Guardar.
3. En McAfee ePO, abra el Catálogo de directivas.
4. Seleccione el producto Gestión de appliances de DLP, elija la categoría Usuarios y grupos y abra la directiva que desee
editar.
5. Añada los detalles del servidor de McAfee Logon Collector al appliance de McAfee DLP.
a. En la sección McAfee Logon Collector, seleccione Identificar a los usuarios que realizan solicitudes web.
b. Haga clic en + para abrir el cuadro de diálogo Añadir.
c. Introduzca la dirección IPv4 o un nombre de host de un servidor de McAfee Logon Collector al que desee
conectarse.
d. Edite el puerto de McAfee Logon Collector en caso de que sea necesario.
6. Obtenga el texto del certificado de McAfee Logon Collector.
a. En McAfee Logon Collector, seleccione Menú → Ajustes del servidor.
b. Haga clic en Certificado de duplicación de identidad.
c. Seleccione el texto del certificado en el campo Base 64 y cópielo en el Portapapeles o en un archivo.
7. Vuelva al cuadro de diálogo Añadir y seleccione Importar desde archivo o Pegar desde el Portapapeles para añadir el
texto del certificado.
8. Haga clic en Aceptar para completar la autenticación de McAfee Logon Collector.
[Opcional] Añada más servidores de McAfee Logon Collector.
El servidor de McAfee Logon Collector se añade a la lista de servidores.
Cambios en el proxy web necesarios para la integración con McAfee Logon Collector
Debe configurar los servidores proxy web para permitir una comunicación fluida entre los appliances de McAfee DLP y McAfee
Logon Collector.
• El proxy web debe configurarse para enviar el encabezado X-Client-IP. Este suele ser el IP del host que ejecuta el
navegador o el cliente web.
• El proxy web no debe enviar el encabezado X-Authenticated-User.
Aplicación de reglas de protección de comunicaciones de la red para el tráfico FTP, HTTP o SMTP
Puede configurar McAfee DLP Monitor para aplicar las reglas de protección de comunicaciones de la red al tráfico SMTP, HTTP o
FTP. De forma predeterminada, se aplican las reglas de protección web y del correo electrónico.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de McAfee DLP Monitor y abra la
directiva que desee editar.
3. En Aplicación de reglas de protocolo, anule la selección de las opciones según sea necesario y haga clic en Guardar.
De forma predeterminada, McAfee DLP Monitor analiza todo el tráfico de protocolo. Puede crear reglas adicionales que filtren
el tráfico de protocolo por orden de prioridad. De este modo, mejora el rendimiento y detiene la creación de incidentes
relacionados con los protocolos que no sean relevantes para sus necesidades.
McAfee DLP Monitor analiza las reglas de tráfico con un orden de prioridad descendente. El análisis se detiene cuando
encuentra una coincidencia y se lleva a cabo la acción correspondiente.
Si hay una conversación HTTP entre un cliente 1.2.3.4 y un servidor 2.3.4.5, existen dos transacciones en la misma conexión TCP.
Como resultado, las reglas de filtrado de tráfico se evalúan por separado. Por ejemplo:
Tip
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de McAfee DLP Monitor y abra la
directiva que desee editar.
3. En la sección Reglas de tráfico, haga clic en + para abrir el cuadro de diálogo Define Rule (Definir regla).
4. Escriba un nombre para la regla y, a continuación, haga clic en + a fin de especificar los atributos de red que desee para
el filtrado de la regla.
Cada atributo solo se puede agregar una vez a una regla.
• Dirección IP de origen: especifique una dirección IP o una dirección IP y una máscara de red.
• Dirección IP de destino: especifique una dirección IP o una dirección IP y una máscara de red.
• Puerto de origen: especifique un puerto en el intervalo entre 0 y 65535.
5. Seleccione el operador de coincidencia y elija o escriba el valor para el atributo que vaya a añadir y, a continuación,
haga clic en Actualizar.
6. Añada más criterios según proceda y haga clic en Aceptar para volver a Ajustes de DLP Monitor.
La regla se añadirá en la parte superior de la lista.
7. Utilice las flechas para colocar la nueva regla donde lo desee en el orden de prioridad y también puede seleccionar
¿Analizar tráfico?.
El appliance de McAfee DLP Prevent funciona con su proxy web para proteger el tráfico web.
El appliance de McAfee DLP Prevent utiliza ICAP o ICAPS (ICAP a través de TLS) para procesar el tráfico web, que utiliza estos
puertos:
• ICAP: 1344
• ICAPS: 11344
Utilice este flujo de trabajo para configurar el entorno y obtener protección web.
1. Configure los clientes de endpoint para que envíen el tráfico web al proxy web.
2. Configure el proxy web para reenviar el tráfico HTTP a McAfee DLP Prevent a través de ICAP.
3. Configure la directiva en el appliance de McAfee DLP Prevent para especificar la acción que se debe realizar en función
del contenido del tráfico. Ejemplo: Configurar una regla para permitir o bloquear el tráfico de determinados usuarios que
contenga números de tarjetas de crédito.
Después de que el appliance de McAfee DLP Prevent analice el tráfico, realiza una de estas acciones:
Puede configurar Web Gateway para reenviar el tráfico HTTP mediante ICAP a McAfee DLP Prevent para su análisis. McAfee DLP
Prevent devuelve una respuesta a Web Gateway para permitir o denegar la página.
Note
Todas las versiones de Web Gateway son compatibles, pero estos pasos solo son aplicables a la versión 7.8.1. Los pasos
pueden diferir levemente en el caso de versiones anteriores o posteriores. Para obtener los pasos detallados de la versión de
Web Gateway que tiene instalada, consulte la documentación de Web Gateway.
Procedimiento
1. En Web Gateway, seleccione Directiva.
2. Agregue el conjunto de reglas:
a. Haga clic en la pestaña Conjuntos de reglas.
b. Seleccione Añadir → Conjunto de reglas de la biblioteca.
c. Desde la biblioteca del conjunto de reglas Cliente ICAP, seleccione Cliente ICAP y, a continuación, haga clic en
Aceptar.
d. Haga clic en Vista de desbloqueo y, a continuación, haga clic en Sí.
e. Deseleccione Respuestas.
3. (Opcional) Si desea que los incidentes generados contengan la dirección IP de destino, edite la configuración de
REQMOD.
a. En la ficha Conjuntos de reglas expanda el conjunto de reglas Cliente ICAP y seleccione ReqMod.
b. Seleccione Agregar el encabezado X-Server-IP.
4. Siga estos pasos para establecer el appliance como cliente ICAP:
a. Haga clic en la ficha Listas, expanda Servidor ICAP y seleccione Servidor de ReqMod.
b. Seleccione 1 y haga clic en Editar.
c. Escriba la dirección IP o el nombre de dominio completo del appliance de McAfee DLP Prevent, seguido del modo
de ICAP en el campo URI. Opcionalmente, puede añadir un puerto. Si no agrega ningún puerto, se configura el
puerto predeterminado 1344.
La sintaxis para especificar esta información se muestra sobre el campo. Por ejemplo, puede utilizar uno de estos
formatos:
icap://xx.xxx.xxx.xx/reqmod
icap://xx.xxx.xxx.xx:1346/reqmod
icap://test-icap.micmwg.com/reqmod
icap://test-icap.micmwg.com:1346/reqmod
El puerto del appliance 11344 es el único puerto que recibe tráfico SSL para ICAP. Para que la comunicación se produzca en el
modo SSL, puede habilitar el puerto ICAP seguro. Para utilizar este modo, también debe importar el certificado del appliance.
Procedimiento
1. Para importar el certificado del appliance para las conexiones ICAP, cargue el certificado en /home/admin/upload/cert.
El appliance utiliza este certificado para el tráfico ICAP y SMTP. Si ya ha importado un certificado para el tráfico SMTP a
través de TLS, puede omitir este paso.
El appliance recogerá automáticamente el certificado de esta ubicación y lo importará. Al negociar TLS para ICAPS, el
appliance presenta este certificado. Asegúrese de que tiene un nombre común (CN) o un nombre alternativo de sujeto
válidos, o ambos.
Note
El archivo transferido a la carpeta /home/admin/upload/cert desaparece tras la ingesta correcta, lo que significa que
la utilidad de ingesta ha seleccionado el archivo y lo ha procesado para su uso posterior. Normalmente, el archivo
desaparece incluso antes de acceder a la carpeta para comprobar la carga. Sin embargo, si el archivo se encuentra en
esta carpeta después de completarse la carga, es indicativo de un error. También puede comprobar si la instalación se
ha realizado correctamente o se ha producido un error desde /var/log/messages o la página Eventos de cliente.
Utilice la página Catálogo de directivas → Ajustes generales de gestión de appliances → General → <nombre de directiva> →
General para configurar los ajustes que se aplicarán a los appliances gestionados desde McAfee ePO.
La configuración de los ajustes utilizados más habitualmente desde una página simplifica el proceso de añadir appliances a su
red, tanto nuevos como para los que se ha creado una nueva imagen.
Cuando se configuran varios appliances o clústeres de appliances en una red, se aplican algunos ajustes comunes a cada
appliance. Entre estos ajustes, se incluyen los siguientes ejemplos:
Al definir y almacenar estos ajustes en McAfee ePO, puede configurar rápidamente appliances nuevos o para los que se ha
creado una nueva imagen con los ajustes pertinentes.
Configure los ajustes para que se apliquen a varios appliances desde una ubicación.
Note
Debe configurar al menos un servidor DNS. El botón Guardar no se habilitará hasta que haya introducido una dirección de
servidor DNS. No es preciso que configure todas las demás áreas de esta página; defina solo los ajustes que desea aplicar a
sus appliances.
Procedimiento
1. En Catálogo de directivas → Ajustes generales de administración de appliances → General → <nombre de directiva>,
configure Fecha y hora:
a. Seleccione la zona horaria adecuada en la lista desplegable.
b. Seleccione Habilitar NTP.
c. Para definir un servidor NTP (Network Time Protocol), haga clic en el icono .
d. Introduzca los detalles del servidor.
e. Haga clic en Actualizar.
2. Configure los ajustes de DNS:
a. Para introducir los detalles del servidor DNS, haga clic en el icono .
b. Introduzca los detalles del servidor.
c. Haga clic en Actualizar.
3. Configure los ajustes de enrutamiento estático:
a. Para introducir la información de enrutamiento estático, haga clic en el icono .
b. Introduzca los detalles de enrutamiento.
c. Haga clic en Actualizar.
4. Configure los ajustes de SSH:
a. Seleccione la opción adecuada en la lista desplegable.
b. Si selecciona Permitir inicio de sesión remoto para estos hosts únicamente, haga clic en el icono .
c. Introduzca la dirección de host.
d. Haga clic en Actualizar.
5. Configure los ajustes de registro:
a. Para activar los archivos de registro remotos, seleccione Almacenar datos de registro de forma remota.
b. Para definir un servidor syslog, haga clic en el icono .
c. Introduzca la dirección o el dominio del servidor syslog.
Utilice la pestaña Catálogo de directivas → Ajustes generales de gestión de appliances <versión> → General → <nombre de
directiva> → SNMP para configurar los ajustes de SNMP que se aplicarán a los appliances gestionados desde McAfee ePO.
La configuración del protocolo simple de gestión de redes (SNMP) en una sola página simplifica el proceso de añadir appliances
o clústeres de appliances a su red, tanto nuevos como para los que se ha creado una nueva imagen.
La definición de ajustes generales de SNMP permite que dichos ajustes se apliquen a varios appliances o clústeres de estos en su
red.
• Ajustes de alertas SNMP: las alertas SNMP de sus appliances ofrecen mensajes de alerta directamente a un destino de
captura específico.
• Ajustes del monitor SNMP: los ajustes del monitor SNMP permiten que otros dispositivos accedan a sus appliances o
clústeres de appliances. Puede permitir las consultas desde todos los dispositivos de su red o restringir el acceso a
dispositivos específicos.
Al definir y almacenar estos ajustes en McAfee ePO, puede configurar rápidamente appliances nuevos o para los cuales se haya
creado una nueva imagen con los ajustes pertinentes.
Configure los ajustes de SNMP para que se apliquen a sus appliances y clústeres de appliances.
Antes de empezar
Asegúrese de que su sistema de gestión de SNMP se configura y prueba antes de configurar los ajustes de SNMP de sus
appliances.
Procedimiento
1. En Catálogo de directivas → Ajustes generales de gestión de appliances → General → <nombre de directiva> → SNMP,
configure las alertas SNMP:
a. Habilite Alertas SNMP.
b. Introduzca la dirección o nombre de host de su Destino de la captura.
c. Introduzca el Nombre de comunidad que ha configurado para su sistema de administración de SNMP.
d. Seleccione la versión necesaria del protocolo SNMP que se va a utilizar.
e. (Opcional) Haga clic en el icono + y repita los pasos b a d para agregar más de un destino de captura.
2. Configure el monitor SNMP:
a. Active el monitor SNMP.
b. Seleccione la versión del protocolo SNMP que utiliza su sistema de administración de SNMP.
3. Para las versiones de SNMP v1 o v2c:
a. Introduzca el nombre de comunidad que ha configurado para su sistema de administración de SNMP.
4. Para la versión v3 de SNMP:
a. Introduzca el nombre de usuario que ha configurado para su sistema de gestión de SNMP.
b. Introduzca el protocolo de autenticación necesario. Puede ser el Protocolo MD5 o el Protocolo SHA.
c. Introduzca el protocolo de privacidad necesario. Puede ser el Protocolo DES o el Protocolo AES.
d. Introduzca la frase de contraseña de autenticación.
e. Introduzca la frase de contraseña de privacidad.
5. Seleccione Permitir la supervisión de SNMP para todos los hosts o Permitir la supervisión SNMP de estos hosts
únicamente.
Si seleccionó Permitir la supervisión SNMP de estos hosts únicamente, debe configurar al menos un host antes de poder
guardar los ajustes de SNMP.
6. Haga clic en Guardar para guardar estos cambios, o en Duplicar para crear una directiva utilizando estos ajustes.
Descargar los archivos MIB y SMI para ver las capturas y los contadores SNMP que están disponibles en el appliance.
Procedimiento
1. Vaya a https://<APPLIANCE>:10443/mibs.
2. Descargue los archivos MCAFEE-SMI.txt y MCAFEE-DLP-PREVENT-MIB.txt en el idioma en el que desee ver la
información.
3. Descargue los archivos MCAFEE-SMI.txt y MCAFEE-DLP-MONITOR-MIB.txt en el idioma en el que desee ver la
información.
4. Importe los archivos MIB y SMI a su software de supervisión de red.
En función del tipo de regla, los archivos que coinciden con un análisis se pueden copiar, mover, clasificar, cifrar, poner en
cuarentena, identificar su contenido por huellas digitales o se les puede aplicar una directiva de administración de derechos.
Todas las condiciones de regla de descubrimiento incluyen un clasificación.
Note
Cuando utilice las reglas descubrimiento de almacenamiento de correo electrónico con la acción preventiva Cuarentena,
verifique que los complementos de Outlook están activados (Catálogo de directivas → Data Loss Prevention 10 →
Configuración del cliente → Módulos y modos de funcionamiento). No puede liberar correos electrónicos de la cuarentena
cuando el complemento Outlook está desactivado.
Archivos de controles
Tipo de regla Producto descubiertos de...
Sistema de archivos local McAfee DLP Endpoint Análisis del sistema de archivos
local.
Protección del servidor de McAfee DLP Discover Análisis del servidor de archivos.
archivos
Archivos de controles
Tipo de regla Producto descubiertos de...
Protección de base de datos McAfee DLP Discover Análisis de base de datos: Oracle,
Microsoft SQL, MySQL, DB2
Note
Las reglas de McAfee DLP Discover también requieren un repositorio. Consulte el capítulo Análisis de datos con McAfee DLP
Discover para obtener más información sobre cómo configurar las reglas y análisis.
El descubrimiento de McAfee DLP Endpoint es un rastreador que se ejecuta en los equipos cliente. Cuando encuentra contenido
predefinido, puede supervisar, poner en cuarentena, etiquetar, cifrar o aplicar una directiva de administración de derechos a
los archivos que contienen dicho contenido. El descubrimiento de Endpoint puede analizar los archivos del equipo o los del
almacenamiento de correo electrónico (PST, PST asignado y OST). Los archivos de almacenamiento de correo electrónico se
almacenan en caché de forma individual para cada usuario.
Note
Para utilizar el descubrimiento de Endpoint, tiene que activar los módulos de Descubrimiento en Catálogo de directivas →
Configuración del cliente → Módulos y modo de funcionamiento.
Al final de cada análisis de descubrimiento, el cliente de McAfee DLP Endpoint envía un evento de resumen del descubrimiento
a la consola Administrador de incidentes de DLP en McAfee ePO para registrar los detalles del análisis. En el evento se incluye
un archivo de pruebas en el que se indican los archivos que no se pudieron analizar y el motivo por el que no se analizaron
dichos archivos. Hay también un archivo de pruebas con los archivos que coinciden con la clasificación y la acción realizada.
Si cambia la directiva de descubrimiento mientras se está ejecutando un análisis de endpoint, las reglas y los parámetros de
planificación cambiarán inmediatamente. Los cambios realizados en los parámetros que están activados o desactivados surtirán
efecto con el siguiente análisis. Si se reinicia el equipo mientras se está ejecutando un análisis, el análisis continúa donde lo dejó.
¿Qué ocurre con los archivos descubiertos con contenido de carácter confidencial?
Puede poner en cuarentena o etiquetar archivos de correo electrónico. Puede cifrar, poner en cuarentena, etiquetar o aplicar
una directiva de administración de derechos a los archivos del sistema de archivos local. Puede almacenar las pruebas de ambos
tipos de archivo.
Las reglas de descubrimiento definen el contenido que el rastreador busca, así como qué hacer cuando se encuentra este
contenido.
Las reglas de descubrimiento pueden definir las reglas de descubrimiento del endpoint (correo electrónico local, sistema de
archivos local...) o de la red (Box, servidor de archivos, SharePoint, base de datos).
Los cambios realizados en una regla de descubrimiento surten efecto cuando se despliega la directiva. Si un análisis está en
curso cuando se modifica una regla, el cambio surte efecto la próxima vez que se ejecuta el análisis.
En el caso de los análisis de almacenamiento de correo electrónico (PST, PST asignados y OST), el rastreador analiza los
elementos de correo electrónico (cuerpo y datos adjuntos), los elementos del calendario y las tareas. No analiza las carpetas
públicas ni las notas rápidas.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de directivas de DLP.
2. En la página Conjunto de reglas, seleccione Acciones → Nuevo conjunto de reglas. Introduzca un nombre y haga clic en
Aceptar.
También puede agregar reglas de descubrimiento a un conjunto de reglas existente.
3. En la ficha Descubrimiento, siga uno de estos procedimientos:
• Seleccione Acciones → Nueva regla de descubrimiento de endpoints y, después, seleccione Correo electrónico
local o Sistema de archivos local.
• seleccione Acciones → Nueva regla de descubrimiento de red y, a continuación, seleccione el tipo de regla:
Protección de Box, Protección de base de datos, Protección del servidor de archivos o Protección de SharePoint.
• Para McAfee DLP Endpoint, introduzca un nombre de regla y configure una o más clasificaciones.
• Para McAfee DLP Discover, introduzca un nombre de regla y configure uno o más repositorios y clasificaciones.
Note
Para las reglas de protección de Box, es posible configurar Uso compartido de archivos.
• Ejecutar inmediatamente
• Una vez
• Diaria
• Semanal
• Mensual
Procedimiento
1. En McAfee ePO, realice una de las siguientes acciones:
a. Seleccione Menú → Protección de datos → Administrador de directivas de DLP
b. Seleccione Menú → Protección de datos → DLP Discover.
2. Haga clic en la pestaña Definiciones.
3. En el panel de la izquierda, haga clic en Planificador.
Si McAfee DLP Discover y McAfee DLP Endpoint están instalados, la lista de planificaciones existentes que se muestra
incluye las planificaciones para ambos.
4. Seleccione Acciones → Nuevo elemento.
Aparece la página Nuevo planificador.
5. Introduzca un Nombre exclusivo y seleccione el Tipo de planificación en la lista desplegable.
La pantalla cambia cuando se selecciona el tipo de planificación para proporcionar los campos necesarios para ese tipo.
6. Rellene las opciones necesarias y haga clic en Guardar.
Configurar un análisis
Los análisis de descubrimiento rastrean el sistema de archivos local o los buzones de correo en busca de contenido de carácter
confidencial.
Antes de empezar
Compruebe que los conjuntos de reglas que desea aplicar a los análisis se han aplicado a la Directiva de DLP. Esta información
se muestra en la ficha Directiva de DLP → Conjuntos de reglas.
Los cambios en los parámetros de configuración de descubrimiento entran en vigor en el siguiente análisis. No se aplican a los
análisis que ya están en curso.
Procedimiento
1. En McAfee ePO, seleccione Menú → Directiva → Catálogo de directivas.
2. Seleccione Producto → Data Loss Prevention <versión> y, a continuación, seleccione la directiva de DLP activa.
3. En la ficha Descubrimiento de endpoints, seleccione Acciones → Nuevo análisis de endpoints y, a continuación,
seleccione tanto Correo electrónico local o Sistema de archivos local.
Note
McAfee DLP Endpoint for Mac solo es compatible con los análisis del sistema de archivos local.
4. Introduzca un nombre para el análisis y, a continuación, seleccione una planificación en la lista desplegable.
5. (Opcional) Modifique los valores predeterminados de Administración de incidentes y Administración de errores.
Establezca el valor Estado en Activado.
La administración de errores determina de qué se debe informar cuando no se puede extraer el texto.
6. (Opcional) Para análisis del sistema de archivos local, seleccione la casilla de verificación en el campo Interacción del
usuario para dejar que este pueda ejecutar los análisis activados antes de que se planifiquen. También puede permitir
al usuario llevar a cabo las acciones de corrección desde la consola del cliente de McAfee DLP Endpoint.
7. En la ficha Carpetas, siga uno de estos procedimientos:
• Para los análisis del sistema de archivos, seleccione Acciones → Seleccionar carpetas. Seleccione una definición de
carpeta definida o haga clic en Nuevo elemento para crear una. Defina la carpeta como Incluir o Excluir.
• En el caso de los análisis de correo electrónico, seleccione los tipos de archivos (OST, PST) y los buzones de correo
que se analizarán.
Note
McAfee DLP Endpoint for Mac solo es compatible con los análisis del sistema de archivos local.
8. (Opcional) En la ficha Filtros (solo análisis del sistema de archivos), seleccione Acciones → Seleccionar filtros. Seleccione
una definición de información del archivo o haga clic en Nuevo elemento para crear una. Defina la carpeta como Incluir
o Excluir. Haga clic en Aceptar.
El valor predeterminado es Todos los archivos. La definición de un filtro hace que el análisis sea más eficiente.
9. En la ficha Reglas, verifique las reglas aplicables.
Se ejecutan todas las reglas de descubrimiento de los conjuntos de reglas que se aplican a la directiva.
Cuando el descubrimiento de McAfee DLP Endpoint detecta contenido confidencial, mueve los archivos o los elementos
de correo electrónico afectados a una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a
los usuarios que sus archivos o correos electrónicos se han puesto en cuarentena. Los archivos y los elementos de correo
electrónico en cuarentena también se cifran para evitar el uso no autorizado.
Antes de empezar
Para mostrar el icono de McAfee DLP en Microsoft Outlook, la opción Mostrar versión de los controles de cuarentena en
Outlook debe estar activada en el Catálogo de directivas → Directiva de cliente → Modo operativo y módulos. Cuando está
desactivado, tanto el icono como la opción de hacer clic con el botón derecho para ver los correos electrónicos en cuarentena
están bloqueados y no se pueden liberar correos electrónicos de la cuarentena.
Cuando se establece una regla de descubrimiento del sistema de archivos para Cuarentena y el rastreador detecta contenido de
carácter confidencial, mueve los archivos afectados a una carpeta de cuarentena y los sustituye por marcadores de posición que
notifican a los usuarios que sus archivos se han puesto en cuarentena. Los archivos en cuarentena se cifran para evitar el uso no
autorizado.
Para elementos de correo electrónico en cuarentena, el descubrimiento de McAfee DLP Endpoint adjunta un prefijo al Asunto
de Outlook para indicar a los usuarios que sus correos electrónicos se han puesto en cuarentena. Tanto el cuerpo de correo
electrónico como los datos adjuntos se ponen en cuarentena.
Note
El mecanismo ha cambiado de las versiones de McAfee DLP Endpoint anteriores, que podrían cifrar el cuerpo o los datos
adjuntos, para evitar la corrupción de firmas al trabajar con el sistema de firmas de correo electrónico.
Los elementos y tareas del calendario de Microsoft Outlook también se pueden poner en cuarentena.
Important
Los archivos en cuarentena se eliminan tras el número de días definido por la directiva (almacenamiento máximo de 30 días).
Procedimiento
1. Para restaurar los archivos en cuarentena:
a. En la bandeja del sistema del equipo gestionado, haga clic en el icono McAfee Agent y seleccione Administrar
funciones → Consola de endpoints de DLP.
Se abrirá la consola de endpoints de DLP.
b. En la ficha Tareas, seleccione Abrir carpeta de cuarentena.
Se abrirá la carpeta de cuarentena.
c. Seleccione los archivos que se van a restaurar. Haga clic con el botón derecho y seleccione Liberar de cuarentena.
Note
El elemento de menú contextual Liberar de cuarentena solo aparece cuando se seleccionan archivos de tipo
*.dlpenc (DLP cifrado).
Los archivos descifrados se restauran en su ubicación original. Si se ha activado la directiva de bloqueo de código de
liberación (en la ficha Configuración de Agent → Servicio de notificación) y se introduce el código de forma incorrecta tres
veces, la ventana emergente se desconecta durante 30 minutos (configuración predeterminada).
Note
En el caso de los archivos, si la ruta se ha modificado o eliminado, se restaura la ruta original. Si existe un archivo con el
mismo nombre en la ubicación, el archivo se restaurará como xxx-copy.abc
1. Ejecute un análisis de inventario para recopilar los metadatos correspondientes a los archivos de los repositorios de su
organización. Los resultados del análisis le ayudarán a comprender qué archivos se encuentran en los repositorios.
2. Configure clasificaciones para detectar información confidencial o sensible. Utilice estas clasificaciones para definir y
ejecutar un análisis de clasificación.
3. Utilice los resultados del análisis de clasificación para ver dónde se encuentra la información confidencial.
4. Configure un análisis de corrección para cifrar los archivos confidenciales o para moverlos a un repositorio más seguro.
5. Continúe ejecutando análisis de forma regular y supervise los resultados de los análisis y los incidentes generados. Ajuste
los análisis en función de los resultados o los cambios en la directiva de su organización.
6. Los documentos registrados tienen un impacto significativo en la RAM. Ejecute los análisis de registro únicamente en los
repositorios más delicados.
• Los análisis de inventario recuperan solamente los metadatos y proporcionan una base para configurar análisis de
clasificación y corrección.
• Los análisis de clasificación recuperan los metadatos, analizan archivos y hacen coincidir con las clasificaciones de
directivas que defina.
• Los análisis de corrección incluyen análisis de clasificación y pueden implementar reglas en los archivos.
Note
En el caso de los análisis de base de datos, los análisis de corrección solo pueden notificar un incidente y almacenar
las pruebas.
• Los análisis de registro aplican huellas digitales al contenido de los archivos de carácter confidencial y las almacenan en
forma de documentos registrados en el DLP Server.
Los componentes de la directiva que se deben configurar dependen del tipo de análisis.
Criterios de
Tipo de análisis Definiciones Clasificaciones Reglas huella digital
Inventario X
Clasificación X X
Corrección X X X
Registro X X
Los resultados del análisis se muestran en la ficha Análisis de datos. La ficha Inventario de datos muestra el inventario de
archivos de los análisis que tienen activada la opción Lista de archivos.
Los análisis de inventario son los análisis más rápidos y solo recuperan los metadatos. Debido a esto, un análisis de inventario es
una buena forma de empezar a planificar una estrategia de prevención de pérdida de datos.
Los análisis de inventario realizados en repositorios de archivos recopilan metadatos tales como el tipo de archivo, el tamaño, la
fecha de creación y la fecha de modificación. El tipo de metadatos disponible depende del tipo de repositorio. Por ejemplo, los
análisis de Box recuperan los metadatos de uso compartido, colaboración y nombre de la cuenta. Los análisis de inventario
realizados en bases de datos recopilan metadatos tales como el nombre del esquema, el nombre de la tabla, el número de
registros, el tamaño y el propietario.
Los resultados de los análisis de inventario se muestran en las pestañas Inventario de datos y Análisis de datos.
Note
También puede utilizar análisis de inventario para contribuir a la automatización de tareas de TI tales como:
Los análisis de clasificación detectan información clasificada o de carácter confidencial.Utilice los resultados de los análisis de
inventario para crear análisis de clasificación.
Los análisis de clasificación son más lentos que los de inventario debido a que el extractor de texto accede a los archivos
y los analiza para que coincidan con las definiciones de las especificaciones de clasificación. Las clasificaciones constan de
definiciones que pueden incluir palabras clave, diccionarios, patrones de texto y propiedades de documento. Estas definiciones
ayudan a identificar contenido de carácter confidencial que podría requerir protección adicional. Al utilizar las herramientas
OLAP para ver patrones multidimensionales de estos parámetros, puede crear análisis de corrección optimizados.
Los resultados de los análisis de clasificación se muestran en las pestañas Inventario de datos y Análisis de datos.
• McAfee DLP Discover puede extraer y analizar archivos cifrados con Microsoft RMS siempre que McAfee DLP Discover
tenga las credenciales configuradas. Otros archivos cifrados no se pueden extraer, analizar ni hacer coincidir con las
clasificaciones.
• Los archivos cifrados con la gestión de derechos digitales (DRM) de Adobe Primetime y McAfee® File and Removable
Media Protection (FRP) se detectan como No cifrado.
• McAfee DLP Discover admite las opciones de criterios de clasificación para Cifrado de Microsoft Rights Management y
No cifrado.
Al crear una clasificación para archivos cifrados con Azure, puede seleccionar y asignar los criterios de cifrado de Azure Rights
Management Encryption a dicha clasificación. Mediante estos criterios, puede excluir o incluir análisis de archivos protegidos por
Azure.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Seleccione la clasificación a la que desee añadir criterios y, a continuación, seleccione Acciones → Nuevos criterios de
clasificación de contenido o Nuevos criterios de identificación por huellas digitales de contenido.
3. Introduzca un nombre para los criterios de clasificación.
4. En el panel Propiedades disponibles, seleccione Cifrado del archivo.
5. Seleccione la comparación es igual a y el valor Cifrado de Azure Rights Management.
6. Haga clic en Guardar.
Resultados
Los criterios deCifrado de Azure Rights Managementse crean y se asignan a la clasificación seleccionada.
Utilice los resultados de los análisis de inventario y clasificación para crear análisis de corrección.
Los análisis de corrección aplican reglas para proteger el contenido de carácter confidencial en el repositorio analizado. Cuando
los datos coinciden con la clasificación en un análisis de corrección, McAfee DLP Discover puede realizar lo siguiente:
Generar un incidente x x
Copiar el archivo x
Mover el archivo x
Eliminar la clasificación x
automática
Note
En el caso de las listas de SharePoint, no se pueden mover archivos ni aplicar directivas de administración de derechos a
los archivos. Estas acciones son compatibles con archivos adjuntos a listas de SharePoint o almacenados en bibliotecas de
documentos. Algunos tipos de archivo utilizados para crear páginas de SharePoint, como .aspx o .js, no se pueden mover ni
eliminar.
Un análisis de corrección también realiza las mismas tareas que los análisis de inventario y clasificación. Los análisis de
corrección requieren clasificaciones y reglas para determinar la acción que se debe realizar en los archivos coincidentes.
Los resultados de los análisis de corrección se muestran en las pestañas Inventario de datos y Análisis de datos. Los análisis
de corrección también pueden generar incidentes que se muestran en la página Gestor de incidentes .
Los análisis de corrección pueden clasificar los archivos mediante la incrustación de una clasificación en las propiedades del
archivo.
Los archivos se pueden clasificar como parte de una acción de corrección. La clasificación se incrusta en las propiedades del
archivo. Como resultado, la clasificación no se pierde cuando los archivos se modifican, se mueven entre repositorios, se cargan
a la web o se envían por correo electrónico.
Para clasificar archivos con análisis de corrección, configure el análisis mediante una regla de descubrimiento de red con una
acción de Clasificar archivo como. Cuando se analiza el repositorio, los archivos que cumplen las condiciones configuradas en
la regla se clasifican en función de la clasificación seleccionada. Además, el ID de etiqueta de la clasificación se incrusta en las
propiedades del archivo.
Para su clasificación, los archivos deben cumplir una de las siguientes condiciones de clasificación especificadas en la regla.
• Clasificación de contenido: palabra clave, diccionario, patrón avanzado, proximidad o propiedades del documento
• Clasificación con documentos registrados
• Tipo de uso compartido de archivos (solo Box)
La clasificación aplicada por la regla se selecciona en la fichaReacción, lo cual permite que el usuario establezca la clasificación
Clasificar archivo como para que sea:
• Una regla solo puede tener una clasificación configurada en la reacción Clasificar archivo como.
• Un archivo está limitado a cinco clasificaciones incrustadas. (Es decir, se pueden aplicar hasta cinco reglas a un solo
archivo).
• Las credenciales del usuario configuradas en el analizador de corrección deben tener permisos de lectura, escritura y
modificación.
• No se pueden clasificar archivos protegidos (cuando no se permite Modificar).
• Solo se admiten las siguientes extensiones de archivo:
mp2 ps xlt
Note
Para los tipos de archivo no compatibles, se envía el evento operativo Tipo de archivo no admitido para la clasificación
automática. .
• El contenido del archivo debe coincidir con su extensión o no se puede clasificar. Por ejemplo, un archivo txt cuya
extensión se ha cambiado a .doc no se clasificará.
• Los archivos postScript (*.ps y *.eps) deben ser al menos la versión 3.0. La biblioteca estándar no admite versiones
anteriores a la 3.0, por lo que no se clasifican.
• Los archivos MP3 contienen metadatos dentro de una etiqueta ID3 especial. Esta etiqueta suele contener información
como el título de la pista, el artista y el álbum. En el caso de los archivos que se deben clasificar, debe existir esta
etiqueta. Los archivos MP3 sin dicha etiqueta no se clasifican.
• Los archivos *.mpeg y *.mpg deben tener el formato de archivo multimedia ISO para poder ser clasificados. Para
verificarlo, abra el archivo con el Bloc de notas. Tras los primeros 4 bits hay algún texto que empieza por ftyp, por
ejemplo, ftypmp42, si el formato del archivo es ISO.
• Los archivos con el tamaño igual a 0 no se descargan y, en consecuencia, no se pueden etiquetar. Se envía el evento
operativo Tipo de archivo no admitido. .
Eliminar clasificaciones automáticas
Note
Las reglas de descubrimiento con la acción Eliminar clasificación automática no son compatibles con versiones anteriores.
Las reglas pasadas a versiones anteriores de McAfee DLP Discover utilizan la acción de respaldo Sin acción.
Los análisis de corrección en los repositorios del servidor de archivos, SharePoint o Box pueden eliminar o aplicar las
clasificaciones automáticas. La creación de una regla con una acción Eliminar clasificación automática elimina la etiqueta de
clasificación especificada de un archivo sin afectar a otras etiquetas que puedan haberse aplicado al archivo. La regla solo puede
especificar una clasificación y no puede eliminar las etiquetas aplicadas manualmente.
Los análisis de registro extraen las firmas de los archivos para su uso en la definición de los criterios de clasificación.
Los documentos registrados son una extensión de la identificación por huellas digitales del contenido basada en la ubicación.
Note
Los documentos registrados creados por un análisis de registro se consideran de registro automático. Se pueden ver en la
página Clasificación → Registrar documentos mediante la selección de Tipo: registro automático. Es posible utilizarlos para
definir directivas de McAfee DLP Prevent y McAfee DLP Monitor, así como para definir análisis de McAfee DLP Discover. No
se pueden utilizar en directivas de McAfee DLP Endpoint.
El DLP Server que lleva a cabo el servicio de coincidencia se ha especificado en Catálogo de directivas en la página de
Documentos registrados de la configuración del servidor.
Note
Todos los servidores de DLP recopilan todos los paquetes. La sincronización de servidores ya no es necesaria, por lo
que se reduce el ancho de banda de red.
4. Los servidores de McAfee DLP Discover que ejecutan análisis de clasificación o corrección hacen coincidir las huellas
digitales con llamadas de API REST con DLP Server.
• Los paquetes de firmas de huella digital se almacenan en la red (valor UNC predeterminado: recurso compartido de
almacenamiento de pruebas de red).
• Todas las firmas se agregan a la base de datos de DLP Server.
• Las firmas se sobrescriben cuando el análisis que las ha registrado se ejecuta de nuevo.
Limitaciones
Las firmas pueden tener un gran impacto en la RAM en DLP Server. 100 millones de firmas, el máximo por ejecución, ocupan
aproximadamente 7 GB de RAM.
• El tamaño máximo de la base de datos se define en la página Clasificación de Configuración de DLP y puede oscilar
entre 10 millones y 500 millones de firmas.
• El número máximo de análisis de registro (habilitados y deshabilitados) que puede mostrarse en Operaciones de
análisis es 100.
• El DLP Serverhost de servidor que se muestra en la página Catálogo de directivas → Configuración del servidor →
Documentos registrados debe estar en la misma LAN que el servidor de McAfee ePO. Los servidores de McAfee DLP
Discover se pueden encontrar en otra LAN o en WAN.
• Las credenciales de usuario proporcionadas para los análisis de registro deben tener, como mínimo, permisos de
LECTURA y atributos de ESCRITURA, así como acceso a las carpetas analizadas.
Exclusión de directorios
Para evitar impactos negativos en el rendimiento, excluya los directorios y procesos de McAfee DLP Discover de estas
aplicaciones:
Tipo Excluir
Procesos
• dscrawler.exe
• dseng.exe
• dssvc.exe
• dstex.exe
Directorios
• c:\ProgramData\mcafee\discoverserver
• c:\Archivos de programa\mcafee\discoverserver
Tipo Excluir
Claves de registro
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node
\McAfee\DiscoverServer
• HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\Discov
erServer
• HKEY_LOCAL_MACHINE\SOFTWARE\ODBC.INI\McAf
eeDSPostgres
Definiciones de repositorio
La configuración de las ubicaciones del repositorio en McAfee ePO tiene estas limitaciones.
• Los intervalos de direcciones IP son compatibles solamente con las direcciones de clase C.
• Los intervalos de direcciones IP no pueden incluir direcciones que acaben en 0 o 255.
Note
• No se admite IPv6.
Análisis de SharePoint
Los análisis de SharePoint no rastrean los catálogos del sistema, las listas ocultas o las listas etiquetadas como NoCrawl. Como
las listas de SharePoint son altamente personalizables, es posible que haya otras listas que no se analicen.
Es posible rastrear la mayoría de las listas disponibles sin configuración con las versiones de SharePoint compatibles, como, por
ejemplo:
• Anuncios
• Contactos
• Paneles de discusión
• Eventos
• Lista genérica
• Rastreadores de problemas
• Enlaces
• Reuniones
• Tareas
Los elementos individuales de una lista se combinan y agrupan en una estructura XML, y se analizan como un archivo XML único.
Los archivos adjuntos a elementos de la lista se analizan tal cual.
Análisis de Box
No se admite la configuración del mismo repositorio de Box en varios servidores de McAfee DLP Discover.
La capacidad de análisis varía según la cuenta utilizada. Para analizar otras cuentas, póngase en contacto con el servicio de
soporte de Box a fin de habilitar la funcionalidad «as-user» (como usuario).
Note
En Microsoft SQL, la marca de tiempo es un contador de versiones de fila y no un campo con una hora.
Para las bases de datos de Oracle, se ignoran todos los tipos de contenido multimedia. Incluyen los siguientes:
ORDIMAGE SI_FEATURELIST
ORDIMAGESIGNATURE SI_POSITIONALCOLOR
Los análisis de la base de datos de McAfee DLP Discover ahora permiten el uso de caracteres de idiomas extranjeros y
especiales en los esquemas, tablas y columnas de la base de datos. Sin embargo, es posible que falle la lectura si el análisis
encuentra ciertas secuencias de caracteres especiales en los nombres de las bases de datos, esquemas o tablas. Las secuencias
de caracteres especiales ilegibles varían según el proveedor de la base de datos. En este caso, McAfee DLP Discover envía el
mensaje de error definido por el proveedor y pasa al siguiente objeto.
Los análisis de corrección ahora admiten la generación de informes de incidentes por registro. El campo Notificar incidente por
registro solo está disponible cuando el tipo de análisis se ha establecido en Corrección. Los análisis de inventario y clasificación
siguen informando por tabla. El valor predeterminado es No informar de incidentes. La lista desplegable establece el número
de incidentes que notificar por cada tabla de base de datos entre 100 y 10 000.
Si se detiene un servidor de base de datos (apagado) o se desconecta durante un análisis, McAfee DLP Discover informa del
estado de ejecución como Detenido en la ficha Operaciones de análisis. El análisis solo se reinicia cuando la directiva se vuelve a
aplicar.
Note
MySQL no envía una notificación cuando el servidor deja de funcionar, de modo que McAfee DLP Discover sigue
ejecutándose e intentando completar el análisis.
Cuando la regulación de ancho de banda está habilitada, McAfee DLP Discover la aplica a los archivos individuales que se
están recuperando, no a todo el análisis en general. McAfee DLP Discover obtiene archivos en bloques. El software de análisis
comprueba la velocidad tras leer cada bloque. Si se encuentra por encima de la velocidad establecida, el software entra
en reposo para reducir la velocidad media. El rendimiento puede estar por encima o por debajo del límite de regulación
configurado durante la obtención de un bloque, pero ahora los archivos se obtienen en bloques de 16 kilobits para minimizar
los picos. Un análisis se puede disparar por encima o por debajo del límite de regulación configurado, pero el rendimiento
medio medido en todo el análisis se mantiene muy cercano al límite configurado. Cuando está habilitado, el valor de regulación
predeterminado es de 2000 Kbps.
En el entorno de Linux, las descripciones de ruta de NFS distinguen entre mayúsculas y minúsculas. Se le permite, por ejemplo,
tener la ruta \\server\share\carpeta y la ruta \\server\share\CARPETA. Las definiciones del repositorio del servidor de archivos de
DLP validan las rutas introducidas para evitar la repetición de rutas, por lo que el ejemplo especificado no es válido para una
única definición de repositorio de servidor de archivos. Si desea analizar ambas rutas, una solución es introducir la ruta principal
(\\server\share) y analizar todas las subcarpetas. Otra solución es definir cada una de las rutas en una definición distinta y
agregar ambas definiciones de repositorio a la regla de descubrimiento.
Los repositorios de servidor de archivos admiten los permisos de solo lectura. Si analiza un repositorio de servidor de archivos
cuando el usuario tiene permisos de solo lectura, se cambia la hora del último acceso. Para conservar la hora del último acceso
del archivo, seleccione la opción para omitir archivos para los cuales el usuario no tiene permisos de escritura. Esto puede
hacerse al crear la definición del repositorio del servidor de archivos. De forma predeterminada, el análisis de clasificación
y corrección no puede leer el archivo si el usuario únicamente tiene permisos de solo lectura. Para permitir los análisis de
clasificación y corrección con permisos de solo lectura, cambie el ajuste predeterminado en DLP Discover → Definiciones →
Repositorios → Servidor de archivos → Credenciales a Inspeccionar siempre el contenido del archivo. en la página Gestión de
análisis.
Al definir un repositorio de SharePoint, el nombre de host es la URL del servidor, a menos que se haya configurado una
asignación alternativa de acceso (AAM) en el servidor. Para obtener más información acerca de AAM, consulte la documentación
de SharePoint de Microsoft.
Las definiciones de credenciales son específicas de las definiciones de repositorio del servidor de archivos o SharePoint. En la
definición de credenciales, si el usuario es un usuario de dominio, utilice el nombre de dominio completo (FQDN) en el campo
Nombre de dominio. Si se trata de un usuario de un grupo de trabajo, utilice el nombre del equipo local. Si la definición del
repositorio solo contiene una versión UNC, por ejemplo, FQDN, debe utilizar dicha versión en la definición de credenciales.
Para los repositorios de dominios AD, utilice la opción Probar credenciales para verificar el nombre de usuario y la
contraseña. El uso de credenciales incorrectas crea un evento que indica el motivo por el cual ha fallado el análisis. Consulte el
evento en la página Lista de eventos operativos para obtener más detalles.
Repositorios de Box
Cuando defina un repositorio de Box, obtenga el ID y la clave secreta del cliente del sitio web de Box. Utilice el sitio web de
Box para configurar la aplicación de McAfee DLP Discover, la empresa de gestión y la funcionalidad como usuario. Si no utiliza
una cuenta de administrador, póngase en contacto con el soporte técnico de Box para obtener más información sobre cómo
configurar esta funcionalidad.
Bases de datos
Cuando se define una base de datos, puede identificar el servidor de base de datos por el nombre de host o la dirección IP.
También se especifica el puerto y el nombre de la base de datos. Puede especificar un determinado certificado SSL, cualquier
certificado SSL o ningún certificado. Los certificados SSL especificados en las definiciones de base de datos se definen en
Administrador de directivas de DLP → Definiciones.
Hay dos tipos de definiciones que se utilizan para McAfee DLP Discover:
• Las definiciones utilizadas en los análisis especifican las planificaciones, los repositorios y las credenciales de los
repositorios.
• Las definiciones utilizadas en las clasificaciones especifican qué se hace coincidir cuando se rastrean los archivos, como
las propiedades del archivo o los datos en un archivo.
Diccionario*
Credenciales Análisis
Planificador
Certificado SSL
Box
Servidor de archivos
Base de datos
SharePoint
Note
Los análisis de clasificación y corrección utilizan clasificaciones para identificar archivos y datos confidenciales.
Las clasificaciones utilizan una o más definiciones para que las propiedades del archivo coincidan con el contenido del archivo.
Puede utilizar los análisis de clasificación para analizar los patrones de datos en los archivos. Utilice los resultados de los análisis
de clasificación para ajustar las clasificaciones, las cuales se pueden utilizar en los análisis de corrección.
Note
Los análisis de clasificación y corrección pueden detectar archivos clasificados manualmente, pero McAfee DLP Discover no
puede aplicar clasificaciones manuales a los archivos.
McAfee DLP Discover puede detectar e identificar las clasificaciones manuales o automáticas establecidas por McAfee DLP
Endpoint en los archivos. Puede ver las clasificaciones automáticas en los detalles de los incidentes o en la pestaña
Inventario de datos.
McAfee DLP Discover no utiliza los documentos registrados manualmente. Utiliza los documentos registrados creados por los
análisis de registro de McAfee DLP Discover (documentos registrados automáticamente) almacenados en servidores de bases
de datos del servidor de DLP.
Los archivos rastreados en un análisis de corrección se comparan con las reglas de descubrimiento activas. Si el archivo coincide
con el repositorio y con las clasificaciones definidas en una regla, McAfee DLP Discover aplica la Acción especificada en la regla.
Sistema de
Acción archivos SharePoint Box Base de datos
No llevar a cabo x X X x
ninguna acción.
Sistema de
Acción archivos SharePoint Box Base de datos
Crear un x X X X
incidente
Almacenar el x X X X
archivo original
como prueba
Copiar el archivo X¹ X¹ X¹
Aplicar una x X² X
directiva de
administración de
derechos al
archivo
Clasificar archivo x X x
como
Eliminar la X X X
clasificación
automática
Eliminar recursos X
compartidos
anónimos para el
archivo
² No es compatible con las listas de SharePoint; solo se admite para archivos adjuntos a listas de SharePoint o almacenados
en bibliotecas de documentos, y solo para SMB/CIFS. Algunos tipos de archivo utilizados para crear páginas de SharePoint, por
ejemplo, .aspx o .js, no se pueden mover ni eliminar.
Todos los análisis requieren una definición para especificar el repositorio, las credenciales y la planificación. Las definiciones de
los análisis pueden crearse en la página DLP Discover en el Gestor de directivas de DLP.
Antes de empezar
Debe contar con el nombre de usuario, la contraseña y la ruta para el repositorio.
Procedimiento
1. En McAfee ePO, seleccione una de las opciones siguientes:
Note
Para los análisis de corrección, las credenciales deben tener permisos de lectura y escritura. Para los análisis de
corrección que aplican la directiva de gestión de derechos o mueven los archivos, se requieren permisos de control
total.
Note
Los parámetros de Excluir son opcionales. Se requiere al menos una definición de Incluir.
Note
Note
Las definiciones de información de los archivos se utilizan para definir los filtros del análisis. Los filtros permiten
analizar los repositorios de una manera más específica al definir qué archivos se incluyen o se excluyen. Las
definiciones de información de los archivos son opcionales pero recomendables.
Las credenciales son necesarias para leer y modificar los archivos de la mayoría de repositorios. Si sus repositorios tienen las
mismas credenciales, puede utilizar una única definición de las credenciales para todos ellos.
Procedimiento
1. En McAfee ePO, seleccione una de las opciones siguientes:
Note
Para hacer un rastreo en todas las colecciones de una aplicación web de SharePoint, utilice unas credenciales que
tengan permiso de Acceso completo de lectura en toda la aplicación web.
6. En el caso de los repositorios de dominios de Windows, haga clic en Probar credenciales para comprobar el nombre de
usuario y la contraseña desde McAfee ePO.
Esto no permite comprobar las credenciales desde el servidor de Discover.
Note
No hay verificación para las credenciales que no forman parte de un dominio de Windows. Si un análisis falla debido a
que las credenciales son incorrectas, se crea un evento en la página Lista de eventos operativos.
• Ejecutar inmediatamente
• Una vez
• Diaria
• Semanal
• Mensual
Procedimiento
1. En McAfee ePO, seleccione una de las opciones siguientes:
Note
La pantalla cambia cuando se selecciona el tipo de planificación para proporcionar los campos necesarios para ese tipo.
SharePoint y bases de datos como Oracle y SQL necesitan permisos específicos para ejecutar análisis de Discover.
Usuario de Oracle CREATE VIEW GRANT CREATE VIEW TO Permisos para definir
(sysdb) "nombredeusuario"; una vista.
Usuario de SharePoint
• Para análisis
de inventario y
clasificación: permisos
de solo lectura
• Para análisis de
corrección: permisos
totales
Puede utilizar regex en la sintaxis de Perl cuando especifique los parámetros a incluir o excluir para carpetas, en lugar de utilizar
una ruta completa específica.
• Para incluir entradas, especifique el prefijo de ruta, por ejemplo, \\server o \\server\share\folder. La expresión regular
debe coincidir exactamente con el sufijo de la ruta.
• En el caso de las entradas de exclusión, las carpetas que coincidan con la ruta se omitirán por completo del análisis.
Procedimiento
1. En McAfee ePO, seleccione una de las opciones siguientes:
Note
La ruta UNC puede ser el nombre de dominio completo (FQDN) (\\miservidor1.midominio.com) o el nombre del
equipo local (\\miservidor1). Puede agregar ambas versiones a una única definición. Se analizan varias entradas
como OR lógicas.
c. (Opcional) Introduzca una expresión regular para el análisis de las carpetas coincidentes.
d. Haga clic en Añadir.
7. (Repositorios de SharePoint) Configure al menos una entrada Incluir.
a. Seleccione el tipo Incluir.
b. Configure una o varias URL.
Note
La opción Servidor de SharePoint utiliza únicamente una URL. El nombre de host es el nombre de NetBIOS
del servidor, a menos que se haya configurado una asignación alternativa de acceso (AAM) en el servidor. Para
obtener más información acerca de AAM, consulte la documentación de SharePoint desde Microsoft.
• Para especificar un sitio: finalice la URL con una barra diagonal (http://SPServer/sites/DLP/).
• Para especificar un subsitio: utilice el subsitio finalizado con una barra diagonal (http://SPserver/sites/DLP/
Discover/).
• Para especificar una aplicación web: utilice solo el nombre de la aplicación web y el puerto en la URL (http://
SPServer:port).
• Para especificar una lista o biblioteca de documentos: utilice la URL completa hasta la vista predeterminada
de la lista (http://SPServer/sites/DLP/Share%20Documents/Default.aspx).
Note
Procedimiento
1. En McAfee ePO, seleccione una de las siguientes opciones:
Note
En otras palabras, si accede a McAfee ePO mediante el nombre de host, debe utilizar el nombre de host para el
URI de redirección; no se puede utilizar una dirección IP. Cualquier discrepancia en las direcciones da lugar a un
error de URI de redirección de Box.
• Para analizar otras cuentas, póngase en contacto con el servicio de soporte de Box a fin de habilitar la
funcionalidad «as-user» (como usuario).
Antes de empezar
Prepare el servidor IP/nombre del host de la base de datos para escribirlo o copiarlo y pegarlo en la definición. Este campo es
obligatorio.
Procedimiento
1. En McAfee ePO, seleccione una de las siguientes opciones:
Para que McAfee DLP Discover analice bases de datos de Oracle, cree un usuario con los permisos necesarios.
Procedimiento
1. Ejecute SQL*Plus.
2. Inicie sesión como administrador de bases de datos.
Ejemplo: nombredeusuario/contraseña@SID como sysdba
3. Cree un usuario con los siguientes comandos:
4. Ejecute cada uno de los siguientes comandos en SQL*Plus para conceder los permisos necesarios:
Caution
EXT_TAB_DATA es la etiqueta utilizada con más frecuencia para el almacenamiento de tablas externas, pero puede
depender de la estructura de la base de datos del cliente. Cada DBA de cliente debe considerar meticulosamente la
concesión del permiso de LECTURA/ESCRITURA en el DIRECTORIO con tablas externas.
Resultados
El usuario creado tiene los permisos necesarios para permitir que McAfee DLP Discover analice los esquemas de base de datos
de Oracle.
Antes de empezar
Debe disponer de permisos de administrador de SQL para crear un usuario de SQL.
Procedimiento
1. Abra SQL Server Management Studio (SSMS) y conéctese a SQL Server.
2. Expanda Seguridad → Inicios de sesión en el panel izquierdo.
3. Haga clic con el botón derecho en Inicios de sesión y seleccione Nuevo inicio de sesión en la lista desplegable.
4. Añada el usuario, especificando Autenticación de SQL Server.
Si tiene muchos repositorios, es posible que sea más fácil gestionarlos como un archivo XML que añadirlos y editarlos de uno en
uno en McAfee ePO.
Utilice la función de exportación para guardar las definiciones de repositorios existentes y las credenciales asociadas en un
archivo XML. Use este archivo como base para añadir y configurar sus repositorios en formato XML.
Al importar un archivo XML, las definiciones de repositorios y credenciales se validan y se añaden a la lista de entradas. Si existe
una definición de repositorio en McAfee ePO y el archivo XML, se sobrescribe la definición con la información del archivo XML.
Las definiciones se identifican de manera exclusiva mediante el valor ID.
Procedimiento
1. En McAfee ePO, seleccione una de las siguientes opciones:
Utilice reglas para definir la acción que se debe llevar a cabo cuando un análisis de corrección detecta archivos que coinciden
con clasificaciones.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. Haga clic en la pestaña Conjuntos de reglas.
3. Si no hay conjuntos de reglas configurados, cree uno.
a. Seleccione Acciones → Nuevo conjunto de reglas.
b. Introduzca el nombre y una nota opcional, y haga clic en Aceptar.
4. Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, haga clic en la pestaña Descubrir.
5. Seleccione Acciones → Nueva regla de descubrimiento de red y, a continuación, seleccione el tipo de regla.
6. En la pestaña Condición, configure una o varias clasificaciones y repositorios.
Configurar un análisis
Configuración de un análisis de inventario
Los análisis de inventario solamente recopilan metadatos. Son los análisis más rápidos y, por tanto, el punto de inicio habitual en
la determinación de qué análisis son necesarios.
Utilice análisis de inventario para planificar la estrategia de protección de datos. Puede crear análisis o editar y reutilizar los
existentes según sea necesario.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → DLP Discover.
2. En la pestaña Servidores Discover, seleccione Acciones → Detectar servidores para actualizar la lista.
Note
Si la lista es larga, puede definir un filtro para que se muestre una lista más corta.
3. En la pestaña Operaciones de análisis, seleccione Acciones → Nuevo análisis y elija el tipo de repositorio.
4. Escriba un nombre exclusivo y seleccione Tipo de análisis: inventario. Seleccione una plataforma de servidor y una
planificación.
Note
Es necesario definir previamente los servidores Discover. Puede seleccionar una planificación definida o crear una
nueva.
5. (Opcional) Establezca los valores para Lista de archivos o Administración de errores a fin de reemplazar los valores
predeterminados.
6. Seleccione los repositorios que desee analizar.
a. En la ficha Repositorios, haga clic en Acciones → Seleccionar repositorios.
b. Si fuera necesario, especifique las credenciales de cada repositorio en la lista desplegable.
Las credenciales predeterminadas para lo que se ha configurado para ese repositorio.
Tip
Puede crear definiciones para el repositorio y las credenciales, si fuera necesario, en la ventana de selección.
7. (Opcional) En la pestaña Filtros, seleccione Acciones → Seleccionar filtros para especificar los archivos que incluir o
excluir.
De forma predeterminada, se analizan todos los archivos.
8. Haga clic en Guardar.
9. Haga clic en Aplicar directiva.
Los análisis de clasificación recopilan datos del archivo en función de clasificaciones definidas. Se utilizan para analizar los
sistemas de archivos a fin de que los datos de carácter confidencial estén protegidos con un análisis de corrección.
Antes de empezar
• Ejecute un análisis de inventario. Utilice los datos del inventario para definir clasificaciones.
• Cree las definiciones de clasificación necesarias antes de configurar un análisis de clasificación. No hay ninguna opción
para crear una clasificación en los ajustes de configuración.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → DLP Discover.
2. En la pestaña Servidores Discover, seleccione Acciones → Detectar servidores para actualizar la lista.
Note
Si la lista es larga, puede definir un filtro para que se muestre una lista más corta.
3. En la pestaña Operaciones de análisis, seleccione Acciones → Nuevo análisis y elija el tipo de repositorio.
4. Escriba un nombre único y seleccione Tipo de análisis: clasificación. Seleccione una plataforma de servidor y una
planificación.
Note
Es necesario definir previamente los servidores Discover. Puede seleccionar una planificación definida o crear una
nueva.
5. (Opcional) Establezca los valores de los campos Regulación, Lista de archivos o Administración de errores a fin de
reemplazar los valores predeterminados.
6. Seleccione los repositorios que desee analizar.
a. En la ficha Repositorios, haga clic en Acciones → Seleccionar repositorios.
b. Si fuera necesario, especifique las credenciales de cada repositorio en la lista desplegable.
Las credenciales predeterminadas para lo que se ha configurado para ese repositorio.
Note
Puede crear definiciones para el repositorio y las credenciales, si fuera necesario, en la ventana de selección.
7. (Opcional) En la pestaña Filtros, seleccione Acciones → Seleccionar filtros para especificar los archivos que incluir o
excluir.
De forma predeterminada, se analizan todos los archivos.
8. Seleccione las clasificaciones para el análisis.
a. En la pestaña Clasificaciones, haga clic en Acciones → Seleccionar clasificaciones.
b. Seleccione una o varias clasificaciones de la lista.
9. Haga clic en Guardar.
10. Haga clic en Aplicar directiva.
Los análisis de corrección aplican reglas para proteger el contenido de carácter confidencial en el repositorio analizado.
Antes de empezar
• Si el análisis está configurado para aplicar la directiva de administración de derechos o para mover archivos, asegúrese
de que las credenciales para el repositorio tengan permisos de control total.
• Cree las clasificaciones y las reglas para el análisis.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → DLP Discover.
2. En la pestaña Servidores Discover, seleccione Acciones → Detectar servidores para actualizar la lista.
3. En la pestaña Operaciones de análisis, seleccione Acciones → Nuevo análisis y elija el tipo de repositorio.
4. Escriba un nombre único y seleccione Tipo de análisis: corrección. Seleccione una plataforma de servidor y una
planificación.
Note
Es necesario definir previamente los servidores Discover. Puede seleccionar una planificación definida o crear una
nueva.
5. (Opcional) Establezca los valores de los campos Regulación, Lista de archivos, Administración de incidentes o
Administración de errores en lugar de los valores predeterminados.
6. Seleccione los repositorios que desee analizar.
a. En la ficha Repositorios, haga clic en Acciones → Seleccionar repositorios.
b. Si fuera necesario, especifique las credenciales de cada repositorio en la lista desplegable.
Las credenciales predeterminadas para lo que se ha configurado para ese repositorio.
Note
Puede crear definiciones para el repositorio y las credenciales, si fuera necesario, en la ventana de selección.
7. (Opcional) En la pestaña Filtros, seleccione Acciones → Seleccionar filtros para especificar los archivos que incluir o
excluir.
De forma predeterminada, se analizan todos los archivos.
8. Seleccione las reglas para el análisis.
a. En la pestaña Reglas, haga clic en Acciones → Seleccionar conjuntos de reglas.
b. Seleccione uno o varios conjuntos de reglas de la lista.
9. Haga clic en Guardar.
10. Haga clic en Aplicar directiva.
Antes de empezar
• Es necesario definir previamente los servidores Discover. Despliegue el software McAfee DLP Discover en los servidores
de la red y verifique la instalación.
• Cree una o varias clasificaciones con criterios de huella digital de acuerdo con el repositorio que desee analizar.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → DLP Discover.
2. En la pestaña Servidores Discover, seleccione Acciones → Detectar servidores para actualizar la lista.
Si la lista es larga, defina un filtro para que se muestre una lista más corta.
3. En la pestaña Operaciones de análisis, seleccione Acciones → Nuevo análisis y elija el tipo de repositorio.
Puede ejecutar análisis de registro únicamente en los repositorios del servidor de archivos, Box o SharePoint.
4. Escriba un nombre exclusivo y seleccione Tipo de análisis: Registro de documentos. Seleccione una plataforma de
servidor y una planificación.
Note
5. (Opcional) Defina los valores para Regulación, Lista de archivos, Firmas o Administración de errores a fin de reemplazar
los valores predeterminados.
6. Seleccione los repositorios que desee analizar.
a. En la ficha Repositorios, haga clic en Acciones → Seleccionar repositorios.
b. Si fuera necesario, especifique las credenciales de cada repositorio en la lista desplegable.
Las credenciales predeterminadas para lo que se ha configurado para ese repositorio.
Note
Puede crear definiciones para el repositorio y las credenciales, si fuera necesario, en la ventana de selección.
7. (Opcional) En la pestaña Filtros, seleccione Acciones → Seleccionar filtros para especificar los archivos que incluir o
excluir.
De forma predeterminada, se analizan todos los archivos.
8. Seleccione los criterios para el análisis.
a. En la ficha Criterios de huella digital, haga clic en Acciones → Seleccionar clasificaciones.
b. Seleccione clasificaciones de la lista y, a continuación, haga clic en Aceptar.
9. Haga clic en Guardar.
10. Haga clic en Aplicar directiva.
DLP Discover
Utilice esta página para detectar los servidores de descubrimiento y ver la información de los servidores en la red.
La página Servidores Discover muestra información en los servidores de descubrimiento en la red. Puede filtrar los resultados
que se muestran seleccionando valores de limitación para uno o varios parámetros con el control del filtro Editar. Puede
reutilizar los filtros no guardados a lo largo de la sesión de trabajo o Guardar el filtro como público o privado para usarlo en el
futuro.
Definiciones de filtros
Opción Definición
Definiciones de acciones
Opción Definición
Opción Definición
Definir nombre del sistema Establece el nombre del sistema opcional del
equipo seleccionado.
Definiciones de descubrimiento
Utilice esta página para crear definiciones para las operaciones de análisis de McAfee DLP Discover.
Opción Definición
Opción Definición
Opción Definición
Contraseña
Confirmar contraseña
Opción Definición
Página Planificador
El Planificador almacena planificaciones para la ejecución de McAfee DLP Discover y los análisis de descubrimiento de Endpoint.
Las opciones disponibles dependen del Tipo de planificación seleccionado. La tabla 1 muestra las opciones que se aplican a
todos los tipos de planificación.
Tabla 1
Opción Descripción
La tabla 2 describe las opciones adicionales para todos los tipos de planificación que no sean Ejecutar inmediatamente.
Tabla 2
Opción Descripción
Tabla 3
Ejecutar inmediatamente y Una vez No hay opciones, a excepción del ajuste del tipo de
planificación.
Opción Definición
Opción Definición
Archivo de certificado Haga clic en Cargar archivo para buscar los archivos
de certificado.
Utilice esta opción para configurar un análisis o para consultar los análisis configurados existentes.
Esta página muestra información sobre los análisis configurados, como los nombres de análisis, el número de archivos
analizados y la hora a la que se ejecutaron los análisis. El usuario puede configurar en la pantalla qué parámetros mostrar y el
orden de visualización seleccionandoAcciones → Elegir columnas. Puede filtrar los resultados que se muestran seleccionando
valores de limitación para uno o varios parámetros con el control del filtro Editar. Puede reutilizar los filtros no guardados a lo
largo de la sesión de trabajo o Guardar el filtro como público o privado para usarlo en el futuro.
Haga clic en Aplicar directiva para aplicar la configuración a los servidores de McAfee DLP Discover.
Definiciones de filtros
Opción Definición
Opción Definición
Definiciones de acción
Opción Definición
Todos los análisis de descubrimiento se configuran de manera similar. Estas opciones de análisis se seleccionan en el panel
superior Detalles de análisis. El panel inferior dispone de diversas fichas para análisis nuevos.
Se recomienda crear definiciones de planificación, repositorio, filtrado y conjunto de reglas antes de configurar los análisis. Si los
repositorios requieren credenciales para el acceso, cree también las definiciones de credenciales necesarias.
Opción Definición
Lista de archivos (todos los tipos de análisis excepto Seleccione esta opción si desea mostrar la
de la base de datos) información del Inventario de datos. Si anula
la selección de esta opción, puede ver los
contadores en la página Análisis de datos, pero
no puede ampliarlos para mostrar la información
detallada. Para los repositorios de mayor tamaño,
recomendamos que utilice esta opción con filtros
a fin de limitar el impacto en la base de datos de
McAfee ePO.
Información de tablas (solo análisis de base de Casilla de verificación para almacenar la información
datos) de tablas de la base de datos en el Inventario de
datos.
Opción Definición
Administración de incidentes (solo análisis de Utilice la lista desplegable para establecer el número
corrección) máximo de incidentes de los que informar por
análisis. Seleccione la casilla de verificación para
cerrar el análisis en caso de que se supere un
umbral. Intervalo: 100-100 000
Informar del incidente por registro (solo en análisis Lista desplegable para informar del número máximo
de base de datos) de incidentes por tabla de base de datos. El valor
predeterminado es No informar de incidentes.
Solo se puede editar la lista desplegable para los
informes de análisis de corrección o análisis de
inventario y clasificación por tabla.
Firmas (solo análisis de registro) Utilice la lista desplegable para establecer el número
máximo de firmas de las que informar por análisis.
Intervalo: 100 000-100 000 000
Opciones de la ficha
Fichas
Criterios de huella digital Solo análisis de registro Muestra los criterios de huella
digital, el recurso compartido de
red y el tipo (diccionario, palabra
clave etc.) en cada caso.
Definiciones de acciones
Opción Definición
Seleccionar conjunto de reglas Solo aparece para Tipo de análisis: Corrección. Abre
la ventana Elegir entre los valores existentes para
seleccionar las definiciones de Conjunto de reglas.
Opción Definición
Opción Definición
Opción Definición
Credenciales
• Vínculo del sitio web de Box: puede utilizar este
vínculo para definir la aplicación del servidor de
descubrimiento y obtener el ID y la clave secreta de
cliente.
• ID de cliente: especifica el ID de cliente.
• Clave secreta de cliente: especifica la clave secreta
de cliente.
• Obtener token: abre una página en Box para
recuperar el token.
Opción Definición
Utilice esta página para crear una definición de repositorio NFS o SMB/CIFS.
Las definiciones de repositorio pueden contener tanto los repositorios incluidos como excluidos.
Opción Definición
Opción Definición
Opción Definición
Las definiciones de repositorios pueden contener repositorios incluidos y excluidos. Puede utilizar la sección Excluir para excluir
los directorios específicos de SharePoint definidos en la sección Incluir, así como excluir otros recursos compartidos.
Opción Definición
En esta página, puede seleccionar la definición del planificador para realizar un análisis.
Definiciones de las opciones
Opción Definición
Opción Definición
Opción Definición
Mostrar solo elementos seleccionados Cuando se selecciona esta opción, solo se muestran
los elementos seleccionados.
Opción Definición
Los filtros se aplican a las definiciones de Información del archivo para limitar el análisis por propiedades como el tamaño del
archivo, la fecha o la extensión.
Opción Definición
Mostrar solo elementos seleccionados Cuando se selecciona esta opción, solo se muestran
los elementos seleccionados.
Opción Definición
En esta página, puede seleccionar las clasificaciones que desea utilizar en un análisis de clasificación.
Definiciones de las opciones
Opción Definición
Mostrar solo elementos seleccionados Cuando se selecciona esta opción, solo se muestran
los elementos seleccionados.
En esta página, puede seleccionar los conjuntos de reglas que desea utilizar en un análisis de corrección.
Opción Definición
Mostrar solo elementos seleccionados Cuando se selecciona esta opción, solo se muestran
los elementos seleccionados.
Utilice esta página para detectar los servidores de descubrimiento y ver la información de los servidores en la red.
La página Servidores Discover muestra información en los servidores de descubrimiento en la red. Puede filtrar los resultados
que se muestran seleccionando valores de limitación para uno o varios parámetros con el control del filtro Editar. Puede
reutilizar los filtros no guardados a lo largo de la sesión de trabajo o Guardar el filtro como público o privado para usarlo en el
futuro.
Definiciones de filtros
Opción Definición
Definiciones de acciones
Opción Definición
Definir nombre del sistema Establece el nombre del sistema opcional del
equipo seleccionado.
Utilice esta opción para configurar un análisis o para consultar los análisis configurados existentes.
Esta página muestra información sobre los análisis configurados, como los nombres de análisis, el número de archivos
analizados y la hora a la que se ejecutaron los análisis. El usuario puede configurar en la pantalla qué parámetros mostrar y el
orden de visualización seleccionandoAcciones → Elegir columnas. Puede filtrar los resultados que se muestran seleccionando
valores de limitación para uno o varios parámetros con el control del filtro Editar. Puede reutilizar los filtros no guardados a lo
largo de la sesión de trabajo o Guardar el filtro como público o privado para usarlo en el futuro.
Haga clic en Aplicar directiva para aplicar la configuración a los servidores de McAfee DLP Discover.
Definiciones de filtros
Opción Definición
Definiciones de acción
Opción Definición
Todos los análisis de descubrimiento se configuran de manera similar. Estas opciones de análisis se seleccionan en el panel
superior Detalles de análisis. El panel inferior dispone de diversas fichas para análisis nuevos.
Se recomienda crear definiciones de planificación, repositorio, filtrado y conjunto de reglas antes de configurar los análisis. Si los
repositorios requieren credenciales para el acceso, cree también las definiciones de credenciales necesarias.
Opción Definición
Lista de archivos (todos los tipos de análisis excepto Seleccione esta opción si desea mostrar la
de la base de datos) información del Inventario de datos. Si anula
la selección de esta opción, puede ver los
contadores en la página Análisis de datos, pero
no puede ampliarlos para mostrar la información
detallada. Para los repositorios de mayor tamaño,
recomendamos que utilice esta opción con filtros
a fin de limitar el impacto en la base de datos de
McAfee ePO.
Información de tablas (solo análisis de base de Casilla de verificación para almacenar la información
datos) de tablas de la base de datos en el Inventario de
datos.
Administración de incidentes (solo análisis de Utilice la lista desplegable para establecer el número
corrección) máximo de incidentes de los que informar por
análisis. Seleccione la casilla de verificación para
Opción Definición
Informar del incidente por registro (solo en análisis Lista desplegable para informar del número máximo
de base de datos) de incidentes por tabla de base de datos. El valor
predeterminado es No informar de incidentes.
Solo se puede editar la lista desplegable para los
informes de análisis de corrección o análisis de
inventario y clasificación por tabla.
Firmas (solo análisis de registro) Utilice la lista desplegable para establecer el número
máximo de firmas de las que informar por análisis.
Intervalo: 100 000-100 000 000
Opciones de la ficha
Fichas
Criterios de huella digital Solo análisis de registro Muestra los criterios de huella
digital, el recurso compartido de
red y el tipo (diccionario, palabra
clave etc.) en cada caso.
Definiciones de acciones
Opción Definición
Seleccionar conjunto de reglas Solo aparece para Tipo de análisis: Corrección. Abre
la ventana Elegir entre los valores existentes para
seleccionar las definiciones de Conjunto de reglas.
Opción Definición
Opción Definición
Note
La aplicación de la directiva inicia los análisis planificados para ejecutarse inmediatamente. Los análisis que se estén
ejecutando en ese momento no se verán afectados.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → DLP Discover.
2. Haga clic en la pestaña Operaciones de análisis.
La pestaña muestra información sobre los análisis configurados, como el nombre, el tipo, el estado y la descripción de los
resultados.
3. Para actualizar la configuración de todos los análisis, haga clic en Aplicar directiva.
4. Para aplicar un filtro a la lista de análisis, seleccione un filtro en la lista desplegable Filtro.
5. Para habilitar o deshabilitar un análisis:
a. Seleccione la casilla de los análisis que desee habilitar o deshabilitar.
Note
La disponibilidad de estas opciones depende del estado del análisis y de si este se está ejecutando o está inactivo.
Note
Para modificar el servidor de descubrimiento asignado al análisis, debe deshabilitar el análisis. No puede
modificar el tipo de análisis asignado a un análisis. Para cambiarlo, clone el análisis.
McAfee DLP Discover utiliza Procesamiento analítico en línea (OLAP), un modelo de datos que permite procesar rápidamente los
metadatos desde diferentes puntos de vista.
Utilice las herramientas OLAP de McAfee DLP Discover para ver las relaciones multidimensionales entre los datos recopilados de
los análisis. A estas relaciones se las conoce como hipercubos o cubos de OLAP.
Puede ordenar y organizar los resultados del análisis basándose en condiciones como la clasificación, el tipo de archivo, el
repositorio y más. Mediante el uso de los patrones de datos para calcular las posibles infracciones, puede optimizar los análisis
de clasificación y corrección para identificar y proteger los datos de forma rápida y más eficaz.
La pestaña Inventario de datos y el módulo DLP Discover muestran los resultados de los análisis de inventario, clasificación y
corrección.
Note
Los resultados de los análisis de registro se pueden ver en el módulo Clasificación de la pestaña Registrar documentos al
seleccionar Tipo: registro automático.
La ficha cuenta con tres vistas analíticas: panel, cuadrícula y datos sin procesar.
Vista Panel
La vista analítica Panel muestra los resultados como gráficos predefinidos. Se muestran los datos del análisis seleccionado en la
lista desplegable Nombre de análisis. La visualización depende del Tipo analítico seleccionado: archivos o clasificaciones.
• Repositorios principales
• Contenedores principales
• Hosts principales
• Tamaños de archivo
• Fecha de la última modificación
• Extensiones de archivo principales
• Grupos de extensiones de archivo principales
• Hora del último acceso
• Repositorios principales
• Contenedores principales
• Hosts principales
• Clasificaciones principales
• Tipos de archivos verdaderos principales
• Hora del último acceso
Vista Cuadrícula
La vista analítica de Cuadrícula le permite analizar los archivos de los análisis. La ficha utiliza un modelo de datos OLAP para
mostrar un máximo de tres categorías a fin de exponer patrones de datos multidimensionales. Utilice estos patrones para
optimizar los análisis de clasificación y corrección.
1. Nombre de análisis: la lista desplegable muestra los análisis disponibles para todos los tipos. Los análisis únicamente se
pueden realizar en un único análisis.
2. Tipo analítico: seleccione entre Archivos o Clasificaciones. Para los análisis de inventario, solo está disponible la opción
Archivos. El tipo analítico determina las categorías disponibles.
3. Mostrar: controla el número de entradas que aparecen.
4. Ampliar tabla/Contraer tabla: amplía toda la página. También puede expandir o contraer grupos individuales.
5. Selector de categorías: la lista desplegable muestra todas las categorías disponibles. Puede seleccionar una opción de las
categorías restantes en los selectores segundo y tercero para crear un análisis tridimensional de los patrones de datos.
6. Extensión del elemento: el icono de flecha controla la expansión/contracción de los grupos individuales para limpiar la
pantalla.
7. Recuento: número de archivos (o clasificaciones) en cada grupo. Haga clic en el número para ir a la ficha Inventario de
datos y mostrar los detalles de ese grupo.
Note
Si el Tipo analítico se define en Clasificaciones y los archivos tienen más de una clasificación asociada, este número
puede ser superior al número total de archivos.
Note
Las opciones Clasificación, Tipo de archivo y Tipo de cifrado no están disponibles para los análisis de inventario.
Utilice el modelo de datos OLAP para organizar y ver las relaciones que existen entre los archivos de los análisis.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → DLP Discover.
2. Haga clic en la pestaña Inventario de datos.
3. En la lista desplegable Nombre de análisis seleccione el análisis que desea examinar.
4. En la lista desplegable Tipo de análisis, seleccione Archivo o Clasificación.
5. En la lista desplegable Mostrar seleccione el número de entradas principales que mostrar.
6. Utilice las listas desplegables de categorías para mostrar los archivos de hasta tres categorías.
7. Utilice las opciones Ampliar tabla y Contraer tabla Datos sin procesar para ampliar o contraer la cantidad de
información mostrada.
8. Para ver los resultados de inventario de los archivos que pertenecen a una categoría, haga clic en el vínculo que
muestra el número de archivos entre paréntesis.
Note
El vínculo solo está disponible si se seleccionó la opción Lista de archivos en la configuración del análisis. El vínculo
muestra la página Datos sin procesar.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → DLP Discover.
2. Haga clic en la pestaña Inventario de datos.
3. Seleccione la vista analítica de Datos sin procesar.
4. Realice una de estas acciones.
• Para ver los resultados de un análisis concreto, selecciónelo en la lista desplegable Analizar.
• Para filtrar los archivos mostrados, seleccione un filtro en la lista desplegable Filtro.
Note
Es posible crear conjuntos de datos que centren la búsqueda en propiedades especificadas para reducir la cantidad de datos que
se buscarán en cada appliance, con el fin de obtener menos resultados y más específicos.
Puede crear un incidente de McAfee DLP de un resultado de búsqueda y, a continuación, añadir el incidente a un caso nuevo o
existente. Las pruebas asociadas con los resultados de búsqueda también pueden añadirse al incidente.
Un evento capturado se almacena en el appliance con sus pruebas. Cuando se crea un resultado, la prueba asociada se copia en
el recurso compartido de almacenamiento de pruebas.
Note
El appliance limpia regularmente la base de datos de captura y elimina los datos antiguos para hacer espacio para los datos
nuevos. Los datos se eliminan de la base de datos de captura en cualquiera de los casos siguientes:
Cuando la función DLP Capture inicia una tarea de búsqueda, esta recopila los elementos que se analizarán en la búsqueda. Si
algunos de estos elementos son más antiguos y deben eliminarse para liberar espacio de almacenamiento mientras se realiza
una búsqueda, los elementos eliminados no se analizarán, pero la búsqueda continuará.
Usuarios y permisos
La capacidad de ajustar reglas o buscar datos capturados no está disponible de forma automática para todos los usuarios de
McAfee DLP. Especifique quién puede utilizar la función en el conjunto de permisos Data Loss Prevention. A diferencia de las
versiones anteriores de McAfee DLP que podían capturar contenido, esta versión permite que varias personas configuren y
ejecuten búsquedas al mismo tiempo.
Siga estos pasos generales para configurar y usar la función DLP Capture.
Procedimiento
1. Especifique quién puede utilizar la función.
2. Cree conjuntos de datos para centrarse en las búsquedas.
3. Cree y ejecute las búsquedas, o ajuste las reglas y clasificaciones.
4. Revise los resultados de las búsquedas.
5. Cree los incidentes y agregue a los casos.
Utilice las opciones de Ajustes de McAfee DLP Capture para capturar datos de los appliances de McAfee DLP y especifique
durante cuánto tiempo desea conservar los datos.
Antes de empezar
Para que la función DLP Capture aparezca en el menú McAfee ePO, debe añadir una licencia para uno de los appliances de
McAfee DLP.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de McAfee DLP Capture y abra la
directiva que desee editar.
3. En Ajustes de captura, seleccione Habilitar captura.
4. (Opcional) Especifique la cantidad de tiempo que desea mantener los elementos capturados.
De forma predeterminada, los elementos capturados se eliminan después de 28 días. Puede cambiar el límite a un máximo
de 1000 días.
5. Haga clic en Guardar.
6. (Opcional) Compruebe si está habilitada la función DLP Capture en un appliance específico.
a. Abra el Árbol de sistemas y seleccione el panel Sistemas.
b. Haga clic en el appliance para abrir la página Sistemas: Información.
c. Haga clic en Productos y seleccione DLP Capture.
d. Desplácese hacia abajo hasta General y compruebe el valor de captureFeatureStatus:
Conjuntos de datos
Los conjuntos de datos centran las búsquedas de investigación forense y de ajuste de regla en un subconjunto de los datos
capturados para reducir la cantidad de datos en los que se deben buscar. Al buscar en un conjunto de datos, se reduce el
tiempo necesario para ejecutar la búsqueda y los resultados son más útiles y fáciles de analizar. Hay algunos conjuntos de datos
predefinidos o puede crear los suyos propios según las propiedades, como el appliance, los criterios del correo electrónico o los
criterios del usuario.
Si un dispositivo puede admitir la función DLP Capture (es decir, tiene discos disponibles para almacenar los datos capturados y
contiene algunos datos capturados), se puede agregar a un conjunto de datos y a los datos capturados que buscar.
Note
Si crea un conjunto de datos y no se especifica un appliance específico, cualquier búsqueda que use dicho conjunto de datos
devolverá todos los appliances.
La interfaz de usuario muestra cuántos appliances se buscarán como parte de un conjunto de datos y un número aproximado
de eventos capturados. El número de eventos se lleva a cabo en el appliance en el conjunto de datos que contiene el mayor
número de eventos capturados en el conjunto de datos.
Por ejemplo, si el conjunto de datos contiene cuatro appliances y tres de ellos contienen 1000 elementos y el cuarto contiene
3000, el número que aparecerá será 3000. Los appliances se analizan en paralelo para que pueda utilizar este número a fin de
decidir si es necesario refinar aún más el conjunto de datos. Al guardar los cambios en el conjunto de datos, muestra el número
revisado de eventos capturados que se buscará con estas propiedades.
Important
Al cambiar las definiciones en un conjunto de datos que se emplee en búsquedas de investigación forense o en búsquedas
de ajuste de regla, también se cambia esa definición en cualquier conjunto de reglas activo que la use. McAfee recomienda
duplicar la definición y usar el duplicado en las búsquedas de DLP Capture.
Criterios Definición
Appliances con DLP Capture activado La lista de appliances de McAfee DLP que tienen
activada la función de DLP Capture. Para buscar en
un appliance específico con DLP Capture activado
Criterios Definición
Criterios Definición
Puede crear conjuntos de datos para reducir el número de elementos que se analizan en las búsquedas de ajuste de regla o de
investigación forense.
Procedimiento
1. En el menú McAfee ePO, seleccione DLP Capture y haga clic en Conjuntos de datos.
2. Seleccione Acciones → Nuevo conjunto de datos.
3. Agregue un nombre y una descripción opcional, y, a continuación, los elementos que el conjunto de datos analizará de
la lista de propiedades disponibles.
4. Haga clic en Guardar.
El conjunto de datos aparece en la lista que muestra el número de eventos capturados que se analizarán.
5. (Opcional) Si el número de elementos capturados es demasiado grande, seleccione el vínculo del conjunto de datos y
ajuste las propiedades del conjunto de datos; después, haga clic en Actualizar para ver los eventos actualizados.
Utilice la búsqueda de investigación forense para encontrar contenido capturado que contenga ciertas palabras clave o nombres
de archivo, o que proceda de ciertos usuarios. Por ejemplo, podría buscar una palabra clave en un documento que alguien
concreto del personal haya perdido en la organización.
Las búsquedas de investigación forense buscarán palabras clave en el cuerpo de un mensaje de correo electrónico, los datos
adjuntos del mensaje y algunos encabezados de correo electrónico (De, Para, CC, Asunto, Responder a) utilizando coincidencias
exactas de palabras o frases, o coincidencias parciales (coincidencias inexactas).
Los términos de búsqueda pueden incluir números y caracteres especiales como símbolos matemáticos y monedas, y
operadores lógicos (y/o) para crear búsquedas de varias palabras o frases. También puede buscar archivos específicos por
nombre cuando se mueven en la red, incluidos elementos en archivos de almacenamiento.
Note
Una búsqueda de investigación forense no busca palabras clave en los encabezados de solicitud web.
Para buscar la actividad de un usuario concreto, la función DLP Capture evalúa la pertenencia a LDAP y los grupos. Busca la
información que existe en el momento de crear la búsqueda, en lugar cuando se haya capturado el contenido. Si han cambiado
las entradas en el servidor LDAP, la búsqueda podría no ser capaz de analizar todos los mensajes de correo electrónico o
publicaciones web realizadas por el usuario que le interese. Por ejemplo, podría tener que investigar la actividad de un usuario
que ya haya abandonado la empresa, en cuyo caso, podría haber sido eliminado del servidor LDAP y la búsqueda no podrá
encontrarlo.
Note
Es posible ejecutar una investigación forense sin especificar criterios, pero comparará todos los resultados del conjunto de
datos hasta el límite configurado.
Palabras de detención
Para reducir el número de resultados devueltos, la búsqueda de investigación forense ignora ciertas palabras en todos los
idiomas. Se conocen como palabras de detención e incluyen vocablos como "si", "el", "y" u "o".
Al buscar una coincidencia exacta de un texto, se ignoran las selecciones de idioma y solo se busca una coincidencia exacta del
texto que se haya introducido. Sin embargo, si desea buscar una coincidencia inexacta, la búsqueda toma la palabra raíz para
ampliar los resultados. Por ejemplo, al buscar ejecuta también se devolverá ejecutado, o al buscar información se toma la raíz
inform, de modo que se encuentra también informal.
Si selecciona un idioma y busca una palabra de otro idioma admitido, la búsqueda omite el texto en los otros idiomas admitidos.
Si elige buscar en todos los idiomas, se busca todo el texto y se toma la raíz correspondiente. Cualquier sección no identificada
del texto, como los grupos de números o texto en un idioma no admitido, se busca con el término de búsqueda original y no se
toma la raíz.
Note
Si se encuentra un plural o un gerundio de una palabra completa utilizada en una búsqueda, el resultado devolverá todas las
cadenas que contengan la palabra raíz.
Selecciones de búsqueda
Idioma de entrada de
Raíces que buscar texto Texto de entrada Se activa (en negrita)
Inglés: saltar Inglés The dog jumps very The dog jumps very
high high
Selecciones de búsqueda
Idioma de entrada de
Raíces que buscar texto Texto de entrada Se activa (en negrita)
Idioma de entrada de
Raíces que buscar texto Texto de entrada Se activa (en negrita)
Cuando esto ocurre, se agregan raíces como adicionales en una regla de varias palabras clave y se aplica el operador lógico
seleccionado.
Puede usar una búsqueda de investigación forense para buscar contenido que no se haya identificado previamente como un
evento de posible fuga de datos.
Procedimiento
1. En McAfee ePO, seleccione Menú → DLP Capture.
2. Seleccione Actions (Acciones) → New Forensic Investigation (Nueva investigación forense).
3. Agregue un nombre y, si lo desea, una descripción para la nueva búsqueda.
4. Seleccione un conjunto de datos existente o cree uno, y haga clic en Aceptar.
El conjunto de datos muestra un número aproximado de elementos capturados que se evaluará con este conjunto de
datos. Si busca en varios appliances, el número que aparece se toma del dispositivo que tenga el mayor número de eventos
para evaluar.
5. Si el número de eventos es demasiado grande para buscarlo en un período de tiempo razonable o demasiado pequeño
para ofrecer un resultado útil, ahora puede editar el conjunto de datos.
Los datos actualizan la evaluación automáticamente.
6. En Max Results to Report (Número máximo de resultados que notificar), especifique la cantidad de resultados que
desea que estén disponibles en la lista Search Results (Resultados de la búsqueda).
7. (Opcional) Seleccione stop search when max results reached (detener búsqueda cuando se alcance el máximo de
resultados) para impedir que la búsqueda analice más eventos que el número especificado en Max Results to Report
(Número máximo de resultados que notificar).
8. (Opcional) Anule la selección de Results: Store original files as evidence (Resultados: almacenar archivos originales
como prueba) para mejorar el rendimiento y reducir la cantidad de datos almacenados.
9. Agregue las condiciones con las que desee buscar.
10. Haga clic en Guardar o en Guardar y ejecutar.
Los detalles de un proyecto secreto llamado "Proyecto faro" han aparecido en la prensa. Deberá investigar cómo se ha producido
la fuga.
Antes de empezar
Identifique un conjunto de datos que abarque una amplia gama de los elementos capturados, como el conjunto de datos
predefinido Último mes [integrado].
Procedimiento
1. En McAfee ePO, abra la función DLP Capture y cree una nueva búsqueda de investigación forense llamada Proyecto faro.
2. Seleccione el conjunto de datos necesario y, a continuación, escriba Proyecto faro como término de búsqueda y ejecute
la búsqueda inmediatamente.
La búsqueda devolverá el número de resultados especificado en Max Results to Report (Resultados máx. para el informe)
y no está claro si alguno de los resultados es el origen de la fuga. Es necesario restringir el conjunto de datos para obtener
mejores resultados.
3. Cree un nuevo conjunto de datos denominado Emails sent externally (Mensajes de correo electrónico enviados
externamente) y excluya a los destinatarios de correo electrónico cuyas direcciones no finalicen con "mydomain.dom".
4. Cree una copia duplicada de la búsqueda del Proyecto faro y asígnele a la nueva versión el nombre Proyecto faro enviado
externamente.
5. Seleccione el conjunto de datos Emails sent externally (Mensajes de correo electrónico enviados externamente), y guarde
y ejecute la búsqueda de inmediato.
La nueva búsqueda genera una lista menor de resultados que analizar, por lo que resulta más fácil identificar posibles
orígenes de la fuga de datos.
Puede utilizar la función DLP Capture para ajustar sus clasificaciones y las reglas de protección de correo electrónico, protección
web y protección de comunicaciones de la red implementadas en los appliances de McAfee DLP a fin de evitar falsos positivos
o negativos. La función de ajuste de reglas analiza los datos capturados en lugar de los datos activos para que pueda modificar
la configuración o la clasificación de reglas hasta que devuelvan el tipo de resultados que desee, sin que ello afecte al análisis de
los datos activos.
Puede o bien guardar una regla existente como una búsqueda de ajuste de regla, ajustarla y, a continuación, usarla para omitir
una regla existente, o bien crear una búsqueda de ajuste de regla antes de crear una nueva regla, ajustar la configuración hasta
que esté satisfecho con los resultados y guardarla como una regla nueva.
Si elige omitir una regla existente, las opciones Enforced on (Implementada en) y Reacciones permanecen iguales.
Protección web Sí Sí
Protección de comunicaciones de No Sí
la red Si ajusta una regla de protección
de comunicaciones de la red en
un appliance de McAfee DLP
Prevent, se produce un error
con el motivo Rule Type Not
Applicable (Tipo de regla no
aplicable).
Important
Si cambia las definiciones o la configuración de clasificación en una búsqueda de ajuste de regla, estos cambios se aplican
a la configuración de los elementos activos equivalentes. Por ejemplo, si agrega un término a una clasificación en una
búsqueda de ajuste de regla, es posible que comience a activarse en la regla activa. McAfee recomienda duplicar la
clasificación o la definición, y usar el duplicado mientras ajusta la regla. A continuación, se puede utilizar para sustituir
el elemento original en las reglas activas cuando obtenga los resultados que desea.
Pruebe una regla nueva antes de agregarla a un conjunto de reglas activas; para ello, cree una búsqueda de ajuste de regla.
Procedimiento
1. En McAfee ePO, seleccione Menú → DLP Capture.
2. Seleccione Actions (Acciones) → New Rule Tuning (Nuevo ajuste de regla) y, después, seleccione el tipo de búsqueda
de ajuste de regla que desee crear: Email Protection (Protección de correo electrónico), Network Communication
Protection (Protección de comunicaciones de la red) o Web Protection (Protección web).
3. Agregue un nombre y, si lo desea, una descripción para la nueva búsqueda.
4. Seleccione un conjunto de datos existente o cree uno, y haga clic en Aceptar.
El conjunto de datos muestra un número aproximado de elementos capturados que se evaluará con este conjunto de
datos. Si busca en varios appliances, el número que aparece se toma del dispositivo que tenga el mayor número de eventos
para evaluar.
5. Si el número de eventos es demasiado grande para buscarlo en un período de tiempo razonable o demasiado pequeño
para ofrecer un resultado útil, ahora puede editar el conjunto de datos.
Los datos se actualizan automáticamente.
6. En Max Results to Report (Número máximo de resultados que notificar), especifique la cantidad de resultados que
desea que estén disponibles en la lista Search Results (Resultados de la búsqueda).
7. (Opcional) Seleccione stop search when max results reached (detener búsqueda cuando se alcance el máximo de
resultados) para impedir que la búsqueda analice más eventos que el número especificado en Max Results to Report
(Número máximo de resultados que notificar).
8. (Opcional) Anule la selección de Results: Store original files as evidence (Resultados: almacenar archivos originales
como prueba) para mejorar el rendimiento y reducir la cantidad de datos almacenados.
9. Agregue las condiciones que se desee aplicar a la búsqueda de ajuste de regla y haga clic en Guardar.
10. Para agregar excepciones, haga clic en Exceptions (Excepciones) y seleccione Actions (Acciones) → Add Rule Exception
(Agregar excepción de regla) y haga clic en Guardar o en Guardar y ejecutar.
Cree una búsqueda de ajuste de regla que pueda guardar como una nueva regla de correo electrónico, de web o de protección
de comunicaciones de la red, o bien invalide una regla existente.
Antes de empezar
Compruebe que el usuario tiene permisos para utilizar el Administrador de directivas de DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → DLP Capture y cree una nueva búsqueda de ajuste de regla o identifique una
existente que desee guardar.
2. En la Search List (Lista de búsqueda), seleccione la búsqueda de ajuste de regla que desee guardar y, después,
seleccione Acciones → Save as Rule (Guardar como regla).
3. Seleccione una de las opciones siguientes y, después, haga clic en Aceptar.
• Crear nueva regla: (opción predeterminada) seleccione un conjunto de reglas existente para guardar la regla o cree
uno nuevo.
• Override existing Rule (Omitir la regla existente): esta opción está disponible si la búsqueda se creó originalmente
al guardar una regla o si la búsqueda (opcional) se guardó como una nueva regla y desea actualizarla. Seleccione
esta opción para guardar la nueva versión de la regla y descartar la regla existente. Puede elegir conservar el
nombre actual y la descripción, o bien crear otros nuevos.
4. En la página de la regla, especifique la reacción, gravedad y configuración de estado, y, a continuación, haga clic en
Guardar.
La regla aparece en el conjunto de reglas en el Administrador de directivas de DLP.
Resultados
(Opcional) Si desea realizar más cambios en la regla sin que ello afecte el análisis de datos actuales, puede seleccionarlo en el
conjunto de reglas y hacer clic en Save as Capture Search (Guardar como búsqueda de captura). Puede repetir este proceso de
guardar la regla como una búsqueda de captura y realizar cambios hasta que esté satisfecho con la nueva configuración de la
regla.
Guarde una regla de protección de comunicaciones de la red, de la web o de correo electrónico como una búsqueda de ajuste de
regla para experimentar con sus opciones de configuración sin que ello afecte el análisis de los datos activos. Puede guardar la
nueva versión de la regla para volver a sus reglas activas como una regla nueva o sustituir la regla existente.
Note
Guardar una regla de protección de comunicaciones de la red, de correo electrónico o web como una búsqueda de ajuste de
regla solo se admite para las reglas que se implementan en appliances de McAfee DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de directivas de DLP.
2. Haga clic en la ficha Conjuntos de reglas.
3. Seleccione el conjunto de reglas que contenga la regla que desee guardar y, a continuación, selecciónela en las reglas
de protección de datos.
La regla debe ser implementada en un appliance de McAfee DLP.
4. Seleccione Acciones → Save as Capture Search (Guardar como búsqueda de captura).
5. En la página Capture Search (Búsqueda de captura) → Rule Tuning (Ajuste de regla), modifique la configuración para
ajustar la regla.
Caso práctico: ajuste de una regla para eliminar los falsos positivos
Una regla denominada Bloquear información de PCI en el conjunto de reglas Proteger datos financieros identifica un gran número de
falsos positivos.
Antes de empezar
Seleccione el conjunto de datos predefinido Últimas 24 horas para este ejemplo y especifique los appliances en los que desee
realizar la búsqueda.
Procedimiento
1. En el Administrador de directivas de DLP, abra el conjunto de reglas Proteger datos financieros y convierta la regla
Bloquear información de PCI en una búsqueda de captura.
2. Seleccione el conjunto de datos Últimas 24 horas y guarde y ejecute la búsqueda.
3. Compruebe los resultados de la búsqueda.
La mayoría de los resultados son de los correos electrónicos enviados desde el departamento de finanzas a destinatarios
internos o al dominio partner.dom de confianza. Estos son los mensajes de correo electrónico legítimos que activan los
falsos positivos.
4. Cree una excepción a la regla Bloquear información de PCI que excluya los mensajes enviados desde los miembros de un
grupo LDAP de finanzas a los destinatarios de la lista de direcciones de correo electrónico "Destinatarios de confianza".
Note
La lista de búsquedas
Puede ejecutar hasta cinco búsquedas al mismo tiempo. Si intenta ejecutar más de cinco al mismo tiempo, las posteriores se
ponen en cola hasta que concluye el número necesario de búsquedas anteriores.
Cada búsqueda tiene un estado, como En curso, Cancelado, Iniciando o Finalizado. El estado Iniciando se muestra hasta que
uno de los appliances del conjunto de datos recibe la acción Ejecutar, cuando el estado cambia a En curso. También puede ver
cuándo se inició la búsqueda, la cantidad de tiempo transcurrido y el número de coincidencias positivas que activó.
Cada entrada de búsqueda en la lista muestra el número de dispositivos que se buscará con este conjunto de datos y
los resultados de la búsqueda. También hay algunas acciones relacionadas con la búsqueda: Eliminar, Duplicar, Ejecutar o
Cancelar.
Si cancela una búsqueda mientras se encuentra en curso, el número de resultados sigue aumentando durante un tiempo
hasta que el propio appliance la detiene. No es posible editar una búsqueda que está en curso hasta que todos los appliances
del conjunto de datos hayan recibido el comando Cancelar. Una búsqueda no se puede ejecutar si hace referencia a un solo
dispositivo no disponible.
Important
Al eliminar búsqueda de la lista, se quitan de la carpeta de pruebas los resultados de la búsqueda y todos sus elementos
de prueba relacionados. De manera similar, si vuelve a ejecutar una búsqueda, se eliminarán todos los elementos de las
pruebas y los resultados desde la última vez que se ejecutó. Si intenta volver a realizar una búsqueda en curso, se eliminan
los resultados originales y comienza una nueva ejecución de la misma búsqueda.
Es posible exportar los resultados de búsqueda en dos archivos. Uno contiene un resumen de los resultados y el otro ofrece
información detallada acerca de cada coincidencia positiva.
Si exporta los resultados de la lista de búsqueda, los dos archivos contienen los resultados de cada appliance en el que se
realizara la búsqueda como parte del conjunto de datos. Si desea exportar los resultados de la lista de appliances, puede
seleccionar uno o varios appliances a fin de descargar los resultados.
Existen algunas opciones adicionales disponibles para cada búsqueda dentro de la lista.
• Para ver o editar una configuración de búsqueda, simplemente seleccione el nombre de la búsqueda. Si realiza cambios
en la configuración, puede guardarlos para ejecutarlos más tarde o realizar la búsqueda con la configuración actualizada
de forma inmediata.
• Para ver información sobre los resultados de los appliances que forman parte del conjunto de datos especificado
y ver su estado, seleccione el vínculo de appliances. En Lista de appliances de búsqueda, puede ver el estado de
mantenimiento actual de los appliances (no su estado de mantenimiento en el momento en que se ejecutó la búsqueda)
y vincularlo a la función Administración de appliances para obtener información más detallada sobre el estado.
También puede exportar un resumen de los resultados de uno o varios appliances.
• Para cualquier búsqueda que produjera resultados, puede seleccionar la cantidad para obtener más información acerca
de esos resultados.
Resultados de la búsqueda
De forma predeterminada, en Resultados de la búsqueda se muestran los 100 primeros resultados de cada appliance en un
conjunto de datos. Por ejemplo, si el conjunto de datos incluye cinco appliances, puede esperar ver hasta 500 resultados. Sin
embargo, puede especificar un número de resultados diferente que se mostrarán al crear la búsqueda.
La selección de las opciones Max Results to Report (Resultados máx. para el informe) y Stop search when max results reached
(Detener búsqueda cuando se ha alcanzado el máximo de resultados) cuando se crea una búsqueda de investigación forense o
de ajuste de regla afecta a los resultados que se ven en la lista de resultados de la búsqueda.
Por ejemplo, si tiene un appliance en un conjunto de datos y los criterios de búsqueda coinciden con 150 elementos, la opción
Max Results to Report (Resultados máx. para el informe) se establece en 100 y se selecciona la opción stop search when max
results reached (Detener búsqueda cuando se ha alcanzado el máximo de resultados), el número de resultados en la ficha
Resultados, la columna Resultados en la lista Búsqueda, la lista Search Appliances (Buscar en appliances) y los archivos de
resultados son todos 100. Sin embargo, si la opción stop search when max results reached no está seleccionada, verá 100
resultados en la ficha Results, pero se informará de 150 resultados en el archivo de resultados, la columna Results de la lista
Search y la lista Search Appliances.
Seleccione un resultado para obtener más información sobre él, así como cualquier prueba asociada y las clasificaciones que
activó. Cada resultado tiene un número de identificación individual y muestra el producto de generación de informes y otra
información, como el tipo de regla que activó y las clasificaciones.
Si un elemento capturado realiza una comparación con cualquier búsqueda de ajuste de regla o de investigación forense, puede
crear un incidente para ese resultado que aparezca en el Administrador de incidentes de DLP. Los detalles del elemento
capturado se incluyen en el incidente de la misma manera que si hubiera activado una regla. También puede seleccionar uno o
varios resultados para agregar a un caso nuevo o existente.
Note
Los detalles del resultado del ajuste de una regla le indicarán cualquier clasificación activada, pero no incluirá los detalles de
la regla de activación.
El resultado se puede agregar a un incidente, exportar en un archivo de informe o agregarse a un caso nuevo o existente. Si
decide crear un incidente para el resultado, se agrega un vínculo a un incidente a los detalles de los resultados.
En la vista Lista de búsqueda, puede seleccionar una búsqueda y exportar sus resultados en dos archivos.
Procedimiento
1. En McAfee ePO, seleccione Menú → DLP Capture.
2. En la Lista de búsqueda, seleccione la búsqueda que contenga los resultados que desee exportar y haga clic en
Acciones → Export Results Summary (Exportar resumen de resultados).
Puede exportar los resultados de búsqueda de uno o varios appliances en dos archivos de resultados.
Procedimiento
1. En McAfee ePO, seleccione Menú → DLP Capture.
2. En la Lista de búsqueda, haga clic en el vínculo de appliances correspondiente a la búsqueda cuyos resultados desee
exportar.
3. En la Lista de appliances de búsqueda, seleccione los appliances que contengan los resultados que desee exportar y
haga clic en Acciones → Export Results Summary (Exportar resumen de resultados).
Resultados
Se crea un archivo zip que contiene los resultados del resumen y los resultados detallados de cada appliance seleccionado.
Procedimiento
1. En McAfee ePO, seleccione Menú → DLP Capture.
2. En la Lista de búsqueda, encuentre la búsqueda cuyos resultados desee exportar y haga clic en el vínculo de número de
resultados.
3. En Resultados de la búsqueda, seleccione los resultados que desee incluir y haga clic en Acciones → Export selected
results (Exportar resultados seleccionados).
4. Especifique el tipo de detalles que desee exportar, dónde desea almacenarlos y si desea recibir una notificación cuando
finalice la exportación; a continuación, haga clic en Exportar.
Es posible crear un incidente a partir de la vista Search Results Details (Detalles de los resultados de la búsqueda) o de un
resultado seleccionado en la lista de búsquedas.
Procedimiento
1. En McAfee ePO, seleccione Menú → DLP Capture.
2. En la Lista de búsqueda, encuentre la búsqueda cuyos resultados desee agregar a un incidente y haga clic en el vínculo
del número de resultados.
3. En Resultados de la búsqueda, seleccione el resultado y haga clic en Acciones → Create Incident (Crear incidente) o bien
haga clic en un Result ID (ID de resultado) concreto y haga clic en Acciones → Create Incident (Crear incidente).
Resultados
Se agregará un incidente al Administrador de incidentes de DLP además de un vínculo a él en los detalles del resultado
seleccionado.
Desde la vista de Resultados de búsqueda o desde la vista de Detalles de los resultados de la búsqueda, puede agregar uno o
varios de los resultados de búsqueda a un caso nuevo o existente.
Procedimiento
1. En McAfee ePO, seleccione Menú → DLP Capture.
2. En la Lista de búsqueda, encuentre la búsqueda cuyos resultados desee agregar a un caso y haga clic en el vínculo de
número de resultados.
3. En los Resultados de la búsqueda, seleccione uno o más resultados y haga clic en Acciones → Administración de casos o
haga clic en un ID de resultado en concreto y haga clic en Acciones → Administración de casos.
4. Seleccione una de las opciones siguientes:
• Agregar a un caso existente: seleccione el caso al que desee agregar los resultados y haga clic en Aceptar.
• Agregar a un nuevo caso: proporcione un título para el caso y especifique el propietario, el estado, la resolución y
la prioridad y haga clic en Aceptar.
Resultados
• Incidentes: el módulo Administrador de incidentes de DLP muestra los incidentes generados a partir de las reglas.
McAfee DLP Endpoint, Device Control, McAfee DLP Prevent, McAfee DLP Monitor, Cloud DLP, y MVISION Cloud
implementan reglas y envían incidentes al Administrador de incidentes de DLP.
• Eventos operativos: el módulo Operaciones de DLP muestra errores e información administrativa. McAfee DLP
Discover, McAfee DLP Endpoint y McAfee DLP Prevent envían eventos a Operaciones de DLP.
• Casos: el módulo de Administración de casos de DLP contiene los casos que se han creado para agrupar y administrar
los incidentes relacionados.
Cuando se instalan varios productos de McAfee DLP, las consolas muestran incidentes y eventos de todos los productos.
La pantalla del Administrador de incidentes de DLP y de Operaciones de DLP puede incluir información sobre el equipo y el
usuario con sesión iniciada que han generado el incidente/evento, la versión del cliente, el sistema operativo y otros detalles.
También se pueden establecer definiciones de solución y estado personalizados. La definición está formada por un nombre
personalizado y un código de color, y puede tener el estado activado o desactivado. Las definiciones personalizadas se
deben agregar y activar mediante Configuración de DLP en la página Administrador de incidentes, Centro de operaciones
o Administración de casos antes de poder utilizarlas.
Impresión
Copiar a almacenamiento extraíble
Carga de un archivo en la web
Carga de un archivo en la nube
Enviar correo electrónico
Conectar o desconectar un dispositivo Plug and Play
Conectar o desconectar un dispositivo de almacenamiento extraíble
Interesados
Un interesado es cualquier persona con un interés en un incidente, evento o caso concreto. Los interesados suelen ser
administradores de DLP, revisores de casos, otros administradores o usuarios con incidentes. McAfee DLP envía un correo
electrónico automático a los interesados cuando se crea o se modifica un incidente, un evento o un caso. También puede
agregar interesados automáticamente a la lista, por ejemplo, cuando se asigna un revisor a un caso. El administrador también
puede agregar manualmente interesados a incidentes, eventos o casos específicos.
Los detalles del correo electrónico automático se establecen en Configuración de DLP. Las opciones de las páginas Gestor de
incidentes, Centro de operaciones y Gestión de casos determinan si se envían mensajes de correo electrónico automáticos y a
quién se añade automáticamente a la lista de interesados. El administrador puede agregar interesados manualmente desde los
módulos Administrador de incidentes de DLP, Operaciones de DLP o Administración de casos de DLP.
Cuando un producto de McAfee DLP determina que se ha producido una infracción de directivas, genera un evento y lo envía al
Analizador de eventos de McAfee ePO. Estos eventos se pueden ver, filtrar y clasificar en la consola Administrador de incidentes
de DLP, lo que permite a los responsables de la seguridad o a los administradores ver los eventos y responder inmediatamente.
En caso necesario, se adjunta el contenido sospechoso como prueba del evento.
Como los productos de McAfee DLP son fundamentales en la estrategia de una empresa para cumplir todas las normativas
y la legislación que protege los datos confidenciales, el Administrador de incidentes de DLP presenta la información sobre
la transmisión de información de carácter confidencial de forma precisa y flexible. Los auditores, responsables de firmas,
administradores de información de carácter confidencial y otros empleados relevantes pueden utilizar el Administrador de
incidentes de DLP para observar actividades sospechosas o no autorizadas, y actuar conforme a la política de privacidad de la
empresa, a las normativas correspondientes y a otras leyes aplicables.
El administrador del sistema o el responsable de la seguridad pueden seguir los eventos administrativos relativos a los agentes y
al estado de distribución de directivas.
En función de los productos de McAfee DLP que utilice, la consola de Operaciones de DLP puede mostrar errores, cambios de
directivas, omisiones de agentes y otros eventos administrativos.
Puede configurar el envío de una notificación por correo electrónico a las direcciones especificadas cada vez que se actualicen
los incidentes, los casos y los eventos operativos.
El Administrador de incidentes de DLP tiene tres páginas con fichas. En cada página, la lista desplegable Presente determina el
conjunto de datos que se muestra: Datos en uso/movimiento, Datos en reposo (endpoint) o Datos en reposo (red).
• Análisis: una pantalla con seis gráficos que resumen la lista de incidentes. Cada gráfico tiene un filtro para ajustar lo que
aparece en pantalla. Los gráficos muestran lo siguiente:
La información mostrada suele incluir el nombre principal del usuario (nombre_usuario@xyz), el nombre de inicio de sesión del
usuario, la unidad operativa del usuario, el nombre, los apellidos, el correo electrónico principal del usuario, el administrador
del usuario, el departamento y la unidad de negocio. La lista completa de campos disponibles se puede consultar mediante el
comando Editar de la opción Ver.
La ficha Lista de incidentes de Administrador de incidentes de DLP tiene todas las funciones necesarias para revisar los
incidentes relacionados con infracciones de directivas. Los detalles de los eventos se pueden ver al hacer clic en un evento
específico. Puede crear y guardar los filtros para modificar la vista o utilizar los filtros predefinidos del panel izquierdo. También
puede modificar la vista al seleccionar y ordenar las columnas. Los iconos con codificación de colores y las calificaciones
numéricas de gravedad facilitan un análisis visual rápido de los eventos.
Note
Para mostrar el Nombre principal del usuario y el Nombre de inicio de sesión de usuario en los incidentes de appliances de
McAfee DLP, agregue un servidor LDAP a la directiva de Administración de appliances de DLP (categoría Usuarios y grupos).
Es necesario hacer esto aunque sus reglas de protección de correo electrónico no empleen LDAP.
La ficha Lista de incidentes se emplea con la función Consultas e informes de McAfee ePO para crear informes de appliances
de McAfee DLP Endpoint y McAfee DLP, y muestra los datos en los paneles de McAfee ePO.
La página Operaciones de DLP se utiliza de forma idéntica con los eventos administrativos. Los eventos contienen información
como, por ejemplo, el motivo por el que se generó el evento y el producto de McAfee DLP que lo notificó. También puede
incluir información del usuario relacionada con el evento, por ejemplo, el nombre de inicio de sesión del usuario, el nombre
principal de este (nombredeusuario@xyz), o el administrador de usuarios, el departamento o la unidad de negocio. Los eventos
operativos se pueden filtrar por cualquiera de las opciones siguientes, así como por otros parámetros, por ejemplo, la gravedad,
el estado, la versión de cliente o el nombre de directiva, entre otros.
Operaciones de DLP
Las fichas de ambas tareas se organizan por tipo de tarea (panel izquierdo). La ficha Tareas de incidentes también se organiza
por tipo de incidente, de modo que resulta una matriz de 4 × 3, y la información que se muestra depende de los dos parámetros
seleccionados.
Datos en
Datos en uso/ Datos en reposo Datos en reposo uso/movimiento
movimiento (endpoint) (red) (historial)
Definir revisor X X X
Notificación X X X
de correo
automática
Purgar eventos X X X X
Purgar archivos X X X X
de pruebas
• Gravedad
• Estado
• Solución
• Grupo revisor
• Usuario revisor
El revisor puede ser cualquier usuario de McAfee ePO. El motivo por el cual es posible cambiar la gravedad es que, en caso de
que el administrador determine que el estado es un falso positivo, la gravedad original dejará de tener sentido.
1. Para abrir la ventana de edición de la vista, haga clic en Acciones → Vista → Elegir columnas.
2. Para mover las columnas a la izquierda o a la derecha, use el icono x para eliminar columnas y los iconos de flechas.
3. Para aplicar la vista personalizada, haga clic en Actualizar vista.
4. Para guardarla para usarla en el futuro, haga clic en Acciones → Vista → Guardar vista.
Note
Al guardar la vista también puede guardar la hora y los filtros personalizados. En la lista desplegable de la parte
superior de la página, puede seleccionar las vistas guardadas.
Cuando McAfee DLP recibe datos que coinciden con los parámetros definidos en una regla, se desencadena una infracción y
McAfee DLP genera un incidente.
El Administrador de incidentes de DLP permite ver, ordenar, agrupar y filtrar incidentes en McAfee ePO para localizar
infracciones importantes. Puede ver los detalles de los incidentes o eliminar los incidentes que no sean útiles.
Ver incidentes
El Administrador de incidentes de DLP muestra todos los incidentes de los que han informado las aplicaciones de McAfee DLP.
Puede modificar el modo en que aparecen los incidentes para ayudarle a localizar las infracciones importantes de forma más
eficaz.
El campo Presente del Administrador de incidentes de DLP muestra los incidentes en función de la aplicación que los generó:
• Datos en uso/movimiento
McAfee DLP Endpoint
Device Control
McAfee DLP Prevent
McAfee DLP Monitor
Ordene cómo aparecen los incidentes basándose en atributos como la hora, la ubicación, el usuario o la gravedad.
Procedimiento
1. En McAfee ePO, seleccione Gestor de incidentes de DLP.
2. En la lista desplegable Presente, seleccione la opción para su producto.
3. Realice alguna de las tareas siguientes desde las pestañas Lista de incidentes o Historial de incidentes.
Note
Las propiedades disponibles para los filtros se seleccionan en una lista de propiedades de McAfee ePO y
McAfee DLP.
Ejemplo
Si trabaja con incidentes de McAfee DLP Endpoint, seleccione ID de usuario para mostrar los nombres de los usuarios que han
desencadenado las infracciones. Seleccione un nombre de usuario para ver todos los incidentes de dicho usuario.
Utilice las vistas para organizar el tipo y el orden de las columnas que se muestran en el administrador de incidentes.
Procedimiento
1. En McAfee ePO, seleccione Administrador de incidentes de DLP.
2. En la lista desplegable Presente, seleccione la opción para su producto.
3. En la lista desplegable Vista, seleccione Predeterminado y haga clic en Editar.
4. Configure las columnas.
a. En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnas seleccionadas.
b. En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario.
Resultados
Note
También puede gestionar las vistas en el administrador de incidentes seleccionando Acciones → Vista.
Puede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir la carga de trabajo en organizaciones
de gran tamaño.
Antes de empezar
En McAfee ePO Gestión de usuarios → Conjuntos de permisos, cree un revisor o designe un revisor de grupo con permisos
Definir revisor para Gestor de incidentes de DLP y Operaciones de DLP.
La tarea Definir revisor asigna un revisor a los incidentes o eventos según los criterios de la regla. La tarea solo se ejecuta en los
incidentes donde no se ha asignado un revisor. No puede utilizarla para reasignar incidentes a otro revisor.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de incidentes de DLP o Menú → Protección de datos
→ Operaciones de DLP.
2. Haga clic en las pestañas Tareas de incidentes o Tareas de evento operativo.
3. Siga uno de estos procedimientos:
• Para McAfee DLP Endpoint: seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija
Definir revisor en el panel Tipo de tarea y, a continuación, haga clic en Acciones → Nueva regla.
• En McAfee DLP Discover: seleccione en la lista desplegable la opción Datos en reposo (red).
4. Introduzca un nombre y, si lo desea, una descripción. Seleccione un revisor o un grupo y, a continuación, haga clic en
Siguiente.
Las reglas se habilitan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecución de la regla.
5. Haga clic en > para añadir criterios y en < para eliminarlos. Defina los parámetros Comparación y Valor. Cuando haya
acabado de definir los criterios, haga clic en Guardar.
Tip
Resultados
Note
La tarea se ejecuta cada hora.
No puede omitir el revisor mediante una tarea de Definir revisor una vez que se ha establecido el revisor.
Utilice los filtros para mostrar los incidentes que coinciden con los criterios especificados.
McAfee DLP Endpoint Ejemplo: Sospecha que un usuario concreto ha estado enviando conexiones que contenían datos
confidenciales a un intervalo de direcciones IP fuera de la empresa. Puede crear un filtro para mostrar los incidentes que
coinciden con el nombre de usuario y el intervalo de direcciones IP.
Procedimiento
1. En McAfee ePO, seleccione Administrador de incidentes de DLP.
2. En la lista desplegable Presente, seleccione la opción para su producto.
3. En la lista desplegable Filtro, seleccione (sin filtro personalizado) y haga clic en Editar.
4. Configure los parámetros de filtros.
a. En la lista Propiedades disponibles, seleccione una propiedad.
b. Introduzca el valor para la propiedad.
Note
Note
Resultados
Note
También puede gestionar los filtros en el administrador de incidentes seleccionando Acciones → Filtro.
Procedimiento
1. En McAfee ePO, seleccione Administrador de incidentes de DLP.
2. En la lista desplegable Presente, seleccione la opción para su producto.
3. Haga clic en un ID de incidente.
La página muestra detalles generales e información de origen. Según el tipo de incidente que seleccione, se mostrarán los
detalles del destino o del dispositivo.
La página muestra detalles generales sobre el incidente.
4. Para ver información adicional, lleve a cabo una de estas acciones.
• Para ver información del usuario en incidentes, haga clic en el nombre del usuario en el campo Origen.
• Para ver los archivos de pruebas, haga clic en la ficha Prueba y seleccione un nombre de archivo. La ficha Prueba
también muestra la Cadena coincidente breve, que incluye hasta tres elementos destacados como única cadena.
• Para ver las reglas que desencadenaron el incidente, haga clic en la ficha Reglas.
• Para ver las clasificaciones, haga clic en la ficha Clasificaciones.
Note
Administración de incidentes
Administración de incidentes
Note
Para optimizar el rendimiento del sistema, McAfee DLP purga los incidentes de la tabla de la lista de incidentes en vivo y
los traslada a la vista de la lista del historial cuando se alcanza un millón de incidentes, comenzando por los incidentes más
antiguos.
Utilice la Lista de incidentes para ver la información en tiempo real relacionada con un incidente. Los incidentes purgados
continúan apareciendo en la página Historial de incidentes. Utilice las tareas servidor de McAfee ePO Purga del historial de
eventos e incidentes operativos de DLP y Purgar pruebas de DLP para marcar los archivos de pruebas para su eliminación y
eliminar eventos e incidentes de las tablas de la base de datos del historial.
Si dispone de notificaciones de correo electrónico configuradas, se envía un mensaje de correo electrónico cuando se actualiza
un incidente.
Las siguientes tablas proporcionan algunos detalles sobre las opciones de correo electrónico y exportación de eventos
seleccionados.
Parámetro Valor
Parámetro Valor
Parámetro Valor
Administrar etiquetas
Una etiqueta es un atributo personalizado que se utiliza para identificar los incidentes que comparten rasgos similares.
Puede asignar varias etiquetas a un incidente y puede reutilizar una etiqueta para varios incidentes.
Por ejemplo: Tiene incidentes que se relacionan con varios proyectos que su empresa está desarrollando. Puede crear etiquetas
con el nombre de cada proyecto y asignarlas a los incidentes correspondientes.
Procedimiento
1. En McAfee ePO, seleccione Administrador de incidentes de DLP.
2. En la lista desplegable Presente, seleccione la opción para su producto.
3. Seleccione las casillas de verificación de uno o varios incidentes.
Note
Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.
Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar.
Seleccione una o varias etiquetas.
Haga clic en Aceptar.
• Para eliminar etiquetas de un incidente:
Seleccione Acciones → Etiquetas → Separar.
Seleccione las etiquetas que desea eliminar del incidente.
Haga clic en Aceptar.
• Para eliminar etiquetas:
Seleccione Acciones → Etiquetas → Eliminar etiquetas.
Seleccione las etiquetas que eliminar.
Haga clic en Aceptar.
Actualice la información del incidente como, por ejemplo, la gravedad, el estado y el revisor.
Note
Procedimiento
1. En McAfee ePO, seleccione Administrador de incidentes de DLP.
2. En la lista desplegable Presente, seleccione la opción para su producto.
3. Haga clic en un incidente para abrir la ventana de detalles.
4. En el panel Detalles generales, realice cualquiera de estas acciones.
• Para actualizar la gravedad, el estado o la solución, seleccione las opciones que desee en la lista
desplegable Gravedad, Estado, o Solución y, a continuación, haga clic en Guardar.
• Para actualizar el revisor, haga clic junto al campo Revisor, seleccione el grupo o el usuario y haga clic en Aceptar y
Guardar.
• Para añadir un comentario, seleccione Acciones → Agregar comentario, introduzca un comentario y haga clic en
Aceptar.
Actualice varios incidentes con la misma información al mismo tiempo. Se pueden actualizar de forma simultánea hasta 10 000
incidentes.
Note
Ejemplo: ha aplicado un filtro para mostrar todos los incidentes de un usuario o análisis concreto y desea cambiar la gravedad de
estos incidentes a Grave.
Procedimiento
1. En McAfee ePO, seleccione Administrador de incidentes de DLP.
2. En la lista desplegable Presente, seleccione la opción para su producto.
3. Seleccione las casillas de verificación de los incidentes a actualizar.
Note
Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.
• Para añadir un comentario, seleccione Acciones → Agregar comentario, introduzca un comentario y haga clic en
Aceptar.
• Para enviar los incidentes en un correo electrónico, seleccione Acciones → Enviar por correo electrónico los
eventos seleccionados, introduzca la información y, a continuación, haga clic en Aceptar.
Note
Puede seleccionar una plantilla o crear una introduciendo la información y haciendo clic en Guardar.
• Para exportar los incidentes, seleccione Acciones → Exportar eventos seleccionados, introduzca la información y, a
continuación, haga clic en Aceptar.
• Para liberar la redacción de los incidentes, seleccione Acciones → Liberar redacción, introduzca un nombre de
usuario y contraseña y, a continuación, haga clic en Aceptar.
Note
• Para cambiar las propiedades, seleccione Acciones → Definir propiedades, cambie las opciones y, a continuación,
haga clic en Aceptar.
El proceso para agregar notificaciones de correo electrónico es similar en el caso de Administrador de incidentes de DLP y de
Operaciones de DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de incidentes de DLP o Menú → Protección de
datos → Operaciones de DLP.
2. Seleccione Tareas de incidentes o Tareas de eventos operativos y, a continuación, seleccione Notificación de correo
automática.
Si ha elegido Tareas de incidentes, también debe seleccionar el tipo de incidente, como Datos en uso/movimiento.
3. Haga clic en Acciones → Nueva regla e introduzca un nombre y una descripción opcional.
Las reglas se activan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecución de la regla.
4. Seleccione los eventos que desee procesar y, a continuación, especifique los destinatarios, el asunto y el cuerpo.
Excepto para Cuerpo, estos campos son obligatorios. Puede insertar variables de la lista desplegable según sea necesario.
5. Agregue el texto del cuerpo del correo electrónico.
6. (Opcional para el Administrador de incidentes de DLP) Seleccione la casilla de verificación para adjuntar información de
pruebas al correo electrónico.
7. Haga clic en Siguiente para agregar los criterios de la regla y sus parámetros de Comparación y Valor; a continuación,
haga clic en Guardar.
Trabajo en casos
Los casos permiten a los administradores colaborar para llegar a la solución de incidentes relacionados.
En muchos casos, un único incidente no es un evento aislado. Debe ir al Administrador de incidentes de DLP para consultar
otros que tengan propiedades comunes o que se relacionen entre sí. Puede asignar estos incidentes relacionados a un caso.
Diversos administradores pueden supervisar y gestionar un caso en función de sus roles dentro de la organización.
McAfee DLP Endpoint Situación: Se percata de que un usuario concreto a menudo genera varios incidentes al finalizar el horario
laboral. Esta situación podría indicar que el usuario está involucrado en actividades sospechosas o que su sistema se ha puesto
en peligro. Asigne estos incidentes a un caso para realizar un seguimiento de cuándo y con qué frecuencia se producen tales
infracciones.
McAfee DLP Discover Situación: Los incidentes generados a partir de un análisis de corrección indican que se han añadido
recientemente numerosos archivos confidenciales a un repositorio con acceso público. Otro análisis de corrección indica que
dichos archivos también se han añadido a un repositorio público distinto.
En función de cuál sea la naturaleza de tales infracciones, tendrá que informar al respecto a los equipos de RR. HH. o de asuntos
legales. También puede permitir a los miembros de estos equipos que trabajen en el caso, por ejemplo, añadiendo comentarios,
cambiando la prioridad o informando a las partes interesadas más relevantes.
Administrar casos
Creación de casos
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administración de casos de DLP.
2. Seleccione Acciones → Nuevo.
3. Introduzca un nombre y configure las opciones.
4. Haga clic en Aceptar.
Asignación de un revisor
Es posible asignar revisores a incidentes y eventos operativos. Las asignaciones pueden ser por grupo de revisores o por revisor
individual.
El proceso para establecer revisores es similar en el caso de Administrador de incidentes de DLP y de Operaciones de DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de incidentes de DLP o Menú → Protección de
datos → Operaciones de DLP.
2. Seleccione Tareas de incidentes o Tareas de eventos operativos y, a continuación, seleccione Definir revisor.
3. Haga clic en Acciones → Nueva regla e introduzca un nombre y una descripción opcional.
Las reglas se activan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecución de la regla.
4. Seleccione un revisor o un grupo y, a continuación, haga clic en Siguiente.
5. Haga clic en Siguiente para agregar los criterios de la regla y sus parámetros de Comparación y Valor; a continuación,
haga clic en Guardar.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestión de casos de DLP.
2. Haga clic en un ID de caso.
3. Realice una de estas acciones.
• Para ver los incidentes asignados al caso, haga clic en la ficha Incidentes.
• Para ver los comentarios del usuario, haga clic en la pestaña Comentarios.
• Para ver los archivos adjuntos relacionados con el caso, haga clic en la pestaña Datos adjuntos.
• Para ver los datos de todos los interesados, haga clic en la pestaña Interesados.
• Para ver los registros de auditoría, haga clic en la pestaña Registro de auditoría.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de incidentes de DLP.
2. Desde la lista desplegable Presente, seleccione un tipo de incidente.
Para Datos en reposo (red) haga clic en el vínculo Analizar para definir el análisis, si fuera necesario.
3. Seleccione las casillas de verificación de uno o varios incidentes.
Tip
Use opciones como Filtrar o Agrupar por para mostrar los incidentes relacionados. Para actualizar todos los incidentes
mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.
• Para agregar un nuevo caso, seleccione Acciones → Administración de casos → Agregar a un caso nuevo, escriba
un nombre de título y configure las opciones.
• Para agregar a un caso existente, seleccione Acciones → Administración de casos → Agregar a un caso existente,
filtre por el ID del caso o por su título, y seleccione el caso.
Si un incidente deja de ser pertinente en un caso, puede eliminarlo o moverlo a otro distinto.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administración de casos de DLP.
2. Haga clic en un ID de caso.
3. Realice una de estas tareas:
Resultados
Tip
También puede mover o eliminar un incidente de la ficha Incidentes haciendo clic en Mover o Eliminar en la columna
Acciones.
Actualización de casos
Actualice información del caso, como cambiar el propietario, enviar notificaciones o agregar comentarios.
Las notificaciones se envían al creador y al responsable del caso, así como a los usuarios seleccionados, cuando:
Tip
Puede desactivar las notificaciones por correo electrónico automáticas enviadas al propietario y al creador del caso en Menú
→ Configuración → Configuración del servidor → Data Loss Prevention.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administración de casos de DLP.
2. Haga clic en un ID de caso.
3. Realice una de estas tareas.
• Para actualizar el nombre del caso, introduzca un nombre nuevo en el campo Título y, a continuación, haga clic en
Guardar.
• Para actualizar el propietario, haga clic en ..., junto al campo Propietario, seleccione el grupo o usuario y, a
continuación, haga clic en Aceptar y Guardar.
• Para actualizar las opciones Prioridad, Estado o Resolución, utilice las listas desplegables para seleccionar los
elementos y, a continuación, haga clic en Guardar.
• Para enviar notificaciones de correo electrónico, haga clic en ... junto al campo Enviar notificaciones a, seleccione
los usuarios a los que enviar notificaciones y haga clic en Guardar.
Note
Si no se muestra ningún contacto, especifique un servidor de correo electrónico para McAfee ePO y agregue
las direcciones de correo electrónico de los usuarios. Configure el servidor de correo electrónico en Menú
→ Configuración → Configuración del servidor → Servidor de correo electrónico. Configure los usuarios en
Menú → Administración de usuarios → Usuarios.
• Para añadir un comentario al caso, haga clic en la ficha Comentarios, introduzca el comentario en el campo de
texto y haga clic en Agregar comentario.
Sírvase de las etiquetas para distinguir los casos por un atributo personalizado.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administración de casos de DLP.
2. Seleccione las casillas de verificación de uno o varios casos.
Tip
Para actualizar todos los incidentes mostrados con el filtro actual, haga clic en Seleccionar todo en esta página.
Seleccione los usuarios de Active Directory que puedan ver los incidentes en el Administrador de incidentes de DLP.
Antes de empezar
Registre un servidor de Active Directory en McAfee ePO.
Procedimiento
1. En McAfee ePO, seleccione Menú → Administración de usuarios → Conjuntos de permisos.
2. Seleccione la función que desee editar y, a continuación, haga clic en el vínculo Editar situado bajo Nombre y usuarios.
3. Haga clic en Agregar, seleccione los usuarios de Active Directory que desee agregar y, a continuación, haga clic en
Aceptar.
4. Haga clic en Guardar.
5. En Data Loss Prevention, haga clic en el vínculo Editar.
6. Seleccione Administración de incidentes y haga clic en El usuario puede ver todos los incidentes.
7. Haga clic en Guardar.
Puede permitir que un usuario concreto vea sus casos en Administración de casos de DLP.
Antes de empezar
Cree un usuario en McAfee ePO y asígnele un conjunto de permisos.
Procedimiento
1. En McAfee ePO, seleccione Menú → Administración de usuarios → Conjuntos de permisos y seleccione el conjunto de
permisos al que pertenezca el usuario.
2. Haga clic en el vínculo Editar situado debajo de Nombre y usuarios.
3. Seleccione el usuario que acaba de crear y haga clic en Guardar.
4. En Data Loss Prevention, haga clic en el vínculo Editar.
5. Seleccione Administración de casos y haga clic en Los usuarios pueden ver los casos que se les han asignado.
6. Haga clic en Guardar.
Eliminación de casos
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administración de casos de DLP.
2. Seleccione las casillas de verificación de uno o varios casos.
Tip
Para eliminar todos los casos mostrados con el filtro actual, haga clic en Seleccionar todo en esta página.
Los datos de incidentes generados automáticamente capturados por McAfee DLP, que se muestran en el Gestor de incidentes
de DLP, son de solo lectura y no se pueden editar ni modificar. Para realizar mejores análisis y comprender los patrones
de los datos de incidentes, enriquezca estos incidentes con valores de atributos personalizados. Puede asignar atributos
personalizados de forma que proporcionen mejores recomendaciones sobre los datos de los incidentes.
Utilice atributos personalizados para asignar un incidente con información relacionada con el usuario o el incidente y establezca
la prioridad de los atributos según sea necesario. Los atributos que no están disponibles a través de LDAP, como el Gestor
del usuario, se pueden configurar mediante atributos personalizados. Los atributos personalizados también pueden almacenar
datos sobre las acciones realizadas en el incidente, el ID de empleado, la región del usuario, el revisor, la información relacionada
con la corrección, el estado de la corrección y notas.
Después de definir los atributos personalizados en McAfee ePO, puede utilizar una llamada a la API REST para asociar los
atributos personalizados a un incidente. Para asignar atributos personalizados a varios incidentes, el comportamiento esperado
es automatizar la asignación mediante un script definido por el usuario. Estos atributos se pueden asignar a todos los incidentes
o a incidentes específicos según sea necesario. A los atributos personalizados se les asignan valores NULL cuando se crean y no
es obligatorio rellenar los valores de todos los atributos personalizados. También puede modificar los atributos asignados a un
incidente cuando sea necesario. La asociación o disociación de atributos se produce tras un cambio en la asignación. La llamada
a la API REST solo actualiza los atributos personalizados, ya que los datos predeterminados de los incidentes no se pueden
editar.
Las API de atributos personalizados funcionan de manera coherente con un sistema de automatización definido por el usuario
para insertar los datos necesarios para el análisis de incidentes.
Note
Los valores de los atributos personalizados no se muestran en el Gestor de incidentes de DLP en esta versión, sino que
están disponibles solo a través de la llamada a API REST.
Flujo de trabajo para asignar atributos personalizados y recuperar los detalles actualizados del
incidente
1. Cree, edite o modifique atributos personalizados desde la pestaña Atributos personalizados en el Gestor de incidentes de
DLP. Para obtener más información, consulte Configuración de atributos personalizados.
2. Recupere todos los ID de incidentes a los que desee asignar valores de atributos personalizados mediante la llamada a API
GET incidents/ids. Consulte Recuperar ID de incidentes.
3. Ejecute la llamada a la API GET customAttribute/list para ver la lista de atributos personalizados configurados y el ID
asignado a cada atributo personalizado. Los ID de atributos personalizados son necesarios cuando se asigna un incidente
con valores de atributos personalizados, ya que la llamada a la API espera un par valor-clave. Consulte Recuperar la lista de
atributos personalizados configurados.
4. Ejecute la llamada a la API PUT customAttribute/{incidentId} para asignar valores de atributos personalizados. Consulte
Asignación de atributos personalizados a un incidente.
5. Recupere la información de los atributos personalizados junto con los detalles predeterminados del incidente mediante
la llamada a la API GET incidents/{incidentId}. Consulte Recuperación de detalles de incidentes descifrados mediante la API
REST.
Antes de empezar, habilite las API REST en McAfee ePO. Vaya a Menú → Protección de datos → Ajustes de DLP → Avanzada y
seleccione Habilitar API REST.
Necesita estos conjuntos de permisos específicos para editar o ver los detalles del incidente y los archivos de pruebas
consultados mediante las llamadas a la API REST. Para asignar estos permisos, vaya a Menú → Gestión de usuarios → Conjuntos
de permisos y cree un nuevo conjunto de permisos o edite un conjunto de permisos existente para la Gestión de incidentes; a
continuación, seleccione estos permisos. Los permisos están habilitados de manera predeterminada.
• API REST
El usuario puede ver el contenido de los archivos de pruebas mediante la API REST
El usuario puede ver los detalles del incidente a través de la API REST
El usuario puede actualizar los valores de los atributos personalizados del incidente a través de la API REST
Procedimiento
1. En McAfee ePO, vaya a Menú → Protección de datos → Gestor de incidentes de DLP → Atributos personalizados.
2. Haga clic en Acciones → Nuevo elemento para crear un atributo personalizado. En la página Atributos personalizados,
introduzca el nombre del atributo personalizado. Seleccione la categoría del atributo personalizado como Incidente o
Usuario.
También puede actualizar un atributo personalizado existente. Haga clic en el vínculo Editar o Eliminar para modificar
el atributo personalizado existente. Al eliminar un atributo personalizado, se eliminan los valores asignados de todos los
incidentes; en lugar de eso, puede desactivar el atributo para un incidente concreto.
3. Haga clic en Guardar.
Resultados
Utilice estos atributos para asignar atributos personalizados a todos los incidentes. La prioridad de los atributos personalizados
aparece en orden descendente. Haga clic en la flecha hacia arriba y hacia abajo para cambiar la prioridad. Los ID de atributos
personalizados no se muestran en la tabla Atributos personalizados, pero están disponibles cuando se ejecuta la llamada
customAttribute/list.
Recuperar ID de incidentes
Devuelve una lista de ID de incidentes a partir del parámetro especificado.
Donde:
Nombre del
parámetro Descripción Obligatorio Valores
• 1 = Recuperar
incidentes generados
para datos en uso/
movimiento
• 2 = Reservado para
recuperar datos en
reposo - incidentes
de descubrimiento de
endpoints; se puede
utilizar cuando se
añade compatibilidad
Nombre del
parámetro Descripción Obligatorio Valores
con atributos
personalizados de
descubrimiento de
endpoints en el
producto
• 3 = Recuperar
incidentes generados
para datos en reposo
- red
https://172.27.108.53:8443/rest/dlp/incidents/ids?startTime=1625204620000&incidentNature=1
Parámetros de respuesta
Se devuelven estos parámetros para la solicitud de la API. La respuesta a esta llamada a la API devuelve una lista de ID de
incidentes basada en la hora de inicio establecida y puede devolver como máximo 1000 ID de incidentes.
Ejemplo de respuesta
{
"incidentIds": [
"18",
"17",
"14",
"15",
"16",
"11",
"12",
"13",
"8",
"9",
"10",
"5",
"6",
"7",
"3",
"4",
"1",
"2"
],
"endTime": "null"
}
Código Descripción
Código Descripción
Donde:
Parámetros de la solicitud
Utilice los parámetros de consulta para devolver la lista de atributos personalizados configurados.
Nombre del
parámetro Descripción Obligatorio Valores
https://172.27.108.53:8443/rest/dlp/incidents/customAttribute/list
Parámetros de respuesta
La respuesta devuelve una lista de atributos personalizados donde cada atributo es un objeto con el nombre del atributo, su ID y
el tipo de atributo. Devuelve una lista vacía si no hay atributos personalizados.
Ejemplo de respuesta
[
{
"id": "5",
"name": "Owner"
"type": "User"
},
{
"id": "6",
"name": "Reviewer"
"type": "User"
},
{
"id": "7",
"name": "Modifier"
"type": "User"
}
]
Código Descripción
Donde:
Esta llamada asigna atributos personalizados al incidente especificado. Puede utilizar un script de automatización definido por el
usuario para asignar atributos personalizados a todos los incidentes en lotes.
Parámetros de la solicitud
Utilice los parámetros de consulta para recuperar los detalles del incidente.
Nombre del
parámetro Descripción Obligatorio Valores
Nombre del
parámetro Descripción Obligatorio Valores
• 1 = Asignar atributos
a un incidente
generado para datos
en uso/movimiento
• 2 = Reservado para
asignar atributos a
datos en reposo
- incidentes de
descubrimiento de
endpoints; se puede
utilizar cuando se
añade compatibilidad
con atributos
personalizados de
descubrimiento de
endpoints en el
producto
Nombre del
parámetro Descripción Obligatorio Valores
• 3 = Asignar atributos
a un incidente
generado para datos
en reposo - red
https://172.27.108.53:8443/rest/dlp/incidents/customAttribute/18?incidentNature=1
Parámetros de respuesta
Parámetros de respuesta
id ID de atributo cadena
personalizado. Este ID
es el valor recuperado
mediante la llamada
customAttribute/list.
Ejemplo de respuesta
Si Body es:
[{"id":"5","value":"David"},{"id":"6","value":"John"}]
Código Descripción
404: no encontrado
• URL de McAfee ePO incorrecta
• El ID de incidente o atributo no existe
Donde:
Parámetros de la solicitud
Utilice los parámetros de consulta para recuperar los detalles del incidente.
Encabezados
Nombre del
parámetro Descripción Obligatorio Valores
Nombre del
parámetro Descripción Obligatorio Valores
• 1 = Recuperar
detalles de incidentes
generados para datos
en uso/movimiento
• 2 = Reservado para
recuperar datos en
reposo - incidentes
de descubrimiento de
endpoints; se puede
utilizar cuando se
añade compatibilidad
con atributos
personalizados de
descubrimiento de
endpoints en el
producto
• 3 = Recuperar
detalles del incidente
generados para datos
en reposo - red
https://172.27.108.53:8443/rest/dlp/incidents/18?incidentNature=1
Parámetros de respuesta
Parámetros de respuesta
To La dirección de cadena
correo electrónico del
destinatario.
CC La dirección de cadena
correo electrónico del
destinatario.
Ejemplo de respuesta
{
"generalDetails":{
"incidentID":"18",
"occurred_UTC":"November 16, 2021 9:35:04 AM",
"occurred_Endpoint":"November 16, 2021 9:35:04 AM UTC",
"incidentType":"Email Protection",
"actualAction":"Block",
"expectedAction":"Block",
"severity":"Major",
"status":"New",
"resolution":"None",
"reviewer":"Unassigned",
"labels":"None"
},
"endpointDetails":{
"computerName":"",
"computerIP":"",
"connectivityState":"null",
"sourceApplication":"null"
},
"userDetails":{
"userPrincipalName":"user1@std.dom",
"userAccount":"",
"userEmail":"",
"userOU":"",
"userGroups":""
},
"reportingProduct":{
"reportingProduct":"DLP Prevent",
"productVersion":"11.6.0",
"policyName":"My Default DLP Policy (2)",
"applianceIP":"192.168.1.135",
"applianceHostName":"ps"
},
"totalMatchCount":"1",
"totalContentSize_KB":"0.95",
"additionalInformation":{
"Sender":"sender@client.std.dom<sender@client.std.dom>",
"To":"rcpt@client.std.dom",
"CC":"",
"BCC":"",
"EmailSubject":"test Tue, 16 Nov 2021 09:35:04 +0000",
"SourceProxyIP":"192.168.1.1",
"DestinationProxyIP":"192.168.1.1",
"MatchRecipients":"[rcpt@client.std.dom <rcpt@client.std.dom>]",
"AllRecipients":"[rcpt@client.std.dom <rcpt@client.std.dom>]"
},
"customAttributes":{
"Owner":"John",
"Reviewer":"David",
"Modifier": "Rob"
},
"evidences":[
{
"evidenceName":"test Tue, 16 Nov 2021 09:35:04 +0000.rtf",
"itemType":"Email Body",
"fileSize_KB":"1",
"matchCount":"0",
"uniqueMatchCount":"0",
"shortMatchString":"",
"uniqueMatchStrings":"<unique-match-string count=\"0\" total=\"0\"></unique-match-string>",
"classifications":"",
"path":"",
"sHA1":""
},
{
"evidenceName":"confidential.txt",
"itemType":"Email Attachment",
"fileSize_KB":"1",
"matchCount":"1",
"uniqueMatchCount":"1",
"shortMatchString":"This is extremely <match>confidential</match> data to be checked",
"uniqueMatchStrings":"<unique-match-string count=\"1\" total=\"1\"><match>confidential</match></
unique-match-string>",
"classifications":"Confidential (1)",
"path":"",
"sHA1":"aeaeb39e0348ce58a03b8cb138b9c2bd5a89b8e7"
},
{
"evidenceName":"test Tue, 16 Nov 2021 09:35:04 +0000.eml",
"itemType":"Email",
"fileSize_KB":"1",
"matchCount":"1",
"uniqueMatchCount":"1",
"shortMatchString":"",
"uniqueMatchStrings":"",
"classifications":"",
"path":"",
"sHA1":""
}
],
"rules":[
{
"ruleSetName":"email-ruleset",
"ruleName":"email-rule",
"configuredAction":"Block",
"severity":"Major",
"modificationDate":"November 15, 2021 9:29:53 AM"
}
],
"classifications":[
{
"classificationName":"Confidential",
"matchCount":"1",
"uniqueMatchCount":"1",
"uniqueMatchStrings":"<unique-match-string count=\"1\" total=\"1\"><match>confidential</match></
unique-match-string>"
}
],
"stakeholders":[
],
"auditLogs":[
{
"details":"export",
"modifier":"admin",
"modificationDateUTC":"November 19, 2021 2:28:23 PM"
},
{
"details":"export",
"modifier":"admin",
"modificationDateUTC":"November 19, 2021 2:18:08 PM"
},
{
"details":"Event was opened for viewing",
"modifier":"testuser",
"modificationDateUTC":"November 17, 2021 6:37:18 AM"
},
{
"details":"Event was opened for viewing",
"modifier":"admin",
"modificationDateUTC":"November 17, 2021 6:34:11 AM"
}
],
"comments":[
],
"cases":[
]
}
Código Descripción
• La URL es incorrecta
• La URL no tiene un ID de incidente
• El ID de incidente no existe en la base de datos de
McAfee ePO
500: error de servidor interno Error interno del servidor debido a que la API no
puede devolver detalles. Por ejemplo, cuando el
servidor de base de datos no está disponible.
Supervisión de appliances
Supervisión de los appliances de McAfee DLP desde McAfee ePO
Puede supervisar sus appliances de McAfee DLP Prevent y McAfee DLP Monitor en McAfee ePO mediante la función Gestión de
appliances.
Los paneles Vista de árbol, Mantenimiento del sistema, Alertas y Detalles proporcionan conjuntamente el estado de sus
appliances en la página Gestión de appliances. Puede buscar las alertas y el estado de todos sus appliances y clústeres
gestionados por la función Gestión de appliances en McAfee ePO. El tipo de información mostrada varía según el tipo de
appliance y el modo en que se haya configurado cada uno de ellos.
El estado se muestra en verde, ámbar o rojo. El color del estado depende de si se han sobrepasado los valores de umbral de
advertencia y crítico, o de si hay un error. En los paneles Alertas y Detalles se proporciona más información.
Las estadísticas principales se muestran bajo el nombre del appliance. Estas estadísticas corresponden a los dos elementos de
información que se consideran de mayor importancia para el tipo de appliance.
A la derecha de las estadísticas principales se encuentra el resto de las estadísticas de mantenimiento del appliance. Estas
estadísticas varían en función del tipo de appliance con el que estén relacionadas.
Note
Para ver la información relativa a un grupo de appliances o clústeres, utilice la vista de árbol de Appliances para filtrar los
sistemas que se muestran. A continuación, utilice los controles de paginación para ver la información de Estado del sistema
relativa al sistema de interés.
Panel Alertas
El panel Alertas muestra información sobre los errores o las advertencias que se relacionan con sus appliances gestionados. Si
actualmente no hay errores ni advertencias, este panel aparece vacío.
La información mostrada en el panel Alertas refleja el appliance o grupo de estos que están seleccionados actualmente en la
vista de árbol. Cuando navega a un appliance o grupo de estos distinto, las alertas que se muestran cambian para mostrar solo
las que son relevantes para su selección.
Las alertas se agrupan por categoría. De manera predeterminada, las alertas se muestran plegadas, excepto si tienen que ver
con actualizaciones o DNS. Entre los ejemplos de los tipos de categorías, se incluyen los siguientes:
• CPU
• Memoria
• Disco
• Red
• Actualizaciones
• DNS
Note
Las categorías mostradas dependen de los productos de McAfee que se estén gestionando desde McAfee ePO, así como de
los tipos de alertas que se emitan.
Para ver los mensajes de alerta individuales, haga clic en , a la izquierda de la categoría.
Todas las alertas de la categoría elegida se muestran anidadas debajo de la etiqueta de la categoría. Con cada alerta también se
incluye una marca de tiempo, el nombre del appliance y una breve descripción de la alerta. Para resumir las alertas, haga clic en
.
Panel Detalles
La página Detalles muestra información detallada sobre la alerta seleccionada en el panel Alertas.
Note
El tipo de información que se muestra en el panel Detalles varía en función del tipo de advertencia o error del que se
informa.
Panel Detalles
Los contadores de alertas se muestran en la parte inferior del panel Detalles. Estos contadores muestran el número de alertas
relacionadas con el appliance o grupo de appliances seleccionado actualmente. También se muestra el número total de alertas
indicadas actualmente para todos los appliances administrados.
Puede averiguar si un appliance funciona correctamente o requiere su atención consultando la información de Gestión de
appliances.
Procedimiento
1. Inicie sesión en McAfee ePO.
2. En el menú, seleccione Sistemas → Gestión de appliances.
3. En la vista de árbol de Appliances, expanda la lista de appliances hasta que encuentre el appliance que desea ver.
La vista del árbol de Appliances en Gestión de appliances es una vista filtrada del Árbol de sistemas. Utilice el Árbol de
sistemas para eliminar un appliance anulado que aparece en el árbol de Appliances.
Note
Procedimiento
1. En McAfee ePO, haga clic en Árbol de sistemas de la barra de icono superior.
Si el appliance seleccionado sigue funcionado y conectado a la red, McAfee ePO lo vuelve a añadir al Árbol de sistemas
después de la siguiente comunicación agente-servidor.
• En un entorno de clúster de McAfee DLP Prevent, la tarjeta de mantenimiento del sistema muestra una vista de árbol
del appliance principal del clúster y los analizadores de clúster.
• En un entorno de clúster de McAfee DLP Monitor, la tarjeta de mantenimiento del sistema muestra una vista de árbol
del único dispositivo de adquisición de paquetes, el appliance principal del clúster y dos o más analizadores específicos.
• Indicadores que muestran si un appliance requiere su atención.
• Información detallada sobre cualquier problema detectado.
La barra de información incluye el nombre de appliance, el número de alertas notificadas hasta el momento y otra información
específica del appliance notificado.
Las tarjetas de mantenimiento del sistema muestran los appliances de McAfee DLP Prevent como Servidor de prevención, y
cada appliance en funcionamiento se muestra como Activo. Un appliance puede corresponder a uno de los siguientes tipos,
dependiendo de si es autónomo o si forma parte de un clúster:
Note
Los gráficos de líneas muestran el estado de salud de las últimas 24 horas. Puede ver la última hora de actualización en la
parte superior de la tarjeta Mantenimiento del sistema. Para ver el estado más reciente, actualice el navegador. Para un
rendimiento óptimo del sistema, el intervalo entre los puntos de datos es de cuatro minutos.
• Cola de pruebas: muestra el número de archivos de pruebas a la espera de ser copiados en el almacenamiento de
pruebas. Si el servidor de pruebas no está disponible porque, por ejemplo, no se puede contactar con él, la prueba
se pone en cola hasta que el servidor vuelve a estar disponible. Si el tamaño combinado total de los elementos de la
cola sobrepasa un umbral, se emite una alerta. El límite de almacenamiento de la cola de pruebas varía en función de
la plataforma y la disponibilidad del almacenamiento oscila entre 20 y 200 GB. Cuando el almacenamiento alcanza su
umbral, no se generan más incidentes. Se rechaza cualquier otro tráfico y se emite un mensaje de error.
• Correos electrónicos (por minuto): muestra el número total de mensajes que se procesan; incluye los mensajes
entregados y los rechazados temporal o permanentemente.
Por ejemplo, es posible que se rechace un mensaje de manera temporal si el host inteligente no está disponible.
Por ejemplo, es posible que se rechace un mensaje de manera permanente si la dirección del destinatario no es
correcta o el host inteligente ha bloqueado el mensaje.
• Solicitudes web (por minuto): muestra el número total de solicitudes web que ha procesado el appliance de McAfee
DLP Prevent en un minuto y cuántas no ha podido analizar.
• Captura (opcional): las estadísticas de Captura son visibles cuando la función Captura de DLP está habilitada en el
appliance. Las estadísticas de Captura incluyen:
El número estimado de días restantes antes de que el almacenamiento de capturas alcance su capacidad.
La antigüedad del elemento capturado más antiguo que se conserva en el almacenamiento.
El número de búsquedas en curso actualmente.
• CPU: muestra información sobre el uso de la CPU: % ocupado, % sistema, % usuario, % inactivo.
• Memoria: muestra información sobre la memoria utilizada, el uso de intercambios y la velocidad de intercambio.
• Disco: muestra la información sobre las particiones de disco y su uso.
• Análisis de OCR: cuando se habilita el análisis de OCR, las imágenes que deben analizarse se mantienen en una cola.
Cuando el tamaño de la cola supera el límite de umbral, el appliance de McAfee DLP Prevent ignora las imágenes
adicionales hasta que el número de análisis de OCR pendientes caiga por debajo del tamaño máximo de la cola. Esto se
lleva a cabo para evitar interrupciones en el tráfico de correo electrónico y web. Cuando se produce esta situación, se
muestra una alerta y sus detalles en el panel Gestión de appliances.
Estados de procesos: ayuda a identificar el estado de mantenimiento de los procesos o servicios que se están ejecutando en el
appliance. Indica si un proceso se está ejecutando correctamente, si está desactivado o si no funciona.
mca: muestra el estado de los procesos de McAfee Common Appliance (MCA). MCA es el agente de ajustes
generales del appliance responsable del intercambio de información entre el appliance de McAfee DLP y McAfee
ePO. Si MCA no está disponible, la comunicación entre el appliance y McAfee ePO da error.
cma: muestra el estado de Common Management Agent (CMA), también conocido como McAfee Agent. Si CMA
no está disponible, la comunicación entre el appliance y McAfee ePO da error.
crond: muestra el estado del proceso crond. crond es un proceso en segundo plano que ejecuta programas
especificados a una hora programada.c Si el proceso crond deja de funcionar o se desactiva en el appliance, la
ejecución de los trabajos cron se ve afectada.
incrond: muestra el estado del proceso incrond. incrond es un proceso en segundo plano que supervisa
cualquier cambio en el sistema de archivos. Si este proceso deja de funcionar o se desactiva en el appliance, la
ejecución de los trabajos se ve afectada cuando hay un cambio en el sistema de archivos.
tmgr (disponible solo cuando se habilita DLP Capture en los appliances): muestra el estado del servicio de
gestión de tareas (tmgr). tmgr es un servicio que recibe las solicitudes de búsqueda de captura, las procesa y
devuelve el estado de finalización de la búsqueda de captura.
postgres (disponible solo cuando se habilita DLP Capture en los appliances): muestra el estado de Postgres.
Postgres es un servicio de base de datos que se utiliza para almacenar metadatos procesados por el servicio
tmgr.
ntp: muestra el estado del servicio Network Time Protocol. Se utiliza para la sincronización del reloj.
named: muestra el estado del servicio con nombre. Named es el nombre de un servicio que se utiliza para las
búsquedas de DNS (Dynamic Name Service) que se ejecutan en segundo plano.
mlcdaemon: muestra el estado del proceso de McAfee Logon Collector que se ejecuta en segundo plano.
redis: estado de Redis. Redis es una base de datos en memoria que contiene datos y que se utiliza mediante
el servicio de análisis para determinar si el contenido no se puede analizar y devuelve SCANFAIL. También
almacena los datos de inicio de sesión de usuario procesados por McAfee Logon Collector.
evthandler: muestra el estado del controlador de eventos.
• Estado de stunnel
stunnel (aplicable a un clúster de appliances): muestra el estado de stunnel. stunnel convierte las conexiones
TCP no seguras en conexiones seguras.
Consulte la información sobre los mensajes de error para saber qué ocurre si se bloquea un mensaje o una solicitud web. Aparte
del contador de la cola de pruebas, los contadores no son acumulativos.
Las tarjetas de mantenimiento del sistema muestran los appliances de McAfee DLP Monitor como Servidor de supervisión.
Cada uno de los appliances en funcionamiento se muestra como Activo. Un appliance puede corresponder a uno de los
siguientes tipos, en función de si está configurado como un appliance autónomo o como miembro de un clúster:
El estado se muestra en verde, ámbar o rojo. Si el estado aparece en gris, significa que el parámetro no se aplica al appliance. El
color del estado depende de si se han sobrepasado los valores de umbral de advertencia y crítico, o de si hay un error. El valor
de estado (como 0, 1, % de uso, Aceptar o Deshabilitado) que aparece al final del gráfico es el estado más reciente. Los paneles
Alertas y Detalles incluyen más información para analizar los errores y solucionarlos en consecuencia.
Note
Los gráficos de líneas muestran el estado de salud de las últimas 24 horas. Puede ver la última hora de actualización en la
parte superior de la tarjeta Mantenimiento del sistema. Para ver el estado más reciente, actualice el navegador. Para un
rendimiento óptimo del sistema, el intervalo entre los puntos de datos es de cuatro minutos.
• Cola de pruebas: muestra el número de archivos de pruebas a la espera de ser copiados en el almacenamiento de
pruebas. Si el servidor de pruebas no está disponible porque, por ejemplo, no se puede contactar con él, la prueba
se pone en cola hasta que el servidor vuelve a estar disponible. Si el tamaño combinado total de los elementos de la
cola sobrepasa un umbral, se emite una alerta. El límite de almacenamiento de la cola de pruebas varía en función de
la plataforma y la disponibilidad del almacenamiento oscila entre 20 y 200 GB. Cuando el almacenamiento alcanza su
umbral, no se generan más incidentes. Se rechaza cualquier otro tráfico y se emite un mensaje de error. Esta estadística
no se aplica a los dispositivos de adquisición de paquetes.
• CPU: muestra información sobre el uso de la CPU (% ocupado, % sistema, % usuario, % inactivo).
• Memoria: muestra información sobre la memoria utilizada, el uso de intercambios y la velocidad de intercambio.
• Disco: muestra la información sobre las particiones de disco y su uso.
• Red: muestra información sobre los datos recibidos y transmitidos a través del puerto capture1. En el caso del puerto
capture1, se muestran los detalles siguientes:
Paquetes por segundo: número de paquetes procesados por el appliance autónomo o un dispositivo de
adquisición de paquetes del clúster de McAfee DLP Monitor cada segundo.
Descartes de paquetes: número de paquetes descartados en la interfaz de red.
• Supervisar: supervisa la información siguiente (estas estadísticas se aplican a los appliances autónomos y a los
dispositivos de adquisición de paquetes de clúster).
Flujos activos: el número actual de conversaciones de la red rastreadas por el appliance de McAfee DLP
Monitor.
Flujos filtrados: el número actual de conversaciones que no se analizan según las reglas de filtrado.
Cargas útiles analizadas: muestra el número de cargas útiles analizadas por McAfee DLP Monitor para cada
protocolo.
Error de análisis de carga útil: muestra el número de cargas útiles que no se pueden analizar si, por ejemplo, un
mensaje de correo electrónico está dañado o el tiempo para analizar la carga útil supera el límite de tiempo de
espera.
Exceso de tamaño de cargas útiles: muestra el número de cargas útiles que superan el límite configurado.
McAfee DLP Monitor no puede analizar los archivos .zip extraídos parcialmente.
• Captura: (opcional) las estadísticas de Captura están visibles cuando la función Captura de DLP está habilitada en el
appliance. Las estadísticas de Captura incluyen:
El número estimado de días restantes antes de que el almacenamiento de capturas alcance su capacidad.
La antigüedad del elemento capturado más antiguo que se conserva en el almacenamiento.
El número de búsquedas en curso actualmente.
• Análisis de OCR: cuando se habilita el análisis de OCR, las imágenes que deben analizarse se mantienen en una cola.
Cuando se supera el límite de tamaño de la cola, el appliance de McAfee DLP Monitor omite las imágenes adicionales
hasta que el número de análisis de OCR pendientes caiga por debajo del tamaño máximo de la cola. Esto se lleva a cabo
para evitar interrupciones en el tráfico de correo electrónico y web. Cuando se produce esta situación, se muestra una
alerta y sus detalles en el panel Gestión de appliances.
Estados de procesos: ayuda a identificar el estado de mantenimiento de los procesos o servicios que se están ejecutando en el
appliance. Indica si un proceso se está ejecutando correctamente, si está desactivado o si no funciona.
• Estado de stunnel
stunnel (aplicable a un clúster de appliances): muestra el estado de stunnel. stunnel convierte las conexiones
TCP no seguras en conexiones seguras.
Los contadores se actualizan en el appliance cada 60 segundos. Aparte del contador de la cola de pruebas, los contadores no
son acumulativos.
Eventos de cliente
Vaya al Árbol de sistemas y seleccione el appliance cuyos eventos desee ver. Seleccione Acciones y, a continuación, vaya a
Agente → Mostrar eventos de cliente. Algunos eventos incluyen códigos de motivo que se pueden utilizar para buscar archivos
de registro.
Tip
Purgue periódicamente el registro de Eventos de cliente para evitar que se llene por completo.
Actualizaciones de la imagen
de instalación interna mediante
eventos SCP:
• 986 — Se ha actualizado la
imagen de instalación interna
correctamente.
• 987 — No se ha podido
actualizar la imagen de
instalación interna.
Un certificado podría no
instalarse por uno de los motivos
siguientes:
Note
Utiliza los ajustes en la categoría General de la directiva Ajustes generales del appliance para configurar servidores de
registro remoto. Utilice el protocolo TCP para enviar los datos de eventos de los appliances de McAfee DLP a un servidor de
registro remoto. UDP tiene un límite de 1024 bytes por paquete, de modo que los eventos que superan esta cantidad quedan
truncados.
Los appliances de McAfee DLP envían información a syslog en el formato de evento común (CEF). CEF es un estándar de gestión
de registros abierto que mejora la interoperabilidad de la información sobre seguridad de distintos dispositivos y aplicaciones de
seguridad y red. Para simplificar la integración, se utiliza syslog como mecanismo de transporte. Esto aplica un prefijo común a
todos los mensajes que contiene la fecha y el nombre de host.
Las entradas de syslog contienen información sobre el propio dispositivo (el proveedor, el nombre de producto y la versión), la
gravedad del evento y la fecha en la que el evento se ha producido.
Note
Los eventos de mensajes SMTP pueden incluir el remitente y el destinatario, el asunto y las direcciones IP de origen y destino.
Cada intento de enviar un mensaje genera al menos una entrada en el registro. Si el mensaje incluye contenido que infringe
una directiva de prevención de fuga de datos, se añade otra entrada al registro. Cuando se añaden dos entradas al registro,
ambas contienen el número de TrellixDLPOriginalMessageID correspondiente.
Para obtener información sobre la descripción de los campos que aparecen en entradas de syslog e ID de eventos, consulta el
artículo KB93612.
Administración de datos
Recopilar y administrar datos
La supervisión del sistema consiste en la recopilación y revisión de pruebas y eventos, así como en la generación de informes.
Los datos sobre incidentes y eventos de las tablas de DLP incluidos en la base de datos de McAfee ePO se pueden ver en las
páginas Administrador de incidentes de DLP y Operaciones de DLP, o bien se pueden intercalar en informes y paneles. La
información de usuario se intercala en la ficha Información de usuario del módulo Operaciones de DLP, y se puede exportar a
un archivo .csv.
Los administradores revisan los eventos y pruebas guardados para determinar cuándo las reglas son demasiado restrictivas y
provocan retrasos en el trabajo innecesarios, o cuándo son demasiado laxas y permiten la fuga de datos.
Todas las tareas de incidentes y eventos operativos están predefinidas en la lista de tareas servidor. Las únicas opciones
disponibles son habilitarlas o deshabilitarlas o cambiar la programación. Las tareas del servidor de McAfee DLP disponibles para
incidentes y eventos son las siguientes:
• Eliminar sistemas DLP que se han quitado del árbol de sistemas de ePO
• Conversión de eventos de DLP 9.4 y versiones superiores
• Eventos de MVision Cloud de importación de DLP
• Migración de incidentes de DLP de la versión 9.3.x a la 9.4.1 y posteriores
• Migración de eventos operativos de DLP de la versión 9.3.x a la 9.4.1 y posteriores
• Conversión de la directiva de DLP de la versión 9.3.x a la 9.4.100 y posteriores
• Purgar pruebas de DLP
• Purga del historial de eventos e incidentes operativos de DLP
• Envío de correo electrónico para eventos e incidentes operativos de DLP
• Definición de revisor para eventos e incidentes operativos de DLP
Las tareas servidor de McAfee DLP para McAfee DLP Discover y McAfee DLP son:
Consulte la guía del producto para obtener información acerca de estas tareas.
Procedimiento
1. En McAfee ePO, seleccione Menú → Automatización → Tareas del servidor.
2. Seleccione la tarea que desea editar.
Tip
Cree tareas de purga de incidentes y eventos para eliminar de la base de datos la información que ya no es necesaria.
Puede crear tareas de purga para la Lista de incidentes, los incidentes de datos en uso en la lista Historial o la Lista de eventos
operativos.
Note
Para optimizar el rendimiento del sistema, McAfee DLP purga automáticamente incidentes de la tabla de la lista de
incidentes en vivo cuando se alcanza un millón de incidentes, comenzando por los incidentes más antiguos.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de incidentes de DLP o Menú → Protección de datos
→ Operaciones de DLP.
2. Haga clic en las pestañas Tareas de incidentes o Tareas de eventos operativos.
3. Seleccione un tipo de incidente en la lista desplegable (soloTareas de incidentes), seleccione Purgar eventos en el panel
Tipo de tarea y, a continuación, haz clic en Acciones → Nueva regla.
La opción Datos en uso/movimiento (archivo) permite purgar eventos del historial.
4. Introduzca un nombre y una descripción opcional y, a continuación, haga clic en Siguiente.
Las reglas se habilitan de forma predeterminada. Puede cambiar este ajuste para retrasar la ejecución de la regla.
5. Haga clic en > para añadir criterios y en < para eliminarlos. Defina los parámetros Comparación y Valor. Cuando haya
acabado de definir los criterios, haga clic en Guardar.
Resultados
La tarea se ejecuta a diario en el caso de los datos actuales y cada viernes a las 22:00 en el de los datos históricos.
Puede establecer notificaciones por correo electrónico automáticas de incidentes y eventos operativos para los administradores,
gestores o usuarios.
Procedimiento
1. En McAfee ePO, en Menú → Protección de datos, seleccione Administrador de incidentes de DLP u Operaciones de DLP.
2. Haga clic en las fichas Tareas de incidentes o Tareas de eventos operativos.
3. Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Notificación de correo
automática en el panel Tipo de tarea y, a continuación, haga clic en Acciones → Nueva regla.
4. Introduzca un nombre y, si lo desea, una descripción.
Las reglas se habilitan de forma predeterminada. Puede cambiar este ajuste para retrasar la ejecución de la regla.
5. Seleccione los eventos que desea procesar.
7. Seleccione Destinatarios.
Note
Note
12. Seleccione una limitación de tamaño para el correo electrónico o acepte la predeterminada (5 MB). Haga clic en
Siguiente.
13. Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación y Valor. Cuando haya
acabado de definir los criterios, haga clic en Guardar.
Resultados
Puede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir la carga de trabajo en organizaciones
de gran tamaño.
Antes de empezar
En McAfee ePO Gestión de usuarios → Conjuntos de permisos, cree un revisor o designe un revisor de grupo con permisos
Definir revisor para Gestor de incidentes de DLP y Operaciones de DLP.
La tarea Definir revisor asigna un revisor a los incidentes o eventos según los criterios de la regla. La tarea solo se ejecuta en los
incidentes donde no se ha asignado un revisor. No puede utilizarla para reasignar incidentes a otro revisor.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de incidentes de DLP o Menú → Protección de datos
→ Operaciones de DLP.
2. Haga clic en las pestañas Tareas de incidentes o Tareas de evento operativo.
3. Siga uno de estos procedimientos:
• Para McAfee DLP Endpoint: seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija
Definir revisor en el panel Tipo de tarea y, a continuación, haga clic en Acciones → Nueva regla.
• En McAfee DLP Discover: seleccione en la lista desplegable la opción Datos en reposo (red).
4. Introduzca un nombre y, si lo desea, una descripción. Seleccione un revisor o un grupo y, a continuación, haga clic en
Siguiente.
Las reglas se habilitan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecución de la regla.
5. Haga clic en > para añadir criterios y en < para eliminarlos. Defina los parámetros Comparación y Valor. Cuando haya
acabado de definir los criterios, haga clic en Guardar.
Tip
Resultados
Note
La tarea se ejecuta cada hora.
No puede omitir el revisor mediante una tarea de Definir revisor una vez que se ha establecido el revisor.
Procedimiento
1. En McAfee ePO, seleccione Menú → Automatización → Registro de tareas servidor.
2. Localice las tareas de McAfee DLP completadas.
Tip
Creación de informes
Tipos de informes
Utilice las funciones de generación de informes de McAfee ePO para supervisar el rendimiento.
Los paneles proporcionan un total de 22 informes, basándose en las 28 consultas encontradas en Menú → Informes →
Consultas e informes → Grupos de McAfee → Data Loss Prevention en la consola de McAfee ePO.
(Este tema trata sobre el uso de McAfee DLP Endpoint con MVISION ePO) Los productos McAfee DLP utilizan los informes
de McAfee ePO para revisar eventos. Asimismo, puede ver información sobre las propiedades del producto en el panel de
McAfee ePO.
Se admiten las consultas y los informes de datos acumulados de McAfee ePO, que resumen los datos procedentes de varias
bases de datos de McAfee ePO.
Paneles de ePO
Puede ver información sobre las propiedades del producto de McAfee DLP en la páginaMcAfee ePO Menú → Paneles. Estos son
los cuatro paneles predefinidos:
Las consultas predefinidas resumidas en los paneles están disponibles al seleccionar Menú → Consultas e informes. Se
enumeran en Grupos de McAfee.
Las tareas de acumulación de McAfee ePO extraen datos de varios servidores para generar un único informe. Puede crear
informes de acumulación para los eventos e incidentes operativos de McAfee DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → Automatización → Tareas servidor.
2. Haga clic en Nueva tarea.
3. En el Generador de tareas servidor, introduzca un nombre y una nota opcional; a continuación, haga clic en Siguiente.
4. En la lista desplegable Acciones, seleccione Acumular datos.
Aparece el formulario de datos acumulados.
5. (Opcional) Seleccione servidores en el campo Acumular los datos de la tabla desde.
6. En la lista desplegable Tipos de datos, seleccione Incidentes de DLP, Eventos operativos de DLP o McAfee DLP Endpoint
Discovery, según sea necesario.
7. (Opcional) Configure las opciones Purgar, Filtro o Método de acumulación. Haga clic en Siguiente.
8. Introduzca el tipo de planificación, la fecha de inicio, la fecha de finalización y la hora de planificación. Haga clic en
Siguiente.
9. Revise la información de Resumen y haga clic en Guardar.
Liberación de la cuarentena
El descubrimiento de McAfee DLP Endpoint puede poner en cuarentena el sistema de archivos local (Windows y Mac) o
los archivos de almacenamiento de correo electrónico con contenido de carácter confidencial. Para liberar los archivos en
cuarentena, el usuario debe solicitar un código de liberación de la cuarentena al administrador.
Omisión de la directiva
Cuando se produce un caso empresarial legítimo, un usuario puede solicitar el permiso para acceder o transferir información
de carácter confidencial. El administrador, a continuación, puede conceder permiso durante un tiempo limitado. Cuando esto
sucede, toda la información de carácter confidencial se supervisa, en lugar de bloquearse, de acuerdo con las reglas existentes.
Tanto el usuario como el administrador del sistema reciben mensajes sobre el estado de omisión cuando están activados
y desactivados. El usuario ve un mensaje emergente. El administrador ve una entrada de evento en la Lista de eventos
operativos.
McAfee DLP Endpoint utiliza un mecanismo de desafío-respuesta para omitir la seguridad en casos especiales. Cuando una
situación afecta a varios usuarios, se aplica otro mecanismo.
• Un usuario debe liberar correos electrónicos en cuarentena para eliminar la información de carácter confidencial.
• El cliente de McAfee DLP Endpoint debe desinstalarse, pero no se puede usar McAfee ePO porque el equipo está fuera
de la red corporativa.
• Un usuario tiene una razón empresarial válida para realizar una operación puntual que una directiva de seguridad
bloquea.
Protocolo desafío-respuesta
El usuario de endpoint abre la pestaña Tareas en la consola de McAfee DLP Endpoint donde se muestran un código de
identificación (el desafío) y la información de revisión de la directiva. Esta información es específica del equipo cliente de McAfee
DLP Endpoint que solicita la omisión.
1. El usuario envía el código de ID y el número de revisión de directiva a un administrador, por lo general mediante un
mensaje de texto, una llamada telefónica o un correo electrónico.
2. El administrador introduce la información proporcionada en la consola de Help Desk de DLP y genera un código de
liberación (la respuesta) y lo envía al usuario.
3. El usuario introduce el código de liberación en el cuadro de texto correspondiente y continúa con la tarea de liberación,
omisión o desinstalación.
Todas las funciones de DLP Help Desk crean códigos de liberación utilizando los números de revisión, mencionados en la
interfaz de usuario como ID de revisión. Para los códigos de liberación de omisión, la configuración predeterminada es el uso de
números de revisión, lo cual es opcional.
Cuando un administrador crea una directiva en McAfee DLP se asigna el número de revisión 1 a la directiva. Este número se
incrementa cada vez que se cambia la directiva. Además de su uso para solicitar una clave de omisión o desinstalación, el
número de revisión es importante para respaldar los procesos de solución de problemas, lo cual garantiza que los cambios en
las directivas se aplican realmente en los endpoints.
en el endpoint
• McAfee DLP Endpoint para Windows: consola de
endpoint, ficha Tareas
• McAfee DLP Endpoint for Mac: consola endpoint
en la página Prevención de fuga de datos
Todas las claves de omisión requieren entradas similares. Se deben tener en cuenta las siguientes diferencias:
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → DLP Help Desk.
2. Seleccione un tipo de clave.
3. Rellene los campos obligatorios (y opcionales).
Cuando se rellenan todos los campos obligatorios, se activa el botón Generar clave.
4. Generar el código de liberación y enviarlo al usuario.
Diagnóstico
Herramienta de diagnóstico
Herramienta de diagnóstico
La herramienta de diagnóstico está diseñada para facilitar la resolución de problemas de McAfee DLP Endpoint en equipos
endpoint de Microsoft Windows. No se admite en equipos OS X.
La herramienta de diagnóstico recopila información sobre el rendimiento del software cliente. El equipo de TI utiliza esta
información para solucionar problemas y ajustar directivas. Cuando existen problemas graves, se puede utilizar para recopilar
datos para que los analice el equipo de desarrollo de McAfee DLP.
La herramienta se instala con el paquete de software cliente de McAfee DLP Endpoint. Busque hdlpDiag.exe en la carpeta
C:\Archivos de programa\McAfee\DLP\Agent\Tools. Haga doble clic en hdlpDiag.exe e introduzca el código de validación para
abrir la utilidad de la herramienta de diagnóstico. Consta de siete páginas con pestañas, cada una destinada a un aspecto
diferente del funcionamiento del software de McAfee DLP Endpoint.
Note
En las páginas que muestran información en tablas, que son todas excepto Información general y Herramientas, puede
ordenar las tablas por cualquier columna si hace clic en el encabezado de la columna deseada.
Utilice la ficha Información general para obtener una descripción general del estado del agente.
La información de la ficha Información general está diseñada para confirmar las expectativas y responder a preguntas básicas.
¿Están en ejecución los procesos y los controladores del agente? ¿Qué versiones de producto están instaladas? ¿Cuál es la
directiva y el modo de operación actuales?
La memoria máxima predeterminada es de 150 MB. Un valor alto de este parámetro puede indicar problemas.
Controladores
Note
Conectividad del agente tiene tres opciones: en línea, sin conexión o conectada por VPN.
La herramienta de diagnóstico proporciona a los equipos de TI información detallada sobre el estado del agente.
Antes de empezar
La herramienta de diagnóstico requiere autenticación con McAfee® Help Desk.
Procedimiento
1. Vaya a C:\Archivos de programa\McAfee\DLP\Agent\Tools y haga doble clic en el archivo hdlpDiag.exe.
Se abre una ventana de autenticación.
2. Copie el código de identificación en el cuadro de texto Código de identificación de Help Desk en la página Generar clave
de omisión de cliente de DLP. Complete el resto de la información y cree un código de liberación.
3. Copie el código de liberación en el cuadro de texto Código de validación de la ventana de autenticación y haga clic en
Aceptar.
Se abre la herramienta de diagnóstico.
Las pestañas Información general, Módulos DLPE y Lista de procesos disponen del botón Actualizar en la esquina inferior
derecha. Los cambios que se producen cuando hay una pestaña abierta no actualizan la información de dichas pestañas
automáticamente. Haga clic en el botón Actualizar con frecuencia para asegurarse de que está visualizando los datos más
actuales.
Ajuste de directivas
En ocasiones, los usuarios pueden verse afectados por un rendimiento lento cuando se implementa una directiva nueva. Una
causa podría ser el alto uso de la CPU. Para averiguarlo, vaya a la pestaña Lista de procesos. Si ve más eventos de lo normal
para un proceso, ese podría ser el problema. Por ejemplo, una comprobación reciente detectó que taskmgr.exe estaba clasificado
como Editor y tenía el segundo mayor número de eventos totales. Es muy poco probable que esta aplicación esté perdiendo
datos, por lo que el cliente de McAfee DLP Endpoint no la tiene que supervisar tan de cerca.
Para probar esta teoría, cree una plantilla de aplicación. En el Catálogo de directivas, vaya a Directiva de DLP → Ajustes y
establezca una omisión en De confianza. Aplique la directiva y pruebe si el rendimiento ha mejorado.
El marcado de datos confidenciales constituye el aspecto central de una directiva de protección de datos. La herramienta de
diagnóstico muestra información que le ayudará a diseñar criterios efectivos de clasificación de contenido y de identificación
por huellas digitales de contenido. Las etiquetas pueden ser demasiado estrictas y provocar que se omitan datos que también
deberían etiquetarse, o demasiado dispersas y dar lugar a falsos positivos.
En la página Directiva activa se muestran las clasificaciones, así como los criterios de clasificación de contenido y de
identificación por huellas digitales de contenido. En la página Flujo de datos se muestran todas las etiquetas aplicadas por
la directiva y el recuento de cada una de ellas. Cuando los recuentos son superiores a lo esperado, puede que existan
falsos positivos. En un caso particular, un recuento extremadamente alto permitió descubrir que el texto de renuncia había
desencadenado la clasificación. Al añadir el aviso de renuncia a la lista de ignorados se eliminaron los falsos positivos. En la
misma línea, si un recuento es muy inferior a lo esperado, se puede deducir que existe una clasificación demasiado estricta.
Si se etiqueta un nuevo archivo mientras la herramienta de diagnóstico está en ejecución, la ruta del archivo se muestra en el
panel de detalles. Utilice esta información para localizar archivos para pruebas.
Un análisis de los informes de cliente sobre el uso de la CPU elevado por parte del cliente de McAfee DLP Endpoint (fcag.exe) ha
demostrado que, en muchos casos, este comportamiento se debe a uno de los dos siguientes problemas raíz:
Resultados
Desactivar la detección de URL de la barra de direcciones del navegador no afecta a la protección web y ni a la detección de
aplicaciones web en las reglas de protección de la publicación web, pero sí afecta a la detección de aplicaciones web en las reglas
siguientes:
• Protección del Portapapeles: no puede crear reglas que bloqueen la acción de copiar o pegar texto desde una página de
aplicación web específica.
• Protección de recursos compartidos de red: no puede crear reglas que bloqueen la acción de guardar un archivo o una
página web desde una página de aplicación web específica a un recurso compartido de red.
• Protección contra impresión: no puede bloquear la impresión desde aplicaciones web específicas.
• Protección de almacenamiento extraíble: no puede bloquear la acción de guardar archivos desde una página de
aplicación web específica.
• Protección contra capturas de pantalla: no puede bloquear las capturas de pantalla cuando una página de aplicación
web específica está visible en pantalla.
• Identificación por huellas digitales de contenido de aplicación web: no puede configurar criterios de identificación por
huellas digitales para los archivos de identificación por huellas digitales descargados desde una página de aplicación
web específica.
En todos estos casos, se necesita la URL de la barra de direcciones del navegador para identificar la aplicación web específica.
Procedimiento
1. Inicie sesión en el host de VMware ESXi o VMware ESX, o bien en vCenter Server mediante vSphere Client.
2. Seleccione el host de VMware ESXi o ESX en la lista de inventario.
3. Seleccione el appliance virtual y haga clic en la pestaña Rendimiento.
4. Haga clic en Avanzado → Opciones de gráfico.
5. Seleccione Red → En tiempo real.
6. Habilite los contadores de Transmitir paquetes descartados y Recibir paquetes descartados y haga clic en Aplicar.
McAfee DLP Prevent presenta el error Problema del sistema 451: vuelva a intentarlo más tarde. (No se ha configurado ningún host
inteligente) y cierra la conexión.
Tip
Puede comprobar si McAfee DLP Prevent puede aceptar correo electrónico usando telnet. Si el appliance está configurado
correctamente, aparece un mensaje de bienvenida 220:
220 host.dominio.ejemplo PVA/SMTP listo
Procedimiento
1. Instale las extensiones necesarias en McAfee ePO.
2. Registre el appliance con un McAfee ePO.
Siga los pasos de la Ayuda del Asistente de instalación.
3. Configure al menos un servidor DNS en la directiva Ajustes generales de gestión de appliances.
4. Configure un host inteligente en la categoría de directiva Ajustes de correo electrónico de McAfee DLP Prevent.
5. Aplique una directiva de McAfee Data Loss Prevention.
Consulte la sección de asignación de directivas de la Guía del producto de McAfee ePolicy Orchestrator .
Los appliances gestionados por la extensión de gestión de appliances envían información de uso y del sistema guardada en la
base de datos de McAfee ePO.
Tip
Permita que la tarea Purgar datos históricos de Gestión de appliances se ejecute tal como se ha definido, a fin de evitar que
la base de datos se haga demasiado grande.
Antes de empezar
SSH debe estar activado.
Tip
Descargar una CSR del appliance garantiza que la clave privada del appliance no pueda quedar desprotegida
involuntariamente.
Solo se permiten certificados y claves ECDSA y RSA en el archivo cargado. El certificado debe ser adecuado para su uso como
servidor TLS y como cliente TLS, y la carga debe incluir toda la cadena de certificados. Las cargas se pueden realizar en los
siguientes formatos:
Si falla la instalación, se dispone de información detallada en el syslog del appliance. Para verla, inicie sesión en la consola del
appliance, seleccione la opción Shell y escriba $ grep import_ssl_cert /var/log/messages.
Procedimiento
1. En un navegador, vaya a https://APPLIANCE:10443/certificates/ y seleccione uno de los vínculos de CSR para la
descarga.
Se dispone de dos archivos: uno contiene una clave pública RSA (la terminación del archivo es .rsa.csr), mientras que el otro
contiene una clave pública ECDSA (la terminación del archivo es .ec.csr).
2. Siga las instrucciones de su CA para obtener la firma de la solicitud.
3. Utilice un cliente de SCP, como winscp, para copiar la CA raíz y cualquier certificado de CA intermedia que se haya
usado para firmar el certificado del appliance en el directorio /home/admin/upload/cacert del appliance.
Puede ver si la instalación se ha realizado con éxito o se ha producido un error en la página Eventos de cliente.
Note
El certificado de CA y los certificados de CA intermedia deben importarse antes de importar el certificado del appliance.
4. Utilice un cliente SCP, como WinSCP, para copiar el certificado firmado del appliance en el directorio /home/admin/
upload/cert del appliance.
Note
El archivo transferido a la carpeta /home/admin/upload/cert desaparece tras la ingesta correcta, lo que significa que
la utilidad de ingesta ha seleccionado el archivo y lo ha procesado para su uso posterior. Normalmente, el archivo
desaparece incluso antes de acceder a la carpeta para comprobar la carga. Sin embargo, si el archivo se encuentra en
esta carpeta después de completarse la carga, es indicativo de un error. También puede comprobar si la instalación se
ha realizado correctamente o se ha producido un error desde /var/log/messages o la página Eventos de cliente.
Resultados
Puede volver a generar la clave privada si esta se ha visto comprometida, o bien si necesita renovar un certificado que se firmó
externamente.
Procedimiento
1. Inicie sesión en la consola del appliance.
2. Seleccione la opción Shell.
3. Escriba sudo /opt/NETAwss/mgmt/make_ssl_cert.
Se renovarán la clave privada, el certificado autofirmado y las solicitudes de firma de certificado del appliance.
Si el appliance estaba utilizando un certificado que se firmó externamente, se debe volver a cargar un certificado firmado.
Para crear una copia de seguridad de su configuración y servidor de McAfee ePO, véase KB66616.
Puede crear copias de seguridad de los ajustes de configuración de su appliance de McAfee DLP si necesita consultar los ajustes
de configuración en el futuro.
Procedimiento
1. En el menú de McAfee ePO, seleccione Directiva → Catálogo de directivas.
2. En la página Catálogo de directivas, seleccione Gestión de appliances de DLP <versión> en la lista desplegable
Productos.
3. En McAfee ePO 5.9 y versiones anteriores, seleccione Todo en la lista desplegable Categoría.
a. Haga clic en Exportar en Directivas de producto para crear una copia de seguridad de las opciones de
configuración. O BIEN
4. En McAfee ePO 5.10, seleccione Nueva directiva → Exportar.
5. En la página Exportar, descargue y guarde cada archivo.
6. En la página Catálogo de directivas, seleccione Ajustes generales de administración de appliances <versión> de la lista
desplegable Producto.
7. Repita los pasos del 3 al 5 para crear una copia de seguridad de los Ajustes generales de gestión de appliances.
Mensajes de error
Si el appliance no está configurado correctamente, trata de identificar el problema y envía un mensaje de error temporal o
permanente.
El texto entre paréntesis del mensaje de error proporciona información adicional sobre el problema.
Algunos mensajes de error retransmiten la respuesta del host inteligente, de manera que la respuesta de McAfee DLP Prevent
contiene la dirección IP, que viene indicada por x.x.x.x.
Por ejemplo, el error 442 192.168.0.1: Conexión rechazada indica que el host inteligente con la dirección 192.168.0.1 no ha
aceptado la conexión SMTP.
451 The system has not been No se ha completado la Registre el appliance con
registered with an ePO server (El instalación inicial. un servidor de McAfee ePO
sistema no se ha registrado con mediante la opción Asistente
un servidor de ePO) de configuración gráfico de la
consola del appliance.
451 (Falta la configuración del Este error se produce cuando se Compruebe que el servidor LDAP
servidor LDAP) cumplen estas dos condiciones: esté seleccionado en la categoría
de directiva Usuarios y grupos.
• McAfee DLP Prevent contiene
una regla que especifica un
emisor como miembro de un
grupo de usuarios LDAP.
• McAfee DLP Prevent no
está configurado para recibir
información del servidor LDAP
que contiene ese grupo de
usuarios.
451 (Error al resolver la directiva Una directiva contiene Compruebe que el servidor LDAP
basada en el emisor) condiciones del emisor LDAP, esté disponible.
pero no puede obtener la
información del servidor LDAP
porque:
451 (No se ha podido llevar a Las pruebas criptográficas Póngase en contacto con el
cabo la prueba de FIPS) automáticas necesarias para soporte técnico.
la conformidad con FIPS han
fallado.
451 (No se han podido verificar El servidor de documentos Compruebe la configuración para
los datos con respecto al servidor registrados no está disponible. confirmar que el servidor esté
de documentos registrados) disponible y que la información
introducida sea correcta.
442 x.x.x.x: conexión rechazada McAfee DLP Prevent no ha Compruebe que el host
podido conectarse al host inteligente puede recibir correos
inteligente para enviar el electrónicos.
mensaje o se ha perdido la
conexión al host inteligente
durante una conversación.
Autenticación 530 requerida El MTA no envía credenciales de Configure el MTA para enviar
autenticación. credenciales de inicio de sesión
de autenticación.
Autenticación 530 requerida: la El host inteligente no presenta Configure el host inteligente para
conversación AUTH es necesaria AUTH como parte de su enviar credenciales de AUTH
para la entrega de enlace respuesta a la solicitud de EHLO LOGIN.
del appliance de McAfee DLP
Prevent.
500 Unable to verify data against El servidor de documentos Compruebe la configuración para
the registered document server registrados no está disponible. confirmar que el servidor esté
(No se han podido verificar los disponible y que la información
datos con respecto al servidor de introducida sea correcta.
documentos registrados)
500 (Falta la configuración del Este error se produce cuando se Compruebe que el servidor LDAP
servidor LDAP) cumplen estas dos condiciones: esté seleccionado en la categoría
de directiva Usuarios y grupos.
• McAfee DLP Prevent contiene
una regla que especifica un
usuario final como miembro de
un grupo de usuarios LDAP.
• McAfee DLP Prevent no
está configurado para recibir
información del servidor LDAP
500 (Error al resolver la directiva Una directiva contiene Compruebe que el servidor LDAP
basada en el usuario final) condiciones del remitente LDAP, esté disponible.
pero no puede obtener la
información del servidor LDAP
porque:
3. En la sección Almacenamiento compartido de la página Ajustes generales, compruebe la ruta proporcionada para
Ubicación de almacenamiento compartido (UNC).
Para comprobar la ruta de pruebas con el recurso compartido del servidor de McAfee ePO, consulte las propiedades del
directorio y haga clic en la pestaña Recurso compartido. La ruta de UNC para el recurso compartido es la visualización correcta
para Ruta de red.
Hay disponibles opciones para la solución de problemas, comprobaciones de integridad y mensajes de error para ayudarle a
identificar y resolver los problemas relacionados con los appliances.
Utilice esta información para identificar y solucionar problemas con la instalación, el registro, el uso y el mantenimiento de
McAfee DLP.
Important
Si el registro sigue dando problemas, llame al soporte técnico. No intente volver a registrarse.
Para restaurar una conexión fallida, abra el Árbol de sistemas y seleccione el appliance que haya perdido la conexión. A
continuación, seleccione Acción → Agente → Activar agentes y haga clic en Aceptar.
Errores de registro
Los eventos de registro están disponibles en el registro Operaciones de DLP en McAfee ePO.
Si se configura la notificación por correo electrónico en McAfee ePO como una Reacción, se notificará al remitente.
• El appliance de McAfee DLP Prevent no pudiera conectar con el host inteligente para enviar el mensaje.
• Se haya interrumpido la conexión con el host inteligente durante una conversación.
Problemas de rechazo de correo electrónico
Si no hay un host inteligente configurado, el appliance de McAfee DLP Prevent no puede aceptar mensajes de correo electrónico
porque no tiene ningún lugar al que enviarlos.
Si no se selecciona ninguno, el servidor ICAP del appliance de McAfee DLP Prevent no acepta ninguna conexión.
Si solo se habilita el ICAP seguro, asegúrese de que el cliente ICAP sea compatible con ICAP.
Es posible seleccionar los modos en los que el appliance de McAfee DLP Prevent puede funcionar para el tráfico ICAP desde
REQMOD y RESPMOD. Si se anula la selección de cualquiera de estos modos, el appliance de McAfee DLP Prevent ignora el
tráfico correspondiente y no lo procesa. No es posible deshabilitar REQMOD y RESPMOD al mismo tiempo.
• Direcciones de proxy
• Mail
Si un appliance necesita utilizar la autenticación NTLM para el tráfico ICAP, también deberán replicarse los siguientes atributos de
LDAP:
• configurationNamingContext
• netbiosname
• msDS-PrincipalName
En el caso de Logon Collector, compruebe el certificado de Logon Collector en el appliance.
• Problemas de ampliación: se produce el error siguiente si instala la misma versión o una versión anterior a la de la
extensión: No se puede ampliar la extensión dlp-prevent-server-app a la <versión x.x.x.x> porque la <versión x.x.x.x> ya
está instalada.
Errores de inserción de directiva
Los eventos de inserción de directiva también están disponibles en el registro de Operaciones de DLP en McAfee ePO.
Si no es posible insertar una directiva, se pueden obtener detalles del appliance en el archivo /wk/mca/
ame_policy_DLPPS___1000_error.log.
• Cola de pruebas
• Solicitudes web y de correo electrónico (McAfee DLP Prevent)
• Análisis de paquetes (McAfee DLP Monitor)
• Uso de la CPU
• Memoria
• Disco
• Red
Es posible descargar el Informe de escalación mínima. Pueden estar disponibles hasta cinco informes al mismo tiempo. Cada
uno de ellos se eliminará transcurridas 24 horas. Si se genera otro informe, se elimina el informe más antiguo. La generación de
un Informe de escalación mínima puede tardar varios minutos y su tamaño será de varios megabytes.
El informe contiene información como registros de hardware, versiones de software, uso de memoria y espacio en disco,
información del sistema y la red, archivos abiertos, procesos activos, procesos de E/S, IPC, archivos de registro, contadores de
estado, generación de informes, detalles de imágenes de instalación interna y los resultados de diversas pruebas del sistema.
También proporciona información sobre DLP Capture y los metadatos relacionados con sus tareas de búsqueda.
Note
Procedimiento
1. Inicie sesión en el appliance con credenciales de administrador.
Se abrirá el menú general de la consola.
2. Utilice la tecla de la flecha hacia abajo para seleccionar Generate MER (Generar MER).
3. Escriba una contraseña que puede utilizar el servicio de soporte técnico de McAfee para abrir el MER y utilice la tecla de
la flecha para pasar al campo de confirmación de la contraseña.
4. Pulse INTRO para empezar a generar el informe.
Cuando el informe esté listo, recibirá una notificación con la dirección URL (https://<APPLIANCE>:10443/mer) desde la que
se podrá descargar el informe.
5. Vaya a la dirección URL y seleccione el Informe de escalación mínima que desee descargar.
6. Siga las instrucciones del servicio de soporte técnico de McAfee para enviar el informe.
Important
Cuando cree un informe de escalación mínima, especifique una contraseña para proteger el informe. No olvide incluir la
contraseña cuando envíe el informe al Soporte de McAfee, si la estableció.
Apéndice
Glosario
Terminología de McAfee DLP
Término Definición
Identificación por huellas digitales de contenido Mecanismo para clasificar y rastrear contenido de
carácter confidencial. Los criterios de identificación
por huellas digitales de contenido especifican
aplicaciones o ubicaciones y pueden incluir
condiciones de archivos y datos. Las firmas de
huella digital mantienen el contenido de carácter
confidencial cuando este se copia o mueve.
Término Definición
Información del archivo Una definición que puede incluir el nombre del
archivo, el propietario, el tamaño, la extensión y las
fechas de creación, modificación o acceso.
Utilice las definiciones de información de archivo
de los filtros para incluir o excluir los archivos que
analizar.
Término Definición
Término Definición
Término Definición
General
Puertos predeterminados
McAfee DLP utiliza varios puertos para la comunicación de red. Configure cualquier firewall intermediario o dispositivo de
implementación de directivas para permitir estos puertos cuando sea necesario.
Todos los protocolos que aparecen en la lista utilizan solo TCP, a menos que se indique lo contrario.
Para obtener información acerca de los puertos que se comunican con McAfee ePO, consulte el artículo KB66797.
Puertos predeterminados de McAfee DLP Discover
Análisis SMB/CIFS
• 137, 138, 139 — NetBIOS
• 445 — SMB
1521 Oracle
3306 MySQL
50000 DB2
1344, 11344 — ICAP e ICAP Tráfico ICAP con el proxy web Entrante
mediante SSL
McAfee DLP
McAfee DLP McAfee DLP Prevent y
Device Endpoint for Endpoint for McAfee DLP McAfee DLP
Componente Control Windows Mac Discover Monitor
Definiciones X X X X X
Clasificacione X* X X X X
s
Criterios de X* X X X X
clasificación
de contenido
McAfee DLP
McAfee DLP McAfee DLP Prevent y
Device Endpoint for Endpoint for McAfee DLP McAfee DLP
Componente Control Windows Mac Discover Monitor
Criterios de X
identificación
por huellas
digitales de
contenido
Texto X X
ignorado
Reglas y X X X X X
conjuntos de
reglas
Configuración X X X
del cliente
Configuración X X
del servidor
Pruebas X* X X X X
Gestión de X*** X X
derechos
* Device Control utiliza clasificaciones, criterios de clasificación de contenido y pruebas únicamente en las reglas de protección
de almacenamiento extraíble.
** McAfee DLP DiscoverMcAfee DLP Monitor, y McAfee DLP Prevent pueden analizar archivos para las clasificaciones
manuales, pero estos productos no pueden asignar clasificaciones manuales.
*** La gestión de derechos es compatible solamente con la regla de protección de almacenamiento extraíble.
DLP: Resumen de operaciones Número de eventos operativos Muestra todos los eventos
(Todos los productos) al día administrativos.
Reglas
Asistencia para la configuración de cliente con reglas de protección de datos
Las reglas de protección de datos trabajan con los ajustes de configuración de cliente. Aplicable a McAfee DLP Endpoint.
Tip
Para optimizar las reglas de protección de datos, cree configuraciones de cliente para que coincidan con los requisitos de
distintos conjuntos de reglas.
La siguiente tabla muestra las reglas de protección de datos y las opciones específicas de la configuración de cliente que les
afectan. En la mayoría de los casos, puede aceptar la configuración predeterminada.
Protección de acceso a archivos de la aplicación Rastreo del contenido: añadir o editar procesos
ignorados.
Protección web
• Módulos y modo de funcionamiento: habilitar los
navegadores admitidos para la protección web.
• Protección web: añadir o editar las direcciones
URL en lista de ignorados, habilitar el
procesamiento de solicitudes HTTP GET
(deshabilitado de forma predeterminada porque
Los dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas para dispositivos TrueCrypt o con reglas de
protección de almacenamiento extraíble. La protección TrueCrypt no se admite en McAfee DLP Endpoint for Mac .
• Use una regla de dispositivos si quiere bloquear o supervisar un volumen TrueCrypt o hacerlo de solo lectura.
• Utilice una regla de protección si desea una protección basada en el contenido para los volúmenes TrueCrypt.
Note
Las firmas se pierden cuando el contenido identificado por huellas digitales se copia en los volúmenes de TrueCrypt porque
estos no admiten los atributos extendidos de un archivo. Utilice las propiedades de documentos, el cifrado de archivos o las
definiciones de grupos de tipos de archivo en la definición de la clasificación para identificar el contenido.
El protocolo de transferencia multimedia (MTP) se utiliza para transferir archivos y metadatos asociados de equipos
a dispositivos móviles como los smartphones. Los dispositivos MTP no son dispositivos extraíbles tradicionales porque
implementan el sistema de archivos, no el equipo al que se conectan. Cuando el cliente se configura para admitir dispositivos
MTP, la regla de protección de almacenamiento extraíble permite interceptar las transferencias MTP y aplicar directivas de
seguridad. Actualmente, solo se admiten las conexiones USB.
El controlador funciona con todas las transferencias de datos realizadas por el Explorador de Windows. No funciona con los
dispositivos iOS, que utilizan iTunes para gestionar las transferencias de datos. Una estrategia alternativa con dispositivos iOS es
utilizar una regla para dispositivos de almacenamiento extraíbles para configurar los dispositivos como de solo lectura.
La protección de copia de archivos avanzada intercepta las operaciones de copia del Explorador de Windows y permite que el
cliente de McAfee DLP Endpoint inspeccione el archivo en origen antes de copiarlo al dispositivo extraíble. Está habilitada de
forma predeterminada y solo debería deshabilitarse cuando se deben solucionar problemas.
Note
Hay casos en los que la protección de copia avanzada no resulta pertinente. Por ejemplo, un archivo abierto por una
aplicación y guardado en un dispositivo extraíble con Guardar como vuelve a la protección de copia normal. El archivo se
copia en el dispositivo y, a continuación, se inspecciona. Si se encuentra contenido de carácter confidencial, el archivo se
elimina inmediatamente.
Las reacciones disponibles para una regla varían en función del tipo de regla.
• Todas las reglas de protección de datos están disponibles para McAfee DLP Endpoint. Algunas reglas de protección de
datos están disponibles para McAfee DLP Prevent y McAfee DLP Monitor.
• Las reglas de Device Control están disponibles para McAfee DLP Endpoint y Device Control.
• Algunas reglas de descubrimiento están disponibles para McAfee DLP Endpoint, y otras para McAfee DLP Discover.
Debe volver a configurar las reglas de acción de McAfee DLP Prevent para su uso en servidores proxy.
Note
Reacciones
Almacenar
Aplicar archivo
directiva original
de (correo
administración electrónico) Notificación
Sin de Notificar Solicitar como de
Reglas acción derechos Bloquear Cifrar incidente justificaciónprueba usuario
Protecci X X X X X X
ón de
correo
electró
nico
Protecci X X X X X X
ón web
Reacciones
Almacenar
Aplicar archivo
directiva original
de (correo
administración electrónico) Notificación
Sin de Notificar Solicitar como de
Reglas acción derechos Bloquear Cifrar incidente justificaciónprueba usuario
Protecci X X X X X
ón de
acceso
a
archivo
Reacciones
Almacenar
Aplicar archivo
directiva original
de (correo
administración electrónico) Notificación
Sin de Notificar Solicitar como de
Reglas acción derechos Bloquear Cifrar incidente justificaciónprueba usuario
s de la
aplicaci
ón
Protecci X X X X X X
ón del
Portapa
peles
Protecci X X X X X X X X
ón en
la nube
Protecci X X X X X X
ón de
correo
electró
nico
Protecci X X X X X
ón de
comuni
cacione
s de la
red
Protecci X X X X X X
ón de
recurso
compar
Reacciones
Almacenar
Aplicar archivo
directiva original
de (correo
administración electrónico) Notificación
Sin de Notificar Solicitar como de
Reglas acción derechos Bloquear Cifrar incidente justificaciónprueba usuario
tido de
red
Protecci X X X X X X
ón
contra
impresi
ón
Protecci X X X X X X X X
ón de
almace
namien
to
extraíbl
e
Protecci X X X X X
ón
contra
captura
s de
pantall
a
Protecci X X X X X X
ón web
Reacciones
Dispositivo X
Citrix XenApp
Disco duro X X X
fijo
Dispositivo X X
Plug and Play
Dispositivo de X X X
almacenamie
nto extraíble
Acceso a X X
archivos en
dispositivos
de
almacenamie
nto extraíbles
Dispositivo X X X
TrueCrypt
Reacciones
Crear
Aplicar huellas
directiva de digitales
administración de Clasificar
Reglas Sin acción Cifrar de derechos Cuarentena
contenido
archivo
Sis X X X X X X
te
m
a
de
ar
ch
iv
os
de
l
en
dp
oi
nt
Pr X X X
ot
ec
ci
ón
de
al
m
ac
en
a
mi
en
to
de
co
Reacciones
Crear
Aplicar huellas
directiva de digitales
administración de Clasificar
Reglas Sin acción Cifrar de derechos Cuarentena
contenido
archivo
rr
eo
de
En
dp
oi
nt
Reacciones
Almacenar
Aplicar archivo Eliminar
Es necesario modificar
directiva de original
Clasificar
la el recurso compartido
administración como archivo
clasificación
anónimo para iniciar
ReglasSin acción CopiarMover de derechos prueba
como automática
sesión
P X X X¹ X X X X X²
r ¹
o
t
e
c
c
i
ó
n
d
e
B
o
x
Reacciones
Almacenar
Aplicar archivo Eliminar
Es necesario modificar
directiva de original
Clasificar
la el recurso compartido
administración como archivo
clasificación
anónimo para iniciar
ReglasSin acción CopiarMover de derechos prueba
como automática
sesión
P X X X¹ X X X X
r ¹
o
t
e
c
c
i
ó
n
d
e
l
s
e
r
v
i
d
o
r
d
e
a
r
c
h
i
v
o
s
P X X X¹³ X³ X X X
r ¹
Reacciones
Almacenar
Aplicar archivo Eliminar
Es necesario modificar
directiva de original
Clasificar
la el recurso compartido
administración como archivo
clasificación
anónimo para iniciar
ReglasSin acción CopiarMover de derechos prueba
como automática
sesión
o
t
e
c
c
i
ó
n
d
e
S
h
a
r
e
P
o
i
n
t
P X X
r
o
t
e
c
c
i
ó
n
d
e
b
a
Reacciones
Almacenar
Aplicar archivo Eliminar
Es necesario modificar
directiva de original
Clasificar
la el recurso compartido
administración como archivo
clasificación
anónimo para iniciar
ReglasSin acción CopiarMover de derechos prueba
como automática
sesión
s
e
d
e
d
a
t
o
s
¹ Los análisis de Box, del servidor de archivos y de SharePoint permiten copiar y mover archivos solo a recursos compartidos de
SMB/CIFS.
² McAfee DLP Discover no puede evitar que los usuarios de Box vuelvan a habilitar el recurso compartido externo en sus
archivos.
³ Compatible con archivos adjuntos a listas de SharePoint o almacenados en bibliotecas de documentos. No es compatible con
las listas de SharePoint.
La acción realizada por las reglas de protección de datos se introduce en la pestaña Reacción.
De forma predeterminada, la acción para todas las reglas de protección de datos es Sin acción. Cuando se combina con la
opción Notificar incidente, se crea una acción de supervisión que se puede utilizar para ajustar las reglas antes de aplicarlas
como reglas de bloqueo. Además de generar un informe, la mayoría de las reglas permiten almacenar el archivo original que
activó la regla como prueba. Almacenar pruebas es opcional cuando se notifica un incidente.
Tip
Establezca el valor predeterminado de todas las reglas para informar de incidentes en Ajustes de DLP. Esto impide errores
accidentales al no especificar ninguna reacción. Puede cambiar el ajuste predeterminado cuando sea necesario.
La opción de notificación al usuario activa la ventana emergente de notificación al usuario en el endpoint. Seleccione una
definición de notificación de usuario para activar la opción.
Se pueden aplicar diferentes acciones cuando el equipo no está conectado a la red corporativa. Algunas reglas también pueden
permitir acciones diferentes cuando está conectado a la red corporativa mediante VPN.
La tabla enumera las acciones disponibles distintas a Sin acción, Notificar incidente, Notificación de usuario y Almacenar
archivo original como prueba.
Protección de correo electrónico Acciones McAfee DLP Endpoint: Actualmente, McAfee DLP
Endpoint for Mac admite
• Bloquear
solamente la supervisión de
• Solicitar justificación
correos electrónicos (Notificar
incidente).
Admite varias acciones para
McAfee DLP Endpoint cuando el
equipo está desconectado de la
red corporativa.
• Sin acción
• Bloquear
Para McAfee DLP Monitor, la
única reacción es Sin acción.
Las propiedades del dispositivo indican sus características, como el nombre de dispositivo, el tipo de bus o el tipo de sistema de
archivos.
La tabla proporciona definiciones de las propiedades del dispositivo, los tipos de definición que utiliza la propiedad y el sistema
operativo al que se aplican.
SCSI, USB
• macOS: Firewire Note: Para
(IEEE1394), IDE/SATA, las reglas de
SD, Thunderbolt, USB dispositivos Plug
and Play, McAfee
DLP Endpoint for
Mac solo admite el
tipo de bus USB.
lectura. UDFS.
la línea de comandos,
donde "x:" es la letra de
la unidad.
Ejemplo:
USB\VID_3538&PID_0042\
00000000002CD8
Un número de serie
válido debe tener un
mínimo de 5 caracteres
alfanuméricos y no
debe contener signos
&. Si la última parte
del ID de instancia
no se ajusta a estos
requisitos, no es un
número de serie.
Puede introducir un
número de serie
parcial utilizando la
comparación Contiene
en lugar de Igual a.
ID de proveedor/ID de El ID de proveedor y el
• Plug and Play • Windows
producto USB ID de dispositivo USB
• Almacenamiento • macOS
extraíble están incrustados en el
dispositivo USB. Estos
parámetros se pueden
obtener de la cadena
de ID de hardware de
los dispositivos físicos.
Ejemplo:
USB\Vid_3538&Pid_0042
Clasificaciones
Definiciones y criterios de clasificación
Las definiciones y criterios de clasificación contienen una o varias condiciones que describen el contenido o las propiedades del
archivo.
Condiciones disponibles
Productos
Propiedad Se aplica a: Definición compatibles
Productos
Propiedad Se aplica a: Definición compatibles
propiedades. Puede
añadir varias palabras
clave separadas por
comas (,).
El parámetro de
Cercanía se define
como "menos de x
caracteres", donde el
valor predeterminado
es 1. También
puede especificar un
parámetro de Número
de correspondencias
para determinar el
número mínimo de
coincidencias para
desencadenar un
acierto.
• Cualquier propiedad
• Autor
• Categoría
• Comentarios
• Empresa
• Palabras clave
• Guardado por última
vez por
• Nombre del gestor
• Seguridad
• Asunto
• Plantilla
• Título
Cualquier propiedad es
una propiedad definida
por el usuario.
Productos
Propiedad Se aplica a: Definición compatibles
Extensión del archivo Definiciones, criterios Grupos de tipos de Todos los productos
archivos compatibles,
tales como MP3 y PDF.
Productos
Propiedad Se aplica a: Definición compatibles
• Documentos de
Microsoft Word: el
motor de clasificación
puede identificar
Encabezado, Cuerpo
y Pie de página.
• Documentos de
PowerPoint: WordArt
se considera
Encabezado; todo lo
demás se identifica
como Cuerpo.
• Otros documentos:
Encabezado y Pie
de página no
son aplicables.
Los criterios de
clasificación no
coinciden con el
documento si se
seleccionan.
Productos
Propiedad Se aplica a: Definición compatibles
Los patrones avanzados de McAfee DLP utilizan expresiones regulares (regex) para permitir la coincidencia de patrones
complejos.
Las definiciones de patrones avanzados utilizan la sintaxis de expresiones regulares RE2 de Google. Distinguen entre mayúsculas
y minúsculas de manera predeterminada. Aunque una descripción completa de la sintaxis RE2 está fuera del ámbito de este
documento, en la tabla siguiente se incluyen algunos de los términos utilizados con mayor frecuencia.
\ (cuando se utiliza con un signo de puntuación, por Coincide con ] (aplica un escape al carácter siguiente,
ejemplo, \] es decir, elimina su significado especial).
Amplíe la extensión de McAfee DLP Endpoint a la versión 9.3.600 (9.3 parche 6) o posterior y, después, instale la extensión de
McAfee DLP 9.4.100 o posterior en McAfee ePO.
La tarea de conversión de directivas solo convierte las reglas que están activadas y aplicadas a la base de datos. Para comprobar
el estado de las reglas que desea convertir, revise su directiva de McAfee DLP Endpoint 9.3 antes de la conversión.
Procedimiento
1. En McAfee ePO, seleccione Menú → Automatización → Tareas servidor.
2. Seleccione Conversión de directivas de DLP y, a continuación, haga clic en Acciones → Ejecutar.
Se abrirá la página Registro de tareas servidor, donde podrá verificar si la tarea se está ejecutando. La directiva convertida
es compatible con la versión 9.4.100 y con directivas posteriores.
Note
La tarea falla si se ha ejecutado con anterioridad. Si hace cambios en la directiva McAfee DLP 9.3 y desea volver
a ejecutar la conversión, edite la tarea servidor eliminando la selección de la opción No ejecutar la conversión de
directivas si existe el 'Conjunto de reglas de conversión de directivas [9.3]' en la página Acciones. El conjunto de
reglas anterior se elimina y se sustituye.
3. Vuelva a la página Tareas servidor, seleccione Migración de incidentes de DLP de la versión 9.3.x a la 9.4.1 y superiores
y, a continuación, haga clic en Acciones → Editar.
El mismo procedimiento se aplica a Migración de eventos operativos de DLP de la versión 9.3.x a la 9.4.1 y superiores.
4. Seleccione Estado de planificación → Activado y, a continuación, haga clic en Siguiente dos veces.
Note
Tip
Planifique las tareas de migración para que se realicen los fines de semana o en horario no laborable debido a la carga
que suponen para el procesador.
a. Establezca la fecha de inicio y fecha de fin para definir un período de tiempo y programar la tarea para cada hora.
b. Planifique la repetición de la tarea según el tamaño de la base de datos de incidentes que vaya a migrar.
Los incidentes se migran en grupos de 200 000.
6. Haga clic en Siguiente para revisar los valores de configuración y luego en Guardar.
Comportamiento de análisis
Cambiar las propiedades de un análisis en curso puede afectar al comportamiento de este.
Cambio Efecto
Cambio Efecto
Cambiar las credenciales de usuario de corrección Solo afecta a la siguiente ejecución de análisis*.
JAWS, el software de lector de pantalla muy utilizado por invidentes, es compatible con los endpoints. Se admiten las siguientes
funciones de McAfee DLP Endpoint:
• Ventana emergente de notificación al usuario final: si el cuadro de diálogo emergente está establecido para que se
cierre manualmente (en Gestor de directivas de DLP), el texto del cuadro se lee permitiendo a las personas invidentes
navegar por los botones y enlaces.
• Cuadro de diálogo de justificación de usuario final: es posible acceder al cuadro combinado con la tecla de tabulación y
seleccionar la justificación con las teclas de flecha.
• Pestaña Historial de notificaciones de la consola de usuario final: cuando se selecciona la pestaña, JAWS lee lo
siguiente: "Se ha seleccionado la pestaña Historial de notificaciones". No hay contenido que permita realizar acciones. Se
lee toda la información del panel de la derecha.
• Pestaña Descubrimiento de la consola de usuario final: cuando se selecciona la pestaña, JAWS lee lo siguiente: "Se ha
seleccionado la pestaña Descubrimiento". No hay contenido que permita realizar acciones. Se lee toda la información del
panel de la derecha.
• Pestaña Tareas de la consola de usuario final: cuando se selecciona la pestaña, JAWS lee lo siguiente: "Se ha
seleccionado la pestaña Tareas". Se puede acceder a todos los pasos con la tecla de tabulación y se leen las instrucciones
adecuadas.
• Pestaña Acerca de de la consola de usuario final: cuando se selecciona la pestaña, JAWS lee lo siguiente: "Se ha
seleccionado la pestaña Acerca de". No hay contenido que permita realizar acciones. Se lee toda la información del panel
de la derecha.
Con McAfee Logon Collector, se identifica a los usuarios remotos mediante Identificadores de seguridad (SID) en lugar de
direcciones IP, nombres de host u otros parámetros de usuario sujetos a cambios.
Para obtener más información sobre McAfee Logon Collector, consulte la Guía de administración de McAfee Logon Collector.
El certificado utilizado entre McAfee Logon Collector y los appliances de McAfee DLP debe ser válido; de lo contrario no podrá
añadir un servidor de Logon Collector.
Siga estos temas para obtener más información sobre la configuración de McAfee Logon Collector con appliances de McAfee
DLP:
Para que McAfee DLP recupere la información del usuario y los datos de inicio de sesión de McAfee Logon Collector, primero
debe instalar y configurar McAfee Logon Collector.
Puede descargar McAfee Logon Collector del portal de descargas de productos de McAfee (https://www.mcafee.com/
enterprise/en-in/downloads/my-products.html).
McAfee Logon Collector requiere Windows 2008 R2 o una versión posterior de Windows Server. Para obtener más información
sobre la instalación de McAfee Logon Collector, consulte la Guía de administración de McAfee Logon Collector.
https://mlc.host.name:8443
Puede instalar monitores de inicio de sesión por separado y elegirlos según sea necesario para supervisar los eventos de
seguridad al añadir dominios a los Dominios gestionados.
Para obtener más información sobre la instalación de monitores de inicio de sesión, consulte la Guía de administración de
McAfee Logon Collector.
McAfee Logon Collector puede funcionar con varios dominios y bosques. Cada dominio desde el que McAfee Logon Collector
recibe eventos de seguridad debe añadirse a los dominios supervisados de McAfee Logon Collector.
Antes de empezar
Debe tener instalado McAfee Logon Collector.
Procedimiento
1. Seleccione Menú → Configuración → Dominios supervisados.
2. Haga clic en Nuevo dominio.
3. En la pestaña Nombre de dominio, especifique las credenciales del usuario administrador del dominio.
El nombre de dominio debe ser el nombre de dominio completo y no el nombre NetBIOS.
4. En la pestaña Controlador de dominio, seleccione una opción en la lista de controladores de dominio de los que McAfee
Logon Collector obtiene información para ese dominio.
5. Seleccione el monitor de inicio de sesión que se va a utilizar. Puede ser el localhost. Por ejemplo, McAfee Logon
Collector puede ser el monitor de inicio de sesión.
Resultados
Estos pasos deben repetirse para cada dominio integrado con McAfee Logon Collector.
Cómo funciona McAfee Logon Collector con los appliances de McAfee DLP
McAfee Logon Collector (MLC) comunica los eventos de inicio de sesión de usuarios de Windows a los appliances de McAfee
DLP. Los appliances de McAfee DLP pueden asignar una dirección IP a un nombre de usuario de Windows si no hay más
información de autenticación disponible.
1. Cuando un usuario inicia sesión en la red, el controlador de dominio crea un evento en el registro de eventos de seguridad.
Se trata de un archivo de registro protegido especial al que se puede acceder mediante la interfaz de gestión de Windows
(WMI). McAfee Logon Collector utiliza esta interfaz para recibir eventos de inicio de sesión y almacena una asignación del
IP de dispositivo del usuario a la información del usuario.
2. Cuando McAfee Logon Collector se integra con los appliances de McAfee DLP, los appliances sincronizan la dirección IP del
cliente y el SID del usuario de McAfee Logon Collector con una caché local disponible en cada appliance.
• Archivos de pruebas
• Archivo con coincidencias de
clasificación
• Huellas digitales de
documentos registrados.
Para el documento registrado
automáticamente, el servidor
Discover copia la huella
digital en la ubicación del
recurso compartido de pruebas
definida en la configuración del
servidor. Luego, el servidor de
DLP carga las huellas digitales
del recurso compartido de
todas las pruebas de los
servidores Discover y las pone
a disposición a través de la API
REST.
Para el documento registrado
manual, las huellas digitales
se copian en el recurso
compartido de todas las
pruebas disponibles.
• Paquete que contiene textos
ignorados
• Resumen de análisis de
descubrimiento de endpoints
en formato de archivo CSV
• Coincidencias exactas de la
base de datos para McAfee DLP
Prevent, McAfee DLP Monitor y
McAfee DLP Discover
• Resultados de búsqueda de
McAfee DLP Prevent y McAfee
DLP Monitor
Opción Definición
Opción Definición
Implementar permisos del árbol de sistemas Especifica si se utilizan u omiten los permisos del
Árbol de sistemas. Los permisos del Árbol de
sistemas pueden utilizarse para filtrar incidentes en
las consolas Gestor de incidentes de DLP y Eventos
operativos de DLP.
Zona horaria de eventos personalizada Define la zona horaria personalizada del Gestor de
incidentes de DLP y Operaciones de DLP.
Esta opción permite a los administradores ordenar
los eventos según su zona horaria local. El ajuste es
el desfase con respecto a la hora UTC.
Categoría Definición
Opción Definición
Notificaciones de correo electrónico automáticas Cuando se selecciona, todos los interesados reciben
una notificación por correo electrónico cuando
se cambia un incidente. Utilice las casillas de
verificación de los Interesados para añadir revisores
o usuarios a la lista de interesados.
Opción Definición
• Nuevo
• Pendiente
• Visto
• En investigación
• Escalado
• Solucionado
• Falso positivo
• Ninguna
• Caso abierto
• Resuelta: notificación a RR. HH.
• Resuelto: Notificación al responsable
• Resuelta: notificación al usuario
• Cerrada: autorizado
• Cerrado: Flujo de trabajo empresarial
• Cerrada: falso positivo
• Cerrado: Prueba
Opción Definición
Opción Definición
• Nuevo
• Pendiente
• Visto
• En investigación
• Escalado
• Resuelto
• Falso positivo
• Ninguno
• Caso abierto
• Resuelto: Notificación a RR. HH.
• Resuelto: Notificación al administrador
• Resuelto: Notificación al usuario
• Cerrado: Autorizado
• Cerrado: Flujo de trabajo empresarial
• Cerrado: Falso positivo
• Cerrado: Prueba
Opción Definición
• Nuevo
• En curso
• Escalado
• Resuelto
• Cerrado
• En investigación
• Notificación a usuario
• Notificación a responsable
• Falso positivo
• Cerrado
Note: La conectividad
también se comprueba al
hacer clic en Guardar.
El nombre de usuario
y la contraseña son los
del inquilino servidor de
MVISION Cloud McAfee ePO.
Trellix y FireEye son marcas comerciales o marcas comerciales registradas de Musarubra US LLC, FireEye Security Holdings US LLC y sus afiliados
de EE. UU. u otros países. McAfee es una marca comercial o una marca comercial registrada de McAfee LLC o sus filiales de EE. UU. u otros
países. Skyhigh Security es una marca comercial de Skyhigh Security LLC y sus afiliados de EE. UU. u otros países. La propiedad de otros nombres
y marcas corresponde a estas empresas o es posible que correspondan a terceros.