Guia Del Producto de Mcafee Data Loss Prevention 11.8.x 7-21-2023

Guía del producto de McAfee Data
Loss Prevention 11.8.x

Contenido
Descripción general del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Funciones clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Cómo funciona. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Cómo protegen DLP Endpoint y Device Control el contenido de carácter confidencial. . . . . . . . . . . . . . . 22
Ventajas de la protección de los endpoints de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Ventajas de la protección de los endpoints de Mac. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Cómo funciona el descubrimiento de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Cómo protegen los datos los distintos tipos de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Cómo protege McAfee DLP Prevent el tráfico de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Cómo protege McAfee DLP Prevent el tráfico web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Cómo McAfee DLP Monitor inspecciona el tráfico de red activo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
McAfee DLP y los vectores de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Cómo interactúa DLP con otros productos McAfee. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Funcionamiento de la protección de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Flujo de trabajo para proteger los datos confidenciales con McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Clasificación de los datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Rastrear cómo y cuándo se utiliza contenido de carácter confidencial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Protección de datos de carácter confidencial mediante reglas y directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Revisión y gestión de incidentes para ajustar las directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Flujo de trabajo de directivas para proteger los datos confidenciales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Caso práctico: Flujo de trabajo de la directiva de prevención de fuga de datos para bloquear datos adjuntos de
correo electrónico con información de carácter confidencial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Configuración de los componentes del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Participación en el Product Improvement Program de los appliances de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . 44
Habilitar Product Improvement Program en McAfee ePO para recopilar datos. . . . . . . . . . . . . . . . . . . . . . . . . . 44
Implementación de la directiva para habilitar la función PIP en los appliances de McAfee DLP. . . . . . . . . . . . 44
Configuraciones y directivas en el Catálogo de directivas para McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Configuración de cliente de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Configurar el tiempo de procesamiento en segundo plano de Outlook para la protección de correo

electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Compatibilidad con los parámetros de configuración de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Configuración de los ajustes del cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Configuración de los ajustes del servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Restablecer la contraseña compartida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Protección de archivos mediante la gestión de derechos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Funcionamiento de McAfee DLP con la gestión de derechos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Servidores de gestión de derechos compatibles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Documentación de eventos mediante pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Uso de pruebas y del almacenamiento de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Memoria y almacenamiento de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Resaltado de coincidencias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Reglas que permiten el almacenamiento de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Creación de carpetas de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Administrativos y usuarios finales de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Crear definiciones de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Control de asignaciones a usuarios y conjuntos de permisos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
API REST para importar definiciones y aplicar directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Asignación de conjuntos de permisos de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Crear un usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Creación de un conjunto de permisos de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Caso práctico: permisos de administrador de DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Caso de uso: limitar la visualización del Administrador de incidentes de DLP con permisos de redacción
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Creación de un conjunto de permisos de DLP Help Desk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Control de acceso a las funciones de los appliances de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Restricción de la visualización de appliances en el Árbol de sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Permitir que los usuarios editen las directivas de Gestión de appliances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Control de acceso a las funciones de Gestión de appliances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Permitir que los usuarios vean las estadísticas de Gestión de appliances. . . . . . . . . . . . . . . . . . . . . . . . . 77
Restricción de la visualización de las opciones de Ajustes generales de gestión de appliances por parte
de los usuarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Funciones de McAfee ePO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Clasificación de contenido de carácter confidencial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Identificación y rastreo de contenido con clasificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Cómo se categorizan las aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Clasificación en función del destino de los archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Supervisar o bloquear mensajes de correo electrónico confidenciales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Definir parámetros de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Uso con impresoras. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Control de la información cargada en sitios web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Clasificación por ubicación de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Extracción de texto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Clasificación del contenido con definiciones de diccionario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Clasificación del contenido con las definiciones de patrones avanzados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Clasificación de contenido con propiedades de documento o información de archivo. . . . . . . . . . . . . . . . . . . . . . . . 89
Ventajas de utilizar plantillas para definir los criterios de identificación por huellas digitales de contenido. . . . . . 90
Clasificación manual de los archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Incrustar propiedades para la integración de terceros. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Configuración de clasificaciones manuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Documentos registrados y texto ignorado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Protección de los registros de usuario mediante Coincidencia exacta de datos (mejorada). . . . . . . . . . . . . . . . . . . . 96
Ruta de actualización para utilizar EDM (mejorada). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Preparación del archivo de huella digital para la coincidencia exacta de datos. . . . . . . . . . . . . . . . . . . . . . . . . 101
Opciones para generar el archivo de huella digital con la herramienta EDMTrain. . . . . . . . . . . . . . . . . . 104
Formación automatizada de un archivo de origen de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Cargar el archivo de huella digital mediante la llamada a la API REST. . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Verificar el estado del archivo de huella digital cargado mediante la llamada a la API REST. . . . . . . . . 114
Localización de una coincidencia exacta de datos mediante EDM (mejorada). . . . . . . . . . . . . . . . . . . . . . . . . . 116
Coincidencia exacta de datos (solución EDM anterior). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Buscar una coincidencia exacta en un archivo de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Página de criterios de coincidencia exacta de huellas digitales de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Análisis de archivos de imagen con OCR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Creación y configuración de clasificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Crear clasificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Crear grupos de clasificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Creación de los criterios de clasificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Creación de propiedades de documentos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Carga de documentos registrados o ignorados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Prueba de las clasificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Página del probador de clasificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Comprobación del uso de la clasificación en las reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Configuración de componentes de clasificación para McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Crear criterios de identificación por huellas digitales de contenido. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Asignar permisos de clasificación manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Cómo pueden clasificar sus propios archivos los usuarios finales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Creación de definiciones de clasificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Creación de una definición de clasificación general. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Creación o importación de una definición de diccionario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Caso de uso: crear una definición de diccionario basada en palabras clave. . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Creación de una definición basada en un patrón avanzado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Crear una definición de lista de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Clasificación de contenido de carácter confidencial mediante etiquetas de Boldon James y Titus. . . . . . . . . . . . . 137
Clasificar contenido de carácter confidencial mediante etiquetas de Microsoft RMS o Azure Information Protection
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Uso de reglas y directivas para proteger el contenido de carácter confidencial. . . . . . . . . . . . 140
Creación de directivas con conjuntos de reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Creación de un intervalo de puertos de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Creación de un intervalo de direcciones de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Crear una definición de lista de direcciones de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Creación de una definición de impresora de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Creación de una definición de lista de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Definición de reglas para proteger el contenido de carácter confidencial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Definición de reglas por reputación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Protección de los datos en uso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Cómo funcionan las reglas de protección de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Protección del contenido por aplicación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Control de copiar y pegar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Protección de las cargas en la nube. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Protección de contenido de correo electrónico y archivos adjuntos. . . . . . . . . . . . . . . . . . . . . . . . . 148
Notificación para un remitente de correo electrónico acerca de las infracciones de directivas. . 149
Comportamiento del encabezado X-RCIS-Action de McAfee DLP Prevent. . . . . . . . . . . . . . . . . . . . 150
Comportamiento del encabezado personalizado de McAfee DLP Prevent. . . . . . . . . . . . . . . . . . . 151
Comportamiento del encabezado X-MFE-PREVENT: SCANFAIL ICAP. . . . . . . . . . . . . . . . . . . . . . . . . 153
Control del tráfico de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Protección de los recursos compartidos de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Protección del contenido de carácter confidencial enviado a las impresoras. . . . . . . . . . . . . . . . . 154
Protección de contenido escrito en dispositivos extraíbles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Control de las capturas de pantalla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Control del contenido publicado en sitios web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Reglas de control de dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Reglas de descubrimiento de red y de endpoint. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Reglas de control de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Listas de ignorados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Personalización de los mensajes de usuario final. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Creación y configuración de reglas y conjuntos de reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Creación de un conjunto de reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Creación de una regla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Asignación de conjuntos de reglas a las directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Habilitar, deshabilitar o eliminar reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Copia de seguridad y restauración de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Página Configuración de seguridad y restauración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Configuración de columnas de reglas o de conjuntos de reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Creación de una definición de justificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Creación de una definición de notificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Creación y asignación de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Creación de una directiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Asignación e inserción de una directiva en un sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Asignar e insertar una directiva para configurar un appliance de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . 167
Casos prácticos de reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Caso práctico: regla de acceso a archivos de dispositivos de almacenamiento extraíbles con un proceso para
ignorar nombres de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Caso práctico: Establecer un dispositivo extraíble como de solo lectura. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Caso práctico: Bloquear y cargar un iPhone con una regla de dispositivos Plug and Play. . . . . . . . . . . . . . . . 169
Caso práctico: impedir la copia de información confidencial en un disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen
a un dominio especificado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Caso práctico: Bloquear un mensaje de correo electrónico y devolverlo al remitente. . . . . . . . . . . . . . . . . . . 172
Caso práctico: Permitir que un grupo de usuarios específico envíe información de crédito. . . . . . . . . . . . . . 173
Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destino. . . . . . . . . . . . 174
Ejemplo de uso: Añadir encabezados personalizados a los mensajes de correo electrónico. . . . . . . . . . . . . 177
Caso práctico: Evitar filtraciones de datos en dispositivos extraíbles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Caso práctico: Impedir que los datos se filtren en la web desde aplicaciones basadas en la nube. . . . . . . . 180
Caso práctico: Bloquear pérdidas de datos en relación con el RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Protección de dispositivos extraíbles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Protección del contenido en dispositivos extraíbles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

Ventajas de las clases de dispositivo en la gestión de dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Definir una clase de dispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Creación de un GUID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Creación de una clase de dispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Organización de dispositivos con plantillas de dispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Ventajas de las plantillas de dispositivo para definir los parámetros de dispositivo. . . . . . . . . . . . . . . . . . . . . 188
Creación de una plantilla de dispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Creación de un grupo de dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Creación de una plantilla de dispositivos de almacenamiento extraíble. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Creación de una plantilla de dispositivos Plug and Play excluidos de la. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Creación de una definición de par de usuario y número de serie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Reglas de control de dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Creación de una regla para dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Sincronización de directivas de DLP con MVISION. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Integración de directivas de DLP con Skyhigh Security Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Infracciones de directivas en McAfee ePO y MVISION Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Trabajar con directivas de DLP en MVISION. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Usar directivas de McAfee DLP en MVISION Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Crear una directiva de clasificación en MVISION Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Configuración de MVISION Cloud para utilizar las clasificaciones locales de McAfee DLP. . . . . . . . . . . 200
Crear directivas de McAfee DLP mediante clasificaciones de McAfee DLP locales. . . . . . . . . . . . . . . . . . 201
Página del servidor de MVISION Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Proteger el correo electrónico: uso de directivas de McAfee DLP en McAfee MVISION Cloud. . . . . . . . . . . . . 203
Acerca de Incorporar DLP en el correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Requisitos previos de la incorporación de DLP en el correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . 205
Integrar la incorporación de DLP en el correo electrónico con McAfee ePO. . . . . . . . . . . . . . . . . . . . . . . 205
Habilitar DLP en línea. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
1. Configurar Exchange Online en MVISION Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

2. Creación de conectores de correo electrónico: enrutamiento del correo electrónico de Office
365. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
3. Creación de conectores de correo electrónico: enrutamiento del correo electrónico después del
análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
4. Creación de una regla de enrutamiento de correo electrónico en Office 365. . . . . . . . . . . . . . . 207
5. Prueba de la instalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Uso de directivas de appliances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Uso de directivas para definir cómo funcionan los appliances de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Configurar un clúster de appliances de McAfee DLP Prevent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Configurar un clúster de appliances de McAfee DLP Monitor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Habilitación del modo FIPS 140-2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Establecer los ajustes del tiempo de espera de conexión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Adición de un servidor de pruebas para almacenar incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Conectar con un servidor de pruebas fuera del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Especificación del servidor para los documentos registrados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Personalización del texto del banner de la consola del appliance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Deshabilitación del acceso a los puertos de gestión a través de la interfaz de tráfico. . . . . . . . . . . . . . . . . . . 213
Especificación de un nivel máximo de anidación de datos adjuntos archivados. . . . . . . . . . . . . . . . . . . . . . . . 213
Habilitar el envío de correo electrónico autenticado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Cerrar los puertos SMTP del appliance de McAfee DLP Prevent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Añadir más MTA que pueden entregar mensajes de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Entrega de correos electrónicos mediante un enfoque de operación por turnos. . . . . . . . . . . . . . . . . . . . . . . 215
Limitación de conexiones a las redes o los hosts especificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Omitir análisis de correos electrónicos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Habilitar TLS en los mensajes entrantes o salientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
Configuración de McAfee DLP Prevent para analizar solamente el tráfico ICAP cifrado. . . . . . . . . . . . . . . . . . 218
Cerrar los puertos ICAP del appliance de McAfee DLP Prevent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Habilitación de un appliance de McAfee DLP Prevent para procesar las solicitudes de respuesta. . . . . . . . . 218
Uso de servidores de autenticación externos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Registro de un servidor LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Recuperación y sincronización de información de los servidores LDAP registrados. . . . . . . . . . . . . . . . 222

Añadir un certificado y un servidor de McAfee Logon Collector a un appliance de McAfee DLP. . . . . . . . . . 223
Cambios en el proxy web necesarios para la integración con McAfee Logon Collector. . . . . . . . . . . . . 224
Aplicación de reglas de protección de comunicaciones de la red para el tráfico FTP, HTTP o SMTP. . . . . . . . 225
Crear una regla de filtrado de tráfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Integración de McAfee DLP Prevent en el entorno web para protegerlo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Integración con Web Gateway. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Habilitación de conexiones ICAP seguras. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Ajustes de directiva General de Gestión de appliances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Ventajas de utilizar los ajustes de directiva general. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Configuración de los ajustes generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Ajustes de directivas de SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Ventajas de utilizar los ajustes de SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Configuración de los ajustes de SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Descargar archivos MIB y SMI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Análisis de archivos locales con descubrimiento de DLP Endpoint. . . . . . . . . . . . . . . . . . . . . . . 232
Proteger archivos con reglas de descubrimiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Cómo funciona el análisis de descubrimiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Encontrar contenido con el rastreador de descubrimiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Creación y definición de una regla de descubrimiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Creación de una definición de planificador. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Configurar un análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Caso práctico: restauración de elementos de correo electrónico o archivos en cuarentena. . . . . . . . . . . . . . 237
Análisis de datos con McAfee DLP Discover. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Guía de inicio del descubrimiento de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Elección del tipo de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Cómo funcionan los análisis de inventario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Cómo funcionan los análisis de clasificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Clasificación de contenido con criterios de cifrado de Azure Rights Management. . . . . . . . . . . . . . . . . 243
Cómo funcionan los análisis de corrección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Clasificación automática con análisis de corrección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

Cómo funcionan los análisis de registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Consideraciones y limitaciones del análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Repositorios y credenciales para análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Uso de definiciones y clasificaciones con análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Uso de reglas en análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Configurar directivas para los análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Crear definiciones para los análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Creación de definiciones de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Creación de una definición de credenciales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Creación de una definición de planificador. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Permisos de usuario requeridos para los análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Creación de una definición de repositorio de servidor de archivos o SharePoint. . . . . . . . . . . . . . . . . . 260
Creación de una definición del repositorio de Box. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Creación de una definición de repositorio de base de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Creación de un usuario de Oracle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Crear un usuario de SQL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Exportar o importar definiciones de repositorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Creación de reglas para análisis de corrección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Configurar un análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Configuración de un análisis de inventario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Configuración de un análisis de clasificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Configuración de un análisis de corrección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Configuración de un análisis de registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
DLP Discover. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Página Servidores Discover. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Definiciones de descubrimiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Página Definiciones (McAfee DLP Discover). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Página de definición de Credenciales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
Página Planificador. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Página de definición de Certificado SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

Página de operaciones de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Scan operations - New scan page. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Página Seleccionar servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Página del repositorio de Box. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Página del repositorio del servidor de archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Página de definición de repositorio de Base de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Página del repositorio de SharePoint. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Página Elegir entre los valores existentes (planificador de análisis). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Página Elegir entre los valores existentes (repositorios de análisis). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Página Elegir entre los valores existentes (filtros de análisis). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Página Elegir clasificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
Página Elegir entre los valores existentes (conjuntos de reglas de análisis). . . . . . . . . . . . . . . . . . . . . . . 289
Página Servidores Discover. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Página de operaciones de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Scan operations - New scan page. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
Página de definición de repositorio de Base de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
Realizar operaciones de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Análisis de datos analizados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Cómo McAfee DLP Discover utiliza OLAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Ver los resultados del análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Analizar resultados de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Ver los resultados del inventario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
La función búsqueda de DLP Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Búsqueda de datos capturados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Uso de la función DLP Capture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Habilitación de la función DLP Capture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Conjuntos de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Creación de un conjunto de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Búsquedas de DLP Capture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Búsqueda de investigación forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

Creación de una búsqueda de investigación forense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Caso práctico: identificación de la información confidencial enviada a una dirección de correo

electrónico externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Ajuste de las reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
Creación de una búsqueda de ajuste de regla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Guardar una búsqueda de ajuste de regla como una regla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Guarde una regla existente como una búsqueda de DLP Capture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Caso práctico: ajuste de una regla para eliminar los falsos positivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
La lista de búsqueda y los resultados de búsqueda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Exportación de los resultados de una búsqueda seleccionada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Exportación de los resultados de búsqueda de appliances específicos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Exportar resultados seleccionados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Creación de un incidente a partir de un resultado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Adición de los resultados de la búsqueda a un caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Incidentes, eventos y casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Incidentes y eventos operativos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Supervisión y generación de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Administrador de incidentes de DLP/Operaciones de DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Cómo funciona el Administrador de incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Trabajar con incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Ver incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Cómo ordenar y filtrar los incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Configurar vistas de columna. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
Creación de una tarea de definición de revisor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
Configurar filtros de incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
Ver detalles del incidente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Administración de incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Administración de incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Administrar etiquetas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Actualizar un único incidente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332

Actualizar varios incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Crear notificaciones de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Trabajo en casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Administrar casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Creación de casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Asignación de un revisor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Ver información de mayúsculas y minúsculas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Asignación de incidentes a un caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Transferencia o eliminación de incidentes de un caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Actualización de casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Adición o eliminación de etiquetas de un caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Asignación de permisos de visualización de incidentes a los usuarios en Active Directory. . . . . . . . . . . . . . . 338
Asignación de permisos de visualización de administración de casos a un usuario. . . . . . . . . . . . . . . . . . . . . 338
Eliminación de casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Asignación de atributos personalizados a un incidente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Asignación de atributos personalizados a un incidente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Conjuntos de permisos necesarios para ejecutar las llamadas a la API de incidentes. . . . . . . . . . . . . . . . . . . . . . . . 341
Configurar atributos personalizados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Recuperar ID de incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Recuperar la lista de atributos personalizados configurados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Asignación de atributos personalizados a un incidente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Recuperación de detalles de incidentes mediante la API REST. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Parámetros de la solicitud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Parámetros de respuesta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Ejemplo de respuesta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Códigos de estado y error. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Supervisión de appliances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Supervisión de los appliances de McAfee DLP desde McAfee ePO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Tarjetas de mantenimiento del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Panel Alertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Panel Detalles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Visualización del estado de un appliance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Eliminación de appliances del árbol de Appliances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
El panel Gestión de appliances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Visualización de la información del estado de los appliances de McAfee DLP Prevent en McAfee ePO. . . . . . . . . 368
Visualización de la información del estado de los appliances de McAfee DLP Monitor en McAfee ePO. . . . . . . . . 371
Notificación de eventos de appliances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Generación de informes de eventos de appliances de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Uso de entradas de syslog para rastrear y analizar mensajes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Administración de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Recopilar y administrar datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Edición de tareas servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Cree una tarea Purgar eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Crear una tarea de notificación automática por correo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Creación de una tarea de definición de revisor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Supervisar resultados de la tarea. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Creación de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Tipos de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Opciones del informe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Creación de una tarea servidor de acumulación de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
DLP Help Desk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
¿Qué es DLP Help Desk?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Cómo omitir el funcionamiento de las claves. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Comprender los números de revisión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Creación de claves de omisión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
Diagnóstico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Herramienta de diagnóstico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Herramienta de diagnóstico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Comprobación del estado del agente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

Ejecutar la herramienta de diagnóstico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Ajuste de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Solucionar problemas de uso de la CPU elevado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Mantenimiento y solución de problemas de appliances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Supervisión de paquetes descartados en un appliance virtual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
El appliance de McAfee DLP Prevent no acepta correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Purga de los datos de appliance de la base de datos de McAfee ePO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Sustitución del certificado predeterminado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Volver a generar la clave privada del appliance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Copias de seguridad de la configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Copias de seguridad de la configuración del appliance de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Mensajes de error. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Solución de problemas de errores de copia de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Solución de problemas y mantenimiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Sugerencias para la solución de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Creación de un informe de escalación mínima (MER). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Apéndice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
General. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Puertos predeterminados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Componentes compartidos de las directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Paneles predefinidos de DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Asistencia para la configuración de cliente con reglas de protección de datos. . . . . . . . . . . . . . . . . . . . . . . . . 424
Reacciones disponibles para los tipos de reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
Acciones de las reglas de protección de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Propiedades del dispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Clasificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Definiciones y criterios de clasificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Expresiones regulares para patrones avanzados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452

Convertir directivas y migrar datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Comportamiento de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Compatibilidad con lectores de pantalla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Identificación de usuarios remotos con McAfee Logon Collector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Descarga y acceso al software McAfee Logon Collector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Adición de un controlador de dominio y monitor de inicio de sesión a McAfee Logon Collector. . . . . . . . . . 458
Cómo funciona McAfee Logon Collector con los appliances de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Página Ajustes de DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
Página Ajustes generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
Página Ajustes avanzados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Página de configuración de Clasificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Página de configuración del administrador de incidentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Página de configuración del Centro de operaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Página de configuración de Administración de casos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Página del servidor de MVISION Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Página Configuración de seguridad y restauración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470

1| Descripción general del producto
Descripción general del producto

Resumen
La fuga de datos se produce cuando información confidencial o privada se difunde fuera de la empresa como resultado de una
comunicación no autorizada a través de canales tales como aplicaciones, dispositivos físicos o protocolos de red.
McAfee® Data Loss Prevention (McAfee DLP) es un paquete de productos que protege frente a la fuga de datos mediante su
identificación y puesta a salvo en la red y fuera de ella. Las directivas de McAfee DLP ayudan a comprender los tipos de datos en
su red, cómo se accede a ellos, cómo se transmiten y si contienen información de carácter confidencial. Utilice McAfee DLP a fin
de crear e implementar directivas de protección eficaces, a la vez que se reduce la necesidad de un amplio proceso de ensayo y
error.
Cada uno de los productos de McAfee DLP protege distintos tipos de datos en su red.
• McAfee® Data Loss Prevention Endpoint (McAfee DLP Endpoint) for Windows : solución de agente basada en
contenido que inspecciona las acciones del usuario. Analiza los datos en uso en los endpoints y bloquea o cifra la
transferencia de datos no autorizada identificada como confidencial. La característica de descubrimiento de endpoints
analiza el sistema de archivos local y los archivos de almacenamiento de correo electrónico, y aplica reglas para proteger
el contenido de carácter confidencial.
• McAfee® Data Loss Prevention Endpoint for Mac (McAfee DLP Endpoint for Mac): ofrece una protección similar a
equipos Macintosh con sistemas operativos macOS.
• McAfee® Device Control: controla el uso de medios extraíbles en los endpoints. Device Control contiene un
subconjunto de reglas de protección en McAfee DLP Endpoint para Windows y Mac.
• McAfee® Data Loss Prevention Discover (McAfee DLP Discover): analiza los repositorios de Box, SharePoint, bases de
datos y archivos de red para identificar y proteger los datos confidenciales mediante la copia o movimiento de archivos
o mediante la aplicación de una directiva de administración de derechos. Los análisis de registro extraen información
de huella digital de los repositorios de archivos para la clasificación de archivos y almacenan las firmas en una base de
datos de documentos registrados.
• McAfee® Data Loss Prevention Prevent (McAfee DLP Prevent): colabora con su servidor MTA o proxy web para
proteger el tráfico web y de correo electrónico.
• McAfee® Data Loss Prevention Monitor (McAfee DLP Monitor) : analiza de forma pasiva el tráfico de red sin cifrar en
busca de posibles incidentes de fuga de datos.
Funciones clave
McAfee DLP proporciona protección exhaustiva para todos los posibles canales de fuga, incluidos los dispositivos de
almacenamiento extraíbles, la nube, las aplicaciones de uso compartido de archivos, correo electrónico, mensajería instantánea,
web, impresión, portapapeles y captura de pantalla.
Implementación de conformidad: garantice la conformidad abordando las acciones cotidianas de los usuarios, como el envío de
correos electrónicos, la publicación en la nube y las descargas en dispositivos multimedia extraíbles.
18 Guía del producto de McAfee Data Loss Prevention 11.8.x

Protección avanzada: aplique la identificación por huellas digitales, la clasificación y el etiquetado de archivos para proteger
datos no estructurados de carácter confidencial, como la propiedad intelectual o los secretos comerciales.
Análisis y descubrimiento: analice los archivos y las bases de datos almacenados en endpoints locales, repositorios compartidos
o la nube para identificar datos de carácter confidencial.
Formación del usuario: proporcione información en tiempo real a través de mensajes emergentes instructivos que contribuyen
a forjar una cultura y conciencia corporativa en relación con la seguridad.
Gestión centralizada: realice integraciones con el software de McAfee ePO para simplificar la gestión de directivas e incidentes.
Funciones clave de McAfee Device Control

Device Control es un complemento de McAfee® Agent disponible en las versiones de Windows y macOS.
• Controla qué datos se pueden copiar en dispositivos extraíbles o controla los propios dispositivos. Puede bloquear
completamente los dispositivos o hacer que sean solo de lectura.
• Proporciona protección de las unidades USB, los smartphones, los dispositivos Bluetooth y otros medios extraíbles.
• Evita la ejecución de ejecutables en medios extraíbles. Pueden hacerse excepciones para archivos ejecutables
obligatorios, como la protección antivirus. (Solo la versión para Windows)
Funciones principales de McAfee DLP Discover
• Detecta y clasifica el contenido de carácter confidencial.
• Crea bases de datos de firmas de documentos registrados.
• Mueve o copia archivos de contenido confidencial.
• Se integra con Microsoft Rights Management Service para aplicar la protección de archivos.
• Automatiza tareas de TI, como encontrar archivos vacíos, determinar los permisos y hacer una lista de los archivos que
han cambiado en un período de tiempo específico.
• Es compatible con el reconocimiento óptico de caracteres (OCR) para los análisis de clasificación, corrección y registro de
repositorios basados en archivos.
Funciones principales de McAfee Data Loss Prevention Endpoint
• McAfee DLP Endpoint incluye todas las funciones de Device Control.
• El motor de clasificación aplica las definiciones y los criterios de clasificación que definen el contenido que debe
protegerse, así como dónde y cuándo se debe aplicar la protección.
• Las reglas de protección aplican los criterios de clasificación y otras definiciones para proteger el contenido de carácter
confidencial.
• Protege contra la fuga de datos en las siguientes ubicaciones:
Software del Portapapeles
Aplicaciones en la nube
Correo electrónico
Recursos compartidos de red
Impresoras
Capturas de pantalla
Acceso a archivos de la aplicación
Guía del producto de McAfee Data Loss Prevention 11.8.x 19

Publicaciones web
Almacenamiento extraíble
Archivos del sistema de archivos local
Note
El portapapeles, las impresoras, las capturas de pantalla y la protección de mensajes web no son compatibles actualmente
con macOS
El rastreador de descubrimiento de McAfee DLP Endpoint se ejecuta en el endpoint local, realiza búsquedas en el sistema de
archivos local y los archivos de almacenamiento de correo electrónico, y aplica directivas para proteger el contenido de carácter
confidencial.
Funciones principales de Data Loss Prevention Endpoint for Mac

• McAfee DLP Endpoint for Mac incluye todas las funciones de Device Control.
• El motor de clasificación aplica las definiciones y los criterios de clasificación que definen el contenido que debe
protegerse, así como dónde y cuándo se debe aplicar la protección.
• Protege contra la fuga de datos en las siguientes ubicaciones:
Aplicaciones en la nube
Recursos compartidos de red
Almacenamiento extraíble
Archivos del sistema de archivos local
Acceso a archivos de la aplicación
Correo electrónico (solo supervisión)
Funciones clave de Data Loss Prevention Prevent
McAfee DLP Prevent interactúa con su correo electrónico y tráfico web, genera incidentes y los registra en McAfee ePO para su
posterior revisión de caso.
• Implementa de forma proactiva las directivas para todo tipo de información enviada por correo electrónico o web.
• Implementa directivas para la información que sepa que es de carácter confidencial y para la que no lo sepa.
• Filtra y controla la información de carácter confidencial para protegerla frente a riesgos conocidos y desconocidos.
• Proporciona una amplia variedad de directivas y reglas integradas para los requisitos comunes, como la conformidad
normativa, la propiedad intelectual y el uso aceptable.
• Es compatible con el reconocimiento óptico de caracteres (OCR) para los análisis de imágenes adjuntas a los mensajes
de correo electrónico. Las imágenes también pueden ser archivos .pdf creados por un analizador de documentos.
Funciones principales de Data Loss Prevention Monitor
• Analiza el tráfico de protocolos TCP habituales para identificar los usuarios o dispositivos que envían un gran volumen de
tráfico desconocido, lo que podría indicar una infracción de la directiva de la empresa.
• Analiza los puntos de fuga de datos sin influir en la red para contribuir a planificar su estrategia de prevención de fuga
de datos.
• Admite protocolos sin proxy de otros gateways de correo electrónico o web.

• Supervisa el tráfico de la red en busca de dispositivos que no tengan instalado McAfee DLP.
• Proporciona una amplia variedad de directivas y reglas integradas para los requisitos comunes, como la conformidad
normativa, la propiedad intelectual y el uso aceptable.
• Admite el reconocimiento óptico de caracteres (OCR) para los análisis de imágenes adjuntas a mensajes web o imágenes
encontradas en otro tráfico de red.
Los appliances de McAfee DLP Prevent y McAfee DLP Monitor que tengan la función DLP Capture habilitada también:
• Capturar contenido para analizar después las palabras clave, la actividad del usuario o el nombre de archivo, e identificar
posibles incidentes de fuga de datos que las reglas de protección de comunicaciones de la red, de protección de correo
electrónico o de protección web activas no tuvieron en cuenta.
• Permitir la personalización completa de las reglas de protección de comunicaciones de la red, del correo electrónico o
web para realizar pruebas con la base de datos de DLP Capture.
Cómo funciona
Todos los productos de McAfee DLP detectan la actividad del usuario o datos de carácter confidencial, toman medidas contra las
infracciones de directivas y crean incidentes de infracciones.
La instalación de todos los productos de McAfee DLP permite utilizar todas las funciones de la suite de productos. El diagrama
siguiente muestra una red simplificada en la que se han desplegado todos los productos de McAfee DLP y McAfee ePO.
1. Los administradores crean directivas en McAfee ePO y las despliegan en los clientes de McAfee DLP Endpoint para
Windows y McAfee DLP Endpoint for Mac.
a. Los usuarios crean, guardan y copian archivos o correos electrónicos.
b. El cliente de McAfee DLP Endpoint aplica las directivas y bloquea o permite las acciones del usuario.
c. La aplicación de las directivas crea incidentes que se envían al Administrador de incidentes de DLP para la generación
de informes y análisis.
2. McAfee DLP Discover analiza los archivos desde los repositorios locales o en la nube y las bases de datos locales,
recopilando los metadatos del archivo.
a. McAfee DLP Discover recibe las clasificaciones y directivas de McAfee DLP que se aplicarán durante los análisis de
clasificación o corrección.
b. El software del servidor DLP crea bases de datos de documentos registrados para su uso en directivas para McAfee
DLP Discover, McAfee DLP Prevent y McAfee DLP Monitor.
c. Los incidentes de los análisis de corrección se envían al Administrador de incidentes de DLP para la generación de
informes y análisis.
3. McAfee DLP Prevent recibe correo electrónico de los servidores MTA y tráfico web de los servidores proxy de la web.
Analiza los mensajes de correo electrónico y el tráfico web, aplica las directivas de McAfee DLP y envía incidentes y pruebas
al Administrador de incidencias de DLP.
4. McAfee DLP Monitor analiza el tráfico de red y, a continuación, crea incidentes o guarda pruebas para los protocolos
admitidos. Aplica reglas de protección de comunicaciones de la red, reglas de protección web o reglas de protección de
correo electrónico.

Cómo protegen DLP Endpoint y Device Control el contenido de carácter confidencial
McAfee Device Control controla el contenido de carácter confidencial copiado en dispositivos extraíbles. McAfee DLP Endpoint
inspecciona también las acciones de los usuarios de empresa en contenido de carácter confidencial al enviar por correo
electrónico, mediante las aplicaciones de nube y al registrar en sitios web o recursos compartidos de red
El software cliente de McAfee DLP Endpoint se despliega como un complemento de McAfee Agent e implementa las directivas
definidas en la directiva de McAfee DLP. Audita las actividades del usuario para supervisar, controlar y evitar que los usuarios no
autorizados copien o transfieran datos confidenciales y genera eventos registrados por el analizador de eventos de McAfee ePO.
Los eventos generados por el software cliente de McAfee DLP Endpoint se envían al analizador de eventos de McAfee ePO y
se registran en tablas en la base de datos de McAfee ePO. Los eventos se almacenan en la base de datos para un análisis más
detallado y se utilizan en otros componentes del sistema.
1. Cree las directivas formadas por definiciones, clasificaciones y conjuntos de reglas (grupos de Device Control, protección
de datos y reglas de descubrimiento) en las consolas del Administrador de directivas de DLP y de Clasificación en McAfee
ePO.
2. Despliegue las directivas en los endpoints.
3. Recopile los incidentes de los endpoints para la supervisión y generación de informes.

McAfee DLP Endpoint para Windows protege la información empresarial confidencial mediante cuatro niveles de protección:
1. Las reglas de Device Control controlan la información copiada a las unidades externas.
2. Las reglas de protección de datos controlan los datos a medida que se utilizan o copian en archivos o correos electrónicos.
3. El descubrimiento de endpoints analiza los repositorios de correo electrónico y archivos locales en busca de información
confidencial.
4. Las reglas de control de aplicaciones web bloquean las direcciones URL especificadas por nombre o reputación.
McAfee DLP Endpoint for Mac protege la información empresarial confidencial mediante tres niveles de protección:
1. Las reglas de Device Control controlan la información copiada a las unidades externas.
2. Las reglas de protección de datos controlan los datos a medida que se utilizan o copian en archivos.
3. El descubrimiento de endpoints analiza los repositorios de archivos locales en busca de información confidencial.
McAfee DLP Endpoint protege la información empresarial confidencial:
• Aplica directivas formadas por definiciones, clasificaciones, conjuntos de reglas, configuraciones de cliente de endpoint y
planificaciones de descubrimiento de endpoint.
• Supervisa las directivas y bloquea las acciones con contenido de carácter confidencial, según corresponda.
• Cifra contenido de carácter confidencial para permitir la acción.
• Crea informes para revisar y controlar el proceso, y puede almacenar el contenido de carácter confidencial como prueba.
Puede aplicar distintas reglas de dispositivo y protección, en función de si el equipo gestionado está en línea (conectado a la
red de la empresa) o fuera de línea (desconectado de la red). Algunas reglas también le permiten diferenciar entre los equipos
dentro de la red y los que están conectados a la red mediante VPN.

Ventajas de la protección de los endpoints de Windows
Los equipos basados en Windows se pueden proteger mediante McAfee Device Control o McAfee DLP Endpoint para Windows.
El software cliente McAfee DLP Endpoint para Windows utiliza tecnología de descubrimiento avanzada, reconocimiento de
patrón de texto y diccionarios predefinidos. Identifica contenido de carácter confidencial e incorpora la gestión de dispositivos y
cifrado para añadir capas de control.
Information Rights Management (IRM) protege los archivos sensibles mediante el cifrado y la gestión de permisos de acceso.
McAfee DLP Endpoint para Windows admite Microsoft Rights Management Service (RMS) local, Azure RMS y Seclore FileSecure
como métodos complementarios para la protección de datos. Habitualmente se utiliza para evitar la copia de archivos que no
están protegidos por IRM.
El software de clasificación se asegura de que los correos electrónicos y otros archivos se clasifiquen uniformemente y se
etiqueten con marcado de protección. McAfee DLP Endpoint para Windows se integra con Titus Message Classification y
Boldon James Email Classifier for Microsoft Outlook para crear reglas de protección de correo electrónico en función de las
clasificaciones aplicadas. Se integra con otros clientes de clasificación de Titus mediante el SDK de Titus para crear otras reglas
de protección basadas en las clasificaciones aplicadas.
Job Access With Sound (JAWS), el software lector de pantalla muy utilizado por invidentes, es compatible con endpoints de
Windows.
Múltiples sesiones de usuarios

El software cliente McAfee DLP Endpoint para Windows admite un cambio rápido de usuario (FUS) con sesiones de varios
usuarios en aquellas versiones del sistema operativo Windows que admiten FUS. La compatibilidad con escritorios virtuales
también puede conducir a sesiones de varios usuarios en un único equipo host.
Consola de Endpoint
La consola de endpoint se diseñó para compartir información con el usuario y facilitar la corrección automática de problemas. Se
configura en la pestaña Configuración del cliente Windows → Servicio de interfaz de usuario.
La consola se activa desde el icono del área de notificación mediante la selección de Administrar funciones → Consola
de DLP Endpoint. También se puede activar haciendo doble clic en DlpConsoleRunner.exe en la carpeta C:\Archivos de
programa\McAfee\DLP\Agent\Tools\. Completamente configurado, tiene cuatro páginas con fichas:
• Historial de notificaciones: Muestra eventos, incluidos los detalles de los eventos agregados.
• Descubrimiento: Muestra los detalles de los análisis de descubrimiento.
• Tareas: Genera códigos de ID e introduce códigos de autorización para la omisión de agente y la cuarentena.
• Acerca de: Muestra información sobre el estado del agente, la directiva activa, la configuración y el grupo de asignación
de equipos, incluidos los números de ID de revisión.
Ventajas de la protección de los endpoints de Mac
McAfee DLP Endpoint for Mac impide el uso no autorizado de dispositivos extraíbles y proporciona protección para el contenido
de carácter confidencial en los endpoints y los recursos compartidos de red.

Los equipos macOS se pueden proteger con McAfee Device Control o McAfee DLP Endpoint for Mac. Ambos admiten reglas
de dispositios Plug-and-Play y de almacenamiento extraíbles. McAfee DLP Endpoint for Mac también admite estas reglas de
protección de datos y de descubrimiento de archivos de endpoint:
• Reglas de protección de acceso a archivos de la aplicación

• Reglas de protección de la nube
• Reglas de protección de recursos compartidos de red
• Reglas de protección de almacenamiento extraíble
• Reglas de protección de correo electrónico (solo supervisión)
Puede identificar el contenido de carácter confidencial mediante las clasificaciones, como en los equipos con Windows, pero no
se admiten los documentos registrados ni la identificación por huellas digitales de contenido.
Estas son otras funciones admitidas:
• Clasificación manual
• Extracción de texto
• Cifrado de pruebas
• Definiciones de justificación empresarial
Consola de endpoint
En los endpoints basados en macOS, la consola se activa desde el menulet de McAfee situado en la barra de estado. El Panel
se integra con otros software de McAfee instalados, como McAfee® VirusScan® for Mac y muestra una descripción general del
estado de todos los productos de McAfee instalados. La página Registro de eventos muestra los eventos recientes del software
de McAfee. Haga clic en una entrada para ver los detalles.
Para activar la pantalla de omisión de agente, seleccione Preferencias desde la opción de menú.
Cómo funciona el descubrimiento de red
McAfee DLP Discover se ejecuta en servidores Microsoft Windows y analiza las bases de datos y los sistemas de archivos de la
red para identificar y proteger los archivos y los datos de carácter confidencial.
1. McAfee ePO aplica directivas y planifica análisis.

2. McAfee DLP Discover ejecuta los análisis, recopila los resultados, aplica clasificaciones o reglas y envía informes de vuelta a
McAfee DLP.
3. Para los análisis de registro, McAfee DLP Discover ejecuta análisis de registro en los repositorios. Cada análisis se
almacenan como un paquete RegDoc en el recurso compartido de pruebas de red. DLP Server carga todos los paquetes de
RegDoc. Los servidores de McAfee DLP Discover (y los servidores de McAfee DLP Monitor y McAfee DLP Prevent) hacen
coincidir las huellas digitales de los paquetes de RegDoc con reglas mediante llamadas a la API REST para los análisis de
clasificación y corrección.

McAfee DLP Discover es un sistema de software extensible y escalable que puede cumplir los requisitos de cualquier red,
independientemente de su tamaño. Despliegue el software de McAfee DLP Discover en tantos servidores de la red como
necesite.
McAfee ePO utiliza McAfee Agent para instalar y desplegar el software de McAfee DLP Discover en un servidor de
descubrimiento: uno designado para Windows Server. Para realizar análisis de registro, en los que también se requiere una
base de datos de registro, instale el software DLP Server.
McAfee ePO aplica la directiva de análisis en los servidores Discover, los cuales analizan el repositorio o la base de datos
a la hora planificada. Los datos recopilados y las acciones que se aplican a los archivos dependen del tipo de análisis y la
configuración. En el caso de los análisis de base de datos, las únicas acciones disponibles son informar del incidente y almacenar
pruebas.
Utilice McAfee ePO para llevar a cabo tareas de configuración y análisis como las siguientes:
• Mostrar los servidores de descubrimiento disponibles.

• Configurar y planificar análisis
• Configurar elementos de directivas como las definiciones, las clasificaciones y las reglas.
• Revisar los análisis de datos y los resultados de inventario.
• Revisión de los incidentes generados a partir de los análisis de corrección
Repositorios compatibles
Repositorios de archivos:
• Box
• Servidor de archivos: incluye los siguientes tipos de repositorio.
Sistema común de archivos de Internet (CIFS)

Bloque de mensajes del servidor (SMB)

Network File System (NFS) 2, 3
• SharePoint 2010, 2013, 2016 y 2019
Note
No se admiten los sitios web de SharePoint Enterprise Search Center (ESS). Un sitio web de ESS es una consolidación
que no contiene archivos, sino solo vínculos a los archivos originales. En el caso de los sitios web de ESS, se analizan
las colecciones de sitios en sí o toda la aplicación web.
Bases de datos:
• Microsoft SQL
• MySQL, solo ediciones comerciales
• Oracle
• Db2
Cómo protegen los datos los distintos tipos de análisis
McAfee DLP Discover es compatible con cuatro tipos de análisis: inventario, clasificación, corrección y registro de documentos.
Análisis de inventario
Utilice los análisis de inventario para obtener una idea general sobre los tipos de archivos que existen en el repositorio.
Esta análisis recopila solo metadatos: no se obtienen los archivos. McAfee DLP Discover ordena los metadatos analizados en
diferentes tipos de contenido y examina atributos como el tamaño, la ubicación y la extensión del archivo. Utilice este análisis
para crear una descripción general de su repositorio o para tareas de TI como la localización de archivos que se utilizan con poca
frecuencia. Se pueden ejecutar análisis de inventario en todas las bases de datos y los repositorios de archivos compatibles.
Análisis de clasificación
Utilice los análisis de clasificación para que le ayuden a entender los datos existentes en el repositorio en cuestión. Al hacer
coincidir el contenido analizado con clasificaciones como los patrones de texto o los diccionarios, puede analizar los patrones de
datos para crear análisis de corrección optimizados. Se pueden ejecutar análisis de clasificación en todas las bases de datos y los
repositorios de archivos compatibles.
Análisis de corrección
Utilice los análisis de corrección para localizar datos que infringen una directiva. Se pueden ejecutar análisis de corrección en
todas las bases de datos y los repositorios de archivos compatibles.
En el caso de los análisis de Box, servidor de archivos y SharePoint, puede supervisar, aplicar una directiva de administración
de derechos, aplicar la clasificación automática, copiar, mover archivos a una ubicación de exportación o eliminar clasificaciones
automáticas. Todas las acciones pueden provocar incidentes que se notifican al Administrador de incidentes de DLP de McAfee
ePO. Los análisis de Box también pueden cambiar un recurso compartido anónimo por uno que requiera inicio de sesión.
En el caso de los análisis de base de datos, es posible supervisar, notificar incidentes y almacenar pruebas.

Análisis de registro
Utilice los análisis de registro de documentos para extraer el contenido de los archivos en función de los criterios de huella
digital seleccionados y guardar los datos en una base de datos de firmas.
Los documentos registrados pueden definir análisis de clasificación y corrección, o bien directivas para McAfee DLP Prevent
y McAfee DLP Monitor. Se pueden ejecutar análisis de registro de documentos únicamente en los repositorios de archivos
compatibles, pero no en las bases de datos. Un archivo en concreto puede ser seleccionado potencialmente por más de un
análisis de registro de documentos. En tal caso, se clasifica en función de más de un conjunto de criterios, y sus firmas se
registran en más de un documento registrado.
Cómo protege McAfee DLP Prevent el tráfico de correo electrónico
McAfee DLP Prevent se integra con cualquier MTA que admita la inspección de encabezados. Analiza los mensajes de correo
electrónico y aplica las directivas de McAfee DLP.
1. Usuarios: los mensajes de correo electrónico entrantes o salientes van al servidor MTA.
2. Servidor MTA: reenvía los mensajes de correo electrónico a McAfee DLP Prevent.
3. McAfee DLP Prevent: recibe las conexiones SMTP del servidor MTA y:
• descompone el mensaje de correo electrónico en sus distintos componentes,

• extrae el texto para la identificación por huellas digitales y el análisis de reglas,
• analiza el mensaje de correo electrónico para detectar infracciones de directivas,
• Según la regla establecida, McAfee DLP Prevent realiza una de estas acciones:
Bloquea el mensaje de correo electrónico y envía una notificación al host inteligente (servidor MTA).
Añade un encabezado X-RCIS-Action y envía el mensaje al host inteligente configurado (servidor MTA).
Añade encabezados personalizados al mensaje de correo electrónico entregado cuando se desencadena
una regla. El mensaje de correo electrónico analizado se envía al host inteligente (servidor MTA)
configurado para clasificar el correo electrónico y realizar la acción apropiada. El encabezado personalizado
puede informar del número de reglas y calificación acumulativa de todas las reglas que han infringido una
directiva o cualquier otra definición personalizada.
Note
En este ejemplo, el host inteligente configurado es el MTA original.
4. Servidor MTA: reenvía el mensaje de correo electrónico al destinatario previsto o devuelve el mensaje de correo
electrónico:
a. Cuando se bloquea el mensaje de correo electrónico, el host inteligente (servidor MTA) lo devuelve al remitente en
forma de datos adjuntos con una notificación. De forma opcional, puede configurar el envío de un incidente a McAfee
ePO.
b. Cuando se añade un encabezado X-RCIS-Action, el host inteligente (servidor MTA) actúa sobre el mensaje de correo
electrónico según la información que obtiene del encabezado X-RCIS-Action. De forma opcional, puede configurar el
envío de un incidente a McAfee ePO.

c. (Opcional) Cuando se configura un encabezado personalizado, McAfee DLP Prevent incluye los valores del
encabezado personalizado definidos y la reacción de regla básica (encabezado X-RCIS-Action o Sin acción), y envía
el correo electrónico analizado al host inteligente (servidor MTA) para clasificar el correo electrónico y realizar la acción
apropiada.
Note
Esto no cambia el comportamiento del producto en lo que respecta a la detección de encabezados SMTP por parte
de McAfee DLP Prevent.
5. Servidor de documentos registrados: es una forma de definir la información confidencial y protegerla de la distribución de
formas no autorizadas.
Flujo de tráfico de correo electrónico de McAfee DLP Prevent
Cómo protege McAfee DLP Prevent el tráfico web
McAfee DLP Prevent recibe conexiones ICAP de un servidor proxy web, analiza el contenido y determina si se debe permitir o
bloquear el tráfico.
Cómo funciona
1. Los usuarios envían tráfico web al servidor proxy web.

2. El servidor proxy web reenvía el tráfico web a McAfee DLP Prevent.
3. McAfee DLP Prevent inspecciona el tráfico web y devuelve una respuesta al servidor proxy web para permitir el tráfico
hasta el servidor de destino o denegar el acceso.

4. 4a/4b: en función de la información de McAfee DLP Prevent, el servidor proxy web:
• Envía o entrega el tráfico web inspeccionado a los destinos correspondientes.

• Bloquea el tráfico web y envía un evento a McAfee ePO.
5. El servidor de documentos registrados define información confidencial y la protege de la distribución de formas no
autorizadas.
Flujo de tráfico web de McAfee DLP Prevent
Cómo McAfee DLP Monitor inspecciona el tráfico de red activo
Utilice McAfee DLP Monitor para obtener más información acerca de la cantidad y los tipos de datos que se transfieren a través
de la red. McAfee DLP Monitor no bloquea ni cambia el tráfico de red, por lo que puede integrarse en un entorno de producción
sin que afecte al tráfico activo.
1. El enrutador recibe los paquetes de red de los usuarios y servidores internos.

2. McAfee DLP Monitor conecta con un puerto de analizador de puertos conmutados (SPAN) o con un punto de conexión a la
red para supervisar de forma pasiva el tráfico recibido del enrutador.
3. McAfee DLP Monitor recibe copias de los paquetes de red y los analiza. Envía incidentes a McAfee ePO.
4. McAfee ePO envía directivas a McAfee DLP Monitor.
5. El servidor de documentos registrados define información confidencial y la protege de la distribución de formas no
autorizadas.
Flujo de análisis de red de McAfee DLP Monitor

Tipos de reglas de protección

McAfee DLP Monitor puede aplicar una de las siguientes reglas de protección de McAfee DLP al tráfico de red.
• Protección de correo electrónico: de forma predeterminada, McAfee DLP Monitor inspecciona el tráfico SMTP mediante
reglas de protección de correo electrónico que incorporan información específica del protocolo, como por ejemplo las
direcciones del remitente y el destinatario del correo electrónico.
• Protección web: de forma predeterminada, McAfee DLP Monitor inspecciona el tráfico HTTP y FTP mediante las reglas
de protección web, las cuales incorporan información específica del protocolo, como la dirección URL.
• Protección de comunicaciones de la red: McAfee DLP Monitor puede inspeccionar todo el tráfico admitido mediante
reglas de protección de comunicaciones de la red, que no incorporan ninguna información específica del protocolo. Si
no desea analizar el tráfico SMTP, HTTP o FTP con reglas de protección web y de correo electrónico, puede configurar
McAfee DLP Monitor para que utilice las reglas de protección de comunicaciones de la red. Para deshabilitar el análisis
del tráfico SMTP, HTTP o FTP, vaya a Menú → Catálogo de directivas → Gestión de appliances de DLP → Ajustes de
McAfee DLP Monitor y desmarque las opciones del campo Aplicación de regla de protocolo.
Note
El uso de reglas de Protección de correo electrónico y Protección web permite compartir reglas con McAfee DLP Prevent.
Protocolos admitidos
• SMTP *
• IMAP *
• POP3 *
• HTTP
• LDAP

• Telnet
• FTP
• IRC
• SMB **
McAfee DLP Monitor también puede analizar el tráfico encapsulado en SOCKS.
* Estos protocolos son compatibles con STARTTLS (la conexión inicial de texto sin formato se convierte en TLS/SSL tras el
comando STARTTLS). McAfee DLP Monitor considera estos protocolos como cifrados y no los analiza si se utiliza STARTTLS.
** Los datos transferidos mediante SMB podrían estar cifrados según la versión del protocolo y su configuración.
Note
McAfee DLP Monitor no analiza el contenido de las conexiones cifradas directamente. Puede utilizar un gateway dedicado
(por ejemplo, la función de derivación SSL de Web Gateway) a fin de interceptar la conexión cifrada y enviar los
datos descifrados a McAfee DLP Monitor para su análisis. Consulte la documentación de su gateway para obtener más
información. Si McAfee DLP Monitor no puede clasificar una conexión como un protocolo conocido, muestra la conexión
como desconocida.
McAfee DLP y los vectores de datos

Cada producto de McAfee DLP recopila datos y los categoriza por vectores: datos en movimiento, datos en reposo y datos en uso.
Vector de datos Descripción Productos
Datos en uso Las acciones que llevan cabo los

• McAfee DLP Endpoint
usuarios en los endpoints, como
• McAfee Device Control
la copia de datos y archivos en
medios extraíbles, la impresión
de archivos en una impresora
local y la realización de capturas
de pantalla.
Datos en movimiento El tráfico activo de su red. El

• McAfee DLP Prevent
tráfico se analiza, categoriza y
• McAfee DLP Monitor
almacena en la base de datos de
McAfee ePO.
Datos en reposo Los datos que residen en los

• McAfee DLP Discover
repositorios, las bases de datos
• Descubrimiento de McAfee DLP
y los recursos compartidos de Endpoint
archivos. McAfee DLP puede

Vector de datos Descripción Productos
analizar, rastrear y llevar a

cabo las acciones correctivas
necesarias en los datos en
reposo.
Cómo interactúa DLP con otros productos McAfee

McAfee DLP se integra con otros productos McAfee para aumentar la funcionalidad de la suite de productos.
McAfee ePO: todos los productos de McAfee DLP se integran con McAfee ePO para la configuración, gestión, supervisión y
generación de informes.
McAfee® File and Removable Media Protection (FRP): se integra con McAfee DLP Endpoint for Windows para cifrar los archivos
de carácter confidencial.
McAfee® Logon Collector: se integra con McAfee DLP Monitor y McAfee DLP Prevent para la información de autenticación de
usuario.
McAfee® Web Gateway: se integra con McAfee DLP Prevent para proporcionar protección web.
McAfee® MVISION Cloud: sincroniza las clasificaciones con MVISION Cloud, extrae los incidentes al Gestor de incidentes de DLP.

2| Funcionamiento de la protección de datos
Funcionamiento de la protección de datos

Flujo de trabajo para proteger los datos confidenciales con McAfee
DLP
Las funciones y los componentes de las directivas de McAfee DLP conforman un proceso de protección que se ajusta al flujo de
trabajo general.
El proceso de protección de McAfee DLP
Utilice McAfee DLP para supervisar las acciones de los usuarios y los datos de la red. Puede utilizar reglas predefinidas o crear
una directiva básica.
1. Cree clasificaciones desde la consola Clasificación. Clasifique y defina los datos confidenciales mediante la configuración de
clasificaciones y definiciones. Para obtener más información, consulte Clasificación de los datos
2. Rastree cómo y dónde se utilizan los archivos que incluyen contenido de carácter confidencial con etiquetas o documentos
registrados. Para obtener más información, consulte Rastrear cómo y cuándo se utiliza contenido de carácter confidencial.
3. Proteja los datos confidenciales mediante la aplicación de reglas con el Gestor de directivas de DLP. Proteja los datos con
análisis y reglas. Configure la acción que se realizará al descubrir, transmitir o acceder a datos confidenciales. Para obtener
más información, consulte Protección de datos confidenciales con reglas y directivas.
4. Analice los incidentes de McAfee DLP desde el Gestor de incidentes de DLP. Revise los incidentes y analice los resultados
de los análisis en busca de posibles infracciones de directivas. Utilice esta información para comenzar a crear una
directiva efectiva. Puede gestionar los incidentes agrupando y trabajando con incidentes que pueden escalarse a otros
departamentos, como el de Asesoramiento Jurídico o Recursos Humanos. También puede crear informes con paneles y
consultas. Para obtener más información, consulte Revisión y gestión de incidentes para ajustar las directivas.

Introducción a DLP: la función Introducción a DLP permite configurar cualquiera de los productos de McAfee DLP de forma
rápida y ejecutar las políticas inmediatamente después de la instalación. Esta opción permite añadir los datos de la ubicación de
red compartida y la licencia, y crear su primera regla y directiva de McAfee DLP.
Para obtener más información, consulte Introducción a DLP en la Guía de instalación.
Clasificación de los datos
Para proteger el contenido de carácter confidencial, defina y clasifique primero la información confidencial que se debe proteger.
El contenido se clasifica mediante la definición de clasificaciones y de criterios de clasificación. Los criterios de clasificación
definen las condiciones sobre cómo se han clasificado los datos. Entre los métodos para definir criterios se incluyen los
siguientes:
• Patrones avanzados: expresiones regulares combinadas con algoritmos de validación, utilizados para buscar
coincidencias de patrones como números de tarjetas de crédito. Los patrones avanzados se clasifican según una
calificación, es decir, el número de veces que las expresiones confidenciales deben aparecer en el contenido para que
se desencadene la regla. El editor de clasificaciones incluye varios patrones avanzados integrados para garantizar la
conformidad con las normativas gubernamentales y simplificar la detección de información personal. También puede
crear sus propios patrones avanzados.
• Diccionarios: listas de palabras o términos concretos, por ejemplo, términos médicos para detectar posibles infracciones
de HIPAA.
• Palabras clave: un valor de cadena que define los datos confidenciales. Puede añadir varias palabras clave para las
clasificaciones de contenido. Las palabras clave no son las mismas en todas las clasificaciones. Si necesita utilizar las
mismas palabras clave en todas las clasificaciones, utilice un diccionario.
• Tamaño de archivo: el tamaño del archivo para detectar los datos confidenciales. También puede definir un intervalo de
tamaños de archivo.
• Tipos de archivo verdaderos: el tipo de archivo verdadero para determinar qué archivos deben identificar los datos
confidenciales. El tipo de archivo verdadero ayuda a detectar las infracciones de datos adjuntos cuando las extensiones
de archivo cambian de nombre y se envían como datos adjuntos. Por ejemplo, un archivo .cpp guardado como
archivo .txt se puede detectar mediante los criterios de clasificación de tipo de archivo verdadero.
• Extensión de archivo: los tipos de archivo para detectar los datos confidenciales, como MP3 y PDF.
• Ubicación de origen o de destino: direcciones URL, recursos compartidos de red, o la aplicación o el usuario que
crearon o recibieron el contenido.
• Ubicación en el archivo: la sección del archivo donde buscar el contenido de carácter confidencial; puede ser el
encabezado, pie de página, cuerpo o los primeros caracteres. Al especificar el número de caracteres para la opción en
los primeros (caracteres) de una clasificación, se busca el contenido de carácter confidencial en el encabezado, es decir,
en la primera parte de la primera página de un documento.
• Documentos de Microsoft Word: se identifica el encabezado, el cuerpo y el pie de página.
Documentos de PowerPoint: se identifica WordArt como encabezado y todo lo demás como cuerpo.
Otros documentos: solo es aplicable el cuerpo.
McAfee DLP Endpoint admite software de clasificación de terceros. Puede clasificar el correo electrónico con el clasificador de
correo electrónico de Boldon James. Puede clasificar correos electrónicos u otros archivos con los clientes de clasificación Titus,

como Titus Message Classification, Titus Classification for Desktop y Titus Classification Suite. Para implementar el soporte de
Titus, la SDK de Titus debe estar instalada en los equipos endpoint.
Rastrear cómo y cuándo se utiliza contenido de carácter confidencial
McAfee DLP puede rastrear el contenido según la ubicación del almacenamiento o la aplicación utilizada para crearlo.
Los mecanismos utilizados para rastrear el contenido son los siguientes:
• Identificación por huellas digitales de contenido: compatible con McAfee DLP Endpoint para Windows y appliances de
McAfee DLP.
• Documentos registrados: compatible con todos los productos de McAfee DLP, excepto McAfee DLP Endpoint for Mac.
Note
El registro solo manual, realizado en el módulo de Clasificación, es compatible con McAfee DLP Endpoint for
Windows, McAfee DLP Prevent y McAfee DLP Monitor.
El registro automático, realizado por análisis de registro de McAfee DLP Discover, es compatible con McAfee DLP
Discover, McAfee DLP Prevent y McAfee DLP Monitor.
• Clasificaciones manuales: creadas por usuarios de McAfee DLP Endpoint y McAfee DLP Endpoint for Mac, pero
compatibles con todos los productos de McAfee DLP.
Identificación por huellas digitales de contenido
La identificación por huellas digitales de contenido es una técnica para la identificación y el rastreo de contenido. El
administrador crea un conjunto de criterios de identificación por huellas digitales de contenido. Estos criterios definen la
ubicación del archivo o la aplicación utilizada para acceder al archivo y la clasificación que aplicar a los archivos. El cliente
de McAfee DLP Endpoint rastrea cualquier archivo que se abre desde las ubicaciones (o por las aplicaciones) definido en los
criterios de identificación por huellas digitales de contenido y crea firmas de huellas digitales de estos archivos en tiempo real
cuando se accede a ellos. A continuación, utiliza las firmas para rastrear los archivos o fragmentos de ellos. Puede definir los
criterios de identificación por huellas digitales de contenido por aplicación, ruta UNC (ubicación) o URL (aplicación web).
Compatibilidad con la información de huellas digitales persistente

Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o los flujos alternativos de datos
(ADS) de un archivo. Cuando se accede a dichos archivos, el software de McAfee DLP Endpoint rastrea las transformaciones
de datos y mantiene la clasificación del contenido confidencial de forma persistente, independientemente de cómo se utilice.
Por ejemplo, si abre un documento de Word con identificación por huellas digitales, copia unos párrafos del documento en un
archivo de texto y adjunta dicho archivo a un mensaje de correo electrónico, el archivo de texto saliente tiene las mismas firmas
que el documento original.
Para los sistemas de archivos que no son compatibles con EA o ADS, el software de McAfee DLP Endpoint almacena la
información de la firma como un metarchivo en el disco. Los metarchivos se almacenan en una carpeta oculta denominada
ODB$, que el software cliente de McAfee DLP Endpoint crea automáticamente.

Note
Las firmas y los criterios de identificación por huellas digitales de contenido no son compatibles con McAfee Device Control.
Documentos registrados
La función de documentos registrados se basa en el análisis previo de todos los archivos en repositorios específicos (como el
SharePoint de ingeniería) y en la creación de firmas de fragmentos de cada archivo en estos repositorios. McAfee DLP Endpoint
y los productos de red de McAfee DLP utilizan documentos registrados, pero difieren en la forma en que se distribuyen las
firmas de los archivos.
Registro manual en McAfee DLP Endpoint for Windows: las firmas de los archivos se cargan en McAfee ePO desde cuando
carga archivos manualmente y crea un paquete. Estas firmas están disponibles para la descarga por parte de los endpoints
desde el depósito de S3. El cliente de McAfee DLP Endpoint puede rastrear entonces cualquier contenido copiado de uno de
estos documentos y clasificarlo de acuerdo con la clasificación de la firma del documento registrado.
Registro manual en productos de red de McAfee DLP: las firmas de los archivos se cargan en McAfee ePO desde McAfee DLP
cuando carga archivos manualmente y crea un paquete. Un paquete de estas firmas de archivos se guarda en un recurso
compartido de prueba. Estas firmas están disponibles para su descarga por parte de los appliances desde la ubicación
compartida. A continuación, el appliance puede rastrear cualquier contenido copiado desde uno de esos documentos y
clasificarlo según la clasificación de la firma del documento registrado.
Registro automático en productos de red de McAfee DLP: McAfee DLP Discover ejecuta el análisis de registro en repositorios
de archivos. Las firmas creadas se almacenan en bases de datos de firmas en servidores designados como servidores DLP.
McAfee DLP Discover los utiliza para crear análisis de clasificación y corrección. McAfee DLP Prevent y McAfee DLP Monitor los
utilizan para definir reglas.
Los documentos registrados utilizan una gran cantidad de memoria, lo que puede afectar al rendimiento, ya que cada
documento que inspecciona el software de McAfee DLP se compara con todas las firmas de documentos registrados para
identificar su origen.
Tip
Para minimizar el número de firmas y las implicaciones de rendimiento de esta técnica, utilice los documentos registrados
únicamente a fin de rastrear los documentos de carácter confidencial.
Clasificación manual
Cuando trabaja con la clasificación manual tiene la opción de aplicar huellas digitales o clasificaciones de contenido a sus
archivos. La identificación por huellas digitales de contenido aplicada manualmente es idéntica a la identificación por huellas
digitales aplicada automáticamente descrita anteriormente.
Las clasificaciones de contenido aplicadas manualmente incrustan una etiqueta física en el archivo que se puede utilizar para
rastrearlo cada vez que se copie, pero no crean firmas. El contenido copiado de estos archivos a otros archivos no se puede
rastrear.

La clasificación manual se admite en equipos Microsoft Windows y macOS. Si intenta clasificar un tipo de archivo que no admite
el marcado (por ejemplo, archivos TXT), aparece un mensaje de error.
Protección de datos de carácter confidencial mediante reglas y directivas
Cree reglas para identificar datos de carácter confidencial y llevar a cabo las acciones adecuadas.
Reglas y conjuntos de reglas

Las reglas se componen de condiciones, excepciones y acciones. Las condiciones incluyen varios parámetros (por ejemplo, las
clasificaciones) para definir los datos o la acción del usuario que identificar. Las excepciones especifican los parámetros que
no deben desencadenar la regla. Las acciones especifican cómo se comporta la regla cuando se desencadena, por ejemplo,
bloqueando el acceso del usuario, cifrando un archivo y creando un incidente. Las reglas se organizan en conjuntos de reglas. Un
conjunto de reglas puede contener cualquier combinación de tipos de reglas.
• Reglas de protección de datos: Las reglas de protección de datos se utilizan para evitar la distribución no autorizada
de datos clasificados. Al intentar copiar o adjuntar datos clasificados a un correo electrónico, McAfee DLP intercepta el
intento y utiliza las reglas de protección de datos para determinar qué acción llevar a cabo. Por ejemplo, si la acción de
regla requiere una justificación empresarial, McAfee DLP Endpoint detiene el intento y muestra un cuadro de diálogo.
Cuando el usuario introduce la justificación del intento, el procesamiento continúa.
McAfee DLP Endpoint utiliza varias reglas para inspeccionar las acciones del usuario. Analiza los datos en uso en
los endpoints y bloquea la transferencia no autorizada de datos identificados como confidenciales.
McAfee DLP Prevent utiliza reglas de protección de correo electrónico y de protección web para supervisar y
realizar acciones en las comunicaciones procedentes de un servidor MTA o servidor proxy web.
McAfee DLP Monitor puede aplicar las reglas de protección de comunicaciones de la red, de protección de
correo electrónico o de protección web para analizar el tráfico admitido en la red.
McAfee Device Control solo utiliza reglas de protección de datos de almacenamiento extraíble.
• Reglas de control de dispositivos: Las reglas de control de dispositivos supervisan y, en caso necesario, impiden que
el sistema cargue dispositivos físicos tales como dispositivos de almacenamiento extraíbles, Bluetooth, Wi-Fi y otros
dispositivos Plug and Play. Las reglas de control de dispositivos constan de plantillas de dispositivo y especificaciones de
reacción, y pueden asignarse a grupos de usuarios concretos mediante el filtrado de la regla con definiciones de grupos
de usuarios.
• Reglas de control de aplicaciones: Las reglas de control de aplicaciones bloquean la aplicación en lugar de bloquear el
contenido. Por ejemplo, una regla de control de aplicaciones web bloquea una dirección URL especificada por nombre o
por reputación.
• Reglas de descubrimiento: Las reglas de descubrimiento se utilizan para el análisis de datos y archivos.
Descubrimiento de endpoints es un rastreador que se ejecuta en los equipos gestionados. Analiza el sistema de
archivos local del endpoint, la bandeja de entrada (en caché) de correo electrónico local y los archivos PST. Las reglas
de descubrimiento del sistema de archivos local definen si el contenido se debe poner en cuarentena, cifrar, proteger el
contenido mediante huellas digitales o aplicar una directiva de administración de derechos o clasificación. Los correos
electrónicos locales se pueden poner en cuarentena o se puede proteger el contenido mediante huellas digitales. Estas
reglas también pueden definir si debe informarse de un incidente, y de si deben almacenarse los archivos o correos
electrónicos como prueba del incidente.

Note
Los análisis del sistema de archivos no son compatibles con los sistemas operativos del servidor.
McAfee DLP Discover analiza los repositorios de archivos y bases de datos, y puede mover o copiar archivos, aplicar
directivas de gestión de derechos a los archivos y crear incidentes.
Directivas
Las directivas contienen conjuntos de reglas activos y se despliegan desde McAfee ePO en el software cliente de McAfee DLP
Endpoint, el servidor de McAfee DLP Discover, McAfee DLP Prevent o McAfee DLP Monitor. Las directivas de McAfee DLP
Endpoint también contienen información de asignación de directivas y definiciones.
Revisión y gestión de incidentes para ajustar las directivas
Puede revisar, analizar y gestionar los incidentes por infracciones de directiva que se hayan producido. Estas funciones incluyen
las siguientes:
• Gestión de incidentes: los incidentes se envían al analizador de eventos de McAfee ePO y se almacenan en una base de
datos. Los incidentes contienen los detalles sobre la infracción y, opcionalmente, pueden incluir información de pruebas.
Puede ver los incidentes y pruebas tal y como se reciben en la consola Gestor de incidentes de DLP.
• Gestión de casos: agrupe incidentes relacionados en casos para una revisión exhaustiva en la consola Gestión de casos
de DLP.
• Recopilación de pruebas: si hay reglas configuradas para la recopilación de pruebas, se guardará una copia de los
datos o archivos y se vinculará a un incidente específico. Esta información puede ayudar a determinar la gravedad o la
exposición del evento. Las pruebas se cifran con el algoritmo AES-256 antes de guardarse.
• Resaltado de coincidencias: se pueden guardar pruebas resaltando el texto que ha provocado el incidente. La prueba
resaltada se guarda como un archivo HTML cifrado independiente.
• Informes: se crean informes, gráficos y tendencias en paneles de McAfee ePO.
Flujo de trabajo de directivas para proteger los datos confidenciales

Los productos de McAfee DLP utilizan un flujo de trabajo similar para la creación de directivas. Una directiva está compuesta
por reglas que se agrupan en conjuntos de reglas. Las reglas utilizan clasificaciones y definiciones para especificar lo que McAfee
DLP detecta. Las reacciones de las reglas determinan la acción que se realizará cuando existan datos que coincidan con una
regla.
Utilice este flujo de trabajo para crear y aplicar directivas:

Cómo los componentes de las directivas conforman una directiva
1 Crear definiciones: se utiliza para crear

clasificaciones y reglas.
2 Crear una clasificación: defina categorías de

datos confidenciales mediante la creación de
clasificaciones. Los conjuntos de reglas utilizan
clasificaciones para definir la regla de protección de
datos.
• Criterios de identificación por huellas digitales

de contenido y texto ignorado: se admiten
únicamente en McAfee DLP Endpoint for
Windows.
• Documentos registrados: se crean en la consola
de clasificación (registro manual) para clientes de
McAfee DLP Endpoint for Windows y appliances de
McAfee DLP.
• Criterios de clasificación: se utilizan para crear
definiciones a fin de identificar patrones de
texto, diccionarios y palabras clave de carácter
confidencial. No se admiten en McAfee Device
Control.

3 Crear un conjunto de reglas y Crear una regla: los

conjuntos de reglas pueden combinar varias reglas
de protección de datos para proteger mejor los
datos. Cree una regla y sus acciones, y añádala a un
conjunto de reglas.
4 Asignar conjuntos de reglas a directivas: Una

directiva puede tener varios conjuntos de reglas.
Antes de aplicar conjuntos de reglas a una directiva,
active los conjuntos de reglas. Asigne los conjuntos
de reglas a la directiva y aplíquele los conjuntos que
sean necesarios.
5 Asignar e insertar una directiva en un sistema: las

directivas de McAfee DLP se asignan a los endpoints
y los appliances de McAfee DLP desde el Árbol de
sistemas. Puede utilizar la opción Activar agentes
o Interrumpir la herencia y asignar la directiva y
los ajustes a partir de este punto para insertar una
directiva en un sistema.
Las opciones y la disponibilidad de estos componentes varían en función del producto de McAfee DLP que utilice.
Caso práctico: Flujo de trabajo de la directiva de prevención de fuga

de datos para bloquear datos adjuntos de correo electrónico con
información de carácter confidencial
En esta sección se describen paso a paso todas las tareas que debe realizar para crear y aplicar una directiva que bloquee los
datos adjuntos de correo electrónico con información de carácter confidencial. McAfee DLP Prevent puede utilizar la extensión
de archivo o el tipo de archivo real en los criterios de clasificación para bloquear los datos adjuntos de correo electrónico con
información de carácter confidencial. También puede utilizar estas clasificaciones para bloquear los datos adjuntos enviados en
las publicaciones web o en la red.
Tenga en cuenta que dispone de algunos esquemas de arquitectura y planificación de su solución empresarial, en formatos de
AutoCAD y Visio, que ha guardado en una ubicación compartida. El administrador desea bloquear todos los datos adjuntos de
AutoCAD o Visio con información de carácter confidencial para que no salgan de la red. Puede seguir estos pasos para bloquear
los datos adjuntos de estas extensiones específicas y evitar la fuga de datos.
1. Cree una definición o elija una definición integrada (consulte el paso 1 de la siguiente tarea).
2. Cree una clasificación y criterios de clasificación (consulte el paso 2 de la siguiente tarea).

3. Cree un conjunto de reglas y reglas (consulte el paso 3 de la siguiente tarea).

4. Asigne conjuntos de reglas a una directiva (consulte el paso 4 de la siguiente tarea).
5. Asigne e inserte una directiva en un sistema (consulte el paso 5 de la siguiente tarea).
Procedimiento
1. Elija una definición integrada o cree una definición para incluir frases que haya que rastrear.
a. En McAfee ePO, vaya a Menú → Protección de datos → Clasificación y seleccione Definiciones.
b. Seleccione Diccionario, haga clic en Acción → Nuevo elemento, escriba un nombre para la definición del
diccionario y una descripción opcional, y haga clic en Acción → Añadir. También puede utilizar un diccionario
existente.
c. En Expresión, escriba la palabra interna, establezca la Calificación 1 y seleccione Distinción de mayúsculas y
minúsculas para que solo coincida con la palabra clave cuando esté en minúscula. Para añadir varias expresiones,
puede hacer clic en Guardar y nuevo.
d. Haga clic en Guardar.

2. Cree una clasificación y criterios de clasificación. También puede editar una clasificación existente.
a. Seleccione Clasificación.
b. Haga clic en Acciones y, a continuación, en Nueva clasificación, y escriba un nombre exclusivo y una descripción
opcional. Seleccione Guardar clasificación en el menú Acciones.
c. En el panel derecho, haga clic en Acciones y, a continuación, seleccione Nuevos criterios de clasificación de
contenido y escriba el nombre de los criterios de clasificación.
d. En las propiedades Condiciones de los datos, haga clic para seleccionar Diccionario y añada el diccionario que ha
creado.
e. En las propiedades Condiciones de archivo, haga clic para seleccionar Extensiones de archivo y Tipo de archivo
real.
Los criterios de clasificación con un tipo de archivo real ayudan a detectar las infracciones de datos adjuntos cuando
las extensiones de archivo cambian de nombre y se envían como datos adjuntos. Por ejemplo, un archivo .cpp
guardado como archivo .txt se puede detectar mediante los criterios de clasificación de tipo de archivo verdadero.
f. En la propiedad Extensiones de archivo, haga clic en el icono Seleccionar ( ) para abrir la ventana Elegir entre los
valores existentes. Elija todos los tipos de archivo que desee bloquear. Para añadir más valores, haga clic en +.
g. En la propiedad Tipo de archivo real, haga clic en el icono para seleccionar ( ) para abrir la ventana Elegir entre
los valores existentes. Elija todos los tipos de archivo que desee bloquear. Para añadir más valores, haga clic en +.
h. Haga clic en Guardar.
3. Cree un conjunto de reglas que incluya una regla de Protección de correo electrónico y añada los criterios de
clasificación que ha creado.
a. Vaya a Menú → Protección de datos → Gestor de directivas de DLP.

b. Haga clic en Acciones → Nuevo conjunto de reglas. Introduzca un nombre para el conjunto de reglas y una
descripción que le sirva de referencia. Haga clic en Aceptar.
Se ha creado un nuevo conjunto de reglas. Haga clic en el conjunto de reglas y cree una nueva regla.
c. Haga clic en Acciones → Nueva regla → Regla de protección de correo electrónico.
d. Escriba el nombre de la regla y, opcionalmente, una descripción. Seleccione el estado Habilitado y haga clic en la
casilla para seleccionar McAfee Network DLP e implementar la directiva.
e. En la pestaña Condiciones, en Clasificación de, seleccione uno de los adjuntos (*) y contiene uno de (O). A
continuación, seleccione los criterios de clasificación que ha creado.
f. Establezca la opción Destinatario como cualquier destinatario (TODOS).
g. En la pestaña Reacciones, establezca la reacción que desee que se produzca cuando se desencadene la regla.
Establezca la Acción en Bloquear y devolver correo electrónico al remitente y, a continuación, seleccione la
Notificación del usuario. Haga clic en Guardar.
4. Asigne conjuntos de reglas a una directiva. Antes de asignar conjuntos de reglas a una directiva, active el conjunto de
reglas.
a. Vaya a Menú → Directiva → Catálogo de directivas.
b. En la lista desplegable Producto, seleccione Data Loss Prevention <versión> y Directiva de DLP.
c. Haga clic en el vínculo Editar de la directiva que desee actualizar.
d. En la página de la directiva, vaya a Conjuntos de reglas activos → Acciones y, a continuación, haga clic en Activar
conjunto de reglas.
Se abrirá la ventana Activar conjunto de reglas.
e. Seleccione las casillas de uno o varios conjuntos de reglas que desee aplicar a la directiva.
f. Haga clic en Aceptar y en Aplicar directiva.
McAfee DLP muestra el estado de la directiva aplicada.
5. Asigne e inserte la directiva en appliances de McAfee DLP.
a. Vaya a Menú → Sistemas → Árbol de sistemas.
b. Seleccione la casilla de verificación de uno o varios appliances de McAfee DLP Prevent (sistema de destino) al que
desee asignar la directiva.
c. Haga clic en Activar agentes para insertar la directiva en appliances de McAfee DLP de inmediato.
Se abrirá la ventana Activar McAfee Agent.
d. Al lado de Tipo de llamada de activación, seleccione si desea enviar una Llamada de activación del agente o una
Llamada de activación de SuperAgent.
e. Acepte el valor predeterminado Ejecución aleatoria (0–60 minutos) o indique un valor diferente.
Si especifica 0, los agentes responden de forma inmediata.
f. Haga clic en Aceptar para enviar la llamada de activación a los appliances de destino.
También puede insertar la directiva con la opción Interrumpir la herencia y asignar la directiva y los ajustes a partir de
este punto. Para obtener información, consulte Asignar e insertar una directiva en un sistema.
Resultados
El appliance ya está establecido con la directiva para bloquear los datos adjuntos de correo electrónico con información de
carácter confidencial.

3| Configuración de los componentes del sistema
Configuración de los componentes del sistema

Participación en el Product Improvement Program de los appliances
de McAfee DLP
Cuando están habilitados, la función Product Improvement Program (PIP) o el marco de telemetría de productos seguros
permiten que McAfee recopile datos. Puede optar por participar en el Product Improvement Program para appliances de
McAfee DLP y permitir que McAfee recopile datos a través de McAfee Agent.
Finalidad
McAfee utiliza los datos de appliances de McAfee DLP que se recopilan a través de McAfee Agent. Los datos recopilados son:
• analizados por McAfee para mejorar las funciones del producto y la experiencia de los clientes con el producto;
• utilizados por el Soporte técnico de McAfee para solucionar problemas.
Protección de la privacidad
Los datos de appliances de McAfee DLP recopilados por McAfee Agent se utilizarán solamente para la mejora de productos
y para el servicio de soporte técnico. Los datos específicos del sistema se filtrarán o utilizarán de forma agregada, a menos
que el Soporte técnico requiera lo contrario. Para obtener detalles sobre el aviso de privacidad de McAfee, consulte https://
www.mcafee.com/enterprise/en-us/about/legal/privacy.html.
Habilitar Product Improvement Program en McAfee ePO para recopilar datos
Puede configurar los ajustes del servidor de McAfee ePO para habilitar la función Product Improvement Program.
Procedimiento
1. Haga clic en Menú → Configuración → Ajustes del servidor, seleccione Product Improvement Program en las Categorías
de ajustes y, a continuación, haga clic en Editar.
2. Seleccione Sí para permitir que McAfee recopile datos anónimos de diagnóstico y uso.
3. Haga clic en Guardar.
Resultados
Implementación de la directiva para habilitar la función PIP en los appliances de McAfee DLP
Puede gestionar Product Improvement Program (PIP) en los appliances de McAfee DLP mediante la directiva PIP de McAfee
Agent.
Antes de empezar
Asegúrese de habilitar los ajustes del servidor de Product Improvement Program antes de implementar las directivas.
Procedimiento
1. Haga clic en Menú → Sistemas → Árbol de sistemas y, a continuación, seleccione un grupo en el Árbol de sistemas.
Todos los sistemas de ese grupo (pero no de sus subgrupos) aparecen en el panel de detalles.

2. Seleccione los appliances necesarios y, a continuación, haga clic en Acciones → Agente → Establecer directiva y
herencia.
3. Seleccione McAfee Agent como el Producto, Product Improvement Program como la Categoría y, a continuación,
seleccione la directiva necesaria.
4. Seleccione si desea Restablecer herencia o Interrumpir herencia y, a continuación, haga clic en Guardar.
Configuraciones y directivas en el Catálogo de directivas para McAfee

DLP
Los productos de McAfee DLP utilizan el Catálogo de directivas de McAfee ePO para almacenar directivas y configuraciones del
cliente.
Las directivas se asignan a endpoints en el Árbol de sistemas de McAfee ePO.
• Directiva de DLP: contiene Conjuntos de reglas activos asignados a la directiva, análisis de Descubrimiento de
endpoints planificados, Ajustes para la estrategia de aplicaciones, omisiones de clases de dispositivos y usuarios con
privilegios, y Validación de directivas.
• Configuración del servidor: contiene las configuraciones de McAfee DLP Discover, McAfee DLP Prevent, y McAfee
DLP Monitor. Permite establecer las opciones del servicio de copia de pruebas y de registro, los ajustes de gestión de
derechos y de SharePoint y las opciones del extractor de texto.
Note
Debe crear configuraciones de servidor independientes para cada uno de sus productos de McAfee DLP. La
configuración del servidor aparece solo si se ha registrado una licencia de McAfee DLP Discover, McAfee DLP
Prevent o McAfee DLP Monitor.
McAfee DLP Prevent y McAfee DLP Monitor utilizan solamente la sección Almacenamiento compartido y prueba y OCR
de la configuración del servidor. McAfee DLP Discover utiliza todas las secciones excepto Proxy ActiveSync.
• Configuraciones del cliente: las configuraciones independientes para los equipos Microsoft Windows y macOS
contienen los ajustes de configuración para los clientes de McAfee DLP Endpoint. Los ajustes determinan cómo aplican
los clientes las directivas de McAfee DLP a los endpoints. Habilite el Almacenamiento compartido y prueba para los
productos de McAfee DLP Endpoint en la página de configuración del cliente.
Note
Las configuraciones de cliente aparecen solo si se ha registrado una licencia de McAfee DLP Endpoint.
Configuración de cliente de Windows
El software de cliente de McAfee DLP Endpoint para McAfee Agent reside en los equipos de la empresa y ejecuta la
directiva definida. El software también supervisa la actividad del usuario relacionada con contenido de carácter confidencial.
La configuración de cliente se almacena en la directiva, la cual se despliega en los equipos administrados.

Note
El Catálogo de directivas viene con las directivas predeterminadas de McAfee para las configuraciones de endpoint de OS X y
Windows y la directiva de DLP. Haga clic en Duplicar (en la columna Acciones) para crear una copia editable como base de la
directiva.
La configuración de cliente se almacena en la directiva, la cual se despliega en los equipos gestionados por McAfee ePO. Si se
actualiza la configuración, deberá volver a desplegar la directiva.
Vigilancia del servicio cliente
Note
La vigilancia del servicio cliente no es compatible con McAfee DLP Endpoint for Mac.
Para mantener un funcionamiento normal del software McAfee DLP Endpoint incluso cuando existe una interferencia
malintencionada, McAfee DLP Endpoint ejecuta un servicio de protección llamado Vigilancia de servicio cliente. Este servicio
supervisa el software McAfee DLP Endpoint y lo reinicia si deja de ejecutarse por cualquier motivo. El servicio está habilitado
de forma predeterminada. Si desea comprobar que está funcionando, busque en los procesos del Administrador de tareas de
Microsoft Windows un servicio llamado fcagswd.exe.
Listas de ignorados en la configuración de cliente

Las listas de ignorados en la configuración de cliente excluyen los procesos, extensiones o direcciones URL enumerados de las
reglas.
Ajuste Lista de ignorados Descripción
Protección del Portapapeles Procesos lista de ignorados McAfee DLP Endpoint ignora
Se aplica únicamente a los las operaciones del Portapapeles
clientes de Windows que las aplicaciones indicadas
llevan a cabo
Rastreo de contenido Procesos lista de ignorados McAfee DLP Endpoint ignora

Se aplica a los clientes de el acceso de las aplicaciones
Windows y MacOS indicadas a los archivos
Protección contra impresión Procesos lista de ignorados McAfee DLP Endpoint ignora las
Se aplica únicamente a los acciones de impresión que las
clientes de Windows aplicaciones indicadas llevan a
cabo
Protección web URL en lista de ignorados Enumera las direcciones URL

excluidas por el complemento
del navegador de todas las

Ajuste Lista de ignorados Descripción
Se aplica únicamente a los reglas de protección web. Puede

clientes de Windows añadir varias listas de ignorados
por dominio o intervalo de
direcciones IP.
Ajustes de configuración del cliente

Las opciones de configuración del cliente determinan cómo funciona el software del endpoint. La mayor parte de las opciones
de configuración del cliente tienen valores predeterminados razonables que se pueden utilizar para la configuración y las
pruebas iniciales sin alteración.
Tip
Para comprobar que las opciones de configuración del cliente sigan cumpliendo sus requisitos, revíselas periódicamente.
La siguiente tabla incluye algunos de los ajustes más importantes que debe comprobar.
Configuración del endpoint
Ajuste Detalles Descripción
Configuración avanzada Ejecutar el cliente de DLP en Deshabilitado de forma

modo seguro predeterminada. Al habilitar esta
Se aplica únicamente a los opción, McAfee DLP Endpoint es
clientes de Windows completamente funcional cuando
el equipo se inicia en modo
seguro. Existe un mecanismo de
recuperación en caso de que el
cliente de McAfee DLP Endpoint
provoque un fallo de arranque.
Protección de acceso a DLP Cuando esta opción está

habilitada, se activan las
funciones de protección de
acceso a los datos de DLP. Valor
predeterminado: Habilitado
tanto en Device Control como en
la versión completa de McAfee
DLP Endpoint.

Mostrar respuesta de la clave Cuando esta opción está

de desafío al actualizar Se aplica habilitada, se activa la ventana
a los clientes de Windows y emergente de desafío/respuesta
MacOS al actualizar.
Mostrar desafío/respuesta al Cuando esta opción está

desinstalar habilitada, se activa la ventana
emergente de desafío/respuesta
al desinstalar.
Ejecutar vigilancia de cliente de Cuando esta opción está

DLP Se aplica a los clientes de habilitada, supervisa los procesos
Windows y MacOS de endpoint y, si están cerrados,
los reinicia. Para cambiar este
ajuste, es necesario reiniciar el
equipo cliente.
Ejecutar vigilancia del servicio Cuando esta opción está

cliente de DLP Se aplica a los habilitada, supervisa la vigilancia
clientes de Windows y MacOS y, si se cierra, la reinicia. Para
cambiar este ajuste, es necesario
reiniciar el equipo cliente.
Omisión de agente Detiene la omisión de agente

Se aplica a los clientes de cuando se carga una nueva
Windows y MacOS configuración de cliente. Esta
opción no está seleccionada de
forma predeterminada.
Rastreo de contenido Usar la siguiente página de Si no se establece ningún

Se aplica a los clientes de código ANSI de respaldo idioma, el respaldo es el idioma
Windows y MacOS predeterminado del equipo
endpoint.
Conectividad corporativa Detección de red corporativa Se pueden aplicar diferentes

Se aplica a los clientes de Detección de VPN corporativa acciones preventivas a equipos
Windows y MacOS endpoint dentro de la red
corporativa o fuera de ella. En
el caso de algunas reglas, se

pueden aplicar distintas acciones

preventivas cuando se está
conectado a una VPN. Para usar
la opción de VPN o determinar
la conectividad de la red según
el servidor corporativo y no
según la conexión a McAfee ePO,
establezca la dirección IP del
servidor en la sección pertinente.
Control de dispositivos Modo de protección de iPhone Permite o evita que se carguen

iPhones cuando la acción de la
regla del dispositivo es Bloquear.
Ajustes de control de Permite al administrador decidir

dispositivos si se deben aplicar las directivas
de control de dispositivos
inmediatamente cuando se aplica
la directiva, o bien si solo se
aplican cuando se reinicia el
equipo o si se activa o desactiva
físicamente o lógicamente el
dispositivo.
Depuración y registro Registrar eventos de DLP en un Use estos ajustes para configurar
servidor HTTP externo el servidor que recibe los datos
sin procesar del cliente de
McAfee DLP Endpoint.
Ajustes del servidor de syslog Configure una ruta del servidor

de syslog que se use para
registrar ciertos tipos de eventos
de McAfee DLP Endpoint.
Los eventos se envían según si
se han configurado las reglas
que desencadenan los eventos
o no. La siguientes acciones se
envían automáticamente cuando
se activa Enviar eventos de

syslog de DLP al servidor de

syslog:
• Impresión
• Copiar a almacenamiento
extraíble
• Cargar un archivo en la web
• Cargar un archivo en la nube
• Enviar un correo electrónico
• Conectar o desconectar un
dispositivo Plug and Play
• Conectar o desconectar un
dispositivo de almacenamiento
extraíble
Protección de correo electrónico Almacenamiento en caché de Almacena las firmas de etiqueta

Se aplica únicamente a los correos electrónicos de correos electrónicos en el
clientes de Windows disco para no tener que volver a
analizarlos.
Destinatarios del correo Establece el número máximo

electrónico de destinatarios de correo
electrónico que notificar. El valor
predeterminado es 10.
API de administración de correo El correo electrónico saliente lo

electrónico gestiona tanto el modelo de
objetos de Outlook (OOM) como
la interfaz de programación
de aplicaciones de mensajería
(MAPI). OOM es la API
predeterminada, pero algunas
configuraciones requieren MAPI.
Integración del complemento de Establece la integración con

terceros de Outlook el software de clasificación de
correo electrónico Titus o Boldon
James.

Procesos en segundo plano de Habilite el procesamiento en

Outlook (solo para DLP 11.6 y segundo plano de los correos
superior) electrónicos para reducir el
impacto en los usuarios al enviar
correos electrónicos mediante
Microsoft Outlook.
Establezca la cantidad máxima de
tiempo permitido para analizar
los correos electrónicos.
• Tiempo máximo permitido para

el análisis: 600 segundos
• Tiempo máximo permitido para
el análisis en primer plano: 120
segundos
Habilite un mensaje emergente

para permitir al usuario final
revisar un correo electrónico
bloqueado o descartarlo.
Al habilitar este mensaje
emergente, se omiten las
configuraciones de notificación
definidas en la regla Protección
de correo electrónico.
Establezca la acción que debe
realizarse si se supera el tiempo
para el análisis: enviar el correo
electrónico o bloquearlo.
Estrategia de tiempo de espera Establece el tiempo máximo

de correo electrónico permitido para analizar un correo
electrónico y la acción si se
supera dicho tiempo.
Notificación de usuario de Establece el mensaje de la

correo electrónico saliente notificación de usuario final y
cuándo se muestra.

Almacenamiento compartido y Almacenamiento compartido Sustituya el texto de ejemplo

prueba por el recurso compartido de
Se aplica a los clientes de almacenamiento de pruebas.
Windows y MacOS Especifique esta ruta para
almacenar:
• Archivos de pruebas
• Archivo con coincidencias de
clasificación
• Huellas digitales de
documentos registrados
Para el documento registrado
manual, las huellas digitales
se copian en el recurso
compartido de todas las
pruebas disponibles. (Aplicable
solo a McAfee DLP Endpoint
for Windows).
• Paquete que contiene textos
ignorados. (Aplicable solo a
McAfee DLP Endpoint for
Windows).
• Resumen de análisis de
descubrimiento de endpoints
en formato de archivo CSV
Ajustes del cliente Se puede modificar la manera

en que se muestra el subrayado
de coincidencias definiendo las
coincidencias de clasificación de
forma que aparezcan todas o
solo los resultados abreviados.
Información de incidentes Puede ocultar o mostrar la

cadena breve coincidente en los
detalles del incidente. Este ajuste
funciona en tiempo real. Por lo
tanto, si se cambia, solo tendrá
efecto en cómo se muestran los

incidentes recopilados a partir de

ese momento.
Módulos y modo de Modo de funcionamiento Establecer Device Control o

funcionamiento modo McAfee DLP Endpoint
Se aplica a los clientes de completo. Restablezca este
Windows y MacOS parámetro para actualizar o
reducir su licencia.
Módulos de protección de datos Active los módulos necesarios.
Tip: Para mejorar el

rendimiento, anule la
selección de los módulos que
no utilice.
Módulos y modo de Navegadores Habilita los navegadores

funcionamiento deseados para bloquear o
Se aplica únicamente a los supervisar la carga de datos al
clientes de Windows usar las reglas de Protección
web.
Los navegadores compatibles
son Microsoft Internet Explorer,
Google Chrome, Microsoft Edge
(basado en Chromium) y Mozilla
Firefox.
De forma predeterminada:
todos los navegadores están
seleccionados.

Note: Se recomienda
no permitir los modos de
invitado y de incógnito de
Chrome a los usuarios finales.
Si alguna de estas opciones
está permitida, es posible
que la URL web activa en el
endpoint no esté disponible
para el cliente de McAfee DLP.
Detección de URL de la barra de Esta función se utiliza para

direcciones del navegador controlar una causa principal
de un uso elevado de la CPU.
La opción predeterminada es
habilitar la detección de la
URL de la barra de direcciones
del navegador. Si detecta un
uso elevado de la CPU, puede
deshabilitar la función.
Plug and Play Modo de protección de iPhone Permite seleccionar si se

Se aplica únicamente a los puede cargar o no un iPhone
clientes de Windows bloqueado. Este ajuste es
aplicable a las reglas de
dispositivo plug and play.
Protección web Evaluación de protección web Seleccione entradas para la

Se aplica únicamente a los evaluación de la solicitud web
clientes de Windows al que coinciden con las reglas
de protección web. Estos ajustes
permiten bloquear las solicitudes
que A JAX envía a una dirección
URL distinta de la que se muestra
en la barra de direcciones. Debe
seleccionar al menos una opción.
Procesar solicitudes HTTP GET Las solicitudes GET están

desactivadas de forma
predeterminada porque

consumen muchos recursos. Use

esta opción con precaución.
Estrategia de tiempo de espera Establece el tiempo de espera

de web de análisis de publicación web,
la acción que realizar si se
sobrepasa el tiempo de espera y
un mensaje de usuario opcional.
URL en lista de ignorados Cree listas de URL ignoradas

y seleccione qué listas desea
excluir de las reglas de protección
de la publicación web.
Pautas de solución de problemas para McAfee DLP Endpoint

Consulte la página Solución de problemas de la configuración de cliente de Windows para obtener pautas y sugerencias acerca
de las acciones que puede llevar a cabo para solucionar problemas de rendimiento y ajustar las directivas de McAfee DLP
Endpoint.
Configurar el tiempo de procesamiento en segundo plano de Outlook para la protección de

correo electrónico
Puede habilitar el procesamiento en segundo plano de los correos electrónicos para reducir el impacto en los usuarios al enviar
correos electrónicos mediante Microsoft Outlook. Establezca la cantidad máxima de tiempo permitido para analizar los correos
electrónicos.
Note
Actualmente, el procesamiento en segundo plano se aplica cuando el usuario final hace clic en Nuevo correo electrónico en
Outlook para enviar un correo electrónico. Cuando un usuario final envía un correo electrónico desde menús rápidos, Mis
tareas, Invitaciones, etc., dicho correo se procesa solamente en segundo plano según el tiempo establecido en Configuración
de cliente de Windows → Protección de correo electrónico → Estrategia de tiempo de espera de correo electrónico →
Tiempo máximo de análisis de correo electrónico (s). La acción que el usuario final debe llevar a cabo si se supera el tiempo
de procesamiento del correo electrónico se establece desde Configuración de cliente de Windows → Protección de correo
electrónico → Procesos en segundo plano de Outlook → Acción que realizar si se supera el tiempo máximo.
La función de procesos en segundo plano de Outlook se admite enMcAfee DLP Endpoint for Windows 11.6 o versiones
posteriores.

Procedimiento
1. En McAfee ePO, seleccione Menú → Directiva → Catálogo de directivas
2. Seleccione Data Loss Prevention <versión> y la Configuración de cliente de Windows que desee editar.
3. En la página Protección de correo electrónico, seleccione Habilitar procesos en segundo plano.
4. Seleccione, en segundos, el tiempo máximo dedicado al análisis de los correos electrónicos. Con el control deslizante,
defina qué cantidad de tiempo seleccionado se destinará al análisis de correos electrónicos en primer plano y en
segundo plano.
Se recomienda analizar los correos electrónicos en primer plano entre 3 y 5 segundos. Si el procesamiento de correo
electrónico no se completa en primer plano, el análisis pasa a segundo plano y los usuarios finales pueden seguir
trabajando en Outlook. Establezca el tiempo de análisis en primer plano a cero únicamente si todas sus reglas de
protección de correo electrónico están establecidas como Sin acción.
5. Habilite un mensaje emergente que permita a los usuarios finales elegir entre revisar un correo electrónico bloqueado
o descartarlo.
Al habilitar este mensaje emergente, se omiten las configuraciones de notificación definidas en la regla Protección de
6. Si el tiempo de procesamiento del correo electrónico se supera, puede establecer que se permita el envío del correo
electrónico o que se bloquee. Si elige que el correo electrónico se bloquee, los usuarios finales recibirán un mensaje
emergente para indicar que el análisis ha superado el tiempo máximo y el correo electrónico se ha bloqueado. Si es
necesario, puede editar este mensaje.
Compatibilidad con los parámetros de configuración de cliente
McAfee DLP Endpoint para Windows y McAfee DLP Endpoint for Mac están configurados en directivas de cliente individuales.
Página de depuración y registro
Parámetro Compatibilidad con sistemas operativos
Eventos administrativos notificados por los Los ajustes de filtro que se aplican tanto a
clientes McAfee DLP Endpoint para Windows y McAfee DLP
Endpoint for Mac son:
• Cliente entra en el modo de omisión

• Cliente sale del modo de omisión
• Cliente instalado
Se aplican todas las demás opciones solo a McAfee
DLP Endpoint para Windows.
Registro Compatible tanto con McAfee DLP Endpoint para

Windows como con McAfee DLP Endpoint for Mac.

Página Componentes de la interfaz de usuario
Compatibilidad con sistemas

Sección Parámetro operativos
Interfaz de usuario cliente Mostrar consola de DLP (todas McAfee DLP Endpoint para
las opciones) Windows únicamente
Activar ventana emergente de McAfee DLP Endpoint para

notificación al usuario final Windows y McAfee DLP Endpoint
for Mac
Mostrar cuadro de diálogo de McAfee DLP Endpoint para

solicitud de justificación Windows y McAfee DLP Endpoint
for Mac
Desafío y respuesta Todas las opciones McAfee DLP Endpoint para

Windows y McAfee DLP Endpoint
for Mac
Directiva de bloqueo de código Todas las opciones McAfee DLP Endpoint para
de liberación Windows y McAfee DLP Endpoint
for Mac
Imagen de banner de cliente Todas las opciones McAfee DLP Endpoint para
Windows únicamente
Configuración de los ajustes del cliente
Configure los ajustes para McAfee DLP Endpoint.
Procedimiento
1. En McAfee ePO, seleccione Menú → Directiva → Catálogo de directivas.
2. En McAfee ePO 5.10, seleccione Data Loss Prevention <versión>.
• En McAfee ePO 5.9 y versiones anteriores, seleccione Data Loss Prevention <versión> en la lista desplegable
Producto.
3. En McAfee ePO 5.10, seleccione Configuración de cliente de Windows o Configuración de cliente de Mac OS X.
• (Opcional) En McAfee ePO 5.9 y versiones anteriores, seleccione Configuración de cliente de Windows o
Configuración de cliente de Mac OS X en la lista desplegable Categoría.
4. Seleccione una configuración para editarla o haga clic en Duplicar en la configuración McAfee Default.

5. En la página Almacenamiento compartido y prueba, introduzca el recurso compartido de almacenamiento y las

credenciales.
6. Actualice los ajustes de las otras páginas según sea necesario.
7. Haga clic en Aplicar directiva.
Configuración de los ajustes del servidor
Configure los ajustes de McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Monitor.
Antes de empezar
Para los ajustes del servidor de McAfee DLP Discover:
• Si utiliza un servidor de gestión de derechos, obtenga el nombre de dominio, el nombre de usuario y la contraseña.
• Si tiene previsto realizar análisis de corrección en servidores de SharePoint, determine si los servidores de SharePoint de
su empresa utilizan la papelera de reciclaje. Un error de concordancia en este ajuste puede conducir a errores o a un
comportamiento inesperado durante el análisis de corrección.
• Si va a utilizar la función de reconocimiento óptico de caracteres (OCR), instale el paquete de OCR sobre el software del
servidor de McAfee DLP Discover . Una vez actualizado el software del servidor de McAfee DLP Discover, añada los
detalles de la licencia del reconocimiento óptico de caracteres y habilite la casilla de correspondiente en los ajustes de
configuración del servidor.
• McAfee DLP Prevent y McAfee DLP Monitor utilizan solamente los ajustes Almacenamiento compartido y prueba y
Reconocimiento óptimo de caracteres (OCR).
• McAfee DLP Discover puede utilizar todas las opciones de ajuste del servidor excepto ActiveSync Proxy, aunque algunas
son opcionales.
Procedimiento
2. En McAfee ePO 5.10, seleccione Data Loss Prevention <versión>.

• En McAfee ePO 5.9 y versiones anteriores, seleccione Data Loss Prevention <versión> en la lista desplegable
Producto.
3. En McAfee ePO 5.10, seleccione Configuración del servidor.
• (Opcional) En McAfee ePO 5.9 y versiones anteriores, seleccione Configuración del servidor en la lista desplegable
Categoría.
4. Siga uno de estos procedimientos:
• Haga clic en una directiva existente para editarla.

• Haga clic en Duplicar en la configuración McAfee Default para crear una copia de la directiva predeterminada y
actualizar la directiva.
5. (Opcional, solo para McAfee DLP Discover) En la página Box, compruebe las opciones del historial de versiones y de la
papelera.
6. En la página Almacenamiento compartido y prueba:
a. Introduzca el recurso compartido de almacenamiento y las credenciales.
En el caso de McAfee DLP Prevent o McAfee DLP Monitor, especifique un nombre de usuario y una contraseña. No
seleccione la opción de la cuenta de sistema local.
Tip
Use los valores predeterminados para Ajustes del servidor. McAfee DLP Prevent y McAfee DLP Monitor ignoran
el ajuste de ancho de banda de transmisión de pruebas.
b. Introduzca los ajustes del servidor o acepte las opciones predeterminadas.

c. Si la directiva debe cumplir con regulaciones de privacidad como RGPD, anule la selección de la casilla Informar de
cadenas coincidentes breves y únicas en los detalles del incidente.
7. Si configura un servidor de pruebas fuera de su firewall o si su appliance está en una zona desmilitarizada, seleccione
la casilla Habilitar el servicio HTTP de almacenamiento de pruebas.
DLP Server puede actuar como proxy HTTP para McAfee DLP Prevent y McAfee DLP Monitor para guardar archivos
de pruebas y capturar pruebas de búsqueda para el recurso compartido de almacenamiento al que no pueden acceder
directamente. DLP Server, McAfee DLP Prevent y McAfee DLP Monitor deben utilizar los mismos ajustes para la ubicación
y las credenciales del recurso compartido de pruebas. En caso contrario, DLP Server no almacenará los archivos y
devolverá un error de operación. Los bloqueos de cuenta de Active Directory también pueden ocurrir cuando no se
configuran los mismos ajustes.
Puede configurar un DLP Server para la copia de pruebas creando o editando una directiva desde Catálogo de directivas
→ Gestión de appliances de DLP → General. Para obtener más información, consulte Conectar con un servidor de pruebas
fuera del firewall.
Note
Si CIFS y DLP Server están configurados para copiar pruebas, McAfee DLP Prevent y McAfee DLP Monitor utilizan
solamente DLP Server, incluso si falla y no utiliza el recurso compartido CIFS.

8. (Opcional, solo McAfee DLP Discover) En la página Depuración y registro:

a. Establezca el tipo de resultado y el nivel del registro.
Tip
Use los valores predeterminados.
b. Seleccione en qué proceso de McAfee DLP Discover debe ejecutarse un volcado automático de memoria para
almacenar contenido de la memoria. El contenido puede analizarse en busca de problemas del sistema, como
bloqueos.
Note
El análisis del contenido de un volcado de memoria requiere el conocimiento de herramientas de desarrollo, como
Microsoft Visual Studio.
9. En la página Documentos registrados:

a. (Solo McAfee DLP Discover) Verifique Almacenamiento compartido (establecida en la página Ajustes de DLP →
General).
b. (McAfee DLP Discover y McAfee Network DLP) Compruebe que el Motor de documentos esté habilitado e
introduzca la dirección IP del DLP Server.
El motor de documentos utiliza la API REST para hacer coincidir las huellas digitales almacenadas en el DLP Server
especificado. Si no utiliza documentos registrados, puede deshabilitar el motor de documentos.
c. (Solo para DLP Server) Introduzca el nombre, el recurso compartido de almacenamiento UNC y el nombre de
usuario para que los recursos compartidos de pruebas puedan cargar los paquetes de documentos registrados en
el DLP Server.
10. (Solo McAfee DLP Discover) En la página Administración de derechos, establezca las credenciales del servicio de
administración de derechos.
11. (Solo para McAfee DLP Discover ) En la página SharePoint, seleccione o anule la selección de Utilizar papelera de
reciclaje al eliminar un archivo.
Caution
Si habilita este ajuste y el servidor de SharePoint no utiliza la papelera de reciclaje, cualquier acción de Mover llevada a
cabo en los archivos falla y toma de forma predeterminada el valor Copiar. El ajuste predeterminado en SharePoint es
habilitar la papelera de reciclaje.
12. (Opcional, solo para McAfee DLP Discover ) En la página Extractor de texto, configure los ajustes del extractor de texto.
Tip
Use los valores predeterminados.

a. Defina la página de códigos de respaldo ANSI.

El valor predeterminado utiliza el idioma predeterminado del servidor de descubrimiento.
b. Establezca el tamaño de archivo máximo de entrada y de salida, y los tiempos de espera.
13. Seleccione la casilla Reconocimiento óptimo de caracteres si desea extraer texto de archivos de imagen.
Note
El reconocimiento óptico de caracteres consume muchos recursos. Si está analizando una gran cantidad de imágenes,
el tiempo de análisis puede aumentar significativamente. Anule la selección de la casilla cuando no sea necesario el
análisis de reconocimiento óptico de caracteres.
Restablecer la contraseña compartida

Como requisito de seguridad obligatorio, restablezca la contraseña compartida predeterminada en los Ajustes de DLP. La
contraseña compartida predeterminada puede afectar tanto al código de identificación (clave de desafío) generado por la
herramienta de diagnóstico como al código de liberación de DLP (clave de respuesta) generado desde la consola, ya que la
contraseña compartida es necesaria para generar estos códigos.
Restablecer la contraseña compartida también evita un compromiso entre dos servidores de McAfee ePO diferentes o un
compromiso entre dos directivas diferentes en el mismo servidor de McAfee ePO. Puede seguir estos pasos antes de aplicar la
directiva My Default de DLP:
1. Restablezca la contraseña compartida según sea necesario.

2. Duplique o cree la directiva My Default de DLP y aplique la directiva recién creada.
Por ejemplo, si duplica la directiva My Default de DLP en el Catálogo de directivas y la envía a los endpoints, a los appliances
de McAfee DLP o a los servidores de McAfee DLP Discover, cualquier servidor de McAfee ePO puede omitirla. Cuando aplica el
código de omisión del otro servidor de McAfee ePO, el código de respuesta permite la omisión. Esto sucede porque los códigos
de desafío-respuesta para la directiva de DLP My Default son los mismos en todas las instalaciones de McAfee ePO. Cualquier
otro administrador de McAfee ePO puede omitir cualquier directiva de DLP que se base en la directiva My Default de DLP. Por
lo tanto, es obligatorio restablecer la contraseña compartida o crear una directiva que no sea la directiva My Default de DLP
para evitar omitir los sistemas no asociados al servidor de McAfee ePO en el que está trabajando.
Para restablecer la contraseña compartida:
Procedimiento
1. En McAfee ePO, vaya a Menú → Protección de datos → Ajustes de DLP → General.
2. Actualice la contraseña compartida según sea necesario y guárdela de forma confidencial.
3. Se le pedirá que guarde los cambios cuando intente ir a una página diferente. Haga clic en Sí hacerlo.

Protección de archivos mediante la gestión de derechos

McAfee DLP Endpoint y McAfee DLP Discover pueden integrarse con los servidores de gestión de derechos para aplicar
protecciones a los archivos que coincidan con las clasificaciones.
McAfee DLP Endpoint y McAfee DLP Discover admiten la aplicación de directivas con Microsoft RMS local, Azure RMS y Seclore.
Important
Al usar Azure RMS, debe instalar Azure Information Protection 2.6.111 en cada endpoint mediante los servicios de gestión de
derechos. El comando Aplicar gestión de derechos no funciona sin esta versión del cliente de gestión de derechos.
• McAfee DLP Prevent y McAfee DLP Monitor pueden identificar si un correo electrónico o los datos adjuntos tienen
aplicada la protección de gestión de derechos pero no son compatibles con la aplicación de directivas de gestión de
derechos.
Puede aplicar una reacción de la directiva de gestión de derechos a estas reglas de protección de datos y descubrimiento:
• Protección en la nube
• Descubrimiento del sistema de archivos de endpoint
• Protección de almacenamiento extraíble
• (Solo para McAfee DLP Discover ) Protección del recurso compartido de red, incluyendo lo siguiente:
Protección de Box
Protección del servidor de archivos
Protección de SharePoint
McAfee DLP puede reconocer los archivos protegidos con gestión de derechos añadiendo una propiedad de cifrado de archivos
a los criterios de clasificación o identificación por huellas digitales de contenido. Estos archivos se pueden incluir o excluir de la
clasificación.
Funcionamiento de McAfee DLP con la gestión de derechos
McAfee DLP sigue un flujo de trabajo para aplicar las directivas de gestión de derechos a los archivos.
Flujo de trabajo de gestión de derechos
1. Cree y aplique una protección de datos o una regla de descubrimiento con una reacción para aplicar la directiva de gestión
de derechos. La reacción requiere un servidor de gestión de derechos y la entrada de una directiva de gestión de derechos.
2. Cuando un archivo activa la regla, McAfee DLP cifra el archivo mediante el servidor de gestión de derechos seleccionado.
3. El servidor de gestión de derechos aplica las protecciones en función de la directiva especificada, como el cifrado del
archivo, la limitación de los usuarios con permiso para acceder a él o descifrarlo, la limitación de los usuarios con permiso
para leer archivos etiquetados o acceder a ellos, y la limitación de las condiciones en las que se puede acceder al archivo.
4. El servidor de gestión de derechos envía el archivo de vuelta al origen con las protecciones aplicadas.
5. Si ha configurado una clasificación para el archivo, McAfee DLP puede supervisar dicho archivo.

Limitaciones
El software McAfee DLP Endpoint no inspecciona el contenido de los archivos protegidos por la gestión de derechos. Cuando
se aplica una clasificación a un archivo protegido por la gestión de derechos, únicamente se mantienen los criterios de
identificación por huellas digitales de contenido (ubicación, aplicación o aplicación web). Si un usuario modifica el archivo, todas
las firmas de huella digital se pierden al guardar el archivo.
Servidores de gestión de derechos compatibles
McAfee DLP Endpoint es compatible con Microsoft Windows Rights Management Services (Microsoft RMS), incluyendo la opción
local y Azure RMS, y con Seclore FileSecure™ Information Rights Management (IRM). McAfee DLP Discover es compatible con
Microsoft RMS local y Azure RMS.
Microsoft RMS
McAfee DLP es compatible con Microsoft RMS en Windows Server 2003 y Active Directory RMS (AD-RMS) en Windows Servers
2008 y 2012. McAfee DLP también es compatible con Azure RMS y Office 365. Puede aplicar la protección de Windows Rights
Management Services a las siguientes aplicaciones:
Tipo de documento Versión
Microsoft Word 2010, 2013, 2016 y 2019
Microsoft Excel
Microsoft PowerPoint
SharePoint 2007
Exchange Server
Con Microsoft RMS, McAfee DLP puede inspeccionar el contenido de los archivos protegidos según las propiedades del
documento o las etiquetas de Azure Information Protection aplicadas, siempre y cuando el usuario actual tenga permisos de
visualización.
Para obtener más información sobre Microsoft RMS, vaya a http://technet.microsoft.com/en-us/library/cc772403.aspx.
Seclore IRM
McAfee DLP Endpoint es compatible con Seclore FileSecure RM, que admite más de 140 formatos de archivo, incluidos los
formatos de documento utilizados con más frecuencia:
• Documentos de Microsoft Office

• Documentos de Open Office

• PDF
• Formatos de texto y basados en texto, como CSV, XML y HTML
• Formatos de imagen, como JPEG, BMP y GIF
• Formatos de diseño técnico, como DWG, DXF y DWF
El cliente de McAfee DLP Endpoint funciona con FileSecure Desktop Client para proporcionar integración tanto en línea como
fuera de línea.
Para obtener más información sobre Seclore IRM, vaya a http://seclore.com/seclorefilesecure_overview.html.
Documentación de eventos mediante pruebas

Uso de pruebas y del almacenamiento de pruebas
La prueba es una copia de los datos que han provocado la publicación de un evento de seguridad en Administrador de
incidentes de DLP.
McAfee DLP Endpoint almacena la prueba en una ubicación temporal del cliente entre los intervalos de comunicación agente-
servidor. Cuando McAfee Agent pasa información al servidor, la carpeta se purga y la prueba se almacena en la carpeta de
pruebas del servidor. Puede especificar el tamaño máximo y la antigüedad del almacenamiento local de pruebas cuando el
equipo está desconectado.
Requisitos previos para el almacenamiento de pruebas

La condición predeterminada de McAfee DLP es habilitar el almacenamiento de pruebas. Si no desea guardar pruebas, puede
deshabilitar el servicio de pruebas para mejorar el rendimiento. A continuación, se indican las opciones obligatorias o los valores
predeterminados a la hora de configurar el software:
• Carpeta de almacenamiento de pruebas: crear una carpeta de almacenamiento de pruebas de red y especificar la ruta
UNC a la carpeta son requisitos para aplicar una directiva en McAfee ePO. Especifique la ruta predeterminada en la
página Ajustes de DLP → General.
• Servicio de copia de pruebas: la ruta UNC predeterminada se copia en la página Almacenamiento compartido y
prueba del Catálogo de directivas. En el caso de McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Monitor,
la página Almacenamiento compartido y prueba está en la configuración del servidor. En el caso de McAfee DLP
Endpoint, se encuentra en las configuraciones de cliente de Windows y macOS. Puede especificar varias carpetas de
almacenamiento de pruebas en las opciones de configuración.
Note
Si su appliance de McAfee DLP se encuentra en una zona DMZ, puede especificar un servidor de pruebas fuera de su
firewall en la página General del catálogo de directivas de Gestión de appliances de DLP.
• Servicio de generación de informes: en el caso de McAfee DLP Endpoint for Windows, también debe activar las
opciones Servicio de generación de informes y Servicio de copia de pruebas en la página Módulos y modo de
funcionamiento de la configuración del cliente para habilitar la recopilación de pruebas.

Memoria y almacenamiento de pruebas
Las pruebas se almacenan en las carpetas de pruebas de la red. Puede especificar un recurso compartido de almacenamiento
distinto para cada producto de McAfee DLP.
El número de archivos de pruebas almacenados por evento influye en el volumen de almacenamiento, el rendimiento del
analizador de eventos y la presentación en pantalla (y, por tanto, la experiencia del usuario) de las páginas Administrador de
incidentes de DLP y Operaciones de DLP.
La mayoría de las reglas permiten la opción de almacenar pruebas. Cuando esta opción está seleccionada, se almacena una
copia cifrada del contenido en la carpeta de pruebas predefinida. Si es posible, se crean varios archivos de pruebas para un
evento. Por ejemplo, si se desencadena una regla de protección de correo electrónico, el correo electrónico, el texto del cuerpo y
los datos adjuntos se guardan como archivos de pruebas.
Note
Si se produce una clasificación en los encabezados de correo electrónico, no se escribirá ninguna prueba independiente,
puesto que podrá encontrarse en el propio mensaje. El texto coincidente se incluirá en el resaltado de coincidencias de las
pruebas del cuerpo.
Para cumplir con requisitos de pruebas diferentes, el software McAfee DLP realiza lo siguiente:
• El recurso compartido de almacenamiento UNC y el número máximo de archivos de pruebas que se almacenan por
evento se definen en la página Almacenamiento compartido y prueba. Cada instancia de la configuración del cliente de
Windows, la configuración de cliente de macOS y la configuración del servidor puede tener valores diferentes para estos
parámetros.
• El campo Administrador de incidentes de DLP Número total de correspondencias muestra el número total de pruebas.
• Si el almacenamiento de pruebas alcanza un nivel crítico, McAfee DLP Prevent rechazará temporalmente el mensaje y
se generará un error de SMTP. A continuación, se mostrará un evento en la página Eventos de cliente y aparecerá una
alerta en el panel Gestión de appliances.
Purga de archivos de pruebas
Las pruebas pueden contener información cubierta por las directivas o las leyes que regulan el almacenamiento de información
privada.
Para optimizar el rendimiento del sistema, McAfee DLP purga los incidentes de la tabla de la lista de incidentes en vivo y
los traslada a la vista Historial de incidentes cuando se alcanza un millón de incidentes, comenzando por los incidentes más
antiguos.
La tarea servidor Purga del historial de eventos e incidentes operativos de DLP elimina eventos e incidentes de las tablas
de la base de datos del historial y marca los archivos de pruebas para su eliminación. Si el evento o incidente todavía está
en los incidentes en vivo y en las tablas de la lista de eventos operativos, esta tarea lo borrará de las tablas en vivo. De
forma predeterminada, esta tarea servidor se ejecuta semanalmente. Los archivos de pruebas se reservan durante dos meses

naturales y, si no los necesita otro evento operativo o incidente de la base de datos, se borran con la tarea servidor Purga de
pruebas de DLP. De forma predeterminada, esta tarea servidor se ejecuta todos los viernes a las 23:30 h.
Tip
No ejecute Purga de pruebas de DLP cuando más de una instancia de McAfee ePO comparta una ruta de almacenamiento
de pruebas.
Resaltado de coincidencias
La opción de subrayado de coincidencias permite a los administradores identificar exactamente el contenido de carácter
confidencial que ha provocado un evento.
Cuando se selecciona, se guarda un archivo de pruebas XML cifrado que contiene el texto extraído.
El archivo de pruebas se compone de fragmentos, también llamados cadenas coincidentes; un fragmento de huellas digitales y
clasificaciones de contenido contiene normalmente el texto confidencial, con 100 caracteres delante y 100 detrás (por contexto)
organizados por la huella digital o la clasificación de contenido que desencadenó el evento. Además, incluye un recuento
del número de eventos por huella digital o clasificación de contenido. Si hay varias coincidencias entre los 100 caracteres de
la anterior coincidencia, se subrayan dichas coincidencias, y el texto resaltado y los siguientes 100 caracteres se añaden al
fragmento. Si la coincidencia se encuentra en el encabezado o pie de página de un documento, el fragmento contiene el texto
resaltado sin el prefijo o sufijo de 100 caracteres.
Para McAfee DLP Endpoint y McAfee DLP Endpoint for Mac, las opciones de visualización se establecen en la página
Almacenamiento compartido y prueba de la directiva de configuración del cliente en el campo Archivo de coincidencias de
clasificación. Para McAfee DLP Discover, las opciones de visualización se establecen en la página Almacenamiento compartido
y prueba de la directiva de configuración del servidor en el campo Archivo de coincidencias de clasificación:
• Crear resultados abreviados (predeterminada)

• Crear todas las coincidencias
• Deshabilitado: deshabilita la función de subrayado de coincidencias.
Los resultados abreviados pueden contener hasta 20 fragmentos. Un archivo de resaltado de todas las coincidencias puede
contener una cantidad ilimitada de fragmentos, pero existe un límite en el número de coincidencias por clasificación. En el
caso de las clasificaciones Patrón avanzado y Palabra clave, el límite de coincidencias es 100. En el caso de clasificaciones
Diccionario, el límite de coincidencias por entrada de diccionario es 250. Si hay varias clasificaciones en un archivo de resaltado
de coincidencias, los nombres de dichas clasificaciones y los números de coincidencias se muestran al comienzo del archivo,
antes de los fragmentos.
En el campo Información de incidentes, puede elegir mostrar la Cadena coincidente breve en la página de detalles del
incidente. Las cadenas coincidentes breves contienen hasta un máximo de tres coincidencias resaltadas en forma de una sola
cadena. Las cadenas coincidentes breves, como otras coincidencias resaltadas, se guardan como archivos cifrados.

Reglas que permiten el almacenamiento de pruebas
Estas reglas pueden almacenar pruebas.
Pruebas guardadas por reglas de McAfee DLP Monitor o McAfee DLP Prevent
Regla Elemento que se guarda
Regla de protección de correo electrónico Copia del correo electrónico
Regla de protección de comunicaciones de la red Copia del contenido
Regla de protección web Copia de la publicación web
Pruebas guardadas por reglas de McAfee DLP Endpoint
Regla de protección de acceso a archivos de la Copia del archivo

aplicación
Regla de protección del Portapapeles Copia del Portapapeles
Regla de protección en la nube Copia del archivo
Regla de protección de correo electrónico Copia del correo electrónico
Regla de protección de recurso compartido de red Copia del archivo
Regla de protección contra impresión Copia del archivo
Regla de protección de almacenamiento extraíble Copia del archivo
Regla de protección contra capturas de pantalla JPEG de la pantalla
Regla de descubrimiento del sistema de archivos Copia del archivo
Regla de descubrimiento de almacenamiento de Copia del archivo .msg

correo electrónico

Regla de protección web Copia de la publicación web
Pruebas guardadas por reglas de McAfee DLP Discover
Regla de protección de Box Copia del archivo
Regla de protección del servidor de archivos Copia del archivo
Regla de protección de SharePoint Copia del archivo
Regla de protección de base de datos Copia de la tabla
Creación de carpetas de pruebas
Las carpetas de pruebas incluyen información que todos los productos de software de McAfee DLP utilizan para crear directivas
y generar informes. En función de la instalación de McAfee DLP, se deben crear determinados recursos compartidos de red y
carpetas, y se deben configurar sus propiedades y ajustes de seguridad adecuadamente.
Las rutas de las carpetas de pruebas se establecen en ubicaciones distintas en los diferentes productos de McAfee DLP. Cuando
se instala más de un producto de McAfee DLP en McAfee ePO, las rutas UNC de las carpetas de pruebas se sincronizan.
Note
La ruta de almacenamiento de pruebas debe ser un recurso compartido de red, es decir, debe incluir el nombre del servidor.
• Carpeta de pruebas: determinadas reglas permiten almacenar pruebas, por lo que debe designar con antelación una
ubicación donde colocarlas. Por ejemplo, si se bloquea un archivo, se coloca una copia de este en la carpeta de pruebas.
• Copiar y mover carpetas: McAfee DLP Discover utiliza esta opción para corregir archivos.
Le sugerimos las rutas de carpeta, los nombres de carpeta y los nombres de recurso compartido siguientes, pero puede crear
otros según sea necesario para su entorno.
• c:\recursos_dlp\
• c:\recursos_dlp\prueba
• c:\recursos_dlp\copia
• c:\recursos_dlp\mover

Para obtener más información sobre la creación de carpetas de pruebas, consulte Creación y configuración de carpetas de
pruebas.
Administrativos y usuarios finales de McAfee DLP

McAfee DLP tiene dos categorías de usuarios: los usuarios administrativos y los usuarios finales.
McAfee DLP tiene acceso a los servidores de Active Directory (AD) o de protocolo ligero de acceso a directorios (LDAP) para crear
definiciones de usuarios finales. Las definiciones de usuario pueden componerse de usuarios, grupos de usuarios o unidades
organizativas (OU). Por tanto, permiten al administrador elegir un modelo adecuado. Las empresas organizadas con un modelo
de OU pueden continuar utilizando ese modelo, mientras otras pueden emplear grupos o usuarios individuales, según se
requiera.
Utilice nombres o ID de seguridad (SID) para identificar objetos LDAP. Los SID son más seguros y los permisos pueden
conservarse incluso si se les asigna un nuevo nombre a las cuentas. No obstante, se almacenan en formato hexadecimal y
deben descodificarse para convertirlos a un formato legible.
Las definiciones de usuario se configuran en el Administrador de directivas de DLP en la página Grupo de usuarios finales → de
Definiciones. A los usuarios administrativos se les asignan permisos en los Conjuntos de permisos de McAfee ePO. Las reglas
de protección de datos, descubrimiento y control de la aplicación pueden aplicarse a usuarios finales o grupos determinados
especificándolas en la regla Condiciones. Puede obtenerse granularidad adicional excluyendo usuarios o grupos específicos en
la ficha Excepciones de la definición de la regla. Además, a los usuarios con privilegios se les puede nombrar en el Catálogo de
directivas de la página Configuración de la directiva de DLP. Los usuarios con privilegios se supervisarán solo si activan una regla.
No están bloqueados por ninguna regla en la directiva.
Crear definiciones de usuario
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
2. Haga clic en la pestaña Definiciones.
3. Seleccione Origen/destino → Grupo de usuarios finales y, a continuación, Acciones → Nuevo elemento.
4. En la página Nuevo grupo de usuarios finales, introduzca un nombre único y, si lo desea, una descripción.
5. Seleccione el método para identificar objetos (mediante el SID o el nombre).
6. Haga clic en uno de los botones Agregar: Agregar usuarios, Agregar grupos o Agregar OU.
La ventana de selección muestra el tipo de información seleccionado.
Si la lista es larga, es posible que tarde unos segundos en mostrarse. Si no aparece ninguna información, seleccione
Contenedor y elementos secundarios en la lista desplegable Valor predefinido.
7. Seleccione los nombres y haga clic en Aceptar para agregarlos a la definición.

Repita la operación según sea necesario para agregar usuarios, grupos o usuarios organizativos.

Control de asignaciones a usuarios y conjuntos de permisos

McAfee DLP utiliza Usuarios y Conjuntos de permisos de McAfee ePO para asignar diferentes partes de la administración de
McAfee DLP a grupos o usuarios distintos.
Tip
Cree conjuntos de permisos, usuarios y grupos específicos de McAfee DLP. Cree distintas funciones mediante la asignación
de permisos de administrador y revisor diferentes para los distintos módulos de McAfee DLP en McAfee ePO.
Compatibilidad de permisos de filtrado del árbol de sistemas

McAfee DLP admite los permisos de filtrado del Árbol de sistemas de McAfee ePO en Administrador de incidentes de DLP y
Operaciones de DLP. Cuando el filtrado del Árbol de sistemas está activado, los operadores de McAfee ePO solo pueden ver
incidentes de equipos en su parte permitida del Árbol de sistemas. Los administradores de grupos no tienen permisos en el
Árbol de sistemas de McAfee ePO. Independientemente de los permisos asignados en el conjunto de permisos de Data Loss
Prevention, no pueden ver ningún incidente en Administrador de incidentes de DLP u Operaciones de DLP. El filtrado del Árbol
de sistemas está desactivado de forma predeterminada, pero puede activarse en Configuración de DLP.
Tip
Si utiliza Administradores de grupo en los conjuntos de permisos de Data Loss Prevention, proporcione a los
Administradores de grupo:
· Permiso Ver la ficha «Árbol de sistemas» (en Sistemas)

· Permisos Acceso al árbol de sistemas en el nivel adecuado
Redacción de información de carácter confidencial y conjuntos de permisos de McAfee ePO

Para cumplir las exigencias legales de algunos mercados sobre la protección de información de carácter confidencial bajo
cualquier circunstancia, el software McAfee DLP ofrece una función de redacción de datos. Permite redactar información
confidencial en los campos de las consolas Administrador de incidentes de DLP y Operaciones de DLP para impedir
visualizaciones no autorizadas. La redacción se puede controlar eligiendo campos de datos de carácter confidencial de
incidentes específicos. Los vínculos a pruebas confidenciales están ocultos. La función está diseñada con una versión de «doble
clave». Por lo tanto, para utilizar la función, es necesario crear dos conjuntos de permisos: uno para ver los incidentes y eventos, y
otro para ver los campos redactados (permiso de supervisor). Ambas funciones se pueden asignar al mismo usuario.
API REST para importar definiciones y aplicar directivas
McAfee DLP utiliza la arquitectura REST (del inglés REpresentational State Transfer, transferencia de estado representacional)
para ciertas funciones con objeto de reducir el ancho de banda.
Puedes utilizar las llamadas a la API REST de McAfee DLP para crear directivas en determinadas circunstancias, así como
para descifrar archivos de pruebas e importar definiciones. También puedes utilizar las llamadas a la API REST para importar
información de un usuario de un archivo CSV.

Para utilizar la función de API REST de McAfee DLP, los administradores de McAfee DLP deben ser usuarios válidos de McAfee
ePO con permisos que les permitan realizar las acciones invocadas por las API.
Puedes crear llamadas a la API REST McAfee DLP en el lenguaje de programación de tu elección. Consulta KB87855 para ver un
ejemplo de código fuente de Java que muestra cómo utilizar la API REST.
Asignación de conjuntos de permisos de McAfee DLP
Los conjuntos de permisos de McAfee DLP asignan permisos para ver y guardar las directivas, así como para ver los campos
redactados. También se utilizan para asignar el control de acceso basado en funciones (RBAC).
Al instalar el software del servidor de McAfee DLP, se agrega el conjunto de permisos de McAfee ePO Data Loss Prevention. Si
hay una versión anterior de McAfee DLP instalada en el mismo servidor de McAfee ePO, aparecerá también dicho conjunto de
permisos.
Los conjuntos de permisos abarcan todas las secciones de la consola de gestión. Estos son los tres niveles de permisos:
• Utilizar: el usuario solo puede ver los nombres de los objetos (definiciones, clasificaciones, etc.), no los detalles.
Note
En el caso de las directivas, el permiso mínimo es ningún permiso.
• Ver y utilizar: el usuario puede ver los detalles de los objetos, pero no puede cambiarlos.
• Todos los permisos: el usuario puede crear y cambiar objetos.
Puede definir permisos para distintas secciones de la consola de gestión y otorgar a los administradores y revisores permisos
diferentes según sea necesario. Las secciones se agrupan por jerarquía lógica, por ejemplo, al seleccionar Clasificaciones
se seleccionan automáticamente las Definiciones, ya que la configuración de los criterios de clasificación requiere el uso de
definiciones.
Los grupos de permisos de McAfee DLP Endpoint son:
Grupo I Grupo II Grupo III
• Catálogo de directivas • Gestor de directivas de DLP • Clasificaciones

• Gestor de directivas de DLP • Clasificaciones • Definiciones
• Clasificaciones • Definiciones
• Definiciones
El grupo de permisos de McAfee DLP Discover es:
• DLP Discover

• Gestor de directivas de DLP

• Clasificaciones
• Definiciones
El grupo de permisos de DLP Capture es:
• Captura
• Clasificaciones
• Definiciones
Administración de incidentes, Eventos operativos, Administración de casos, Configuración de DLP y Captura se pueden
seleccionar por separado.
Note
Los permisos de Acciones de Data Loss Prevention se han movido al conjunto de permisos de Acciones de Help Desk.
Estos permisos permiten a los administradores generar claves de desinstalación y omisión de cliente, claves de liberación de
cuarentena y claves globales.
Además del permiso predeterminado de la sección, puede definir una omisión para cada objeto. La omisión puede aumentar
o disminuir el nivel de permisos. Por ejemplo, en los permisos del Gestor de directivas de DLP, se muestra una lista de todos
los conjuntos de reglas existentes cuando se crea el conjunto de permisos. Puede definir una omisión diferente para cada uno.
Cuando se crean nuevos conjuntos de reglas, estos reciben el nivel de permisos predeterminado.
Conjuntos de permisos de McAfee DLP
Crear un usuario
Es posible agregar y administrar los usuarios desde McAfee ePO.

Procedimiento
1. En McAfee ePO, seleccione Menú → Administración de usuarios → Usuarios.
2. Haga clic en Nuevo usuario y escriba un nombre de usuario.
3. Seleccione si desea activar o desactivar el estado de inicio de sesión de esta cuenta.
Tip
Deshabilite la cuenta si va a configurar un usuario que aún no ha empezado a trabajar para la empresa.
4. Seleccione un método de autenticación para esta cuenta y proporcione las credenciales necesarias.
• Autenticación de Windows
• Autenticación basada en certificados
5. (Opcional) Proporcione el nombre completo, la dirección de correo electrónico, el número de teléfono y una descripción
del usuario en el cuadro de texto Notas.
6. Decida si el usuario será administrador o seleccione los conjuntos de permisos adecuados.
7. Haga clic en Guardar para volver a la ficha Usuarios.
Resultados
El nuevo usuario aparece en la lista Usuarios de la página Administración de usuarios.
Creación de un conjunto de permisos de McAfee DLP
Los conjuntos de permisos definen diferentes roles de administrador y revisor en el software de McAfee DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → Gestión de usuarios → Conjuntos de permisos.
2. Seleccione un conjunto de permisos predefinido y haga clic en Nuevo conjunto de permisos para crear un conjunto de
permisos o en Importar para importar un conjunto de permisos.
3. En la sección Prevención de fuga de datos, haga clic en Editar.
a. En el panel de la izquierda, seleccione un módulo de protección de datos.
Administración de incidentes, Eventos operativos y Administración de casos se pueden activar por separado. Otras
opciones crean automáticamente los grupos predefinidos.
b. Edite las opciones y omita permisos según sea necesario.
El Catálogo de directivas no dispone de opciones que se puedan editar. Si va a asignar el Catálogo de directivas a un
conjunto de permisos, puede editar los submódulos del grupo Catálogo de directivas.
c. Haga clic en Guardar.
Caso práctico: permisos de administrador de DLP
Puede separar las tareas de administrador según sea necesario para, por ejemplo, crear un administrador de directivas sin
responsabilidades de revisión de eventos.

Procedimiento
2. Haga clic en Nuevo conjunto de permisos para crear un conjunto de permisos.
a. Introduzca un nombre para el conjunto y seleccione los usuarios.
Para editar una directiva, el usuario debe ser el propietario o bien un miembro del conjunto de permisos de
administrador global.
b. Haga clic en Guardar.
3. En el conjunto de permisos Data Loss Prevention, seleccione Catálogo de directivas.
Note
Gestor de directivas de DLP, Clasificaciones y Definiciones se seleccionan automáticamente.
4. En cada uno de los tres submódulos, compruebe que el usuario dispone de permisos y acceso totales.
La configuración predeterminada es Permisos totales.
Resultados
El administrador ya puede crear y cambiar las directivas, las reglas, las clasificaciones y las definiciones.
Caso de uso: limitar la visualización del Administrador de incidentes de DLP con permisos de
redacción
Para proteger la información confidencial y cumplir con los requisitos legales de algunos mercados, McAfee DLP Endpoint ofrece
una función de redacción de datos.
Cuando se utiliza la redacción de datos, los campos específicos de las pantallas Administrador de incidentes de DLP y
Operaciones de DLP, que contienen información confidencial, se cifran para evitar la visualización no autorizada, y se ocultan los
vínculos a las pruebas.
Note
Los campos nombre de equipo y nombre de usuario están predefinidos como privados.
En este ejemplo se muestra cómo configurar los permisos del Gestor de incidentes de DLP para un revisor de redacción: un
único gestor que no puede ver los incidentes reales, pero que puede revelar los campos cifrados cuando sea necesario para que
otro revisor vea el incidente.
Procedimiento
2. Cree conjuntos de permisos para los revisores habituales y para el revisor de redacción.
a. Haga clic en Nuevo conjunto de permisos.
b. Introduzca un nombre para el grupo, como Revisor de incidentes de DLPE o Revisor de redacción.

Note
Puede asignar distintos tipos de incidentes a diferentes grupos de revisores. Debe crear los grupos en Conjuntos
de permisos antes de poder asignarles incidentes.
c. Asigne usuarios al grupo, ya sea de usuarios disponibles de McAfee ePO o mediante la asignación de usuarios o
grupos de Active Directory al conjunto de permisos. Haga clic en Guardar.
El grupo aparece en la lista Conjuntos de permisos del panel izquierdo.
3. Seleccione un conjunto de permisos de revisor estándar y, a continuación, haga clic en Editar, en la sección Data Loss
Prevention.
a. En el panel izquierdo, seleccione Gestión de incidentes.
b. En la sección Revisor de incidentes, seleccione El usuario puede ver los incidentes asignados a los siguientes
conjuntos de permisos, haga clic en el icono de elegir y seleccione el conjunto o los conjuntos de permisos
pertinentes.
c. En la sección Redacción de datos de incidentes, anule la selección del valor predeterminado Permiso de
supervisor y seleccione la opción Ocultar datos confidenciales de incidentes.
Al seleccionar esta opción, se activa la función de redacción. Al anular la selección, se muestran todos los campos de
datos en texto no cifrado.
d. En la sección Tareas de incidentes, seleccione o anule la selección de las tareas según proceda.
e. Haga clic en Guardar.
4. Seleccione el conjunto de permisos de revisor de redacción y, a continuación, haga clic en Editar, en la sección Data
Loss Prevention.
a. En el panel izquierdo, seleccione Gestión de incidentes.
b. En la sección Revisor de incidentes, seleccione El usuario puede ver todos los incidentes.
Note
En este ejemplo, se asume un único revisor de redacción para todos los incidentes. También puede asignar
diferentes revisores de redacción a distintos conjuntos de incidentes.
c. En la sección Redacción de datos de incidentes, seleccione las opciones Permiso de supervisor y Ocultar datos
confidenciales de incidentes.
d. En la sección Tareas de incidentes, anule la selección de todas las tareas.
Note
Los revisores de redacción no suelen tener otras tareas de revisor. Esto es opcional de acuerdo con sus requisitos
específicos.

5. Ajuste la información que desee ocultar desde Configuración de DLP → Gestión de incidentes.
a. En la sección Campos de redacción, haga clic en Editar.
b. Elija campos específicos que desee que se redacten en la pantalla del administrador de incidentes de DLP.

c. Haga clic en Aceptar.
Creación de un conjunto de permisos de DLP Help Desk
Asigne permisos de Help Desk a un grupo de conjunto de permisos.
Procedimiento
2. Seleccione un conjunto de permisos predefinido y haga clic en Nuevo conjunto de permisos para crear un conjunto de
permisos o en Importar para importar un conjunto de permisos.
3. En la sección Acciones de DLP Help Desk, haga clic en Editar.
4. Seleccione la clave o las claves que puede generar el administrador.
La opción Generar clave de respuesta global estará disponible cuando se haya seleccionado al menos otra clave.
Control de acceso a las funciones de los appliances de McAfee DLP

Utilice Conjuntos de permisos de McAfee ePO para controlar qué roles de su organización tienen acceso al appliance de McAfee
DLP, así como a las directivas y los ajustes de Gestión de appliances.
Restricción de la visualización de appliances en el Árbol de sistemas
Utilice la opción Ningún permiso para restringir la visualización de appliances por parte de los usuarios en el Árbol de
sistemas, así como la visualización o edición de las directivas.
Procedimiento
2. Seleccione el conjunto de permisos cuyos roles desee editar.
3. Seleccione Ningún permiso y haga clic en Guardar.
Permitir que los usuarios editen las directivas de Gestión de appliances
Configure el rol para permitir que los usuarios vean y modifiquen los ajustes de directivas y tareas.
Procedimiento
3. Seleccione Ver y modificar los ajustes de directivas y tareas, y haga clic en Guardar.
Resultados
Los usuarios seleccionados pueden ver y modificar los ajustes de directiva de Gestión de appliances de McAfee DLP.
Control de acceso a las funciones de Gestión de appliances
En el caso de los appliances de McAfee DLP, puede aplicar dos roles para acceder a las funciones de Gestión de appliances.

• Directiva común de Gestión de appliances: controla quién puede ver o cambiar la directiva de Ajustes generales de
gestión de appliances en el Catálogo de directivas.
• Gestión de appliances: controla quién puede ver las estadísticas y tareas de la gestión de appliances, y quién puede
crear y ejecutar las tareas de la base de datos.
Permitir que los usuarios vean las estadísticas de Gestión de appliances
Permita que los usuarios de un conjunto de permisos seleccionado vean el mantenimiento y las estadísticas del sistema en el
panel Gestión de appliances (Sistemas → Gestión de appliances).
Procedimiento
3. Seleccione el rol Gestión de appliances y haga clic en Editar.
4. En Estado y estadísticas del appliance, seleccione Ver estado y estadísticas y haga clic en Guardar.
Resultados
Los usuarios seleccionados pueden ver las estadísticas y el mantenimiento del sistema de los appliances en el panel
Gestión de appliances.
Restricción de la visualización de las opciones de Ajustes generales de gestión de appliances

por parte de los usuarios
Los ajustes de directiva de Ajustes generales de gestión de appliances permiten que los usuarios establezcan la fecha y la hora
del appliance, añadan servidores DNS y rutas estáticas, permitan el inicio de sesión remoto mediante SSH y añadan uno o más
servidores de registro remoto.
Procedimiento
1. En McAfee ePO, Menú → Gestión de usuarios → Conjuntos de permisos.
3. Haga clic en Editar junto a la Directiva común de Gestión de appliances.
4. Seleccione Ningún permiso y haga clic en Guardar.
Resultados
Se han eliminado los permisos de visualización para los usuarios seleccionados.
Funciones de McAfee ePO

McAfee DLP utiliza las siguientes funciones de McAfee ePO.
Important
Debe disponer de los permisos apropiados para acceder a la mayoría de funciones.

Función de McAfee ePO Adición
Acciones Acciones que puede realizar desde el Árbol de

sistemas o utilizar para personalizar las respuestas
automáticas.
Tareas cliente (solo McAfee DLP Endpoint)

Tareas cliente que puede usar para automatizar la
administración y el mantenimiento en los sistemas
cliente.
Paneles Paneles y monitores que puede usar para realizar un

seguimiento de su entorno.
Eventos y respuestas
• Eventos para los que se pueden configurar
respuestas automáticas.
• Grupos de evento y tipos de evento que puede
usar para personalizar las respuestas automáticas.
Propiedades de sistema gestionado Propiedades que puede revisar en el Árbol de

sistemas o utilizar para personalizar las consultas.
Conjuntos de permisos Disponible en todos los conjuntos de permisos

existentes:
• Data Loss Prevention

• Directiva de administración de appliances de DLP
• Acciones de DLP Help Desk
Directivas Las categorías de la directiva de appliance Directiva

de DLP, Configuración de cliente de Windows y
Configuración de cliente de Mac OS X para McAfee
DLP Endpoint, Configuración del servidor para
McAfee DLP Discover y McAfee DLP en el grupo de
productos Data Loss Prevention <versión>.
Consultas e informes
• Consultas predeterminadas que puede usar para
ejecutar informes.

Función de McAfee ePO Adición
• Grupos de propiedades personalizados basados en

propiedades de sistemas gestionados que puede
usar para crear sus propios informes y consultas.
Tareas servidor Entre las tareas servidor de McAfee DLP Endpoint

se incluyen el Gestor de incidentes de DLP y
las Operaciones de DLP. Utilice la tarea Acumular
datos con objeto de acumular incidentes, eventos
operativos o datos de descubrimiento de endpoints
de McAfee DLP desde los servidores de McAfee ePO
seleccionados para generar un único informe. Utilice
la tarea Detectar servidores de descubrimiento con
McAfee DLP Discover y la tarea LdapSync con los
appliances de McAfee DLP.
Protección de datos Se utiliza para configurar, gestionar y supervisar

McAfee DLP.
Si desea obtener información adicional acerca de estas funciones, consulte la documentación de McAfee ePO.

4| Clasificación de contenido de carácter confidencial
Clasificación de contenido de carácter confidencial

Identificación y rastreo de contenido con clasificaciones
McAfee DLP utiliza clasificaciones definidas por el usuario para identificar y rastrear el contenido de carácter confidencial y de
los archivos en las reglas de descubrimiento y protección de datos.
McAfee DLP utiliza dos mecanismos y dos modos para clasificar el contenido de carácter confidencial.
Los dos modos son la clasificación automática y la clasificación manual.
• Las clasificaciones automáticas se definen en McAfee DLP y se distribuyen mediante McAfee ePO en las directivas
desplegadas. A continuación, se pueden aplicar al contenido con las reglas de protección de datos o de descubrimiento.
• Los usuarios autorizados aplican clasificaciones manuales a archivos y correos electrónicos en sus equipos. El cuadro de
diálogo de clasificación manual se admite en McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac.
Note
McAfee DLP Prevent y McAfee DLP Monitor pueden implementar reglas de protección de datos en función de las
clasificaciones manuales, pero no pueden verlas ni establecerlas.
Los dos mecanismos son las clasificaciones de contenido y la identificación por huellas digitales de contenido.
Note
McAfee DLP Endpoint solo admite clasificaciones de contenido.
• Las clasificaciones de contenido se aplican de forma diferente para las clasificaciones automáticas y para las
clasificaciones manuales
Para la clasificación automática, los criterios de clasificación se comparan con el contenido cada vez que se
activa una regla.
En cuanto a la clasificación manual, la clasificación está incrustada como una etiqueta física dentro del archivo o
• Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o en el flujo de datos
alternativo (ADS) de un archivo, o bien en una carpeta oculta (ODB$).
Todos los productos de McAfee DLP admiten clasificaciones de contenido, es decir, pueden aplicarlas asignándolas a reglas de
descubrimiento o de protección de datos.
Durante el despliegue, McAfee DLP muestra muchas clasificaciones predefinidas. Las clasificaciones predefinidas incluyen, entre
otras, las clasificaciones de datos personales específicas para distintos países de la Unión Europea, que se pueden utilizar para la
precisión de la detección, específicamente cuando se analizan los datos personales de ciudadanos de la Unión Europea.

Puede utilizar clasificaciones predefinidas como en las reglas de protección pero, si desea personalizar una clasificación, debe
duplicarla previamente. Las clasificaciones reducen los falsos positivos.
El módulo Clasificación de McAfee DLP almacena criterios de clasificación e identificación por huellas digitales de contenido,
así como las definiciones utilizadas para configurarlos. También es allí donde se configuran los repositorios de los documentos
registrados, la autorización del usuario para la clasificación manual y el texto ignorado.
El módulo proporciona las funciones siguientes:
• Clasificación manual: configura los grupos de usuarios a quienes se permite identificar por huellas digitales o clasificar
de forma manual el contenido.
• Definiciones: define el contenido, las propiedades y la ubicación de los archivos para la clasificación.
• Clasificación: crea clasificaciones y define los criterios de clasificación e identificación por huellas digitales de contenido.
• Probador de clasificación: prueba las clasificaciones comprobando si una fase o un archivo desencadena las
clasificaciones.
• Registrar documentos: carga archivos que contienen contenido conocido como de carácter confidencial para su
distribución a los endpoints; muestra la información del análisis de registro de McAfee DLP Discover.
• Texto ignorado: carga archivos que contienen texto ignorado para su distribución a los endpoints.
Clasificación del contenido
Las clasificaciones de contenido incluyen condiciones de archivo y datos que definen el contenido de carácter confidencial. En
el caso de la clasificación automática, los criterios de clasificación se comparan con el contenido cada vez que se activa una
regla de protección de datos, de descubrimiento de endpoint o de McAfee DLP Discover. En cuanto a la clasificación manual,
la clasificación está incrustada como una etiqueta física dentro del archivo o correo electrónico. Las clasificaciones de contenido
manuales son persistentes y permanecen en el archivo cuando este se copia en el almacenamiento, se adjunta a un correo
electrónico o se carga en un sitio web como SharePoint.
Las clasificaciones de contenido automáticas son compatibles con todos los productos de McAfee DLP. Las reglas de protección
de datos basadas en las clasificaciones manuales se implementan en todos los productos de McAfee DLP, pero únicamente
McAfee DLP Endpoint (para las versiones Windows y Mac) cuanta con el cuadro de diálogo de clasificación manual que permite a
los usuarios clasificar archivos.
Los criterios de clasificación de contenido identifican patrones de texto de carácter confidencial, diccionarios y palabras clave,
ya sean solas o en combinaciones. Las combinaciones pueden ser varias propiedades especificadas o propiedades con una
relación definida que se conoce como proximidad. También pueden especificar las condiciones del archivo, por ejemplo, el tipo,
el cifrado, las propiedades del documento o la ubicación en el archivo (encabezado/cuerpo/pie de página).
Huellas digitales de contenido

Los productos de McAfee DLP utilizan las huellas digitales de contenido de las formas siguientes:
• McAfee DLP Endpoint for Windows puede aplicar las huellas digitales de contenido a las reglas de protección de datos e
implementar las reglas.
• McAfee DLP Prevent y McAfee DLP Monitor pueden implementar huellas digitales de contenido en reglas, pero no
pueden aplicarlas al contenido.

• McAfee DLP Discover puede utilizar los criterios de clasificación de huellas digitales de contenido de Ubicación,
SharePoint o Box en los análisis de registro, pero no puede utilizarlos o aplicarlos en los análisis de clasificación o
de corrección.
Los criterios de identificación por huellas digitales de contenido se aplican a los archivos o al contenido en función de una de las
siguientes opciones:
• Aplicación: la aplicación que ha creado o modificado el archivo.

• Ubicación: el recurso compartido de red o la definición del almacenamiento extraíble donde se almacena el archivo.
• Basado en web: las direcciones web desde las que se abrieron o descargaron los archivos.
Todas las condiciones de archivos y de datos disponibles para los criterios de clasificación también lo están para los de
identificación por huellas digitales de contenido, lo que permite que las huellas digitales combinen la funcionalidad de ambos
tipos de criterios.
Las firmas de huellas digitales de contenido se almacenan en los atributos extendidos (EA) o en los flujos de datos alternativos
(ADS) de un archivo, o bien en una carpeta oculta (ODB$). Puede seleccionar la tecnología que prefiera en la página de
configuración del cliente de Windows Rastreo de contenido. Se aplican a un archivo cuando se guarda. El mecanismo es
el mismo que el de las huellas digitales de contenido automáticas o manuales. Si un usuario copia o mueve contenido
identificado por huellas digitales a otro archivo, los criterios de identificación por huellas digitales se aplican a ese archivo.
Si el contenido identificado por huellas digitales se elimina del archivo, también lo hacen las firmas de huellas digitales de
contenido correspondientes. Si el archivo se copia en un sistema que no es compatible con EA o ADS (como SharePoint), los
criterios de identificación por huellas digitales se pierden.
Note
McAfee DLP Endpoint aplica los criterios de identificación por huellas digitales de contenido a los archivos tras la aplicación
de una directiva, independientemente de si se utiliza o no la clasificación en una regla de protección.
Aplicación de los criterios de clasificación

McAfee DLP aplica los criterios a un archivo, un correo electrónico o una solicitud web de una de las siguientes maneras:
• McAfee DLP Prevent aplica los criterios cuando un correo electrónico o solicitud web coincide con una clasificación
configurada.
• McAfee DLP Monitor aplica los criterios cuando el tráfico de red coincide con una clasificación configurada.
• McAfee DLP Endpoint aplica los criterios en los siguientes supuestos:
El archivo coincide con una clasificación configurada.
El archivo o contenido de carácter confidencial se mueve a una nueva ubicación o se copia en esta.
Se encuentra la coincidencia de un archivo durante un análisis de descubrimiento.
Un correo electrónico o una solicitud web coinciden con una clasificación configurada.
• Un usuario con permisos aplica los criterios a un archivo de forma manual.

Cómo se categorizan las aplicaciones
Cómo categoriza McAfee DLP las aplicaciones que se utilizan en las clasificaciones y los conjuntos de reglas que pueden afectar
al rendimiento del sistema.
Note
McAfee DLP Endpoint for Mac no admite la categorización.
McAfee DLP divide las aplicaciones en cuatro categorías llamadas estrategias. Estas categorías o estrategias afectan al modo
en que el software funciona con las diferentes aplicaciones. Puede cambiar la estrategia para conseguir un equilibrio entre la
seguridad y el rendimiento del equipo.
Las estrategias, en orden decreciente de seguridad, son las que se indican a continuación:
• Editor: Cualquier aplicación que pueda modificar contenido de archivos. En esta categoría se engloban los editores
“clásicos”, como Microsoft Word y Microsoft Excel, así como navegadores, software de edición de gráficos, software de
contabilidad, etc. La mayor parte de las aplicaciones son editores. El cliente de McAfee DLP Endpoint analiza siempre los
archivos abiertos o creados por editores.
• Explorador: una aplicación que copia o mueve archivos sin cambiarlos, como Microsoft Windows Explorer o
determinadas aplicaciones del shell.
• De confianza: una aplicación que necesita acceso sin restricciones a los archivos para realizar análisis. Por ejemplo,
McAfee® VirusScan® Enterprise o el software de copia de seguridad. Utilice la estrategia de confianza cuando desee
asegurarse de que el cliente de McAfee DLP Endpoint no analiza los archivos abiertos o creados por la aplicación.
• Archivador: una aplicación que puede volver a procesar archivos. Por ejemplo, software de compresión de archivos
como WinZip y aplicaciones de cifrado como el software de McAfee Endpoint Encryption o PGP.
Cómo trabajar con las estrategias DLP
Las estrategias de aplicación se establecen en la página Plantilla de aplicación en Gestor de directivas de DLP → Definiciones.
Utilice las plantillas integradas o cree sus propias plantillas personalizadas.
Note
No es posible editar estrategias en las plantillas integradas. Puede crear omisiones en la página Directiva de DLP →
Configuración → Estrategia de aplicación. Cree y elimine omisiones según sea necesario para experimentar con el ajuste de
la directiva.
Cambie la estrategia según sea necesario para optimizar el rendimiento. Por ejemplo, el alto nivel de observación que recibe
una aplicación de editor no es coherente con el procesamiento frecuente de software de copia de seguridad. La penalización de
rendimiento es alta y el riesgo de fuga de datos de una aplicación de este tipo es bajo, por lo que no se recomienda utilizar la
estrategia de confianza con estas aplicaciones.
También puede crear más de una plantilla para una aplicación y asignarle más de una estrategia. Use plantillas diferentes
en clasificaciones y reglas distintas para lograr resultados diversos en contextos diferentes. Sea cuidadoso al asignar dichas

plantillas a los conjuntos de reglas para evitar conflictos. McAfee DLP resuelve los posibles conflictos conforme a la jerarquía
siguiente: archivador > de confianza > explorador > editor. O lo que es lo mismo, el editor se encuentra en la posición más baja.
Si una aplicación es un editor en una plantilla y cualquier otro elemento en otra plantilla del mismo conjunto de reglas, McAfee
DLP no trata la aplicación como editor.
Estrategia de confianza frente a procesos ignorados

McAfee DLP utiliza dos mecanismos para omitir el procesamiento de archivos cuando no se necesita ningún análisis.
La estrategia de confianza es el mecanismo general que debe utilizar para asegurarse de que el cliente de McAfee DLP
Endpoint no analice los archivos abiertos o creados por la aplicación. Use este mecanismo para aplicaciones que siempre
necesiten acceso sin restricciones a los archivos.
Los procesos ignorados se utilizan para crear excepciones a las reglas. Las direcciones URL ignoradas crean excepciones para
las reglas de protección web. Puede añadir aplicaciones a la lista de ignorados para crear excepciones en el portapapeles y
reglas de protección de la impresora, así como para definir excepciones para el rastreo de contenido durante la creación de
huellas digitales de contenido.
Clasificación en función del destino de los archivos

Además de clasificar el contenido por su ubicación de origen, puede clasificar y controlar dónde se envía el contenido. En el
lenguaje de prevención de fuga de datos, esto se conoce como datos en movimiento.
Las reglas de protección de archivos que controlan los destinos incluyen:
• Reglas de protección en la nube

• Reglas de protección de correo electrónico
• Reglas de protección de comunicaciones de la red (salientes)
Note
Las reglas de protección de comunicaciones de la red de datos pueden ser entrantes, salientes o de ambos tipos.
Para la clasificación por destino, solo son relevantes las reglas salientes.
• Reglas de protección contra impresión

• Reglas de protección de almacenamiento extraíble
• Reglas de protección web
Protección del contenido de correo electrónico con clasificaciones
McAfee DLP Endpoint protege los datos de carácter confidencial de los encabezados, el cuerpo o los datos adjuntos de los
correos electrónicos cuando se envían. El descubrimiento de almacenamiento de correo electrónico detecta correos electrónicos
con datos de carácter confidencial en archivos OST o PST, y los etiqueta o los pone en cuarentena.
McAfee DLP Endpoint protege el contenido de carácter confidencial de los correos electrónicos añadiendo clasificaciones de
contenido y bloqueando el envío de correos electrónicos con contenido de carácter confidencial. La directiva de protección de

correo electrónico puede especificar reglas diferentes para usuarios y destinos de correo electrónico distintos, o para los correos
electrónicos protegidos con el cifrado o la administración de derechos. Es posible activar reglas para McAfee DLP Endpoint
para Windows, para McAfee DLP Prevent o para ambos. Las clasificaciones manuales añadidas por los usuarios de McAfee DLP
Endpoint para Windows se admiten en los appliances de McAfee DLP.
Supervisar o bloquear mensajes de correo electrónico confidenciales
McAfee DLP Endpoint protege los datos de carácter confidencial de los encabezados, del cuerpo o de los datos adjuntos de los
correos electrónicos cuando se envían. El descubrimiento de almacenamiento de correo electrónico detecta correos electrónicos
con datos de carácter confidencial en archivos OST o PST, y los etiqueta o los pone en cuarentena.
McAfee DLP Endpoint protege el contenido de carácter confidencial del correo electrónico añadiendo clasificaciones de
contenido y bloqueando el envío de correos electrónicos con contenido de carácter confidencial. La directiva de protección
de correo electrónico puede especificar reglas diferentes para usuarios y destinos de correo electrónico distintos, o para los
correos electrónicos protegidos con el cifrado o la gestión de derechos. Es posible habilitar reglas para McAfee DLP Endpoint
for Windows, para McAfee DLP Prevent o para ambos. Las clasificaciones manuales añadidas por los usuarios de McAfee DLP
Endpoint para Windows se admiten en los appliances de McAfee DLP.
Definir parámetros de red
Las definiciones de red funcionan como criterios de filtrado en las reglas de protección de la red.
• Las Direcciones de red supervisan las conexiones de red entre un origen externo y un equipo gestionado. La definición
puede ser una sola dirección, un intervalo o una subred. Puede incluir y excluir a direcciones de red definidas en reglas
de protección de comunicaciones de la red.
• Las definiciones de Puerto de red en las reglas de protección de comunicaciones de la red le permiten excluir servicios
específicos según lo definido por los puertos de red. Se integra una lista de servicios comunes y sus puertos. Puede
editar los elementos de la lista o crear sus propias definiciones.
• Las definiciones de Recurso compartido de red especifican las carpetas de red compartidas en las reglas de protección
de recurso compartido de red. Puede incluir o excluir los recursos compartidos definidos.
Uso con impresoras
Las reglas de protección contra impresión gestionan impresoras locales y de red, y bloquean o supervisan la impresión de
material confidencial.
Las reglas de protección contra impresión de McAfee DLP Endpoint admiten el modo avanzado y son compatibles con las
impresoras V4. Los usuarios finales y las impresoras definidos pueden incluirse o excluirse de una regla. En la regla se pueden
incluir impresoras de imágenes y en PDF.
Las reglas de protección de impresoras pueden incluir definiciones de aplicaciones. Puede definir los procesos ignorados que
están exentos de las reglas de protección contra impresión en la página Protección contra impresión de la Configuración de
cliente de Windows.

Control de la información cargada en sitios web
Las direcciones web se utilizan en las reglas de protección web y las reglas de control de aplicaciones web.
Puede utilizar las definiciones de direcciones web (URL) para evitar que los datos marcados se publiquen en los destinos web
definidos (sitios web o páginas concretas de un sitio web), o bien para impedir que se publiquen en sitios web no definidos.
Generalmente, las definiciones de direcciones web establecen los sitios web internos y externos en los que se admite la
publicación de datos marcados.
Clasificación por ubicación de archivo

El contenido de carácter confidencial puede definirse por dónde está almacenado (ubicación) o dónde se usa (extensión de
archivo o aplicación).
McAfee DLP Endpoint utiliza varios métodos para ubicar y clasificar el contenido de carácter confidencial. Datos en reposo es
el término utilizado para describir las ubicaciones de los archivos. Clasifica el contenido planteando preguntas como "¿dónde se
encuentra en la red?" o "¿en qué carpeta se encuentra?" Datos en uso es el término utilizado para definir el contenido por cómo
y dónde se utiliza. Clasifica el contenido planteando preguntas como "¿qué aplicación lo solicitó?" o "¿cuál es la extensión del
archivo?"
Las reglas de la función de descubrimiento de McAfee DLP Endpoint encuentran sus datos en reposo. Pueden buscar contenido
de archivos de equipos de endpoint o archivos de almacenamiento de correo electrónico (PST, PST asignado y OST). En
función de las propiedades, aplicaciones o ubicaciones de la clasificación de la regla, esta puede buscar en ubicaciones de
almacenamiento concretas y aplicar políticas de cifrado, cuarentena o administración de registros. Asimismo, los archivos se
pueden etiquetar o clasificar para controlar cómo se usan.
Extracción de texto
El extractor de texto analiza el contenido cuando se abren o se copian archivos y los compara con los patrones de texto y
las definiciones de diccionarios de las reglas de clasificación. Cuando se produce una coincidencia, se aplican los criterios al
contenido.
McAfee DLP es compatible con los caracteres acentuados. Cuando un archivo de texto ASCII contiene una mezcla de caracteres
acentuados, como los que existen en francés y español, además de otros caracteres latinos estándar, es posible que el
extractor de texto no identifique correctamente el conjunto de caracteres. Este problema se produce en todos los programas de
extracción de texto. En este caso, no se conoce ningún método o técnica para identificar la página de código ANSI. Cuando el
extractor de texto no es capaz de identificar la página de código, no se reconocen los patrones de texto ni las firmas de huella
digital en contenido. El documento no se puede clasificar correctamente y, por tanto, no es posible llevar a cabo las medidas
de supervisión o bloqueo correctas. Para solventar este problema, McAfee DLP utiliza una página de código de respaldo. Como
respaldo, actúa el idioma predeterminado del equipo o bien otro diferente establecido por el administrador.
Extracción de texto con McAfee DLP Endpoint

La extracción de texto se puede utilizar en los equipos Microsoft Windows y Apple OS X.

El extractor de texto puede ejecutar varios procesos en función del número de núcleos del procesador.
• Un procesador de un núcleo solo ejecuta un proceso.

• Un procesador de dos núcleos ejecuta hasta dos procesos.
• Un procesador de varios núcleos ejecuta hasta tres procesos a la vez.
Si varios usuarios han iniciado sesión, cada uno contará con su propio conjunto de procesos. Así pues, el número de
extractores de texto depende del número de núcleos y de sesiones de usuario. Se pueden consultar los diversos procesos
en el Administrador de tareas de Windows. Puede configurar el uso máximo de la memoria del extractor de texto. El valor
predeterminado es 75 MB.
Clasificación del contenido con definiciones de diccionario

Un diccionario es una recopilación de palabras o expresiones clave en la que cada entrada tiene una calificación asignada. El
contenido de carácter confidencial se compara con las entradas del diccionario y se clasifica según la calificación.
Los criterios de clasificación e identificación por huellas digitales de contenido utilizan los diccionarios especificados para
clasificar un documento si se supera un umbral definido (calificación total), es decir, si aparecen en el documento suficientes
palabras del diccionario. Las calificaciones asignadas pueden ser negativas o positivas, lo que permite buscar palabras o
expresiones en presencia de otras palabras o expresiones.
La diferencia entre un diccionario y una cadena en una definición de palabra clave es la calificación asignada.
• Una clasificación por palabra clave siempre etiqueta el documento si la expresión está presente.
• Una clasificación de diccionario ofrece más flexibilidad, ya que permite establecer un umbral al aplicar la definición, lo
que hace que la clasificación sea relativa. El umbral puede llegar hasta 1000. También puede elegir cómo se cuentan
las coincidencias: Contar varias repeticiones de cada cadena coincidente aumenta el recuento con cada coincidencia,
mientras que Contar cada cadena coincidente una sola vez cuenta cuántas entradas del diccionario coinciden con el
documento.
El software de McAfee DLP incluye varios diccionarios integrados con términos utilizados habitualmente en los ámbitos de la
sanidad, la banca, las finanzas y otros sectores. También puede crear sus propios diccionarios y editarlos manualmente, o copiar
y pegar desde otros documentos.
Limitaciones
Existen algunas limitaciones para el uso de diccionarios. Los diccionarios se guardan en Unicode (UTF-8) y se pueden escribir en
cualquier idioma. Las siguientes descripciones se aplican a los diccionarios escritos en inglés. Por lo general, las descripciones se
aplican a otros idiomas, pero pueden existir problemas imprevistos en ciertos idiomas.
Las coincidencias con diccionarios tienen las siguientes características:
• Solo distinguen entre mayúsculas y minúsculas cuando se crean entradas de diccionario que las distinguen. Los
diccionarios integrados creados antes de que esta función estuviera disponible no distinguen entre mayúsculas y
minúsculas.
• De forma opcional, puede buscar coincidencias con subcadenas o expresiones completas.

• Hace coincidir las expresiones, incluidos los espacios.

Si se especifica la coincidencia con subcadenas, tenga cuidado al introducir palabras cortas debido a la posible aparición
de falsos positivos. Por ejemplo, la entrada de "sal" en el diccionario indicaría "saltar" y "asalto". A fin de evitar falsos
positivos de este tipo, utilice la opción de coincidencia con toda la expresión o use expresiones improbables desde el punto
de vista estadístico a fin de obtener los mejores resultados. Las entradas similares son otra fuente de falsos positivos. Por
ejemplo, en algunos listados de enfermedades de la HIPAA (Health Insurance Portability and Accountability Act), "celíaco" y
"enfermedad celíaca" aparecen como entradas independientes. Si el segundo término aparece en un documento y se especifica
la coincidencia de subcadenas, produce dos aciertos (uno por cada entrada) y sesga la calificación final.
Clasificación del contenido con las definiciones de patrones

avanzados
Los patrones avanzados utilizan expresiones regulares (regex) que permiten la coincidencia de patrones complejos, por ejemplo,
en números de la seguridad social o números de tarjetas de crédito. Las definiciones utilizan la sintaxis de expresiones regulares
de Google RE2.
Las definiciones de patrones avanzados incluyen una calificación (obligatoria), como con las definiciones de diccionario.
Además, pueden incluir un validador opcional: un algoritmo utilizado para probar las expresiones regulares. El uso del
validador adecuado también puede reducir los falsos positivos de manera significativa. La definición puede incluir una
sección Expresiones ignoradas opcional para continuar reduciendo los falsos positivos. Las expresiones ignoradas pueden ser
expresiones regex o palabras clave. Puede importar varias palabras clave para agilizar la creación de expresiones.
A fin de garantizar la conformidad con las normativas gubernamentales recientes y simplificar la detección de información
personal, se han agregado más definiciones de patrones avanzados integradas. Además, también se han agregado muchos
algoritmos de validación.
Important
Cuando se trabaja con productos de McAfee DLP anteriores, la evaluación de un patrón avanzado en combinación con una
expresión regular puede generar un falso positivo. Cuando el producto de McAfee DLP anterior ya no es compatible con el
nuevo algoritmo de validación, se omite el algoritmo de validación. Si la expresión regular coincide, pero el valor no es válido
según el algoritmo de validación, la coincidencia positiva indicada es un falso positivo.
A la hora de definir un patrón avanzado, se puede elegir cómo se contarán las coincidencias: Contar varias repeticiones de cada
cadena coincidente aumenta el recuento con cada coincidencia, mientras que Contar cada cadena coincidente una sola vez
cuenta cuántos patrones definidos tienen una coincidencia exacta en el documento.
Los patrones avanzados indican texto de carácter confidencial. Los patrones de texto de carácter confidencial se redactan en
pruebas subrayadas.

Note
Si se especifica un patrón de coincidencia y otro que se ignora, tiene prioridad el patrón ignorado. Esto permite especificar una
regla general y agregarle excepciones sin que se reescriba la regla general.
Clasificación de contenido con propiedades de documento o

información de archivo
Las definiciones de propiedades de documento clasifican el contenido por valores de metadatos predefinidos. Las definiciones
de información de archivo clasifican el contenido por metadatos de archivo.
Propiedades del documento

Las propiedades del documento se pueden recuperar desde cualquier documento de Microsoft Office o archivo. pdf, y se
pueden utilizar en definiciones de clasificación. Se admite la coincidencia parcial mediante la comparación Contiene.
Existen tres tipos de propiedades de documento.
• Propiedades predefinidas: propiedades estándar, tales como autor y título.

• Propiedades personalizadas: algunas aplicaciones, como Microsoft Word, permiten que las propiedades personalizadas
se agreguen a los metadatos del documento. Una propiedad personalizada también puede hacer referencia a una
propiedad de documento estándar que no se encuentra en la lista de propiedades predefinidas, pero no puede duplicar
una propiedad que está en la lista.
• Cualquier propiedad: permite definir una propiedad solo por valor. Esta función resulta útil en los casos en los que
se ha introducido la palabra clave en el parámetro de propiedad incorrecto o cuando el nombre de la propiedad es
desconocido. Por ejemplo, agregar el valor Secreto al parámetro Cualquier propiedad clasifica todos los documentos que
tienen la palabra Secreto en al menos una propiedad.
Información del archivo
Las definiciones de información del archivo se utilizan en las reglas de protección de datos y descubrimiento, así como en
las clasificaciones, a fin de aumentar la granularidad. La información del archivo incluye la fecha de creación, la fecha de
modificación, el propietario del archivo y el tamaño del archivo. Las propiedades de fecha tienen las opciones de fecha exacta
(antes, después, entre) y relativa (en los últimos X días, semanas, años). Tipo de archivo (solo extensiones) es una lista de
extensiones de archivo predefinida y extensible.
Note
Las condiciones de archivo Fecha de acceso, Fecha de creación, Fecha de modificación Propietario del archivo no se
incluyen en el archivo y, por lo tanto, no se pueden detectar. Las condiciones se pierden cuando el archivo está en
movimiento o al cargarlo en la nube o en un sitio web.

Ventajas de utilizar plantillas para definir los criterios de

identificación por huellas digitales de contenido
Una plantilla de aplicación controla aplicaciones específicas mediante propiedades como el nombre del producto o el proveedor,
el nombre del archivo ejecutable o el título de la ventana.
Se puede definir una plantilla de aplicación para una única aplicación o un grupo de aplicaciones similares. Existen plantillas
integradas (predefinidas) para diversas aplicaciones habituales como Windows Explorer, navegadores web, aplicaciones de
cifrado y clientes de correo electrónico.
En la definición de plantilla de la aplicación se incluye un campo con una casilla de verificación para sistemas operativos. El
análisis de archivos asignados a la memoria es una función solo de Windows y se desactiva de forma automática cuando se
seleccionan las aplicaciones OS X.
Las plantillas de aplicaciones para Microsoft Windows pueden utilizar cualquiera de los parámetros siguientes:
• Línea de comandos: permite argumentos de línea de comandos, por ejemplo, java-jar, que pueden controlar
aplicaciones que antes eran incontrolables.
• Directorio ejecutable: el directorio en el que se ubica el archivo ejecutable. Un uso de este parámetro es controlar las
aplicaciones U3.
• Hash del archivo ejecutable: el nombre para mostrar de la aplicación, con un hash SHA-2 identificador.
• Nombre del archivo ejecutable: normalmente es el mismo que el nombre para mostrar (excepto el hash SHA-2), pero
puede ser diferente si se modifica el nombre del archivo.
• Nombre del archivo ejecutable original: idéntico al nombre del archivo ejecutable, a menos que se haya modificado el
nombre del archivo.
• Nombre del producto: el nombre genérico del producto —por ejemplo, Microsoft Office 2012—, si figura en las
propiedades del archivo ejecutable.
• Nombre del proveedor: el nombre de la empresa, si figura en las propiedades del archivo ejecutable.
• Título de ventana: un valor dinámico que cambia en el tiempo de ejecución para incluir el nombre del archivo activo.
Todos los parámetros, excepto el nombre de aplicación de SHA-2 y el directorio ejecutable, aceptan las coincidencias de
subcadenas.
Las plantillas de aplicaciones para macOS pueden utilizar cualquiera de los parámetros siguientes:
• Línea de comandos
• Directorio ejecutable
• Hash del archivo ejecutable
• Nombre del archivo ejecutable
Clasificación manual de los archivos

Los usuarios pueden aplicar o eliminar manualmente clasificaciones o identificaciones por huellas digitales de contenido en los
archivos.

La función de clasificación manual aplica la clasificación de archivos. Es decir, que no es necesario que las clasificaciones
aplicadas estén relacionadas con el contenido. Por ejemplo, un usuario puede colocar una clasificación de PCI en cualquier
archivo. El archivo no tiene que contener números de tarjeta de crédito. La clasificación manual está incrustada en el archivo.
En los archivos de Microsoft Office, la clasificación se almacena como una propiedad de documento. En los demás archivos
admitidos, se almacena como propiedad XMP. En el caso del correo electrónico, se añade como texto marcado.
Al configurar la clasificación manual, también puede permitir que un usuario aplique manualmente huellas digitales de
contenido.
Las posibilidades en cuanto a la clasificación manual son las siguientes:
• Los usuarios de McAfee DLP Endpoint (en endpoints tanto Windows como Mac) pueden clasificar archivos
manualmente.
• Los clientes de McAfee DLP Endpoint (en endpoints tanto Windows como Mac), McAfee DLP Prevent y McAfee
DLP Monitor pueden detectar los archivos clasificados de forma manual (por ejemplo, en datos adjuntos de correo
electrónico) y realizar la acción adecuada en función de la clasificación.
• Con McAfee DLP Discover se pueden detectar las clasificaciones manuales en los análisis de clasificación y de
corrección, así como tomar las medidas adecuadas en los análisis de corrección.
De forma predeterminada, los usuarios no tienen permiso para ver, añadir o eliminar clasificaciones, pero puede asignar
clasificaciones específicas a grupos de usuarios concretos o a Todos. De este modo, los usuarios asignados pueden aplicar la
clasificación a los archivos mientras trabajan. La clasificación manual también le permite mantener la directiva de clasificación
de su organización incluso en aquellos casos excepcionales en los que el sistema no procesa automáticamente la información
confidencial o única.
Al configurar el permiso para la clasificación manual, tiene la opción de permitir que se apliquen manualmente las clasificaciones
de contenido, las huellas digitales de contenido o ambas.
Compatibilidad con la clasificación manual

McAfee DLP ofrece dos tipos de compatibilidad con las clasificaciones manuales: compatibilidad con los archivos de Microsoft
Office y compatibilidad con todos los tipos de archivos admitidos.
En lo que respecta a la creación de archivos, se pueden utilizar las aplicaciones de Microsoft Office (Word, Excel y PowerPoint) y
Microsoft Outlook. Los usuarios pueden elegir clasificar los archivos haciendo clic en el icono de clasificación manual. También
puede establecer opciones para forzar a los usuarios a clasificar los archivos mediante la activación de la ventana emergente de
clasificación manual cuando se guardan los archivos o se envían los correos electrónicos de Outlook.
La clasificación manual de un correo electrónico es válida solo en un subproceso específico. Si envía el mismo correo electrónico
dos veces en subprocesos diferentes, deberá clasificarlo dos veces. En el caso de los correos electrónicos, la información que se
añade al encabezado o al pie de página (establecida en la página Ajustes generales de la clasificación manual) se añade como
texto no cifrado.

Todos los tipos de archivos admitidos se pueden clasificar desde el Explorador de Windows o el Finder de Mac mediante el menú
del botón derecho del ratón (o, en el caso de los Mac, Ctrl + clic).
Incrustar propiedades para la integración de terceros
Las propiedades incrustadas cuando se utiliza la clasificación manual permiten que las aplicaciones de terceros se integren con
los documentos clasificados de McAfee DLP.
La siguiente tabla enumera los tipos de archivos admitidos y la tecnología aplicada.
Tipo de documento Tipo de archivo verdadero Método
Microsoft Word DOC, DOCX, DOCM, DOT, DOTX, propiedad del documento
DOTM
Microsoft PowerPoint PPT, PPTX, PPS, PPSX, PPSM,

PPTM, POT, POTM, POTX

Tipo de documento Tipo de archivo verdadero Método
Microsoft Excel XLS, XLSX, XLSM, XLSB, XLT, XLTX,

XLTM
Documento XPS XPS
Formato de documento portátil PDF Propiedad XMP
Formatos de audio y vídeo AIF, AIFF, AVI, MOV, MP2, MP3,

MP4, MPA, MPG, MPEG, SWF,
WAV, WMA, WMV
Formatos de gráfico e imagen PNG, JPG, JPEG, TIF, TIFF, DNG,

WMF y PSD
La siguiente tabla enumera las propiedades internas.
Clasificación Nombre de propiedad
Clasificación manual de archivos DLPManualFileClassification
Autor de la última modificación de la clasificación de DLPManualFileClassificationLastModifiedBy

archivos
Fecha de última modificación de la clasificación de DLPManualFileClassificationLastModificationDate

archivos
Versión de la clasificación de archivos DLPManualFileClassificationVersion
Clasificación automática de descubrimiento de DLPAutomaticFileClassification

endpoint
Versión de la clasificación automática de DLPAutomaticFileClassificationVersion

descubrimiento de endpoint

Configuración de clasificaciones manuales
Clasificación manual tiene varias opciones que determinan cómo interactúa la función y qué mensajes se muestran.
La clasificación manual permite a los usuarios finales de McAfee DLP Endpoint para Windows agregar clasificaciones a los
archivos con el menú del botón derecho en el explorador de Windows. Para aplicaciones de Microsoft Office y Outlook, se
pueden aplicar clasificaciones manuales al guardar archivos o al enviar correos electrónicos. Todos los productos de McAfee DLP
pueden aplicar las reglas basadas en las clasificaciones manuales.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
2. Haga clic en Clasificación manual.
3. En la lista desplegable Ver, seleccione Configuración general.
4. Seleccione o anule la selección de las opciones para ajustarse a sus necesidades empresariales.
5. (Opcional) Seleccione la información adicional que agregar al correo electrónico haciendo clic en y seleccionando
una definición de notificación o creando una.
Las notificaciones admiten la función Configuraciones regionales para todos los idiomas compatibles. La compatibilidad
con el idioma también se aplica a los comentarios de correo electrónico agregada.
Documentos registrados y texto ignorado

La función de documentos registrados es una extensión de la identificación por huellas digitales de contenido basada en
la ubicación. Ofrece a los administradores otro modo de definir la información de carácter confidencial a fin de evitar su
distribución de formas no autorizadas. El texto ignorado es el texto que McAfee DLP ignora cuando procesa el contenido del
archivo.
Para crear documentos registrados, McAfee DLP aplica categorías y huellas digitales al contenido de los archivos predefinidos
como de carácter confidencial. Por ejemplo, hojas de cálculo de estimación de ventas para el próximo trimestre. Usa las huellas
digitales para crear firmas que se almacenan como documentos registrados. Las firmas creadas son independientes del idioma,
es decir, el proceso funciona para todos los idiomas.
McAfee DLP admite dos tipos de documentos registrados: manuales y automáticos.
Registro manual
Para crear documentos registrados manualmente, cargue archivos del módulo Clasificación en la página Registrar documentos.
A continuación, cree paquetes desde los archivos cargados para crear firmas. Estas firmas están disponibles para su descarga
por parte de los endpoints y appliances desde el depósito de S3 y se utilizan en las reglas implementadas en los endpoints.
Cuando se crea un paquete, McAfee DLP procesa todos los archivos de la lista y carga las huellas digitales (firmas) en McAfee
ePO. Cuando añada o elimine documentos, deberá volver a crear un nuevo paquete. El software no intenta calcular si ya se ha
aplicado la huella digital a algunos de los archivos. Siempre procesa la lista entera.
Los appliances de McAfee DLP también utilizan el registro manual. Las firmas de los archivos se cargan en McAfee ePO desde
McAfee DLP al cargar los archivos y crear un paquete de forma manual. Estas firmas están disponibles para la descarga por

parte de los appliances desde la ubicación compartida. A continuación, el appliance puede rastrear cualquier contenido copiado
desde uno de esos documentos y clasificarlo según la clasificación de la firma del documento registrado.
Texto ignorado: cargue archivos de texto ignorado en la página Texto ignorado. El texto ignorado no impide que el contenido
se clasifique, incluso si hay partes de él que coinciden con la clasificación o los criterios de identificación por huellas digitales de
contenido. El texto ignorado que suele aparecer en los archivos, como textos modelo, avisos legales e información de copyright.
Los paquetes de texto ignorado se crean por separado a partir de paquetes de documentos registrados y se distribuyen a los
endpoints de forma similar.
• Los archivos que deben ignorarse deben contener al menos 400 caracteres.
• Si un archivo contiene tanto datos clasificados como ignorados, el sistema no lo ignora. Todos los criterios de
clasificación e identificación por huellas digitales de contenido asociados con el contenido siguen vigentes.
Registro automático
Cree automáticamente documentos registrados ejecutando análisis de registro de documentos de McAfee DLP Discover.
Utilícelos para definir análisis de clasificación y corrección, así como reglas de protección para McAfee DLP Prevent y McAfee
DLP Monitor.
Los análisis de registro de McAfee DLP Discover crean archivos de firma que se almacenan como paquetes de documentos
registrados en la red, normalmente en el recurso compartido de almacenamiento de pruebas. Un servidor de DLP asignado
para que actúe como la base de datos de firmas carga las firmas de todos los recursos compartidos de almacenamiento. Cada
configuración de servidor en el Catálogo de directivas puede especificar un servidor de DLP para distribuir los paquetes de
documentos registrados, por lo que puede haber más de un servidor de DLP en una red. En tal caso, recomendamos que se
configure cada servidor de DLP para que cargue las firmas de todos los recursos compartidos de almacenamiento, ya que las
bases de datos de firmas ya no están sincronizadas. Cuando un análisis de McAfee DLP Discover desea hacer coincidir huellas
digitales o si McAfee DLP Monitor o McAfee DLP Prevent necesitan acceder a la base de datos para crear una directiva, envían
una llamada HTTP mediante las API REST.
Puede ejecutar análisis de registro en los repositorios del servidor de archivos, SharePoint o Box. Asigne una clasificación a
los documentos registrados en la página Detalles de análisis cuando configure el análisis. Podrá ver los análisis de la página
Registrar documentos si selecciona Tipo: registro automático.
Visualización de datos de documentos registrados

La vista predeterminada de Estadísticas muestra el número total de archivos, su tamaño, el número de firmas, etc. en el panel
de la izquierda y, en el de la derecha, las estadísticas de cada archivo. Utilice estos datos para eliminar los paquetes menos
importantes si se va a llegar al límite de firmas.
La vista Agrupar por para el registro manual permite agrupar por clasificación o tipo/extensión. Muestra los archivos cargados
por tipo o clasificación. Puede filtrar los datos por clasificación o con un filtro personalizado. La información sobre la última
creación del paquete y los cambios realizados a la lista de archivos se muestra en la parte superior derecha.
Para el registro automático, Agrupar por permite agrupar por clasificación, servidor de repositorio, análisis o tipo de archivo
verdadero. Puede filtrar los datos por análisis, clasificación o con un filtro personalizado.

Protección de los registros de usuario mediante Coincidencia exacta

de datos (mejorada)
La función Coincidencia exacta de datos (mejorada) o EDM (mejorada) le permite proteger los registros confidenciales de la base
de datos de usuarios comparando las palabras reales de las columnas definidas dentro de una cierta proximidad en un registro
(línea o fila) con el registro original del usuario.
Los registros de empleados, los registros de clientes y los registros médicos de pacientes son ejemplos típicos de información
confidencial enorme que necesita protección. Aunque puede proteger estos registros haciendo coincidir los patrones y los
términos del diccionario, estos métodos de coincidencia de datos requieren una lógica de regla y una condición complejas, que
son propensas a la coincidencia falsa.
Buscar coincidencias en los campos individuales de un registro confidencial (por ejemplo, el nombre, la fecha de nacimiento y el
número de teléfono) puede no resultar útil y dar lugar fácilmente a una coincidencia falsa. Sin embargo, si se cotejan dos o más
campos del mismo registro confidencial (por ejemplo, el nombre y el número de Seguridad Social) en el mismo texto (como un
mensaje de correo electrónico o un documento), indica que hay información relacionada importante.
La función EDM (mejorada) ofrece un mejor rendimiento de análisis e identificación por huellas digitales en comparación con
la función EDM actual. Para que EDM (mejorada) funcione, es necesario ejecutar la herramienta EDMTrain para formación del
archivo de origen de datos. La herramienta normaliza y aplica hashes al archivo de origen de datos, y genera los archivos .props
(archivo de metadatos) y .dis (archivo de huella digital) necesarios.
La función EDM (mejorada) es compatible con multibyte mediante Unicode para habilitar el procesamiento de datos en todos los
idiomas admitidos, incluidos el chino, el japonés y el coreano.
Flujo de trabajo de EDM (mejorada)
1. Exporte los registros de usuario de una base de datos a un archivo .csv o .tsv. También puede usar el comando de barra
vertical para enviar registros de usuario desde la base de datos a la herramienta EDMTrain (herramienta de huella digital)
para su procesamiento.
2. Ejecute la herramienta EDMTrain para entrenar el archivo de origen de datos y generar el archivo de huella digital. Para
obtener más información, consulte Preparación del archivo de origen de datos para la coincidencia exacta de datos.
3. Especifique la ubicación del recurso compartido CIFS del archivo .props en McAfee ePO. Cuando se especifica el
archivo .props, McAfee ePO también copia el archivo .dis en la ubicación del recurso compartido de pruebas. Vuelva a
cargar manualmente el archivo de huella digital en caso de que haya algún cambio en el archivo de origen de datos.
Para obtener más información, consulte Buscar una coincidencia exacta en un archivo de origen de datos mediante EDM
(mejorada). O BIEN Ejecute la llamada a la API fileUpload para que McAfee ePO copie el archivo de huella digital en la
ubicación del recurso compartido de pruebas. Para obtener más información, consulte Cargar el archivo de huella digital
mediante la llamada a la API REST.

Important
El proceso de carga con ambos métodos copia la base de datos de EDM en un subdirectorio llamado
ExactDataFingerprints en todos los recursos compartidos de pruebas configurados. Si añade o cambia una ruta de
recurso compartido de pruebas, los archivos de EDM no se sincronizarán automáticamente. Puede copiar el contenido
del subdirectorio ExactDataFingerprints de un recurso compartido de pruebas existente o cargar una base de datos de
huellas digitales actualizada para todos los orígenes de datos existentes.
4. Defina los criterios de clasificación del contenido mediante los criterios de coincidencia exacta de datos. Elija las columnas
que quiera analizar dentro de la proximidad especificada. Si lo desea, puede especificar las columnas obligatorias y excluir
cualquier combinación de columnas de la búsqueda de coincidencias. Para obtener más información, consulte Buscar una
coincidencia exacta en un archivo de origen de datos mediante EDM (mejorada).
5. Cree un conjunto de reglas con los criterios de clasificación de EDM (mejorada), aplíquelo e inserte la directiva con el nuevo
conjunto de reglas en los appliances.
Flujo de trabajo de EDM (mejorada)
¿Cómo funciona la coincidencia exacta de datos con EDM (mejorada)?

La función EDM (mejorada) permite la coincidencia asociativa de palabras en varios campos (celdas) de un registro de usuario y
las reglas se permiten en función de lo siguiente.
• Número de coincidencias de campo (celdas): el número de coincidencias de campo dentro de la proximidad especificada
constituye una coincidencia de registro (puede aparecer en cualquier orden).
• Proximidad: la proximidad se mide en palabras. La proximidad es la distancia máxima permitida entre los campos
adyacentes que puede especificar para las coincidencias de campo. Puede establecer la proximidad entre 0 y 40
palabras.
• Valores de columna: permite seleccionar los valores de columna que se deben encontrar en una coincidencia y dentro
de la proximidad especificada. Puede especificar las Columnas que analizar de lista de valores de columna que se
incluye en el archivo de huella digital. De forma opcional, puede especificar las Columnas obligatorias que deben

estar presentes para que coincida un registro. También puede establecer Excepciones para excluir una combinación
de columnas, lo que significa que una coincidencia únicamente compuesta por cualquier combinación de las columnas
excluidas no contará como una coincidencia de registro.
Elegir las columnas al crear criterios de coincidencia de contenido
Tomemos el siguiente registro de un conjunto de datos protegido con EDM (mejorada):
Nombre Número de Número de Número de Correo

completo cuenta cliente teléfono electrónico
Juan García 123-456-789 234567 +1-555-1234 juan_garcia@mie

mpresa.ejemplo
Puede decidir que los datos que no quiere filtrar es la combinación del número de cuenta con cualquier información que se
pueda utilizar para identificar al propietario de la cuenta.
Si especifica los criterios de coincidencia de registro como "al menos 2 de los 5 valores de celda con no más de 15 palabras entre
los valores de celda coincidentes" y añade "Número de cuenta" como columna obligatoria, cualquier documento que contenga el
número de cuenta dentro de la proximidad especificada de uno o más valores de columna desencadenará una coincidencia de
registro.
Observe lo siguiente:
• Ejemplo A: El número de teléfono de Juan García es el +1-555-1234. Reside en Nueva York y su número de cuenta es el
123-456-789 con número de cliente 234567.
• Ejemplo B: 123-456-789 234567
Puede que decida que la combinación de "Número de cuenta" y "Número de cliente" no constituye una filtración y que esté
provocando falsos positivos en las hojas de cálculo numéricas, por lo que puede crear una excepción para la coincidencia
"Número de cuenta", "Número de cliente".
Esto significa que, en el ejemplo B, 123-456-789 234567 no es una coincidencia.
Sin embargo, esos campos combinados con cualquier otra celda seguirán siendo una coincidencia. El ejemplo A sigue siendo una
coincidencia porque "Nombre completo" se combina con "Número de teléfono", "Número de cuenta" y "Número de cliente":
• Juan García 123-456-789 234567

Límites de EDM
• El archivo de origen de datos puede ser un archivo .csv (valores separados por comas) o un archivo .tsv (valores
separados por tabulaciones). No es posible el escape del carácter delimitador, por lo que el carácter delimitador no
debe aparecer en los datos.
• La creación automática de huellas digitales es compatible con archivos de origen de datos hasta de 6000 millones de
celdas, con un máximo de 4 294 967 295 filas (unos 4000 millones de registros de usuario) y 32 columnas.

• La primera línea del archivo de origen de datos puede ser un encabezado de nombres de columna, ya que los
encabezados se extraen al archivo .props. La opción -h (--header) que se utiliza en el comando edmtrain indica que la
primera línea es una línea de encabezado. Si no se especifica la opción de encabezado, la herramienta genera el archivo
de salida con los nombres de columna, como Columna 1, Columna 2 y Columna 3.
• Un nombre de columna no puede contener más de 100 caracteres.
• Los números de teléfono del archivo de huella digital solo coinciden con números idénticos en archivos de texto. Por
ejemplo, un número de teléfono introducido en un CSV sin código de país no desencadena una coincidencia con el
mismo número del archivo de texto si incluye el código de país.
• La coincidencia exacta de datos es compatible con multibyte mediante Unicode para habilitar el procesamiento de datos
en todos los idiomas admitidos, incluidos el chino, el japonés y el coreano.
Autenticación mediante token y normalización de datos
El contenido del archivo de origen de datos se autentica mediante token y se normaliza antes de que se aplique el hash en
huellas digitales. Se aplican las mismas reglas a los datos que se analizan en busca de la coincidencia exacta de datos:
• Los datos de usuario se consideran iguales independientemente del uso de mayúsculas y minúsculas. Por ejemplo, se
considera que Datos, DATOS y datos es lo mismo.
• Los caracteres que no se correspondan con palabras (equivalentes a PCRE \W) no se tienen en cuenta para las
coincidencias. Esto hace que el carácter de subrayado y sus variantes se consideren un caso especial en el que se
tiene en cuenta un separador de identificador para las coincidencias.
• Los códigos de área de direcciones en japonés (chōme-ban-gō) se normalizan de forma que 二丁目２１番９号, ２の２１の
９ se considera lo mismo que 2-21-9.
• Aplica la normalización de ICU NFKC (Unicode® Standard, anexo núm. 15). Por ejemplo, los caracteres japoneses de
media anchura y ancho completo se convierten a sus formas equivalentes normales.
• Aplica reglas ICU para la segmentación de texto (Unicode® Standard, anexo núm. 29 y los identificadores de palabras
únicas de ASCII) con estas desviaciones secundarias, de modo que el texto se dividirá en tokens más significativos para la
coincidencia exacta de los datos:
Las variantes de coma y punto y coma se consideran divisores de palabras cuando se encuentran entre
números. Sin embargo, "/" no se considera como un divisor de palabras si se encuentra entre números, de
modo que las fechas se tratarán como una sola palabra.
Las variantes "-", "+", y "@" no se consideran como divisores de palabras si se encuentran entre números y/o
letras.
• Las reglas ICU para la segmentación de texto con identificadores de una sola palabra ASCII permiten estos caracteres y
separadores:
Numérico: [0-9] separado por [./@_+-]

Alfabético: [a-zA-Z] separado por [.@_+-]
Alfanumérico: [a-zA-Z0–9] separado por [@_+-] ("." y "/" se permiten si ambas partes son numéricas; sucede algo
similar con "." si ambas partes son alfabéticas).

Ruta de actualización para utilizar EDM (mejorada)
La versión de EDM en McAfee DLP Prevent v11.6, McAfee DLP Monitor v11.6 y versiones anteriores se sustituye por EDM
(mejorada) en la versión v11.8, que es una solución más escalable. Aunque esta versión sigue siendo compatible con ambas
versiones de EDM, se recomienda cambiar a la versión más reciente de EDM, ya que la solución anterior se eliminará en una
versión futura de McAfee DLP. EDM (mejorada) no está disponible actualmente en McAfee DLP Discover.
Si no cambia la versión de EDM para el análisis, la clasificación de EDM existente seguirá funcionando hasta que se elimine.
Un appliance con McAfee DLP Prevent v11.8 o McAfee DLP Monitor v11.8 puede analizar para EDM (mejorada) o para la versión
anterior de EDM, pero no para ambas funciones a la vez. Si solo hay un tipo de clasificación de EDM presente en la directiva
recibida, es la que se utilizará. Si existen ambos tipos de directivas de EDM, un ajuste en la directiva Configuración del servidor
decide qué versión de EDM se utilizará. De forma predeterminada, EDM (mejorada) tiene prioridad si ambas están presentes.
Para establecer la preferencia:

2. En McAfee ePO 5.10.x, seleccione Data Loss Prevention <versión>. En McAfee ePO 5.9.x y versiones anteriores, seleccione
Data Loss Prevention <versión> en la lista desplegable Producto.
3. En McAfee ePO 5.10.x, seleccione Configuración del servidor. En McAfee ePO 5.9.x y versiones anteriores, seleccione
Configuración del servidor en la lista desplegable Categoría.
4. Edite la directiva de configuración del servidor, seleccione Coincidencia exacta de datos y, a continuación, seleccione o
anule la selección de Preferir EDM (mejorada) según sus preferencias. De forma predeterminada, está seleccionada la
opción EDM (mejorada).
Para empezar a utilizar EDM (mejorada), establezca la huella digital del archivo del origen de datos mediante la herramienta
EDMTrain y vuelva a crear las clasificaciones mediante EDM (mejorada). Seleccione Uso de EDM (mejorada) al crear Nuevos
criterios de clasificación de contenido y seleccione el archivo de huellas digitales para cambiar a la versión de EDM (mejorada).
Si ya está utilizando EDM y desea actualizar a EDM (mejorada), debe hacer lo siguiente:
Procedimiento
1. Anule la selección de Preferir EDM (mejorada) en los ajustes de directiva de Configuración del servidor para establecer
que funcione con la versión anterior de EDM.
2. Despliegue una instancia de prueba de una directiva de configuración del servidor de McAfee DLP Prevent o McAfee
DLP Monitor. Asigne esta instancia a otra directiva de ajustes del servidor con la preferencia establecida en EDM
(mejorada).
3. Cree versiones de EDM (mejorada) de su archivo de huella digital y sus clasificaciones.
4. Establezca las directivas para que se desencadenen en función de cualquiera de las coincidencias de clasificación. (Por
ejemplo, la clasificación ES "EDM de base de datos de clientes" O "EDM de base de datos de clientes mejorada").
5. Pruebe la clasificación y las reglas revisadas.
6. Cuando haya realizado todos los cambios oportunos, cambie la preferencia de todos los appliances de nuevo a EDM
(mejorada) mediante la selección de Preferir EDM (mejorada) en los ajustes de directiva de Configuración del servidor.

Preparación del archivo de huella digital para la coincidencia exacta de datos
Los archivos de huella digital se crean automáticamente cuando se entrena el archivo de origen de datos mediante la
herramienta EDMTrain. Como requisito previo para la coincidencia exacta de datos, el archivo de origen de datos debe
entrenarse con la herramienta EDMTrain para generar el archivo .props y el archivo .dis.
No se recomienda utilizar valores comunes en un archivo de origen de datos. Los valores deben ser exclusivos para obtener los
mejores resultados al utilizar EDM. Analice los datos que desee proteger (coincidencia) y asegúrese de que se trata de un valor
de coincidencia significativo. Todos los valores del archivo de origen de datos se normalizan y se convierten en hash en el archivo
de huella digital, independientemente de la definición que se utilice en las clasificaciones.
Note
Es necesario que la elección del delimitador o separador entre las columnas sea algo que no se produzca en los datos, por lo
que se recomienda utilizar el formato de archivo .tsv en lugar del formato de archivo .csv.
Requisitos del sistema para la herramienta EDMTrain para procesar los archivos de origen de datos
La herramienta EDMTrain es compatible con las plataformas Windows y Linux. Para entrenar un archivo de origen de datos
de gran tamaño con hasta 6000 millones de celdas, la herramienta EDMTrain debe estar instalada en un sistema que, como
mínimo, tenga estas especificaciones:
• Memoria de 8 GB
• CPU de doble núcleo
• Espacio en disco temporal (en el directorio especificado por la variable de entorno, TMPDIR para Linux y TMP para
Windows) de 50 GB a 75 GB por cada mil millones de celdas, dependiendo del número de celdas con múltiples palabras
en el conjunto de datos.
• Espacio en disco para la base de datos final en el directorio de salida de aproximadamente 10 GB por mil millones de
celdas
La herramienta EDMTrain es un ejecutable disponible en la página Vincular archivo de huella digital para la coincidencia exacta
de datos. Para descargar la herramienta EDMTrain:
1. Vaya a McAfee ePO, seleccione Menú → Clasificación → Documentos registrados → Huellas digitales de datos exactos.
2. Haga clic en Añadir origen de datos EDM → Nueva solución EDM para abrir la página Vincular archivo de huella digital
para la coincidencia exacta de datos.
3. En función de la plataforma del sistema, haga clic en el paquete de Windows o Linux para descargar y ejecutar el
ejecutable con el fin de instalar la herramienta en el sistema.
Generación de los archivos de metadatos (.props) y huella digital (.dis) mediante la herramienta
EDMTrain
El archivo de origen de datos debe entrenarse para generar los formatos de archivo .props y .dis. para la coincidencia exacta
de datos y analizar los registros de usuario. El archivo .props contiene información, como el número de columnas detectadas,
encabezados de columna, detalles de huella digital, tamaño de archivo, nombre de la base de datos y suma de comprobación del
archivo .dis. El archivo .dis contiene detalles con huellas digitales de los registros de usuario en formato normalizado y con hash.

Puede utilizar la interfaz de línea de comandos (CLI) o cualquier herramienta de transferencia de datos de terceros, como PuTTy,
para ejecutar el comando edmtrain con estas opciones a fin de entrenar el archivo de origen de datos.
Opción de CLI: forma corta Opción de CLI: forma completa Descripción
-? --help Muestra la ayuda sobre la

herramienta EDMTrain
-h --header Muestra la primera fila, que es

una fila de encabezado
-s --split-ids Permite identificadores

separados por espacios,
puede dividirse con cualquier
delimitador
-v [ --verbose] Muestra el resultado detallado
-u [ --utf8 ] Especifica la entrada en formato

codificado mediante UTF-8
(automático en UTF-8 con BOM)
-R [ --redact ] Elimina los datos de entrada de

todos los resultados y mensajes
-E [ --no errors ] Especifica que no se generen

mensajes de error ni se
implementen umbrales
-W [ --no-warnings ] Especifica que no se generen

mensajes de advertencia
-e [ --errors ] % (=5) Especifica el umbral de error en

porcentaje
-m [ --memory ] gb (=0) Asigna memoria, puede

especificar entre 1 y 8 GB de RAM

-D [ --db-name ] name Especifica el nombre de la base

de datos (predeterminado según
el nombre del archivo de salida)
-c [ --charset ] name Especifica la codificación del

conjunto de caracteres del
archivo de entrada (en caso de
no ser UTF-8 con BOM)
-n [ --newline ] byte (=\n) Especifica el terminador de nueva

línea en bytes (antes de la
descodificación)
-p [ --progress ] [=secs(=2)] Muestra el progreso tras el

intervalo especificado
-d [ --delimiter ] char (=\t) Especifica el carácter delimitador

de celda (hasta U+FFFF)
-b [ --non-blank ] n (=0) Especifica el número mínimo de

celdas que no están en blanco
por fila
-P [ --primary ] column_name (o Garantiza que las columnas

column_number)
nunca sean secundarias. Puede
especificar el nombre de la
columna o los números de
columna (1–32). Si especifica
columnas principales, las otras
columnas se convierten en
secundarias sin tamaño máximo.
Parámetros posicionales

-i [ --input ] file Especifica el nombre del archivo

de entrada o la opción de
primera posición
-o [ --output ] file Especifica el nombre del archivo

de salida o la opción de segunda
posición
Cuando estas opciones no se mencionan explícitamente en la línea de comandos, edmtrain considera el primer archivo como
archivo de entrada y el segundo como archivo de salida.
Ejemplo: dmtrain --header --progress=2 1M.csv out
1M.csv es el archivo de entrada y out es el archivo de salida que se genera.
Opciones para generar el archivo de huella digital con la herramienta EDMTrain
Estos ejemplos pueden ayudarle a entender cómo especificar distintas opciones con el comando edmtrain para generar el
archivo de huella digital.
Exportar los registros de la base de datos mediante el comando de barra vertical y generar el archivo
de huella digital
Recomendado: utilice el comando de barra vertical (|) para exportar los registros de la base de datos directamente a la
herramienta EDMTrain y generar el archivo de huella digital en lugar de exportar el archivo de base de datos a un archivo .tsv
temporal.
Ejemplo: db_export | edmtrain --header --output pipe_out
Generar el archivo de huella digital con encabezados de columna

Imagine que el archivo de origen de datos de entrada con el formato de archivo CSV y el nombre 1M.csv. 1M.csv es un archivo
de gran tamaño que contiene 1 millón de celdas. Ejecute este comando para generar los archivos .dis y .props. --progress muestra
el estado de la generación de archivos después de 2 segundos y --delimiter se utiliza para especificar el valor del delimitador.
Ejemplo: edmtrain --header --progress=2 --delimiter=, --input 1M.csv
Después de entrenar 1M.csv, se generan los archivos de salida 1M.dis y 1M.props porque la opción del nombre del archivo de
salida no está especificada en la línea de comandos. Los archivos procesados se guardan en la misma ubicación que 1M.csv.
El archivo .props tiene un aspecto similar al siguiente:

{
"Records": "333333",
"Columns": [
"id",
"accountnumber",
"surname",
"firstname",
"sortcode\r"
],
"Fingerprints": "999999",
"FingerprintsSize": "12282699",
"CSVFileSize": "15333357",
"Revision": "1623685866",
"SkippedCells": "0",
"DbName": "1M"
}
Tenga en cuenta que los datos que se deben entrenar son así:
id,accountnumber,surname,firstname,sortcode
1092831,78192110,smith,john,08-12-29
0921231,23424334,flint,graham, 01-22-33
Al utilizar el siguiente comando sin la opción --header, la herramienta genera huellas digitales para el contenido del archivo .csv y
también para las palabras del encabezado.
edmtrain --input 1M.csv --progress=2 --delimiter=,
Las huellas digitales también se crean para "ID", "accountnumber", "surname", "firstname" y "sortcode", y se tienen en cuenta
para las coincidencias. Los encabezados que se generan tienen los nombres "column 1", "column 2", "column 3", "column 4" y
"column 5" porque no se especifica --header en la línea de comandos. En tal caso, puede excluir los valores de encabezado de la
huella digital especificando la opción --header en la línea de comandos.
Los nombres de las columnas se mostrarán en la interfaz de usuario al crear clasificaciones solo si especifica --header. Esto
permite definir fácilmente las columnas, las excepciones y otras columnas obligatorias, ya que se pueden ver los nombres de
columna en lugar de "column 1", "column 2".
Generar el archivo de huella digital con una opción de archivo de salida

Ejecute el comando edmtrain con la opción --output para generar el archivo de salida con el nombre de archivo especificado.
Ejemplo: edmtrain --header --progress=2 --delimiter=, --input 1M.csv --output out
Después de entrenar 1M.csv, se generan los archivos de salida, out.dis y out.props. Los archivos procesados se guardan en la
misma ubicación que 1M.csv.
Generar el archivo de huella digital para un archivo de origen de datos con valores separados por
tabulaciones
Imagine que el archivo de origen de datos de entrada (1M.tsv) tiene valores separados por tabulaciones. De forma
predeterminada, la tabulación se considera como valor delimitador si no se especifica la opción del delimitador.

Ejemplo: edmtrain --input 1M.tsv --header --progress=2
También puede especificar el delimitador para los valores separados por tabulaciones mediante una de estas opciones:
Opción 1: edmtrain --header --progress=2 --delimiter="\t" --input 1M.tsv --output out_tests
Opción 2: edmtrain --header --progress=2 -d"\t" --input 1M.tsv --output out_tests_2
Fíjese en el uso de comillas dobles en "\t" para que el comando reconozca los valores separados por tabulaciones en el archivo.
Las columnas no se separan correctamente si se especifica un delimitador incorrecto y el archivo .props tiene este aspecto:
"Columns": [
"ssn,account_number,credit_card_number"
],
Generar el archivo de huella digital con una salida detallada

Ejecute el comando edmtrain con la opción --verbose para ver todas las estadísticas del archivo de huella digital.
Ejemplo: edmtrain --header --progress=2 --verbose --input tab_sep_1M.csv
Output:
Number of columns detected: 3
> 1: ssn
> 2: account_number
> 3: credit_card_number
Capacity for 10,572,227,072 entries
> Records read: 333,333
> Cells written: 999,999
> Bytes written: 12,282,699
Total number of columns: 3
Total number of records: 333,333
> Total number of bad records: 0
> Total number of empty records: 0
Total number of fingerprints: 999,999
> Total number of skipped cells: 0
> Total number of discarded cells: 0
Database created successfully: tab_sep_1M.dis
Build time: 5 seconds
Generar el archivo de huella digital donde los valores de campo con identificadores utilicen
separadores
Cuando la EDM (mejorada) analiza identificadores numéricos, los caracteres separadores presentes en los identificadores
numéricos se normalizan (por ejemplo, 1234-5678-9012 y 1234.5678.9012 se normalizan como 123456789012). Esto significa
que se encontrará una coincidencia con un identificador numérico independientemente de si se utilizan o no separadores.
Se aplica la misma normalización a los identificadores alfabéticos y alfanuméricos, excepto a ".". El carácter "." no se considera
como separador entre un número y una letra y viceversa. Por ejemplo, "12.34" y "AB.CD" son identificadores de una sola palabra,
pero "12.CD" se considera como dos palabras.

La opción --split-ids también admite un separador de espacio mediante el entrenamiento del identificador, como si los
separadores "-" y "." se sustituyeran por espacios. Esto solo funciona con identificadores de una sola palabra, por lo que
"1234-5678" se entrena como "1234 5678", pero "Piso 12-2, Villa Verde" no se ve afectado. El hash para "1234 5678" es el mismo
que para "1234-5678", por lo que amplía lo que se busca durante el análisis mediante la lógica multipalabra.
Si el identificador numérico que se está entrenando ya está separado por espacios, la opción --split-IDs no es necesaria y no se
debe utilizar, ya que ralentiza el entrenamiento.
Si quiere dividir los identificadores con más separadores, procese la exportación de la base de datos antes de la identificación
por huellas digitales mediante el ajuste de los datos. Si los datos no tienen separadores, es necesario añadir espacios en los
lugares pertinentes del archivo de origen de datos.
Durante la identificación por huellas

digitales Durante el análisis
Datos con huella ¿Se ha utilizado ¿Existe ¿Existe coincidencia con 1234 5678?
digital la opción --split- coincidencia con
IDs? 1234-5678?
12345678 No Sí No
12345678 Sí Sí No
1234-5678 No Sí No
1234-5678 Sí Sí Sí
1234 5678 No Sí Sí
1234 5678 Sí Sí Sí
Consideraciones sobre el rendimiento de los datos de EDM

Valores de celda de una sola palabra y valores de celda multipalabra: los valores de celda de una sola palabra tienen un mejor
rendimiento que los valores de celda multipalabra. Tener un gran número de valores de celda multipalabra también aumenta el
tamaño de la base de datos de huella digital. La base de datos se debe cargar en la memoria para el análisis.
¿Qué son las coincidencias secundarias? Para obtener un rendimiento óptimo, los valores de las celdas con huella digital no
deben contener grandes números de valores repetidos. Esto se debe a que todas las posibles coincidencias de filas se deben
examinar. Por ejemplo, si un origen de datos de dos columnas tiene una columna con 100 000 valores de celda de "Smith", se
tendrán en cuenta las 100 000 coincidencias posibles cuando se busque una coincidencia de fila. Para mejorar el rendimiento,
cuando un valor de celda se produce más de 99 veces, los valores se marcan como "secundarios". Cuando se analiza más de

una columna, los hashes secundarios solos no desencadenan nunca una coincidencia; para que desencadenen una coincidencia,
deben estar cerca de un hash principal.
Truncamiento de valores de celda duplicados: cuando un valor de celda se produce más de 999 veces, las apariciones
posteriores no se registran. Estas celdas se registran como errores. Algunos errores están permitidos (de forma predeterminada,
el 5 %), pero si el límite de errores se supera, no se puede realizar el entrenamiento de datos.
Opciones de comando para un conjunto de datos con muchos valores repetidos: para evitar que se descarten muchas celdas
con valores comunes (como ciudad o apellidos), es posible marcar otras columnas como "principal". En este caso, todas las
columnas que no estén marcadas como principales se tratarán como secundarias, pero no se descartarán los valores de celda
duplicados de las columnas secundarias.
Por ejemplo, si tiene un conjunto de datos de dos columnas o si designa el número de cuenta como columna principal, se
resolvería el problema de los desencadenadores perdidos, ya que los apellidos no se descartarían.
Ejemplo: edmtrain --primary <column_name>1M.tsv
Note
Esto solo funciona con campos casi exclusivos. Al igual que en este ejemplo, si se produce un número de cuenta más de 99
veces, el resto de veces se descartará, de modo que se volverán a introducir los desencadenadores perdidos.
Para designar más de una columna como principal, utilice la opción --primary <column_name> varias veces.
Ejemplo: edmtrain -primary <column_name_a> --primary <column_name_b> --primary <column_name_x> 1M.tsv
También puede usar números de columna en lugar de nombres de columna con --primary.
Si los datos no tienen valores que se produzcan más de 1000 veces, la opción --primary no es obligatoria. Le recomendamos que
utilice --primary si la herramienta de formación produce un error similar a este:
ERROR: El número de entradas se trunca al llegar a 1000 para el hash 0123456789abcdef
Sin embargo, algunos errores están permitidos (de forma predeterminada, el 5 %). Si el límite de errores se supera, no se puede
realizar el entrenamiento de datos. Puede aumentar el umbral de error, pero eso también aumenta el nivel de destrucción, por
lo que se recomienda utilizar --primary para evitar descartar valores.
Formación automatizada de un archivo de origen de datos
Para automatizar el proceso de formación de un archivo de origen de datos para cualquier cambio de datos, puede configurar
una tarea periódica del sistema en el sistema donde haya instalado la herramienta EDMTrain. La tarea del sistema debe
comprobar periódicamente si se han realizado cambios en el archivo de origen de datos y ejecutar la herramienta EDMTrain
para actualizar el archivo de huella digital en la ubicación de salida. Por ejemplo, puede configurar una tarea que compruebe
cada domingo si hay actualizaciones en el archivo de origen de datos y que ejecute la herramienta EDMTrain en el archivo de

origen de datos para actualizar el archivo .props y el archivo .dis. A continuación, puede ejecutar las llamadas a la API REST
mediante el comando de PowerShell o bash para que McAfee ePO copie y verifique el archivo de huella digital en la carpeta del
recurso compartido de pruebas.
Important
Se recomienda ejecutar la llamada a la API solo cuando se haya cambiado el archivo de huella digital. Cargar un archivo de
huella digital muy grande requiere bastante tiempo y utiliza los recursos del sistema. Vuelva a crear y entrenar el archivo de
origen de datos cuando sea necesario para reordenar o eliminar una columna. Tampoco se puede cambiar el nombre de
la columna. Debe volver a crear el archivo de huella digital para cualquier cambio y, a continuación, volver a crear los
criterios de clasificación del contenido.
Asegúrese de habilitar la opción API REST en McAfee ePO antes de ejecutar las llamadas a la API. Para habilitar la API REST en
McAfee ePO, seleccione Menú → Protección de datos → Ajustes de DLP → Avanzada → Habilitar API REST.
• Llamada a la API fileUpload: utilice la llamada a la API fileUpload POST para solicitar que McAfee ePO copie el archivo de
huella digital de la ruta de almacenamiento compartido especificada a la ubicación de recurso compartido de pruebas
configurada. Para obtener más información, consulte Cargar el archivo de huella digital mediante la llamada a la API
REST.
• Llamada a la API fileStatus: utilice la llamada a la API fileStatus GET para verificar el estado del archivo de huella digital
cargado. Para obtener más información, consulte Verificar el estado del archivo de huella digital cargado mediante la
llamada a la API REST.
Usar cURL como herramienta de transferencia de datos
Para enviar solicitudes a la interfaz REST, puede utilizar cURL como herramienta de transferencia de datos.
Una solicitud enviada con curl normalmente tiene tres partes principales: el comando curl, una o varias opciones y una URL. Por
ejemplo, en la siguiente solicitud de carga de archivo, el comando curl aparece con la opción -F para solicitar los datos mediante
el formato "multipart/form-data", especificado en el formato "field=value pair". La opción -u se utiliza para pasar los parámetros
de autorización. La opción -X se utiliza para pasar el método de la solicitud.
Ejemplo:
curl -k -v -F "path=<Shared_path_filename.props>" -F "username=<username>" -F "password=<password>" -X

POST <URL> -u "admin:<password>"
Una URL de una solicitud especifica un protocolo, que puede ser HTTP o HTTPS en comunicación con la interfaz REST, la
dirección IP o el nombre de host y el número de puerto del servidor de McAfee ePO al que se envía una solicitud, y la ruta
interna en el servidor de McAfee ePO a la interfaz de REST.
Mediante estas y otras opciones de curl junto con las URL apropiadas, puede enviar solicitudes a la interfaz REST para realizar las
tareas según sea necesario.

La herramienta de transferencia de datos de curl está disponible en Linux y otros sistemas operativos UNIX y se describe con
todos los detalles en la página man de curl.
Formas de pasar parámetros y valores al comando curl

Métodos de solicitud
El método de solicitud se especifica en curl mediante la opción -X. Con la interfaz REST, puede utilizar los métodos GET y POST,
por ejemplo: curl -X POST<URL>
Si no se especifica ningún método de solicitud, GET es el método predeterminado.
URL
Una URL de una solicitud especifica un protocolo, que puede ser HTTP o HTTPS en comunicación con la interfaz REST, la
dirección IP o el nombre de host y el número de puerto al que se envía una solicitud. Va seguido por el nombre de la actividad
(llamada a la API REST) que se debe realizar y parámetros adicionales, si los hay.
Como la interfaz REST se encuentra en la carpeta rest del servidor de McAfee ePO, la ruta de carpeta aparece en la URL.
Por ejemplo, la URL de solicitud POST tiene este aspecto:
curl -X POST https://<epo_server_name>:port/rest/dlp/classification/EDM/fileUpload
De forma similar, una URL en una solicitud GET especifica el protocolo HTTP o HTTPS en comunicación con la interfaz REST
seguido de la llamada a la API fileStatus REST que se debe realizar para comprobar el estado del archivo cargado:
curl -X GET https://<epo_server_name:port>/rest/dlp/classification/EDM/fileStatus?filename=<file_name>
En esta solicitud, la URL también tiene un parámetro de consulta, filename para verificar el estado del archivo de huella digital
cargado. El nombre del archivo debe ser único, ya que no se pasa la ruta del archivo, y debe especificarse sin la extensión del
archivo. Los parámetros de consulta se introducen mediante un ? (signo de interrogación), como en la línea de comandos.
Parámetros de autenticación
Antes de utilizar la interfaz REST para realizar actividades, es necesario autenticarse.
Para hacerlo, incluya el nombre de usuario y la contraseña en la solicitud que envíe a la interfaz REST con el formato "admin:<
password>". Puede usar la opción -u para enviar los parámetros de autenticación:
curl -X POST <URL> -u "admin:<password>"
También puede usar el formato -u admin, que hace que curl solicite la contraseña.
Envío de parámetros de entrada en el cuerpo de la solicitud
Para enviar parámetros de entrada o cargar archivos con curl, utilice la opción -F (--form).

Esto hace que curl haga una solicitud (POST) mediante Content-Type: multipart/form-data, y se especifica -F con el formato
"field=value pair".
Con -F se añade Content-Type: encryption_type="multipart/form-data" a la solicitud. Por ejemplo, el siguiente comando con la
opción -v (detalle):
curl -v -F "path=<Shared_storage_path_with_filename.props>" -X POST <URL>
Genera una solicitud similar a:
> POST /rest/dlp/classification/EDM/fileUpload HTTP/1.1

> Host: 10.xx.xxx.xx:8443
> Authorization: Basic xxxxxxxxxxxxxx
> User-Agent: curl/7.75.0
> Accept: */*
> Content-Length: 425
> Content-Type: multipart/form-data; boundary=------------------------345dc497d8c5f406
Cargar el archivo de huella digital mediante la llamada a la API REST
Utilice la llamada a la API fileUpload para solicitar que McAfee ePO copie el archivo de huella digital desde la ubicación de
almacenamiento compartido a la carpeta de recurso compartido de pruebas configurada. El archivo de huella digital, en formato
normalizado y con hash, se copia en el recurso compartido de pruebas de forma asíncrona.
Solicitud de API fileUpload

Ejemplo: curl -k -v -F "path=<Shared_Storage_location_file.props>" -F "username=<username>" -F "password=<password>" -X POST https://
<epo_server_name>:port/rest/dlp/classification/EDM/fileUpload -u "admin:<password>"
Donde los parámetros para la opción -F se transmiten con el formato "field=value pair" y <Shared_Storage_location_file.props> es
la ruta de ubicación de almacenamiento compartido del sistema Windows o Linux. Si no se proporcionan los parámetros de
autenticación de almacenamiento compartido, se intentará usar la autenticación de McAfee ePO. -u se utiliza para transmitir los
detalles de autorización del servidor de McAfee ePO, y epo_server_name:port es la dirección IP del servidor de McAfee ePO (o el
nombre de host) y el número de puerto. El número de puerto predeterminado es 8443. Especifique -X para añadir el método de
solicitud. Puede usar la opción -v en la línea de comandos para ver los detalles de contenido.
Parámetros de la solicitud
Parámetros de entrada
Utilice estos parámetros de entrada con la opción -F para especificar los detalles de la ubicación de almacenamiento compartido
(CIFS) y sus credenciales en formato "field=value pair". Con -F se añade Content-Type: encryption_type="multipart/form-data" a la
solicitud.

Nombre del parámetro Descripción Obligatorio
path Ruta de almacenamiento Obligatorio

compartido, incluido el
archivo .props
Ejemplo
(Windows): \\\\server\\Clouduser\
\Downloads\\EDM-1MRows.props
Ejemplo (Linux): //
server/Clouduser/Downloads/
EDM-1MRows.props
nombre de usuario Credenciales de usuario de la Opcional. Si no se proporciona,

ubicación de almacenamiento intentará usar la autenticación de
contraseña compartido McAfee ePO.
Parámetros de autorización
Utilice estos parámetros con -u para especificar los detalles de autorización de McAfee ePO.
Nombre del
parámetro Descripción Obligatorio Tipo
nombre de usuario Credenciales de usuario Obligatorio Autenticación básica

de McAfee ePO.
contraseña Obligatorio Autenticación básica
Parámetros de respuesta
Los parámetros que devuelve la solicitud de API fileUpload son:
Elemento Descripción
estado Muestra el estado del archivo de huella digital

cargado. El campo de estado muestra uno de estos
valores:
• En curso
• Completado
• Error

Elemento Descripción
campo GUID del archivo cargado.
error Devuelve un error 4xx con uno de estos mensajes

según el problema:
• Error al probar la conexión

• Error al probar la conexión, Error de inicio de
sesión: nombre de usuario desconocido o contraseña
incorrecta
• El archivo dis con el nombre de archivo {file name} no
existe
• El archivo de entrada {dis file name} se está cargando.
Vuelva a intentarlo más tarde.
• El archivo de entrada {dis file name} ya está cargado
• La lista de columnas no coincide con el archivo de
propiedades de {dis file name}
Código de estado
Lista de códigos de estado HTTP devueltos para la solicitud fileUpload.
Código Descripción
200 OK La carga de archivos de huellas digitales se

ha realizado correctamente. El campo de estado
muestra uno de estos valores:
• En curso
• Completado
• Error
400 Bad Request

• Llamada a la API con una ruta de almacenamiento
compartido no válida.
• Cuando se carga el archivo de huella digital en el
recurso compartido de pruebas y se intenta volver
a cargar el mismo archivo.
• Cuando carga un archivo de huella digital
actualizado (con revisiones realizadas en el mismo
archivo) con un cambio en el orden de las
columnas, los nombres de columna o el número

de columnas. Debe volver a crear el archivo de

huella digital para cualquiera de estos cambios
y, a continuación, volver a crear los criterios de
clasificación del contenido.
403 Forbidden Llamada a la API con credenciales de ubicación de

almacenamiento compartido no válidas.
404 Not Found La ubicación de almacenamiento compartido en la

llamada a la API no contiene el archivo .props ni el
archivo .dis.
409 Conflict Cuando intenta cargar un archivo que se está

cargando en el recurso compartido de pruebas.
Verificar el estado del archivo de huella digital cargado mediante la llamada a la API REST
Utilice la llamada a la API fileStatus para consultar o verificar el estado del archivo de huella digital cargado.
Solicitud de API fileStatus

Consulta de ejemplo: curl -k -v -X GET https://<epo_server_name:port>/rest/dlp/classification/EDM/fileStatus?filename=<file_name> -u
"admin:<password>"
Donde -X se utiliza para pasar la URL al método de solicitud GET. Especifica el protocolo HTTP o HTTPS en comunicación con
la interfaz REST seguido de la llamada a la API fileStatus que se debe realizar para comprobar el estado del archivo cargado. El
nombre del archivo debe ser único, ya que no se pasa la ruta de acceso, y debe especificarse sin la extensión del archivo. -u
se utiliza para pasar los parámetros de autorización del servidor de McAfee ePO, y epo_server_name:puerto es la dirección IP del
servidor de McAfee ePO (o el nombre de host) y el número de puerto. El número de puerto predeterminado es 8443.
Parámetro de entrada
Utilice filename como parámetro de consulta con ? (signo de interrogación) para verificar el estado del archivo de huella digital
cargado. El nombre de archivo de huella digital debe ser único y debe especificarse sin la extensión de archivo.
Parámetros de autorización
Utilice estos parámetros para especificar los detalles de autorización de McAfee ePO.

Nombre del
parámetro Descripción Obligatorio Tipo
username Credenciales de usuario Obligatorio Autenticación básica

de McAfee ePO.
password Obligatorio Autenticación básica
Los parámetros que devuelve la solicitud de API fileStatus son:
Elemento Descripción Respuesta de ejemplo
filename Nombre del archivo cargado. El "filename": "1M",

nombre del archivo debe ser "fileId" : "9E872502-0ED2-42CF-
único, ya que no se necesita A516-552C4634C665",
la ruta del archivo, y debe "status" : "En curso"
especificarse sin la extensión del "lastSuccessfulUploadTime":
archivo. "2012-03-19T07:22Z"
fileId GUID del archivo cargado
status Muestra el estado de carga

del archivo de huella digital. El
campo de estado muestra uno de
estos valores:
• En curso
• Completado
• Error
lastSuccessfulUploadTime Muestra la hora a la que se

cargó correctamente el archivo
por última vez.
Código de estado
Lista de códigos de estado HTTP devueltos para la consulta fileStatus.

200 OK La búsqueda del archivo cargado se ha realizado

correctamente. El campo de estado muestra uno de
estos valores:
• En curso
• Completado
• Error
400 Bad Request La consulta tiene un parámetro no válido o el

archivo consultado no está disponible en el recurso
compartido de pruebas.
Localización de una coincidencia exacta de datos mediante EDM (mejorada)
Puede proteger los datos confidenciales mediante la función de coincidencia exacta de datos (EDM). Los datos confidenciales
o los registros de datos que desee proteger deben entrenarse con la herramienta EDMTrain para generar el archivo de huellas
digitales y utilizarse como criterio de clasificación para hacer coincidir los datos con cualquier infracción.
Antes de empezar
Entrene el archivo de origen de datos para generar el archivo de huella digital, necesario para la coincidencia exacta de datos
mediante la herramienta EDMTrain en la ubicación de almacenamiento compartido. Para obtener más información, consulte
Preparación del archivo de huella digital para la coincidencia exacta de datos.
Asegúrese de que la preferencia esté establecida en EDM (mejorada) en la directiva de configuración del servidor.
Los appliances de McAfee DLP Prevent son compatibles con el análisis de correos electrónicos y publicaciones web con EDM
(mejorada). Los appliances de McAfee DLP Monitor son compatibles con el análisis de correos electrónicos, publicaciones web y
tráfico de red con EDM (mejorada).
Los registros de datos se almacenan en archivos de origen de datos como filas de datos donde las celdas de cada fila están
relacionadas, por ejemplo:
Nombre del MRN ID de paciente Número de Correo

paciente teléfono electrónico
Juan García 1234567 234567 +1-555-1234 juan_garcia@mie

mpresa.ejemplo

Procedimiento
1. Especifique el archivo de huella digital del archivo de origen de datos que quiera proteger para evitar que se filtre.
a. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación.
b. En la pestaña Registrar documentos, seleccione Huellas digitales de datos exactos en la lista desplegable Tipo.
c. Haga clic en Añadir un origen de datos de EDM y haga clic en Nueva solución EDM.
d. En la página Vincular archivo de huella digital para la coincidencia exacta de datos, especifique la ubicación de
almacenamiento compartido del archivo .props y las credenciales de autorización.
e. Haga clic en Aceptar.

El archivo de huellas digitales para la coincidencia exacta de datos se vincula.
O BIEN, ejecute la llamada a la API fileUpload para que McAfee ePO copie el archivo de huella digital en la ubicación del
recurso compartido de pruebas.
Note
Cuando carga un archivo de huella digital actualizado (con revisiones realizadas en el mismo archivo) con un cambio
en el orden de las columnas, los nombres de columna o el número de columnas, se muestra un mensaje similar al
siguiente.
Los números y/o nombres de las columnas difieren de los datos existentes: \\<cifsshare_location>\<filename>.dis
O BIEN
La lista de columnas no coincide con el archivo de propiedades de {dis file name}
Debe volver a crear el archivo de huella digital si aparece alguno de estos mensajes y, a continuación, volver a crear los
criterios de clasificación del contenido.
2. Cree o añada criterios de clasificación de contenido de coincidencia exacta de datos.

b. Cree una clasificación mediante la selección de Acciones → Nueva clasificación en la lista de clasificaciones.
También puede añadir una condición de coincidencia exacta de datos a una clasificación existente.

c. Seleccione Acciones → Nuevo criterio de clasificación de contenido.

d. Desde la lista Condiciones de los datos, seleccione Coincidencia exacta de datos y Uso de EDM (mejorada).
Note
Si se selecciona la opción En uso, se utiliza la versión anterior de la clasificación de EDM. Puede utilizar EDM o EDM
(mejorada) en la clasificación, pero no ambas opciones.
e. Haga clic en el icono de elegir ( ), situado junto al campo Valor.

Aparecerá la página Criterios de coincidencia exacta de huellas digitales de datos.
Introduzca estos valores para crear los criterios de clasificación de EDM (mejorada):
• Origen de datos: especifique el archivo de origen de datos para la coincidencia exacta de datos.
• Columnas que analizar: seleccione los valores de columna que se deben encontrar en una coincidencia.
• Criterios de registro único: coincide con un registro en un archivo, por ejemplo, "al menos X de Y valores de
celda aparecen en el texto, en cualquier orden y con una distancia inferior a Z caracteres". Z es el valor de
proximidad y es la distancia máxima permitida entre los campos adyacentes.
• Número de registros únicos: por ejemplo, "encontrar al menos X registros en el texto analizado".
• Columnas obligatorias (opcional): seleccione las columnas obligatorias que deben estar presentes para que
coincida un registro.
• Excepciones (opcional): seleccione una combinación de columnas que desee excluir de la coincidencia, lo que
significa que una coincidencia compuesta únicamente por cualquier combinación de las columnas excluidas
no contará como una coincidencia de registro.
f. Haga clic en Aceptar.

3. Cree un conjunto de reglas que incluya una regla de protección de correo electrónico, web o comunicaciones de red.
Al crear la regla, especifique la clasificación de coincidencia exacta de datos que haya creado en el campo Condición →
Clasificación.

Para obtener información sobre cómo crear un conjunto de reglas y añadir una regla a un conjunto de reglas, consulte
Crear un conjunto de reglas y Crear una regla.
4. Asigne conjuntos de reglas a una directiva. Antes de asignar conjuntos de reglas a una directiva, active los conjuntos de
reglas.
Para obtener más información, consulte Asignar conjuntos de reglas a las directivas.
5. Asigne e inserte la directiva en appliances de McAfee DLP.
Para obtener más información, consulte Asignar e insertar una directiva en un sistema.
Coincidencia exacta de datos (solución EDM anterior)

La función Coincidencia exacta de datos (EDM) le permite proteger los registros confidenciales de la base de datos haciendo
que solo coincidan con los valores reales de los registros originales. Los registros de empleados, los registros de clientes y
los registros médicos de pacientes son ejemplos típicos de información confidencial que necesita protección. Aunque puede
proteger estos registros haciendo coincidir los patrones y los términos del diccionario, estos métodos de coincidencia de datos
requieren una lógica de regla y una condición complejas, que son propensas a la coincidencia falsa.
Important
La versión de EDM en McAfee DLP Prevent v11.6, McAfee DLP Monitor v11.6 y versiones anteriores se sustituye por EDM
(mejorada) en la versión v11.8, que es una solución más escalable. Aunque esta versión sigue siendo compatible con ambas
versiones de EDM, se recomienda cambiar a la versión más reciente de EDM, ya que la solución anterior se eliminará en una
versión futura de McAfee DLP. EDM (mejorada) no está disponible actualmente en McAfee DLP Discover. Para obtener más
información, consulte Ruta de actualización para utilizar EDM (mejorada).
Buscar coincidencias en los campos individuales de un registro confidencial (por ejemplo, el nombre, la fecha de nacimiento, el
número de teléfono o la ciudad) puede no resultar útil y dar lugar fácilmente a una coincidencia falsa. Sin embargo, si se cotejan
dos o más campos del mismo registro confidencial (por ejemplo, el nombre y el número de Seguridad Social) en el mismo texto
(como un mensaje de correo electrónico o un documento), indica que hay información relacionada importante.
EDM permite la coincidencia asociativa de varios campos del mismo registro, lo que permite reglas basadas en:
• Número de coincidencias de campo que constituyen una coincidencia de registro

• Proximidad requerida de coincidencias de campo
• Número de coincidencias de registro que constituyen una coincidencia de criterios de clasificación de EDM
El flujo de trabajo requiere que:
1. Prepare los datos de carácter confidencial en un formato de archivo CSV.

2. Cargue el archivo CSV directamente en McAfee ePO. En el caso de los conjuntos de datos más extensos que contienen más
de 100 000 filas, cargue el archivo CSV mediante la utilidad CSV2Fingerprints.exe. Estas opciones de carga están disponibles
al hacer clic en Cargar archivo, en la página Clasificación → Documentos registrados. Los datos de CSV se convierten en
un formato de huella digital con hash opaco.
3. Después de cargar el archivo CSV en McAfee ePO, defina los criterios de clasificación mediante los criterios de coincidencia
asociativos.

Ejemplo
Tenga en cuenta que tiene este registro de datos en un archivo CSV que se debe proteger:
Nombre Apellidos Número de Número de la Número de

tarjeta de crédito Seguridad Social teléfono
Juan García 11112222333344 12345678 + 1 9876543210

44
En la página Criterios de coincidencia exacta de huellas digitales de datos, intente que coincida con «si hay al menos 5
valores de celda de 5 valores de celda...». Si un usuario envía un mensaje de correo electrónico con «El CNN de Juan García es
1111222233334444...», esto no coincidirá con la fila de CSV, ya que es necesario que coincidan al menos 5 columnas. El correo
electrónico no se bloquea; sin embargo, el CCN se filtra.
En este ejemplo de CSV, tenga en cuenta que desea evitar que se filtren el número de la tarjeta de crédito y de la Seguridad
Social de un individuo, y que utilice los criterios «si hay al menos 2 valores de celda de 4 valores de celda...», sin tener en cuenta
la columna «Número de teléfono». En este caso, es posible obtener muchos desencadenadores de EDM falsos para diferentes
combinaciones de datos activados de las columnas 1, 2, 3 y 4.
A la hora de definir los criterios de EDM, le recomendamos que analice con detalle cuántas columnas deben coincidir y que
los criterios sean lo más estrictos posible. Por ejemplo, utilice los criterios «si hay al menos 3 valores de celda de 4 valores de
celda...» para proteger los datos que contienen el nombre, el apellido y el CCN; o el nombre, el apellido y el SSN, sin que se
produzcan desencadenadores falsos.
Creación e identificación por huellas digitales de un archivo CSV

No se recomienda utilizar valores comunes en un archivo CSV. Los valores deben ser exclusivos para obtener los mejores
resultados al utilizar EDM. Analice los datos que desee proteger (coincidencia) y asegúrese de que se trata de un valor de
coincidencia significativo. Todos los valores del archivo CSV se indizan en el archivo de huella digital, independientemente de la
definición que se utilice en las clasificaciones.
Los archivos de huellas digitales se crean automáticamente mediante la carga de archivos CSV en McAfee ePO. Para conjuntos
de datos extensos con más de 100 000 filas, cargue el archivo CSV mediante la utilidad CSV2Fingerprints.exe y utilice la función
Crear paquete. Se crea un archivo de huella digital y el hash de la celda CSV se añade a un archivo de huella digital. Este archivo
se copia a la carpeta del recurso compartido de almacenamiento de red de pruebas, donde McAfee DLP Discover, McAfee
DLP Prevent y McAfee DLP Monitor lo seleccionan para utilizarlo en los análisis de clasificación y corrección.

Note
En los casos en los que existe una diferencia entre los archivos de huellas digitales disponibles en el appliance y los archivos
de huellas digitales esperados que están definidos en la directiva, la inserción de directivas se rechaza temporalmente. Esto
puede suceder si el archivo .zip que contiene huellas digitales nuevas aún se está descargando y procesando, y McAfee ePO
introduce una nueva directiva que contiene referencias a archivos de huellas digitales que aún no se han procesado. Una
vez completado el procesamiento del archivo de huella digital, la siguiente inserción de directiva se realiza correctamente (a
menos que añada nuevas huellas digitales y directivas, en cuyo caso la inserción de directiva se rechazará temporalmente de
nuevo). El panel Administración de appliances la muestra como una directiva corrupta. Se trata de un problema temporal
hasta la siguiente inserción de la directiva.
¿Cómo especificar caracteres especiales en un archivo CSV?

El texto que contiene caracteres especiales, tales como la barra invertida (\), las comillas dobles ("") y la coma (,), que se utilizan
como valores CSV, se deben introducir en el archivo CSV, tal y como se muestra en estos ejemplos:
Descripción Ejemplo Entrada en el archivo CSV
Texto con comas: incluir el texto Islas Vírgenes Británicas "Islas Vírgenes Británicas"
en comillas dobles
Texto que contiene comillas Hola \ "Hola \"

dobles: incluir el carácter de
barra invertida como un carácter
de escape para las comillas
Texto que contiene el carácter \\share\file \\\\share\\file

de barra invertida: incluir el
carácter de barra invertida como
un carácter de escape para el
propio carácter de barra invertida
Creación de criterios de clasificación de EDM

La entrada para crear una clasificación de EDM puede tener los valores siguientes:
• Registros de huellas digitales de datos exactos: coincide con el archivo CSV específico
• Criterios de coincidencia de registro único: coincide con un registro en un archivo, por ejemplo, "al menos X de Y
valores de celda aparecen en el texto, en cualquier orden y con una distancia inferior a Z caracteres"
• Número de registros de coincidencia: por ejemplo, "encontrar al menos X registros en el texto analizado"
Idiomas compatibles
EDM puede analizar el tráfico en todos los idiomas, excepto en aquellos que no utilicen caracteres en blanco o signos de
puntuación para separar palabras. Por ejemplo, el chino y el japonés.

Limitaciones
• La primera línea del archivo CSV debe ser un encabezado de nombres de columna.
• Las huellas digitales solo se pueden cargar como archivos CSV o .zip. Los archivos CSV deben estar delimitados por
comas y no pueden contener más de 100 000 registros o filas (excepto el encabezado) cuando se invoca la utilidad desde
la interfaz de usuario.
Note
La creación automática de huellas digitales está limitada a archivos con menos de 100 000 registros. Para archivos
CSV más grandes, descargue la utilidad y cree los archivos manualmente mediante una línea de comandos o
mediante la función de arrastrar y soltar en la utilidad.
• No se crean huellas digitales para celdas con menos de tres caracteres.

• Un nombre de columna no puede contener más de 100 caracteres.
• Los números de teléfono del archivo de huella digital solo coinciden con números idénticos en archivos de texto. Por
ejemplo, un número de teléfono introducido en un CSV sin código de país no desencadena una coincidencia con el
mismo número del archivo de texto si incluye el código de país.
• Los nombres y apellidos que se encuentran en una única columna solo coinciden si están en el mismo orden. Si la
columna CSV contiene nombre - apellidos y el archivo de texto contiene apellidos - nombre, no se desencadena una
coincidencia.
Note
Puede evitar esta limitación si coloca los nombres y los apellidos en columnas diferentes.
Compatibilidad con versiones anteriores

Se omiten las clasificaciones con una condición de EDM enviadas a cualquier versión de producto de McAfee DLP anterior a
McAfee DLP Discover versión 11.1 o a los appliances de McAfee DLP versión 11.4.
• Si el criterio contiene varias condiciones (por ejemplo, Patrones avanzados AND Diccionarios AND EDM), este se evalúa
en función de las condiciones que se reconocen y se ignora EDM.
• Si el criterio contiene solo EDM, se considera vacío y se evalúa como falso, es decir, como sin coincidencias.
Buscar una coincidencia exacta en un archivo de datos
Puede proteger los datos confidenciales mediante la función de coincidencia exacta de datos (EDM). Los registros de datos o de
datos confidenciales que desee proteger deben guardarse en formato de archivo .csv y utilizarse como clasificaciones para que
coincidan con los datos de cualquier infracción.
La función de McAfee DLP Discover es compatible con la correspondencia exacta de datos en los repositorios de File Server,
SharePoint, Box y de base de datos.

Los appliances de McAfee DLP Prevent son compatibles con el análisis de correos electrónicos y publicaciones web con EDM.
Los appliances de McAfee DLP Monitor son compatibles con el análisis de correos electrónicos, publicaciones web y tráfico de
red con EDM.
Los registros de datos se almacenan en archivos CSV como filas de datos donde las celdas de cada fila están relacionadas, por
ejemplo:
Nombre Apellidos Teléfono Correo electrónico
Juan García 871-555-5555 j.garcia@google.com
Cuando añada una condición de coincidencia de datos exacta a una definición de clasificación, aplique esa clasificación a los
archivos cargados y cree un paquete de EDM. McAfee DLP hace que el paquete de EDM esté disponible para los análisis de
Procedimiento
1. Cargue archivos CSV con los registros de datos que desee evitar que se filtren.
b. En la pestaña Registrar documentos, seleccione Huellas digitales de datos exactos en la lista desplegable Tipo.
c. Haga clic en Añadir un origen de datos de EDM y en Solución EDM anterior.
d. Seleccione un archivo CSV o .zip para cargar y, a continuación, haga clic en Aceptar.
Para cargas con más de 100 000 registros, haga clic en el vínculo del ejecutable para abrir la utilidad
CSV2Fingerprints.exe y generar el archivo fingerprints.zip.
2. Cree o añada una condición de coincidencia de datos exacta.
b. Opcional: cree una clasificación mediante la selección de Acciones → Nueva clasificación en la lista de
clasificaciones.
También puede añadir una condición de EDM a una clasificación existente.
c. Seleccione Acciones → Nuevo criterio de clasificación de contenido.
d. En la lista Condiciones de los datos, seleccione Coincidencia exacta de los datos y Uso.
e. Haga clic en el icono de elegir ( ), situado junto al campo Valor.

Aparecerá la página Criterios de coincidencia exacta de huellas digitales de datos.

f. Haga clic en el icono de elegir y seleccione un archivo CSV de la lista de archivos que ha cargado. Rellene los
criterios de coincidencia y el número de registros para la coincidencia. Haga clic en Aceptar.
3. Cree el paquete. En la pestaña Registrar documentos, seleccione Huellas digitales de datos exactos en la lista
desplegable Tipo. Haga clic en Acciones y, a continuación, en Crear paquete.
Todos los documentos cargados se añaden al paquete y este se copia en la carpeta de recurso compartido de pruebas de
red.
4. (Solo para McAfee DLP Discover) Cree una regla de descubrimiento de red.
a. En Administrador de directivas de DLP, abra un conjunto de reglas o cree uno.
b. En la pestaña Descubrimiento, seleccione Acciones → Nueva regla de descubrimiento y, después, seleccione uno
de los tipos de repositorios admitidos por la función (servidor de archivos, SharePoint, Box o base de datos).
c. Seleccione la clasificación que ha creado en el paso 2 y un repositorio que coincida con el tipo seleccionado en el
subpaso b. Rellene el resto de campos y haga clic en Guardar.
5. (Solo para McAfee DLP Discover) Ejecute el análisis.
a. En McAfee DLP Discover, en la página Operaciones de análisis, seleccione Acciones → Nuevo análisis y, a
continuación, seleccione el tipo de repositorio apropiado.
b. Seleccione el tipo de análisis (Clasificación o Corrección) y rellene el resto de los campos según sea necesario.
c. En la pestaña Repositorios, seleccione uno.
d. En la pestaña Reglas, seleccione el conjunto de reglas que incluye la regla creada en el paso 4.
Página de criterios de coincidencia exacta de huellas digitales de datos
Utilice esta pantalla para configurar una coincidencia exacta de huellas digitales de datos.

Definiciones de las opciones
Opción Definición
Registros de huellas digitales de datos exactos Abre una ventana con una lista de las huellas
digitales de datos exactos entre las que seleccionar.
Criterios de coincidencia de registro único Contiene dos campos de texto para especificar los
criterios de coincidencia: el primer campo especifica
el número de valores de celda para la coincidencia.
El segundo especifica la proximidad.
Número de registros que coinciden Campo de texto para introducir el número de

coincidencias.
Análisis de archivos de imagen con OCR

Los análisis de reconocimiento óptico de caracteres (OCR) extraen texto de archivos de imagen.
Puedes utilizar la función de reconocimiento óptico de caracteres (OCR, por sus siglas en inglés) para extraer texto de los
archivos de imagen. El texto extraído se compara con las definiciones de clasificación para clasificar o corregir archivos.
En McAfee DLP Discover, puede utilizar la función de OCR al analizar cualquier repositorio basado en archivos. No se admiten
los análisis de la base de datos.
En los appliances de McAfee DLP, puede utilizar la función de reconocimiento óptico de caracteres cuando se analizan imágenes
adjuntas a correos electrónicos, se cargan en publicaciones web o se encuentran en otro tráfico de red.
Note
La función de OCR se admite en McAfee DLP Discover 11.1.100 y versiones posteriores y en los appliances de McAfee DLP
11.4.0 y versiones posteriores.
El reconocimiento óptico de caracteres forma parte de la función de extracción de texto. Cuando el extractor de texto encuentra
un archivo de imagen, se realiza una segunda pasada con OCR para extraer el texto y clasificar, corregir o registrar el archivo de
acuerdo con las reglas relevantes. La función también funciona con imágenes guardadas como un archivo .pdf. Si un archivo .pdf
contiene texto e imágenes, se analiza como un archivo de texto de la forma habitual. Por ejemplo, los appliances de McAfee
DLP supervisan un documento confidencial de copia impresa analizado y enviado en un correo electrónico como archivo
adjunto .pdf. El análisis de OCR funciona con todos los idiomas compatibles con McAfee DLP, así como con la mayoría de los
idiomas occidentales y asiáticos.

Para obtener más información sobre la instalación, actualización del paquete OCR en McAfee DLP Discover, consulta la Guía de
instalación de McAfee Data Loss Prevention Discover, la Guía de instalación de KB91046.
No es necesaria ninguna instalación de software adicional en los appliances de McAfee DLP para ejecutar la función de OCR.
Formatos de imagen compatibles

Los appliances de McAfee DLP Discover y McAfee DLP admiten el análisis de imágenes de estos formatos:
• BMP*
• GIF
• JPEG
• PCX
• PDF
• PNG
• TIFF
* Aunque se pueden analizar archivos BMP, no se admiten archivos BMP de 32 bits (8 bits por canal de color y canal alfa de 8
bits).
Los siguientes formatos de imagen no se admiten en appliances de McAfee DLP , pero se admiten en :
• TIFF-FX (fax eXtended)

• WMP (Windows Media Photo)
• XPS (XML Paper Specification)
Imágenes no analizables con appliances de McAfee DLP
El análisis de OCR podría fallar en ciertas imágenes debido a lo siguiente:
• Un tamaño de imagen superior a 8400 píxeles

• La resolución es inferior a 75 ppp o superior a 2400 ppp.
• El tiempo de análisis de OCR excede el periodo de tiempo de espera de 5 minutos para una imagen individual
• Corrupción de archivos que hace que el archivo sea ilegible
En los appliances de McAfee DLP Prevent, el error de análisis de OCR da como resultado que todo el correo electrónico o la
publicación web se traten como no analizables. Si no hay un conjunto de acciones de mayor prioridad, como BLOCK (Bloquear),
se ejecuta la acción UNSCANNABLE (No escaneable). El appliance de McAfee DLP Prevent añade el encabezado X-RCIS-Action:
SCANFAIL a los mensajes de correo electrónico no analizables que recibe el host inteligente.
En el caso de las publicaciones web, el proxy web recibe un estado de ICAP 400 - Solicitud incorrecta. Cualquier otra detección en
el correo electrónico o en una publicación web sigue provocando incidentes de DLP.
Limitaciones
OCR consume muchos recursos y aumenta significativamente el tiempo de análisis si hay muchos archivos de imagen en el
repositorio.

Por este motivo, en McAfee DLP Discover, se puede deshabilitar con una casilla en la página Extractor de texto de la
configuración del servidor si no es necesario.
Creación y configuración de clasificaciones

Crear clasificación
Las reglas de descubrimiento y protección de datos requieren definiciones de clasificación en su configuración.
Procedimiento
2. Haga clic en Acciones → Nueva clasificación.
3. Introduzca un nombre y, si quiere, una descripción.
4. Elija un grupo al que asociar la clasificación.
5. Haga clic en Aceptar.
6. Agregue grupos de usuarios finales a la clasificación manual o documentos registrados a la clasificación, haciendo clic
en Editar para el componente correspondiente.
7. Agregue criterios de identificación por huellas digitales o clasificación de contenido con el control Acciones.
Crear grupos de clasificación
Las clasificaciones se gestionan colocándolas en grupos lógicos.
Las clasificaciones integradas existentes se agrupan en grupos lógicos, mientras que las clasificaciones nuevas se categorizan en
el grupo Sin asignar hasta que se les asigne un grupo.
Procedimiento
2. Haga clic en Nuevo grupo de clasificación, en el menú Acciones.
3. Escriba un nombre para el grupo y una descripción opcional.
4. Haga clic en Guardar y nuevo para guardar el nombre del grupo e introducir otro grupo de clasificación nuevo. O haga
clic en Guardar para salir de la ventana.
5. Para administrar las clasificaciones de un grupo, seleccione el nombre del grupo y haga clic en Administrar
clasificaciones.
Se abrirá la ventana Elegir clasificaciones.
6. Seleccione una o varias clasificaciones de la lista y haga clic en Guardar.
Las clasificaciones seleccionadas se agregarán al grupo.
Resultados
La lista de clasificaciones se agrupa en categorías lógicas para una administración más eficiente.
Creación de los criterios de clasificación
Aplique los criterios de clasificación a los archivos en función del contenido y las propiedades del archivo.

Los criterios de clasificación de contenido se crean a partir de las definiciones de archivos y datos. Si no existe una definición
requerida, puede crearla cuando defina los criterios.
Procedimiento
2. Seleccione la clasificación a la que quiere agregar los criterios y haga clic en Acciones → New Content Classification
Criteria (Nuevos criterios de clasificación de contenido).
3. Introduzca el nombre.
4. Seleccione las propiedades y configure las entradas de comparación y valor.
• Para eliminar una propiedad, haga clic en <.

• En el caso de algunas propiedades, tendrá que hacer clic en ... para seleccionar una propiedad existente o crear
una nueva.
• Para agregar valores adicionales a una propiedad, haga clic en +.
• Para eliminar valores, haga clic en -.
Creación de propiedades de documentos
Es posible crear una clasificación basándose en las propiedades de los documentos.
Procedimiento
2. Haga clic en Nueva clasificación y especifique un nombre exclusivo y una descripción opcional.
3. Haga clic en Acciones y seleccione Nuevo criterio de clasificación de contenido o haga clic en el vínculo Editar para
cambiar un criterio de clasificación existente.
4. Haga clic en Propiedades del documento, después en ... y seleccione Nuevo elemento.
5. Seleccione la propiedad que desee y haga clic en Guardar.
Carga de documentos registrados o ignorados
Seleccione y cree paquetes de archivos para crear firmas. Estas firmas están disponibles para que los appliances y los endpoints
rastreen y clasifiquen contenido.
Procedimiento
2. Haga clic en la pestaña Registrar documentos y seleccione Tipo: registro manual.
3. Haga clic en Carga de archivo.
Aparecerá la ventana Elegir archivo.
4. Navegue hasta el archivo, selecciónelo y seleccione si quiere sustituirlo si existe el nombre y qué clasificación aplicar al
archivo.
Carga de archivo procesa un solo archivo. Para cargar varios documentos, cree un archivo .zip.
Se carga y se procesa el archivo, y se muestran los datos estadísticos en la página.
6. Haga clic en Crear paquete cuando se haya completado la lista de archivos.

Cuando se eliminen los archivos, quítelos de la lista y cree un paquete nuevo para aplicar los cambios.
7. Para cargar documentos ignorados, repita este procedimiento en la pestaña Clasificación → Texto ignorado.
En el caso del texto ignorado, solo aparece la opción de sustituir el archivo en la ventana Elegir archivo.
Resultados
Los paquetes de firma de todos los documentos registrados y todos los documentos ignorados se cargan en la base de datos de
McAfee ePO para su distribución a los endpoints.
Note
A partir de McAfee DLP 11.5 y versiones posteriores, al crear el paquete se aplican todas las configuraciones de cliente y el
número de versión se incrementa.
Prueba de las clasificaciones
Ejecute el Probador de clasificación para comprobar si con sus clasificaciones se desencadena una expresión o un archivo.
Las clasificaciones con las condiciones siguientes no se pueden probar:
• Coincidencia exacta de datos

• Etiquetas de terceros
• Documentos registrados
• Texto ignorado
• Identificación por huellas digitales de contenido
• Clasificaciones manuales
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Clasificación. Haga clic en la pestaña Probador de
clasificación.
2. En Lista de clasificaciones, seleccione las clasificaciones que desee probar. Las clasificaciones que no se pueden probar
aparecen atenuadas.
3. Para introducir texto, haga clic en Examinar para seleccionar un archivo de su red o seleccione Texto sin formato para
introducir texto de forma manual.
El tamaño máximo de archivo para la carga es de 50 MB.
4. En Tiempo de desactivación de la prueba, seleccione cuánto tiempo debe intentar proporcionar resultados el probador
de clasificación.
5. Haga clic en Iniciar prueba.
Resultados
El resultado de la prueba aparecerá en Resultados de la prueba. El texto desencadenante se resaltará.
Página del probador de clasificación
Desde esta página, puede probar las clasificaciones comprobando si una fase o un archivo desencadena las clasificaciones.

Categoría Opción Definición
Lista de clasificaciones Seleccione las clasificaciones Enumera todas sus

para las pruebas. clasificaciones, incluidas las
integradas y las personalizadas.
Utilice el cuadro de búsqueda
para buscar clasificaciones en la
lista.
Utilice el botón de expansión
para ver las clasificaciones por
grupos y seleccionarlas haciendo
clic en las casillas.
Datos de prueba Seleccione un archivo o Opciones para añadir texto.

introduzca texto para probar las
• Examinar: cuando la opción
clasificaciones. está seleccionada, el botón
Examinar se activa y puede
explorar su red para cargar un
archivo. El tamaño máximo de
archivo para la carga es de
50 MB.
• Texto sin formato: cuando
la opción está seleccionada,
puede introducir texto
manualmente.
Note: El campo Texto

sin formato tiene un límite
de 1024 caracteres. Si
el texto con contenido
de carácter confidencial
aparece más allá de este
límite, el texto se trunca y
la clasificación no muestra
ninguna coincidencia.
Realice la prueba.
• Tiempo de desactivación de
la prueba: utilice el menú

para seleccionar cuánto tiempo

debe intentar proporcionar
resultados el probador de
clasificación.
• Iniciar prueba: inicia la prueba
del texto y las clasificaciones
seleccionadas.
Resultados de la prueba Muestra los resultados de la

prueba de clasificación.
Comprobación del uso de la clasificación en las reglas
Compruebe qué reglas están usando una clasificación específica.
Procedimiento
2. En la lista Clasificación, seleccione la clasificación cuyo uso en las reglas desee comprobar.
3. Seleccione Acciones → Uso de clasificación.
En la ventana Uso de clasificación se muestra una lista de todas las reglas que utilizan la clasificación seleccionada. Si es
necesario, puede hacer clic en una regla para realizar cambios.
Note
Si elimina una clasificación que se está usando con otras reglas, la ventana Uso de clasificación se abrirá
automáticamente.
Configuración de componentes de clasificación para McAfee DLP

Crear criterios de identificación por huellas digitales de contenido
Aplique criterios de identificación por huellas digitales a los archivos según la ubicación del archivo o la aplicación.
Procedimiento
2. Seleccione la clasificación a la que agregar criterios.
3. Seleccione Acciones → New Content Fingerprinting Criteria (Nuevos criterios de identificación de contenido por huellas
digitales) y, a continuación, elija el tipo de criterio.
4. Introduzca un nombre y especifique información adicional según el tipo de criterios de identificación por huellas
digitales.

• Aplicación: Haga clic en ... para seleccionar una o varias aplicaciones.

• Ubicación: Haga clic en ... para seleccionar uno o varios recursos compartidos de red. Si fuera necesario,
especifique el tipo de medio extraíble.
• Aplicación web: Haga clic en ... para seleccionar una o varias listas de URL.
5. (Opcional) Seleccione una o varias propiedades y configure las entradas de valores y comparación.

• Para algunas propiedades, haga clic en ... para seleccionar una propiedad existente o crear una nueva.
• Para agregar valores adicionales a una propiedad, haga clic en +.
• Para eliminar valores, haga clic en -.
Asignar permisos de clasificación manual
Configure a los usuarios con permisos para clasificar los archivos manualmente.
Procedimiento
2. Haga clic en la ficha Clasificación manual.
3. En la lista desplegable Ver, seleccione Agrupar por clasificaciones o Agrupar por grupos de usuarios finales.
Puede asignar clasificaciones a grupos de usuarios finales o grupos de usuarios finales a clasificaciones, lo que le resulte
más cómodo. La lista Ver determina cómo se ven los elementos.
4. Si agrupa por clasificaciones:
a. Seleccione una clasificación en la lista desplegable.
b. En la sección Clasificaciones, elija el tipo de clasificación.
Si la lista es muy larga, redúzcala escribiendo una cadena en el cuadro de texto Filtrar lista.
c. Seleccione Acciones → Seleccionar grupos de usuarios finales.
d. En la ventana Elegir entre los valores existentes, seleccione grupos de usuarios o haga clic en Nuevo elemento
para crear un nuevo grupo. Haga clic en Aceptar.
5. Si agrupa por grupos de usuarios finales:
a. Seleccione un grupo de usuarios en la lista que aparece.
b. Seleccione Acciones → Seleccionar clasificaciones.
c. En la ventana Elegir entre los valores existentes, seleccione clasificaciones. Haga clic en Aceptar.
Cómo pueden clasificar sus propios archivos los usuarios finales
Se pueden asignar permisos de clasificación manual a aquellos trabajadores cuyas tareas requieran crear con asiduidad archivos
que contienen información confidencial. Pueden clasificar los archivos a la vez que los crean como parte de su flujo de trabajo
habitual.
Los usuarios que trabajan en equipos Windows o Mac con McAfee DLP Endpoint pueden clasificar los archivos manualmente.
Los archivos clasificados manualmente son compatibles con las reglas de McAfee DLP Discover, McAfee DLP Prevent y McAfee
DLP Monitor.

En este ejemplo, un proveedor de servicios sanitarios sabe que todos los registros de pacientes deben considerarse
confidenciales de conformidad con la normativa de HIPAA. Los trabajadores que crean o editan registros de pacientes reciben
permisos manuales de clasificación.
Procedimiento
1. Cree un grupo o grupos de usuarios para los trabajadores que crean o editan los registros de pacientes.
b. En la pestaña Definiciones, seleccione Origen/destino → Grupo de usuarios finales.
c. Seleccione Acciones → Nuevo elemento, sustituya el nombre predeterminado por un nombre significativo como,
por ejemplo, Grupo de usuarios de PHI y, a continuación, añada usuarios o grupos a la definición.
2. Cree una clasificación de PHI (Protected Health Information).
a. En el módulo Clasificación, en la ficha Clasificación, seleccione [Muestra] PHI [integrado] en el panel de la
izquierda y, a continuación, seleccione Acciones → Duplicar clasificación.
Aparecerá una copia editable de la clasificación de muestra.
b. Edite los campos de Nombre, Descripción y Criterios de clasificación según sea necesario.
c. En el campo Clasificación manual, haga clic en Editar.
d. En la sección Acciones adicionales, seleccione el tipo de clasificación.
De manera predeterminada, solo está seleccionada la Clasificación manual.
e. Seleccione Acciones → Seleccionar grupos de usuarios finales.
f. En la ventana Elegir entre los valores existentes, seleccione el grupo o los grupos que ha creado anteriormente y,
a continuación, haga clic en Aceptar.
g. Vuelva a la pestaña Clasificación y seleccione Acciones → Guardar clasificación.
Resultados
Los trabajadores que formen parte de los grupos asignados ya pueden clasificar los registros de pacientes a la vez que los crean.
Para ello, haga clic con el botón derecho en el archivo, seleccione Protección de datos y elija la opción adecuada.
Note
En el menú, aparecerán únicamente las opciones seleccionadas (paso 2.d).
Creación de definiciones de clasificación

Creación de una definición de clasificación general
Cree y configure definiciones para su uso en clasificaciones y reglas.
Procedimiento
2. Seleccione el tipo de definición que quiera configurar y, a continuación, seleccione Acciones → Nueva clasificación.
3. Introduzca un nombre y configure las opciones y las propiedades de la definición.
Las opciones y las propiedades disponibles varían según el tipo de definición.

Creación o importación de una definición de diccionario
Un diccionario es una recopilación de palabras o expresiones clave en la que cada entrada tiene una calificación asignada. Las
puntuaciones permiten definiciones de reglas más detalladas.
Es posible crear una definición de diccionario mediante la importación de un archivo de diccionario en formato CSV. También se
pueden importar elementos con un script que contenga llamadas a API REST. El administrador que ejecute el script debe ser un
usuario válido de McAfee ePO con permisos en los Conjuntos de permisos de McAfee ePO para realizar las acciones invocadas
por las API.
Tip
Los archivos CSV de diccionario pueden emplear varias columnas. Exporte un diccionario a fin de comprender cómo se
rellenan las columnas antes de crear un archivo para la importación.
Procedimiento
3. En el panel de la izquierda, seleccione Diccionario.
4. Seleccione Acciones → Nuevo elemento.
6. Añada entradas al diccionario.
Para importar entradas:
a. Haga clic en Importar entradas.
b. Introduzca palabras o expresiones, o bien cópielas y péguelas desde otro documento.
La ventana de texto está limitada a 20.000 líneas de 50 caracteres por línea.
c. Haga clic en Aceptar.
A todas las entradas se les asigna una calificación predeterminada de 1.
d. Si es necesario, actualice la calificación predeterminada de 1 haciendo clic en Editar en la entrada.
e. Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea necesario.
Empieza por y Termina por ofrecen coincidencia con subcadenas.
Para crear entradas manualmente:
a. Haga clic en Acciones → Agregar.
b. Introduzca la frase y la calificación.
c. Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea necesario.
d. Haga clic en Guardar o en Guardar y nueva para añadir otra entrada.
Caso de uso: crear una definición de diccionario basada en palabras clave
Cree una definición de diccionario basada en una palabra clave en minúsculas y agréguela a una clasificación.

Procedimiento
1. En McAfee ePO, vaya a Clasificación → Definiciones → Diccionario y haga clic en Acciones → Nuevo elemento.
2. Asigne un nombre a la definición del diccionario y una descripción opcional y, a continuación, haga clic en Acciones →
Agregar.
3. En Expresión, escriba la palabra seguridad, establezca la Calificación en 1 y seleccione Distinción entre mayúsculas y
minúsculas para que se produzca la coincidencia con la palabra clave solo cuando esté en minúsculas.
4. Haga clic en Añadir y, a continuación, en Guardar.
5. Seleccione Clasificación → Nueva clasificación. Asigne un nombre a la clasificación, agregue una descripción opcional y
haga clic en Aceptar.
6. Seleccione la clasificación recién creada y haga clic en Acción → Nuevo criterio de clasificación de contenido.
7. Seleccione el diccionario y use la comparación (O/Y/NO).
8. Haga clic en (...) y seleccione la definición del diccionario recién creado, asígnele un umbral de 10 y haga clic en Aceptar.
9. Asigne la clasificación a una regla para desencadenar la clasificación.
Creación de una definición basada en un patrón avanzado
Los patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón avanzado puede incluir una expresión
sencilla o una combinación de expresiones y definiciones de falsos positivos.
Los patrones avanzados se definen con expresiones regulares (regex).
Note
No hay ningún equivalente para las opciones Coincidencia de porcentaje y Número de bytes desde el principio en los
appliances de McAfee DLP.
Procedimiento
2. Seleccione la pestaña Definiciones y Patrón avanzado en el panel izquierdo.
Para ver solo los patrones avanzados definidos por el usuario, anule la selección de Incluir elementos incorporados. Los
patrones definidos por el usuario son los únicos que pueden editarse.
Los patrones disponibles aparecerán en el panel de la derecha.
3. Select Actions → New Item.
5. En Expresiones coincidentes:
a. Introduzca una expresión en el cuadro de texto y agregue una descripción opcional.
b. Seleccione un validador en la lista desplegable o, si la validación no es adecuada para la expresión, seleccione Sin
validaciones.
Un validador es lo mismo que un algoritmo en McAfee DLP 9.3.x. Puede utilizarlo para minimizar los falsos positivos.
c. Introduzca un número en el campo Calificación para indicar el peso de la expresión en la coincidencia de umbral.
d. Haga clic en Agregar.
6. En Expresiones ignoradas:
a. Introduzca una expresión en el cuadro de texto.

Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos en la definición mediante
Importar entradas.
b. En el campo Tipo, seleccione RegEx en la lista desplegable si la cadena es una expresión regular, o bien Palabra
clave si es texto.
También se pueden añadir expresiones de palabras clave mediante Importar palabras clave, escribiendo las palabras
clave separadas por una línea nueva.
c. Haga clic en Agregar.
7. Agregue el recuento al concepto:
a. Asigne a todas las expresiones una calificación de 1.
b. Cuando asigne el diccionario a la clasificación, proporcione al umbral el mismo valor que tuviera la configuración
de recuento en McAfee DLP 9.3.x.
c. Seleccione Contar varias repeticiones de cada cadena coincidente si la calificación debe agregarse en caso de
existir varias apariciones de una misma expresión en un documento.
d. Seleccione Contar cada cadena coincidente solo una vez si la calificación no debe agregarse y debe ser única
aunque existan varias apariciones de una misma expresión en un documento.
e. Seleccione Empieza por y Termina por para ver si el documento comienza o termina con la expresión, o bien
seleccione ambas opciones para buscar la expresión en cualquier parte del documento.
f. Para que la coincidencia se produzca según el número de líneas desde el principio del documento, puede crear
una nueva expresión regular mediante condiciones como menor que, igual a o mayor que.
Crear una definición de lista de URL
Las definiciones de listas de URL se utilizan para definir las reglas de protección web y los criterios de clasificación de
identificación de huellas digitales de contenido web. Se añaden a las reglas y clasificaciones como condiciones de Dirección
web (URL).
Es posible crear una definición de lista de URL mediante la importación de la lista en formato CSV. También se pueden importar
elementos con un script que contenga llamadas a API REST. El administrador que ejecute el script debe ser un usuario válido de
McAfee ePO con permisos en los Conjuntos de permisos de McAfee ePO para realizar las acciones invocadas por las API.
Tip
Los archivos CSV de lista de URL pueden emplear varias columnas. Exporte una lista de URL a fin de comprender cómo se
Realice estos pasos para cada dirección URL necesaria.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, seleccione Lista de URL y, después, Acciones → Nuevo elemento.
3. Introduzca un nombre único y una definición opcional.

• Introduzca la información de Protocolo, Host, Puerto y Ruta en los cuadros de texto y, a continuación, haga clic en
Agregar.
Note
También puede agregar un cadena de consulta opcional.
• Pegue una URL en el cuadro de texto Pegar URL, haga clic en Analizar y, a continuación, en Agregar.
El software rellena los campos de URL.
5. Una vez agregadas a la definición todas las URL requeridas, haga clic en Guardar.
Clasificación de contenido de carácter confidencial mediante

etiquetas de Boldon James y Titus
Cree clasificaciones con etiquetas de clasificación de Titus y Boldon James.
Antes de empezar
1. Instale la API de terceros en los endpoints.

2. En el Catálogo de directivas, abra la Configuración de cliente de Windows actual. Seleccione Configuración → Módulos
y modo de funcionamiento. Compruebe que Complementos de Outlook → Activar la integración de complementos de
terceros esté seleccionado.
3. En Ajustes → Protección de correo electrónico, en la sección Integración de complementos de terceros para Outlook,
seleccione Titus o Boldon James en la lista desplegable Nombre del proveedor.
Note
Estos ajustes afectan únicamente al uso de etiquetas de terceros con el correo electrónico. Puede utilizar etiquetas de
terceros con los archivos sin tener que modificar la configuración de cliente.
Titus y Boldon James son soluciones habituales para clasificar y etiquetar archivos y mensajes de correo electrónico de manera
proactiva. McAfee DLP Endpoint puede integrarse en estas aplicaciones llamando a API de terceros para identificar los archivos
etiquetados y determinar las etiquetas. Puede aplicar las clasificaciones creadas con etiquetas de terceros al correo electrónico y
a todas las reglas de protección y descubrimiento que inspeccionan archivos.
Note
Limitaciones de Boldon James:
• Las clasificaciones de Boldon James solo se admiten en sistemas de archivos NTFS.

• Las clasificaciones deben estar en las reglas que usan la información del archivo.
• En las reglas de protección contra capturas de pantalla, Boldon James solo admite las clasificaciones de huella digital.

Procedimiento
2. Haga clic en Nueva clasificación.
3. Escriba un nombre exclusivo y, si lo desea, una descripción.
4. Haga clic en Acciones y seleccione Nuevos criterios de clasificación de contenido o Nuevos criterios de identificación
por huellas digitales de contenido.
5. Seleccione la propiedad Etiquetas de terceros.
6. Seleccione las etiquetas de clasificación según sea necesario.
• Introduzca el nombre de etiqueta de Titus y un valor. Defina la cadena de valor seleccionando un valor de la lista
desplegable y escribiendo un valor. Defina la cadena de valor introducida para los nombres de etiqueta de Titus
como:
equivale a uno de
es igual a todos de
contiene uno de
contiene todos de
• Introduzca el nombre del selector de Boldon James y el valor. Defina la cadena de valor seleccionando un valor de
la lista desplegable y escribiendo un valor. Defina la cadena de valor introducida para los nombres de etiqueta de
Boldon James como:
equivale a uno de
es igual a todos de
contiene uno de
contiene todos de
7. (Opcional) Haga clic en + y añada otro par de nombre/valor.

Clasificar contenido de carácter confidencial mediante etiquetas de

Microsoft RMS o Azure Information Protection
Puede utilizar la opción de etiquetas de terceros para identificar y rastrear contenido de carácter confidencial para los
documentos mantenidos con herramientas de terceros. Las plantillas de Microsoft RMS o Azure Information Protection se
pueden utilizar para estas clasificaciones.
Antes de empezar
Asegúrese de que el servidor está definido en Servidores registrados en McAfee ePO. Para obtener más información acerca del
registro de servidores de terceros, consulte la guía de instalación de McAfee DLP Endpoint.
Procedimiento
2. Haga clic en Nueva clasificación.
3. Escriba un nombre exclusivo y, si lo desea, una descripción.

4. Haga clic en Acciones y seleccione Nuevos criterios de clasificación de contenido o Nuevos criterios de identificación
por huellas digitales de contenido.
5. Seleccione la propiedad Etiquetas de terceros.
6. Seleccione las etiquetas de clasificación según sea necesario.
• Seleccione el nombre del servidor de Microsoft RMS en la lista desplegable Valor y una plantilla para dicho servidor.
Para seleccionar una plantilla, haga clic en el selector y seleccione la plantilla en la ventana emergente.
• Seleccione el nombre del servidor de Azure RMS en la lista desplegable Valor y especifique una etiqueta. Para
seleccionar una etiqueta, haga clic en el selector y seleccione la etiqueta en la ventana emergente.
7. (Opcional) Haga clic en + y añada otro par de nombre y valor.

Resultados
Las etiquetas seleccionadas se aplicarán a la clasificación.

5| Uso de reglas y directivas para proteger el contenido de carácter confidencial
Uso de reglas y directivas para proteger el contenido de

carácter confidencial
Creación de directivas con conjuntos de reglas
Los conjuntos de reglas definen las directivas de McAfee DLP. Un conjunto de reglas puede contener una combinación de reglas
de protección de datos, control de dispositivos, descubrimiento y control de aplicaciones. Las definiciones de reglas se aplican a
todos los conjuntos de reglas.
En la página Grupos de reglas se muestra una lista de los grupos de reglas establecidos y el estado de cada uno. La pantalla
incluye el número de incidentes registrados para cada conjunto de reglas, cuántas reglas se han definido y cuántas se han
activado. Los iconos de colores indican los tipos de reglas activadas. La información sobre herramientas mostrada cuando se
pasa el ratón sobre los iconos muestra el tipo de regla y el número de reglas activadas.
Página Conjuntos de reglas con información sobre herramientas
En el conjunto de reglas aaa (1), se ha definido una regla de protección de datos y está habilitada (1/1 a la izquierda de la
sección Reglas de datos). Los iconos azules muestran qué tipos de reglas están definidos. La información sobre herramientas
muestra que una de estas reglas es una regla de protección contra capturas de pantalla. Para ver qué reglas están definidas pero
desactivadas, abra la regla para su edición.
Creación de un intervalo de puertos de red
Los intervalos de puertos de red sirven como criterios de filtrado en las reglas de protección de comunicaciones de la red.
Procedimiento
2. En el panel de la izquierda, seleccione Puerto de red y, a continuación, haga clic en Acciones → Nuevo.
También puede editar las definiciones integradas.
3. Escriba un nombre único y, si lo desea, una descripción.

4. Introduzca los números de puerto, separados por comas y, si quiere, una descripción; después, haga clic en Agregar.
5. Cuando haya añadido todos los puertos necesarios, haga clic en Guardar.
Creación de un intervalo de direcciones de red
Los intervalos de direcciones de red sirven como criterios de filtrado en las reglas de protección de comunicaciones de la red.
Para cada definición requerida, lleve a cabo los pasos del 1 al 4:
Procedimiento
2. En el panel de la izquierda, seleccione Dirección de red (dirección IP) y, a continuación, haga clic en Acciones → Nuevo.
3. Introduzca un nombre único y una definición opcional.
4. Introduzca una dirección, un intervalo o una subred en el cuadro de texto. Haga clic en Añadir.
En la página se mostrarán ejemplos con el formato correcto.
Note
Solo se admiten direcciones IPv4. Si se introduce una dirección IPv6, aparecerá el mensaje La dirección IP no es válida en
lugar de indicar que no es compatible.
5. Cuando haya introducido todas las definiciones necesarias, haga clic en Guardar.
Crear una definición de lista de direcciones de correo electrónico
Las definiciones de lista de direcciones de correo electrónico son dominios de correo electrónico predefinidos o direcciones de
correo electrónico específicas que pueden incluirse en las reglas de protección de correo electrónico.
Para que las reglas de protección de correo electrónico sean más detalladas, incluya algunas direcciones de correo electrónico y
excluya otras. Asegúrese de crear ambos tipos de definiciones.
Tip
Para combinaciones de operadores que utilice con frecuencia, añada varias entradas a una definición de lista de direcciones
de correo electrónico.
Puede importar listas de direcciones de correo electrónico en formato CSV.
También se pueden importar elementos con un script que contenga llamadas a la API REST. El administrador que ejecute
el script debe ser un usuario de McAfee ePO válido con permisos en Conjuntos de permisos de McAfee ePO para realizar las
acciones que se invocan mediante las API.

Tip
Los archivos CSV de lista de direcciones de correo electrónico utilizan varias columnas. Exporte una lista de direcciones a fin
de comprender cómo se rellenan las columnas antes de crear un archivo para la importación.
Las definiciones de valores de correo electrónico admiten caracteres comodín y pueden definir condiciones. Un ejemplo de
condición definida con un carácter comodín es *@mcafee.com. La combinación de una condición de la lista de direcciones con
un grupo de usuarios en una regla aumenta el grado de detalle.
Procedimiento
2. En el panel de la izquierda, seleccione Lista de direcciones de correo electrónico y, a continuación, Acciones → Nuevo.
3. Introduzca un Nombre y, si lo desea, una Descripción.
4. Seleccione un Operador en la lista desplegable.
Los operadores definidos con la opción Direcciones de correo electrónico admiten caracteres comodín en el campo Valor.
5. Introduzca un valor y, a continuación, haga clic en Añadir.
6. Haga clic en Guardar cuando haya acabado de agregar direcciones de correo electrónico.
Creación de una definición de impresora de red
Utilice definiciones de impresoras de red para crear reglas de protección de impresoras detalladas. Las impresoras definidas
pueden incluirse en las reglas o excluirse de estas.
Antes de empezar
Obtenga la ruta UNC de la impresora en la red.
Procedimiento
2. En el panel de la izquierda, seleccione Impresora de red y, a continuación, seleccione Acciones → Nuevo elemento.
3. Introduzca un Nombre exclusivo y, de forma opcional, una Descripción.
4. Introduzca la ruta de UNC.
Todos los demás campos son opcionales.
Creación de una definición de lista de URL
Las definiciones de listas de URL se utilizan para definir las reglas de protección web y los criterios de clasificación de
identificación por huellas digitales de contenido web. Se añaden a las reglas y clasificaciones como condiciones de Dirección
web (URL).
Es posible crear una definición de lista de URL mediante la importación de la lista en formato CSV.
También se pueden importar elementos con un script que contenga llamadas a la API REST. El administrador que ejecute el
script debe ser un usuario de McAfee ePO con permisos en McAfee ePO Conjuntos de permisos para realizar las acciones que
se invocan mediante las API.

Tip
Los archivos CSV de lista de URL pueden utilizar varias columnas. Exporte una lista de URL a fin de comprender cómo se
Realice estos pasos para cada dirección URL que sea necesaria.
Procedimiento
2. En el panel de la izquierda, seleccione Lista de URL y, a continuación, Acciones → Nuevo elemento.
3. Introduzca un Nombre exclusivo y, de forma opcional, una Descripción.
• Introduzca la información de Protocolo, Host, Puerto y Ruta en los cuadros de texto y, a continuación, haga clic en
Añadir.
Note
También puede agregar un cadena de consulta opcional.
• Pegue una URL en el cuadro de texto Pegar URL, haga clic en Analizar y, a continuación, en Añadir.
El software rellena los campos de URL.
5. Una vez agregadas a la definición todas las URL requeridas, haga clic en Guardar.
Definición de reglas para proteger el contenido de carácter

confidencial
Las reglas definen la acción que se lleva a cabo cuando se intentan transferir o transmitir datos de carácter confidencial.
Los conjuntos de reglas pueden contener cuatro tipos de reglas: protección de datos, control de dispositivos, descubrimiento y
control de la aplicación, aunque no todos los tipos de regla son compatibles con todos los productos de McAfee DLP.
Protección de Control de Control de

Producto datos dispositivos Descubrimiento aplicaciones
McAfee Device No (Igual que los No No

Control productos de la
versión completa
de endpoint para
Mac y Windows)


Note: Si ha
instalado
Device
Control con
contenido con
reconocimient
o de
protección de
almacenamie
nto extraíble,
se admiten las
reglas de
protección de
almacenamie
nto extraíble.
McAfee DLP Todas las reglas Todo Reglas de Todo

Endpoint for excepto las descubrimiento
Windows de protección de Endpoint
de dispositivos
móviles
McAfee DLP Reglas de Reglas de Reglas de No

Endpoint for Mac protección de protección de descubrimiento
acceso a archivos Plug and Play y de archivos de
de aplicación, almacenamiento Endpoint
nube, recurso extraíble
compartido de
red, correo
electrónico (solo
supervisión) y
almacenamiento
extraíble
McAfee DLP Reglas de No No No

Monitor protección
de correo
electrónico, de


web y de
comunicaciones
de la red
McAfee DLP Reglas de No No No

Prevent protección de
correo electrónico
y web
Una regla consta de tres partes, además de la definición básica de la regla. La definición básica incluye el Nombre de la regla, la
Descripción opcional, listas desplegables para definir el Estado (habilitado o deshabilitado) y la Gravedad, así como casillas para
definir qué producto de McAfee DLP admite la regla. Las tres partes de la regla (Condición, Excepciones y Reacción) se definen
en pestañas independientes de la definición de reglas.
Condición
La condición define lo que hace que la regla se active. En el caso de las reglas de descubrimiento y protección de datos, la
condición siempre incluye una clasificación y puede incluir otras condiciones. Por ejemplo, una regla de protección de la nube
contiene campos para definir el usuario y el servicio en la nube, además de la clasificación. En el caso de las reglas de control
de dispositivos, la condición siempre especifica el usuario y puede incluir otras condiciones, tales como la plantilla de dispositivo.
Las reglas de control de dispositivos no incluyen clasificaciones.
Excepciones
Las excepciones definen los parámetros excluidos de la regla. Las excepciones cuentan con un ajuste independiente que permite
habilitarlas o deshabilitarlas. De este modo, se puede activar o desactivar la excepción al probar las reglas. La creación de
definiciones de excepciones es opcional.
Por ejemplo, una regla de protección de la nube puede permitir que los usuarios y las clasificaciones especificados carguen
datos en los servicios en la nube indicados. Al mismo tiempo, bloquea los usuarios y las clasificaciones definidos en la sección de
condiciones de la propia regla.
Las definiciones de excepciones para las reglas de protección de datos y descubrimiento son similares a las definiciones de
condiciones. Los parámetros disponibles para la exclusión constituyen un subconjunto de los parámetros disponibles para
definir la condición.
Las definiciones de excepciones de las reglas de protección de datos son similares a las definiciones de condiciones. Los
parámetros disponibles para la exclusión constituyen un subconjunto de los parámetros disponibles para definir la condición.
En el caso de las reglas de control de dispositivos, una excepción se define mediante la selección de plantillas de dispositivo
excluidas de una lista. Las plantillas excluidas disponibles dependen del tipo de regla de dispositivo.

Reacción
La reacción define lo que ocurre cuando se desencadena la regla. Las acciones disponibles varían según el tipo de regla, pero
el valor predeterminado para todas las reglas es Sin acción. Al seleccionarlo junto con la opción Notificar incidente, puede
supervisar la frecuencia con la que se infringen las reglas. Este procedimiento resulta útil para ajustar la regla al nivel adecuado
con el fin de detectar fugas de datos sin crear falsos positivos.
La reacción también define si la regla se aplica fuera de la empresa y, en el caso de algunas reglas, cuando se encuentra
conectada a la empresa mediante VPN.
Definición de reglas por reputación
Utilice las reputaciones de seguridad de archivos y certificados de Threat Intelligence Exchange para definir reglas.
Puede definir ciertas reglas con las reputaciones de Threat Intelligence Exchange.
El software de McAfee® Threat Intelligence Exchange (TIE) determina y distribuye las reputaciones de seguridad de archivos y
certificados. McAfee DLP se comunica con McAfee® Data Exchange Layer (DXL) en TIE para compartir información acerca de
los niveles de amenaza de archivos y certificados. Puede definir el campo Aplicaciones en las reglas de protección de acceso a
archivos de la aplicación en función de la reputación de TIE.
Protección de los datos en uso
Las reglas de protección de datos supervisan y controlan el contenido y la actividad de los usuarios.
Las reglas de protección de datos deben especificar al menos una clasificación. La clasificación identifica el contenido como
sensible o no, y determina en consecuencia lo que se puede hacer con el contenido. Otras definiciones de la regla actúan como
filtros para determinar qué archivos se supervisan.
Las reglas de protección de datos son compatibles de manera distinta con las diferentes aplicaciones de McAfee DLP.
• McAfee DLP Endpoint for Windows es compatible con todas las reglas de protección de datos.
• McAfee DLP Endpoint for Mac es compatible con las reglas de protección de almacenamiento extraíble, de recursos
compartidos de red, de acceso a archivos de aplicaciones y de protección de correo electrónico.
• McAfee DLP Prevent admite reglas de protección web y de correo electrónico.
• McAfee DLP Monitor admite reglas de protección de correo electrónico, web y comunicaciones de la red.
Note
McAfee DLP Monitor es un dispositivo pasivo que informa sobre los incidentes detectados, pero no bloquea ni
modifica los datos.

Cómo funcionan las reglas de protección de datos
Protección del contenido por aplicación
Las reglas de protección de acceso a archivos de la aplicación supervisan los archivos en función de la aplicación o las
aplicaciones donde se hayan creado. Se admiten en equipos Microsoft Windows y macOS. En McAfee DLP Endpoint for Mac,
solo se admiten navegadores y aplicaciones compatibles con macOS.
Seleccione una aplicación o una definición de URL para limitar la regla a aplicaciones específicas. Asimismo, puede especificar
una reputación de TIE.
Note
Las definiciones de URL no se admiten en McAfee DLP Endpoint for Mac.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o identificación por huellas digitales
de contenido. También puede limitar la regla a usuarios locales o grupos de usuarios específicos.
Control de copiar y pegar
Las reglas de protección del Portapapeles gestionan el contenido que se copia con el Portapapeles de Windows. Solo se admiten
en McAfee DLP Endpoint for Windows.
Las reglas de protección del Portapapeles se usan para bloquear la copia de contenido de carácter confidencial de una aplicación
a otra, o bien para solicitar la justificación para ello. La regla puede definir tanto la aplicación copiada desde como la aplicación
copiada a, o bien puede escribir una regla general que especifique cualquier aplicación para el origen o el destino. Los
navegadores compatibles pueden especificarse como aplicaciones. La regla se puede filtrar con una definición de usuario final
para limitarla a determinados usuarios. Al igual que con otras reglas de protección de datos, se definen las excepciones a la regla
en la ficha Excepciones.
De forma predeterminada, se permite copiar contenido de carácter confidencial de una aplicación de Microsoft Office a otra. Si
desea bloquear la opción de copia dentro de Microsoft Office, desactive el Portapapeles de Microsoft Office en la configuración
de cliente de Windows.
Protección de las cargas en la nube
Las reglas de protección de la nube gestionan los archivos cargados en aplicaciones en la nube. Se admiten en McAfee DLP
Endpoint for Windows y McAfee DLP Endpoint for Mac
Las aplicaciones en la nube se utilizan cada vez con mayor frecuencia para crear copias de seguridad y compartir archivos. La
mayoría de las aplicaciones en la nube crean una carpeta especial en la unidad que se sincroniza con el servidor de la nube.
McAfee DLP Endpoint intercepta la creación de archivos en la carpeta de la aplicación en la nube, analiza los archivos y aplica las
directivas pertinentes. Si la directiva permite sincronizar el archivo con la carpeta de la aplicación en la nube y este se modifica

más tarde, se vuelve a analizar el archivo y a aplicar la directiva. Si el archivo modificado infringe una directiva, no se puede
sincronizar con la nube.
La regla de protección en la nube de McAfee DLP Endpoint es compatible con lo siguiente:
• Box Sync
• Dropbox
• Google Drive
• iCloud
• OneDrive (personal)
• OneDrive para la empresa (groove.exe)
• Syncplicity
Note
iCloud y Syncplicity no son compatibles con McAfee DLP Endpoint for Mac.
Para aumentar la velocidad de análisis, puede especificar las subcarpetas de nivel superior incluidas o excluidas en la regla.
Protección de contenido de correo electrónico y archivos adjuntos
Las reglas de protección de correo electrónico supervisan o bloquean el correo electrónico enviado a determinados destinos o
usuarios. Se admiten en McAfee DLP Endpoint for Windows , McAfee DLP Endpoint for Mac (admite solamente la supervisión
de correos electrónicos), McAfee DLP Monitor, McAfee DLP Prevent y McAfee® MVISION Cloud.
Las reglas de protección de correo electrónico que se implementan en McAfee DLP Monitor y McAfee DLP Prevent se pueden
guardar como búsquedas de DLP Capture de modo que sea posible ajustar la configuración sin que afecte al análisis de la regla
activa.
Las reglas de protección de correo electrónico pueden bloquear los mensajes de correo electrónico según los siguientes
parámetros:
• Las definiciones de Clasificación limitan la regla a determinados criterios de clasificación o identificación por huellas
digitales de contenido. Puede aplicar clasificaciones al correo electrónico completo o simplemente al asunto, al cuerpo, a
los encabezados o a los datos adjuntos. Desde McAfee DLP 11.1, la opción uno de los elementos del correo electrónico
no incluye encabezados de correo electrónico aparte del asunto para las reglas de protección de correo electrónico
utilizadas por los appliances de McAfee DLP. Es necesario añadir otros encabezados de correo electrónico por separado.
• Las definiciones de Remitente limitan la regla a determinados grupos de usuarios o listas de direcciones de correo
electrónico. La información sobre el grupo de usuarios puede obtenerse de los servidores LDAP registrados. También
puede limitar la regla a los usuarios locales o a los usuarios que no hagan uso del servidor LDAP.
• El campo Sobre de correo electrónico especifica que el correo electrónico está protegido por permisos RMS, cifrado PGP,
firma digital o cifrado S/MIME. Esta opción suele usarse para definir excepciones.

Note
Cuando el sobre es S/MIME y no hay ningún certificado S/MIME para el destinatario, aparece el mensaje emergente
de Outlook que permite que el correo electrónico se envíe sin cifrar. Sin embargo, si hay una regla coincidente para
bloquear el correo electrónico, McAfee DLP Prevent lo bloquea.
• La lista Destinatario incluye definiciones de lista de direcciones de correo electrónico. Las definiciones pueden utilizar
caracteres comodín en el campo del operador.
Mensajes que no se pueden analizar
Si McAfee DLP Prevent no puede extraer el texto de un mensaje para analizarlo porque, por ejemplo, dicho mensaje está
dañado, sigue este procedimiento:
• Rechaza el correo electrónico y lo devuelve al MTA.

• El MTA continúa intentando entregar el mensaje a McAfee DLP Prevent.
• Cuando McAfee DLP Prevent detecta que no puede analizar el mensaje, le añade un encabezado X-RCIS-Action con el
valor SCANFAIL.
• McAfee DLP Prevent envía el mensaje con el encabezado X-RCIS-Action modificado a uno de los hosts inteligentes
configurados.
Note
McAfee DLP Prevent no realiza ningún otro cambio en el mensaje.
Si el mensaje contiene datos adjuntos cifrados, dañados o protegidos con contraseña, se analiza el mensaje para encontrar
desencadenadores de fuga de datos, pero no se analizan los datos adjuntos. No se agrega el valor SCANFAIL porque el contenido
del mensaje se ha analizado de forma parcial.
Notificación para un remitente de correo electrónico acerca de las infracciones de directivas
McAfee DLP Prevent le permite bloquear activamente un mensaje de correo electrónico y devolvérselo al remitente con una
notificación cuando se produce una infracción de directiva.
Puede configurar McAfee DLP Prevent para bloquear un correo electrónico que infrinja una directiva y enviar una notificación al
host inteligente configurado.
El host inteligente devuelve el correo electrónico original al remitente como archivo adjunto a la notificación. A esta notificación
también se adjunta un archivo con detalles adicionales en formato HTML. Este archivo de detalles adicionales incluye
información sobre el tipo de incidente, el nivel de gravedad, el estado bloqueado, la fecha y la hora en las que se ha producido
el incidente y los detalles del remitente y del destinatario. El archivo también muestra los detalles de prueba, las reglas que han
activado el incidente y los detalles de clasificación.

Important
La reacción de bloqueo y devolución del correo electrónico al remitente siempre tiene prioridad sobre la reacción de añadir
el encabezado X-RCIS-Action.
Puede seleccionar una definición predefinida de Notificación de usuario como el mensaje de notificación o crear una
notificación personalizada mediante los valores de marcador de posición en la página Definición de notificación de usuario.
También puede optar por enviar un incidente acerca del mensaje devuelto.
Si la entrega del correo electrónico de notificación al remitente falla debido a un código de error temporal (4xx), el incidente no
se genera. El correo original permanece en el estado de error temporal y se pone en cola en el host inteligente de envío. El host
inteligente vuelve a intentar el envío del mensaje de correo electrónico.
Si se rechaza la entrega del correo electrónico de notificación al remitente debido a un error permanente (5xx), se genera un
incidente. El correo original se rechaza con el código de error 5xx.
Note
Cuando la entrega de un correo electrónico de notificación falla debido al código de error 5xx, el mensaje de correo
electrónico original del remitente se bloquea. El mensaje de correo electrónico no se devuelve al remitente y el Gestor de
incidentes muestra dicho mensaje como bloqueado.
Comportamiento del encabezado X-RCIS-Action de McAfee DLP Prevent
Puede realizar varias acciones en los mensajes de correo electrónico que se envían al host inteligente. Puede utilizar la reacción
Añadir encabezado a X-RCIS-Action para añadir valores a los encabezados de mensaje de correo electrónico. El host inteligente
implementa la acción indicada en el encabezado X-RCIS-Action.
Valores de encabezado de X-RCIS-Action
Prioridad Valor Indica
1 BYPASS Se ha agregado a los mensajes

que se omiten del análisis.
2 SCANFAIL Mensajes que no se pueden

analizar. El appliance genera el
valor del encabezado SCANFAIL
automáticamente. Por lo tanto,
el valor del encabezado no
se puede configurar como una
acción dentro de una regla.

Prioridad Valor Indica
3 BLOCK Bloquea el mensaje.
4 QUART Pone en cuarentena el mensaje.
5 ENCRYPT Cifra el mensaje.
6 BOUNCE Emite un mensaje Non-Delivery

Receipt (NDR) para el remitente.
7 REDIR Redirige el mensaje.
8 NOTIFY Notifica al personal de

supervisión.
9 ALLOW Permite que pase el mensaje.

El valor ALLOW se añade
automáticamente a todos los
mensajes que no incluyen
contenido coincidente.
Cuando no se supervisa, McAfee DLP Prevent envía siempre un mensaje de correo electrónico a un host inteligente configurado.
El host inteligente implementa la acción indicada en el encabezado X-RCIS-Action.
Si el mensaje activa varias reglas, el valor de prioridad más alta se inserta en el encabezado X-RCIS-Action (donde 1 es la
prioridad más alta). Si no se activa ninguna regla, se inserta el valor ALLOW.
Si otro appliance analiza un mensaje y añade un encabezado X-RCIS, McAfee DLP Prevent sustituye el encabezado existente por
su proprio encabezado.
Añadir el valor BYPASS al encabezado X-RCIS-Action
Puede configurar el appliance de McAfee DLP para omitir el análisis de los correos electrónicos enviados desde las direcciones
de correo electrónico especificadas. Para estos correos electrónicos omitidos, puede optar por añadir el valor BYPASS al
encabezado X-RCIS-Action o no añadir un encabezado en el mensaje enviado al host inteligente configurado.
Comportamiento del encabezado personalizado de McAfee DLP Prevent
Al configurar una reacción de regla de protección de correo electrónico, además de las reacciones de regla básicas (Sin acción
y Añadir encabezado X-RCIS-Action), puede elegir, de manera opcional, añadir encabezados personalizados en el mensaje de

correo electrónico entregado. El encabezado personalizado puede informar de detalles sobre las reglas que han infringido una
directiva o cualquier otro valor de encabezado personalizado cuando se desencadena una regla.
Durante la entrega de un mensaje de correo electrónico, McAfee DLP Prevent incluye la reacción de regla básica y los valores de
encabezado personalizados, y envía el correo electrónico analizado al host inteligente. El host inteligente implementa la acción
indicada en las reacciones. Las reacciones de regla básicas tienen prioridad sobre los valores de encabezado personalizados.
McAfee DLP Prevent le permite utilizar tres encabezados personalizados integrados y uno de los encabezados personalizados
definidos. Para crear una definición de encabezado personalizada, utilice Gestor de directivas de DLP → definiciones y
establezca la prioridad de la definición del encabezado personalizado.
McAfee DLP Prevent es compatible con estos encabezados personalizados integrados y se seleccionan de manera
predeterminada:
Encabezados personalizados integrados
Encabezados personalizados Indica
X-Rules-Matched-Count Muestra el número total de reglas que coinciden con

la infracción de la directiva.
X-Cumulative-Score Muestra la calificación acumulativa de todas las

reglas que coinciden con la infracción de la directiva.
Las calificaciones se calculan en función de la
gravedad de la regla: Alta=4, Media=3, Baja=2 e
Informativa=1. Por ejemplo, si un mensaje infringe
tres reglas, una con una gravedad media y otra con
una gravedad baja, el encabezado personalizado X-
Cumulative-Score: 5 se incluye en el encabezado del
X-Strictest-Action Muestra la regla más estricta de todas las reglas que

coincidían con la infracción de la directiva.
Cuando se desencadena más de una regla para un correo electrónico, se utiliza la acción de la regla con la gravedad más alta
en la respuesta del encabezado personalizado. Esto depende de la prioridad de la regla según la gravedad de la regla y la
prioridad de la acción. Si se configuran los encabezados personalizados en dos reglas de protección de correo electrónico con
valores en conflicto y si ambas reglas se desencadenan para el mismo correo electrónico, la priorización se calcula en función
de la gravedad de la regla, la prioridad de la acción integrada estándar y la prioridad del encabezado personalizado para decidir
qué encabezado personalizado específico de la regla se añade al correo electrónico. Ejemplo de reglas en conflicto: Regla 1
custom-header="PCI" y Regla 2 custom-header="SSN".

Comportamiento del encabezado X-MFE-PREVENT: SCANFAIL ICAP
McAfee DLP Prevent añade el encabezado X-MFE-PREVENT: SCANFAIL a su respuesta de ICAP cuando detecta contenido no
analizable o para solicitudes ICAP que superan el tamaño máximo de archivo configurado para analizar.
McAfee DLP Prevent categoriza el contenido como no analizable cuando no se puede analizar. Entre los ejemplos de contenido
no analizable se incluyen los archivos dañados, los archivos que superan el tamaño y el tiempo máximos de análisis, y los
archivos que superan la profundidad máxima si hay archivos anidados. El appliance permite una solicitud de ICAP con contenido
no analizable y envía una respuesta de ICAP 2xx de vuelta al servidor proxy web. Además, el appliance añade el encabezado
X-MFE-PREVENT: SCANFAIL a su respuesta de ICAP cuando detecta contenido no analizable.
De forma predeterminada, el appliance de McAfee DLP Prevent envía una respuesta de ICAP 4xx de vuelta al servidor proxy web
para las solicitudes de ICAP que superan el tamaño máximo de archivo configurado para analizar. Puede configurar el appliance
de McAfee DLP Prevent para permitir estas solicitudes de ICAP con una respuesta 2xx. Cuando la configuración está habilitada,
el appliance envía la respuesta de ICAP 2xx de vuelta al servidor proxy web y añade también el encabezado X-MFE-PREVENT:
SCANFAIL con información sobre la causa de la respuesta de ICAP. Para obtener información sobre cómo configurar para
permitir solicitudes de ICAP que superen el tamaño máximo de archivo configurado para analizar con una respuesta 2xx, véase
KB91550.
Control del tráfico de red
Las reglas de protección de comunicaciones de la red supervisan o bloquean los datos que entran o salen de su red. Se admiten
Las reglas de protección de comunicaciones de la red controlan el tráfico de red en función de las direcciones de red
(obligatorias) y los puertos (opcionales) especificados. También puede especificar las conexiones entrantes o salientes, o ambas.
Es posible agregar una definición de dirección de red y una definición de puerto, pero estas pueden contener varias direcciones
o puertos.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de identificación por huellas digitales de contenido.
También puede limitar la regla a usuarios locales o grupos de usuarios específicos, o bien especificar la aplicación durante la
creación de la conexión.
Note
Las reglas de protección de comunicaciones de la red de McAfee DLP Endpoint for Windows no comprueban los criterios de
clasificación de contenido. Use criterios de identificación por huellas digitales de contenido cuando defina las clasificaciones
usadas con reglas de protección de comunicaciones de la red.
Protección de los recursos compartidos de red
Las reglas de protección de recursos compartidos de red controlan el contenido de carácter confidencial almacenado en los
recursos compartidos de red. Se admiten en equipos Microsoft Windows y macOS.

Las reglas de protección de recursos compartidos de red se pueden aplicar a todos los recursos compartidos de red o a recursos
compartidos específicos. Se puede incluir una definición de recurso compartido en la regla y la definición puede contener varios
recursos compartidos. Una clasificación incluida (obligatorio) define qué contenido de carácter confidencial está protegido.
Utilice definiciones de clasificación para limitar la regla a criterios concretos de clasificación o identificación por huellas digitales
de contenido. También puede limitar la regla a los usuarios locales o a los grupos de usuarios especificados, por parte de los
recursos compartidos de red específicos o por la aplicación que copia el archivo.
Protección del contenido de carácter confidencial enviado a las impresoras
Las reglas de protección contra impresión supervisan o bloquean la impresión de archivos. Solo se admiten en McAfee DLP
Endpoint for Windows.
Use las clasificaciones para limitar la regla. También puede limitar la regla especificando los usuarios, las impresoras o las
aplicaciones que imprimirán el archivo. La definición de la impresora puede especificar impresoras locales, impresoras de red,
impresoras de red o impresoras de imágenes.
Protección de contenido escrito en dispositivos extraíbles
Las reglas de protección de almacenamiento extraíble supervisan o bloquean la escritura de datos con origen o destino en
dispositivos de almacenamiento extraíbles. Se admiten en McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac.
En McAfee DLP Endpoint for Mac, no se admiten los dispositivos de CD y DVD.
Las reglas de protección de almacenamiento extraíble controlan los dispositivos de CD y DVD, los dispositivos de
almacenamiento extraíbles o ambos. También pueden bloquear la copia en o desde el dispositivo, o ambas cosas. Limite la
regla mediante criterios de clasificación o de identificación por huellas digitales de contenido en las clasificaciones (obligatorio).
También puede definir la regla con usuarios, aplicaciones o URL web especificados.
Note
Las reglas de protección de almacenamiento extraíble de McAfee DLP Endpoint for Mac solo admiten el control de los
dispositivos de almacenamiento extraíbles. No admiten dispositivos de CD y DVD.
Use las clasificaciones para limitar la regla. También puede limitar la regla especificando los usuarios o las aplicaciones que
copian el archivo.
Control de las capturas de pantalla
Las reglas de protección contra capturas de pantalla controlan los datos que se copian y pegan de una pantalla. Solo se admiten
Utilice definiciones de clasificación para limitar la regla a criterios concretos de identificación por huellas digitales de contenido.
También puede limitar la regla a usuarios locales o grupos de usuarios específicos, o bien por aplicaciones visibles en la pantalla.

Note
Las reglas de protección contra capturas de pantalla no comprueban los criterios de clasificación de contenido. Utilice
criterios de identificación por huellas digitales de contenido cuando defina las clasificaciones utilizadas con reglas de
capturas de pantalla.
Para bloquear capturas de pantalla desde el panel de vista previa de Windows Explorer, deshabilite el panel en la configuración
del cliente ( Catálogo de directivas → Configuración del cliente de Windows → Protección contra capturas de pantalla).
Control del contenido publicado en sitios web
Las reglas de protección web supervisan o bloquean la publicación de datos en sitios web, incluidos los sitios de correo
electrónico web. Se admiten en McAfee DLP Endpoint for Windows y McAfee DLP Prevent. McAfee DLP Monitor también es
compatible con las reglas de protección web, pero no puede bloquear datos.
Las reglas de protección web aplicadas en McAfee DLP Monitor y McAfee DLP Prevent se pueden guardar como búsquedas de
DLP Capture para que puedas ajustar la configuración sin que el análisis de reglas en vivo se vea afectado.
Las reglas de protección web se definen mediante cuatro condiciones:
• Clasificación
• Usuario final
• Dirección web (URL)
• Tipo de carga
Defina la regla agregando definiciones de Lista de URL a la condición de dirección web. Puedes utilizar las definiciones de Lista
de URL integradas tal cual o con los cambios que hayas definido. Internet Explorer, Firefox, Chrome y Microsoft Edge (basado
en Chromium) y permiten excluir URL en las reglas de protección web. Introduce las direcciones URL que quieras excluir en la
página Protección web de la configuración del cliente.
Note
Para obtener más información acerca de las definiciones de lista de URL, consulta el artículo KB90846.
Utilice el tipo de carga es una carga de archivos para limitar la regla solamente a los archivos. Esta opción permite que se
carguen sin inspección otros tipos de datos, tales como el correo o los formularios web.
Las reglas de protección web añaden incidentes repetidos. Si intenta cargar el mismo archivo en un sitio web varias veces o bien
si el sitio web intenta automáticamente cargas repetidas, genera un solo incidente en el Gestor de incidentes de DLP.
Trabajar con los navegadores Chrome y Microsoft Edge

Las reglas de protección de publicación web de McAfee DLP pueden bloquear la carga de archivos publicados con los
navegadores Chrome y Microsoft Edge (basado en Chromium). La regla de protección web evalúa la condición de la dirección
web (URL) con la URL de la barra de direcciones del navegador.

En publicaciones de texto, la regla de protección web evalúa la condición de la dirección web (URL) con la URL de solicitud HTTP.
Dado que las solicitudes HTTP dependen de las extensiones de navegador Chrome, las publicaciones de texto solo se pueden
supervisar.
Note
Se recomienda deshabilitar los modos de invitado y de incógnito de Chrome en la configuración del cliente de Windows. Si
alguna de estas opciones está habilitada, es posible que la URL web activa en el endpoint no esté disponible.
Una alternativa al bloqueo de las publicaciones web en el endpoint es aplicar las reglas de protección web de McAfee DLP
mediante la implementación de las mismas reglas de protección de publicación web en McAfee DLP Prevent. También puedes
utilizar Skyhigh® Security Secure Web Gateway (SWG), que tiene capacidades nativas de DLP.
Reglas de control de dispositivos
Las reglas de control de dispositivos definen la medida que se debe tomar cuando se usan determinados dispositivos.
Las reglas de control de dispositivos pueden supervisar o bloquear dispositivos conectados a equipos gestionados por la
empresa.
McAfee DLP Endpoint for Windows admite los siguientes tipos de reglas:
• Regla para dispositivos Citrix XenApp

• Regla de disco duro fijo
• Regla para dispositivos Plug and Play
• Regla para dispositivos de almacenamiento extraíbles
• Regla para dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles
• Regla para dispositivos TrueCrypt
McAfee DLP Endpoint for Mac admite los siguientes tipos de reglas:
• Regla para dispositivos Plug and Play (solo para dispositivos USB)
• Regla para dispositivos de almacenamiento extraíbles
Las reglas de control de dispositivos se describen a fondo en Protección de los datos de carácter confidencial para que no se
copien en los dispositivos de almacenamiento.
Reglas de descubrimiento de red y de endpoint

McAfee DLP Endpoint y McAfee DLP Discover utilizan reglas de descubrimiento para analizar archivos y repositorios.
Descripciones de vectores de datos
Producto Regla de descubrimiento
McAfee DLP Endpoint Correo electrónico local (OST, PST)

Producto Regla de descubrimiento
Sistema de archivos local
McAfee DLP Discover Protección de Box
Protección de base de datos
Protección del servidor de archivos
Protección de SharePoint
Reglas de control de aplicaciones

Las reglas de control de aplicaciones supervisan o bloquean el acceso por parte de los usuarios a los sitios web. Se implementan
Las reglas de control de aplicaciones web son similares a las reglas de protección web, pero no analizan los datos ni incluyen
una clasificación. En lugar de bloquear el contenido cargado en los sitios web especificados, bloquean todas las solicitudes GET
dirigidas a las aplicaciones web especificadas. La regla comprueba la barra de direcciones del navegador, la dirección URL de
publicación y el encabezado del sitio de referencia HTTP. Si alguno de ellos coincide con la definición de URL especificada en la
condición de la regla, esta se activa.
Listas de ignorados
Las listas de ignorados son recopilaciones de elementos que quiere que el sistema ignore.
Puede incluir en la lista de ignorados contenido, dispositivos, procesos y grupos de usuarios.
Listas de ignorados en las reglas de protección de datos

Puede especificar los procesos ignorados correspondientes a las reglas de protección del Portapapeles y las reglas de protección
contra impresión en la configuración de cliente de Windows del Catálogo de directivas en sus respectivas páginas. Puede
especificar direcciones URL ignoradas en la página Protección web. Debido a que estas listas de ignorados se aplican en el
cliente, funcionan con todas las reglas de Portapapeles, impresoras y protección web. Las reglas de protección del Portapapeles
y de protección contra impresión ignoran el contenido producido por los procesos definidos en la lista de ignorados. Las reglas
de protección web no se implementan en las direcciones URL ignoradas.
Puede especificar procesos ignorados para la extracción de texto en la página Rastreo de contenido. En función de la definición,
el extractor de texto no analiza la identificación por huellas digitales de contenido ni archivos abiertos con la aplicación
especificada, ni crea huellas digitales dinámicas para la carga web. La definición puede especificar carpetas y extensiones

específicas, lo que permite un control detallado de lo que se encuentra ignorado. Si no se indica ningún nombre de carpeta, el
proceso no se supervisa mediante las reglas de acceso a archivos de la aplicación.
Listas de exclusión en las reglas de dispositivos

Puede crear elementos Plug and Play excluidos en la página Definiciones → Control de dispositivos → Plantillas de dispositivo
en el Gestor de directivas de DLP.
Algunos dispositivos Plug and Play no funcionan correctamente con la gestión de dispositivos. El intento de gestionarlos podría
provocar que el sistema deje de responder o provocar otros problemas graves. Los dispositivos Plug and Play excluidos se
excluyen automáticamente cuando se aplica una directiva.
Note
Las definiciones Plug and Play excluidas no se aplican a los sistemas operativos macOS.
La pestaña Excepciones de las reglas de control de dispositivos viene definida por las listas de exclusión específicas de la regla
que las incluye. Las listas de exclusión excluyen las definiciones específicas de la regla.
• Usuarios excluidos: se utiliza en las reglas de todos los dispositivos

• Definiciones de dispositivos excluidos: se utiliza en las reglas de todos los dispositivos, excepto Citrix y TrueCrypt
• Procesos excluidos: se utiliza en las reglas de dispositivos de almacenamiento extraíbles y Plug and Play
• Pares de número de serie y usuario excluidos: se utiliza en las reglas de dispositivos de almacenamiento extraíbles y
Plug and Play
• Nombres de archivos excluidos: se utiliza en las reglas de acceso a archivos en almacenamientos extraíbles para excluir
archivos como aplicaciones antivirus
Personalización de los mensajes de usuario final

McAfee DLP Endpoint envía dos tipos de mensajes para comunicarse con los usuarios finales: notificaciones y mensajes de
justificación del usuario.
Las notificaciones admiten mensajes de texto enriquecido (HTML). Las definiciones de justificación y notificación pueden
especificar las Configuraciones regionales (idiomas) y añadir marcadores de posición que se sustituyen por los valores reales.
Cuando se definen las configuraciones regionales, aparecen los mensajes y los botones de opción (para las justificaciones
empresariales) en el idioma predeterminado del equipo endpoint. Se admiten las siguientes configuraciones regionales:
• Inglés (Estados Unidos)

• Inglés (Reino Unido)
• Francés
• Alemán
• Español
• Polaco
• Portugués
• Ruso

• Japonés
• Coreano
• Chino (simplificado)
• Chino (tradicional)
Inglés (Estados Unidos) es la configuración regional estándar predefinida, pero se puede establecer cualquier configuración
regional compatible como valor predeterminado en la definición. La configuración regional predeterminada se utiliza cuando las
otras configuraciones que se han definido no están disponibles como idioma predeterminado del equipo endpoint. McAfee DLP
Prevent intenta detectar el idioma preferido del usuario en los encabezados de las solicitudes.
Note
McAfee DLP Prevent no es totalmente compatible con las configuraciones regionales para coreano, ruso y chino
(simplificado).
Notificación de usuario
Las notificaciones de usuario de McAfee DLP Endpoint son mensajes emergentes que informan al usuario de la infracción de
una directiva.
Note
Cuando una regla desencadena varios eventos, en el mensaje emergente se indica Hay nuevos eventos DLP en su consola de
DLP, en lugar de mostrar varios mensajes.
Puede incluir texto enriquecido en el mensaje emergente mediante la inclusión de etiquetas HTML incrustadas en un elemento
<DIV>.
Cuando McAfee DLP Prevent bloquea una solicitud web, envía la notificación de usuario como un documento HTML que se
muestra en el navegador del usuario. El texto de notificación que configure puede contener etiquetas HTML incrustadas, como
<p>, <ul> o <li>. En la alerta visualizada por el usuario también se muestra Acceso denegado.
Justificación empresarial
(Solo para McAfee DLP Endpoint) La justificación empresarial es una forma de omisión de una directiva. Cuando se especifica
Solicitar justificación como acción en una regla, el usuario puede introducir la justificación para continuar sin que se le bloquee.
Marcadores de posición
Los marcadores de posición son una manera de introducir texto variable en los mensajes, en función de lo que activó el mensaje
de usuario final. Los marcadores de posición disponibles son los siguientes:
• %c para las clasificaciones

• %r para el nombre del conjunto de reglas
• %v para los vectores (por ejemplo, Protección de correo electrónico, Protección web y DLP Prevent)
• %a para las acciones (por ejemplo, Bloquear)

• %s para los valores contextuales (por ejemplo, el nombre de archivo, el nombre de dispositivo, el asunto del correo
electrónico o la URL)
• %f para los valores contextuales en McAfee DLP Prevent para correo electrónico (por ejemplo, el nombre de archivo, el
asunto del correo electrónico o el cuerpo del correo electrónico), para los valores contextuales en McAfee DLP Prevent
para Web y McAfee DLP Endpoint (por ejemplo, la ruta completa o la URL)
Creación y configuración de reglas y conjuntos de reglas

Creación de un conjunto de reglas
Los conjuntos de reglas combinan varias reglas de protección de dispositivos, protección de datos y análisis de descubrimiento.
Procedimiento
2. Haga clic en la pestaña Conjuntos de reglas.
3. Seleccione Acciones → Nuevo conjunto de reglas.
4. Introduzca el nombre y una nota opcional, y haga clic en Aceptar.
Creación de una regla
Siga los pasos genéricos de este proceso para crear una regla y sus acciones, y añadirla a un conjunto de reglas. Los pasos se
pueden aplicar a todos los tipos de reglas.
Procedimiento
3. Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la pestaña adecuada para la regla de
Protección de datos, Control de dispositivos, Descubrimiento o Control de aplicaciones.
4. Seleccione Acciones → Nueva regla y, a continuación, elija el tipo de regla.
5. En la ficha Condición, introduzca la información.
• En el caso de algunas condiciones, como los elementos de plantillas de dispositivos o las clasificaciones, haga clic
en … para seleccionar un elemento existente o crear uno nuevo.
• En el menú desplegable Usuario final , para las opciones pertenece a uno de los grupos de usuarios finales
(O) o pertenece a todos los grupos de usuarios finales siguientes (Y), haga clic en … para seleccionar un grupo
existente o crear uno nuevo.
• Para añadir criterios adicionales, haga clic en +.
• Para eliminar criterios, haga clic en –.
6. (Opcional) Para agregar excepciones a la regla, haga clic en la ficha Excepciones.
a. Seleccione Acciones → Agregar excepción de regla.
No se muestra ningún botón Acciones para las reglas de dispositivos. Para añadir excepciones a las reglas de
dispositivo, seleccione una entrada en la lista que se muestra.
b. Rellene los campos según proceda.
7. Según el producto, configure las opciones de Acción, Notificación de usuario y Notificar incidente en la pestaña
Reacción.

Las reglas pueden tener diferentes acciones, en función de si el equipo endpoint se encuentra en la red corporativa o no.
Algunas reglas también pueden tener una acción diferente cuando existe conexión con la red corporativa mediante VPN.
Asignación de conjuntos de reglas a las directivas
Antes de asignarse a equipos o appliances de endpoints, los conjuntos de reglas se asignan a directivas y estas se guardan en la
base de datos de McAfee ePO.
Antes de empezar
Asegúrese de crear los conjuntos de reglas y activarlos antes de asignarlos a directivas.
Para activar conjuntos de reglas, vaya a la página Catálogo de directivas y edite la directiva de DLP que sea necesaria. En la
página de la directiva seleccionada, vaya la pestaña Conjuntos de reglas activos, seleccione Acciones → Activar conjunto de
reglas y haga clic en Aceptar.
Note
En la página Conjuntos de reglas activos, puede hacer clic en Aplicar directiva para aplicar el conjunto de reglas
seleccionado a la directiva. Este es un método alternativo de asignar conjuntos de reglas a una directiva seleccionada.
Procedimiento
1. En la página Gestor de directivas de DLP → Asignación de directivas, lleve a cabo una de las siguientes acciones:
• Seleccione Acciones → Asignar un conjunto de reglas a las directivas. En la ventana de asignación, seleccione un
conjunto de reglas de la lista desplegable y las directivas a las que asignarlo. Haga clic en Aceptar.
• Seleccione Acciones → Asignar conjuntos de reglas a una directiva. En la ventana de asignación, seleccione una
directiva de la lista desplegable y los conjuntos de reglas a los que asignarlo. Haga clic en Aceptar.
Note
Si anula la selección de un conjunto de reglas o una directiva previamente seleccionados, el conjunto de reglas se
eliminará de la directiva.
2. Seleccione Acciones → Aplicar directivas seleccionadas. En la ventana de asignación, seleccione las directivas que desee
aplicar a la base de datos de McAfee ePO. Haga clic en Aceptar.
Solo las directivas que aún no se hayan guardado en la base de datos aparecerán en la ventana de selección. Si cambia
una asignación de conjunto de reglas o una regla en un conjunto de reglas asignado, aparecerá la directiva y se aplicará la
directiva revisada en lugar de la anterior.
Habilitar, deshabilitar o eliminar reglas
Puede eliminar o cambiar el estado de varias reglas a la vez.

Note
En lo que respecta a las reglas integradas, solo puede duplicar una regla y hacer cambios en la regla duplicada.
Procedimiento
3. Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la pestaña adecuada para la regla de
Protección de datos, Control de dispositivos, Descubrimiento o Control de aplicaciones.
4. Seleccione una o varias reglas.
5. Actualice o elimine las reglas seleccionadas.
• Para activar las reglas, seleccione Acciones → Cambiar estado → Activar.

• Para deshabilitar las reglas, seleccione Acciones → Cambiar estado → Deshabilitar.
• Para seleccionar las reglas, seleccione Acciones → Eliminar regla de protección.
Copia de seguridad y restauración de directivas
Puede crear una copia de seguridad de directivas, incluidas las reglas y las clasificaciones, de un servidor de McAfee ePO y
restaurarlas en un servidor de McAfee ePO.
Asegúrese de que se haya añadido una clave de licencia antes de restaurar el archivo. Si restaura el archivo sin una licencia,
todas las reglas se deshabilitarán y deberá habilitarlas antes de aplicar la directiva.
En el caso de McAfee DLP Discover, debe reasignar los servidores Discover a los análisis antes de aplicar la directiva.
Procedimiento
1. En McAfee ePO, seleccione Protección de datos → Ajustes de DLP → Copia de seguridad y restauración.
2. Introduzca una contraseña de cifrado para el archivo de copia de seguridad.

3. Haga clic en Crear copia de seguridad a archivo y guarde el archivo en un lugar como una unidad USB o una carpeta
compartida.
4. En otra cuenta de McAfee ePO, seleccione Protección de datos → Ajustes de DLP → Copia de seguridad y restauración.
5. Introduzca la contraseña para descifrar el archivo.
6. Haga clic en Restaurar desde archivo y seleccione el archivo guardado anteriormente.
Página Configuración de seguridad y restauración
Utilice esta página para realizar una copia de seguridad de la configuración de McAfee DLP o restaurar la configuración de un
archivo guardado.
Última copia de seguridad Incluir objeto de directiva de Seleccione la casilla de

inyección (OPG) (OPG se aplica verificación para guardar el
a McAfee DLP Endpoint, McAfee objeto de inyección de políticas
DLP Prevent y McAfee DLP (OPG) en la copia de seguridad.
Monitor).
Copia de seguridad en archivo Realiza una copia de seguridad

de la configuración. Las opciones
permiten seleccionar la ruta de
la copia de seguridad y abrir el
archivo, así como guardarlo. Se
muestra la fecha y la hora de la
última copia de seguridad y el
número de revisión.
Última restauración Restaurar desde archivo Restaura la configuración del

archivo seleccionado. Se muestra
la fecha y la hora de la última
restauración y el número de
revisión.
Configuración de columnas de reglas o de conjuntos de reglas
Mueva, añada o elimine las columnas que se muestran para las reglas o los conjuntos de reglas.
Procedimiento

3. Acceda a la página Seleccione las columnas que se van a mostrar.
• Grupos de reglas: seleccione Acciones → Elegir columnas.

• Reglas: seleccione un conjunto de reglas y, a continuación, seleccione Acciones → Elegir columnas.
4. Modifique las columnas.
• En el panel Columnas disponibles, haga clic en elementos para añadir columnas.

• En el panel Columnas seleccionadas, haga clic en las flechas o en x para mover o eliminar columnas.
• Haga clic en Usar valores predeterminados para restaurar las columnas a la configuración predeterminada.
Creación de una definición de justificación
En McAfee DLP Endpoint, las definiciones de justificación empresariales definen los parámetros de la acción preventiva de la
justificación en las reglas.
Procedimiento
2. Haga clic en la pestaña Definiciones y seleccione Notificación → Justificación.
3. Seleccione Acciones → Nuevo.
4. Escriba un nombre exclusivo y, si quiere, una descripción.
5. Para crear definiciones de justificación en más de un idioma, seleccione Acciones de configuración regional → Nueva
configuración regional. Para cada configuración regional requerida, seleccione una configuración regional de la lista
desplegable.
Las configuraciones regionales seleccionadas se añadirán a la lista.
6. Para cada configuración regional, haga lo siguiente:
a. En el panel de la izquierda, seleccione la configuración regional que quiera editar. Introduzca texto en los cuadros
de texto y seleccione las casillas según proceda.
Mostrar cadenas de coincidencia proporciona un vínculo en la ventana emergente para mostrar el contenido
correspondiente destacado. Más información proporciona un vínculo a una página de Intranet o un documento
para obtener información.
Note
Al introducir una definición de configuración regional, las casillas y las acciones no están disponibles. Solo puede
introducir el título, la descripción general y las etiquetas del botón. En Opciones de justificación, puede sustituir
las definiciones predeterminadas por la versión de configuración regional mediante la característica Editar de la
columna Acciones.
b. Introduzca una Descripción general de la justificación y, si quiere, el Título del cuadro de diálogo.
El resumen es una instrucción general para el usuario, por ejemplo: Esta acción requiere una justificación empresarial.
La entrada máxima es de 500 caracteres.
c. Introduzca texto para las etiquetas de los botones y seleccione las acciones de los botones. Seleccione la casilla
Ocultar botón para crear una definición de dos botones.

Las acciones de botón deben coincidir con las acciones de prevención disponibles para el tipo de regla que usa la
definición. Por ejemplo, las reglas de protección de recurso compartido de red solo pueden tener Ninguna acción o
Solicitud de justificación para evitar acciones. Si selecciona Bloquear para una de las acciones de botón e intenta
usar la definición en una definición de regla de protección de recurso compartido de red, aparecerá un mensaje de
error.
d. Introduzca texto en el cuadro de texto y haga clic en Agregar para añadirlo a la lista de Opciones de justificación.
Seleccione la casilla Mostrar opciones de justificación si quiere que el usuario final vea la lista.
Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que se desencadenara la
ventana emergente.
7. Cuando se hayan completado todas las configuraciones regionales, haga clic en Guardar.
Creación de una definición de notificación
Con McAfee DLP Endpoint, las notificaciones de usuario aparecen en ventanas emergentes o en la consola del usuario final
cuando las acciones de usuario infringen las directivas.
Procedimiento
2. Haga clic en la pestaña Definiciones y seleccione Notificación → Notificación de usuario.
4. Escriba un nombre exclusivo y, de forma opcional, una descripción. Seleccione el tamaño y la posición del cuadro de
diálogo.
5. Para crear definiciones de notificación de usuario en más de un idioma, seleccione Acciones de configuración regional
→ Nueva configuración regional. Para cada configuración regional requerida, seleccione una configuración regional de
la lista desplegable.
Las configuraciones regionales seleccionadas se añadirán a la lista.
6. Para cada configuración regional, haga lo siguiente:
a. En el panel de la izquierda, seleccione la configuración regional que quiera editar.
Note
Seleccione la casilla Configuración regional predeterminada para establecer cualquier configuración regional
como predeterminada.
b. Escriba texto en el cuadro de texto.

Puede utilizar marcadores de posición para personalizar el texto, indicando qué hizo que se activara la ventana
emergente. Los marcadores de posición disponibles se enumeran a la derecha del cuadro de texto.
Para utilizar texto enriquecido, coloque el texto dentro de un elemento HTML <DIV>. Agregue etiquetas de elementos
HTML según sea necesario.
La entrada de texto <div><b>Se ha encontrado contenido de carácter confidencial en el archivo %s</b></div> genera el
resultado Se ha encontrado contenido de carácter confidencial en el archivo %s, donde %s es el nombre para
mostrar corto.

c. (Opcional) Seleccione la casilla Mostrar vínculo a más información e introduzca una dirección URL para
proporcionar información más detallada.
Note
La información solo estará disponible en la configuración regional predeterminada.
7. Cuando se hayan completado todas las configuraciones regionales, haga clic en Guardar.
Creación y asignación de directivas

Creación de una directiva
Permite crear una versión nueva de una directiva DLP.
Procedimiento
1. Haga clic en Menú → Directiva → Catálogo de directivas, seleccione la categoría Directiva de DLP y haga clic en Nueva
directiva.
2. Seleccione la directiva que quiera duplicar, escriba un nombre para la nueva directiva y haga clic en Aceptar.
La directiva aparecerá en el Catálogo de directivas.
3. Seleccione el nombre de la nueva directiva para abrir el asistente Configuración de directivas.
4. Edite la configuración de la directiva y haga clic en Guardar.
Asignación e inserción de una directiva en un sistema
Añada una directiva existente a McAfee DLP.
Antes de empezar
Debe crear y activar un conjunto de reglas para la directiva. Para obtener información acerca de la activación de un conjunto de
reglas, consulte Asignar conjuntos de reglas a las directivas.
Procedimiento
1. En McAfee ePO, haga clic en Menú → Sistemas → Árbol de sistemas → Directivas asignadas y, a continuación, seleccione
un grupo del Árbol de sistemas.
2. Seleccione el producto Data Loss Prevention <versión>.
Todas las directivas asignadas, organizadas por producto, aparecerán en el panel de detalles.
3. Haga clic en el vínculo Editar asignación correspondiente a la categoría Directiva de DLP.
4. Seleccione Interrumpir la herencia y asignar la directiva y los ajustes a partir de este punto, cambie la directiva
asignada por la directiva que ha creado y haga clic en Guardar.
Note
También puede hacer clic en Activar agentes para insertar la directiva en los appliances de McAfee DLP de forma
inmediata.

Resultados
La directiva se asignará a los sistemas seleccionados.
Asignar e insertar una directiva para configurar un appliance de McAfee DLP
Añada una directiva existente a un appliance deMcAfee DLP .
Antes de empezar
• Cree y active un conjunto de reglas para la directiva. Para obtener información sobre cómo activar conjuntos de reglas,
consulte Asignar conjuntos de reglas a las directivas.
• Configure una directiva de appliance asignada a un conjunto de reglas.
Procedimiento
1. En McAfee ePO, haga clic en Menú → Sistemas → Árbol de sistemas → Directivas y, a continuación, seleccione un grupo
en el Árbol de sistemas.
2. Seleccione el producto Gestión de appliances de DLP.
Todas las directivas asignadas, organizadas por producto, aparecerán en el panel de detalles.
3. Haga clic en el vínculo Editar asignación correspondiente a la categoría Directiva de DLP.
4. Seleccione Interrumpir la herencia y asignar la directiva y los ajustes a partir de este punto y cambie la directiva
asignada por la directiva que ha creado.
Note
También puede hacer clic en Activar agentes para insertar la directiva en los appliances de McAfee DLP de forma
inmediata.
Resultados
La directiva se asignará a los appliances seleccionados.
Casos prácticos de reglas

Caso práctico: regla de acceso a archivos de dispositivos de almacenamiento extraíbles con un
proceso para ignorar nombres de archivo
Puede incluir los nombres de archivo en la lista de ignorados como una excepción a una regla de bloqueo de almacenamiento
extraíble.
Las reglas de dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles se usan para impedir que las
aplicaciones actúen en los dispositivos extraíbles. Los nombres de archivo excluidos se definen como procesos que no están
bloqueados. En este ejemplo, se bloquean los dispositivos de almacenamiento extraíbles de SanDisk, pero se permite que el
software antivirus los analice para eliminar los archivos infectados.

Note
Esta función solo se admite para equipos basados en Windows.
Procedimiento
2. En la pestaña Definiciones, localice la plantilla de dispositivo integrada Todos los dispositivos de almacenamiento
extraíbles de SanDisk (Windows) y haga clic en Duplicar.
La plantilla utiliza el ID de proveedor de SanDisk 0781.
Tip
Duplique las plantillas integradas para personalizar una plantilla. Por ejemplo, puede añadir otros ID de proveedor a la
plantilla de SanDisk duplicada para añadir otras marcas de dispositivos extraíbles.
3. En la pestaña Conjuntos de reglas, seleccione o cree un conjunto de reglas.

4. En la pestaña Control de dispositivos del conjunto de reglas, seleccione Acciones → Nueva regla → Regla para
dispositivos de acceso a archivos de almacenamiento extraíbles.
5. Introduzca un nombre para la regla y seleccione Estado → Habilitado.
6. En la pestaña Condiciones, seleccione un Usuario final o bien, deje el valor predeterminado (es cualquier usuario). En
el campo Almacenamiento extraíble, seleccione el elemento de plantilla de dispositivo creado en el paso 2. Deje la
configuración predeterminada para Tipo de archivo verdadero y Extensión de archivo.
7. En la pestaña Excepciones, seleccione Nombres de archivos excluidos.
8. En el campo Nombre de archivo, añada la definición de McAfee AV integrada.
Al igual que con el elemento de plantilla de dispositivo de almacenamiento extraíble, puede duplicar esta plantilla y
personalizarla.
9. En la pestaña Reacción, seleccione Acción → Bloquear. Puede añadir una notificación de usuario de manera opcional.
Para ello, seleccione la opción Notificar incidente o seleccione otra acción cuando se desconecte de la red corporativa.
10. Haga clic en Guardar y, a continuación, en Cerrar.
Caso práctico: Establecer un dispositivo extraíble como de solo lectura
A diferencia de las reglas de dispositivos Plug and Play, las reglas de protección de dispositivos de almacenamiento extraíbles
tienen una opción de solo lectura.
Al establecer los dispositivos extraíbles como de solo lectura, puede permitir a los usuarios utilizar sus dispositivos personales
como reproductores de MP3 y evitar a la vez su uso como dispositivos de almacenamiento.
Procedimiento
2. En la pestaña Definiciones, en la página Plantillas de dispositivos, cree un elemento de plantilla de dispositivo de
almacenamiento extraíble.

Note
Las plantillas de dispositivos de almacenamiento extraíbles se deben categorizar como plantillas de Windows o Mac.
Comience por duplicar una de las plantillas integradas para Windows o Mac y personalícela. El Tipo de bus puede
incluir USB, Bluetooth y cualquier otro tipo de bus que se quiera usar. Identifique los dispositivos con ID de proveedor o
nombres de dispositivo.
3. En la pestaña Conjuntos de reglas, seleccione o cree un conjunto de reglas.

4. En la pestaña Control de dispositivos, seleccione Acciones → Nueva regla → Regla para dispositivos de almacenamiento
extraíbles.
5. Introduzca un nombre para la regla y seleccione Estado → Habilitado. En la sección Condiciones, en el campo
Almacenamiento extraíble, seleccione el elemento de plantilla de dispositivo creado en el paso 2.
6. En la pestaña Reacción, seleccione Acción → Solo lectura. Puede añadir una notificación de usuario de manera
opcional. Para ello, seleccione la opción Notificar incidente o bien seleccione otra acción cuando el usuario esté
desconectado de la red corporativa.
Caso práctico: Bloquear y cargar un iPhone con una regla de dispositivos Plug and Play
Se puede bloquear el uso de los iPhone de Apple como dispositivos de almacenamiento mientras se cargan desde el equipo.
Este caso práctico crea una regla que impide que un usuario utilice el iPhone como dispositivo de almacenamiento masivo. Se
usa una regla de protección de dispositivos Plug and Play porque permite que los iPhones se carguen independientemente de la
forma en que se especifique la regla. Esta característica no es compatible con otros smartphones ni otros dispositivos móviles de
Apple. No impide que un iPhone se cargue desde el equipo.
Para definir una regla de dispositivos Plug and Play para dispositivos específicos, cree una definición de dispositivos con el
proveedor y los códigos de ID de producto (ID prov. o PID). Puede encontrar esta información en la ventana Administrador de
dispositivos cuando el dispositivo esté enchufado. Como este ejemplo solo requiere un ID prov., puede usar la definición de
dispositivos incorporada Todos los dispositivos de Apple en lugar de buscar la información.
Procedimiento
2. En la pestaña Conjuntos de reglas, seleccione un conjunto de reglas (o cree uno). Haga clic en la pestaña Control de
dispositivos y cree una regla de dispositivos Plug and Play. Uso de la definición de dispositivos incorporada Todos los
dispositivos de Apple como la definición (es uno de (O)) incluida.
3. En la pestaña Reacción, establezca el valor de Acción en Bloquear.
Caso práctico: impedir la copia de información confidencial en un disco
Las reglas de protección de acceso a archivos de aplicaciones se pueden usar para impedir el uso de grabadores de CD y DVD
para copiar información clasificada.

Antes de empezar
Cree una clasificación para identificar el contenido clasificado. Use parámetros que sean relevantes para su entorno: palabra
clave, patrón de texto, información de archivos, etc.
Procedimiento
2. En la pestaña Conjuntos de reglas, seleccione un conjunto de reglas actual o Acciones → Nuevo conjunto de reglas y
establezca un conjunto de reglas.
3. En la pestaña Protección de datos, seleccione Acciones → Nueva regla → Protección de acceso a archivos de
aplicaciones.
4. (Opcional) Introduzca un nombre en el campo Nombre de la regla (obligatorio). Seleccione las opciones para los
campos Estado y Gravedad.
5. En la pestaña Condición, en el campo Clasificación, seleccione la clasificación que ha creado para su contenido de
6. En el campo Usuario final, seleccione grupos de usuarios (opcional).
La adición de usuarios o grupos a la regla limita la regla a usuarios específicos.
7. En el campo Aplicaciones, seleccione Aplicación de grabación de medios [integrada] en la lista de definiciones de
aplicaciones disponibles.
Puede crear su propia definición de grabador de medios mediante la edición de la definición integrada. La edición de una
definición integrada crea automáticamente una copia de la definición original.
8. (Opcional) En la pestaña Excepciones, cree excepciones a la regla.
Las definiciones de excepciones pueden incluir cualquier campo que se encuentre en una definición de condición. Es
posible definir varias excepciones para su uso en situaciones diferentes. Un ejemplo es definir los "usuarios con privilegios"
que están exentos de la regla.
9. En la pestaña Reacción, establezca el valor de Acción en Bloquear. Seleccione una Notificación de usuario (opcional).
Haga clic en Guardar y en Cerrar.
También puede cambiar el informe de incidentes predeterminado y la acción de prevención cuando el equipo no esté
conectado a la red.
10. En la pestaña Asignación de directivas, asigne el conjunto de reglas a una directiva o a varias:
a. Seleccione Acciones → Asignar un conjunto de reglas a las directivas.
b. Seleccione el conjunto de reglas apropiado en la lista desplegable.
c. Seleccione la directiva o las directivas a las que asignarla.
11. Seleccione Acciones → Aplicar directivas seleccionadas. Seleccione las directivas que quiera aplicar a la base de datos
de McAfee DLP Endpoint y haga clic en Aceptar.
Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se
envíen a un dominio especificado
Los mensajes salientes se bloquean si contienen la palabra Confidencial, a menos que el destinatario esté exento de la regla.

Comportamiento esperado
Contenido del correo

electrónico Destinatario Resultado esperado
Cuerpo: confidencial usuario_externo@externo.com El mensaje está bloqueado

porque contiene la palabra
"Confidencial".
Cuerpo: confidencial usuario_interno@ejemplo.com El mensaje no se bloquea porque

la configuración de la excepción
indica que se puede enviar
material confidencial a personas
del dominio "ejemplo.com".
Cuerpo: usuario_externo@externo.com El mensaje se bloquea porque

Datos adjuntos: Confidencial usuario_interno@ejemplo.com uno de los destinatarios no está
autorizado a recibirlo.
Procedimiento
1. Cree una definición de lista de direcciones de correo electrónico para un dominio que esté exento de la regla.
a. En la sección Protección de datos de McAfee ePO, seleccione Gestor de directivas de DLP y haga clic en
Definiciones.
b. Seleccione la definición Lista de direcciones de correo electrónico y cree otra copia de El dominio de correo
electrónico de mi organización integrado.
c. Seleccione la definición de lista de direcciones de correo electrónico que ha creado y haga clic en Editar.
d. En Operador, seleccione El nombre de dominio es y defina el valor como ejemplo.com.
2. Cree un conjunto de reglas con una regla de Protección de correo electrónico.
a. Haga clic en Conjuntos de reglas y seleccione Acciones → Nuevo conjunto de reglas.
b. Asigne al conjunto de reglas el nombre Bloquear si aparece "Confidencial" en el correo electrónico.
c. Cree una copia de la clasificación Confidencial integrada.
Aparecerá una copia editable de la clasificación.
d. Haga clic en Acciones → Nueva regla → Regla de protección de correo electrónico.
e. Asigne a la nueva regla el nombre Bloquear si aparece "Confidencial" y habilítela.
f. Implemente la regla en McAfee DLP Endpoint for Windows.
g. Seleccione la clasificación que ha creado y añádala a la regla.
h. Establezca la opción Destinatario en cualquier destinatario (TODOS).
Mantenga los demás ajustes de la pestaña Condición con los ajustes predeterminados.
3. Agregue excepciones a la regla.
a. Haga clic en Excepciones y, a continuación, seleccione Acciones → Agregar excepción de regla.

b. Escriba un nombre para la excepción y actívela.

c. Defina la clasificación como Confidencial.
d. Defina el Destinatario como al menos un destinatario pertenece a todos los grupos (Y) y, a continuación,
seleccione la definición de lista de direcciones de correo electrónico que ha creado.
4. Configure la reacción a los mensajes que contengan la palabra Confidencial.
a. Haga clic en Reacción.
b. Establezca Acción en Bloquear para los equipos conectados y desconectados de la red corporativa.
5. Guarde y aplique la directiva.
Caso práctico: Bloquear un mensaje de correo electrónico y devolverlo al remitente
Los mensajes de correo electrónico salientes se bloquean si contienen la palabra Confidencial. El mensaje de correo electrónico
no se envía al destinatario desde el host inteligente. El correo electrónico original se envía de vuelta al remitente como datos
adjuntos en un mensaje de notificación. Puede seleccionar una notificación de usuario predefinida o personalizarla. Además, en
la notificación se adjunta información adicional sobre el correo electrónico bloqueado en formato de archivo HTML.
Procedimiento
1. Cree un conjunto de reglas con una regla de Protección de correo electrónico.
a. En McAfee ePO, seleccione Protección de datos → Gestor de directivas de DLP.
b. Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones → Nuevo conjunto de reglas.
c. Asigne el nombre Bloquear correo electrónico y devolver al remitente al conjunto de reglas.
d. Cree una copia duplicada de la clasificación Confidencial integrada.
Aparecerá una copia editable de la clasificación.
e. Haga clic en Acciones → Nueva regla → Regla de protección de correo electrónico.
f. Asigne el nombre Devolver correo electrónico a la nueva regla y habilítela.
g. Implemente la regla en DLP Prevent.
h. Seleccione la clasificación que ha creado y añádala a la regla.
Mantenga los demás ajustes de la pestaña Condición con los ajustes predeterminados.
2. Configure la reacción a los mensajes que contengan la palabra Confidencial.
a. Haga clic en Reacción.
b. En DLP Prevent, seleccione Acciones → Bloquear y devuelva el correo electrónico al remitente.
c. Seleccione la notificación que debe enviarse en Notificación de usuario.
3. (Opcional) Para informar de un incidente relacionado con el mensaje de correo electrónico devuelto, seleccione la
casilla Notificar incidente. Para guardar la prueba, seleccione la casilla Almacenar el correo electrónico original como
prueba.
4. Guarde y aplique la directiva.
5. Establezca la dirección de correo electrónico del remitente para los mensajes de correo electrónico rebotados.
a. Abra el Catálogo de directivas.
b. Seleccione el producto Gestión de appliances de DLP, seleccione la categoría Ajustes de correo electrónico de
McAfee DLP Prevent y abra la directiva que desee editar.
c. Especifique la dirección de correo electrónico del remitente en el campo Remitente de mensajes de rebote. Debe
ser una dirección de correo electrónico genérica.

Caso práctico: Permitir que un grupo de usuarios específico envíe información de crédito
Permita a las personas del grupo de usuarios de recursos humanos enviar mensajes que contengan información personal de
crédito, obteniendo la información a través de Active Directory.
Antes de empezar
Registre un servidor de Active Directory con McAfee ePO. Utilice las funciones de Servidores registrados en McAfee ePO para
añadir detalles del servidor.
Siga estos pasos de alto nivel:
1. (Opcional solo para McAfee DLP Prevent) Seleccione un servidor LDAP del que obtener el grupo de usuarios.
2. Cree una clasificación de la información personal de crédito.
3. Cree un conjunto de reglas y una regla que actúe sobre la nueva clasificación.
4. Defina el grupo de usuarios de recursos humanos a los que no se les aplica la regla.
5. Bloquee mensajes que contengan información personal de crédito.
6. Aplique la directiva.
Tip
Para asegurarse de que sus reglas identifiquen posibles incidentes de pérdida de datos con el mínimo de falsos positivos,
cree sus reglas con el ajuste Sin acción. Supervise el Gestor de incidentes de DLP hasta que esté seguro de que la regla
identifica correctamente los incidentes y, a continuación, cambie la Acción a Bloquear.
Procedimiento
1. Seleccione el servidor LDAP del que desea obtener el grupo de usuarios.
a. En McAfee ePO, abra el Catálogo de directivas.
b. Seleccione la directiva del Servidor de McAfee DLP Prevent.
c. Abra la categoría Usuarios y grupos y la directiva que desee editar.
d. Seleccione los servidores de Active Directory que desee utilizar.
2. En el menú de McAfee ePO, seleccione Clasificación y cree una clasificación PCI duplicada.
3. Cree el conjunto de reglas y las excepciones.
a. Abra el Gestor de directivas de DLP.
b. En Conjuntos de reglas, cree un conjunto de reglas con el nombre Bloquear PCI para DLP Prevent y Endpoint.
c. Abra el conjunto de reglas creado, seleccione Acción → Nueva regla → Protección de correo electrónico y escriba
un nombre para la regla.
d. En Implementar en, seleccione DLP Endpoint for Windows y DLP Prevent.
e. En Clasificación de, seleccione la clasificación que ha creado.
f. Deje los campos Remitente, Sobre de correo electrónico y Destinatario con los ajustes predeterminados.
4. Especifique el grupo de usuarios que desee excluir de la regla.
a. Seleccione Excepciones, haga clic en Acciones → Añadir excepción de regla y asigne el nombre Excepción del grupo
de recursos humanos.

b. Establezca el Estado en Habilitado.

c. En Clasificación de, seleccione contiene cualquier dato (todo).
d. En Remitente, seleccione Pertenece a uno de los grupos de usuarios finales (O).
e. Seleccione Nuevo elemento y cree un grupo de usuarios finales llamado RR. HH.
f. Haga clic en Añadir grupos, seleccione el grupo y haga clic en Aceptar.
5. Establezca la acción que desea realizar si se desencadena la regla.
a. Seleccione el grupo que ha creado y haga clic en Aceptar.
b. Seleccione la pestaña Reacción.
c. En la sección DLP Endpoint, establezca la Acción en Bloquear.
Si DLP Endpoint está seleccionado, es necesario establecer una reacción.
d. En la sección DLP Prevent, establezca el valor de encabezado X-RCIS-Action en Bloquear. También puede
configurarlo para que incluyan los encabezados personalizados en el mensaje de correo electrónico. Mediante
las definiciones de encabezado personalizado que ha creado y las definiciones de encabezado personalizado
integrado, puede configurar el encabezado personalizado para informar del número de reglas y de la calificación
acumulativa de las reglas que han infringido una directiva.
Note
Si desea probar la regla, puede mantener la Acción como Sin acción hasta que esté seguro de que se
desencadena de la forma esperada.
e. Seleccione Notificar incidente.

f. Guarde la regla y haga clic en Cerrar.
6. Aplique la regla.
a. En el Gestor de directivas de DLP, seleccione Asignación de directivas.
Note
La opción Cambios pendientes indica Sí.
b. Seleccione Acciones → Asignar conjuntos de reglas a una directiva.

c. Seleccione el conjunto de reglas que ha creado.
d. Seleccione Acciones → Aplicar directivas seleccionadas.
e. Haga clic en Aplicar directiva.
La opción Cambios pendientes muestra No.
Caso práctico: Clasificar los datos adjuntos como NEED-TO-SHARE en función de su destino
Cree clasificaciones que permitan que los datos adjuntos NEED-TO-SHARE se envíen a los empleados de Estados Unidos,
Alemania e Israel.

Antes de empezar
1. Utilice las funciones de Servidores registrados en McAfee ePO para añadir detalles de los servidores LDAP. Para obtener
más información sobre el uso de servidores registrados, consulte la Guía del producto de McAfee ePO.
2. Utilice la función Ajustes de LDAP en la categoría de directiva Usuarios y grupos para enviar la información de grupo al
appliance de McAfee DLP Prevent.
Siga estos pasos de alto nivel:
• Cree una clasificación NEED-TO-SHARE.

• Cree una clasificación de Estados Unidos.
• Cree una clasificación de Israel.
• Cree definiciones de lista de direcciones de correo electrónico.
• Cree un conjunto de reglas y una regla que clasifique los datos adjuntos como NEED-TO-SHARE.
• Especifique las excepciones a la regla.
Las clasificaciones de ejemplo de la tabla muestran cómo se comportan las clasificaciones con distintos destinatarios y
desencadenadores de clasificación.
Comportamiento esperado
Clasificación Destinatario Resultado esperado
Datoadjunto1: NEED-TO-SHARE, usuariodeejemplo1@ejemplo1.co Permitir: ejemplo1.com está

Israel (.il) y Estados Unidos (.us) m autorizado a recibir todos los
Datoadjunto2: NEED-TO-SHARE, datos adjuntos NEED-TO-SHARE
Israel (.il) y Alemania (.de)
Datoadjunto1: NEED-TO-SHARE, usuariodeejemplo2@ejemplo2.co Permitir: ejemplo2.com está

Israel (.il) y Estados Unidos (.us) m autorizado a recibir todos los
Datoadjunto2: NEED-TO-SHARE, datos adjuntos NEED-TO-SHARE
Datoadjunto1: NEED-TO-SHARE, usuariodeejemplo2@ejemplo2.co Permitir: ejemplo1.com y

Israel (.il) y Estados Unidos (.us) m ejemplo2.com tienen permiso
Datoadjunto2: NEED-TO-SHARE, usuariodeejemplo1@ejemplo1.co para recibir ambos datos
Israel (.il) y Alemania (.de) m adjuntos
Datoadjunto1: NEED-TO-SHARE, usuariodeejemplo3@gov.il Permitir: gov.il está permitido

Israel (.il) y Estados Unidos (.us) para ambos datos adjuntos
Datoadjunto2: NEED-TO-SHARE,

Clasificación Destinatario Resultado esperado
Datoadjunto1: NEED-TO-SHARE, usuariodeejemplo4@gov.us Bloquear: usuariodeejemplo4

Israel (.il) y Estados Unidos (.us) no está autorizado a recibir
Datoadjunto2: NEED-TO-SHARE, Datoadjunto2
Datoadjunto1: NEED-TO-SHARE, usuariodeejemplo3@gov.il Bloquear: usuariodeejemplo4

Israel (.il) y Estados Unidos (.us) usuariodeejemplo4@gov.us no está autorizado a recibir
Datoadjunto2: NEED-TO-SHARE, Datoadjunto2
Datoadjunto1: NEED-TO-SHARE, usuariodeejemplo1@ejemplo1.co Bloquear: usuariodeejemplo4

Israel (.il) y Estados Unidos (.us) m no está autorizado a recibir
Datoadjunto2: NEED-TO-SHARE, usuariodeejemplo4@gov.us Datoadjunto2
Datoadjunto1: NEED-TO-SHARE, usuariodeejemplo3@gov.il Permitir: usuariodeejemplo1

Israel (.il) y Estados Unidos (.us) usuariodeejemplo1@ejemplo1.co y usuariodeejemplo3 tienen
Datoadjunto2: NEED-TO-SHARE, m permiso para recibir ambos
Israel (.il) y Alemania (.de) datos adjuntos
Datoadjunto1: NEED-TO-SHARE, usuariodeejemplo2@ejemplo2.co Bloquear: usuariodeejemplo4 no

Israel (.il) y Estados Unidos (.us) m puede recibir Datoadjunto2
Datoadjunto2: NEED-TO-SHARE, usuariodeejemplo1@ejemplo1.co
Israel (.il) y Alemania (.de) m
usuariodeejemplo4@gov.us
Procedimiento
1. Cree una definición de lista de direcciones de correo electrónico para los dominios que estén exentos de la regla.
a. En la sección Protección de datos de McAfee ePO, seleccione Gestor de directivas de DLP y haga clic en
Definiciones.
b. Seleccione la definición Lista de direcciones de correo electrónico y cree otra copia de El dominio de correo
electrónico de mi organización integrado.
c. Seleccione la definición de lista de direcciones de correo electrónico que ha creado y haga clic en Editar.
d. En Operador, seleccione El nombre de dominio es igual a y establezca el valor ejemplo1.com.
e. Cree una entrada para ejemplo2.com.
f. Haga clic en Guardar.
g. Repita estos pasos para crear una definición para gov.il.
h. Vuelva a repetir los pasos para crear una definición para gov.us.

2. Cree un conjunto de reglas que incluya una regla de Protección de correo electrónico.
a. Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones → Nuevo conjunto de reglas.
b. Asigne el nombre Permitir correo electrónico NEED-TO-SHARE a la dirección de correo electrónico de Israel y Estados Unidos al
conjunto de reglas.
3. Cree una regla y añada los criterios de clasificación NEED-TO-SHARE.
a. Haga clic en Acciones → Nueva regla → Regla de protección de correo electrónico.
b. Asigne el nombre NEED-TO-SHARE a la regla, habilítela e impleméntela en DLP Endpoint for Windows y DLP Prevent.
c. Configure Clasificación de como uno de los adjuntos (*).
d. Seleccione contiene uno de (O) y los criterios de clasificación NEED-TO-SHARE.
e. Establezca el Destinatario en cualquier destinatario (TODOS).
f. Mantenga los demás ajustes de la pestaña Condición con los ajustes predeterminados.
4. Añada excepciones a la regla y habilite cada excepción.
• Excepción 1
Configure Clasificación de como adjunto coincidente.
Seleccione contiene uno de (O) y los criterios de clasificación NEED-TO-SHARE.
Configure Destinatario como el destinatario coincidente pertenece a uno de los grupos (O) y seleccione
la definición de dirección de correo electrónico que ha creado y que incluye ejemplo.com y ejemplo2.com.
• Excepción 2
Seleccione contiene todos (AND), así como los criterios de clasificación NEED-TO-SHARE e .il (Israel).
Establezca Destinatario en el destinatario coincidente pertenece a uno de los grupos (O) y seleccione
gov.il.
• Excepción 3
Seleccione contiene todos (AND), así como los criterios de clasificación NEED-TO-SHARE y .us (Estados
Unidos).
Establezca Destinatario en el destinatario coincidente pertenece a uno de los grupos (O) y seleccione
gov.us.
5. Establezca la reacción que desea realizar si se desencadena la regla.

a. En DLP Endpoint, establezca Acción en Bloquear.
b. En DLP Prevent, establezca Acción en Añadir encabezado X-RCIS-Action y seleccione el valor Bloquear. También
puede configurarlo para que incluyan los encabezados personalizados en el mensaje de correo electrónico.
Mediante las definiciones de encabezado personalizado que ha creado y las definiciones de encabezado
personalizado integrado, puede configurar el encabezado personalizado para informar del número de reglas y
de la calificación acumulativa de las reglas que han infringido una directiva.
7. Aplique la directiva.
Ejemplo de uso: Añadir encabezados personalizados a los mensajes de correo electrónico
Puede añadir valores de encabezado personalizados a un mensaje de correo electrónico. McAfee DLP Prevent le permite
añadir tres encabezados personalizados integrados y un encabezado personalizado adicional con las reacciones de regla básicas

cuando se infringe una directiva. Los encabezados personalizados pueden informar del número de reglas y la calificación
acumulativa de todas las reglas que han infringido una directiva o de cualquier otro valor de encabezado personalizado en el
mensaje de correo electrónico entregado.
Antes de empezar
Procedimiento
1. Cree una definición de encabezados personalizados:
a. En McAfee ePO, abra Protección de datos → Gestor de directivas de DLP.
b. Seleccione Definiciones y, en la categoría Otros, haga clic en Encabezado personalizado.
c. Haga clic en Acciones → Nuevo elemento.
d. En la página Nuevos detalles del encabezado personalizado, introduzca el nombre del encabezado personalizado
y el valor de encabezado.
El nombre de encabezado personalizado y el valor deben introducirse mediante valores ASCII y no deben contener
espacios ni dos puntos (:). La prioridad del encabezado personalizado aparece en orden descendente. Haga clic en la
flecha hacia arriba y hacia abajo para cambiar la prioridad.
2. Cree un conjunto de reglas o modifique un conjunto de reglas existente:
• Haga clic en Acciones → Nuevo conjunto de reglas e introduzca los detalles para crear el conjunto de reglas. Haga
clic en el conjunto de reglas. O BIEN
• Haga clic en el conjunto de reglas existente para modificar el conjunto de reglas.
Se abrirá la página Conjunto de reglas de DLP.
3. Cree una regla o modifique una regla existente:
• En la página Conjunto de reglas de DLP → Protección de datos, haga clic en Acciones → Nueva regla → Protección
de correo electrónico para crear una regla. O BIEN
• Haga clic en la regla existente para modificarla.
4. Añada encabezados personalizados a una reacción de regla:
a. En la página de reglas Protección de correo electrónico, introduzca los detalles de la regla, habilite o deshabilite la
regla y establezca la gravedad de la regla.
b. Defina las condiciones y las excepciones para la regla.
c. Seleccione la pestaña Reacción.
d. En la sección McAfee DLP Prevent, establezca la Acción en Sin acción o Añadir encabezado X-RCIS Action.
e. (Opcional) Configure el encabezado personalizado mediante el campo Añadir encabezado personalizado. Haga
clic en el menú de tres puntos para seleccionar el encabezado personalizado del conjunto de definiciones
de encabezado personalizado que ha creado en el paso 1. Puede añadir un encabezado personalizado y
los encabezados personalizados integrados para una regla. Los encabezados personalizados integrados están
habilitados de manera predeterminada.
f. Seleccione Notificar incidente.
g. Guarde la regla y haga clic en Cerrar.
5. Asigne el conjunto de reglas a una directiva y aplíquela para que los cambios sean efectivos inmediatamente:
a. En el Gestor de directivas de DLP, seleccione Asignación de directivas.

Note
En Cambios pendientes pone Sí.
b. Seleccione Acciones → Asignar conjuntos de reglas a una directiva.

c. Seleccione el conjunto de reglas que ha creado.
d. Seleccione Acciones → Aplicar directivas seleccionadas.
e. Haga clic en Aplicar directiva.
Ahora, en Cambios pendientes pone No.
Caso práctico: Evitar filtraciones de datos en dispositivos extraíbles
Una organización quiere bloquear todos los dispositivos extraíbles de la empresa y mantener a la vez una lista de dispositivos
específicos de confianza. Además, es necesario bloquear contenido específico en todos los dispositivos, incluidos los de
confianza.
Un administrador debe llevar a cabo estas tareas.
Procedimiento
1. Bloquee todos los dispositivos extraíbles de la organización con la regla para dispositivos de almacenamiento
extraíbles.
a. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de directivas de DLP.
b. En la pestaña Conjuntos de reglas, seleccione o cree un conjunto de reglas. En el caso de los nuevos conjuntos de
reglas, asegúrese de asignarles una directiva.
c. En la pestaña Control de dispositivos, seleccione Acciones → Nueva regla → Regla para dispositivos de
almacenamiento extraíbles.
d. Introduzca un nombre para la regla y seleccione Estado → Habilitado.
e. En la sección Condiciones, seleccione el valor integrado de Dispositivos de almacenamiento extraíbles (Windows)
en el campo Almacenamiento extraíble.
f. En la ficha Reacción, seleccione Acción → Bloqueada. Seleccione la opción Notificar incidente.
g. En la lista Notificación de usuario, seleccione Notificación de usuario predeterminada de administración de
dispositivos y haga clic en Aceptar.
h. Haga clic en Guardar y, a continuación, en Cerrar.
2. Identifique los dispositivos de confianza y cree una plantilla de dispositivo.
a. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de incidentes de DLP y haga clic en la lista de
incidentes.
b. En el panel Filtrar por, en Tipo de incidente, seleccione Enchufe de dispositivo.
c. Haga clic en el ID de incidente de un dispositivo que quiera establecer como de confianza para verificar
las opciones Detalles de endpoint e Información adicional del dispositivo. Desde aquí puede obtener detalles
específicos sobre el dispositivo, tales como el número de serie.
d. Haga clic en Aceptar para volver a la lista de incidentes.
e. Seleccione la casilla situada junto al incidente y elija Crear plantilla de dispositivo → Dispositivo de
f. Introduzca un nombre para la plantilla de dispositivo y haga clic en Guardar. Repita los pasos e y f para cada uno
de los dispositivos de confianza.

g. Seleccione Administrador de directivas de DLP → Definiciones.

h. En el panel izquierdo, seleccione Control de dispositivos → Plantillas de dispositivo.
i. Seleccione Acciones → Nuevo grupo → Grupo de dispositivos de almacenamiento extraíbles.
j. Introduzca un nombre para el grupo como, por ejemplo, Dispositivos de confianza. Agregue las plantillas de
dispositivo creadas en los pasos e y f, y haga clic en Guardar.
3. Añada dispositivos de confianza a la regla para dispositivos de almacenamiento extraíbles creada en el paso 1.
a. Seleccione Administrador de directivas de DLP.
b. En la ficha Conjuntos de reglas, seleccione Control de dispositivos y, a continuación, el conjunto de reglas creado
en el paso 1.
c. En la ficha Excepciones, seleccione Plantillas de dispositivo excluidas (desactivadas) y, a continuación, el grupo de
plantillas de dispositivo creado en el paso 2.
d. Seleccione Estado → Activado.
4. Asigne conjuntos de reglas a las directivas.
a. Seleccione Administrador de directivas de DLP → Asignación de directivas
b. Seleccione el nombre de la directiva y elija Acciones → Aplicar directivas seleccionadas.
c. Asegúrese de que la revisión se incremente y de que no haya cambios pendientes.
Caso práctico: Impedir que los datos se filtren en la web desde aplicaciones basadas en la nube
Su organización quiere evitar que se filtre contenido en la web a través de servicios en la nube, tales como Dropbox y Google
Drive. El equipo de ventas necesita acceso a su carpeta compartida en Google Drive y derechos de copia.
Un administrador debe llevar a cabo estas tareas.
Procedimiento
1. Bloquee los servicios de Dropbox y Google Drive con la regla de protección en la nube.
b. En la pestaña Conjuntos de reglas, seleccione o cree un conjunto de reglas. En el caso de los nuevos conjuntos de
reglas, debe asignar una directiva.
c. En la pestaña Protección de datos, seleccione Acciones → Nueva regla → Regla de protección en la nube.
d. Introduzca un nombre para la regla y seleccione Estado → Habilitado.
e. En la pestaña Condición, en el campo Clasificación, seleccione la clasificación que ha creado para su contenido de
f. En el campo Servicios en la nube, seleccione Dropbox y Google Drive.
2. Especifique el grupo de usuarios y la carpeta que quiera excluir de la regla.
a. Seleccione Excepciones, haga clic en Acciones → Agregar excepción de regla y asígnele el nombre Ventas.
b. Establezca el valor Estado en Habilitado.
c. En Clasificación de, seleccione contiene cualquier dato (TODO).
d. En Usuario final, seleccione Pertenece a uno de los grupos de usuarios finales (O).
e. Seleccione Nuevo elemento y cree un grupo de usuarios finales llamado Equipo de ventas.
f. Haga clic en el botón para añadir un grupo, seleccione equipo de ventas y haga clic en Aceptar.
g. En Nombre de subcarpeta de nivel superior, seleccione Es igual a y escriba el nombre de la carpeta (por ejemplo,
Discurso de ventas).
3. Añada la URL de Google Drive cuyo contenido quiera bloquear para evitar filtraciones.

a. Seleccione Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.

b. En el panel de la izquierda, seleccione Lista de URL y, a continuación, Acciones → Nueva.
c. Asigne el nombre URL de Google Drive a la URL.
d. Introduzca detalles del Host y, si quiere, los valores de Protocolo, Puerto, así como de Ruta y, a continuación, haga
clic en Agregar.
4. Impida que Dropbox y Google Drive filtren información a la web con la regla de protección web.
a. En la pestaña Protección de datos del conjunto de reglas, seleccione Acciones → Nueva regla → Regla de
protección web.
b. Introduzca un nombre para la regla y seleccione Estado → Habilitado.
c. En la pestaña Condición, en el campo Clasificación, seleccione la clasificación que ha creado para su contenido de
carácter confidencial. Esta debe ser la misma clasificación seleccionada para la regla de protección de la nube.
d. En el campo Dirección web (URL), seleccione es uno de (O) y elija Dropbox (incorporado) y URL de Google Drive,
añadida en el paso anterior.
e. En la pestaña Reacción, establezca la opción Acción en Bloquear.
f. En el campo Notificación de usuario, seleccione Notificación de usuario de protección web predeterminada.
g. Haga clic en Aceptar y en Guardar.
Caso práctico: Bloquear pérdidas de datos en relación con el RGPD
En su organización están interesados en bloquear los datos relacionados con el Reglamento general de protección de datos
(GDPR) para que no salgan de la organización.
McAfee DLP incluye un conjunto de reglas, reglas y clasificaciones integrados para los datos relacionados con el RGPD. Utilice
el conjunto de reglas integrado Bloquear RGPD y las clasificaciones de ejemplo para configurar las directivas de los datos
relacionados con el RGPD.
Procedimiento
1. Cree una copia duplicada del conjunto de reglas del RGPD.
b. En la pestaña Conjuntos de reglas, seleccione Mostrar ejemplos de conjunto de reglas integradas.
c. En la columna Acciones de [Ejemplo] Bloquear contenido relacionado con RGPD [integrado], haga clic en Duplicar.
El nuevo conjunto de reglas Bloquear contenido relacionado con RGPD se añadirá a la lista de conjuntos de reglas.
2. Edite el conjunto de reglas Bloquear contenido relacionado con RGPD.
a. En la pestaña Conjuntos de reglas, seleccione el conjunto de reglas Bloquear contenido relacionado con RGPD.
b. Edite la descripción según sea necesario.
c. En la pestaña Protección de datos, seleccione la regla Bloquear contenido relacionado con RGPD copiado en
medios de almacenamiento extraíbles.
d. En la pestaña Condición, deje o elimine las clasificaciones de PII para países específicos según sea necesario para
su organización.
e. Seleccione cada una de las reglas restantes para eliminar las clasificaciones de PII según sea necesario.
f. No modifique las reglas predeterminadas restantes.
g. Haga clic en Guardar.
3. Asigne el conjunto de reglas Bloquear contenido relacionado con RGPD a una directiva.

a. Seleccione Gestor de directivas de DLP → Asignación de directivas.

b. Seleccione Acciones → Aplicar conjunto de reglas a una directiva.
c. Seleccione una directiva a la que asignar el conjunto de reglas y, a continuación, seleccione el conjunto de reglas
Bloquear contenido relacionado con RGPD.
d. Haga clic en Aceptar. Asegúrese de que no haya cambios pendientes y de que la revisión se incremente.

6| Protección de dispositivos extraíbles
Protección de dispositivos extraíbles

McAfee® Device Control protege a las empresas de los riesgos asociados con la transferencia no autorizada de contenido de
carácter confidencial cuando se utilizan dispositivos de almacenamiento.
Device Control puede supervisar o bloquear los dispositivos conectados a equipos gestionados por la empresa, lo que le
permite supervisar y controlar su uso en lo que respecta a la distribución de información de carácter confidencial. Los
dispositivos como teléfonos inteligentes, dispositivos de almacenamiento extraíbles, dispositivos Bluetooth, reproductores de
MP3 o dispositivos Plug and Play se pueden controlar. McAfee Device Control es un componente de McAfee DLP Endpoint que
se vende como un producto independiente. Aunque se use el término Device Control en esta sección, todas las características
y descripciones también se aplican a McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac.
Terminología de Device Control

Plantilla de dispositivo: una lista de propiedades de dispositivo que se emplea para identificar o agrupar dispositivos.
Grupo de dispositivos: una lista de plantillas de dispositivo agrupadas en una misma plantilla. Se utiliza para simplificar las
reglas a la vez que se mantiene el grado de detalle.
Propiedad del dispositivo: una propiedad, como tipo de bus, ID de proveedor o ID de producto, que se puede usar para definir
un dispositivo.
Regla de dispositivo: determina la acción que se debe llevar a cabo cuando un usuario intenta utilizar un dispositivo cuya
definición coincide con la de la directiva.. La regla se aplica al hardware y afecta tanto al controlador del dispositivo como al
sistema de archivos. Las reglas de dispositivos se pueden asignar a usuarios concretos.
Regla para dispositivos de almacenamiento extraíble: sirve para bloquear o supervisar un dispositivo, o bien configurarlo como
de solo lectura.
Regla de protección de almacenamiento extraíble: determina la acción que se debe llevar a cabo cuando un usuario intenta
copiar contenido etiquetado como de carácter confidencial en un dispositivo gestionado.
Clase de dispositivo*: recopilaciones de dispositivos que cuentan con características parecidas y que se pueden gestionar de un
modo similar. Las clases de dispositivo tienen el estado Gestionado, No gestionado o Excluido.
Dispositivo gestionado *: estado de una clase de dispositivo que indica que los dispositivos de dicha clase están gestionados
por Device Control.
Dispositivo no gestionado*: estado de una clase de dispositivo que indica que los dispositivos de dicha clase no están
gestionados por Device Control.
Dispositivo excluido*: estado de una clase de dispositivo que indica que Device Control no puede gestionar los dispositivos de
esa clase porque intentarlo puede afectar al equipo gestionado, al mantenimiento del sistema o a la eficiencia.
* Solo Windows

Protección del contenido en dispositivos extraíbles

Las unidades USB, los pequeños discos duros externos, los smartphones y demás dispositivos extraíbles sirven para eliminar de
la empresa datos de carácter confidencial.
Las unidades USB son un método sencillo, barato y apenas rastreable a la hora de descargar grandes cantidades de datos.
A menudo, se consideran el "arma preferida" para las transferencias de datos no autorizadas. El software de Device Control
supervisa y controla las unidades USB y demás dispositivos externos, incluidos smartphones, dispositivos Bluetooth, dispositivos
Plug and Play, reproductores de audio y discos duros que no pertenecen al sistema. Device Control se ejecuta en la mayoría de
los sistemas operativos Microsoft Windows y macOS, incluidos los servidores. Para obtener más información, consulte la página
requisitos del sistema de esta guía.
La protección de McAfee Device Control se basa en tres capas:
• Clases de dispositivos: recopilaciones de dispositivos que cuentan con características parecidas y que se pueden
gestionar de un modo similar. Las clases de dispositivos se aplican solo a reglas y definiciones de dispositivo Plug
and Play, y no se pueden aplicar a los sistemas operativos macOS.
• Definiciones de dispositivos: identificación y agrupación de dispositivos en función de las propiedades que tienen en
común.
• Reglas de dispositivos: control del comportamiento de los dispositivos.
Una regla de dispositivos se compone de una lista de las definiciones de dispositivos incluidas o excluidas de la regla, y las
acciones realizadas cuando el uso del dispositivo activa la regla. Además, puede especificar los usuarios que se deben incluir en
la regla o excluir de ella. De forma opcional, pueden incluir una definición de aplicaciones para filtrar la regla conforme al origen
del contenido de carácter confidencial.
Reglas de protección de almacenamiento extraíble

Además de las reglas de dispositivo, Device Control incluye un tipo de regla de protección de datos. Las reglas de protección
de almacenamiento extraíble incluyen una o más clasificaciones para definir el contenido de carácter confidencial que activa la
regla. Opcionalmente pueden incluir una definición de aplicación o URL de navegador web, y pueden incluir o excluir usuarios.
Note
No se pueden utilizar URL de navegadores web en McAfee DLP Endpoint for Mac.
Ventajas de las clases de dispositivo en la gestión de dispositivos

Una clase de dispositivos es una recopilación de dispositivos que tienen características parecidas y que se pueden gestionar de
modo similar.
Las clases de dispositivos asignan un nombre e identifican los dispositivos utilizados por el sistema. Cada definición de la
clase de dispositivos incluye un nombre, y uno o varios identificadores únicos globales (GUID). Por ejemplo, Intel® PRO/1000 PL
Network Connection y Dell wireless 1490 Dual Band WLAN Mini-Card son dos dispositivos que pertenecen a la clase de dispositivos
Adaptador de red.

Note
Las clases de dispositivos no se aplican a los dispositivos macOS.
Cómo se organizan las clases de dispositivos

El Administrador de directivas de DLP muestra las clases de dispositivos (integradas) predefinidas dentro de la ficha
Definiciones de Control de dispositivos. Las clases de dispositivos se clasifican por estado:
• Los dispositivos de tipo Gestionado son dispositivos Plug and Play específicos o dispositivos de almacenamiento
extraíbles gestionados por Device Control.
• Los dispositivos de tipo No gestionado son dispositivos que Device Control no gestiona en la configuración
predeterminada.
• Los dispositivos excluidos son dispositivos que Device Control no intenta controlar, tales como los procesadores o los
dispositivos de batería.
Para evitar un posible mal funcionamiento del sistema o del sistema operativo, no es posible editar las clases de dispositivo. Se
pueden duplicar y cambiar para agregar clases definidas por el usuario a la lista.
Tip
No añada una clase de dispositivo a la lista sin probar primero qué consecuencias puede tener. En el Catálogo de directivas,
use la pestaña Directiva de DLP → Clases de dispositivos → Ajustes para crear omisiones temporales de estados de clases
de dispositivos y de los ajustes del tipo de filtro.
Las omisiones se pueden utilizar para probar los cambios definidos por el usuario antes de crear una clase definitiva y para
solucionar problemas relacionados con Device Control.
Device Control utiliza definiciones de dispositivos y reglas de control de dispositivos Plug and Play para supervisar el
comportamiento de las clases de dispositivo gestionados y dispositivos concretos pertenecientes a una clase de dispositivo
gestionado. Por otra parte, las reglas para dispositivos de almacenamiento extraíbles no requieren una clase de dispositivo
gestionado. Esto se debe a que los dos tipos de reglas de dispositivos utilizan las clases de dispositivo de manera diferente:
• Las reglas para dispositivos Plug and Play se desencadenan en el momento en el que el dispositivo de hardware se
conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es necesario que la clase de
dispositivo sea gestionado para reconocerlo.
• Las reglas para dispositivos de almacenamiento extraíbles se desencadenan al montar un nuevo sistema de archivos.
Cuando ocurre esto, el cliente de Device Control asocia la letra de unidad con el dispositivo de hardware específico y
comprueba las propiedades del dispositivo. Puesto que la reacción es para una operación del sistema de archivos (es
decir, cuando el sistema de archivos está montado), no es necesario que la clase de dispositivo se gestione.
Definir una clase de dispositivo

Creación de un GUID
Las definiciones de clase de dispositivo requieren un nombre y uno o varios identificadores únicos globales (GUID).

Algunos dispositivos de hardware instalan su propia nueva clase de dispositivo. Si no existe una clase de dispositivo adecuada en
la lista predefinida o si no se crea automáticamente cuando se instala un nuevo hardware, puede crear una clase de dispositivo
en el Administrador de directivas de DLP. Para controlar el comportamiento de los dispositivos de hardware Plug and Play que
definen su propia clase de dispositivo, primero debe agregar una nueva clase de dispositivo al estado Gestionado en la lista
Clases de dispositivos.
Una clase de dispositivo está definida por dos propiedades: un nombre y un GUID. El nombre de un nuevo dispositivo se muestra
en el administrador de dispositivos, pero el GUID solo se muestra en el Registro de Windows y no existe una forma fácil de
obtenerlo. A fin de facilitar la recuperación de nuevos nombres y GUID de dispositivo, el cliente de Device Control informa de un
evento de Se ha encontrado una clase nueva de dispositivo en el Gestor de incidentes de DLP cuando se conecta al equipo host un
dispositivo de hardware que no pertenece a una clase de dispositivo reconocida.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de incidentes de DLP → Lista de incidentes.
2. Haga clic en Editar junto a la lista desplegable Filtro para editar los criterios de filtrado.
3. En la lista Propiedades disponibles (panel izquierdo), seleccione Tipo de incidente.
4. Compruebe que el valor de la lista desplegable Comparación es Es igual a.
5. En la lista desplegable Valores, seleccione Se ha encontrado una nueva clase de dispositivo.
6. Haga clic en Actualizar filtro.
La Lista de incidentes muestra las nuevas clases de dispositivo que se encuentran en todos los equipos endpoint.
7. Para ver el nombre y el GUID de un dispositivo específico, haga doble clic en el elemento para mostrar los detalles de
los incidentes.
Creación de una clase de dispositivo
Permite crear una clase de dispositivo si no existe una clase de dispositivo adecuada en la lista predefinida o si no se crea
automáticamente al instalar el hardware nuevo.
Antes de empezar
Obtenga el GUID del dispositivo antes de iniciar esta tarea.
Procedimiento
2. En el panel de la izquierda, seleccione Control de dispositivos → Clase de dispositivo.
• Seleccione Acciones → Nuevo elemento.

• Localice una clase de dispositivo similar en la lista de clases de dispositivo integrada y, a continuación, haga clic en
Duplicado la columna Acciones. Haga clic en Editar para la clase de dispositivo duplicada.
4. Introduzca un Nombre único y una Descripción opcional.

5. Compruebe el Estado y el Tipo de filtro obligatorios.
6. Introduzca el GUID y, a continuación, haga clic en Agregar.
El GUID debe tener el formato correcto. Se le advertirá si no lo tiene.

Organización de dispositivos con plantillas de dispositivo

Una plantilla de dispositivo es una lista de propiedades del dispositivo, tales como el tipo de bus, la clase de dispositivo, el ID de
proveedor y el ID de producto.
El rol de las plantillas de dispositivo es identificar y agrupar los dispositivos en función de las propiedades que tienen en común.
Algunas propiedades de los dispositivos se pueden aplicar a cualquier plantilla de dispositivo, mientras que otras son exclusivas
de uno o varios tipos de dispositivos.
Los tipos de plantillas de dispositivo disponibles son los siguientes:
• Solo McAfee DLP Endpoint for Windows:

Los dispositivos de disco duro fijo se conectan al equipo y el sistema operativo no los marca como
almacenamiento extraíble. Device Control puede controlar unidades de disco duro fijo distintas a la unidad
de arranque.
Los dispositivos Plug and Play excluidos son principalmente aquellos que no interactúan correctamente con la
gestión de dispositivos y pueden hacer que el sistema deje de responder o causar otros problemas serios.
Note
Las plantillas de dispositivos Plug and Play excluidos de la se añaden automáticamente a la lista de
excluidos en todas las reglas de control de dispositivos Plug and Play y se ocultan. Nunca serán dispositivos
gestionados, aunque la clase de dispositivo principal a la que pertenecen sea gestionada.
• McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac
Los dispositivos Plug and Play se añaden al equipo gestionado sin necesidad de realizar configuraciones ni
instalaciones manuales de DLL y controladores. Entre los dispositivos Plug and Play se incluyen la mayoría de los
dispositivos Microsoft Windows. En McAfee DLP Endpoint for Mac, solo son compatibles con USB.
Los dispositivos de almacenamiento extraíbles son dispositivos externos con un sistema de archivos que
aparecen en el equipo gestionado como unidades.
También puedes crear plantillas de grupos de dispositivos, que son conjuntos de plantillas de dispositivos definidas con
anterioridad. Los grupos de dispositivos deben especificar solo un sistema operativo, ya sea Microsoft Windows o macOS.
Las plantillas de dispositivos de almacenamiento extraíbles son más flexibles e incluyen propiedades adicionales relacionadas
con los dispositivos de almacenamiento extraíbles.
Tip
Utiliza las reglas y plantillas de dispositivos de almacenamiento extraíbles para controlar los dispositivos que se pueden
clasificar de cualquiera de las dos formas, como pueden ser los dispositivos de almacenamiento masivo USB.

Ventajas de las plantillas de dispositivo para definir los parámetros de dispositivo
Es posible añadir varios parámetros a una única plantilla de dispositivo. La lista de propiedades disponibles y los valores varían
según el tipo de dispositivo.
Se añaden varios parámetros a las plantillas de dispositivo como operador lógico O (valor predeterminado) o como operador
lógico Y. Siempre se agregan varios tipos de parámetros como operador lógico Y.
Por ejemplo, la siguiente selección de parámetros:
Crea esta plantilla:
• El tipo de bus es uno de los siguientes: FireWire (IEEE 1394) O USB

• Y la clase de dispositivo es uno de los dispositivos de memoria O dispositivos portátiles de Windows
Creación de una plantilla de dispositivo
Las plantillas de dispositivos (definiciones) especifican las propiedades de un dispositivo para desencadenar la regla.
Las plantillas de dispositivo se pueden crear como se describe a continuación, mediante la importación desde un archivo CSV,
a partir de un incidente de conexión de dispositivo en el Administrador de incidentes de DLP o con un script que contenga
llamadas a API REST. El administrador que ejecute el script debe ser un usuario válido de McAfee ePO con permisos en los
Conjuntos de permisos de McAfee ePO para realizar las acciones invocadas por las API.
Tip
Cree definiciones de dispositivos Plug and Play excluidos para los dispositivos que no controlan de un modo claro la gestión,
lo que podría ocasionar que el sistema dejase de responder o crear otros problemas graves. No se aplican acciones en estos
dispositivos aunque se desencadene una regla.

Procedimiento
2. En el panel de la izquierda, seleccione Control de dispositivos → Plantillas de dispositivo.
3. Seleccione Acciones → Nuevo elemento y, a continuación, elija el tipo de definición.
4. Introduzca un Nombre único y, si lo desea, una Descripción.
5. (Solo para dispositivos Plug and Play y dispositivos de almacenamiento extraíbles) Seleccione la opción Se aplica a para
los dispositivos Microsoft Windows u OS X.
La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativo seleccionado.
6. Seleccione las propiedades para el dispositivo.
Note
La lista de propiedades disponibles varía según el tipo de dispositivo.
• Para añadir una propiedad, haga clic en >.

• Para agregar otro valor para la propiedad, haga clic en +. Los valores se añaden como operadores lógicos O de
forma predeterminada. Haga clic en el botón y/o para cambiarlo a Y.
• Para eliminar propiedades, haga clic en -.
Creación de un grupo de dispositivos
Los grupos de dispositivos simplifican las reglas y mantienen el grado de detalle mediante la combinación de varias plantillas de
dispositivos en un solo grupo.
Los grupos de dispositivos se pueden crear tal y como se describe a continuación, o bien con un script que contenga
llamadas API REST. El administrador que ejecute el script debe ser un usuario válido de McAfee ePO con permisos en los
Conjuntos de permisos de McAfee ePO para realizar las acciones invocadas por las API.
Procedimiento
2. En el panel Plantillas de dispositivos, seleccione Acciones → Nuevo grupoy seleccione el tipo de grupo.
Se admiten tres tipos de grupos de dispositivos: Unidad de disco duro fija, Dispositivo Plug and Play o Dispositivo de
3. Escriba un Nombre único para el grupo y una Descripción opcional.
4. Seleccione la opción Se aplica a para dispositivos Microsoft Windows o macOS.
Este campo no está disponible para grupos de dispositivos de unidades de disco duro fijos.
5. Mediante las casillas, seleccione los elementos que quiera añadir al grupo.
Puede filtrar las listas de plantillas de dispositivos largas escribiendo en el cuadro de texto Elementos de filtrado y haga clic
en Ir.

Creación de una plantilla de dispositivos de almacenamiento extraíble
Un dispositivo de almacenamiento extraíble es un dispositivo externo con un sistema de archivos que aparece en el equipo
gestionado como una unidad. Las plantillas de dispositivos de almacenamiento son más flexibles que las plantillas de
dispositivos Plug and Play e incluyen propiedades adicionales en función de los dispositivos.
Procedimiento
2. En el panel de la izquierda, seleccione Control de dispositivos → Plantillas de dispositivos y seleccione Acciones →
Nuevo elemento → Plantilla de dispositivo de almacenamiento extraíble.
3. Introduzca un Nombre único y una Descripción opcional.
4. Seleccione la opción Se aplica a para dispositivos Microsoft Windows o macOS.
La lista Propiedades disponibles cambia para coincidir con las propiedades del sistema operativo seleccionado.
5. Seleccione las propiedades para el dispositivo.
• Para añadir una propiedad, haga clic en >.

• Para añadir valores adicionales para la propiedad, haga clic en +. Los valores se agregan como O lógicos de forma
predeterminada. Haga clic en el botón y/o para cambiarlo a Y.
• Para eliminar propiedades, haga clic en -.
Creación de una plantilla de dispositivos Plug and Play excluidos de la
El objetivo de los dispositivos Plug and Play exlcuidos de la es tratar con aquellos dispositivos que no funcionan correctamente
con la gestión de dispositivos. Si no están exlcuidos de la , podrían provocar que el sistema deje de responder o causar otros
problemas graves. Las plantillas de dispositivos Plug and Play exluidos de la no se admiten en McAfee DLP Endpoint for Mac.
Los dispositivos Plug and Play excluidos de la se añaden automáticamente a las reglas de dispositivos Plug and Play y se ocultan.
Nunca se gestionan, incluso si la clase de dispositivo principal está gestionada.
Tip
Para evitar problemas de compatibilidad, añade los dispositivos que no admiten bien la gestión a la lista de dispositivos
excluidos de la .
Procedimiento
1. En McAfee ePO, selecciona Menú → Protección de datos → Gestor de directivas de DLP → Definiciones.
2. En el panel de la izquierda, selecciona Control de dispositivos → Plantillas de dispositivos y, a continuación, elige
Acciones → Elemento nuevo → Plantilla de dispositivos Plug and Play excluidos.
3. Introduce un Nombre único y, si quieres, una Descripción.
4. Selecciona las propiedades para el dispositivo.
• Para añadir una propiedad, haz clic en >.

• Para quitar una propiedad, haz clic en <.

• Para añadir valores adicionales a la propiedad, haz clic en +. Los valores se añaden como operadores lógicos O de
forma predeterminada. Haz clic en el botón y/o para cambiarlo a Y.
• Para quitar propiedades, haz clic en -.
5. Haz clic en Guardar.
Creación de una definición de par de usuario y número de serie
Puede crear excepciones para las reglas de dispositivos de almacenamiento Plug and Play y extraíbles en función de los números
de serie de los dispositivos y las identidades de usuario emparejados. Al vincular el dispositivo con el usuario con sesión iniciada,
se crea un nivel mayor de seguridad.
Antes de empezar
Obtenga los números de serie del dispositivo para los dispositivos que va a añadir a la definición.
Puede crear una definición de par de usuario y número de serie mediante la importación de la información en formato CSV.
También puede exportar las definiciones existentes en formato CSV.
Tip
Los archivos CSV de pares de usuario y número de serie usan varias columnas. Exporte una definición para comprender
cómo se rellenan las columnas antes de crear un archivo para la importación.
Note
Las definiciones de pares de usuario y número de serie no se admiten en McAfee DLP Endpoint for Mac.
Procedimiento
2. En el panel de la izquierda, seleccione Control de dispositivos → Número de serie y par de usuario final.
3. Select Actions → New Item.
4. Escriba un nombre exclusivo y, si quiere, una descripción.
5. Introduzca la información necesaria en los cuadros de texto situados en la parte inferior de la página y haga clic en
Añadir. Repita los pasos las veces necesarias para añadir pares de usuarios finales y números de serie adicionales.
Para Tipo de usuario → Todos, deje el campo Usuario final en blanco. Si especifica un usuario, use el formato
usuario@nombre.dominio.
Reglas de control de dispositivos

Las reglas de control de dispositivos definen la acción realizada cuando se utilizan determinados dispositivos.

Note
Las reglas de control de dispositivos SOLO se desencadenan cuando se conecta un dispositivo. La notificación enviada
(bloquear, solo lectura, informar de incidente) depende de la acción de la regla. Las acciones del usuario en un dispositivo
conectado no provocan que se registren más incidentes ni que se envíen más notificaciones.
Regla para dispositivos de almacenamiento extraíbles

Los dispositivos de almacenamiento extraíbles aparecen en el equipo gestionado como unidades. Utilice las reglas para
dispositivos de almacenamiento extraíbles para bloquear el uso de dispositivos extraíbles o establecerlos como de solo lectura.
Se admiten en McAfee DLP Endpoint for Windows y McAfee DLP Endpoint for Mac.
Las reglas para dispositivos de almacenamiento extraíbles no requieren una clase de dispositivo gestionado debido a la
diferencia en la forma en que los dos tipos de reglas de dispositivo utilizan las clases de dispositivo:
• Las reglas para dispositivos Plug and Play se desencadenan en el momento en que el dispositivo de hardware se conecta
al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es necesario que la clase de dispositivo sea
gestionado para reconocerlo.
• Las reglas para dispositivos de almacenamiento extraíbles se desencadenan al montar un nuevo sistema de archivos.
Cuando se produce el montaje del sistema de archivos, el software de McAfee DLP Endpoint asocia la letra de unidad
con el dispositivo de hardware específico y verifica las propiedades del dispositivo. Puesto que la reacción es para una
operación del sistema de archivos, no una unidad de dispositivo, no es necesario que la clase de dispositivo se gestione.
Note
Las reglas para dispositivos tienen un parámetro Implementar en que aplica la regla a Windows, a macOS o a ambos. Las
plantillas de dispositivo utilizadas en las reglas para dispositivos tienen un parámetro Se aplica a que especifica Dispositivos
Windows o Dispositivos macOS. Al seleccionar las plantillas de dispositivo, el sistema operativo de la plantilla y la regla
deben coincidir. Los clientes de McAfee DLP Endpoint para ambos sistemas operativos ignoran las propiedades que no
se aplican al sistema en cuestión. Sin embargo, no se puede guardar una regla que, por ejemplo, se implemente solo en
Windows pero que contenga plantillas de dispositivo para macOS.
Regla para dispositivos Plug and Play

Utilice las reglas para dispositivos Plug and Play para bloquear o supervisar los dispositivos Plug and Play. Se admiten en McAfee
DLP Endpoint for Windows y McAfee DLP Endpoint for Mac. En equipos macOS, solo se admiten dispositivos USB.
Un dispositivo Plug and Play es un dispositivo que puede agregarse al equipo gestionado sin necesidad de realizar
configuraciones ni instalaciones manuales de DLL o controladores.
Con el fin de que las reglas para dispositivos Plug and Play controlen los dispositivos de hardware de Microsoft Windows, las
clases de dispositivos especificadas en las plantillas de dispositivos que usa la regla deben estar configuradas con el estado
Gestionado.

Important
Las reglas para dispositivos tienen un parámetro Implementar en que aplica la regla a Windows, a macOS o a ambos. Las
plantillas de dispositivo utilizadas en las reglas para dispositivos tienen un parámetro Se aplica a que especifica Dispositivos
Windows o Dispositivos macOS. Al seleccionar las plantillas de dispositivo, el sistema operativo de la plantilla y la regla
deben coincidir. Los clientes de McAfee DLP Endpoint para ambos sistemas operativos ignoran las propiedades que no se
aplican a ese sistema, pero no se puede guardar una regla que, por ejemplo, se implementa solo en Windows pero contiene
plantillas del dispositivo macOS.
Regla de acceso a archivos en dispositivos de almacenamiento extraíbles

Use reglas de acceso a archivos en dispositivos de almacenamiento extraíbles para bloquear la ejecución de archivos ejecutables
en dispositivos de complemento. Se admiten en McAfee DLP Endpoint for Windows.
Regla de disco duro fijo

Utilice las reglas de dispositivo de disco duro fijo para controlar los discos duros conectados al equipo y que el sistema operativo
no marca como almacenamiento extraíble. Se admiten en McAfee DLP Endpoint for Windows.
Las reglas de disco duro fijo incluyen una definición de unidad con una acción para bloquear o hacer de solo lectura, una
definición de usuario y la opción de notificar al usuario. No protegen el arranque ni la partición del sistema.
Regla para dispositivos Citrix XenApp

Use las reglas de dispositivo Citrix para bloquear los dispositivos Citrix asignados a sesiones de escritorio compartidas. Se
admiten en McAfee DLP Endpoint for Windows.
El software McAfee DLP Endpoint puede bloquear los dispositivos Citrix asignados a sesiones de escritorio compartidas.
Se pueden bloquear todas las unidades de disquetes, fijas, de CD, extraíbles y de red, así como las impresoras y el
redireccionamiento del portapapeles. Puede asignar la regla a usuarios concretos.
Regla para dispositivos TrueCrypt

Utilice las reglas de dispositivo TrueCrypt para bloquear o supervisar los dispositivos de cifrado virtuales TrueCrypt o
configurarlos como solo lectura. Se admiten en McAfee DLP Endpoint for Windows.
Las reglas de dispositivo de TrueCrypt son un subconjunto de reglas para dispositivos de almacenamiento extraíbles. Los
dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas para dispositivos TrueCrypt o con reglas de protección
de almacenamiento extraíble.
• Use una regla de dispositivos si quiere bloquear o supervisar un volumen TrueCrypt o hacerlo de solo lectura.
• Use una regla de protección si quiere una protección basada en el contenido para los volúmenes TrueCrypt.
Note
El software cliente de McAfee DLP Endpoint trata todos los montajes de TrueCrypt como almacenamiento extraíble, incluso
cuando la aplicación de TrueCrypt escribe en el disco local.

Creación de una regla para dispositivos
Siga estas reglas generales para crear los distintos tipos de reglas de dispositivos.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de directivas de DLP → Conjuntos de reglas.
2. Seleccione Acciones → Nuevo conjunto de reglas o edite un conjunto de reglas existente.
3. Haga clic en el nombre del conjunto de reglas para abrirlo y editarlo. Haga clic en la pestaña Control de dispositivos.
4. Seleccione Acciones → Nueva regla y seleccione el tipo de regla que desee crear.
5. Introduzca un Nombre de regla único.
6. (Opcional) Cambie el estado y seleccione una gravedad.
7. (Únicamente para reglas de dispositivos Plug and Play y de almacenamiento extraíbles) Anule la selección de las
casillas de McAfee DLP Endpoint for Windows o McAfee DLP Endpoint for Mac OS X si la regla se aplica solo a uno de los
sistemas operativos.
8. En la ficha Condición, seleccione uno o varios elementos o grupos.
Algunas reglas de dispositivo le permiten asignar grupos de usuarios o un Nombre de proceso de forma opcional. Las
reglas de Citrix tienen recursos en lugar de elementos. Las reglas de TrueCrypt solo tienen grupos de usuarios opcionales.
Note
Cuando se guarda la regla, la plantilla de dispositivo utilizada para crear los elementos o grupos se valida con respecto
al sistema operativo seleccionado en el campo Implementar en. Si no coinciden, aparece un mensaje de error. Para
corregir el error, elimine las plantillas o cambie el sistema operativo seleccionado en Implementar en antes de guardar
la regla.
9. (Opcional) En la pestaña Excepciones, rellene los campos necesarios.

En el caso de algunas reglas, debe seleccionar una plantilla de exclusión y, a continuación, rellenar los detalles.
10. En la pestaña Reacción, seleccione una Acción. Opcional: agregue una Notificación de usuario y seleccione Notificar
incidente.
Si no selecciona Notificar incidente, no existirá ningún registro del incidente en el Administrador de incidentes de DLP.
11. (Opcional) Seleccione una acción diferente cuando el usuario esté trabajando fuera de la red corporativa.
Reglas de acceso a archivos en dispositivos de almacenamiento

extraíbles
Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles se usan para bloquear la ejecución de archivos
ejecutables en dispositivos de complemento. Son compatibles únicamente con equipos Microsoft Windows.
Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles impiden a los dispositivos de almacenamiento
extraíbles ejecutar las aplicaciones. Puede especificar los dispositivos incluidos y excluidos en la regla. Dado que debe permitirse
la ejecución de algunos ejecutables, como las aplicaciones de cifrado en los dispositivos cifrados, la regla incluye un parámetro
Nombre de archivo → no es ninguno de para excluir los archivos denominados de la regla de bloqueo.

Las reglas de acceso a archivos utilizan el tipo y la extensión de archivo verdaderos para determinar qué archivos se deben
bloquear. El tipo de archivo verdadero identifica el archivo por su tipo de datos registrados internamente, proporcionando
una identificación precisa incluso si se cambió la extensión. De forma predeterminada, la regla bloquea los archivos
comprimidos (.zip, .gz, .jar, .rar y .cab) y los ejecutables (.bat, .bin, .cgi, .com, .cmd, .dll, .exe, .class, .sys y .msi). Puede personalizar
las definiciones de extensiones de archivos para agregar cualquier tipo de archivo que precise.
Note
Las reglas de acceso a archivos también impiden que los archivos ejecutables se copien en dispositivos de almacenamiento
extraíbles, puesto que el controlador de filtros de archivo no puede diferenciar entre abrir y crear un ejecutable.

7| Sincronización de directivas de DLP con MVISION
Sincronización de directivas de DLP con MVISION

Integración de directivas de DLP con Skyhigh Security Cloud
El soporte para las clasificaciones de McAfee DLP está disponible para clientes de McAfee DLP y Skyhigh Security Cloud.
Note
Para obtener instrucciones sobre cómo habilitar la función de integración de Skyhigh Security Cloud y cómo configurar las
conexiones de servidor, consulte la Guía de instalación de McAfee DLP Endpoint 11.x.x.
Skyhigh Security Cloud es un bróker de seguridad de acceso a la nube (CASB) que puede detectar el comportamiento del
usuario y aplicar reglas de protección en la nube.
Puede aplicar directivas creadas en McAfee DLP a contenido de nube con Skyhigh Security Cloud de dos formas.
• Para implementar un comportamiento de clasificación consistente en las directivas locales y en la nube, aplique las
clasificaciones de McAfee DLP a directivas de Skyhigh Security Cloud
Tip
Se pueden aplicar las clasificaciones para proteger el contenido cargado en los servicios en la nube seleccionados,
tales como Box Sync o Microsoft OneDrive.
• Para implementar un comportamiento de regla de protección de correo electrónico consistente para el correo
electrónico local y en la nube, aplica la directiva de McAfee DLP directamente.
Tip
Las reglas de protección de correo electrónico que incluyen la opción Implementar en Skyhigh Security Cloud DLP
amplían el soporte a servicios de correo electrónico en la nube compatibles, tales como Microsoft Exchange Online.
Los incidentes comunicados en Skyhigh Security Cloud se pueden utilizar para el análisis y la generación de informes en el
Gestor de incidentes de DLP, lo que proporciona una vista combinada de los incidentes de DLP que se producen tanto en los
puntos de implementación locales como en la nube.
Utiliza el siguiente flujo de trabajo para añadir clasificaciones de McAfee DLP a reglas de protección de Skyhigh Security Cloud:
1. El administrador de McAfee DLP crea definiciones de clasificación y las agrega a una directiva.
2. El administrador de McAfee DLP aplica la directiva de McAfee DLP a Skyhigh Security Cloud.
3. El administrador de Skyhigh Security Cloud permite el uso de las clasificaciones de DLP en la IU de Skyhigh Security Cloud
y añade las clasificaciones de DLP a las reglas de protección de Skyhigh Security Cloud.

4. Las reglas de protección de Skyhigh Security Cloud se aplican al contenido de las cuentas de servicio en la nube protegidas
del cliente.
Flujo de trabajo para las reglas de protección de Skyhigh Security Cloud
Utilice el siguiente flujo de trabajo para aplicar una directiva de Skyhigh Security Cloud a Exchange Online:
1. El administrador de McAfee DLP crea una directiva de DLP con reglas de correo electrónico y reacciones de Skyhigh
Security Cloud asociadas
2. El administrador de McAfee DLP aplica la directiva de McAfee DLP a Skyhigh Security Cloud.
3. El administrador de Skyhigh Security Cloud activa la directiva de DLP para Exchange Online dentro de la interfaz de
Skyhigh Security Cloud.
4. La directiva de DLP se aplica al contenido de Exchange Online en la cuenta de clientes conectados.
Flujo de trabajo para la directiva de McAfee DLP aplicada a Exchange Online

Cómo se informa de los incidentes de Skyhigh Security Cloud en McAfee DLP

McAfee DLP extrae los incidentes periódicamente de Skyhigh Security Cloud y los muestra en el Administrador de incidentes de
DLP. Algunas de las propiedades de incidente de Skyhigh Security Cloud tienen nombres diferentes a los de las propiedades de
incidente en el Gestor de incidentes de DLP. Estas propiedades de incidentes se asignan a sus términos equivalentes en el Gestor
de incidentes de DLP para garantizar la coherencia en todos los informes de incidentes, independientemente de su origen.
Para habilitar la copia de pruebas desde Skyhigh Security Cloud, ve a Ajustes de directiva → Enviar archivos de pruebas a
ePOHabilitar. McAfee DLP descarga los archivos de pruebas y los copia en el almacenamiento de pruebas de DLP local.
Archivos de prueba que se extraen de Skyhigh Security Cloud se puede abrir a través del Administrador de incidentes de
McAfee DLP, donde también se muestran resaltados los resultados.
Note
La copia de pruebas solo es compatible con los incidentes de directiva de clasificación de Skyhigh Security Cloud.
Para obtener información más detallada acerca de cómo se asigna cada propiedad de incidente de Skyhigh Security Cloud al
término equivalente en el Gestor de incidentes de DLP, consulta el artículo KB90962.
Infracciones de directivas en McAfee ePO y MVISION Cloud
Cuando se produce una infracción de una directiva de McAfee DLP que utiliza clasificaciones sincronizadas de McAfee DLP,
se crea un incidente en MVISION Cloud. Además, este incidente se sincroniza de nuevo con McAfee ePO porque McAfee ePO
permite ver y administrar todos los incidentes de McAfee DLP (tanto locales como en la nube).
Limitaciones de directivas
• Si es necesario realizar más acciones de corrección manual en los incidentes generados (por ejemplo, liberar un archivo
de la cuarentena), estas acciones deben realizarse desde la interfaz de MVISION Cloud.
Trabajar con directivas de DLP en MVISION

Usar directivas de McAfee DLP en MVISION Cloud
Insertar directivas de McAfee DLP en MVISION Cloud y aplicarlas a los mensajes de correo electrónico
El siguiente diagrama describe el proceso de alto nivel para insertar una directiva de McAfee DLP en MVISION Cloud.
1. Inserte la directiva de McAfee DLP en MVISION Cloud con el mandato Aplicar las directivas seleccionadas en el
Administrador de directivas de DLP.
2. MVISION Cloud carga la directiva.
3. Un usuario envía un correo electrónico desde la nube.
4. MVISION Cloud recibe el correo electrónico.

5. MVISION Cloud envía la información del correo electrónico a la directiva de DLP.

6. El servicio de DLP devuelve los metadatos de evento y acción esperados.
7. MVISION Cloud lleva a cabo la acción y guarda el incidente en su base de datos.
8. McAfee DLP extrae los incidentes para el administrador de incidentes de DLP con una tarea planificada de servidor de
McAfee ePO y una frecuencia programada.
Implementación de reglas de protección de correo electrónico en MVISION Cloud

Puede aplicar las reglas de protección de correo electrónico a los mensajes de correo electrónico de Microsoft Exchange Online
si inserta la directiva que contiene la regla para MVISION Cloud. La configuración Requisitos empresariales de MVISION Cloud
determina cómo se aplica la directiva: en modo en línea o en modo pasivo. El modo en línea incluye la capacidad de bloquear
mensajes de correo electrónico. El modo pasivo no puede bloquear los correos electrónicos. Según la configuración de MVISION
Cloud, puede supervisar, eliminar o poner en cuarentena.
Crear una directiva de clasificación en MVISION Cloud
Cuando la integración de MVISION Cloud está activada, aparece una regla de directivas de MVISION Cloud DLP llamada
Clasificación de McAfee Classification.
Antes de empezar
Configure la integración con MVISION Cloud en la página Configuración de DLP → Servidor de MVision Cloud.
Procedimiento
1. Seleccione Directiva → Crear directiva o Editar directiva.
2. Introduzca un nombre y, si lo desea, una descripción.
3. En Reglas, seleccione Agregar regla → Clasificación de McAfee.
4. En el campo Nombre, introduzca el nombre de la clasificación importada que desea incluir en la directiva.

5. Rellene los campos restantes y haga clic en Guardar.
Resultados
Configuración de MVISION Cloud para utilizar las clasificaciones locales de McAfee DLP
En MVISION Cloud, puede optar por utilizar las clasificaciones locales de McAfee DLP, debido a las reglas de contenido de las
directivas de DLP de nube. Con esta opción, no es necesario volver a crear las reglas de contenido en el inquilino de MVISION
Cloud, sino simplemente sincronizar las clasificaciones ya creadas en McAfee ePO.
Procedimiento
1. Seleccione Directiva → Configuración de directiva.
2. Haga clic en DLP local y, a continuación, haga clic en McAfee DLP.
3. Haga clic en Activar en Usar directivas definidas en McAfee DLP local.
4. Haga clic en Seleccionar servicios y, a continuación, elija los servicios en la nube para los que desee utilizar las
clasificaciones de McAfee como reglas de contenido. Esto le ofrece la posibilidad de utilizar las reglas de clasificación de
McAfee para algunos servicios y reglas de MVISION Cloud para otros servicios.
Por ejemplo, es posible que desee utilizar las clasificaciones de McAfee para servicios de O365 tales como SharePoint y
OneDrive, pero utilizar reglas de MVISION Cloud nativas para Slack.
Important
No seleccione Exchange Online como uno de los servicios para utilizar las clasificaciones de McAfee DLP locales.

Crear directivas de McAfee DLP mediante clasificaciones de McAfee DLP locales
Una vez configurado MVISION Cloud para sincronizar las clasificaciones de McAfee DLP, puede crear directivas mediante esas
clasificaciones.
Procedimiento
1. Vete a Directiva → Directivas de DLP y seleccione Crear una nueva directiva de DLP desde el menú Acción.
2. Para Tipo, elija API.
3. Para Contenido, elija McAfee On Prem DLP.
Important
Cuando elija McAfee On Prem DLP para Regla de contenido, las reglas que utilice en directivas solo pueden ser reglas
de clasificación o reglas de colaboración.
Si busca solo coincidencias de contenido (por ejemplo, si busca documentos con 10 o más números de la seguridad social),
utilice las reglas de clasificación. Si busca coincidencias de contenido, combinadas con un contexto de nube (por ejemplo, si
busca documentos con 10 o más números de la seguridad social que se comparten con usuarios externos), utilice las reglas
de clasificación, combinadas con reglas de colaboración
4. Para Servicios, seleccione uno o varios de los servicios en la nube que ha seleccionado para utilizar en las
clasificaciones de DLP instaladas.
5. Defina el resto de la directiva, incluidas las acciones de respuesta, y haga clic en Guardar.
Página del servidor de MVISION Cloud
Utilice esta página para configurar el servidor de MVISION Cloud.

Opción Opción Definición
Última modificación Muestra la marca de fecha y

hora de los últimos cambios en
la configuración.
Conexión de MVision Cloud Conectarse a McAfee MVISION Cuando se selecciona, activa la

Cloud comunicación con el servidor de
MVISION Cloud.
Servidor de MVision Cloud Especifica la ruta UNC al servidor

de MVISION Cloud, el nombre de
usuario y la contraseña.

Probar conectividad Comprueba la conexión.
Note: La conectividad
también se comprueba al
hacer clic en Guardar.
El nombre de usuario
y la contraseña son los
del inquilino servidor de
MVISION Cloud McAfee ePO.
Eliminar directiva de DLP Utilice esta opción para eliminar

una directiva de McAfee DLP del
servidor de MVISION Cloud.
Note: Solo se puede

eliminar una directiva que
no está en uso en MVISION
Cloud.
Módulos Extraer incidentes de MVISION Cuando se selecciona, informa de

Cloud los incidentes de MVISION Cloud
en el Administrador de incidentes
de DLP.
Insertar la directiva de DLP en Cuando se selecciona, activa

MVISION Cloud la directiva de McAfee DLP
seleccionada para que cargue en
el servidor de MVISION Cloud.
Nombre de la directiva de DLP Seleccione la directiva a insertar

de la lista desplegable.
Estado Informa sobre el estado del

sistema. No hay opciones de
usuario en este campo.

Guardar Cierra y guarda la configuración.
Proteger el correo electrónico: uso de directivas de McAfee DLP en McAfee MVISION Cloud
Acerca de Incorporar DLP en el correo electrónico
Incorporar DLP en el correo electrónico amplía el alcance de MVISION Cloud DLP a los mensajes enviados desde los buzones de
correo electrónico de su organización.
Cuando se utiliza Incorporar DLP en el correo electrónico, tienen lugar acciones de corrección de Exchange Online en tiempo real
de modo que los datos nunca abandonen la organización a través de los mensajes de correo electrónico de la herramienta.
Componentes
Los siguientes componentes son necesarios para esta función:
• Enrutamiento de correo de Exchange Online (conectores y reglas)

• Gateway MVISION Cloud (el correo se enruta desde Office 365 al proxy de gateway de MVISION Cloud)
• Conexión del vínculo de MVISION Cloud (API) con Exchange Online para las acciones de corrección de cuarentena y
eliminación
Flujo del correo electrónico
Office 365 está configurado para enviar mensajes mediante el MVISION Cloud Gateway de modo que sea posible inspeccionar
el contenido del mensaje. MVISION Cloud Gateway actúa como un proxy SMTP y, por tanto, nunca almacena o pone en cola
los mensajes. Los mensajes se procesan en tiempo real y requieren una sesión SMTP entrante y saliente activa que actúe como
proxy en ambos casos.
El flujo de correo electrónico es el siguiente:
1. Un usuario de la organización envía un mensaje.

2. En función de las reglas de enrutamiento de correo electrónico configuradas en Exchange Online, los mensajes se reenvían
al servidor SMTP de MVISION Cloud Gateway.
3. El servidor SMTP de MVISION Cloud actúa como proxy (o intermediario) de la conexión desde el servidor Exchange Online
(2), lleva a cabo la inspección DLP y vuelve a actuar como proxy de la conexión al servidor Exchange Online (4).
4. Exchange Online recibe el mensaje.
5. Exchange Online reenvía el mensaje a uno o varios de los destinos originales.

Administración de errores de transporte de mensajes

Dado que MVISION Cloud Gateway actúa como un proxy SMTP, nunca acepta la conexión SMTP a menos que se pueda
establecer el tramo saliente. MVISION Cloud Gateway nunca pone en cola ni almacena los mensajes de modo que ambos
tramos de la conexión deben estar listos para la transferencia de mensajes. De este modo se garantiza que Exchange Online
trate los problemas de las conexiones. Si una conexión falla, el servidor Exchange Online emisor volverá a poner el mensaje en la
cola y a intentar la conexión.
Los mensajes de error recibidos desde el gateway SMTP receptor se retransmiten de nuevo al gateway SMTP emisor de forma
que la puerta de enlace emisora pueda volver a poner en cola el mensaje para transportarlo.
Opciones de corrección
Como DLP en línea se realiza en tiempo real, requiere la integración MVISION Cloud Gateway basada en la API. MVISION Cloud
Gateway garantiza que los correos se bloqueen, eliminen o se pongan en cuarentena antes de que salgan de cualquier cuenta
de correo electrónico de un remitente. Por ejemplo, si se configura una directiva de DLP que elimine los mensajes de correo
electrónico que contengan palabras clave de carácter confidencial, cualquier mensaje que contenga una palabra especificada se
eliminará del buzón de correo de un remitente. Con MVISION Cloud Gateway puede elegir entre las siguientes opciones:
Bloquear: cuando se bloquea un mensaje de correo electrónico, permanece en la carpeta Enviados del remitente, pero el
destinatario no lo recibe. El administrador de MVISION Cloud no recibe una copia del correo electrónico de la carpeta En
cuarentena. El correo electrónico no sale de la cuenta del remitente.

Eliminar: cuando se elimina un mensaje de correo electrónico, este se quita de la carpeta Enviados del remitente y el
destinatario no lo recibe. El administrador de MVISION Cloud no recibe el correo electrónico en la carpeta En cuarentena.
Cuarentena: cuando se pone en cuarentena un mensaje de correo electrónico, se quita de la carpeta Enviados del remitente y
el destinatario no lo recibe. El administrador de MVISION Cloud recibe el correo electrónico en la carpeta En cuarentena. Los
mensajes de correo electrónico se ponen en cuarentena en tiempo real, API 8031.
Notificaciones: puede optar por notificar por correo electrónico a los usuarios y a los administradores de MVISION Cloud
cuando se bloquean, se eliminan o se ponen en cuarentena los mensajes.
Requisitos previos de la incorporación de DLP en el correo electrónico
Para configurar DLP en línea, necesita lo siguiente:
• Inquilino de MVISION Cloud

• Una cuenta de Microsoft Office 365 con permisos de administrador global
• Una cuenta de correo electrónico Exchange Online
Asegúrese de que ha confirmado que puede enviar y recibir mensajes de correo electrónico antes de continuar.
Integrar la incorporación de DLP en el correo electrónico con McAfee ePO

Procedimiento
1. En MVISION Cloud, seleccione Configuración → Integraciones → McAfee.
2. Haga clic en Activar para empezar a utilizar las directivas de Exchange Online de McAfee ePO en lugar de las directivas
de MVISION Cloud.
3. Haga clic en Editar usuarios para agregar una cuenta de usuario asociada a la cuenta de servicio que tendrá la función
de conector de ePO.
4. En McAfee ePO, conecte con MVISION Cloud. A continuación, regrese a MVISION Cloud y haga clic en Lo he hecho.
5. En McAfee ePO, amplíe las reglas a MVISION Cloud. A continuación, ,en MVISION Cloud haga clic en Lo he hecho.
Habilitar DLP en línea
1. Configurar Exchange Online en MVISION Cloud
Hay cinco pasos para activar DLP en línea: configurar Exchange Online en MVISION Cloud, enrutar el correo electrónico de
Office 365 a MVISION Cloud, enrutar el correo electrónico después del análisis, crear una regla de enrutamiento del correo en
Office 365 y probar el programa de instalación.
Antes de empezar
Para permitir el flujo correcto del tráfico de correo electrónico, configure un nuevo conector de Office 365. Puede obtener más
información acerca de los conectores en Configuración del flujo de correo mediante conectores de Office 365.
Procedimiento
1. Seleccione Configuración → Service Management (Administración del servicio).
2. Haga clic en Microsoft Exchange Online.

3. Si se ha configurado Exchange Online, haga clic en Predeterminado. De lo contrario, haga clic en Nueva instancia.
4. Haga clic en Instalación y, a continuación, haga clic en Configurar.
5. En la pantalla de requisitos de la empresa, seleccione Inline Only (Solo en línea). Haga clic en Siguiente.
6. Revise los requisitos previos, seleccione I have reviewed all prerequisites (He revisado todos los requisitos previos) y
haga clic en Siguiente.
7. Ahora agregue los dominios que se utilizan para McAfee DLP. Agregue los dominios de Microsoft Exchange Online y,
a continuación, el dominio de correo electrónico asociado a su despliegue de McAfee ePO. A continuación, escriba un
valor para Nombre de Host y Puerto. Asegúrese de que el dominio de servidor de correo electrónico de MVision Cloud
que se ha generado automáticamente es correcto. Haga clic en Siguiente.
8. Para Quarantine Settings (Configuración de cuarentena), puede escribir una dirección de correo electrónico opcional a
la que se envían los archivos en cuarentena. Para activar esta opción, seleccione Quarantine Emails and Attachments
(Correo electrónico y datos adjuntos en cuarentena) y, a continuación, escriba la dirección de correo electrónico. Haga
clic en Siguiente.
9. En la pantalla Resumen, asegúrese de que todas las opciones son correctas. Haga clic en Listo.
2. Creación de conectores de correo electrónico: enrutamiento del correo electrónico de Office 365
Cree dos conectores de correo. El primer conector envía correos electrónicos de Office 365 a MVISION Cloud para inspección y el
segundo acepta los mensajes de correo electrónico una vez han sido analizados por MVISION Cloud.
Antes de empezar
Cree un grupo de seguridad. A fin de limitar la repercusión que supone activar Inline DLP, es aconsejable configurar un grupo de
seguridad de Office 365 con direcciones de correo electrónico que pueda utilizar para pruebas. Una vez que esté satisfecho con
el rendimiento, puede agregar grupos de seguridad adicionales o usar Inline DLP con todas las direcciones de correo electrónico
de la organización. Véase Administración de grupos de seguridad con el correo activado para obtener instrucciones.
Asegúrese de establecer lo siguiente:
• Tipo: grupo de seguridad con correo activado

• Nombre: MVisionCloudEmailDLP
• Allow people outside of my organization to send email to this distribution group (Permitir a personas fuera de mi
organización enviar correo electrónico a este grupo de distribución): desactivado
Si no está familiarizado con la configuración de los conectores de Office 365, puede encontrar información aquí.
Procedimiento
1. Inicie sesión en Office 365 como administrador global y vaya hasta el centro de Administración de Exchange.
2. Seleccione Mail flow (Flujo de correo) y, a continuación, Conectores.
3. Agregue un conector. Siga las instrucciones que encontrará aquí: Configuración de los conectores para enrutar el
correo entre Office 365 y su propio servidor de correo electrónico. Asegúrese de definir las opciones siguientes:
a. Nombre del nuevo conector Office 365 para correo electrónico MVision Cloud DLP.
b. Asegúrese de seleccionar Only when I have a transport rule set up that redirects messages to this connector
(Solo cuando tenga un conjunto de reglas de transporte que redirija los mensajes a este conector) al configurar el
conector nuevo.

c. Asegúrese de seleccionarUsar siempre TLS y Cualquier certificado digital, incluso el autofirmado, cuando se
pregunte cómo conectar Office 365 con el servidor de correo electrónico de su partner.
3. Creación de conectores de correo electrónico: enrutamiento del correo electrónico después del
análisis
Procedimiento
1. Vuelva a Mail flow (Flujo de correo) y, a continuación, a Conectores.
2. Agregue un nuevo conector.
3. En Select your mail flow scenario (Seleccionar escenario de flujo de correo), establezca lo siguiente:
• De: servidor de correo electrónico de la organización

• Para: Office 365
4. Haga clic en Siguiente.
5. En la pantalla New connector (Nuevo conector), especifique lo siguiente:
• Nombre: DLP de correo electrónico de MVISION Cloud para Office 365

• Descripción: recibe el correo electrónico una vez que MVISION Cloud DLP lo analiza
6. En What do you want to do after connector is saved (Qué desea hacer una vez guardado el conector), seleccione las dos
opciones siguientes:
• Turn it on (Encender)
• Retain internal Exchange email headers (Conservar encabezados de correo electrónico Exchange internos)
8. En la pantalla Edit Connector (Editar conector), en How should Office 365 identify email from your email server (¿Cómo
debe Office 365 identificar el mensaje de correo electrónico desde su servidor de correo electrónico?), seleccione By
verifying that the IP address of the sending server matches one of these IP addresses that belong to your organization
(Comprobando que la dirección IP del servidor remitente coincide con una de estas direcciones IP que pertenecen a la
organización). A continuación, escriba una lista de todas las direcciones IP de origen.
Resultados
Ahora debería tener dos conectores, uno configurado en cada dirección.
4. Creación de una regla de enrutamiento de correo electrónico en Office 365
Procedimiento
1. Inicie sesión en Office 365 como administrador global y vaya hasta el centro de Administración de Exchange.
2. Seleccione Flujo de correo y, a continuación, reglas.
3. Configure una nueva regla de la manera siguiente:
• Nombre: enviar a DLP de correo electrónico de MVISION Cloud para la inspección

• Aplicar esta regla si: el remitente es miembro del [grupo de seguridad que ha creado en el paso 2]
4. Haga clic en Más opciones.
5. En la lista desplegable Haga lo siguiente, elija Redirigir el mensaje a y, a continuación, elija el siguiente conector de .

6. Seleccione el conector Office 365 to Skyhigh Cloud Email DLP (Office 365 para correo electrónico de Skyhigh Cloud DLP).
Haga clic en Aceptar.
7. En la pantalla Nueva regla, agregue una excepción. En Excepto si, elija El encabezado de un mensaje coincide y,
a continuación, elija coincide con estos patrones de texto. Haga clic en Introducir texto y, a continuación, escriba
X-SHN-DLP-SCAN. Haga clic en Aceptar.
8. Escriba success (correcto) en el cuadro de texto y, a continuación, haga clic en Aceptar.
9. Anule la selección de Audit this rule with severity level (Auditar esta regla con el nivel de gravedad) y, a continuación,
haga clic en Guardar para guardar la regla.
5. Prueba de la instalación
Procedimiento
1. Pruebe el correo electrónico saliente:
a. Inicie sesión su cuenta de Office 365 con un usuario que sea miembro del grupo de seguridad que ha creado en el
paso 2.
b. Envíe un correo electrónico de prueba a su dirección de correo electrónico y confirme que se recibe.
2. Confirme que DLP del correo electrónico de MVISION Cloud ha transmitido el mensaje de texto. Utilice el rastreo de
mensajes en el centro de administración de Microsoft Exchange para verificar que DLP en línea funciona.
a. Utilice un intervalo de fechas personalizado para filtrar el ruido según sea necesario.
b. Cree una directiva para activarse poco (solo en el registro), de forma moderada (cuarentena) y mucho
(eliminación).
c. Localice el mensaje que se envió anteriormente a sí mismo y haga doble clic para revisar los detalles.
d. Revise el rastreo de mensajes y confirme que el correo electrónico se ha enviado mediante el conector.

8| Uso de directivas de appliances
Uso de directivas de appliances

Uso de directivas para definir cómo funcionan los appliances de
McAfee DLP
Utilice Gestión de appliances de DLP, Data Loss Prevention y Ajustes generales de gestión de appliances en el Catálogo de
directivas para definir los ajustes del appliance de McAfee DLP.
Gestión de appliances de DLP

Utilice las opciones de la categoría Gestión de appliances de DLP con los appliances de McAfee DLP para establecer directivas.
Puede realizar tareas como especificar un host inteligente o clientes ICAP, habilitar el envío de correo electrónico autenticado,
especificar McAfee DLP Monitor y McAfee DLP Prevent o habilitar los ajustes de McAfee DLP Capture. También puede
configurar el equilibrio de carga y el tiempo de espera, así como los servidores LDAP de los que desee obtener información
de usuario.
Data Loss Prevention

Utilice la categoría de directiva Configuración del servidor para editar los ajustes de Almacenamiento compartido y prueba y
del reconocimiento óptico de caracteres de forma que funcionen con los appliances de McAfee DLP.
La opción Ancho de banda de transmisión de pruebas máximo (KB/s) en Ajustes de cliente no se aplica a los appliances de
McAfee DLP.
Ajustes generales de gestión de appliances

Especifique la configuración DNS, la configuración de la ruta estática y los servidores de registro remoto. Asimismo, puede editar
la fecha y la hora del appliance, además de habilitar las alertas y la supervisión SNMP.
Configurar un clúster de appliances de McAfee DLP Prevent
Para equilibrar la carga del tráfico entrante y garantizar una alta disponibilidad, puede crear clústeres de appliances de McAfee
DLP Prevent.
Antes de empezar
Configure dos o más appliances de McAfee DLP Prevent con LAN 1 conectados al mismo segmento de red.
Todos los appliances de un clúster deben encontrarse en la misma red o subred.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas.
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría General y abra la directiva que desee editar.
3. En Equilibrio de carga, seleccione Habilitar.
4. En ID de clúster, use las flechas para seleccionar un número a fin de identificar el clúster.

5. En Dirección IP virtual, introduzca una dirección IP virtual para que los paquetes dirigidos a dicha dirección IP virtual se
envíen al appliance principal del clúster.
Los appliances del clúster utilizan la máscara de red asignada a la dirección IP física. La dirección IP virtual debe estar en la
misma red o subred que el resto de los appliances de McAfee DLP Prevent, y no puede ser la misma dirección IP que la de
otro appliance del clúster.
Resultados
McAfee ePO inserta la configuración en todos los appliances del clúster cuando se aplican los cambios. El clúster tarda
unos cinco minutos en estabilizarse e identificar el appliance principal y los analizadores del clúster. Las descripciones de los
appliances cambian entonces para reflejar esto en Gestión de appliances.
Configurar un clúster de appliances de McAfee DLP Monitor
Para equilibrar la carga del análisis del tráfico entrante, puede configurar un clúster de appliances de McAfee DLP Monitor.
Antes de empezar
• Configure el appliance de McAfee DLP Monitor para un rol de clúster desde el Asistente de instalación durante la
instalación.
• Configure dos o más appliances de McAfee DLP Monitor con LAN 1 conectados al mismo segmento de red.
• Todos los appliances de un clúster deben encontrarse en la misma red o subred.
Procedimiento
2. Seleccione el producto Gestión de appliances de DLP <versión>, elija la categoría General y abra la directiva que desee
editar.
3. En Equilibrio de carga, seleccione Habilitar.
4. En ID de clúster, use las flechas para seleccionar un número a fin de identificar el clúster.
5. En Dirección IP virtual, introduzca una dirección IP virtual para que los paquetes dirigidos a dicha dirección IP virtual se
envíen al appliance principal del clúster.
Los appliances del clúster utilizan la máscara de red asignada a la dirección IP física. La dirección IP virtual debe estar en
la misma red o subred que el resto de appliances de McAfee DLP Monitor, y no puede ser la misma dirección IP que la de
otro appliance del clúster.
Caution
El ID de clúster y la dirección IP virtual deben ser idénticos para todos los miembros de un clúster.

Resultados
McAfee ePO inserta la configuración en todos los appliances del clúster cuando se aplican los cambios. El clúster tarda unos
cinco minutos en estabilizarse e identificar el appliance principal y los analizadores del clúster. Las descripciones de los
appliances cambian entonces para reflejar esto en Gestión de appliances.
Habilitación del modo FIPS 140-2
Configure el appliance de McAfee DLP para que realice las operaciones criptográficas de manera conforme con FIPS 140-2.
Debido a la naturaleza de FIPS 140-2, al habilitar esta función disminuye el rendimiento de su appliance.
Procedimiento
3. En Modo de seguridad, seleccione el modo Habilitar FIPS 140-2 y haga clic en Guardar.
Establecer los ajustes del tiempo de espera de conexión
Cambie el número de segundos durante los cuales McAfee DLP Prevent intentará conectarse con un MTA.
De forma predeterminada, el appliance de McAfee DLP Prevent intenta conectarse durante 20 segundos. Si no se puede
establecer la conexión en ese tiempo, hay un problema con la red o con el MTA que se debe investigar.
Procedimiento
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de correo electrónico de McAfee DLP
Prevent y abra la directiva que desee editar.
3. En Ajustes de conexión → Conexión de enlace, escriba el número de segundos que el appliance de McAfee DLP Prevent
puede pasar intentando conectarse a un MTA.
Adición de un servidor de pruebas para almacenar incidentes
Algunos incidentes tienen elementos de pruebas asociados. Puede almacenar las pruebas en un servidor de pruebas.
Antes de empezar
El servidor de pruebas debe ser un recurso compartido CIFS con permisos de lectura/escritura.
Realice esta tarea para configurar los ajustes predeterminados de almacenamiento de pruebas compartido. Los ajustes
introducidos se reflejan el las directivas configuradas en las páginas Catálogo de directivas → Data Loss Prevention <versión>
→ Configuración del servidor, Catálogo de directivas → Data Loss Prevention <versión> → Configuración de cliente de
Windows y Catálogo de directivas → Data Loss Prevention <versión> → Configuración de cliente de Mac OS X. Puede
actualizar los ajustes de McAfee DLP Discover, McAfee DLP Prevent y McAfee DLP Monitor, y el servidor de DLP en la directiva
Configuración del servidor.

Procedimiento
1. En McAfee ePO, seleccione Menú → Ajustes de DLP → General.
2. Introduzca la ruta de acceso al servidor de pruebas en Almacenamiento compartido para guardar los ajustes y activar
el software.
La ruta de almacenamiento de pruebas debe ser una ruta de red, es decir, \\[servidor]\[recurso compartido].
3. Proporcione el nombre de usuario y la contraseña para acceder al servidor y haga clic en Guardar.
Conectar con un servidor de pruebas fuera del firewall
Si su appliance de McAfee DLP se encuentra en una zona desmilitarizada (DMZ), puede copiar los archivos de pruebas de forma
segura, a pesar de que no haya acceso de red al recurso compartido de archivos de pruebas. McAfee DLP permite copiar los
archivos de pruebas al recurso compartido de archivos de pruebas a través del servidor de McAfee DLP.
Procedimiento
3. En el servidor de McAfee DLP para la copia de pruebas, haga clic en + para añadir el nombre del host o la dirección IP
de los servidores de McAfee DLP a los que desee que se conecte el appliance de McAfee DLP.
4. Haga clic en Actualizar y, a continuación, guarde los cambios.
Qué hacer a continuación
Después de añadir el servidor de DLP para copiar pruebas, edite la directiva de Catálogo de directivas → Data Loss Prevention
<versión> → Condiguración del servidor aplicada al servidor de DLP y habilite el servicio HTTP de almacenamiento de pruebas.
Especificación del servidor para los documentos registrados
Especifique un servidor de McAfee DLP Discover en el Catálogo de directivas para utilizar los documentos registrados en las
directivas de los appliances de McAfee DLP.
Procedimiento
3. En Servidor de McAfee DLP para documentos registrados, haga clic en el botón de añadir (+) para introducir las
direcciones IP o los nombres de host de los servidores de McAfee DLP Discover donde estén las bases de datos de
documentos registrados que desee utilizar.
Los servidores de base de datos de documentos registrados son servidores de McAfee DLP Discover con el rol de servidor
de McAfee DLP. El puerto del servidor está predefinido como 6379.
4. (Opcional) Seleccione la casilla de verificación Utilizar TLS para especificar una conexión segura.
Personalización del texto del banner de la consola del appliance
Es posible personalizar el texto que aparece en la parte superior de la pantalla de inicio de sesión de la consola del appliance y
cuando se conecta mediante SSH.

Procedimiento
3. En Banner de inicio de sesión personalizado, seleccione Mostrar un banner personalizado y haga clic en Guardar.
Debe utilizar texto sin formato.
Resultados
La próxima vez que inicie sesión en la consola del appliance o conecte con ella mediante SSH, el texto se mostrará después de
que proporcione sus credenciales de usuario.
Deshabilitación del acceso a los puertos de gestión a través de la interfaz de tráfico
Es posible separar el tráfico de gestión del tráfico de cliente para mejorar la seguridad.
Procedimiento
3. En Gestión fuera de banda, seleccione Deshabilitar el acceso en banda a los puertos de gestión.
Los puertos mostrados solo son accesibles a través de la interfaz de gestión.
4. Añada o elimine puertos de gestión en la lista según sea necesario y haga clic en Guardar.
Especificación de un nivel máximo de anidación de datos adjuntos archivados
Para proteger el appliance frente a los ataques de denegación de servicio, establezca el nivel máximo de anidación de datos
adjuntos archivados que el appliance intenta analizar antes de que se agote el tiempo.
Note
Un ejemplo de datos adjuntos anidados es un archivo .zip en otro archivo .zip.
Procedimiento
3. En Ajustes de análisis → Nivel máximo de anidamiento, establezca el nivel máximo de anidamiento de datos adjuntos
archivados.
Habilitar el envío de correo electrónico autenticado
Puede configurar el appliance de McAfee DLP Prevent para el envío de correo electrónico autenticado en escenarios en los
que las directivas de red no permiten la comunicación por correo electrónico en el puerto 25. También puede utilizar esta
configuración cuando sea obligatorio utilizar el envío de correo autenticado.
Antes de empezar
• Asegúrese de que el host inteligente configurado admita el mecanismo de inicio de sesión para la autenticación.

• El puerto predeterminado para el envío de correo autenticado es el 587.

• Si la configuración de host inteligente incluye un número de puerto, asegúrese de que el puerto configurado admita el
mecanismo de inicio de sesión para la autenticación. Por ejemplo, en 1.2.3.4:50, el puerto 50 debe admitir el mecanismo
LOGIN.
Cuando esta función está habilitada, el appliance de McAfee DLP Prevent escucha en el puerto 587 para aceptar los correos
electrónicos mediante los mecanismos de autenticación admitidos. Actualmente, el appliance de McAfee DLP Prevent solo es
compatible con el mecanismo LOGIN para SMTP AUTH.
En el caso de los correos electrónicos recibidos en el puerto 587, el appliance de McAfee DLP Prevent espera que el MTA
entrante utilice el mecanismo LOGIN para proporcionar los detalles de nombre de usuario y contraseña. El appliance de McAfee
DLP Prevent se conecta con el puerto 587 o el puerto especificado en la configuración de host inteligente del MTA saliente (host
inteligente). A continuación, utiliza estas credenciales de inicio de sesión (a través del mecanismo LOGIN) durante la entrega del
La autenticación de nombre de usuario y contraseña enviada por el MTA entrante suele ocurrir en el host inteligente cuando el
appliance le entrega el correo electrónico. El appliance de McAfee DLP Prevent no almacena los detalles de nombre de usuario y
contraseña.
Note
El appliance de McAfee DLP Prevent ordena implícitamente Transport Layer Security (TLS) para las comunicaciones entrantes
y salientes cuando se habilita el envío de correo electrónico autenticado. Los ajustes de Transport Layer Security en Gestión
de appliances de DLP <versión> → Ajustes de correo electrónico de McAfee DLP Prevent no se utilizan para el envío de
correo electrónico autenticado.
Procedimiento
2. En Producto → Gestión de appliances de DLP, seleccione la categoría Ajustes de correo electrónico de McAfee DLP
3. En el campo SMTP, seleccione la casilla Habilitar envío de correo autenticado (utiliza SMTP AUTH mediante TLS en el
puerto 587).
Cerrar los puertos SMTP del appliance de McAfee DLP Prevent
Para mejorar el rendimiento y la seguridad de los appliances de McAfee DLP Prevent dedicados a analizar tráfico web, cierre los
puertos SMTP.
Procedimiento
2. Seleccione el producto Gestión de appliances de DLP, seleccione la categoría Ajustes de correo electrónico de McAfee
DLP Prevent y abra la directiva que desee editar.
3. En el campo SMTP, anule la selección de Habilitar SMTP y Habilitar envío de correo autenticado (utiliza SMTP AUTH
mediante TSL en el puerto 587).

Añadir más MTA que pueden entregar mensajes de correo electrónico
McAfee DLP Prevent entrega mensajes de correo electrónico mediante el host inteligente configurado. Además del host
inteligente, puede añadir más MTA a los que McAfee DLP Prevent entregar mensajes de correo electrónico.
Antes de empezar
Asegúrese de que tiene las direcciones IP o los nombres de host de los hosts inteligentes.
McAfee DLP Prevent acepta mensajes de correo electrónico de más de un MTA, pero reenvía los mensajes de correo electrónico
inspeccionados únicamente a uno de los hosts inteligentes configurados.
Procedimiento
3. En el campo Hosts inteligentes, añada los detalles de los MTA que desee utilizar.
4. Haga clic en Actualizar y en Guardar.
Entrega de correos electrónicos mediante un enfoque de operación por turnos
Configure e appliance de McAfee DLP Prevent para la entrega a varios servidores de correo electrónico mediante la distribución
de los mensajes de correo electrónico entre ellos.
Antes de empezar
Asegúrese de que tiene las direcciones IP o los nombres de host de los hosts inteligentes.
Procedimiento
3. En Hosts inteligentes, seleccione la casilla Operación por turnos. Haga clic en + para añadir un MTA. Añada los detalles
de los MTA y haga clic en Actualizar.
Limitación de conexiones a las redes o los hosts especificados
De forma predeterminada, el appliance de McAfee DLP Prevent acepta los mensajes de cualquier host. Especifique los hosts
que pueden enviar mensajes a McAfee DLP Prevent para que solo los MTA de origen legítimo puedan retransmitir correos
electrónicos a través del appliance.
Antes de empezar
Especifique los hosts inteligentes que pueden enviar mensajes.

Procedimiento
3. En Hosts permitidos, seleccione Aceptar correos solo de estos hosts.
4. Escriba los detalles de un host desde el que el appliance de McAfee DLP Prevent pueda recibir mensajes.
Añada la información del host con su dirección IP y subred, los nombres de dominio o el nombre de dominio con caracteres
comodín.
5. Haga clic en Actualizar para agregar los detalles a la lista de hosts permitidos.
Puede crear grupos de hosts de retransmisión mediante subredes o dominios con caracteres comodín. Para añadir más de
una subred, debe crear entradas independientes para cada una.
Omitir análisis de correos electrónicos
Puede configurar el appliance de McAfee DLP Prevent para que omita el análisis de los correos electrónicos enviados desde las
direcciones de correo electrónico especificadas.
Antes de empezar
Especifique los hosts inteligentes que pueden enviar mensajes.
Note
Los mensajes de correo electrónico omitidos no se notifican en los incidentes. Los appliances tampoco generan pruebas ni
capturan datos de los mensajes de correo electrónico omitidos.
Procedimiento
1. En McAfee ePO, abra el Catálogo de directivas
2. Seleccione el producto Gestión de appliances de DLP <versión>, elija la categoría Ajustes de correo electrónico de
McAfee DLP Prevent y abra la directiva que desee editar.
3. En el campo Omisión de análisis de DLP, escriba la dirección de correo electrónico del remitente que desee omitir del
análisis. Utilice el formato es para especificar la dirección de correo electrónico real. Utilice el formato coincidencias
para especificar varias direcciones de correo electrónico mediante *@nombre_dominio.com. Haga clic en Actualizar
después de escribir cada dirección de correo electrónico o nombre de dominio.
• Para agregar una dirección de correo electrónico, haga clic en +.

• Para eliminar una dirección de correo electrónico, haga clic en –.
4. En Acciones, elija el encabezado de acción que desee incluir en el mensaje enviado al host inteligente configurado. De
forma predeterminada, puede seleccionar Agregar encabezado X-RCIS-Action (OMITIR)
Seleccionando Agregar encabezado X-RCIS-Action (OMITIR) agrega el valor de omisión al encabezado X-RCIS-Action en el
mensaje enviado al host inteligente configurado. Seleccionando Ninguna acción no agrega ningún valor de encabezado en
el mensaje enviado al host inteligente configurado.

Habilitar TLS en los mensajes entrantes o salientes
Puede especificar si McAfee DLP Prevent utiliza TLS para proteger los mensajes entrantes y salientes o si solo lo utiliza cuando
está disponible (lo que se conoce como configuración Oportunista). Se utiliza TLS 1.1 como versión mínima del protocolo.
McAfee DLP Prevent puede realizar operaciones criptográficas conforme a FIPS 140-2. Esto significa que las conexiones TLS
entrantes y salientes utilizan algoritmos criptográficos de seguridad alta.
Important
El uso de FIPS 140-2 puede afectar al rendimiento cuando se analiza el contenido SMTP.
La opción para habilitar FIPS 140-2 está situada en la categoría General del producto Gestión de appliances de DLP en el
Catálogo de directivas. Debido a la naturaleza de FIPS 140-2, al habilitar esta función disminuye el rendimiento de su appliance.
TLS funciona mediante la comunicación de un conjunto de parámetros —lo que se conoce como protocolo de enlace— al
comienzo de una conexión entre los servidores participantes. Cuando se definen estos parámetros, las comunicaciones entre
los servidores son seguras, de manera que los servidores que no hayan participado en el protocolo de enlace no las pueden
descodificar.
El proceso del protocolo de enlace
• El appliance solicita una conexión segura al servidor de correo electrónico receptor y le presenta una lista de suites de
cifrado.
• El servidor receptor selecciona el cifrado admitido más potente de la lista y proporciona los detalles para el appliance.
• Los servidores utilizan la infraestructura de clave pública (PKI) para establecer la autenticidad mediante el intercambio
de certificados digitales.
• Al usar la clave pública del servidor, el appliance genera un número aleatorio como clave de sesión y lo envía al servidor
de correo electrónico receptor. El servidor receptor descifra la clave mediante la clave privada.
• Tanto el appliance como el servidor de correo electrónico receptor utilizan la clave cifrada para establecer la
comunicación y completar el proceso del protocolo de enlace.
Una vez finalizado el protocolo de enlace, la conexión segura se utiliza para transferir los mensajes de correo electrónico. La
conexión permanece segura hasta que se cierra.
Note
Si se selecciona la opción Siempre para las comunicaciones salientes, pero el host inteligente no está configurado para usar
TLS, McAfee DLP Prevent envía un error 550 x.x.x.x: Denegado por la directiva. Error de conversación TLS requerida.
Procedimiento

3. En Transport Layer Security, seleccione Siempre u Oportunista para comunicaciones entrantes.

Oportunista es el ajuste predeterminado.
4. Seleccione Siempre u Oportunista para comunicaciones salientes.
Oportunista es el ajuste predeterminado.
Configuración de McAfee DLP Prevent para analizar solamente el tráfico ICAP cifrado
Para mejorar la seguridad, puede hacer que el appliance de McAfee DLP Prevent deje de analizar el tráfico ICAP no cifrado.
Procedimiento
2. Seleccione el producto Gestión de appliances de DLP, seleccione la categoría Ajustes web de McAfee DLP Prevent y abra
la directiva que desee editar.
3. En Ajustes web, anule la selección de ICAP no cifrado (puerto 1344).
Cerrar los puertos ICAP del appliance de McAfee DLP Prevent
Para mejorar la seguridad y el rendimiento de un appliance de McAfee DLP Prevent dedicado a analizar el tráfico de correo
electrónico, puede cerrar los puertos ICAP.
Procedimiento
3. En Ajustes web, anule la selección de las dos opciones del servicio ICAP.
Habilitación de un appliance de McAfee DLP Prevent para procesar las solicitudes de respuesta
Es posible configurar un appliance de McAfee DLP Prevent para analizar las solicitudes realizadas a sus servidores web por parte
de usuarios externos.
Note
Un despliegue habitual de McAfee DLP Prevent consiste en tener el appliance de McAfee DLP Prevent dentro de la red y el
servidor web fuera de ella. La habilitación del análisis de RESPMOD puede afectar al rendimiento porque se tarda más en
obtener respuestas del appliance, lo cual provoca una ralentización de la experiencia para el usuario.
Procedimiento
3. En Ajustes web, seleccione RESPMOD.

Uso de servidores de autenticación externos
Los appliances de McAfee DLP pueden funcionar con los servidores LDAP registrados y McAfee Logon Collector para recuperar
los datos de inicio de sesión y la información de usuario. Estos datos ayudan a identificar a los usuarios responsables de
incidentes de fuga de datos mediante su nombre, grupo, departamento, ciudad o país.
Los appliances de McAfee DLP pueden:
• Obtener información de los servidores de Active Directory y de los servidores de directorio OpenLDAP que están
registrados con McAfee ePO.
• Comunicarse con servidores LDAP registrados mediante SSL.
• Sincronizar los appliances con los servidores LDAP a diario en el momento configurado.
• Actuar en las reglas de protección del correo electrónico y protección web que se aplican a usuarios y grupos específicos.
• Actuar en las reglas de protección de comunicaciones de la red que se aplican a determinados usuarios y grupos
(McAfee DLP Monitor).
• Conectarse a los puertos del Catálogo global en lugar de a los puertos LDAP estándar para recuperar información sobre
usuarios y grupos al consultar Active Directory.
• Incluir información del usuario en los incidentes para que pueda ver todos los incidentes generados por un usuario,
independientemente del producto de McAfee DLP que los haya detectado.
McAfee Logon Collector registra los eventos de inicio de sesión de usuarios de Windows y comunica la información a los
appliances de McAfee DLP. Los appliances de McAfee DLP pueden asignar una dirección IP a un nombre de usuario de Windows
si no hay más información de autenticación disponible.
¿Qué sucede si el servidor LDAP no está disponible?

Los appliances de McAfee DLP almacenan la información LDAP en caché. La caché se actualiza cada 24 horas, por lo que la falta
de disponibilidad temporal del servidor LDAP no afecta a la disponibilidad del servicio de los appliances de McAfee DLP. Si se
produce un error en la actualización de la caché, McAfee DLP utiliza la caché anterior. Si la caché anterior no está disponible,
realiza una búsqueda LDAP para obtener la información.
Note
Si los appliances de McAfee DLP no pueden conectarse o comunicarse con un servidor LDAP recién configurado, la
búsqueda basada en el dominio y la inserción de directiva fallarán. La inserción de directiva también falla si ha configurado
usuarios o grupos basados en el dominio en directivas y no ha seleccionado el servidor LDAP para el appliance.
En caso de que McAfee DLP Prevent necesite información de grupos LDAP para evaluar las reglas para una solicitud o un
mensaje y LDAP no esté configurado o el servidor no esté disponible:
• Para tráfico SMTP: se devuelve un código de error temporal (451), de forma que el mensaje se pone en cola en el
servidor de envío y se produce un reintento.

• Para tráfico ICAP: se devuelve un código 500 de estado ICAP que indica que el servidor ha encontrado un error y no ha
podido analizar la solicitud. Puede configurar su gateway web para que se abra o se cierre en caso de recibir un error del
servidor de McAfee DLP Prevent.
En el caso de McAfee DLP Monitor, si McAfee Logon Collector o la información LDAP no están disponibles, no se puede realizar
la coincidencia con las reglas que hacen referencia a información de usuarios y grupos, y no se crean incidentes. El flujo de
tráfico no se ve afectado.
Servidores de OpenLDAP y Active Directory

• OpenLDAP y Active Directory producen esquemas de usuario distintos. Active Directory dispone de un conjunto de
parámetros restringido, mientras que OpenLDAP es personalizable.
• Los servidores de OpenLDAP y Active Directory identifican a los usuarios mediante distintos métodos de
identificación. Active Directory utiliza sAMAccountName, mientras que OpenLDAP utiliza UID. Las consultas LDAP para
sAMAccountName se controlan mediante la propiedad UID en los sistemas OpenLDAP.
• Los servidores de OpenLDAP y Active Directory también identifican clases de usuario mediante distintos atributos de
usuario. En lugar de clases de objetos de usuario, OpenLDAP utiliza inetOrgPerson, que no admite atributos de país ni
memberOf.
Autenticación de protección web adicional
Al aplicar reglas de protección web, McAfee DLP Prevent puede obtener información de usuario de:
• Encabezado de solicitud de ICAP X-Authenticated-User enviado desde el gateway web.

• McAfee Logon Collector
Si se indica un nombre de usuario en el encabezado de ICAP X-Authenticated-User, este se utiliza con preferencia a los datos de
McAfee Logon Collector.
Tip
Se recomienda utilizar el encabezado X-Authenticated-User como método de autenticación porque indica que el gateway
web ha autenticado al usuario de forma positiva. Para configurarlo, debe realizar varias configuraciones adicionales en el
gateway web. Para obtener más información, vea la documentación de producto de su gateway web.
Si el encabezado X-Authenticated-User no está disponible, puede configurar McAfee Logon Collector para que ofrezca
autenticación adicional. McAfee Logon Collector es otro producto de McAfee que supervisa los eventos de inicio de sesión
de Windows y asigna una dirección IP a un identificador de seguridad (SID). Para utilizar McAfee Logon Collector, debe tener al
menos un servidor LDAP configurado: el appliance de McAfee DLP puede enviar una consulta a este servidor para convertir un
SID en un nombre de usuario.
Al aplicar reglas de protección web o de correo electrónico, McAfee DLP Prevent evalúa la información de grupo a partir de la
información de usuario. Ignora cualquier valor del encabezado X-Authenticated-Groups del gateway web.
A fin de seleccionar reglas basadas en usuarios y grupos para McAfee DLP Monitor, debe configurar McAfee Logon Collector.

Important
Para obtener información de usuarios o grupos, debe tener al menos un servidor LDAP configurado. El appliance de McAfee
DLP envía consultas a los servidores LDAP para obtener los atributos requeridos. Por ejemplo, en el caso de McAfee Logon
Collector, el appliance de McAfee DLP utiliza el servidor LDAP para convertir el SID en un DN de usuario.
Esquemas de autenticación admitidos

El appliance de McAfee DLP Prevent admite los esquemas de autenticación WINNT, NTLM, KERBEROS, LOCAL y LDAP para
procesar el encabezado X-Authenticated-User desde el gateway web.
El appliance de McAfee DLP Prevent espera que el formato del encabezado X-Authenticated-User sea uno de los siguientes para
Active Directory:
• NTLM — NTLM://<NetBIOS_name/sAMAccountName>
• WINNT — WINNT://<NetBIOS_name/sAMAccountName>
• KERBEROS — Kerberos://<Realm-Name>/<sAMAccountName>
• LOCAL — Local://UPN, donde UPN es el nombre principal de usuario de Active Directory en formato
<user_name@internet.domain.com>.
Note
OpenLDAP no es compatible con Kerberos, NTLM y LOCAL.
Con LDAP, McAfee DLP Prevent espera que el formato del encabezado X-Authenticated-User sea con el formato LDAP://
<LDAP_servername/distinguished-name> para Active Directory y OpenLDAP.
Note
McAfee DLP Prevent utiliza el atributo LDAP distinguished-name para recuperar los detalles de usuario para las reglas de
protección web. Compruebe que su servidor LDAP expone este atributo para asegurarse de que el esquema de autenticación
LDAP funciona correctamente.
Caso práctico
Quiere configurar una regla de protección web que bloquee las cargas de datos PCI para todos los usuarios de un departamento
excepto uno.
1. Registre un servidor de Active Directory en McAfee ePO que contenga la cuenta de usuario del empleado del que sospecha.
2. Configure McAfee Logon Collector.
3. Cree una regla de protección web que busque solicitudes web de usuarios en el grupo NOMBRE DEL GRUPO coincidentes
con una clasificación.
4. Cree una excepción para el usuario NOMBRE DE USUARIO.
5. Establezca la reacción en Bloquear.
6. Supervise en el Gestor de incidentes de DLP si hay incidentes enviados por el usuario que contengan el nombre de
componente.

Registro de un servidor LDAP
Para utilizar las reglas de asignación de directivas, habilitar los conjuntos de permisos asignados de forma dinámica y habilitar el
inicio de sesión de usuario de Active Directory, debe disponer de un servidor LDAP registrado.
Procedimiento
1. Seleccione Menú → Configuración → Servidores registrados y haga clic en Nuevo servidor.
2. Seleccione Servidor LDAP en el menú Tipo de servidor y, a continuación, especifique un nombre único y una descripción
opcional, y haga clic en Siguiente.
3. Seleccione un servidor de OpenLDAP o de Active Directory de la lista Tipo de servidor LDAP.
4. Especifique un nombre de dominio o un nombre de servidor concreto.
Utilice nombres de dominio DNS (por ejemplo, dominiointerno.com), o bien nombres de dominio completos o direcciones IP
para los servidores (por ejemplo, servidor1.dominiointerno.com o 192.168.75.101). Los servidores de OpenLDAP solo pueden
utilizar nombres de servidor. No pueden especificarse mediante dominios.
5. Especifique si desea usar el Catálogo global (no disponible para los servidores de OpenLDAP).
Selecciónelo solo si el dominio registrado es el principal de varios dominios locales únicamente para evitar el tráfico de red
potencial, lo que puede afectar al rendimiento.
6. En caso de no utilizar el Catálogo global, seleccione si desea obtener las referencias.
La obtención de referencias puede generar tráfico de red no local.
7. Elija si se debe utilizar SSL para comunicarse con este servidor.
8. Si va a configurar un servidor OpenLDAP, introduzca el puerto.
9. Introduzca un nombre de usuario y una contraseña de una cuenta de administrador en el servidor.
• Servidores de Active Directory: utilice el formato dominio\nombre de usuario

• Servidores OpenLDAP: utilice el formato cn=Usuario,dc=ámbito,dc=com
10. Introduzca un nombre de Sitio para el servidor y haga clic en Probar conexión a fin de comprobar la conexión; a
continuación, haga clic en Guardar para completar el registro.
Recuperación y sincronización de información de los servidores LDAP registrados
McAfee DLP pueden obtener información sobre usuarios y grupos de los servidores LDAP registrados con McAfee ePO.
Es necesario seleccionar los servidores LDAP registrados de los que desea que los appliances de McAfee DLP obtengan
información.
Antes de empezar
Asegúrese de que los servidores LDAP estén registrados con McAfee ePO.
Los detalles de los usuarios y grupos se utilizan cuando se evalúa la información del Remitente. El appliance de McAfee DLP
puede realizar lo siguiente:
• Conectarse a los servidores OpenLDAP y Active Directory.

• Comunicarse con un servidor LDAP registrado mediante SSL.
• Configurar o establecer la hora de la sincronización diaria de los appliances con los servidores LDAP ya que la
sincronización simultánea de diversos appliances con los servidores LDAP puede sobrecargar los servidores LDAP.

• Conectarse a los puertos del Catálogo global en lugar de a los puertos LDAP estándar para recuperar información sobre
usuarios y grupos al consultar Active Directory.
Si ha configurado Active Directory para utilizar los puertos del Catálogo global, asegúrese de que al menos uno de estos
atributos se replique en el servidor del Catálogo global desde los dominios del bosque:
proxyAddresses
mail
Si un appliance de McAfee DLP necesita utilizar la autenticación NTLM o WINNT para analizar las reglas de protección
web, también deberán replicarse los siguientes atributos de LDAP:
configurationNamingContext
netbiosname
msDS-PrincipalName
Los mensajes se rechazan temporalmente con un código de estado 451 cuando se cumplen estas dos condiciones:
• McAfee DLP Prevent utiliza reglas que especifican que el remitente es un miembro de un determinado grupo de
usuarios de LDAP.
• McAfee DLP Prevent no está configurado para recibir información del servidor LDAP que contiene ese grupo de
usuarios.
Los eventos se envían a la página Eventos de cliente si se produce un error de sincronización con el servidor LDAP o de una
consulta LDAP.
Procedimiento
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Usuarios y grupos y abra la directiva que desee
editar.
3. En servidores LDAP, seleccione al menos un servidor LDAP válido para activar la configuración de sincronización.
4. En el campo Iniciar sincronización diaria en, establezca la hora de sincronización diaria. La hora predeterminada de
inicio de la sincronización está establecida a las 3 a.m.
La sincronización del appliance con servidores LDAP se realiza diariamente a la hora configurada.
5. (Opcional) Seleccione y actualice el campo Retrasar el inicio de la sincronización en hasta (horas) para configurar
el retraso entre el inicio de la sincronización de los appliances. El retraso de sincronización predeterminado entre
appliances se establece en dos horas. Puede configurar el intervalo de inicio de la sincronización retrasada aleatoria
entre 1 y 10 horas.
Añadir un certificado y un servidor de McAfee Logon Collector a un appliance de McAfee DLP
Para empezar a utilizar McAfee Logon Collector con un appliance de McAfee DLP, debe añadir un certificado de McAfee Logon
Collector a un appliance y, a continuación, añadir un certificado de appliance de McAfee DLP a McAfee Logon Collector.
Antes de empezar
• Al menos debe haber un servidor de McAfee Logon Collector configurado.

• Realice estos cambios en el proxy web para garantizar una comunicación fluida entre McAfee Logon Collector y el
appliance de McAfee DLP:
El proxy web debe configurarse para enviar el encabezado X-Client-IP. Este suele ser el IP del host que ejecuta el
navegador o el cliente web.
El proxy web no debe enviar el encabezado X-Authenticated-User.
Procedimiento
1. Para descargar el certificado del appliance de McAfee DLP, vaya a https://<APPLIANCE>:10443/certificates y, a
continuación, seleccione [nombre de host.dominio.crt].
2. En McAfee Logon Collector, seleccione Menú → CA de confianza → Nueva autoridad → Elegir archivo, seleccione el
certificado que ha descargado y haga clic en Guardar.
4. Seleccione el producto Gestión de appliances de DLP, elija la categoría Usuarios y grupos y abra la directiva que desee
editar.
5. Añada los detalles del servidor de McAfee Logon Collector al appliance de McAfee DLP.
a. En la sección McAfee Logon Collector, seleccione Identificar a los usuarios que realizan solicitudes web.
b. Haga clic en + para abrir el cuadro de diálogo Añadir.
c. Introduzca la dirección IPv4 o un nombre de host de un servidor de McAfee Logon Collector al que desee
conectarse.
d. Edite el puerto de McAfee Logon Collector en caso de que sea necesario.
6. Obtenga el texto del certificado de McAfee Logon Collector.
a. En McAfee Logon Collector, seleccione Menú → Ajustes del servidor.
b. Haga clic en Certificado de duplicación de identidad.
c. Seleccione el texto del certificado en el campo Base 64 y cópielo en el Portapapeles o en un archivo.
7. Vuelva al cuadro de diálogo Añadir y seleccione Importar desde archivo o Pegar desde el Portapapeles para añadir el
texto del certificado.
8. Haga clic en Aceptar para completar la autenticación de McAfee Logon Collector.
[Opcional] Añada más servidores de McAfee Logon Collector.
El servidor de McAfee Logon Collector se añade a la lista de servidores.
Cambios en el proxy web necesarios para la integración con McAfee Logon Collector
Debe configurar los servidores proxy web para permitir una comunicación fluida entre los appliances de McAfee DLP y McAfee
Logon Collector.
Las configuraciones del servidor proxy web incluyen lo siguiente:
• El proxy web debe configurarse para enviar el encabezado X-Client-IP. Este suele ser el IP del host que ejecuta el
navegador o el cliente web.
• El proxy web no debe enviar el encabezado X-Authenticated-User.

Aplicación de reglas de protección de comunicaciones de la red para el tráfico FTP, HTTP o SMTP
Puede configurar McAfee DLP Monitor para aplicar las reglas de protección de comunicaciones de la red al tráfico SMTP, HTTP o
FTP. De forma predeterminada, se aplican las reglas de protección web y del correo electrónico.
Procedimiento
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de McAfee DLP Monitor y abra la
directiva que desee editar.
3. En Aplicación de reglas de protocolo, anule la selección de las opciones según sea necesario y haga clic en Guardar.
Crear una regla de filtrado de tráfico
De forma predeterminada, McAfee DLP Monitor analiza todo el tráfico de protocolo. Puede crear reglas adicionales que filtren
el tráfico de protocolo por orden de prioridad. De este modo, mejora el rendimiento y detiene la creación de incidentes
relacionados con los protocolos que no sean relevantes para sus necesidades.
McAfee DLP Monitor analiza las reglas de tráfico con un orden de prioridad descendente. El análisis se detiene cuando
encuentra una coincidencia y se lleva a cabo la acción correspondiente.
Si hay una conversación HTTP entre un cliente 1.2.3.4 y un servidor 2.3.4.5, existen dos transacciones en la misma conexión TCP.
Como resultado, las reglas de filtrado de tráfico se evalúan por separado. Por ejemplo:
• La solicitud HTTP (origen 1.2.3.4:9999, destino 2.3.4.5:80)

• La respuesta HTTP (origen 2.3.4.5:80, destino 1.2.3.4:9999)
Tip
Si el intervalo de red de su organización es, por ejemplo, 192.168.0.0/16:
• Filtre los protocolos o hosts que no desee analizar.

• Analice todo el tráfico cuya dirección de origen se encuentre en el intervalo 192.168.0.0/16.
• No analice el tráfico restante.
Procedimiento
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de McAfee DLP Monitor y abra la
3. En la sección Reglas de tráfico, haga clic en + para abrir el cuadro de diálogo Define Rule (Definir regla).
4. Escriba un nombre para la regla y, a continuación, haga clic en + a fin de especificar los atributos de red que desee para
el filtrado de la regla.
Cada atributo solo se puede agregar una vez a una regla.
• Dirección IP de origen: especifique una dirección IP o una dirección IP y una máscara de red.
• Dirección IP de destino: especifique una dirección IP o una dirección IP y una máscara de red.
• Puerto de origen: especifique un puerto en el intervalo entre 0 y 65535.

• Puerto de destino: especifique un puerto en el intervalo comprendido entre 0 y 65535.

• ID de VLAN: especifique el ID de la etiqueta de VLAN. El tráfico sin etiquetar utiliza el ID predeterminado 4095.
• Protocolo de transporte: elija entre TCP o UDP.
• Protocolo de aplicación: seleccione el protocolo con el que desee que coincida la regla.
• Encapsulación SOCKS: indique si el tráfico está encapsulado.
• Sender Email Address (Dirección de correo electrónico del destinatario): especifique la dirección de correo
electrónico del remitente para la coincidencia.
• Recipient Email Address List (Lista de direcciones de correo electrónico del destinatario): especifique la dirección
de correo electrónico del destinatario para la coincidencia.
• URL: especifique la dirección URL HTTP.
5. Seleccione el operador de coincidencia y elija o escriba el valor para el atributo que vaya a añadir y, a continuación,
haga clic en Actualizar.
6. Añada más criterios según proceda y haga clic en Aceptar para volver a Ajustes de DLP Monitor.
La regla se añadirá en la parte superior de la lista.
7. Utilice las flechas para colocar la nueva regla donde lo desee en el orden de prioridad y también puede seleccionar
¿Analizar tráfico?.
Integración de McAfee DLP Prevent en el entorno web para protegerlo
El appliance de McAfee DLP Prevent funciona con su proxy web para proteger el tráfico web.
El appliance de McAfee DLP Prevent utiliza ICAP o ICAPS (ICAP a través de TLS) para procesar el tráfico web, que utiliza estos
puertos:
• ICAP: 1344
• ICAPS: 11344
Utilice este flujo de trabajo para configurar el entorno y obtener protección web.
1. Configure los clientes de endpoint para que envíen el tráfico web al proxy web.
2. Configure el proxy web para reenviar el tráfico HTTP a McAfee DLP Prevent a través de ICAP.
3. Configure la directiva en el appliance de McAfee DLP Prevent para especificar la acción que se debe realizar en función
del contenido del tráfico. Ejemplo: Configurar una regla para permitir o bloquear el tráfico de determinados usuarios que
contenga números de tarjetas de crédito.
Después de que el appliance de McAfee DLP Prevent analice el tráfico, realiza una de estas acciones:
• Permite el tráfico e informa al proxy web.

• Se deniega el tráfico y muestra una página de bloqueo al usuario.
Integración con Web Gateway
Puede configurar Web Gateway para reenviar el tráfico HTTP mediante ICAP a McAfee DLP Prevent para su análisis. McAfee DLP
Prevent devuelve una respuesta a Web Gateway para permitir o denegar la página.

Note
Todas las versiones de Web Gateway son compatibles, pero estos pasos solo son aplicables a la versión 7.8.1. Los pasos
pueden diferir levemente en el caso de versiones anteriores o posteriores. Para obtener los pasos detallados de la versión de
Web Gateway que tiene instalada, consulte la documentación de Web Gateway.
Procedimiento
1. En Web Gateway, seleccione Directiva.
2. Agregue el conjunto de reglas:
a. Haga clic en la pestaña Conjuntos de reglas.
b. Seleccione Añadir → Conjunto de reglas de la biblioteca.
c. Desde la biblioteca del conjunto de reglas Cliente ICAP, seleccione Cliente ICAP y, a continuación, haga clic en
Aceptar.
d. Haga clic en Vista de desbloqueo y, a continuación, haga clic en Sí.
e. Deseleccione Respuestas.
3. (Opcional) Si desea que los incidentes generados contengan la dirección IP de destino, edite la configuración de
REQMOD.
a. En la ficha Conjuntos de reglas expanda el conjunto de reglas Cliente ICAP y seleccione ReqMod.
b. Seleccione Agregar el encabezado X-Server-IP.
4. Siga estos pasos para establecer el appliance como cliente ICAP:
a. Haga clic en la ficha Listas, expanda Servidor ICAP y seleccione Servidor de ReqMod.
b. Seleccione 1 y haga clic en Editar.
c. Escriba la dirección IP o el nombre de dominio completo del appliance de McAfee DLP Prevent, seguido del modo
de ICAP en el campo URI. Opcionalmente, puede añadir un puerto. Si no agrega ningún puerto, se configura el
puerto predeterminado 1344.
La sintaxis para especificar esta información se muestra sobre el campo. Por ejemplo, puede utilizar uno de estos
formatos:
icap://xx.xxx.xxx.xx/reqmod
icap://xx.xxx.xxx.xx:1346/reqmod
icap://test-icap.micmwg.com/reqmod
icap://test-icap.micmwg.com:1346/reqmod
d. Haga clic en Aceptar.

5. Active la regla.
a. En la ficha Conjuntos de reglas, seleccione la regla Cliente ICAP.
b. Seleccione Activar.
6. Haga clic en Guardar los cambios.

Habilitación de conexiones ICAP seguras
El puerto del appliance 11344 es el único puerto que recibe tráfico SSL para ICAP. Para que la comunicación se produzca en el
modo SSL, puede habilitar el puerto ICAP seguro. Para utilizar este modo, también debe importar el certificado del appliance.
Procedimiento
1. Para importar el certificado del appliance para las conexiones ICAP, cargue el certificado en /home/admin/upload/cert.
El appliance utiliza este certificado para el tráfico ICAP y SMTP. Si ya ha importado un certificado para el tráfico SMTP a
través de TLS, puede omitir este paso.
El appliance recogerá automáticamente el certificado de esta ubicación y lo importará. Al negociar TLS para ICAPS, el
appliance presenta este certificado. Asegúrese de que tiene un nombre común (CN) o un nombre alternativo de sujeto
válidos, o ambos.
Note
El archivo transferido a la carpeta /home/admin/upload/cert desaparece tras la ingesta correcta, lo que significa que
la utilidad de ingesta ha seleccionado el archivo y lo ha procesado para su uso posterior. Normalmente, el archivo
desaparece incluso antes de acceder a la carpeta para comprobar la carga. Sin embargo, si el archivo se encuentra en
esta carpeta después de completarse la carga, es indicativo de un error. También puede comprobar si la instalación se
ha realizado correctamente o se ha producido un error desde /var/log/messages o la página Eventos de cliente.
2. Habilite el ICAP seguro:

a. En McAfee ePO, abra el Catálogo de directivas.
b. Seleccione el producto Gestión de appliances de DLP <versión>, elija la categoría Ajustes web de McAfee DLP
c. Seleccione las casillas ICAP seguro (puerto 11344) y ICAP sin cifrar (puerto 1344).
Para utilizar únicamente el ICAP seguro, anule la selección de la casilla ICAP sin cifrar (puerto 1344) y configure el proxy
web para que envíe el tráfico únicamente al puerto 11344.
Ajustes de directiva General de Gestión de appliances
Utilice la página Catálogo de directivas → Ajustes generales de gestión de appliances → General → <nombre de directiva> →
General para configurar los ajustes que se aplicarán a los appliances gestionados desde McAfee ePO.
Ventajas de utilizar los ajustes de directiva general
La configuración de los ajustes utilizados más habitualmente desde una página simplifica el proceso de añadir appliances a su
red, tanto nuevos como para los que se ha creado una nueva imagen.
Cuando se configuran varios appliances o clústeres de appliances en una red, se aplican algunos ajustes comunes a cada
appliance. Entre estos ajustes, se incluyen los siguientes ejemplos:
• Zonas horarias e información de fecha y hora

• Listas de servidores DNS

• Información de enrutamiento estático
• Ajustes de inicio de sesión remoto de Shell seguro (SSH)
• Ajustes de registro del sistema
Al definir y almacenar estos ajustes en McAfee ePO, puede configurar rápidamente appliances nuevos o para los que se ha
creado una nueva imagen con los ajustes pertinentes.
Configuración de los ajustes generales
Configure los ajustes para que se apliquen a varios appliances desde una ubicación.
Note
Debe configurar al menos un servidor DNS. El botón Guardar no se habilitará hasta que haya introducido una dirección de
servidor DNS. No es preciso que configure todas las demás áreas de esta página; defina solo los ajustes que desea aplicar a
sus appliances.
Procedimiento
1. En Catálogo de directivas → Ajustes generales de administración de appliances → General → <nombre de directiva>,
configure Fecha y hora:
a. Seleccione la zona horaria adecuada en la lista desplegable.
b. Seleccione Habilitar NTP.
c. Para definir un servidor NTP (Network Time Protocol), haga clic en el icono .
d. Introduzca los detalles del servidor.
e. Haga clic en Actualizar.
2. Configure los ajustes de DNS:
a. Para introducir los detalles del servidor DNS, haga clic en el icono .
b. Introduzca los detalles del servidor.
c. Haga clic en Actualizar.
3. Configure los ajustes de enrutamiento estático:
a. Para introducir la información de enrutamiento estático, haga clic en el icono .
b. Introduzca los detalles de enrutamiento.
c. Haga clic en Actualizar.
4. Configure los ajustes de SSH:
a. Seleccione la opción adecuada en la lista desplegable.
b. Si selecciona Permitir inicio de sesión remoto para estos hosts únicamente, haga clic en el icono .
c. Introduzca la dirección de host.
d. Haga clic en Actualizar.
5. Configure los ajustes de registro:
a. Para activar los archivos de registro remotos, seleccione Almacenar datos de registro de forma remota.
b. Para definir un servidor syslog, haga clic en el icono .
c. Introduzca la dirección o el dominio del servidor syslog.

d. Seleccione la información de protocolo.

e. Introduzca el puerto.
f. Haga clic en Actualizar.
6. Haga clic en Guardar para añadir los ajustes configurados al Catálogo de directivas en McAfee ePO.
Ajustes de directivas de SNMP
Utilice la pestaña Catálogo de directivas → Ajustes generales de gestión de appliances <versión> → General → <nombre de
directiva> → SNMP para configurar los ajustes de SNMP que se aplicarán a los appliances gestionados desde McAfee ePO.
Ventajas de utilizar los ajustes de SNMP
La configuración del protocolo simple de gestión de redes (SNMP) en una sola página simplifica el proceso de añadir appliances
o clústeres de appliances a su red, tanto nuevos como para los que se ha creado una nueva imagen.
La definición de ajustes generales de SNMP permite que dichos ajustes se apliquen a varios appliances o clústeres de estos en su
red.
• Ajustes de alertas SNMP: las alertas SNMP de sus appliances ofrecen mensajes de alerta directamente a un destino de
captura específico.
• Ajustes del monitor SNMP: los ajustes del monitor SNMP permiten que otros dispositivos accedan a sus appliances o
clústeres de appliances. Puede permitir las consultas desde todos los dispositivos de su red o restringir el acceso a
dispositivos específicos.
Al definir y almacenar estos ajustes en McAfee ePO, puede configurar rápidamente appliances nuevos o para los cuales se haya
creado una nueva imagen con los ajustes pertinentes.
Configuración de los ajustes de SNMP
Configure los ajustes de SNMP para que se apliquen a sus appliances y clústeres de appliances.
Antes de empezar
Asegúrese de que su sistema de gestión de SNMP se configura y prueba antes de configurar los ajustes de SNMP de sus
appliances.
Procedimiento
1. En Catálogo de directivas → Ajustes generales de gestión de appliances → General → <nombre de directiva> → SNMP,
configure las alertas SNMP:
a. Habilite Alertas SNMP.
b. Introduzca la dirección o nombre de host de su Destino de la captura.
c. Introduzca el Nombre de comunidad que ha configurado para su sistema de administración de SNMP.
d. Seleccione la versión necesaria del protocolo SNMP que se va a utilizar.
e. (Opcional) Haga clic en el icono + y repita los pasos b a d para agregar más de un destino de captura.
2. Configure el monitor SNMP:
a. Active el monitor SNMP.

b. Seleccione la versión del protocolo SNMP que utiliza su sistema de administración de SNMP.
3. Para las versiones de SNMP v1 o v2c:
a. Introduzca el nombre de comunidad que ha configurado para su sistema de administración de SNMP.
4. Para la versión v3 de SNMP:
a. Introduzca el nombre de usuario que ha configurado para su sistema de gestión de SNMP.
b. Introduzca el protocolo de autenticación necesario. Puede ser el Protocolo MD5 o el Protocolo SHA.
c. Introduzca el protocolo de privacidad necesario. Puede ser el Protocolo DES o el Protocolo AES.
d. Introduzca la frase de contraseña de autenticación.
e. Introduzca la frase de contraseña de privacidad.
5. Seleccione Permitir la supervisión de SNMP para todos los hosts o Permitir la supervisión SNMP de estos hosts
únicamente.
Si seleccionó Permitir la supervisión SNMP de estos hosts únicamente, debe configurar al menos un host antes de poder
guardar los ajustes de SNMP.
6. Haga clic en Guardar para guardar estos cambios, o en Duplicar para crear una directiva utilizando estos ajustes.
Descargar archivos MIB y SMI
Descargar los archivos MIB y SMI para ver las capturas y los contadores SNMP que están disponibles en el appliance.
Procedimiento
1. Vaya a https://<APPLIANCE>:10443/mibs.
2. Descargue los archivos MCAFEE-SMI.txt y MCAFEE-DLP-PREVENT-MIB.txt en el idioma en el que desee ver la
información.
3. Descargue los archivos MCAFEE-SMI.txt y MCAFEE-DLP-MONITOR-MIB.txt en el idioma en el que desee ver la
información.
4. Importe los archivos MIB y SMI a su software de supervisión de red.

9| Análisis de archivos locales con descubrimiento de DLP Endpoint
Análisis de archivos locales con descubrimiento de DLP

Endpoint
Proteger archivos con reglas de descubrimiento
Las reglas de descubrimiento definen el contenido que McAfee DLP busca al analizar repositorios y determinan la acción que
se debe llevar a cabo cuando se encuentra contenido coincidente. Se pueden definir reglas de descubrimiento para McAfee DLP
Discover o para descubrimiento de McAfee DLP Endpoint.
En función del tipo de regla, los archivos que coinciden con un análisis se pueden copiar, mover, clasificar, cifrar, poner en
cuarentena, identificar su contenido por huellas digitales o se les puede aplicar una directiva de administración de derechos.
Todas las condiciones de regla de descubrimiento incluyen un clasificación.
Note
Cuando utilice las reglas descubrimiento de almacenamiento de correo electrónico con la acción preventiva Cuarentena,
verifique que los complementos de Outlook están activados (Catálogo de directivas → Data Loss Prevention 10 →
Configuración del cliente → Módulos y modos de funcionamiento). No puede liberar correos electrónicos de la cuarentena
cuando el complemento Outlook está desactivado.
Reglas de descubrimiento disponibles
Archivos de controles
Tipo de regla Producto descubiertos de...
Sistema de archivos local McAfee DLP Endpoint Análisis del sistema de archivos
local.
Correo electrónico local (OST, McAfee DLP Endpoint Análisis de sistema de

PST) almacenamiento de correo
electrónico.
Protección del servidor de McAfee DLP Discover Análisis del servidor de archivos.
archivos
Protección de SharePoint McAfee DLP Discover Análisis del servidor de

SharePoint.
Protección de Box McAfee DLP Discover Análisis de Box

Archivos de controles
Tipo de regla Producto descubiertos de...
Protección de base de datos McAfee DLP Discover Análisis de base de datos: Oracle,
Microsoft SQL, MySQL, DB2
Note
Las reglas de McAfee DLP Discover también requieren un repositorio. Consulte el capítulo Análisis de datos con McAfee DLP
Discover para obtener más información sobre cómo configurar las reglas y análisis.
Análisis iniciados por el usuario final

Cuando se activa en la configuración de análisis del sistema de archivos locales de directivas de DLP, los usuarios finales pueden
ejecutar los análisis activados y ver las acciones de autocorrección. Cada análisis debe disponer de una planificación asignada
y este se ejecuta conforme a dicha planificación, tanto si el usuario decide ejecutarla como si no, aunque si la opción de
interacción del usuario está activada, los usuarios finales también pueden ejecutar análisis según les convenga. Si, además, se
selecciona la opción de autocorrección, los usuarios finales también realizan acciones de corrección.
Clasificación automática del sistema de archivos local

Cuando selecciona la acción Clasificar archivos para las reglas de descubrimiento del sistema de archivos local, la regla se aplica
automáticamente a la clasificación e incorpora el ID de la etiqueta de clasificación en el formato de archivo. El ID se agrega a
todos los archivos de Microsoft Office y PDF, así como a los formatos de archivo de imagen, vídeo y audio. El ID de clasificación
puede ser detectado por todos los productos de McAfee DLP y por productos de terceros.
Cómo funciona el análisis de descubrimiento

Utilice los análisis de descubrimiento del endpoint para localizar el sistema de archivos local o los archivos de almacenamiento
de correo electrónico con contenido de carácter confidencial, y etiquételos o póngalos en cuarentena.
El descubrimiento de McAfee DLP Endpoint es un rastreador que se ejecuta en los equipos cliente. Cuando encuentra contenido
predefinido, puede supervisar, poner en cuarentena, etiquetar, cifrar o aplicar una directiva de administración de derechos a
los archivos que contienen dicho contenido. El descubrimiento de Endpoint puede analizar los archivos del equipo o los del
almacenamiento de correo electrónico (PST, PST asignado y OST). Los archivos de almacenamiento de correo electrónico se
almacenan en caché de forma individual para cada usuario.
Note
Para utilizar el descubrimiento de Endpoint, tiene que activar los módulos de Descubrimiento en Catálogo de directivas →
Configuración del cliente → Módulos y modo de funcionamiento.
Al final de cada análisis de descubrimiento, el cliente de McAfee DLP Endpoint envía un evento de resumen del descubrimiento
a la consola Administrador de incidentes de DLP en McAfee ePO para registrar los detalles del análisis. En el evento se incluye

un archivo de pruebas en el que se indican los archivos que no se pudieron analizar y el motivo por el que no se analizaron
dichos archivos. Hay también un archivo de pruebas con los archivos que coinciden con la clasificación y la acción realizada.
¿Cuándo puede buscar?

Análisis de descubrimiento de planificación en el Catálogo de directivas → Directiva de DLP → Descubrimiento de Endpoint.
Puede realizar un análisis diario a una hora específica o en días determinados de la semana o del mes. Puede especificar las
fechas de inicio y fin, o realizar un análisis cuando se implemente la configuración de McAfee DLP Endpoint. Puede suspender
un análisis cuando la CPU o la memoria RAM del equipo superen el límite especificado.
Si cambia la directiva de descubrimiento mientras se está ejecutando un análisis de endpoint, las reglas y los parámetros de
planificación cambiarán inmediatamente. Los cambios realizados en los parámetros que están activados o desactivados surtirán
efecto con el siguiente análisis. Si se reinicia el equipo mientras se está ejecutando un análisis, el análisis continúa donde lo dejó.
¿Qué contenido se puede descubrir?

Puede definir las reglas de descubrimiento con una clasificación. Cualquier propiedad de los archivos o condición de los datos
que se puedan agregar a los criterios de clasificación se pueden utilizar para descubrir contenido.
¿Qué ocurre con los archivos descubiertos con contenido de carácter confidencial?
Puede poner en cuarentena o etiquetar archivos de correo electrónico. Puede cifrar, poner en cuarentena, etiquetar o aplicar
una directiva de administración de derechos a los archivos del sistema de archivos local. Puede almacenar las pruebas de ambos
tipos de archivo.
Encontrar contenido con el rastreador de descubrimiento

La ejecución del rastreador de descubrimiento de McAfee DLP Endpoint conlleva cuatro pasos.
1. Cree y defina clasificaciones para identificar contenido de carácter confidencial.

2. Cree y defina una regla de descubrimiento. La regla de descubrimiento incluye la clasificación como parte de la definición.
3. Cree una definición de planificación.
4. Configure los parámetros de análisis. La definición del análisis incluye la planificación como uno de los parámetros.
Creación y definición de una regla de descubrimiento
Las reglas de descubrimiento definen el contenido que el rastreador busca, así como qué hacer cuando se encuentra este
contenido.
Las reglas de descubrimiento pueden definir las reglas de descubrimiento del endpoint (correo electrónico local, sistema de
archivos local...) o de la red (Box, servidor de archivos, SharePoint, base de datos).
Los cambios realizados en una regla de descubrimiento surten efecto cuando se despliega la directiva. Si un análisis está en
curso cuando se modifica una regla, el cambio surte efecto la próxima vez que se ejecuta el análisis.
En el caso de los análisis de almacenamiento de correo electrónico (PST, PST asignados y OST), el rastreador analiza los
elementos de correo electrónico (cuerpo y datos adjuntos), los elementos del calendario y las tareas. No analiza las carpetas
públicas ni las notas rápidas.

Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de directivas de DLP.
2. En la página Conjunto de reglas, seleccione Acciones → Nuevo conjunto de reglas. Introduzca un nombre y haga clic en
Aceptar.
También puede agregar reglas de descubrimiento a un conjunto de reglas existente.
3. En la ficha Descubrimiento, siga uno de estos procedimientos:
• Seleccione Acciones → Nueva regla de descubrimiento de endpoints y, después, seleccione Correo electrónico
local o Sistema de archivos local.
• seleccione Acciones → Nueva regla de descubrimiento de red y, a continuación, seleccione el tipo de regla:
Protección de Box, Protección de base de datos, Protección del servidor de archivos o Protección de SharePoint.
Aparecerá la página adecuada.

4. (Opcional) En la ficha Excepciones, especifique cualquier exclusión de la activación de la regla.
• Para McAfee DLP Endpoint, introduzca un nombre de regla y configure una o más clasificaciones.
• Para McAfee DLP Discover, introduzca un nombre de regla y configure uno o más repositorios y clasificaciones.
Note
Para las reglas de protección de Box, es posible configurar Uso compartido de archivos.
5. En la ficha Reacción,seleccione una Acción en la lista desplegable.

Para McAfee DLP Discover, las reacciones disponibles dependen del tipo de repositorio.
6. (Opcional) Seleccione las opciones de Notificar incidente, defina el valor Estado en Activado y seleccione una
designación de Gravedad en la lista desplegable.
Creación de una definición de planificador
El planificador determina cuándo y con qué frecuencia se ejecuta un análisis.
Se proporcionan cinco tipos de planificación:
• Ejecutar inmediatamente
• Una vez
• Diaria
• Semanal
• Mensual
Procedimiento
1. En McAfee ePO, realice una de las siguientes acciones:
a. Seleccione Menú → Protección de datos → Administrador de directivas de DLP
b. Seleccione Menú → Protección de datos → DLP Discover.
3. En el panel de la izquierda, haga clic en Planificador.

Si McAfee DLP Discover y McAfee DLP Endpoint están instalados, la lista de planificaciones existentes que se muestra
incluye las planificaciones para ambos.
Aparece la página Nuevo planificador.
5. Introduzca un Nombre exclusivo y seleccione el Tipo de planificación en la lista desplegable.
La pantalla cambia cuando se selecciona el tipo de planificación para proporcionar los campos necesarios para ese tipo.
6. Rellene las opciones necesarias y haga clic en Guardar.
Configurar un análisis
Los análisis de descubrimiento rastrean el sistema de archivos local o los buzones de correo en busca de contenido de carácter
confidencial.
Antes de empezar
Compruebe que los conjuntos de reglas que desea aplicar a los análisis se han aplicado a la Directiva de DLP. Esta información
se muestra en la ficha Directiva de DLP → Conjuntos de reglas.
Los cambios en los parámetros de configuración de descubrimiento entran en vigor en el siguiente análisis. No se aplican a los
análisis que ya están en curso.
Procedimiento
2. Seleccione Producto → Data Loss Prevention <versión> y, a continuación, seleccione la directiva de DLP activa.
3. En la ficha Descubrimiento de endpoints, seleccione Acciones → Nuevo análisis de endpoints y, a continuación,
seleccione tanto Correo electrónico local o Sistema de archivos local.
Note
McAfee DLP Endpoint for Mac solo es compatible con los análisis del sistema de archivos local.
4. Introduzca un nombre para el análisis y, a continuación, seleccione una planificación en la lista desplegable.
5. (Opcional) Modifique los valores predeterminados de Administración de incidentes y Administración de errores.
Establezca el valor Estado en Activado.
La administración de errores determina de qué se debe informar cuando no se puede extraer el texto.
6. (Opcional) Para análisis del sistema de archivos local, seleccione la casilla de verificación en el campo Interacción del
usuario para dejar que este pueda ejecutar los análisis activados antes de que se planifiquen. También puede permitir
al usuario llevar a cabo las acciones de corrección desde la consola del cliente de McAfee DLP Endpoint.
7. En la ficha Carpetas, siga uno de estos procedimientos:
• Para los análisis del sistema de archivos, seleccione Acciones → Seleccionar carpetas. Seleccione una definición de
carpeta definida o haga clic en Nuevo elemento para crear una. Defina la carpeta como Incluir o Excluir.
• En el caso de los análisis de correo electrónico, seleccione los tipos de archivos (OST, PST) y los buzones de correo
que se analizarán.

Note
McAfee DLP Endpoint for Mac solo es compatible con los análisis del sistema de archivos local.
8. (Opcional) En la ficha Filtros (solo análisis del sistema de archivos), seleccione Acciones → Seleccionar filtros. Seleccione
una definición de información del archivo o haga clic en Nuevo elemento para crear una. Defina la carpeta como Incluir
o Excluir. Haga clic en Aceptar.
El valor predeterminado es Todos los archivos. La definición de un filtro hace que el análisis sea más eficiente.
9. En la ficha Reglas, verifique las reglas aplicables.
Se ejecutan todas las reglas de descubrimiento de los conjuntos de reglas que se aplican a la directiva.
Caso práctico: restauración de elementos de correo electrónico o archivos en cuarentena
Cuando el descubrimiento de McAfee DLP Endpoint detecta contenido confidencial, mueve los archivos o los elementos
de correo electrónico afectados a una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a
los usuarios que sus archivos o correos electrónicos se han puesto en cuarentena. Los archivos y los elementos de correo
electrónico en cuarentena también se cifran para evitar el uso no autorizado.
Antes de empezar
Para mostrar el icono de McAfee DLP en Microsoft Outlook, la opción Mostrar versión de los controles de cuarentena en
Outlook debe estar activada en el Catálogo de directivas → Directiva de cliente → Modo operativo y módulos. Cuando está
desactivado, tanto el icono como la opción de hacer clic con el botón derecho para ver los correos electrónicos en cuarentena
están bloqueados y no se pueden liberar correos electrónicos de la cuarentena.
Cuando se establece una regla de descubrimiento del sistema de archivos para Cuarentena y el rastreador detecta contenido de
carácter confidencial, mueve los archivos afectados a una carpeta de cuarentena y los sustituye por marcadores de posición que
notifican a los usuarios que sus archivos se han puesto en cuarentena. Los archivos en cuarentena se cifran para evitar el uso no
autorizado.
Para elementos de correo electrónico en cuarentena, el descubrimiento de McAfee DLP Endpoint adjunta un prefijo al Asunto
de Outlook para indicar a los usuarios que sus correos electrónicos se han puesto en cuarentena. Tanto el cuerpo de correo
electrónico como los datos adjuntos se ponen en cuarentena.
Note
El mecanismo ha cambiado de las versiones de McAfee DLP Endpoint anteriores, que podrían cifrar el cuerpo o los datos
adjuntos, para evitar la corrupción de firmas al trabajar con el sistema de firmas de correo electrónico.
Los elementos y tareas del calendario de Microsoft Outlook también se pueden poner en cuarentena.
Important
Los archivos en cuarentena se eliminan tras el número de días definido por la directiva (almacenamiento máximo de 30 días).

Procedimiento
1. Para restaurar los archivos en cuarentena:
a. En la bandeja del sistema del equipo gestionado, haga clic en el icono McAfee Agent y seleccione Administrar
funciones → Consola de endpoints de DLP.
Se abrirá la consola de endpoints de DLP.
b. En la ficha Tareas, seleccione Abrir carpeta de cuarentena.
Se abrirá la carpeta de cuarentena.
c. Seleccione los archivos que se van a restaurar. Haga clic con el botón derecho y seleccione Liberar de cuarentena.
Note
El elemento de menú contextual Liberar de cuarentena solo aparece cuando se seleccionan archivos de tipo
*.dlpenc (DLP cifrado).
Aparecerá la ventana emergente Código de liberación.

2. Para restaurar los elementos de correo electrónico en cuarentena, seleccione Liberar de cuarentena.
a. En Microsoft Outlook, haga clic con el botón derecho del ratón en el correo electrónico u otro elemento que desee
restaurar.
b. Haga clic en el icono Liberar de cuarentena.
Aparecerá la ventana emergente Código de liberación.
3. Copie el código de ID de comprobación de la ventana emergente y envíelo al administrador de DLP.

4. El administrador genera un código de respuesta y lo envía al usuario. (Esto también crea un evento operativo que
registra todos los detalles).
5. El usuario introduce el código de liberación en la ventana emergente Código de liberación y hace clic en Aceptar.

Los archivos descifrados se restauran en su ubicación original. Si se ha activado la directiva de bloqueo de código de
liberación (en la ficha Configuración de Agent → Servicio de notificación) y se introduce el código de forma incorrecta tres
veces, la ventana emergente se desconecta durante 30 minutos (configuración predeterminada).
Note
En el caso de los archivos, si la ruta se ha modificado o eliminado, se restaura la ruta original. Si existe un archivo con el
mismo nombre en la ubicación, el archivo se restaurará como xxx-copy.abc

10| Análisis de datos con McAfee DLP Discover
Análisis de datos con McAfee DLP Discover

Guía de inicio del descubrimiento de red
Primeros pasos para utilizar McAfee DLP Discover en un nuevo entorno.
1. Ejecute un análisis de inventario para recopilar los metadatos correspondientes a los archivos de los repositorios de su
organización. Los resultados del análisis le ayudarán a comprender qué archivos se encuentran en los repositorios.
2. Configure clasificaciones para detectar información confidencial o sensible. Utilice estas clasificaciones para definir y
ejecutar un análisis de clasificación.
3. Utilice los resultados del análisis de clasificación para ver dónde se encuentra la información confidencial.
4. Configure un análisis de corrección para cifrar los archivos confidenciales o para moverlos a un repositorio más seguro.
5. Continúe ejecutando análisis de forma regular y supervise los resultados de los análisis y los incidentes generados. Ajuste
los análisis en función de los resultados o los cambios en la directiva de su organización.
6. Los documentos registrados tienen un impacto significativo en la RAM. Ejecute los análisis de registro únicamente en los
repositorios más delicados.
Elección del tipo de análisis

El tipo de análisis que configure determina la cantidad de información recuperada en un análisis, las acciones realizadas durante
el análisis y la configuración necesaria para el análisis.
• Los análisis de inventario recuperan solamente los metadatos y proporcionan una base para configurar análisis de
• Los análisis de clasificación recuperan los metadatos, analizan archivos y hacen coincidir con las clasificaciones de
directivas que defina.
• Los análisis de corrección incluyen análisis de clasificación y pueden implementar reglas en los archivos.
Note
En el caso de los análisis de base de datos, los análisis de corrección solo pueden notificar un incidente y almacenar
las pruebas.
• Los análisis de registro aplican huellas digitales al contenido de los archivos de carácter confidencial y las almacenan en
forma de documentos registrados en el DLP Server.
Los componentes de la directiva que se deben configurar dependen del tipo de análisis.

Componentes necesarios de las directivas
Criterios de
Tipo de análisis Definiciones Clasificaciones Reglas huella digital
Inventario X
Clasificación X X
Corrección X X X
Registro X X
Los resultados del análisis se muestran en la ficha Análisis de datos. La ficha Inventario de datos muestra el inventario de
archivos de los análisis que tienen activada la opción Lista de archivos.
Cómo funcionan los análisis de inventario
Los análisis de inventario son los análisis más rápidos y solo recuperan los metadatos. Debido a esto, un análisis de inventario es
una buena forma de empezar a planificar una estrategia de prevención de pérdida de datos.
Un análisis de inventario realiza lo siguiente:
Cuando se analiza un Cuando se analiza una base de

Acción repositorio de archivos datos
Recopila metadatos pero no x x

descarga ningún archivo/tabla
Devuelve los contadores y el x x

inventario de datos de OLAP (lista
de archivos/tablas analizados)
Restaura la última hora de acceso x

de los archivos analizados.
Los análisis de inventario realizados en repositorios de archivos recopilan metadatos tales como el tipo de archivo, el tamaño, la
fecha de creación y la fecha de modificación. El tipo de metadatos disponible depende del tipo de repositorio. Por ejemplo, los
análisis de Box recuperan los metadatos de uso compartido, colaboración y nombre de la cuenta. Los análisis de inventario

realizados en bases de datos recopilan metadatos tales como el nombre del esquema, el nombre de la tabla, el número de
registros, el tamaño y el propietario.
Los resultados de los análisis de inventario se muestran en las pestañas Inventario de datos y Análisis de datos.
Note
También puede utilizar análisis de inventario para contribuir a la automatización de tareas de TI tales como:
• Localizar archivos vacíos

• Localizar archivos que no se han modificado durante un período prolongado
• Extraer el formato de tabla de la base de datos
Cómo funcionan los análisis de clasificación
Los análisis de clasificación detectan información clasificada o de carácter confidencial.Utilice los resultados de los análisis de
inventario para crear análisis de clasificación.
Un análisis de clasificación realiza lo siguiente:

Recopila los mismos metadatos x x

que un análisis de inventario
Analiza el tipo de archivo x

verdadero en función del
contenido del archivo en lugar de
la extensión
Recopila los datos de los x x

archivos/tablas que coinciden
con la clasificación configurada
Restaura la última hora de acceso x

de los archivos analizados.
Los análisis de clasificación son más lentos que los de inventario debido a que el extractor de texto accede a los archivos
y los analiza para que coincidan con las definiciones de las especificaciones de clasificación. Las clasificaciones constan de
definiciones que pueden incluir palabras clave, diccionarios, patrones de texto y propiedades de documento. Estas definiciones

ayudan a identificar contenido de carácter confidencial que podría requerir protección adicional. Al utilizar las herramientas
OLAP para ver patrones multidimensionales de estos parámetros, puede crear análisis de corrección optimizados.
Los resultados de los análisis de clasificación se muestran en las pestañas Inventario de datos y Análisis de datos.
Detección de archivos cifrados

Los análisis de clasificación de repositorio de archivos detectan datos con los siguientes tipos de cifrado:
• Cifrado de Microsoft Rights Management

• Cifrado de Azure RMS
• Cifrado de la gestión de derechos de Seclore
• Tipos de cifrado no compatibles o protección con contraseña
• No cifrado
Tenga en cuenta estos puntos al analizar archivos cifrados:
• McAfee DLP Discover puede extraer y analizar archivos cifrados con Microsoft RMS siempre que McAfee DLP Discover
tenga las credenciales configuradas. Otros archivos cifrados no se pueden extraer, analizar ni hacer coincidir con las
clasificaciones.
• Los archivos cifrados con la gestión de derechos digitales (DRM) de Adobe Primetime y McAfee® File and Removable
Media Protection (FRP) se detectan como No cifrado.
• McAfee DLP Discover admite las opciones de criterios de clasificación para Cifrado de Microsoft Rights Management y
No cifrado.
Clasificación de contenido con criterios de cifrado de Azure Rights Management
Al crear una clasificación para archivos cifrados con Azure, puede seleccionar y asignar los criterios de cifrado de Azure Rights
Management Encryption a dicha clasificación. Mediante estos criterios, puede excluir o incluir análisis de archivos protegidos por
Azure.
Procedimiento
2. Seleccione la clasificación a la que desee añadir criterios y, a continuación, seleccione Acciones → Nuevos criterios de
clasificación de contenido o Nuevos criterios de identificación por huellas digitales de contenido.
3. Introduzca un nombre para los criterios de clasificación.
4. En el panel Propiedades disponibles, seleccione Cifrado del archivo.
5. Seleccione la comparación es igual a y el valor Cifrado de Azure Rights Management.
Resultados
Los criterios deCifrado de Azure Rights Managementse crean y se asignan a la clasificación seleccionada.
Cómo funcionan los análisis de corrección
Utilice los resultados de los análisis de inventario y clasificación para crear análisis de corrección.

Los análisis de corrección aplican reglas para proteger el contenido de carácter confidencial en el repositorio analizado. Cuando
los datos coinciden con la clasificación en un análisis de corrección, McAfee DLP Discover puede realizar lo siguiente:

Generar un incidente x x
Almacenar el archivo/la tabla x x

original en el recurso compartido
de pruebas
Copiar el archivo x
Mover el archivo x
Note: Los análisis de Box

y SharePoint permiten mover
archivos solo a recursos
compartidos de SMB/CIFS.
Aplicar la directiva de gestión de x

derechos al archivo
Clasificar archivo como x
Eliminar la clasificación x
automática
Modificar el recurso compartido Solo análisis de Box

anónimo para el inicio de sesión
necesario
Note: McAfee DLP
Discover no puede impedir
que los usuarios de Box
vuelvan a habilitar el recurso
compartido externo en sus
archivos.
No llevar a cabo ninguna acción x x

Note
En el caso de las listas de SharePoint, no se pueden mover archivos ni aplicar directivas de administración de derechos a
los archivos. Estas acciones son compatibles con archivos adjuntos a listas de SharePoint o almacenados en bibliotecas de
documentos. Algunos tipos de archivo utilizados para crear páginas de SharePoint, como .aspx o .js, no se pueden mover ni
eliminar.
Un análisis de corrección también realiza las mismas tareas que los análisis de inventario y clasificación. Los análisis de
corrección requieren clasificaciones y reglas para determinar la acción que se debe realizar en los archivos coincidentes.
Los resultados de los análisis de corrección se muestran en las pestañas Inventario de datos y Análisis de datos. Los análisis
de corrección también pueden generar incidentes que se muestran en la página Gestor de incidentes .
Clasificación automática con análisis de corrección
Los análisis de corrección pueden clasificar los archivos mediante la incrustación de una clasificación en las propiedades del
archivo.
Los archivos se pueden clasificar como parte de una acción de corrección. La clasificación se incrusta en las propiedades del
archivo. Como resultado, la clasificación no se pierde cuando los archivos se modifican, se mueven entre repositorios, se cargan
a la web o se envían por correo electrónico.
Para clasificar archivos con análisis de corrección, configure el análisis mediante una regla de descubrimiento de red con una
acción de Clasificar archivo como. Cuando se analiza el repositorio, los archivos que cumplen las condiciones configuradas en
la regla se clasifican en función de la clasificación seleccionada. Además, el ID de etiqueta de la clasificación se incrusta en las
propiedades del archivo.
Para su clasificación, los archivos deben cumplir una de las siguientes condiciones de clasificación especificadas en la regla.
• Clasificación de contenido: palabra clave, diccionario, patrón avanzado, proximidad o propiedades del documento
• Clasificación con documentos registrados
• Tipo de uso compartido de archivos (solo Box)
La clasificación aplicada por la regla se selecciona en la fichaReacción, lo cual permite que el usuario establezca la clasificación
Clasificar archivo como para que sea:
• La misma que la clasificación de la fichaCondición.

• Una clasificación distinta a la de la ficha Condición con criterios.
• Una clasificación distinta a la de la ficha Condición sin ningún criterio (para etiquetado).
Limitaciones
Se aplican las siguientes limitaciones a la aplicación de clasificaciones con análisis de corrección:
• Una regla solo puede tener una clasificación configurada en la reacción Clasificar archivo como.
• Un archivo está limitado a cinco clasificaciones incrustadas. (Es decir, se pueden aplicar hasta cinco reglas a un solo
archivo).

• Las credenciales del usuario configuradas en el analizador de corrección deben tener permisos de lectura, escritura y
modificación.
• No se pueden clasificar archivos protegidos (cuando no se permite Modificar).
• Solo se admiten las siguientes extensiones de archivo:
aif mpeg tiff
aiff mpg vsd
avi msg vsdx
dng pdf vss
doc png vst
docm pot wav
docx potm wma
dot potx wmv
dotm pps wps
dotx ppsm xdcam
eps ppsx xls
jpeg ppt xlsb
jpg pptm xlsm
mov pptx xlsx
mp2 ps xlt
mp3 psd xltm
mp4 swf xltx

mpa tif xps
Note
Para los tipos de archivo no compatibles, se envía el evento operativo Tipo de archivo no admitido para la clasificación
automática. .
• El contenido del archivo debe coincidir con su extensión o no se puede clasificar. Por ejemplo, un archivo txt cuya
extensión se ha cambiado a .doc no se clasificará.
• Los archivos postScript (*.ps y *.eps) deben ser al menos la versión 3.0. La biblioteca estándar no admite versiones
anteriores a la 3.0, por lo que no se clasifican.
• Los archivos MP3 contienen metadatos dentro de una etiqueta ID3 especial. Esta etiqueta suele contener información
como el título de la pista, el artista y el álbum. En el caso de los archivos que se deben clasificar, debe existir esta
etiqueta. Los archivos MP3 sin dicha etiqueta no se clasifican.
• Los archivos *.mpeg y *.mpg deben tener el formato de archivo multimedia ISO para poder ser clasificados. Para
verificarlo, abra el archivo con el Bloc de notas. Tras los primeros 4 bits hay algún texto que empieza por ftyp, por
ejemplo, ftypmp42, si el formato del archivo es ISO.
• Los archivos con el tamaño igual a 0 no se descargan y, en consecuencia, no se pueden etiquetar. Se envía el evento
operativo Tipo de archivo no admitido. .
Eliminar clasificaciones automáticas
Note
Las reglas de descubrimiento con la acción Eliminar clasificación automática no son compatibles con versiones anteriores.
Las reglas pasadas a versiones anteriores de McAfee DLP Discover utilizan la acción de respaldo Sin acción.
Los análisis de corrección en los repositorios del servidor de archivos, SharePoint o Box pueden eliminar o aplicar las
clasificaciones automáticas. La creación de una regla con una acción Eliminar clasificación automática elimina la etiqueta de
clasificación especificada de un archivo sin afectar a otras etiquetas que puedan haberse aplicado al archivo. La regla solo puede
especificar una clasificación y no puede eliminar las etiquetas aplicadas manualmente.
Cómo funcionan los análisis de registro
Los análisis de registro extraen las firmas de los archivos para su uso en la definición de los criterios de clasificación.
Los documentos registrados son una extensión de la identificación por huellas digitales del contenido basada en la ubicación.

Note
Los documentos registrados creados por un análisis de registro se consideran de registro automático. Se pueden ver en la
página Clasificación → Registrar documentos mediante la selección de Tipo: registro automático. Es posible utilizarlos para
definir directivas de McAfee DLP Prevent y McAfee DLP Monitor, así como para definir análisis de McAfee DLP Discover. No
se pueden utilizar en directivas de McAfee DLP Endpoint.
El DLP Server que lleva a cabo el servicio de coincidencia se ha especificado en Catálogo de directivas en la página de
Documentos registrados de la configuración del servidor.
1. McAfee DLP Discover ejecuta análisis de registro en los repositorios.

2. Cada análisis crea firmas de huella digital que se almacenan como un paquete en la red (de forma predeterminada, en el
recurso compartido de almacenamiento de pruebas de red).
3. Al menos un DLP Server por LAN (servidores que ejecutan el software de DLP Server) recopila los paquetes de huella
digital.
Note
Todos los servidores de DLP recopilan todos los paquetes. La sincronización de servidores ya no es necesaria, por lo
que se reduce el ancho de banda de red.
4. Los servidores de McAfee DLP Discover que ejecutan análisis de clasificación o corrección hacen coincidir las huellas
digitales con llamadas de API REST con DLP Server.
La redistribución sigue estas reglas:
• Los paquetes de firmas de huella digital se almacenan en la red (valor UNC predeterminado: recurso compartido de
almacenamiento de pruebas de red).
• Todas las firmas se agregan a la base de datos de DLP Server.

• Las firmas se sobrescriben cuando el análisis que las ha registrado se ejecuta de nuevo.
Limitaciones
Las firmas pueden tener un gran impacto en la RAM en DLP Server. 100 millones de firmas, el máximo por ejecución, ocupan
aproximadamente 7 GB de RAM.
• El tamaño máximo de la base de datos se define en la página Clasificación de Configuración de DLP y puede oscilar
entre 10 millones y 500 millones de firmas.
• El número máximo de análisis de registro (habilitados y deshabilitados) que puede mostrarse en Operaciones de
análisis es 100.
• El DLP Serverhost de servidor que se muestra en la página Catálogo de directivas → Configuración del servidor →
Documentos registrados debe estar en la misma LAN que el servidor de McAfee ePO. Los servidores de McAfee DLP
Discover se pueden encontrar en otra LAN o en WAN.
• Las credenciales de usuario proporcionadas para los análisis de registro deben tener, como mínimo, permisos de
LECTURA y atributos de ESCRITURA, así como acceso a las carpetas analizadas.
Consideraciones y limitaciones del análisis

Tenga en cuenta estos elementos al planificar y configurar sus análisis.
Exclusión de directorios
Para evitar impactos negativos en el rendimiento, excluya los directorios y procesos de McAfee DLP Discover de estas
aplicaciones:
• Software antivirus, incluyendo McAfee® VirusScan® Enterprise

• McAfee® Host Intrusion Prevention y otro software de McAfee
• Firewalls
• Software de protección de acceso
• Análisis en tiempo real
Elementos de McAfee DLP Discover que excluir
Tipo Excluir
Procesos
• dscrawler.exe
• dseng.exe
• dssvc.exe
• dstex.exe
Directorios
• c:\ProgramData\mcafee\discoverserver
• c:\Archivos de programa\mcafee\discoverserver

Tipo Excluir
Claves de registro
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node
\McAfee\DiscoverServer
• HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\Discov
erServer
• HKEY_LOCAL_MACHINE\SOFTWARE\ODBC.INI\McAf
eeDSPostgres
Definiciones de repositorio
La configuración de las ubicaciones del repositorio en McAfee ePO tiene estas limitaciones.
• Los intervalos de direcciones IP son compatibles solamente con las direcciones de clase C.
• Los intervalos de direcciones IP no pueden incluir direcciones que acaben en 0 o 255.
Note
Puede definir una dirección IP única que acabe en 0 o 255.
• No se admite IPv6.
Análisis de SharePoint
Los análisis de SharePoint no rastrean los catálogos del sistema, las listas ocultas o las listas etiquetadas como NoCrawl. Como
las listas de SharePoint son altamente personalizables, es posible que haya otras listas que no se analicen.
Es posible rastrear la mayoría de las listas disponibles sin configuración con las versiones de SharePoint compatibles, como, por
ejemplo:
• Anuncios
• Contactos
• Paneles de discusión
• Eventos
• Lista genérica
• Rastreadores de problemas
• Enlaces
• Reuniones
• Tareas
Los elementos individuales de una lista se combinan y agrupan en una estructura XML, y se analizan como un archivo XML único.
Los archivos adjuntos a elementos de la lista se analizan tal cual.

Análisis de Box
No se admite la configuración del mismo repositorio de Box en varios servidores de McAfee DLP Discover.
La capacidad de análisis varía según la cuenta utilizada. Para analizar otras cuentas, póngase en contacto con el servicio de
soporte de Box a fin de habilitar la funcionalidad «as-user» (como usuario).
• La cuenta del administrador puede analizar todas las cuentas.

• Una cuenta de coadministrador puede analizar la suya propia y las de los usuarios.
• Una cuenta de usuario solo puede analizar su propia cuenta.
Análisis de base de datos
Los siguientes tipos de columnas de base de datos se ignoran durante todos los análisis de McAfee DLP Discover. El texto no se
extrae y no se comparan las clasificaciones.
• Todos los tipos de archivos binarios (blob, clob, imagen, etc.)

• Marca de tiempo x
Note
En Microsoft SQL, la marca de tiempo es un contador de versiones de fila y no un campo con una hora.
Para las bases de datos de Oracle, se ignoran todos los tipos de contenido multimedia. Incluyen los siguientes:
ADHEADER_TYP ORDVIDEO SI_STILLIMAGE
ORDAUDIO SI_COLOR SI_TEXTURE
ORDDOC SI_COLORHISTOGRAM TEXTDOC_TAB
ORDIMAGE SI_FEATURELIST
ORDIMAGESIGNATURE SI_POSITIONALCOLOR
Los análisis de la base de datos de McAfee DLP Discover ahora permiten el uso de caracteres de idiomas extranjeros y
especiales en los esquemas, tablas y columnas de la base de datos. Sin embargo, es posible que falle la lectura si el análisis
encuentra ciertas secuencias de caracteres especiales en los nombres de las bases de datos, esquemas o tablas. Las secuencias
de caracteres especiales ilegibles varían según el proveedor de la base de datos. En este caso, McAfee DLP Discover envía el
mensaje de error definido por el proveedor y pasa al siguiente objeto.
Los análisis de corrección ahora admiten la generación de informes de incidentes por registro. El campo Notificar incidente por
registro solo está disponible cuando el tipo de análisis se ha establecido en Corrección. Los análisis de inventario y clasificación

siguen informando por tabla. El valor predeterminado es No informar de incidentes. La lista desplegable establece el número
de incidentes que notificar por cada tabla de base de datos entre 100 y 10 000.
Si se detiene un servidor de base de datos (apagado) o se desconecta durante un análisis, McAfee DLP Discover informa del
estado de ejecución como Detenido en la ficha Operaciones de análisis. El análisis solo se reinicia cuando la directiva se vuelve a
aplicar.
Note
MySQL no envía una notificación cuando el servidor deja de funcionar, de modo que McAfee DLP Discover sigue
ejecutándose e intentando completar el análisis.
Reiniciar el servicio Discover en análisis de clasificación o corrección

El reinicio del servicio Discover en el centro de un análisis de clasificación o corrección puede omitir algunos archivos. El
mecanismo de persistencia que reinicia el análisis recuerda qué contenedor se estaba analizando cuando se detuvo el servicio
y se reinicia desde el principio de ese contenedor. A veces, es posible que se siga ejecutando una tarea de recuperación en los
archivos del contenedor anterior cuando se detiene el servicio. Cuando esto ocurre, los archivos se omiten. No hay forma de que
el análisis recupere estos archivos.
Establecer el ancho de banda para un análisis

Los análisis de gran tamaño pueden requerir una cantidad de ancho de banda notable, especialmente en redes con una
capacidad de transmisión baja. De forma predeterminada, McAfee DLP Discover no regula el ancho de banda durante el
análisis. Si el ancho de banda es excesivo, puede habilitar la regulación de ancho de banda en la página Operaciones de análisis
→ Detalles de análisis .
Cuando la regulación de ancho de banda está habilitada, McAfee DLP Discover la aplica a los archivos individuales que se
están recuperando, no a todo el análisis en general. McAfee DLP Discover obtiene archivos en bloques. El software de análisis
comprueba la velocidad tras leer cada bloque. Si se encuentra por encima de la velocidad establecida, el software entra
en reposo para reducir la velocidad media. El rendimiento puede estar por encima o por debajo del límite de regulación
configurado durante la obtención de un bloque, pero ahora los archivos se obtienen en bloques de 16 kilobits para minimizar
los picos. Un análisis se puede disparar por encima o por debajo del límite de regulación configurado, pero el rendimiento
medio medido en todo el análisis se mantiene muy cercano al límite configurado. Cuando está habilitado, el valor de regulación
predeterminado es de 2000 Kbps.
Repositorios y credenciales para análisis

McAfee DLP Discover admite repositorios de servidor de archivos, Box, SharePoint y base de datos.
Repositorios de servidor de archivos y SharePoint

Los repositorios del servidor de archivos pueden ser SMB/CIFS o NFS. Al definir un repositorio de servidor de archivos, la
ruta UNC puede ser el nombre de dominio completo (FQDN) (\\miservidor1.midominio.com) o el nombre del equipo local
(\\miservidor1). Puede agregar ambas convenciones a una única definición.

En el entorno de Linux, las descripciones de ruta de NFS distinguen entre mayúsculas y minúsculas. Se le permite, por ejemplo,
tener la ruta \\server\share\carpeta y la ruta \\server\share\CARPETA. Las definiciones del repositorio del servidor de archivos de
DLP validan las rutas introducidas para evitar la repetición de rutas, por lo que el ejemplo especificado no es válido para una
única definición de repositorio de servidor de archivos. Si desea analizar ambas rutas, una solución es introducir la ruta principal
(\\server\share) y analizar todas las subcarpetas. Otra solución es definir cada una de las rutas en una definición distinta y
agregar ambas definiciones de repositorio a la regla de descubrimiento.
Los repositorios de servidor de archivos admiten los permisos de solo lectura. Si analiza un repositorio de servidor de archivos
cuando el usuario tiene permisos de solo lectura, se cambia la hora del último acceso. Para conservar la hora del último acceso
del archivo, seleccione la opción para omitir archivos para los cuales el usuario no tiene permisos de escritura. Esto puede
hacerse al crear la definición del repositorio del servidor de archivos. De forma predeterminada, el análisis de clasificación
y corrección no puede leer el archivo si el usuario únicamente tiene permisos de solo lectura. Para permitir los análisis de
clasificación y corrección con permisos de solo lectura, cambie el ajuste predeterminado en DLP Discover → Definiciones →
Repositorios → Servidor de archivos → Credenciales a Inspeccionar siempre el contenido del archivo. en la página Gestión de
análisis.
Al definir un repositorio de SharePoint, el nombre de host es la URL del servidor, a menos que se haya configurado una
asignación alternativa de acceso (AAM) en el servidor. Para obtener más información acerca de AAM, consulte la documentación
de SharePoint de Microsoft.
Las definiciones de credenciales son específicas de las definiciones de repositorio del servidor de archivos o SharePoint. En la
definición de credenciales, si el usuario es un usuario de dominio, utilice el nombre de dominio completo (FQDN) en el campo
Nombre de dominio. Si se trata de un usuario de un grupo de trabajo, utilice el nombre del equipo local. Si la definición del
repositorio solo contiene una versión UNC, por ejemplo, FQDN, debe utilizar dicha versión en la definición de credenciales.
Para los repositorios de dominios AD, utilice la opción Probar credenciales para verificar el nombre de usuario y la
contraseña. El uso de credenciales incorrectas crea un evento que indica el motivo por el cual ha fallado el análisis. Consulte el
evento en la página Lista de eventos operativos para obtener más detalles.
Repositorios de Box
Cuando defina un repositorio de Box, obtenga el ID y la clave secreta del cliente del sitio web de Box. Utilice el sitio web de
Box para configurar la aplicación de McAfee DLP Discover, la empresa de gestión y la funcionalidad como usuario. Si no utiliza
una cuenta de administrador, póngase en contacto con el soporte técnico de Box para obtener más información sobre cómo
configurar esta funcionalidad.
Bases de datos
Cuando se define una base de datos, puede identificar el servidor de base de datos por el nombre de host o la dirección IP.
También se especifica el puerto y el nombre de la base de datos. Puede especificar un determinado certificado SSL, cualquier
certificado SSL o ningún certificado. Los certificados SSL especificados en las definiciones de base de datos se definen en
Administrador de directivas de DLP → Definiciones.

Uso de definiciones y clasificaciones con análisis

Utilice las definiciones y clasificaciones para configurar reglas, criterios de clasificación y análisis. Todos los tipos de análisis
requieren definiciones.
Hay dos tipos de definiciones que se utilizan para McAfee DLP Discover:
• Las definiciones utilizadas en los análisis especifican las planificaciones, los repositorios y las credenciales de los
repositorios.
• Las definiciones utilizadas en las clasificaciones especifican qué se hace coincidir cuando se rastrean los archivos, como
las propiedades del archivo o los datos en un archivo.
Definiciones disponibles según la función
Definición Utilizado para
Patrón avanzado* Clasificaciones
Diccionario*
Propiedades del documento
Tipo de archivo real*
Extensión del archivo* Clasificaciones y análisis
Información del archivo
Credenciales Análisis
Planificador
Certificado SSL
Box
Servidor de archivos
Base de datos

Definición Utilizado para
SharePoint
Note
* Indica que hay disponibles definiciones predefinidas (incorporadas).
Los análisis de clasificación y corrección utilizan clasificaciones para identificar archivos y datos confidenciales.
Las clasificaciones utilizan una o más definiciones para que las propiedades del archivo coincidan con el contenido del archivo.
Puede utilizar los análisis de clasificación para analizar los patrones de datos en los archivos. Utilice los resultados de los análisis
de clasificación para ajustar las clasificaciones, las cuales se pueden utilizar en los análisis de corrección.
Note
Los análisis de clasificación y corrección pueden detectar archivos clasificados manualmente, pero McAfee DLP Discover no
puede aplicar clasificaciones manuales a los archivos.
McAfee DLP Discover puede detectar e identificar las clasificaciones manuales o automáticas establecidas por McAfee DLP
Endpoint en los archivos. Puede ver las clasificaciones automáticas en los detalles de los incidentes o en la pestaña
Inventario de datos.
McAfee DLP Discover no utiliza los documentos registrados manualmente. Utiliza los documentos registrados creados por los
análisis de registro de McAfee DLP Discover (documentos registrados automáticamente) almacenados en servidores de bases
de datos del servidor de DLP.
Uso de reglas en análisis

Los análisis de corrección utilizan reglas para detectar archivos de carácter confidencial y tomar medidas al respecto.
Los archivos rastreados en un análisis de corrección se comparan con las reglas de descubrimiento activas. Si el archivo coincide
con el repositorio y con las clasificaciones definidas en una regla, McAfee DLP Discover aplica la Acción especificada en la regla.
Acciones disponibles para análisis de corrección
Sistema de
Acción archivos SharePoint Box Base de datos
No llevar a cabo x X X x
ninguna acción.

Sistema de
Acción archivos SharePoint Box Base de datos
Crear un x X X X
incidente
Almacenar el x X X X
archivo original
como prueba
Copiar el archivo X¹ X¹ X¹
Mover el archivo X¹ X¹² X¹
Aplicar una x X² X
directiva de
administración de
derechos al
archivo
Clasificar archivo x X x
como
Eliminar la X X X
clasificación
automática
Eliminar recursos X
compartidos
anónimos para el
archivo
¹ Copiar y mover archivos compatibles solo a recursos compartidos de SMB/CIFS.
² No es compatible con las listas de SharePoint; solo se admite para archivos adjuntos a listas de SharePoint o almacenados
en bibliotecas de documentos, y solo para SMB/CIFS. Algunos tipos de archivo utilizados para crear páginas de SharePoint, por
ejemplo, .aspx o .js, no se pueden mover ni eliminar.

Configurar directivas para los análisis

Crear definiciones para los análisis
Creación de definiciones de análisis
Todos los análisis requieren una definición para especificar el repositorio, las credenciales y la planificación. Las definiciones de
los análisis pueden crearse en la página DLP Discover en el Gestor de directivas de DLP.
Antes de empezar
Debe contar con el nombre de usuario, la contraseña y la ruta para el repositorio.
Procedimiento
1. En McAfee ePO, seleccione una de las opciones siguientes:
• Menú → Protección de datos → DLP Discover

• Menu → Data Protection → Administrador de directivas de DLP
3. Cree una definición de las credenciales.
Note
Para los análisis de corrección, las credenciales deben tener permisos de lectura y escritura. Para los análisis de
corrección que aplican la directiva de gestión de derechos o mueven los archivos, se requieren permisos de control
total.
a. En el panel de la izquierda, seleccione Otro → Credenciales.

b. Seleccione Acciones → Nuevo elemento y sustituya el nombre predeterminado por un nombre único para la
definición.
c. Rellene los parámetros de las credenciales. Haga clic en Guardar.
4. Cree una definición de repositorio.
a. En el panel de la izquierda, en la sección Repositorios, seleccione el tipo de repositorio nuevo que desee crear.
b. Seleccione Acciones → Nuevo elemento, escriba un nombre de repositorio exclusivo en el campo Nombre y
rellene el resto de la información de Tipo y Definiciones.
Note
Los parámetros de Excluir son opcionales. Se requiere al menos una definición de Incluir.
5. Cree una definición de planificador.

a. En el panel de la izquierda, seleccione Otro → Credenciales.
b. Seleccione Acciones → Nuevo elemento y rellene los parámetros del planificador. Haga clic en Guardar.

Note
Las opciones de los parámetros dependen del Tipo de planificación seleccionado.
6. Cree una definición de información del archivo.
Note
Las definiciones de información de los archivos se utilizan para definir los filtros del análisis. Los filtros permiten
analizar los repositorios de una manera más específica al definir qué archivos se incluyen o se excluyen. Las
definiciones de información de los archivos son opcionales pero recomendables.
a. En el panel de la izquierda, seleccione Datos → Información del archivo.

b. Seleccione Acciones → Nuevo elemento y sustituya el nombre predeterminado por un nombre único para la
definición.
c. Seleccione las propiedades que desee utilizar como filtros y rellene la información de Comparación y Valor. Haga
clic en Guardar.
Creación de una definición de credenciales
Las credenciales son necesarias para leer y modificar los archivos de la mayoría de repositorios. Si sus repositorios tienen las
mismas credenciales, puede utilizar una única definición de las credenciales para todos ellos.
Procedimiento

3. En el panel de la izquierda, seleccione Otro → Credenciales.
5. Introduzca un nombre único para la definición. Los campos Descripción y Nombre de dominio son opcionales. Todos
los demás campos son obligatorios.
Si se trata de un usuario del dominio, utilice el sufijo del dominio en el campo Nombre de dominio. Si se trata de un
usuario de un grupo de trabajo, utilice el nombre del equipo local.
Note
Para hacer un rastreo en todas las colecciones de una aplicación web de SharePoint, utilice unas credenciales que
tengan permiso de Acceso completo de lectura en toda la aplicación web.
6. En el caso de los repositorios de dominios de Windows, haga clic en Probar credenciales para comprobar el nombre de
usuario y la contraseña desde McAfee ePO.
Esto no permite comprobar las credenciales desde el servidor de Discover.

Note
No hay verificación para las credenciales que no forman parte de un dominio de Windows. Si un análisis falla debido a
que las credenciales son incorrectas, se crea un evento en la página Lista de eventos operativos.
Creación de una definición de planificador
El planificador de análisis determina cuándo y con qué frecuencia se ejecuta un análisis.
Se proporcionan estos tipos de planificación:
• Ejecutar inmediatamente
• Una vez
• Diaria
• Semanal
• Mensual
Procedimiento

3. En el panel de la izquierda, haga clic en Planificador.
5. Introduzca un nombre exclusivo y seleccione el tipo de planificación.
Note
La pantalla cambia cuando se selecciona el tipo de planificación para proporcionar los campos necesarios para ese tipo.
6. Rellene las opciones necesarias y haga clic en Guardar.
Permisos de usuario requeridos para los análisis
SharePoint y bases de datos como Oracle y SQL necesitan permisos específicos para ejecutar análisis de Discover.
Tipo de usuario Permisos necesarios Comandos Descripción
Usuario de SQL Conjunto de permisos

dbo
Usuario de Oracle CREATE VIEW GRANT CREATE VIEW TO Permisos para definir
(sysdb) "nombredeusuario"; una vista.

Tipo de usuario Permisos necesarios Comandos Descripción
SELECT ANY TABLE GRANT SELECT ANY TABLE Permisos para

TO "nombredeusuario"; consultar tablas o vistas
CONNECT GRANT CONNECT TO Permisos para abrir

"nombredeusuario"; una sesión de base de
datos.
SELECT_CATALOG_ROLE GRANT Privilegios en todas las

SELECT_CATALOG_ROLE vistas de diccionario de
TO "nombredeusuario"; los datos.
READ GRANT READ ON Permisos de solo

DIRECTORY EXT_TAB_DATA lectura para tablas
TO "nombredeusuario"; externas.
WRITE GRANT WRITE ON Permisos de escritura

DIRECTORY EXT_TAB_DATA para trabajar con tablas
TO "nombredeusuario"; externas.
EXECUTE ANY TYPE GRANT EXECUTE Permisos para ejecutar

ANY TYPE TO cualquier tipo de
"nombredeusuario"; objeto utilizado. Son
obligatorios para las
tablas anidadas.
Usuario de SharePoint
• Para análisis
de inventario y
clasificación: permisos
de solo lectura
• Para análisis de
corrección: permisos
totales
Creación de una definición de repositorio de servidor de archivos o SharePoint
Configure un repositorio de servidor de archivos o SharePoint para su análisis.

Puede utilizar regex en la sintaxis de Perl cuando especifique los parámetros a incluir o excluir para carpetas, en lugar de utilizar
una ruta completa específica.
• Para incluir entradas, especifique el prefijo de ruta, por ejemplo, \\server o \\server\share\folder. La expresión regular
debe coincidir exactamente con el sufijo de la ruta.
• En el caso de las entradas de exclusión, las carpetas que coincidan con la ruta se omitirán por completo del análisis.
Procedimiento

3. En el panel izquierdo, debajo de Repositorios, seleccione el tipo de repositorio.
5. Introduzca un nombre, seleccione las credenciales que quiera utilizar y configure al menos una definición de Incluir.
6. (Repositorios del servidor de archivos) Configure al menos una entrada de Incluir.
a. Seleccione el Tipo de prefijo.
b. En el campo Prefijo, introduzca la ruta UNC, la dirección IP única o el intervalo de direcciones IP.
Note
La ruta UNC puede ser el nombre de dominio completo (FQDN) (\\miservidor1.midominio.com) o el nombre del
equipo local (\\miservidor1). Puede agregar ambas versiones a una única definición. Se analizan varias entradas
como OR lógicas.
c. (Opcional) Introduzca una expresión regular para el análisis de las carpetas coincidentes.
d. Haga clic en Añadir.
7. (Repositorios de SharePoint) Configure al menos una entrada Incluir.
a. Seleccione el tipo Incluir.
b. Configure una o varias URL.
Note
La opción Servidor de SharePoint utiliza únicamente una URL. El nombre de host es el nombre de NetBIOS
del servidor, a menos que se haya configurado una asignación alternativa de acceso (AAM) en el servidor. Para
obtener más información acerca de AAM, consulte la documentación de SharePoint desde Microsoft.
• Para especificar un sitio: finalice la URL con una barra diagonal (http://SPServer/sites/DLP/).
• Para especificar un subsitio: utilice el subsitio finalizado con una barra diagonal (http://SPserver/sites/DLP/
Discover/).
• Para especificar una aplicación web: utilice solo el nombre de la aplicación web y el puerto en la URL (http://
SPServer:port).

• Para especificar una lista o biblioteca de documentos: utilice la URL completa hasta la vista predeterminada
de la lista (http://SPServer/sites/DLP/Share%20Documents/Default.aspx).
Note
Puede buscar la URL de la vista predeterminada en la página de configuración de lista o biblioteca. Si no

tiene permiso para verla, póngase en contacto con el administrador de SharePoint.
c. Si ha configurado una URL de la Lista de sitios, haga clic en Añadir.

8. (Opcional) Configure los parámetros Excluir para excluir las carpetas del análisis.
Creación de una definición del repositorio de Box
Configure un repositorio de Box para los análisis.
Procedimiento
1. En McAfee ePO, seleccione una de las siguientes opciones:

3. En el panel izquierdo, bajo Repositorios, seleccione Box.
5. Introduzca el nombre y, si quiere, una descripción.
6. Haga clic en el vínculo del sitio web de Box. Siga las instrucciones del sitio web para definir la aplicación Box y obtener
el ID y la información secreta de cliente.
• Al definir la aplicación, seleccione la opción de gestión de la empresa.

• En cuanto al URI de redirección, introduzca la dirección exacta del servidor de McAfee ePO.
Note
En otras palabras, si accede a McAfee ePO mediante el nombre de host, debe utilizar el nombre de host para el
URI de redirección; no se puede utilizar una dirección IP. Cualquier discrepancia en las direcciones da lugar a un
error de URI de redirección de Box.
• Para analizar otras cuentas, póngase en contacto con el servicio de soporte de Box a fin de habilitar la
funcionalidad «as-user» (como usuario).
7. Introduzca el ID y la clave secreta de cliente y, a continuación, haga clic en Obtener token.

8. Cuando se le solicite en el sitio web de Box, otorgue acceso al servidor Discover.
9. Especifique si desea analizar todas las cuentas de usuario o solo algunas de ellas.

Creación de una definición de repositorio de base de datos
Configure un repositorio de base de datos para su análisis.
Antes de empezar
Prepare el servidor IP/nombre del host de la base de datos para escribirlo o copiarlo y pegarlo en la definición. Este campo es
obligatorio.
Procedimiento

3. En el panel izquierdo, seleccione Repositorios → Base de datos y, a continuación, seleccione Acciones → Nuevo
elemento.
4. Introduzca una descripción opcional y seleccione el tipo de base de datos en la lista desplegable.
5. Introduzca los detalles de conexión.
6. Seleccione o cree una definición para las credenciales y pruebe la conexión.
7. Especifique el tipo de conexión SSL y haga clic en Guardar.
8. En el caso de las bases de datos de Oracle, cree un usuario de Oracle.
Creación de un usuario de Oracle
Para que McAfee DLP Discover analice bases de datos de Oracle, cree un usuario con los permisos necesarios.
Procedimiento
1. Ejecute SQL*Plus.
2. Inicie sesión como administrador de bases de datos.
Ejemplo: nombredeusuario/contraseña@SID como sysdba
3. Cree un usuario con los siguientes comandos:
CREATE USER "username" PROFILE "DEFAULT"

IDENTIFIED BY password DEFAULT TABLESPACE "USERS"
TEMPORARY TABLESPACE "TEMP"
QUOTA UNLIMITED
ON "USERS"
ACCOUNT UNLOCK;
4. Ejecute cada uno de los siguientes comandos en SQL*Plus para conceder los permisos necesarios:
GRANT CREATE VIEW TO "username";
GRANT SELECT ANY TABLE TO "username";
GRANT CONNECT TO "username";
GRANT SELECT_CATALOG_ROLE TO "username";

GRANT READ ON DIRECTORY EXT_TAB_DATA TO "username";

(obligatorio para trabajar con tablas externas)
GRANT WRITE ON DIRECTORY EXT_TAB_DATA TO "username";

(obligatorio para registrar un caso habilitado en tablas externas)
GRANT EXECUTE ANY TYPE TO "username";
(obligatorio para cubrir un caso de tablas anidadas)
Caution
EXT_TAB_DATA es la etiqueta utilizada con más frecuencia para el almacenamiento de tablas externas, pero puede
depender de la estructura de la base de datos del cliente. Cada DBA de cliente debe considerar meticulosamente la
concesión del permiso de LECTURA/ESCRITURA en el DIRECTORIO con tablas externas.
Resultados
El usuario creado tiene los permisos necesarios para permitir que McAfee DLP Discover analice los esquemas de base de datos
de Oracle.
Crear un usuario de SQL
Para analizar bases de datos, se recomienda utilizar el conjunto de permisos DBO.
Antes de empezar
Debe disponer de permisos de administrador de SQL para crear un usuario de SQL.
Procedimiento
1. Abra SQL Server Management Studio (SSMS) y conéctese a SQL Server.
2. Expanda Seguridad → Inicios de sesión en el panel izquierdo.
3. Haga clic con el botón derecho en Inicios de sesión y seleccione Nuevo inicio de sesión en la lista desplegable.
4. Añada el usuario, especificando Autenticación de SQL Server.
Exportar o importar definiciones de repositorio
Si tiene muchos repositorios, es posible que sea más fácil gestionarlos como un archivo XML que añadirlos y editarlos de uno en
uno en McAfee ePO.
Utilice la función de exportación para guardar las definiciones de repositorios existentes y las credenciales asociadas en un
archivo XML. Use este archivo como base para añadir y configurar sus repositorios en formato XML.
Al importar un archivo XML, las definiciones de repositorios y credenciales se validan y se añaden a la lista de entradas. Si existe
una definición de repositorio en McAfee ePO y el archivo XML, se sobrescribe la definición con la información del archivo XML.
Las definiciones se identifican de manera exclusiva mediante el valor ID.
Procedimiento


3. Seleccione servidor de archivos o SharePoint.
4. Realice una de estas tareas.
• Para exportar repositorios:

Seleccione Acciones → Exportar.
Seleccione si desea abrir o guardar el archivo y haga clic en Aceptar.
• Para importar repositorios:
Seleccione Acciones → Importar.
Vaya al archivo y haga clic en Aceptar.
Creación de reglas para análisis de corrección
Utilice reglas para definir la acción que se debe llevar a cabo cuando un análisis de corrección detecta archivos que coinciden
con clasificaciones.
Procedimiento
3. Si no hay conjuntos de reglas configurados, cree uno.
a. Seleccione Acciones → Nuevo conjunto de reglas.
b. Introduzca el nombre y una nota opcional, y haga clic en Aceptar.
4. Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, haga clic en la pestaña Descubrir.
5. Seleccione Acciones → Nueva regla de descubrimiento de red y, a continuación, seleccione el tipo de regla.
6. En la pestaña Condición, configure una o varias clasificaciones y repositorios.
• Crear un nuevo elemento: haga clic en ...

• Añadir criterios adicionales: haga clic en +.
• Eliminar criterios: haga clic en -.
7. (Opcional) En la pestaña Excepciones, especifique exclusiones de activación de la regla.
8. En la pestaña Reacción, configure la reacción.
Las reacciones disponibles dependen del tipo de repositorio.
Configurar un análisis
Configuración de un análisis de inventario
Los análisis de inventario solamente recopilan metadatos. Son los análisis más rápidos y, por tanto, el punto de inicio habitual en
la determinación de qué análisis son necesarios.
Utilice análisis de inventario para planificar la estrategia de protección de datos. Puede crear análisis o editar y reutilizar los
existentes según sea necesario.

Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → DLP Discover.
2. En la pestaña Servidores Discover, seleccione Acciones → Detectar servidores para actualizar la lista.
Note
Si la lista es larga, puede definir un filtro para que se muestre una lista más corta.
3. En la pestaña Operaciones de análisis, seleccione Acciones → Nuevo análisis y elija el tipo de repositorio.
4. Escriba un nombre exclusivo y seleccione Tipo de análisis: inventario. Seleccione una plataforma de servidor y una
planificación.
Note
Es necesario definir previamente los servidores Discover. Puede seleccionar una planificación definida o crear una
nueva.
5. (Opcional) Establezca los valores para Lista de archivos o Administración de errores a fin de reemplazar los valores
predeterminados.
6. Seleccione los repositorios que desee analizar.
a. En la ficha Repositorios, haga clic en Acciones → Seleccionar repositorios.
b. Si fuera necesario, especifique las credenciales de cada repositorio en la lista desplegable.
Las credenciales predeterminadas para lo que se ha configurado para ese repositorio.
Tip
Puede crear definiciones para el repositorio y las credenciales, si fuera necesario, en la ventana de selección.
7. (Opcional) En la pestaña Filtros, seleccione Acciones → Seleccionar filtros para especificar los archivos que incluir o
excluir.
De forma predeterminada, se analizan todos los archivos.
Configuración de un análisis de clasificación
Los análisis de clasificación recopilan datos del archivo en función de clasificaciones definidas. Se utilizan para analizar los
sistemas de archivos a fin de que los datos de carácter confidencial estén protegidos con un análisis de corrección.
Antes de empezar
• Ejecute un análisis de inventario. Utilice los datos del inventario para definir clasificaciones.

• Cree las definiciones de clasificación necesarias antes de configurar un análisis de clasificación. No hay ninguna opción
para crear una clasificación en los ajustes de configuración.
Procedimiento
Note
Si la lista es larga, puede definir un filtro para que se muestre una lista más corta.
4. Escriba un nombre único y seleccione Tipo de análisis: clasificación. Seleccione una plataforma de servidor y una
planificación.
Note
nueva.
5. (Opcional) Establezca los valores de los campos Regulación, Lista de archivos o Administración de errores a fin de
reemplazar los valores predeterminados.
Note
excluir.
8. Seleccione las clasificaciones para el análisis.
a. En la pestaña Clasificaciones, haga clic en Acciones → Seleccionar clasificaciones.
b. Seleccione una o varias clasificaciones de la lista.
Configuración de un análisis de corrección
Los análisis de corrección aplican reglas para proteger el contenido de carácter confidencial en el repositorio analizado.

Antes de empezar
• Si el análisis está configurado para aplicar la directiva de administración de derechos o para mover archivos, asegúrese
de que las credenciales para el repositorio tengan permisos de control total.
• Cree las clasificaciones y las reglas para el análisis.
Procedimiento
4. Escriba un nombre único y seleccione Tipo de análisis: corrección. Seleccione una plataforma de servidor y una
planificación.
Note
nueva.
5. (Opcional) Establezca los valores de los campos Regulación, Lista de archivos, Administración de incidentes o
Administración de errores en lugar de los valores predeterminados.
Note
excluir.
8. Seleccione las reglas para el análisis.
a. En la pestaña Reglas, haga clic en Acciones → Seleccionar conjuntos de reglas.
b. Seleccione uno o varios conjuntos de reglas de la lista.
Configuración de un análisis de registro
Los análisis de registro extraen las firmas de los archivos.

Antes de empezar
• Es necesario definir previamente los servidores Discover. Despliegue el software McAfee DLP Discover en los servidores
de la red y verifique la instalación.
• Cree una o varias clasificaciones con criterios de huella digital de acuerdo con el repositorio que desee analizar.
Procedimiento
Si la lista es larga, defina un filtro para que se muestre una lista más corta.
Puede ejecutar análisis de registro únicamente en los repositorios del servidor de archivos, Box o SharePoint.
4. Escriba un nombre exclusivo y seleccione Tipo de análisis: Registro de documentos. Seleccione una plataforma de
servidor y una planificación.
Note
Puede seleccionar una planificación definida o crear una nueva.
5. (Opcional) Defina los valores para Regulación, Lista de archivos, Firmas o Administración de errores a fin de reemplazar
los valores predeterminados.
Note
excluir.
8. Seleccione los criterios para el análisis.
a. En la ficha Criterios de huella digital, haga clic en Acciones → Seleccionar clasificaciones.
b. Seleccione clasificaciones de la lista y, a continuación, haga clic en Aceptar.

DLP Discover
Página Servidores Discover
Utilice esta página para detectar los servidores de descubrimiento y ver la información de los servidores en la red.
La página Servidores Discover muestra información en los servidores de descubrimiento en la red. Puede filtrar los resultados
que se muestran seleccionando valores de limitación para uno o varios parámetros con el control del filtro Editar. Puede
reutilizar los filtros no guardados a lo largo de la sesión de trabajo o Guardar el filtro como público o privado para usarlo en el
futuro.
Definiciones de filtros
Opción Definición
Filtro Lista desplegable de los filtros guardados. Si no

se ha definido ningún filtro, aparece sin filtro
personalizado. Si se ha definido un filtro, pero no
se ha guardado, aparece sin guardar.
Editar Abre la página de McAfee ePO Editar criterios de

filtro. Realice su selección en la lista de propiedades
disponibles y haga clic en Actualizar filtro.
Eliminar Elimina el filtro que se muestra actualmente.
Guardar Guarda un filtro sin guardar. Si ha cambiado la

definición de un filtro, puede seleccionar Omitir el
filtro existente para guardar los cambios.
Definiciones de acciones
Opción Definición
Detectar servidores Actualiza la lista de servidores. También puede

realizar esta tarea con Detectar servidores
de descubrimiento en McAfee ePO: Menú →
Automatización → Tareas servidor.
Eliminar Elimina de la lista el servidor seleccionado.

Opción Definición
Definir nombre del sistema Establece el nombre del sistema opcional del
equipo seleccionado.
Definiciones de descubrimiento
Página Definiciones (McAfee DLP Discover)
Utilice esta página para crear definiciones para las operaciones de análisis de McAfee DLP Discover.
Opción Definición
Mostrar definiciones integradas Si se selecciona, muestra las definiciones

predefinidas.
Acciones Nuevo Crea una definición del tipo seleccionado en

el panel izquierdo.
Solo para el servidor de archivos y SharePoint:
• Exportar Exporta los repositorios y las credenciales

a un archivo XML.
• Importar Importa los repositorios y las
credenciales de un archivo XML.
Editar Abre la definición para su edición. Esta opción solo

se aplica a las definiciones definidas por el usuario.
Eliminar Elimina la definición. Esta opción solo se aplica

a las definiciones definidas por el usuario. No es
posible eliminar las definiciones que están en uso
actualmente. Para eliminar una definición, en primer
lugar, quítela de todas las reglas.
Duplicar Duplica la definición.
Uso Muestra todos los lugares en los que se utiliza la

definición.

Opción Definición
Ver Abre la definición para su visualización. Esta opción

solo se aplica a las definiciones integradas.
Página de definición de Credenciales
Utilice esta página para definir las credenciales de usuario.
Opción Definición
Nombre Sustituya el nombre predeterminado por uno

exclusivo para esta definición. Este campo es
obligatorio.
Descripción Utilice este campo para introducir información que

describa la definición o indique cuándo se utiliza.
Este campo es opcional.
Nombre de dominio Este campo es obligatorio para todos los tipos de

repositorios excepto Base de datos. Deje este campo
en blanco al crear una definición de credencial de
base de datos.
Nombre de usuario Todos estos campos son obligatorios.
Contraseña
Confirmar contraseña
Probar credenciales Prueba la definición tratando de conectar con

el servidor de Active Directory. Esta opción está
disponible cuando se han rellenado todos los
campos obligatorios. Debe contar con resolución
DNS para el dominio de destino.

Opción Definición
Note: Esta acción no está disponible para las

definiciones de credenciales de base de datos.
Las credenciales de base de datos se prueban en
la definición de repositorio de la base de datos.
Página Planificador
El Planificador almacena planificaciones para la ejecución de McAfee DLP Discover y los análisis de descubrimiento de Endpoint.
Las opciones disponibles dependen del Tipo de planificación seleccionado. La tabla 1 muestra las opciones que se aplican a
todos los tipos de planificación.
Tabla 1
Opción Descripción
Nombre Sustituya el nombre predeterminado Planificador

por un nombre único. Este campo es obligatorio.
Horario de suspensión Los análisis se pueden suspender para evitar que

interfieran con las planificaciones de trabajo. Puede
definir un horario de suspensión diferente para cada
día de la semana.
La tabla 2 describe las opciones adicionales para todos los tipos de planificación que no sean Ejecutar inmediatamente.
Tabla 2
Opción Descripción
Zona horaria Las horas de inicio y fin pueden establecerse según

la hora local de la plataforma del servidor, o UTC, es
decir, simultáneamente en toda la empresa.
Hora de inicio Define el inicio del análisis.
Período de validez Define la fecha de inicio de los análisis ejecutados

una vez; establece las fechas de inicio y fin para los
demás tipos de planificación.

La tabla 3 describe las opciones de Tipo de planificación para tipos diferentes.
Tabla 3
Tipo de planificación Descripción
Ejecutar inmediatamente y Una vez No hay opciones, a excepción del ajuste del tipo de
planificación.
Opciones Ejecuta una tarea que se ha omitido. No disponible

para la opción Ejecutar inmediatamente.
Diariamente Puede definir una frecuencia para los análisis de 1 a

30 días. El análisis se repite cada x días dentro del
período de validez especificado.
Semanal Puede definir una frecuencia para los análisis de 1 a

52 semanas. También puede seleccionar el día de la
semana que se ejecuta el análisis.
Mensual Para el análisis, puede definir el valor numérico del

día o un día concreto del mes (primer domingo,
tercer martes, etc.). También puede omitir meses
específicos seleccionando las casillas de verificación
de cada mes.
Página de definición de Certificado SSL
Utilice esta página para especificar una definición de certificado SSL.
Opción Definición

exclusivo para esta definición. Este campo es
obligatorio.
Descripción Utilice este campo para introducir información que

describa la definición o indique cuándo se utiliza.
Este campo es opcional.

Opción Definición
Archivo de certificado Haga clic en Cargar archivo para buscar los archivos
de certificado.
Página de operaciones de análisis
Utilice esta opción para configurar un análisis o para consultar los análisis configurados existentes.
Esta página muestra información sobre los análisis configurados, como los nombres de análisis, el número de archivos
analizados y la hora a la que se ejecutaron los análisis. El usuario puede configurar en la pantalla qué parámetros mostrar y el
orden de visualización seleccionandoAcciones → Elegir columnas. Puede filtrar los resultados que se muestran seleccionando
valores de limitación para uno o varios parámetros con el control del filtro Editar. Puede reutilizar los filtros no guardados a lo
largo de la sesión de trabajo o Guardar el filtro como público o privado para usarlo en el futuro.
Haga clic en Aplicar directiva para aplicar la configuración a los servidores de McAfee DLP Discover.
Opción Definición
Ver Lista desplegable de las vistas guardados. Si no se

ha definido ninguna vista, aparece Predeterminado.
Si se ha definido una vista, pero no se ha guardado,
aparece sin guardar. Duplica el comando Acciones
→ Elegir columnas, pero le permite guardar varias
vistas.

Editar (filtro) Abre la página de McAfee ePO Editar criterios de

Editar (vista) Vea Acciones → Elegir columnas.

Opción Definición

Definiciones de acción
Opción Definición
Elegir columnas Esta opción estándar de McAfee ePO le permite

personalizar la pantalla de la página Operaciones de
análisis.
Clonar análisis Abre la página Editar análisis con la información del

análisis seleccionado. Edítelo como sea necesario.
Cambie el nombre para guardar el análisis clonado.
Eliminar análisis Elimina de la lista el análisis seleccionado.
Editar análisis Abre la configuración del análisis seleccionado para

editarlo.
Sincronizar datos Actualiza la tabla con las propiedades actuales de

McAfee Agent.
Nuevo análisis Crea una configuración de análisis.
Cambiar estado Utilice esta opción para activar o desactivar los

análisis configurados.
Scan operations - New scan page
Utilice esta página para configurar un análisis.
Todos los análisis de descubrimiento se configuran de manera similar. Estas opciones de análisis se seleccionan en el panel
superior Detalles de análisis. El panel inferior dispone de diversas fichas para análisis nuevos.

Se recomienda crear definiciones de planificación, repositorio, filtrado y conjunto de reglas antes de configurar los análisis. Si los
repositorios requieren credenciales para el acceso, cree también las definiciones de credenciales necesarias.
Opción Definición
Nombre Introduzca un nombre exclusivo para el análisis.

Este campo es obligatorio.
Tipo de análisis Seleccione una opción de la lista desplegable.
Servidor de descubrimiento Seleccione una entrada en la ventana de selección.

Note: Solo se puede seleccionar un servidor

por análisis.
Planificador Seleccione una entrada en la ventana de selección.

Regulación Limita el ancho de banda del análisis. Si está

seleccionada la casilla de verificación, puede cambiar
el valor predeterminado.
Lista de archivos (todos los tipos de análisis excepto Seleccione esta opción si desea mostrar la
de la base de datos) información del Inventario de datos. Si anula
la selección de esta opción, puede ver los
contadores en la página Análisis de datos, pero
no puede ampliarlos para mostrar la información
detallada. Para los repositorios de mayor tamaño,
recomendamos que utilice esta opción con filtros
a fin de limitar el impacto en la base de datos de
McAfee ePO.
Información de tablas (solo análisis de base de Casilla de verificación para almacenar la información
datos) de tablas de la base de datos en el Inventario de
datos.

Opción Definición
Administración de incidentes (solo análisis de Utilice la lista desplegable para establecer el número
corrección) máximo de incidentes de los que informar por
análisis. Seleccione la casilla de verificación para
cerrar el análisis en caso de que se supere un
umbral. Intervalo: 100-100 000
Note: En el caso de los análisis de inventario

y clasificación, el campo se muestra, pero no se
puede editar.
Informar del incidente por registro (solo en análisis Lista desplegable para informar del número máximo
de base de datos) de incidentes por tabla de base de datos. El valor
predeterminado es No informar de incidentes.
Solo se puede editar la lista desplegable para los
informes de análisis de corrección o análisis de
inventario y clasificación por tabla.
Firmas (solo análisis de registro) Utilice la lista desplegable para establecer el número
máximo de firmas de las que informar por análisis.
Intervalo: 100 000-100 000 000
Note: Se muestra la cantidad aproximada

de memoria RAM necesaria para el valor
seleccionado.
Administración de errores Utilice la lista desplegable para establecer el número

máximo de errores de los que informar por análisis.
Seleccione la casilla de verificación para cerrar el
análisis en caso de que se supere un umbral.
Intervalo: 100-100 000

Opciones de la ficha
Fichas
Ficha Tipo de análisis Definición
Repositorios Todos los tipos de análisis Muestra las definiciones de

Repositorio seleccionadas.
Filtros Análisis de base de datos Limita el número de registros que

(solo análisis de analizar por tabla.
clasificación y corrección)
Todos los demás tipos de análisis Muestra las definiciones

de Información del archivo
seleccionadas (fechas, extensión
del archivo, nombre, propietario
y tamaño) que se utilizan para
definir los archivos incluidos o
excluidos.
Historial Todos los análisis que se han Muestra la información del

ejecutado. No aparece cuando historial de análisis.
se crea una definición de Nuevo
análisis.
Clasificaciones Solo análisis de clasificación Muestra las definiciones de

Clasificación seleccionadas que
se aplican al análisis.
Reglas Solo análisis de corrección Muestra las definiciones

de Conjuntos de reglas
seleccionadas que se aplican al
análisis.
Criterios de huella digital Solo análisis de registro Muestra los criterios de huella
digital, el recurso compartido de
red y el tipo (diccionario, palabra
clave etc.) en cada caso.

Opción Definición
Seleccionar clasificaciones Solo aparece para Tipo de análisis: Clasificación.

Abre la ventana Elegir entre los valores existentes
para seleccionar las definiciones de Clasificación.
Seleccionar filtros Abre la ventana Elegir entre los valores existentes

para seleccionar las definiciones de Información del
archivo.
Note: Esta opción afecta al análisis de

rastreo, no solo a la pantalla. Utilice esta opción
para mejorar la eficacia del análisis cuando no
desee analizar todo el repositorio.
Seleccionar repositorios Abre la ventana Elegir entre los valores existentes

para seleccionar las definiciones de Repositorio.
Note: Solo se muestran las definiciones del

repositorio que coinciden con el tipo de análisis.
Seleccionar conjunto de reglas Solo aparece para Tipo de análisis: Corrección. Abre
la ventana Elegir entre los valores existentes para
seleccionar las definiciones de Conjunto de reglas.
Página Seleccionar servidor
En esta página, puede seleccionar el servidor de descubrimiento para realizar un análisis.
Opción Definición
Lista Servidor Seleccione el servidor de descubrimiento para el

análisis.
Aceptar Se guardan los cambios y se cierra la ventana.

Opción Definición
Cancelar Se descartan los cambios y se cierra la ventana.
Página del repositorio de Box
Utilice esta página para definir un repositorio de Box.
Opción Definición
Nombre Sustituya el nombre predeterminado de la categoría

por uno exclusivo para esta categoría. Este campo es
obligatorio.
Descripción Cuadro de texto opcional para información adicional.
Tipo Este campo se rellena automáticamente. Verifique

que ha seleccionado el tipo de repositorio que se
adecua a sus requisitos.
Nombre de host Muestra el nombre de host del repositorio. Este

campo está vacío si no se ha recuperado el token.
Credenciales
• Vínculo del sitio web de Box: puede utilizar este
vínculo para definir la aplicación del servidor de
descubrimiento y obtener el ID y la clave secreta de
cliente.
• ID de cliente: especifica el ID de cliente.
• Clave secreta de cliente: especifica la clave secreta
de cliente.
• Obtener token: abre una página en Box para
recuperar el token.
Note: El servidor de descubrimiento

actualiza el token de forma automática durante
el próximo análisis. Si caduca el token, debe
utilizar la opción Obtener token para conseguir
uno nuevo.

Opción Definición
Cuentas Especifica si se deben analizar todas las cuentas de

usuario o solo algunas específicas.
Guardar Guarda sus cambios.
Cancelar Descarta los cambios.
Página del repositorio del servidor de archivos
Utilice esta página para crear una definición de repositorio NFS o SMB/CIFS.
Las definiciones de repositorio pueden contener tanto los repositorios incluidos como excluidos.
Opción Definición
Nombre Sustituya el nombre de categoría

predeterminado por uno
exclusivo para esta categoría.
Tipo Lista desplegable para

seleccionar el repositorio CIFS o
NFS. Valor predeterminado: SMB/
CIFS
Credenciales Seleccione una entrada en la lista

desplegable o haga clic en Nuevo
para crear una definición.
Permisos de acceso al archivo Seleccione Inspeccionar el

contenido del archivo solo si el
usuario dispone de permiso de
atributos de escritura si necesita
restaurar la hora del último
acceso. Si restaurar la hora del
último acceso no es importante,

Opción Definición
seleccione Inspeccionar siempre

el contenido del archivo.
Opciones avanzadas Recursos compartidos Si se selecciona, se analizan

administrativos los recursos compartidos
administrativos del servidor de
archivos.
Puntos de repetición de análisis Cuando se selecciona, se analizan

los puntos de repetición de
análisis de NTFS.
Incluir Tipo de prefijo Los tipos aceptables son UNC o

intervalo de direcciones IP.
Prefijo Cuadro de texto para introducir

la ruta de acceso.
Expresión regular Cuadro de texto para definir una

ruta que se ajuste a un patrón.
Agregar Haga clic para agregar la

definición a la lista Incluir.
Excluir Tipo Seleccione entre La ruta empieza

por o Expresión regular de la
ruta.
Definiciones El cuadro de texto para introducir

la descripción del tipo de ruta de
acceso (ruta de acceso parcial o
expresión regular).
Agregar Haga clic para agregar la

definición a la lista Excluir.

Página de definición de repositorio de Base de datos
Utilice esta página para definir un repositorio de base de datos
Opción Definición

exclusivo para este repositorio. Este campo es
obligatorio.
Tipo El tipo Base de datos se rellena de forma

automática. Seleccione el tipo de base de datos en
Detalles de conexión La definición de Puerto se agrega de forma

automática, pero se puede editar. Los tres campos
son obligatorios.
Credenciales Seleccione una definición de credencial en la lista

desplegable.
Certificado SSL Seleccione o cree un certificado, o bien especifique

cualquier certificado o ninguno.
Filtro Utilice Acciones → Agregar filtro para crear un

nuevo filtro. Los filtros pueden definir tablas,
esquemas o bases de datos incluidos o excluidos.
Página del repositorio de SharePoint
Utilice esta página para definir un repositorio de SharePoint.
Las definiciones de repositorios pueden contener repositorios incluidos y excluidos. Puede utilizar la sección Excluir para excluir
los directorios específicos de SharePoint definidos en la sección Incluir, así como excluir otros recursos compartidos.

Opción Definición
Nombre Sustituya el nombre predeterminado de la categoría

por uno exclusivo para esta categoría. Este campo es
obligatorio.
Tipo Este campo se rellena automáticamente. Verifique

que ha seleccionado el tipo de repositorio que se
adecua a sus requisitos.
Credenciales Seleccione una entrada en la lista desplegable o

haga clic en Nuevo para crear una nueva definición.
Incluir Siga uno de estos procedimientos:
• Seleccione SharePoint Server y escriba la URL en el

cuadro de texto.
• Seleccione Lista de sitios e introduzca las URL de
una vez en el cuadro de texto.
La sección permite especificar varias URL.
Excluir Introduzca una URL de sitio o de subsitio en el

cuadro de texto.
Agregar Agregue la definición a la lista.
Página Elegir entre los valores existentes (planificador de análisis)
En esta página, puede seleccionar la definición del planificador para realizar un análisis.
Opción Definición
Filtrar elementos Especifica un filtro de cadenas.

Por ejemplo, si se introduce descubrimiento, se
muestran solo los elementos cuyo nombre incluya
este término.

Opción Definición
IR Se activa la definición del campo Filtrar elementos.
Lista Nombre Se muestran los planificadores en función del filtro

actual.
Editar Sirve para editar la definición de planificador

seleccionada.
Nuevo elemento Se crea una definición de planificador.
Página Elegir entre los valores existentes (repositorios de análisis)
En esta página, puede seleccionar los repositorios de los análisis.

Opción Definición

este término.
Mostrar solo elementos seleccionados Cuando se selecciona esta opción, solo se muestran
los elementos seleccionados.
Lista Repositorios Se muestran los repositorios en función del filtro

actual.
Credenciales Se especifican las credenciales del repositorio.

Opción Definición
Editar Sirve para editar la definición de repositorio

seleccionada.
Nuevas credenciales Sirve para definir las credenciales.
Nuevo repositorio Se crea una definición de repositorio.
Página Elegir entre los valores existentes (filtros de análisis)
En esta página, puede seleccionar los filtros de los análisis.
Los filtros se aplican a las definiciones de Información del archivo para limitar el análisis por propiedades como el tamaño del
archivo, la fecha o la extensión.
Opción Definición
Filtrar elementos Se especifica un filtro de cadenas.

este término.
Lista Filtros Se muestran las clasificaciones en función del filtro

actual.
Incluir/Excluir Se especifica si la definición seleccionada se utiliza

para incluir archivos en el análisis o excluirlos.

Opción Definición
Editar Sirve para editar la definición seleccionada.
Nuevo elemento Se abre la página de definición Información del

archivo para crear un filtro.
Página Elegir clasificaciones
En esta página, puede seleccionar las clasificaciones que desea utilizar en un análisis de clasificación.
Opción Definición

este término.
Lista Nombre Se muestran las clasificaciones en función del filtro

actual.
Nueva clasificación Introduzca el nombre de la nueva clasificación.
Agregar Se añade la clasificación con el nombre especificado.

Página Elegir entre los valores existentes (conjuntos de reglas de análisis)
En esta página, puede seleccionar los conjuntos de reglas que desea utilizar en un análisis de corrección.
Opción Definición

este término.
Lista Conjunto de reglas Se muestran los conjuntos de reglas en función del

filtro actual.
Lista Reglas Se muestra el número de reglas de McAfee DLP

Discover dentro del conjunto.
Página Servidores Discover
Utilice esta página para detectar los servidores de descubrimiento y ver la información de los servidores en la red.
La página Servidores Discover muestra información en los servidores de descubrimiento en la red. Puede filtrar los resultados
que se muestran seleccionando valores de limitación para uno o varios parámetros con el control del filtro Editar. Puede
reutilizar los filtros no guardados a lo largo de la sesión de trabajo o Guardar el filtro como público o privado para usarlo en el
futuro.

Opción Definición

Editar Abre la página de McAfee ePO Editar criterios de


Opción Definición
Detectar servidores Actualiza la lista de servidores. También puede

realizar esta tarea con Detectar servidores
de descubrimiento en McAfee ePO: Menú →
Automatización → Tareas servidor.
Eliminar Elimina de la lista el servidor seleccionado.
Definir nombre del sistema Establece el nombre del sistema opcional del
equipo seleccionado.
Página de operaciones de análisis
Utilice esta opción para configurar un análisis o para consultar los análisis configurados existentes.
Esta página muestra información sobre los análisis configurados, como los nombres de análisis, el número de archivos
analizados y la hora a la que se ejecutaron los análisis. El usuario puede configurar en la pantalla qué parámetros mostrar y el

orden de visualización seleccionandoAcciones → Elegir columnas. Puede filtrar los resultados que se muestran seleccionando
valores de limitación para uno o varios parámetros con el control del filtro Editar. Puede reutilizar los filtros no guardados a lo
largo de la sesión de trabajo o Guardar el filtro como público o privado para usarlo en el futuro.
Haga clic en Aplicar directiva para aplicar la configuración a los servidores de McAfee DLP Discover.
Opción Definición
Ver Lista desplegable de las vistas guardados. Si no se

ha definido ninguna vista, aparece Predeterminado.
Si se ha definido una vista, pero no se ha guardado,
aparece sin guardar. Duplica el comando Acciones
→ Elegir columnas, pero le permite guardar varias
vistas.

Editar (filtro) Abre la página de McAfee ePO Editar criterios de

Editar (vista) Vea Acciones → Elegir columnas.


Definiciones de acción
Opción Definición
Elegir columnas Esta opción estándar de McAfee ePO le permite

personalizar la pantalla de la página Operaciones de
análisis.
Clonar análisis Abre la página Editar análisis con la información del

análisis seleccionado. Edítelo como sea necesario.
Cambie el nombre para guardar el análisis clonado.
Eliminar análisis Elimina de la lista el análisis seleccionado.
Editar análisis Abre la configuración del análisis seleccionado para

editarlo.
Sincronizar datos Actualiza la tabla con las propiedades actuales de

McAfee Agent.
Nuevo análisis Crea una configuración de análisis.
Cambiar estado Utilice esta opción para activar o desactivar los

análisis configurados.
Scan operations - New scan page
Utilice esta página para configurar un análisis.
Todos los análisis de descubrimiento se configuran de manera similar. Estas opciones de análisis se seleccionan en el panel
superior Detalles de análisis. El panel inferior dispone de diversas fichas para análisis nuevos.
Se recomienda crear definiciones de planificación, repositorio, filtrado y conjunto de reglas antes de configurar los análisis. Si los
repositorios requieren credenciales para el acceso, cree también las definiciones de credenciales necesarias.

Opción Definición
Nombre Introduzca un nombre exclusivo para el análisis.

Tipo de análisis Seleccione una opción de la lista desplegable.
Servidor de descubrimiento Seleccione una entrada en la ventana de selección.

Note: Solo se puede seleccionar un servidor

por análisis.
Planificador Seleccione una entrada en la ventana de selección.

Regulación Limita el ancho de banda del análisis. Si está

seleccionada la casilla de verificación, puede cambiar
el valor predeterminado.
Lista de archivos (todos los tipos de análisis excepto Seleccione esta opción si desea mostrar la
de la base de datos) información del Inventario de datos. Si anula
la selección de esta opción, puede ver los
contadores en la página Análisis de datos, pero
no puede ampliarlos para mostrar la información
detallada. Para los repositorios de mayor tamaño,
recomendamos que utilice esta opción con filtros
a fin de limitar el impacto en la base de datos de
McAfee ePO.
Información de tablas (solo análisis de base de Casilla de verificación para almacenar la información
datos) de tablas de la base de datos en el Inventario de
datos.
Administración de incidentes (solo análisis de Utilice la lista desplegable para establecer el número
corrección) máximo de incidentes de los que informar por
análisis. Seleccione la casilla de verificación para

Opción Definición
cerrar el análisis en caso de que se supere un

umbral. Intervalo: 100-100 000
Note: En el caso de los análisis de inventario

y clasificación, el campo se muestra, pero no se
puede editar.
Informar del incidente por registro (solo en análisis Lista desplegable para informar del número máximo
de base de datos) de incidentes por tabla de base de datos. El valor
predeterminado es No informar de incidentes.
Solo se puede editar la lista desplegable para los
informes de análisis de corrección o análisis de
inventario y clasificación por tabla.
Firmas (solo análisis de registro) Utilice la lista desplegable para establecer el número
máximo de firmas de las que informar por análisis.
Intervalo: 100 000-100 000 000
Note: Se muestra la cantidad aproximada

de memoria RAM necesaria para el valor
seleccionado.
Administración de errores Utilice la lista desplegable para establecer el número

máximo de errores de los que informar por análisis.
Seleccione la casilla de verificación para cerrar el
análisis en caso de que se supere un umbral.
Intervalo: 100-100 000
Opciones de la ficha
Fichas
Repositorios Todos los tipos de análisis Muestra las definiciones de

Repositorio seleccionadas.

Filtros Análisis de base de datos Limita el número de registros que

(solo análisis de analizar por tabla.
clasificación y corrección)
Todos los demás tipos de análisis Muestra las definiciones

de Información del archivo
seleccionadas (fechas, extensión
del archivo, nombre, propietario
y tamaño) que se utilizan para
definir los archivos incluidos o
excluidos.
Historial Todos los análisis que se han Muestra la información del

ejecutado. No aparece cuando historial de análisis.
se crea una definición de Nuevo
análisis.
Clasificaciones Solo análisis de clasificación Muestra las definiciones de

Clasificación seleccionadas que
se aplican al análisis.
Reglas Solo análisis de corrección Muestra las definiciones

de Conjuntos de reglas
seleccionadas que se aplican al
análisis.
Criterios de huella digital Solo análisis de registro Muestra los criterios de huella
digital, el recurso compartido de
red y el tipo (diccionario, palabra
clave etc.) en cada caso.

Opción Definición
Seleccionar clasificaciones Solo aparece para Tipo de análisis: Clasificación.

Abre la ventana Elegir entre los valores existentes
para seleccionar las definiciones de Clasificación.
Seleccionar filtros Abre la ventana Elegir entre los valores existentes

para seleccionar las definiciones de Información del
archivo.
Note: Esta opción afecta al análisis de

rastreo, no solo a la pantalla. Utilice esta opción
para mejorar la eficacia del análisis cuando no
desee analizar todo el repositorio.
Seleccionar repositorios Abre la ventana Elegir entre los valores existentes

para seleccionar las definiciones de Repositorio.
Note: Solo se muestran las definiciones del

repositorio que coinciden con el tipo de análisis.
Seleccionar conjunto de reglas Solo aparece para Tipo de análisis: Corrección. Abre
la ventana Elegir entre los valores existentes para
seleccionar las definiciones de Conjunto de reglas.
Página de definición de repositorio de Base de datos
Utilice esta página para definir un repositorio de base de datos
Opción Definición

exclusivo para este repositorio. Este campo es
obligatorio.

Opción Definición
Tipo El tipo Base de datos se rellena de forma

automática. Seleccione el tipo de base de datos en
Detalles de conexión La definición de Puerto se agrega de forma

automática, pero se puede editar. Los tres campos
son obligatorios.
Credenciales Seleccione una definición de credencial en la lista

desplegable.
Certificado SSL Seleccione o cree un certificado, o bien especifique

cualquier certificado o ninguno.
Filtro Utilice Acciones → Agregar filtro para crear un

nuevo filtro. Los filtros pueden definir tablas,
esquemas o bases de datos incluidos o excluidos.
Realizar operaciones de análisis

Gestione y consulte información sobre los análisis configurados.
Note
La aplicación de la directiva inicia los análisis planificados para ejecutarse inmediatamente. Los análisis que se estén
ejecutando en ese momento no se verán afectados.
Procedimiento
2. Haga clic en la pestaña Operaciones de análisis.
La pestaña muestra información sobre los análisis configurados, como el nombre, el tipo, el estado y la descripción de los
resultados.
3. Para actualizar la configuración de todos los análisis, haga clic en Aplicar directiva.
4. Para aplicar un filtro a la lista de análisis, seleccione un filtro en la lista desplegable Filtro.
5. Para habilitar o deshabilitar un análisis:
a. Seleccione la casilla de los análisis que desee habilitar o deshabilitar.

El icono de la columna Estado muestra si el análisis está habilitado o deshabilitado.
• Icono azul fijo: habilitado

• Icono azul y blanco: deshabilitado
b. Seleccione Acciones → Cambiar estado y, a continuación, elija Habilitado o Deshabilitado.
c. Haga clic en Aplicar directiva.
6. Para cambiar al estado de ejecución del análisis, haga clic en los botones de inicio, pausa o detención de la columna
Comandos.
Note
La disponibilidad de estas opciones depende del estado del análisis y de si este se está ejecutando o está inactivo.
7. Para clonar, eliminar o editar un análisis:

a. Seleccione la casilla del análisis.
b. Seleccione Acciones y, a continuación, elija Clonar análisis, Eliminar análisis o Editar análisis.
Note
Para modificar el servidor de descubrimiento asignado al análisis, debe deshabilitar el análisis. No puede
modificar el tipo de análisis asignado a un análisis. Para cambiarlo, clone el análisis.
8. Para actualizar la pestaña, seleccione Acciones → Sincronizar datos.
Análisis de datos analizados

Cómo McAfee DLP Discover utiliza OLAP
McAfee DLP Discover utiliza Procesamiento analítico en línea (OLAP), un modelo de datos que permite procesar rápidamente los
metadatos desde diferentes puntos de vista.
Utilice las herramientas OLAP de McAfee DLP Discover para ver las relaciones multidimensionales entre los datos recopilados de
los análisis. A estas relaciones se las conoce como hipercubos o cubos de OLAP.
Puede ordenar y organizar los resultados del análisis basándose en condiciones como la clasificación, el tipo de archivo, el
repositorio y más. Mediante el uso de los patrones de datos para calcular las posibles infracciones, puede optimizar los análisis
de clasificación y corrección para identificar y proteger los datos de forma rápida y más eficaz.
Ver los resultados del análisis
La pestaña Inventario de datos y el módulo DLP Discover muestran los resultados de los análisis de inventario, clasificación y
corrección.

Note
Se muestran los resultados de la última ejecución del análisis.
Los resultados de los análisis de registro se pueden ver en el módulo Clasificación de la pestaña Registrar documentos al
seleccionar Tipo: registro automático.
La ficha cuenta con tres vistas analíticas: panel, cuadrícula y datos sin procesar.
Vista Panel
La vista analítica Panel muestra los resultados como gráficos predefinidos. Se muestran los datos del análisis seleccionado en la
lista desplegable Nombre de análisis. La visualización depende del Tipo analítico seleccionado: archivos o clasificaciones.
Para archivos, los gráficos son:
• Repositorios principales
• Contenedores principales
• Hosts principales
• Tamaños de archivo
• Fecha de la última modificación
• Extensiones de archivo principales
• Grupos de extensiones de archivo principales
• Hora del último acceso
Para clasificaciones, los gráficos son:
• Repositorios principales
• Contenedores principales
• Hosts principales
• Clasificaciones principales
• Tipos de archivos verdaderos principales
• Hora del último acceso
Vista Cuadrícula
La vista analítica de Cuadrícula le permite analizar los archivos de los análisis. La ficha utiliza un modelo de datos OLAP para
mostrar un máximo de tres categorías a fin de exponer patrones de datos multidimensionales. Utilice estos patrones para
optimizar los análisis de clasificación y corrección.
Configurar los análisis de datos

1. Nombre de análisis: la lista desplegable muestra los análisis disponibles para todos los tipos. Los análisis únicamente se
pueden realizar en un único análisis.
2. Tipo analítico: seleccione entre Archivos o Clasificaciones. Para los análisis de inventario, solo está disponible la opción
Archivos. El tipo analítico determina las categorías disponibles.
3. Mostrar: controla el número de entradas que aparecen.
4. Ampliar tabla/Contraer tabla: amplía toda la página. También puede expandir o contraer grupos individuales.
5. Selector de categorías: la lista desplegable muestra todas las categorías disponibles. Puede seleccionar una opción de las
categorías restantes en los selectores segundo y tercero para crear un análisis tridimensional de los patrones de datos.
6. Extensión del elemento: el icono de flecha controla la expansión/contracción de los grupos individuales para limpiar la
pantalla.
7. Recuento: número de archivos (o clasificaciones) en cada grupo. Haga clic en el número para ir a la ficha Inventario de
datos y mostrar los detalles de ese grupo.
Note
Si el Tipo analítico se define en Clasificaciones y los archivos tienen más de una clasificación asociada, este número
puede ser superior al número total de archivos.
Vista de Datos sin procesar

La vista analítica Datos sin procesar muestra el inventario de archivos de los análisis que tienen activada la opción Lista de
archivos. Puede definir y utilizar filtros para ajustar la información que se muestra, lo cual podría revelar patrones o posibles
infracciones de directiva.

Note
Las opciones Clasificación, Tipo de archivo y Tipo de cifrado no están disponibles para los análisis de inventario.
Analizar resultados de análisis
Utilice el modelo de datos OLAP para organizar y ver las relaciones que existen entre los archivos de los análisis.
Procedimiento
2. Haga clic en la pestaña Inventario de datos.
3. En la lista desplegable Nombre de análisis seleccione el análisis que desea examinar.
4. En la lista desplegable Tipo de análisis, seleccione Archivo o Clasificación.
5. En la lista desplegable Mostrar seleccione el número de entradas principales que mostrar.
6. Utilice las listas desplegables de categorías para mostrar los archivos de hasta tres categorías.
7. Utilice las opciones Ampliar tabla y Contraer tabla Datos sin procesar para ampliar o contraer la cantidad de
información mostrada.
8. Para ver los resultados de inventario de los archivos que pertenecen a una categoría, haga clic en el vínculo que
muestra el número de archivos entre paréntesis.
Note
El vínculo solo está disponible si se seleccionó la opción Lista de archivos en la configuración del análisis. El vínculo
muestra la página Datos sin procesar.
Ver los resultados del inventario
Visualice el inventario de archivos de todos los tipos de análisis.
Procedimiento
2. Haga clic en la pestaña Inventario de datos.
3. Seleccione la vista analítica de Datos sin procesar.
4. Realice una de estas acciones.
• Para ver los resultados de un análisis concreto, selecciónelo en la lista desplegable Analizar.
• Para filtrar los archivos mostrados, seleccione un filtro en la lista desplegable Filtro.
Note
Haga clic en Editar para modificar y crear filtros.
• Para agrupar archivos en función de una propiedad determinada:

En la lista desplegable Agrupar por, seleccione una categoría. Las propiedades disponibles aparecerán en
el panel de la izquierda.

Seleccione la propiedad para agrupar archivos.
• Para configurar las columnas mostradas:

Seleccione Acciones → Elegir columnas.
En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnas seleccionadas.
En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario.
Para eliminar una columna, haga clic en x.

Para mover una columna, haga clic en los botones de flecha o arrastre y suelte la columna.
Haga clic en Actualizar vista.

11| La función búsqueda de DLP Capture
La función búsqueda de DLP Capture

Búsqueda de datos capturados
Cuando se habilita, la función DLP Capture permite almacenar datos de correo electrónico, web y red analizados por los
appliances de McAfee DLP Prevent o McAfee DLP Monitor. Los datos capturados se pueden buscar más tarde para identificar
un evento de fuga de datos que se pasó por alto durante el análisis de datos en tiempo real, o se pueden utilizar para ajustar las
reglas y los ajustes de clasificación para reducir los falsos positivos sin que ello afecte al análisis de datos activos.
Es posible crear conjuntos de datos que centren la búsqueda en propiedades especificadas para reducir la cantidad de datos que
se buscarán en cada appliance, con el fin de obtener menos resultados y más específicos.
Puede crear un incidente de McAfee DLP de un resultado de búsqueda y, a continuación, añadir el incidente a un caso nuevo o
existente. Las pruebas asociadas con los resultados de búsqueda también pueden añadirse al incidente.
Almacenamiento de datos y pruebas

Los datos capturados se almacenan en un disco de un appliance físico o virtual, o bien en un dispositivo de almacenamiento
externo. Los datos se almacenan en un disco cifrado mediante una clave de cifrado generada aleatoriamente. Para recuperar
los datos cifrados, puede desbloquearlo con la contraseña de administrador. Si cambia la contraseña de administrador,
también se actualiza la clave de desbloqueo. Si va a actualizar desde una versión anterior, la clave de desbloqueo es un valor
predeterminado. Verá una alerta en el panel de Gestión de appliances hasta que cambie la contraseña. Para proteger los datos
cifrados, cambie la contraseña de administrador mediante la consola del appliance.
Un evento capturado se almacena en el appliance con sus pruebas. Cuando se crea un resultado, la prueba asociada se copia en
el recurso compartido de almacenamiento de pruebas.
Conservación de los datos

De forma predeterminada, los datos capturados se eliminan automáticamente del almacenamiento después de 28 días a fin de
evitar llenar el espacio en disco, pero puede cambiar ese límite si lo desea.
Note
El appliance limpia regularmente la base de datos de captura y elimina los datos antiguos para hacer espacio para los datos
nuevos. Los datos se eliminan de la base de datos de captura en cualquiera de los casos siguientes:
• La antigüedad de los datos es superior al límite de retención configurado.

• El espacio de almacenamiento asignado a los datos se llena.
En cualquiera de estos casos, el software del appliance elimina los datos más antiguos y libera espacio para que se
almacenen datos nuevos.

Cuando la función DLP Capture inicia una tarea de búsqueda, esta recopila los elementos que se analizarán en la búsqueda. Si
algunos de estos elementos son más antiguos y deben eliminarse para liberar espacio de almacenamiento mientras se realiza
una búsqueda, los elementos eliminados no se analizarán, pero la búsqueda continuará.
Usuarios y permisos
La capacidad de ajustar reglas o buscar datos capturados no está disponible de forma automática para todos los usuarios de
McAfee DLP. Especifique quién puede utilizar la función en el conjunto de permisos Data Loss Prevention. A diferencia de las
versiones anteriores de McAfee DLP que podían capturar contenido, esta versión permite que varias personas configuren y
ejecuten búsquedas al mismo tiempo.
Uso de la función DLP Capture
Siga estos pasos generales para configurar y usar la función DLP Capture.
Procedimiento
1. Especifique quién puede utilizar la función.
2. Cree conjuntos de datos para centrarse en las búsquedas.
3. Cree y ejecute las búsquedas, o ajuste las reglas y clasificaciones.
4. Revise los resultados de las búsquedas.
5. Cree los incidentes y agregue a los casos.
Habilitación de la función DLP Capture
Utilice las opciones de Ajustes de McAfee DLP Capture para capturar datos de los appliances de McAfee DLP y especifique
durante cuánto tiempo desea conservar los datos.
Antes de empezar
Para que la función DLP Capture aparezca en el menú McAfee ePO, debe añadir una licencia para uno de los appliances de
McAfee DLP.
Procedimiento
2. Seleccione el producto Gestión de appliances de DLP, elija la categoría Ajustes de McAfee DLP Capture y abra la
3. En Ajustes de captura, seleccione Habilitar captura.
4. (Opcional) Especifique la cantidad de tiempo que desea mantener los elementos capturados.
De forma predeterminada, los elementos capturados se eliminan después de 28 días. Puede cambiar el límite a un máximo
de 1000 días.
6. (Opcional) Compruebe si está habilitada la función DLP Capture en un appliance específico.
a. Abra el Árbol de sistemas y seleccione el panel Sistemas.
b. Haga clic en el appliance para abrir la página Sistemas: Información.
c. Haga clic en Productos y seleccione DLP Capture.
d. Desplácese hacia abajo hasta General y compruebe el valor de captureFeatureStatus:

• 1: la función está habilitada

• 2: la función está deshabilitada
• 3: la función no es compatible con esta plataforma concreta 3 normalmente se muestra cuando McAfee DLP
Capture Storage Array tiene que asociarse y hay que volver a crear el appliance.
Conjuntos de datos
Los conjuntos de datos centran las búsquedas de investigación forense y de ajuste de regla en un subconjunto de los datos
capturados para reducir la cantidad de datos en los que se deben buscar. Al buscar en un conjunto de datos, se reduce el
tiempo necesario para ejecutar la búsqueda y los resultados son más útiles y fáciles de analizar. Hay algunos conjuntos de datos
predefinidos o puede crear los suyos propios según las propiedades, como el appliance, los criterios del correo electrónico o los
criterios del usuario.
Si un dispositivo puede admitir la función DLP Capture (es decir, tiene discos disponibles para almacenar los datos capturados y
contiene algunos datos capturados), se puede agregar a un conjunto de datos y a los datos capturados que buscar.
Note
Si crea un conjunto de datos y no se especifica un appliance específico, cualquier búsqueda que use dicho conjunto de datos
devolverá todos los appliances.
La interfaz de usuario muestra cuántos appliances se buscarán como parte de un conjunto de datos y un número aproximado
de eventos capturados. El número de eventos se lleva a cabo en el appliance en el conjunto de datos que contiene el mayor
número de eventos capturados en el conjunto de datos.
Por ejemplo, si el conjunto de datos contiene cuatro appliances y tres de ellos contienen 1000 elementos y el cuarto contiene
3000, el número que aparecerá será 3000. Los appliances se analizan en paralelo para que pueda utilizar este número a fin de
decidir si es necesario refinar aún más el conjunto de datos. Al guardar los cambios en el conjunto de datos, muestra el número
revisado de eventos capturados que se buscará con estas propiedades.
Important
Al cambiar las definiciones en un conjunto de datos que se emplee en búsquedas de investigación forense o en búsquedas
de ajuste de regla, también se cambia esa definición en cualquier conjunto de reglas activo que la use. McAfee recomienda
duplicar la definición y usar el duplicado en las búsquedas de DLP Capture.
Los conjuntos de datos se pueden crear con los criterios siguientes:
Criterios Definición
Appliances con DLP Capture activado La lista de appliances de McAfee DLP que tienen
activada la función de DLP Capture. Para buscar en
un appliance específico con DLP Capture activado

como parte de un conjunto de datos, deberá

seleccionarlo en el conjunto de datos (o para que el
conjunto de datos sea "todos" los appliances).
Para seleccionar un appliance para un conjunto de
datos, es necesario tener de suficiente espacio de
almacenamiento disponible y debe estar activada la
función DLP Capture en la directiva DLP Capture
Settings (Configuración de DLP Capture).
Si el dispositivo ha capturado datos, pero ha
desactivado la función DLP Capture en la directiva
posteriormente, el appliance seguirá apareciendo en
la lista de conjuntos de datos y los datos capturados
se incluirán en la búsqueda.
Incidente desencadenado Agrega eventos al conjunto de datos que activó un

incidente.
Protocolo Seleccione uno o varios protocolos: FTP, HTTP, IMAP,

IRC, LDAP, POP3, SMB, SMTP, Telnet.
Asunto La línea de asunto de un mensaje de correo

electrónico.
Intervalo de tiempo El periodo de tiempo para el que los eventos se

capturaron, por ejemplo, últimos siete días.
URL La dirección URL para la que los datos se han

cargado, si el evento original era una publicación
web.
ID de VLAN (McAfee DLP Monitor solo ) Muestra la VLAN a la que

se ha enviado el tráfico.
Criterios de correo electrónico El destinatario de correo electrónico o el remitente

del correo electrónico.
Criterios de IP La dirección IP de destino o la dirección IP de origen.

Criterios de puerto El puerto de destino o el puerto de origen.
Criterios de usuario El usuario de destino o el usuario de origen.
Creación de un conjunto de datos
Puede crear conjuntos de datos para reducir el número de elementos que se analizan en las búsquedas de ajuste de regla o de
investigación forense.
Procedimiento
1. En el menú McAfee ePO, seleccione DLP Capture y haga clic en Conjuntos de datos.
2. Seleccione Acciones → Nuevo conjunto de datos.
3. Agregue un nombre y una descripción opcional, y, a continuación, los elementos que el conjunto de datos analizará de
la lista de propiedades disponibles.
El conjunto de datos aparece en la lista que muestra el número de eventos capturados que se analizarán.
5. (Opcional) Si el número de elementos capturados es demasiado grande, seleccione el vínculo del conjunto de datos y
ajuste las propiedades del conjunto de datos; después, haga clic en Actualizar para ver los eventos actualizados.
Búsquedas de DLP Capture

Puede realizar dos tipos de búsqueda en el contenido capturado: Investigación forense o Ajuste de regla.
Búsqueda de investigación forense
Utilice la búsqueda de investigación forense para encontrar contenido capturado que contenga ciertas palabras clave o nombres
de archivo, o que proceda de ciertos usuarios. Por ejemplo, podría buscar una palabra clave en un documento que alguien
concreto del personal haya perdido en la organización.
Las búsquedas de investigación forense buscarán palabras clave en el cuerpo de un mensaje de correo electrónico, los datos
adjuntos del mensaje y algunos encabezados de correo electrónico (De, Para, CC, Asunto, Responder a) utilizando coincidencias
exactas de palabras o frases, o coincidencias parciales (coincidencias inexactas).
Los términos de búsqueda pueden incluir números y caracteres especiales como símbolos matemáticos y monedas, y
operadores lógicos (y/o) para crear búsquedas de varias palabras o frases. También puede buscar archivos específicos por
nombre cuando se mueven en la red, incluidos elementos en archivos de almacenamiento.
Note
Una búsqueda de investigación forense no busca palabras clave en los encabezados de solicitud web.

Para buscar la actividad de un usuario concreto, la función DLP Capture evalúa la pertenencia a LDAP y los grupos. Busca la
información que existe en el momento de crear la búsqueda, en lugar cuando se haya capturado el contenido. Si han cambiado
las entradas en el servidor LDAP, la búsqueda podría no ser capaz de analizar todos los mensajes de correo electrónico o
publicaciones web realizadas por el usuario que le interese. Por ejemplo, podría tener que investigar la actividad de un usuario
que ya haya abandonado la empresa, en cuyo caso, podría haber sido eliminado del servidor LDAP y la búsqueda no podrá
encontrarlo.
Note
Es posible ejecutar una investigación forense sin especificar criterios, pero comparará todos los resultados del conjunto de
datos hasta el límite configurado.
Palabras de detención
Para reducir el número de resultados devueltos, la búsqueda de investigación forense ignora ciertas palabras en todos los
idiomas. Se conocen como palabras de detención e incluyen vocablos como "si", "el", "y" u "o".
Compatibilidad de idioma y derivación de palabras

La función DLP Capture puede analizar el contenido de cualquiera de los idiomas siguientes: inglés, francés, alemán, español,
japonés y chino tradicional.
Al buscar una coincidencia exacta de un texto, se ignoran las selecciones de idioma y solo se busca una coincidencia exacta del
texto que se haya introducido. Sin embargo, si desea buscar una coincidencia inexacta, la búsqueda toma la palabra raíz para
ampliar los resultados. Por ejemplo, al buscar ejecuta también se devolverá ejecutado, o al buscar información se toma la raíz
inform, de modo que se encuentra también informal.
Si selecciona un idioma y busca una palabra de otro idioma admitido, la búsqueda omite el texto en los otros idiomas admitidos.
Si elige buscar en todos los idiomas, se busca todo el texto y se toma la raíz correspondiente. Cualquier sección no identificada
del texto, como los grupos de números o texto en un idioma no admitido, se busca con el término de búsqueda original y no se
toma la raíz.
Note
Si se encuentra un plural o un gerundio de una palabra completa utilizada en una búsqueda, el resultado devolverá todas las
cadenas que contengan la palabra raíz.
Ejemplo de idioma y raíces: palabra clave única, un solo idioma

La palabra clave se activa si el idioma coincide con la entrada y ambos provienen de la misma palabra. Si el idioma de entrada no
se reconoce o no se admite, la palabra clave solo se activará si se trata de una coincidencia exacta.
Selecciones de búsqueda

Idioma de entrada de
Raíces que buscar texto Texto de entrada Se activa (en negrita)
Inglés: saltar Inglés The dog jumps very The dog jumps very
high high
Francés Le chien jumps très Le chien jumps très

haut haut
Ejemplo de idioma y raíces: palabra clave única, varios (cualquiera) idiomas

La palabra clave se deriva en cada idioma admitido. La palabra clave se activa si alguno de los idiomas coincide con la entrada y
la raíz es la misma palabra. Si el idioma de entrada no se reconoce o no se admite, la palabra clave solo se activará si se trata de
una coincidencia exacta.
Selecciones de búsqueda
English: restaurant Inglés Tequila Restaurante is Tequila Restaurante is

French: restaur closing and a new closing and a new
Spanish: restaur restaurant will occupy restaurant will occupy
Unidentified: its space on the its space on the
restaurante downtown square. downtown square.

Francés Découvrez l'actualité, Découvrez l'actualité,

les événements et les les événements et les
menus spéciaux des menus spéciaux des
meilleurs restaurants meilleurs restaurants
de Paris. de Paris.
Español El sector de la El sector de la

restauración ha visto restauración ha visto
incrementada su incrementada su
rentabilidad en un 70% rentabilidad en un 70%
en menos de 5 años. en menos de 5 años.
Ruso (no identificado) Но и голы - это Но и голы - это

тоже еще не все, тоже еще не все,
restaurant что нужно restaurant что нужно
зрителю. Зрителю зрителю. Зрителю
необходимы жертвы необходимы жертвы
- и restaurante чем - и restaurante чем
крупнее, тем лучше. крупнее, тем лучше.
Ejemplo de idioma y derivados: casos especiales

Hay casos en los que es posible que una única palabra clave derive en varias raíces. Esto puede ocurrir si la palabra contiene un
separador, como un guion.
Palabra clave Idioma Raíces que buscar
non-humans Inglés non human
lighthouse-15 Inglés lighthouse 15
Cuando esto ocurre, se agregan raíces como adicionales en una regla de varias palabras clave y se aplica el operador lógico
seleccionado.
Creación de una búsqueda de investigación forense
Puede usar una búsqueda de investigación forense para buscar contenido que no se haya identificado previamente como un
evento de posible fuga de datos.

Procedimiento
1. En McAfee ePO, seleccione Menú → DLP Capture.
2. Seleccione Actions (Acciones) → New Forensic Investigation (Nueva investigación forense).
3. Agregue un nombre y, si lo desea, una descripción para la nueva búsqueda.
4. Seleccione un conjunto de datos existente o cree uno, y haga clic en Aceptar.
El conjunto de datos muestra un número aproximado de elementos capturados que se evaluará con este conjunto de
datos. Si busca en varios appliances, el número que aparece se toma del dispositivo que tenga el mayor número de eventos
para evaluar.
5. Si el número de eventos es demasiado grande para buscarlo en un período de tiempo razonable o demasiado pequeño
para ofrecer un resultado útil, ahora puede editar el conjunto de datos.
Los datos actualizan la evaluación automáticamente.
6. En Max Results to Report (Número máximo de resultados que notificar), especifique la cantidad de resultados que
desea que estén disponibles en la lista Search Results (Resultados de la búsqueda).
7. (Opcional) Seleccione stop search when max results reached (detener búsqueda cuando se alcance el máximo de
resultados) para impedir que la búsqueda analice más eventos que el número especificado en Max Results to Report
(Número máximo de resultados que notificar).
8. (Opcional) Anule la selección de Results: Store original files as evidence (Resultados: almacenar archivos originales
como prueba) para mejorar el rendimiento y reducir la cantidad de datos almacenados.
9. Agregue las condiciones con las que desee buscar.
10. Haga clic en Guardar o en Guardar y ejecutar.
Caso práctico: identificación de la información confidencial enviada a una dirección de correo

electrónico externa
Los detalles de un proyecto secreto llamado "Proyecto faro" han aparecido en la prensa. Deberá investigar cómo se ha producido
la fuga.
Antes de empezar
Identifique un conjunto de datos que abarque una amplia gama de los elementos capturados, como el conjunto de datos
predefinido Último mes [integrado].
Procedimiento
1. En McAfee ePO, abra la función DLP Capture y cree una nueva búsqueda de investigación forense llamada Proyecto faro.
2. Seleccione el conjunto de datos necesario y, a continuación, escriba Proyecto faro como término de búsqueda y ejecute
la búsqueda inmediatamente.
La búsqueda devolverá el número de resultados especificado en Max Results to Report (Resultados máx. para el informe)
y no está claro si alguno de los resultados es el origen de la fuga. Es necesario restringir el conjunto de datos para obtener
mejores resultados.
3. Cree un nuevo conjunto de datos denominado Emails sent externally (Mensajes de correo electrónico enviados
externamente) y excluya a los destinatarios de correo electrónico cuyas direcciones no finalicen con "mydomain.dom".
4. Cree una copia duplicada de la búsqueda del Proyecto faro y asígnele a la nueva versión el nombre Proyecto faro enviado
externamente.

5. Seleccione el conjunto de datos Emails sent externally (Mensajes de correo electrónico enviados externamente), y guarde
y ejecute la búsqueda de inmediato.
La nueva búsqueda genera una lista menor de resultados que analizar, por lo que resulta más fácil identificar posibles
orígenes de la fuga de datos.
Ajuste de las reglas
Puede utilizar la función DLP Capture para ajustar sus clasificaciones y las reglas de protección de correo electrónico, protección
web y protección de comunicaciones de la red implementadas en los appliances de McAfee DLP a fin de evitar falsos positivos
o negativos. La función de ajuste de reglas analiza los datos capturados en lugar de los datos activos para que pueda modificar
la configuración o la clasificación de reglas hasta que devuelvan el tipo de resultados que desee, sin que ello afecte al análisis de
los datos activos.
Puede o bien guardar una regla existente como una búsqueda de ajuste de regla, ajustarla y, a continuación, usarla para omitir
una regla existente, o bien crear una búsqueda de ajuste de regla antes de crear una nueva regla, ajustar la configuración hasta
que esté satisfecho con los resultados y guardarla como una regla nueva.
Si elige omitir una regla existente, las opciones Enforced on (Implementada en) y Reacciones permanecen iguales.
Reglas que se pueden ajustar
Regla McAfee DLP Prevent McAfee DLP Monitor
Protección de correo electrónico Sí Sí
Protección web Sí Sí
Protección de comunicaciones de No Sí
la red Si ajusta una regla de protección
de comunicaciones de la red en
un appliance de McAfee DLP
Prevent, se produce un error
con el motivo Rule Type Not
Applicable (Tipo de regla no
aplicable).

Important
Si cambia las definiciones o la configuración de clasificación en una búsqueda de ajuste de regla, estos cambios se aplican
a la configuración de los elementos activos equivalentes. Por ejemplo, si agrega un término a una clasificación en una
búsqueda de ajuste de regla, es posible que comience a activarse en la regla activa. McAfee recomienda duplicar la
clasificación o la definición, y usar el duplicado mientras ajusta la regla. A continuación, se puede utilizar para sustituir
el elemento original en las reglas activas cuando obtenga los resultados que desea.
Creación de una búsqueda de ajuste de regla
Pruebe una regla nueva antes de agregarla a un conjunto de reglas activas; para ello, cree una búsqueda de ajuste de regla.
Procedimiento
2. Seleccione Actions (Acciones) → New Rule Tuning (Nuevo ajuste de regla) y, después, seleccione el tipo de búsqueda
de ajuste de regla que desee crear: Email Protection (Protección de correo electrónico), Network Communication
Protection (Protección de comunicaciones de la red) o Web Protection (Protección web).
3. Agregue un nombre y, si lo desea, una descripción para la nueva búsqueda.
4. Seleccione un conjunto de datos existente o cree uno, y haga clic en Aceptar.
El conjunto de datos muestra un número aproximado de elementos capturados que se evaluará con este conjunto de
datos. Si busca en varios appliances, el número que aparece se toma del dispositivo que tenga el mayor número de eventos
para evaluar.
5. Si el número de eventos es demasiado grande para buscarlo en un período de tiempo razonable o demasiado pequeño
para ofrecer un resultado útil, ahora puede editar el conjunto de datos.
Los datos se actualizan automáticamente.
6. En Max Results to Report (Número máximo de resultados que notificar), especifique la cantidad de resultados que
desea que estén disponibles en la lista Search Results (Resultados de la búsqueda).
7. (Opcional) Seleccione stop search when max results reached (detener búsqueda cuando se alcance el máximo de
resultados) para impedir que la búsqueda analice más eventos que el número especificado en Max Results to Report
(Número máximo de resultados que notificar).
8. (Opcional) Anule la selección de Results: Store original files as evidence (Resultados: almacenar archivos originales
como prueba) para mejorar el rendimiento y reducir la cantidad de datos almacenados.
9. Agregue las condiciones que se desee aplicar a la búsqueda de ajuste de regla y haga clic en Guardar.
10. Para agregar excepciones, haga clic en Exceptions (Excepciones) y seleccione Actions (Acciones) → Add Rule Exception
(Agregar excepción de regla) y haga clic en Guardar o en Guardar y ejecutar.
Guardar una búsqueda de ajuste de regla como una regla
Cree una búsqueda de ajuste de regla que pueda guardar como una nueva regla de correo electrónico, de web o de protección
de comunicaciones de la red, o bien invalide una regla existente.
Antes de empezar
Compruebe que el usuario tiene permisos para utilizar el Administrador de directivas de DLP.

Procedimiento
1. En McAfee ePO, seleccione Menú → DLP Capture y cree una nueva búsqueda de ajuste de regla o identifique una
existente que desee guardar.
2. En la Search List (Lista de búsqueda), seleccione la búsqueda de ajuste de regla que desee guardar y, después,
seleccione Acciones → Save as Rule (Guardar como regla).
3. Seleccione una de las opciones siguientes y, después, haga clic en Aceptar.
• Crear nueva regla: (opción predeterminada) seleccione un conjunto de reglas existente para guardar la regla o cree
uno nuevo.
• Override existing Rule (Omitir la regla existente): esta opción está disponible si la búsqueda se creó originalmente
al guardar una regla o si la búsqueda (opcional) se guardó como una nueva regla y desea actualizarla. Seleccione
esta opción para guardar la nueva versión de la regla y descartar la regla existente. Puede elegir conservar el
nombre actual y la descripción, o bien crear otros nuevos.
4. En la página de la regla, especifique la reacción, gravedad y configuración de estado, y, a continuación, haga clic en
Guardar.
La regla aparece en el conjunto de reglas en el Administrador de directivas de DLP.
Resultados
(Opcional) Si desea realizar más cambios en la regla sin que ello afecte el análisis de datos actuales, puede seleccionarlo en el
conjunto de reglas y hacer clic en Save as Capture Search (Guardar como búsqueda de captura). Puede repetir este proceso de
guardar la regla como una búsqueda de captura y realizar cambios hasta que esté satisfecho con la nueva configuración de la
regla.
Guarde una regla existente como una búsqueda de DLP Capture
Guarde una regla de protección de comunicaciones de la red, de la web o de correo electrónico como una búsqueda de ajuste de
regla para experimentar con sus opciones de configuración sin que ello afecte el análisis de los datos activos. Puede guardar la
nueva versión de la regla para volver a sus reglas activas como una regla nueva o sustituir la regla existente.
Note
Guardar una regla de protección de comunicaciones de la red, de correo electrónico o web como una búsqueda de ajuste de
regla solo se admite para las reglas que se implementan en appliances de McAfee DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de directivas de DLP.
2. Haga clic en la ficha Conjuntos de reglas.
3. Seleccione el conjunto de reglas que contenga la regla que desee guardar y, a continuación, selecciónela en las reglas
de protección de datos.
La regla debe ser implementada en un appliance de McAfee DLP.
4. Seleccione Acciones → Save as Capture Search (Guardar como búsqueda de captura).
5. En la página Capture Search (Búsqueda de captura) → Rule Tuning (Ajuste de regla), modifique la configuración para
ajustar la regla.

6. Haga clic en Guardar o en Guardar y ejecutar.

7. Cuando el evento de búsqueda muestre Finalizado, compruebe los resultados para ver si necesita realizar más
cambios.
8. Cuando esté satisfecho con los resultados que se obtiene de la regla, haga clic en Actions (Acciones) → Save as Rule
(Guardar como regla) y cree una nueva regla a partir de ella o bien omita la regla original en el conjunto de reglas.
Caso práctico: ajuste de una regla para eliminar los falsos positivos
Una regla denominada Bloquear información de PCI en el conjunto de reglas Proteger datos financieros identifica un gran número de
falsos positivos.
Antes de empezar
Seleccione el conjunto de datos predefinido Últimas 24 horas para este ejemplo y especifique los appliances en los que desee
realizar la búsqueda.
Procedimiento
1. En el Administrador de directivas de DLP, abra el conjunto de reglas Proteger datos financieros y convierta la regla
Bloquear información de PCI en una búsqueda de captura.
2. Seleccione el conjunto de datos Últimas 24 horas y guarde y ejecute la búsqueda.
3. Compruebe los resultados de la búsqueda.
La mayoría de los resultados son de los correos electrónicos enviados desde el departamento de finanzas a destinatarios
internos o al dominio partner.dom de confianza. Estos son los mensajes de correo electrónico legítimos que activan los
falsos positivos.
4. Cree una excepción a la regla Bloquear información de PCI que excluya los mensajes enviados desde los miembros de un
grupo LDAP de finanzas a los destinatarios de la lista de direcciones de correo electrónico "Destinatarios de confianza".
Note
Recuerde habilitar la excepción.
5. Vuelva a ejecutar la búsqueda y revise los resultados.

Se reduce el número de falsos positivos.
6. Guarde la búsqueda en una regla y elija reemplazar la regla original.
La lista de búsqueda y los resultados de búsqueda

La función de DLP Capture muestra información acerca de cada búsqueda configurada en la Lista de búsquedas. Desde
esta página, puede crear nuevas búsquedas y editar la configuración de búsqueda existente. También puede seleccionar una
búsqueda para ver sus resultados y exportarlos. Desde los resultados de la búsqueda, puede seleccionar un resultado individual
y ver sus detalles.
La lista de búsquedas
Puede ejecutar hasta cinco búsquedas al mismo tiempo. Si intenta ejecutar más de cinco al mismo tiempo, las posteriores se
ponen en cola hasta que concluye el número necesario de búsquedas anteriores.

Cada búsqueda tiene un estado, como En curso, Cancelado, Iniciando o Finalizado. El estado Iniciando se muestra hasta que
uno de los appliances del conjunto de datos recibe la acción Ejecutar, cuando el estado cambia a En curso. También puede ver
cuándo se inició la búsqueda, la cantidad de tiempo transcurrido y el número de coincidencias positivas que activó.
Cada entrada de búsqueda en la lista muestra el número de dispositivos que se buscará con este conjunto de datos y
los resultados de la búsqueda. También hay algunas acciones relacionadas con la búsqueda: Eliminar, Duplicar, Ejecutar o
Cancelar.
Si cancela una búsqueda mientras se encuentra en curso, el número de resultados sigue aumentando durante un tiempo
hasta que el propio appliance la detiene. No es posible editar una búsqueda que está en curso hasta que todos los appliances
del conjunto de datos hayan recibido el comando Cancelar. Una búsqueda no se puede ejecutar si hace referencia a un solo
dispositivo no disponible.
Important
Al eliminar búsqueda de la lista, se quitan de la carpeta de pruebas los resultados de la búsqueda y todos sus elementos
de prueba relacionados. De manera similar, si vuelve a ejecutar una búsqueda, se eliminarán todos los elementos de las
pruebas y los resultados desde la última vez que se ejecutó. Si intenta volver a realizar una búsqueda en curso, se eliminan
los resultados originales y comienza una nueva ejecución de la misma búsqueda.
Es posible exportar los resultados de búsqueda en dos archivos. Uno contiene un resumen de los resultados y el otro ofrece
información detallada acerca de cada coincidencia positiva.
Si exporta los resultados de la lista de búsqueda, los dos archivos contienen los resultados de cada appliance en el que se
realizara la búsqueda como parte del conjunto de datos. Si desea exportar los resultados de la lista de appliances, puede
seleccionar uno o varios appliances a fin de descargar los resultados.
Existen algunas opciones adicionales disponibles para cada búsqueda dentro de la lista.
• Para ver o editar una configuración de búsqueda, simplemente seleccione el nombre de la búsqueda. Si realiza cambios
en la configuración, puede guardarlos para ejecutarlos más tarde o realizar la búsqueda con la configuración actualizada
de forma inmediata.
• Para ver información sobre los resultados de los appliances que forman parte del conjunto de datos especificado
y ver su estado, seleccione el vínculo de appliances. En Lista de appliances de búsqueda, puede ver el estado de
mantenimiento actual de los appliances (no su estado de mantenimiento en el momento en que se ejecutó la búsqueda)
y vincularlo a la función Administración de appliances para obtener información más detallada sobre el estado.
También puede exportar un resumen de los resultados de uno o varios appliances.
• Para cualquier búsqueda que produjera resultados, puede seleccionar la cantidad para obtener más información acerca
de esos resultados.
Resultados de la búsqueda
De forma predeterminada, en Resultados de la búsqueda se muestran los 100 primeros resultados de cada appliance en un
conjunto de datos. Por ejemplo, si el conjunto de datos incluye cinco appliances, puede esperar ver hasta 500 resultados. Sin
embargo, puede especificar un número de resultados diferente que se mostrarán al crear la búsqueda.

La selección de las opciones Max Results to Report (Resultados máx. para el informe) y Stop search when max results reached
(Detener búsqueda cuando se ha alcanzado el máximo de resultados) cuando se crea una búsqueda de investigación forense o
de ajuste de regla afecta a los resultados que se ven en la lista de resultados de la búsqueda.
Por ejemplo, si tiene un appliance en un conjunto de datos y los criterios de búsqueda coinciden con 150 elementos, la opción
Max Results to Report (Resultados máx. para el informe) se establece en 100 y se selecciona la opción stop search when max
results reached (Detener búsqueda cuando se ha alcanzado el máximo de resultados), el número de resultados en la ficha
Resultados, la columna Resultados en la lista Búsqueda, la lista Search Appliances (Buscar en appliances) y los archivos de
resultados son todos 100. Sin embargo, si la opción stop search when max results reached no está seleccionada, verá 100
resultados en la ficha Results, pero se informará de 150 resultados en el archivo de resultados, la columna Results de la lista
Search y la lista Search Appliances.
Seleccione un resultado para obtener más información sobre él, así como cualquier prueba asociada y las clasificaciones que
activó. Cada resultado tiene un número de identificación individual y muestra el producto de generación de informes y otra
información, como el tipo de regla que activó y las clasificaciones.
Si un elemento capturado realiza una comparación con cualquier búsqueda de ajuste de regla o de investigación forense, puede
crear un incidente para ese resultado que aparezca en el Administrador de incidentes de DLP. Los detalles del elemento
capturado se incluyen en el incidente de la misma manera que si hubiera activado una regla. También puede seleccionar uno o
varios resultados para agregar a un caso nuevo o existente.
Detalles de los resultados de la búsqueda

Haga clic en un ID de resultado en Resultados de la búsqueda para obtener información detallada sobre ese resultado
individual, incluidas las clasificaciones que desactivó y las pruebas asociadas. Puede anular la selección de la opción para
recopilar las pruebas en la configuración de la búsqueda si desea evitar implicaciones en el almacenamiento y el rendimiento.
Note
Los detalles del resultado del ajuste de una regla le indicarán cualquier clasificación activada, pero no incluirá los detalles de
la regla de activación.
El resultado se puede agregar a un incidente, exportar en un archivo de informe o agregarse a un caso nuevo o existente. Si
decide crear un incidente para el resultado, se agrega un vínculo a un incidente a los detalles de los resultados.
Exportación de los resultados de una búsqueda seleccionada
En la vista Lista de búsqueda, puede seleccionar una búsqueda y exportar sus resultados en dos archivos.
Procedimiento
2. En la Lista de búsqueda, seleccione la búsqueda que contenga los resultados que desee exportar y haga clic en
Acciones → Export Results Summary (Exportar resumen de resultados).

Exportación de los resultados de búsqueda de appliances específicos
Puede exportar los resultados de búsqueda de uno o varios appliances en dos archivos de resultados.
Procedimiento
2. En la Lista de búsqueda, haga clic en el vínculo de appliances correspondiente a la búsqueda cuyos resultados desee
exportar.
3. En la Lista de appliances de búsqueda, seleccione los appliances que contengan los resultados que desee exportar y
haga clic en Acciones → Export Results Summary (Exportar resumen de resultados).
Resultados
Se crea un archivo zip que contiene los resultados del resumen y los resultados detallados de cada appliance seleccionado.
Exportar resultados seleccionados
Exporte uno o varios de los resultados de búsqueda y las pruebas.
Procedimiento
2. En la Lista de búsqueda, encuentre la búsqueda cuyos resultados desee exportar y haga clic en el vínculo de número de
resultados.
3. En Resultados de la búsqueda, seleccione los resultados que desee incluir y haga clic en Acciones → Export selected
results (Exportar resultados seleccionados).
4. Especifique el tipo de detalles que desee exportar, dónde desea almacenarlos y si desea recibir una notificación cuando
finalice la exportación; a continuación, haga clic en Exportar.
Creación de un incidente a partir de un resultado
Es posible crear un incidente a partir de la vista Search Results Details (Detalles de los resultados de la búsqueda) o de un
resultado seleccionado en la lista de búsquedas.
Procedimiento
2. En la Lista de búsqueda, encuentre la búsqueda cuyos resultados desee agregar a un incidente y haga clic en el vínculo
del número de resultados.
3. En Resultados de la búsqueda, seleccione el resultado y haga clic en Acciones → Create Incident (Crear incidente) o bien
haga clic en un Result ID (ID de resultado) concreto y haga clic en Acciones → Create Incident (Crear incidente).
Resultados
Se agregará un incidente al Administrador de incidentes de DLP además de un vínculo a él en los detalles del resultado
seleccionado.

Adición de los resultados de la búsqueda a un caso
Desde la vista de Resultados de búsqueda o desde la vista de Detalles de los resultados de la búsqueda, puede agregar uno o
varios de los resultados de búsqueda a un caso nuevo o existente.
Procedimiento
2. En la Lista de búsqueda, encuentre la búsqueda cuyos resultados desee agregar a un caso y haga clic en el vínculo de
número de resultados.
3. En los Resultados de la búsqueda, seleccione uno o más resultados y haga clic en Acciones → Administración de casos o
haga clic en un ID de resultado en concreto y haga clic en Acciones → Administración de casos.
4. Seleccione una de las opciones siguientes:
• Agregar a un caso existente: seleccione el caso al que desee agregar los resultados y haga clic en Aceptar.
• Agregar a un nuevo caso: proporcione un título para el caso y especifique el propietario, el estado, la resolución y
la prioridad y haga clic en Aceptar.
Resultados
Se crea automáticamente un incidente y se añade al caso.

12| Incidentes, eventos y casos
Incidentes, eventos y casos

Incidentes y eventos operativos
Existen distintas herramientas disponibles para visualizar los incidentes y eventos operativos.
• Incidentes: el módulo Administrador de incidentes de DLP muestra los incidentes generados a partir de las reglas.
McAfee DLP Endpoint, Device Control, McAfee DLP Prevent, McAfee DLP Monitor, Cloud DLP, y MVISION Cloud
implementan reglas y envían incidentes al Administrador de incidentes de DLP.
• Eventos operativos: el módulo Operaciones de DLP muestra errores e información administrativa. McAfee DLP
Discover, McAfee DLP Endpoint y McAfee DLP Prevent envían eventos a Operaciones de DLP.
• Casos: el módulo de Administración de casos de DLP contiene los casos que se han creado para agrupar y administrar
los incidentes relacionados.
Cuando se instalan varios productos de McAfee DLP, las consolas muestran incidentes y eventos de todos los productos.
La pantalla del Administrador de incidentes de DLP y de Operaciones de DLP puede incluir información sobre el equipo y el
usuario con sesión iniciada que han generado el incidente/evento, la versión del cliente, el sistema operativo y otros detalles.
También se pueden establecer definiciones de solución y estado personalizados. La definición está formada por un nombre
personalizado y un código de color, y puede tener el estado activado o desactivado. Las definiciones personalizadas se
deben agregar y activar mediante Configuración de DLP en la página Administrador de incidentes, Centro de operaciones
o Administración de casos antes de poder utilizarlas.
Registro de eventos con syslog

• Puede enviar ciertos eventos mediante el protocolo syslog a un servidor de syslog. Configura el servidor de syslog en
la configuración del cliente de Windows en la página Depuración y registro. Los eventos se envían según si se han
configurado las reglas que desencadenan los eventos o no. La siguientes acciones se envían automáticamente cuando se
activa Enviar eventos de syslog de DLP al servidor de syslog:
Impresión
Copiar a almacenamiento extraíble
Carga de un archivo en la web
Carga de un archivo en la nube
Enviar correo electrónico
Conectar o desconectar un dispositivo Plug and Play
Conectar o desconectar un dispositivo de almacenamiento extraíble
Interesados
Un interesado es cualquier persona con un interés en un incidente, evento o caso concreto. Los interesados suelen ser
administradores de DLP, revisores de casos, otros administradores o usuarios con incidentes. McAfee DLP envía un correo
electrónico automático a los interesados cuando se crea o se modifica un incidente, un evento o un caso. También puede
agregar interesados automáticamente a la lista, por ejemplo, cuando se asigna un revisor a un caso. El administrador también
puede agregar manualmente interesados a incidentes, eventos o casos específicos.

Los detalles del correo electrónico automático se establecen en Configuración de DLP. Las opciones de las páginas Gestor de
incidentes, Centro de operaciones y Gestión de casos determinan si se envían mensajes de correo electrónico automáticos y a
quién se añade automáticamente a la lista de interesados. El administrador puede agregar interesados manualmente desde los
módulos Administrador de incidentes de DLP, Operaciones de DLP o Administración de casos de DLP.
Supervisión y generación de informes

Los productos de McAfee DLP dividen los eventos en dos clases: incidentes (es decir, violaciones de directivas) y eventos
administrativos. Estos eventos se ven en las dos consolas, Administrador de incidentes de DLP y Operaciones de DLP.
Cuando un producto de McAfee DLP determina que se ha producido una infracción de directivas, genera un evento y lo envía al
Analizador de eventos de McAfee ePO. Estos eventos se pueden ver, filtrar y clasificar en la consola Administrador de incidentes
de DLP, lo que permite a los responsables de la seguridad o a los administradores ver los eventos y responder inmediatamente.
En caso necesario, se adjunta el contenido sospechoso como prueba del evento.
Como los productos de McAfee DLP son fundamentales en la estrategia de una empresa para cumplir todas las normativas
y la legislación que protege los datos confidenciales, el Administrador de incidentes de DLP presenta la información sobre
la transmisión de información de carácter confidencial de forma precisa y flexible. Los auditores, responsables de firmas,
administradores de información de carácter confidencial y otros empleados relevantes pueden utilizar el Administrador de
incidentes de DLP para observar actividades sospechosas o no autorizadas, y actuar conforme a la política de privacidad de la
empresa, a las normativas correspondientes y a otras leyes aplicables.
El administrador del sistema o el responsable de la seguridad pueden seguir los eventos administrativos relativos a los agentes y
al estado de distribución de directivas.
En función de los productos de McAfee DLP que utilice, la consola de Operaciones de DLP puede mostrar errores, cambios de
directivas, omisiones de agentes y otros eventos administrativos.
Puede configurar el envío de una notificación por correo electrónico a las direcciones especificadas cada vez que se actualicen
los incidentes, los casos y los eventos operativos.
Administrador de incidentes de DLP/Operaciones de DLP

Utilice el módulo Administrador de incidentes de DLP de McAfee ePO para ver los eventos de seguridad correspondientes a
las infracciones de directivas. Utilice Operaciones de DLP para ver información administrativa, como, por ejemplo, la información
sobre el despliegue en los clientes.
El Administrador de incidentes de DLP tiene tres páginas con fichas. En cada página, la lista desplegable Presente determina el
conjunto de datos que se muestra: Datos en uso/movimiento, Datos en reposo (endpoint) o Datos en reposo (red).
• Análisis: una pantalla con seis gráficos que resumen la lista de incidentes. Cada gráfico tiene un filtro para ajustar lo que
aparece en pantalla. Los gráficos muestran lo siguiente:
10 conjuntos de reglas principales

Incidentes por tipo

10 usuarios con infracciones principales

Número de incidentes al día
10 destinos principales
10 clasificaciones principales
• Lista de incidentes: la lista actual de eventos de infracción de directiva.

• Tareas de incidente: una lista de acciones que puede realizar en la lista o las partes seleccionadas de esta. Incluyen la
asignación de revisores a los incidentes, la configuración de notificaciones automáticas por correo electrónico y la purga
de toda la lista o parte de ella.
• Historial de incidentes: una lista que contiene todos los incidentes históricos. La purga de la lista de incidentes no afecta
al historial.
Operaciones de DLP tiene cuatro páginas con fichas:
• Lista de eventos operativos: la lista actual de eventos administrativos.

• Tareas de eventos operativos: una lista de acciones que puede realizar en la lista o las partes seleccionadas de esta,
similar a las tareas de incidentes.
• Historial de eventos operativos: una lista que contiene todos los eventos históricos.
• Información de usuario: muestra datos de la tabla de información de usuarios.
Para acceder a información detalla, basta con seleccionar un incidente o evento específico.
Información del usuario

La página Información de usuario muestra datos de la tabla de información de usuarios. Esta tabla se rellena automáticamente
a partir de la información de usuarios de los incidentes y los eventos operativos. Es posible agregar información más detallada
mediante la importación desde un archivo CSV.
La información mostrada suele incluir el nombre principal del usuario (nombre_usuario@xyz), el nombre de inicio de sesión del
usuario, la unidad operativa del usuario, el nombre, los apellidos, el correo electrónico principal del usuario, el administrador
del usuario, el departamento y la unidad de negocio. La lista completa de campos disponibles se puede consultar mediante el
comando Editar de la opción Ver.
Cómo funciona el Administrador de incidentes
La ficha Lista de incidentes de Administrador de incidentes de DLP tiene todas las funciones necesarias para revisar los
incidentes relacionados con infracciones de directivas. Los detalles de los eventos se pueden ver al hacer clic en un evento
específico. Puede crear y guardar los filtros para modificar la vista o utilizar los filtros predefinidos del panel izquierdo. También
puede modificar la vista al seleccionar y ordenar las columnas. Los iconos con codificación de colores y las calificaciones
numéricas de gravedad facilitan un análisis visual rápido de los eventos.
Note
Para mostrar el Nombre principal del usuario y el Nombre de inicio de sesión de usuario en los incidentes de appliances de
McAfee DLP, agregue un servidor LDAP a la directiva de Administración de appliances de DLP (categoría Usuarios y grupos).
Es necesario hacer esto aunque sus reglas de protección de correo electrónico no empleen LDAP.

La ficha Lista de incidentes se emplea con la función Consultas e informes de McAfee ePO para crear informes de appliances
de McAfee DLP Endpoint y McAfee DLP, y muestra los datos en los paneles de McAfee ePO.
Las operaciones que se pueden realizar en los eventos incluyen:
• Administración de casos: crear casos y agregar los incidentes seleccionados a un caso.

• Comentarios: agregar comentarios a los incidentes seleccionados.
• Enviar eventos por correo electrónico: enviar los eventos seleccionados.
• Exportar parámetros del dispositivo: exportar los parámetros del dispositivo a un archivo CSV (solo lista de Datos en
uso/movimiento).
• Etiquetas: definir una etiqueta para el filtrado.
• Liberar redacción: eliminar la redacción para ver los campos protegidos (requiere el permiso correcto).
• Definir propiedades: editar la gravedad, el estado o la solución; asignar un usuario o un grupo para la revisión de
incidentes.
Administrador de incidentes de DLP
La página Operaciones de DLP se utiliza de forma idéntica con los eventos administrativos. Los eventos contienen información
como, por ejemplo, el motivo por el que se generó el evento y el producto de McAfee DLP que lo notificó. También puede
incluir información del usuario relacionada con el evento, por ejemplo, el nombre de inicio de sesión del usuario, el nombre
principal de este (nombredeusuario@xyz), o el administrador de usuarios, el departamento o la unidad de negocio. Los eventos
operativos se pueden filtrar por cualquiera de las opciones siguientes, así como por otros parámetros, por ejemplo, la gravedad,
el estado, la versión de cliente o el nombre de directiva, entre otros.

Operaciones de DLP
Tareas de incidentes y de eventos operativos

Use la ficha Tareas de incidentes o Tareas de eventos operativos para definir los criterios de las tareas planificadas. La
configuración de tareas en las páginas funciona mediante la función Tareas servidor de McAfee ePO para la planificación de
tareas.
Las fichas de ambas tareas se organizan por tipo de tarea (panel izquierdo). La ficha Tareas de incidentes también se organiza
por tipo de incidente, de modo que resulta una matriz de 4 × 3, y la información que se muestra depende de los dos parámetros
seleccionados.
Datos en
Datos en uso/ Datos en reposo Datos en reposo uso/movimiento
movimiento (endpoint) (red) (historial)
Definir revisor X X X
Notificación X X X
de correo
automática
Purgar eventos X X X X
Purgar archivos X X X X
de pruebas
Caso práctico: Configuración de propiedades

Las propiedades son datos que se añaden a un incidente que requiere un seguimiento. Puede agregar las propiedades desde el
panel de detalles del incidente o seleccionando Acciones → Definir propiedades. Las propiedades son:
• Gravedad
• Estado
• Solución

• Grupo revisor
• Usuario revisor
El revisor puede ser cualquier usuario de McAfee ePO. El motivo por el cual es posible cambiar la gravedad es que, en caso de
que el administrador determine que el estado es un falso positivo, la gravedad original dejará de tener sentido.
Caso práctico: Cambio de la vista

Además de utilizar los filtros para cambiar la vista, también puede personalizar los campos y el orden de visualización. Las vistas
personalizadas se pueden guardar y utilizar de nuevo.
La creación de un filtro implica las siguientes tareas:
1. Para abrir la ventana de edición de la vista, haga clic en Acciones → Vista → Elegir columnas.
2. Para mover las columnas a la izquierda o a la derecha, use el icono x para eliminar columnas y los iconos de flechas.
3. Para aplicar la vista personalizada, haga clic en Actualizar vista.
4. Para guardarla para usarla en el futuro, haga clic en Acciones → Vista → Guardar vista.
Note
Al guardar la vista también puede guardar la hora y los filtros personalizados. En la lista desplegable de la parte
superior de la página, puede seleccionar las vistas guardadas.
Trabajar con incidentes
Cuando McAfee DLP recibe datos que coinciden con los parámetros definidos en una regla, se desencadena una infracción y
McAfee DLP genera un incidente.
El Administrador de incidentes de DLP permite ver, ordenar, agrupar y filtrar incidentes en McAfee ePO para localizar
infracciones importantes. Puede ver los detalles de los incidentes o eliminar los incidentes que no sean útiles.
Incidentes de conexión de dispositivo

Dos opciones del menú Acciones de la Lista de incidentes permiten trabajar con incidentes de conexión de los dispositivos.
Crear plantilla de dispositivo crea una definición de dispositivo a partir de un incidente de conexión de dispositivo. Esta opción
solo está disponible cuando se selecciona un único incidente de conexión de dispositivo. Si selecciona más de un incidente o
un incidente que no sea de conexión de dispositivo, un mensaje emergente le informará de su error. Exportar información
de dispositivo a CSV guarda la información de uno o varios incidentes de conexión de dispositivo. Es posible importar la
información de dispositivos guardada desde la página Administrador de directivas de DLP → Definiciones → Plantillas de
dispositivo.
Ver incidentes
El Administrador de incidentes de DLP muestra todos los incidentes de los que han informado las aplicaciones de McAfee DLP.
Puede modificar el modo en que aparecen los incidentes para ayudarle a localizar las infracciones importantes de forma más
eficaz.

El campo Presente del Administrador de incidentes de DLP muestra los incidentes en función de la aplicación que los generó:
• Datos en uso/movimiento
McAfee DLP Endpoint
Device Control
McAfee DLP Prevent
McAfee DLP Monitor
• Datos en reposo (endpoint): descubrimiento de McAfee DLP Endpoint

• Datos en reposo (red): McAfee DLP Discover
Cuando McAfee DLP procesa un objeto (como un mensaje de correo electrónico) que activa varias reglas, el Gestor de incidentes
de DLP reúne y muestra las infracciones como un incidente, en lugar de como varios independientes.
Cómo ordenar y filtrar los incidentes
Ordene cómo aparecen los incidentes basándose en atributos como la hora, la ubicación, el usuario o la gravedad.
Procedimiento
1. En McAfee ePO, seleccione Gestor de incidentes de DLP.
2. En la lista desplegable Presente, seleccione la opción para su producto.
3. Realice alguna de las tareas siguientes desde las pestañas Lista de incidentes o Historial de incidentes.
• Para ordenar por columna, haga clic en un encabezado de columna.

• Para cambiar las columnas a una vista personalizada, seleccione una vista personalizada en la lista desplegable
Ver.
• Para filtrar por tiempo, seleccione un espacio de tiempo en la lista desplegable Tiempo.
• Para aplicar un filtro personalizado, selecciónelo en la lista desplegable Filtro o haga clic en Editar para crearlo.
Note
Las propiedades disponibles para los filtros se seleccionan en una lista de propiedades de McAfee ePO y
McAfee DLP.
• Para agrupar según el atributo:

En la lista desplegable Agrupar por, seleccione un atributo. Aparecerá una lista de opciones disponibles. La
lista incluye hasta 250 de las opciones más habituales.
Seleccione una opción de la lista. Se mostrarán los incidentes que coincidan con la selección.
Ejemplo
Si trabaja con incidentes de McAfee DLP Endpoint, seleccione ID de usuario para mostrar los nombres de los usuarios que han
desencadenado las infracciones. Seleccione un nombre de usuario para ver todos los incidentes de dicho usuario.

Configurar vistas de columna
Utilice las vistas para organizar el tipo y el orden de las columnas que se muestran en el administrador de incidentes.
Procedimiento
1. En McAfee ePO, seleccione Administrador de incidentes de DLP.
3. En la lista desplegable Vista, seleccione Predeterminado y haga clic en Editar.
4. Configure las columnas.
a. En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnas seleccionadas.
b. En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario.
• Para eliminar una columna, haga clic en x.

• Para mover una columna, haga clic en los botones de flecha, o arrastre y suelte la columna.
c. Haga clic en Actualizar vista.
5. Configure los ajustes de la vista.
a. Junto a la lista desplegable Vista, haga clic en Guardar.
b. Seleccione una de estas opciones:
• Guardar como vista nueva: Especifique un nombre para la vista.

• Omitir la vista existente: Seleccione la vista que desea guardar.
c. Seleccione quién puede utilizar la vista.
• Público: Cualquier usuario puede utilizar la vista.

• Privado: Solo el usuario que creó la vista puede utilizarla.
d. Especifique si desea que se apliquen los filtros o las agrupaciones actuales a la vista.
e. Haga clic en Aceptar.
Resultados
Note
También puede gestionar las vistas en el administrador de incidentes seleccionando Acciones → Vista.
Creación de una tarea de definición de revisor
Puede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir la carga de trabajo en organizaciones
de gran tamaño.
Antes de empezar
En McAfee ePO Gestión de usuarios → Conjuntos de permisos, cree un revisor o designe un revisor de grupo con permisos
Definir revisor para Gestor de incidentes de DLP y Operaciones de DLP.
La tarea Definir revisor asigna un revisor a los incidentes o eventos según los criterios de la regla. La tarea solo se ejecuta en los
incidentes donde no se ha asignado un revisor. No puede utilizarla para reasignar incidentes a otro revisor.

Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestor de incidentes de DLP o Menú → Protección de datos
→ Operaciones de DLP.
2. Haga clic en las pestañas Tareas de incidentes o Tareas de evento operativo.
• Para McAfee DLP Endpoint: seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija
Definir revisor en el panel Tipo de tarea y, a continuación, haga clic en Acciones → Nueva regla.
• En McAfee DLP Discover: seleccione en la lista desplegable la opción Datos en reposo (red).
4. Introduzca un nombre y, si lo desea, una descripción. Seleccione un revisor o un grupo y, a continuación, haga clic en
Siguiente.
Las reglas se habilitan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecución de la regla.
5. Haga clic en > para añadir criterios y en < para eliminarlos. Defina los parámetros Comparación y Valor. Cuando haya
acabado de definir los criterios, haga clic en Guardar.
Tip
Si hay varias reglas de Definir revisor, puede volver a ordenarlas en la lista.
Resultados
Note
La tarea se ejecuta cada hora.
No puede omitir el revisor mediante una tarea de Definir revisor una vez que se ha establecido el revisor.
Configurar filtros de incidentes
Utilice los filtros para mostrar los incidentes que coinciden con los criterios especificados.
McAfee DLP Endpoint Ejemplo: Sospecha que un usuario concreto ha estado enviando conexiones que contenían datos
confidenciales a un intervalo de direcciones IP fuera de la empresa. Puede crear un filtro para mostrar los incidentes que
coinciden con el nombre de usuario y el intervalo de direcciones IP.
Procedimiento
3. En la lista desplegable Filtro, seleccione (sin filtro personalizado) y haga clic en Editar.
4. Configure los parámetros de filtros.
a. En la lista Propiedades disponibles, seleccione una propiedad.
b. Introduzca el valor para la propiedad.
Note
Para agregar valores adicionales a la misma propiedad, haga clic en +.

c. Seleccione más propiedades según sea necesario.
Note
Para eliminar una entrada de propiedad, haga clic en <.
d. Haga clic en Actualizar filtro.

5. Configure los ajustes de filtros.
a. Junto a la lista desplegable Filtro, haga clic en Guardar.
b. Seleccione una de estas opciones:
• Guardar como filtro nuevo: Especifique un nombre para el filtro.

• Omitir filtro existente: Seleccione el filtro que desea guardar.
c. Seleccione quién puede utilizar el filtro.
• Público: Cualquier usuario puede utilizar el filtro.

• Privado: Solo el usuario que creó el filtro puede utilizarlo.
d. Haga clic en Aceptar.
Resultados
Note
También puede gestionar los filtros en el administrador de incidentes seleccionando Acciones → Filtro.
Ver detalles del incidente
Consulte la información relacionada con un incidente.
Procedimiento
3. Haga clic en un ID de incidente.
La página muestra detalles generales e información de origen. Según el tipo de incidente que seleccione, se mostrarán los
detalles del destino o del dispositivo.
La página muestra detalles generales sobre el incidente.
4. Para ver información adicional, lleve a cabo una de estas acciones.
• Para ver información del usuario en incidentes, haga clic en el nombre del usuario en el campo Origen.
• Para ver los archivos de pruebas, haga clic en la ficha Prueba y seleccione un nombre de archivo. La ficha Prueba
también muestra la Cadena coincidente breve, que incluye hasta tres elementos destacados como única cadena.
• Para ver las reglas que desencadenaron el incidente, haga clic en la ficha Reglas.
• Para ver las clasificaciones, haga clic en la ficha Clasificaciones.
Note
La ficha Clasificaciones no aparece para algunos tipos de incidente.

• Para ver el historial de incidentes, haga clic en la ficha Registros de auditoría.

• Para ver los comentarios agregados al incidente, haga clic en la ficha Comentarios.
• Para enviar por correo electrónico los detalles de los incidentes, incluidas las pruebas descifradas y los archivos de
elementos destacados, seleccione Acciones → Enviar por correo electrónico los eventos seleccionados.
• Para volver al administrador de incidentes, haga clic en Aceptar.
Administración de incidentes
Administración de incidentes
Utilice Administrador de incidentes de DLP para actualizar y gestionar los incidentes.
Enviar por correo electrónico los eventos seleccionados
Note
Para optimizar el rendimiento del sistema, McAfee DLP purga los incidentes de la tabla de la lista de incidentes en vivo y
los traslada a la vista de la lista del historial cuando se alcanza un millón de incidentes, comenzando por los incidentes más
antiguos.
Utilice la Lista de incidentes para ver la información en tiempo real relacionada con un incidente. Los incidentes purgados
continúan apareciendo en la página Historial de incidentes. Utilice las tareas servidor de McAfee ePO Purga del historial de
eventos e incidentes operativos de DLP y Purgar pruebas de DLP para marcar los archivos de pruebas para su eliminación y
eliminar eventos e incidentes de las tablas de la base de datos del historial.
Si dispone de notificaciones de correo electrónico configuradas, se envía un mensaje de correo electrónico cuando se actualiza
un incidente.
Las siguientes tablas proporcionan algunos detalles sobre las opciones de correo electrónico y exportación de eventos
seleccionados.
Enviar por correo electrónico los eventos seleccionados
Parámetro Valor
Número máximo de eventos que enviar por correo 100
Tamaño máximo de cada evento Sin límite
Tamaño máximo del archivo comprimido (ZIP) 20 MB
De Limitado a 100 caracteres

Parámetro Valor
Para, CC Limitado a 500 caracteres
Asunto Limitado a 150 caracteres
Cuerpo Limitado a 1000 caracteres
Exportar eventos seleccionados
Parámetro Valor
Número máximo de eventos que exportar 1000
Tamaño máximo de cada evento sin límite
Tamaño máximo del archivo de exportación Sin límite

comprimido (ZIP)
Administrar etiquetas
Una etiqueta es un atributo personalizado que se utiliza para identificar los incidentes que comparten rasgos similares.
Puede asignar varias etiquetas a un incidente y puede reutilizar una etiqueta para varios incidentes.
Por ejemplo: Tiene incidentes que se relacionan con varios proyectos que su empresa está desarrollando. Puede crear etiquetas
con el nombre de cada proyecto y asignarlas a los incidentes correspondientes.
Procedimiento
3. Seleccione las casillas de verificación de uno o varios incidentes.
Note
Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.
4. Lleve a cabo una de estas tareas.
• Para agregar etiquetas:

Seleccione Acciones → Etiquetas → Adjuntar.

Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar.
Seleccione una o varias etiquetas.
• Para eliminar etiquetas de un incidente:
Seleccione Acciones → Etiquetas → Separar.
Seleccione las etiquetas que desea eliminar del incidente.
• Para eliminar etiquetas:
Seleccione Acciones → Etiquetas → Eliminar etiquetas.
Seleccione las etiquetas que eliminar.
Actualizar un único incidente
Actualice la información del incidente como, por ejemplo, la gravedad, el estado y el revisor.
Note
• Los incidentes de MVISION Cloud solo se pueden actualizar en MVISION Cloud.

• La pestaña Registros de auditoría informa de todas las actualizaciones y modificaciones realizadas en un incidente.
Procedimiento
3. Haga clic en un incidente para abrir la ventana de detalles.
4. En el panel Detalles generales, realice cualquiera de estas acciones.
• Para actualizar la gravedad, el estado o la solución, seleccione las opciones que desee en la lista
desplegable Gravedad, Estado, o Solución y, a continuación, haga clic en Guardar.
• Para actualizar el revisor, haga clic junto al campo Revisor, seleccione el grupo o el usuario y haga clic en Aceptar y
Guardar.
• Para añadir un comentario, seleccione Acciones → Agregar comentario, introduzca un comentario y haga clic en
Aceptar.
Actualizar varios incidentes
Actualice varios incidentes con la misma información al mismo tiempo. Se pueden actualizar de forma simultánea hasta 10 000
incidentes.
Note
Los incidentes de MVISION Cloud solo se pueden actualizar en MVISION Cloud.

Ejemplo: ha aplicado un filtro para mostrar todos los incidentes de un usuario o análisis concreto y desea cambiar la gravedad de
estos incidentes a Grave.
Procedimiento
3. Seleccione las casillas de verificación de los incidentes a actualizar.
Note
Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.
• Para añadir un comentario, seleccione Acciones → Agregar comentario, introduzca un comentario y haga clic en
Aceptar.
• Para enviar los incidentes en un correo electrónico, seleccione Acciones → Enviar por correo electrónico los
eventos seleccionados, introduzca la información y, a continuación, haga clic en Aceptar.
Note
Puede seleccionar una plantilla o crear una introduciendo la información y haciendo clic en Guardar.
• Para exportar los incidentes, seleccione Acciones → Exportar eventos seleccionados, introduzca la información y, a
continuación, haga clic en Aceptar.
• Para liberar la redacción de los incidentes, seleccione Acciones → Liberar redacción, introduzca un nombre de
usuario y contraseña y, a continuación, haga clic en Aceptar.
Note
Debe tener permiso de redacción de datos para eliminar la redacción.
• Para cambiar las propiedades, seleccione Acciones → Definir propiedades, cambie las opciones y, a continuación,
haga clic en Aceptar.
Crear notificaciones de correo electrónico
Configure las notificaciones de correo electrónico de incidentes y eventos operativos.
El proceso para agregar notificaciones de correo electrónico es similar en el caso de Administrador de incidentes de DLP y de
Operaciones de DLP.

Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de incidentes de DLP o Menú → Protección de
datos → Operaciones de DLP.
2. Seleccione Tareas de incidentes o Tareas de eventos operativos y, a continuación, seleccione Notificación de correo
automática.
Si ha elegido Tareas de incidentes, también debe seleccionar el tipo de incidente, como Datos en uso/movimiento.
3. Haga clic en Acciones → Nueva regla e introduzca un nombre y una descripción opcional.
Las reglas se activan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecución de la regla.
4. Seleccione los eventos que desee procesar y, a continuación, especifique los destinatarios, el asunto y el cuerpo.
Excepto para Cuerpo, estos campos son obligatorios. Puede insertar variables de la lista desplegable según sea necesario.
5. Agregue el texto del cuerpo del correo electrónico.
6. (Opcional para el Administrador de incidentes de DLP) Seleccione la casilla de verificación para adjuntar información de
pruebas al correo electrónico.
7. Haga clic en Siguiente para agregar los criterios de la regla y sus parámetros de Comparación y Valor; a continuación,
haga clic en Guardar.
Trabajo en casos
Los casos permiten a los administradores colaborar para llegar a la solución de incidentes relacionados.
En muchos casos, un único incidente no es un evento aislado. Debe ir al Administrador de incidentes de DLP para consultar
otros que tengan propiedades comunes o que se relacionen entre sí. Puede asignar estos incidentes relacionados a un caso.
Diversos administradores pueden supervisar y gestionar un caso en función de sus roles dentro de la organización.
McAfee DLP Endpoint Situación: Se percata de que un usuario concreto a menudo genera varios incidentes al finalizar el horario
laboral. Esta situación podría indicar que el usuario está involucrado en actividades sospechosas o que su sistema se ha puesto
en peligro. Asigne estos incidentes a un caso para realizar un seguimiento de cuándo y con qué frecuencia se producen tales
infracciones.
McAfee DLP Discover Situación: Los incidentes generados a partir de un análisis de corrección indican que se han añadido
recientemente numerosos archivos confidenciales a un repositorio con acceso público. Otro análisis de corrección indica que
dichos archivos también se han añadido a un repositorio público distinto.
En función de cuál sea la naturaleza de tales infracciones, tendrá que informar al respecto a los equipos de RR. HH. o de asuntos
legales. También puede permitir a los miembros de estos equipos que trabajen en el caso, por ejemplo, añadiendo comentarios,
cambiando la prioridad o informando a las partes interesadas más relevantes.
Administrar casos
Creación de casos
Cree un caso para agrupar y examinar los incidentes relacionados.

Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administración de casos de DLP.
3. Introduzca un nombre y configure las opciones.
Asignación de un revisor
Es posible asignar revisores a incidentes y eventos operativos. Las asignaciones pueden ser por grupo de revisores o por revisor
individual.
Utilice la función Conjuntos de permisos de Administración de usuarios a fin de crear revisores.
El proceso para establecer revisores es similar en el caso de Administrador de incidentes de DLP y de Operaciones de DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de incidentes de DLP o Menú → Protección de
datos → Operaciones de DLP.
2. Seleccione Tareas de incidentes o Tareas de eventos operativos y, a continuación, seleccione Definir revisor.
3. Haga clic en Acciones → Nueva regla e introduzca un nombre y una descripción opcional.
Las reglas se activan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecución de la regla.
4. Seleccione un revisor o un grupo y, a continuación, haga clic en Siguiente.
5. Haga clic en Siguiente para agregar los criterios de la regla y sus parámetros de Comparación y Valor; a continuación,
Ver información de mayúsculas y minúsculas
Vea registros de auditoría, comentarios del usuario e incidentes asignados a un caso.
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Gestión de casos de DLP.
2. Haga clic en un ID de caso.
• Para ver los incidentes asignados al caso, haga clic en la ficha Incidentes.
• Para ver los comentarios del usuario, haga clic en la pestaña Comentarios.
• Para ver los archivos adjuntos relacionados con el caso, haga clic en la pestaña Datos adjuntos.
• Para ver los datos de todos los interesados, haga clic en la pestaña Interesados.
• Para ver los registros de auditoría, haga clic en la pestaña Registro de auditoría.
Asignación de incidentes a un caso
Añada incidentes relacionados a un caso nuevo o a uno existente.

Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → Administrador de incidentes de DLP.
2. Desde la lista desplegable Presente, seleccione un tipo de incidente.
Para Datos en reposo (red) haga clic en el vínculo Analizar para definir el análisis, si fuera necesario.
3. Seleccione las casillas de verificación de uno o varios incidentes.
Tip
Use opciones como Filtrar o Agrupar por para mostrar los incidentes relacionados. Para actualizar todos los incidentes
mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.
4. Asigne los incidentes a un caso.
• Para agregar un nuevo caso, seleccione Acciones → Administración de casos → Agregar a un caso nuevo, escriba
un nombre de título y configure las opciones.
• Para agregar a un caso existente, seleccione Acciones → Administración de casos → Agregar a un caso existente,
filtre por el ID del caso o por su título, y seleccione el caso.
Transferencia o eliminación de incidentes de un caso
Si un incidente deja de ser pertinente en un caso, puede eliminarlo o moverlo a otro distinto.
Procedimiento
3. Realice una de estas tareas:
• Para mover un incidente de un caso a otro:

haga clic en la ficha Incidentes y seleccione los incidentes;
seleccione Acciones → Mover y, a continuación, seleccione si desea moverlo a un caso nuevo o a uno
existente; y
seleccione un caso existente o configure las opciones de uno nuevo. A continuación, haga clic en Aceptar.
• Si desea eliminar del caso un incidente:
haga clic en la ficha Incidentes y seleccione los incidentes;
seleccione Acciones → Eliminar y, a continuación, haga clic en Sí.
Resultados
Tip
También puede mover o eliminar un incidente de la ficha Incidentes haciendo clic en Mover o Eliminar en la columna
Acciones.

Actualización de casos
Actualice información del caso, como cambiar el propietario, enviar notificaciones o agregar comentarios.
Las notificaciones se envían al creador y al responsable del caso, así como a los usuarios seleccionados, cuando:
• se agrega o se modifica un correo electrónico;

• los incidentes se agregan o se eliminan del caso;
• se modifica el nombre del caso;
• se modifican los detalles del responsable;
• se modifica la prioridad;
• se modifica la resolución;
• se agregan comentarios;
• se agregan datos adjuntos.
Tip
Puede desactivar las notificaciones por correo electrónico automáticas enviadas al propietario y al creador del caso en Menú
→ Configuración → Configuración del servidor → Data Loss Prevention.
Procedimiento
3. Realice una de estas tareas.
• Para actualizar el nombre del caso, introduzca un nombre nuevo en el campo Título y, a continuación, haga clic en
Guardar.
• Para actualizar el propietario, haga clic en ..., junto al campo Propietario, seleccione el grupo o usuario y, a
continuación, haga clic en Aceptar y Guardar.
• Para actualizar las opciones Prioridad, Estado o Resolución, utilice las listas desplegables para seleccionar los
elementos y, a continuación, haga clic en Guardar.
• Para enviar notificaciones de correo electrónico, haga clic en ... junto al campo Enviar notificaciones a, seleccione
los usuarios a los que enviar notificaciones y haga clic en Guardar.
Note
Si no se muestra ningún contacto, especifique un servidor de correo electrónico para McAfee ePO y agregue
las direcciones de correo electrónico de los usuarios. Configure el servidor de correo electrónico en Menú
→ Configuración → Configuración del servidor → Servidor de correo electrónico. Configure los usuarios en
Menú → Administración de usuarios → Usuarios.
• Para añadir un comentario al caso, haga clic en la ficha Comentarios, introduzca el comentario en el campo de
texto y haga clic en Agregar comentario.

Adición o eliminación de etiquetas de un caso
Sírvase de las etiquetas para distinguir los casos por un atributo personalizado.
Procedimiento
2. Seleccione las casillas de verificación de uno o varios casos.
Tip
Para actualizar todos los incidentes mostrados con el filtro actual, haga clic en Seleccionar todo en esta página.
3. Realice una de estas acciones:
• Para añadir etiquetas a los casos seleccionados:

Seleccione Acciones → Administrar etiquetas → Adjuntar.
Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar.
Seleccione una o varias etiquetas.
• Para eliminar etiquetas de los casos seleccionados:
Seleccione Acciones → Administrar etiquetas → Separar.
Seleccione las etiquetas que desea eliminar.
Asignación de permisos de visualización de incidentes a los usuarios en Active Directory
Seleccione los usuarios de Active Directory que puedan ver los incidentes en el Administrador de incidentes de DLP.
Antes de empezar
Registre un servidor de Active Directory en McAfee ePO.
Procedimiento
1. En McAfee ePO, seleccione Menú → Administración de usuarios → Conjuntos de permisos.
2. Seleccione la función que desee editar y, a continuación, haga clic en el vínculo Editar situado bajo Nombre y usuarios.
3. Haga clic en Agregar, seleccione los usuarios de Active Directory que desee agregar y, a continuación, haga clic en
Aceptar.
5. En Data Loss Prevention, haga clic en el vínculo Editar.
6. Seleccione Administración de incidentes y haga clic en El usuario puede ver todos los incidentes.
Asignación de permisos de visualización de administración de casos a un usuario
Puede permitir que un usuario concreto vea sus casos en Administración de casos de DLP.

Antes de empezar
Cree un usuario en McAfee ePO y asígnele un conjunto de permisos.
Procedimiento
1. En McAfee ePO, seleccione Menú → Administración de usuarios → Conjuntos de permisos y seleccione el conjunto de
permisos al que pertenezca el usuario.
2. Haga clic en el vínculo Editar situado debajo de Nombre y usuarios.
3. Seleccione el usuario que acaba de crear y haga clic en Guardar.
4. En Data Loss Prevention, haga clic en el vínculo Editar.
5. Seleccione Administración de casos y haga clic en Los usuarios pueden ver los casos que se les han asignado.
Eliminación de casos
Elimine los casos que ya no necesite.
Procedimiento
2. Seleccione las casillas de verificación de uno o varios casos.
Tip
Para eliminar todos los casos mostrados con el filtro actual, haga clic en Seleccionar todo en esta página.
3. Seleccione Acciones → Eliminar y, a continuación, haga clic en Sí.

13| Asignación de atributos personalizados a un incidente
Asignación de atributos personalizados a un incidente

Los atributos personalizados son campos de datos configurables sobre un incidente. Puede utilizar atributos personalizados
para enriquecer y categorizar un incidente, junto con la información predeterminada del incidente.
Los datos de incidentes generados automáticamente capturados por McAfee DLP, que se muestran en el Gestor de incidentes
de DLP, son de solo lectura y no se pueden editar ni modificar. Para realizar mejores análisis y comprender los patrones
de los datos de incidentes, enriquezca estos incidentes con valores de atributos personalizados. Puede asignar atributos
personalizados de forma que proporcionen mejores recomendaciones sobre los datos de los incidentes.
Utilice atributos personalizados para asignar un incidente con información relacionada con el usuario o el incidente y establezca
la prioridad de los atributos según sea necesario. Los atributos que no están disponibles a través de LDAP, como el Gestor
del usuario, se pueden configurar mediante atributos personalizados. Los atributos personalizados también pueden almacenar
datos sobre las acciones realizadas en el incidente, el ID de empleado, la región del usuario, el revisor, la información relacionada
con la corrección, el estado de la corrección y notas.
Después de definir los atributos personalizados en McAfee ePO, puede utilizar una llamada a la API REST para asociar los
atributos personalizados a un incidente. Para asignar atributos personalizados a varios incidentes, el comportamiento esperado
es automatizar la asignación mediante un script definido por el usuario. Estos atributos se pueden asignar a todos los incidentes
o a incidentes específicos según sea necesario. A los atributos personalizados se les asignan valores NULL cuando se crean y no
es obligatorio rellenar los valores de todos los atributos personalizados. También puede modificar los atributos asignados a un
incidente cuando sea necesario. La asociación o disociación de atributos se produce tras un cambio en la asignación. La llamada
a la API REST solo actualiza los atributos personalizados, ya que los datos predeterminados de los incidentes no se pueden
editar.
Las API de atributos personalizados funcionan de manera coherente con un sistema de automatización definido por el usuario
para insertar los datos necesarios para el análisis de incidentes.
Note
Los valores de los atributos personalizados no se muestran en el Gestor de incidentes de DLP en esta versión, sino que
están disponibles solo a través de la llamada a API REST.
Flujo de trabajo para asignar atributos personalizados y recuperar los detalles actualizados del
incidente
1. Cree, edite o modifique atributos personalizados desde la pestaña Atributos personalizados en el Gestor de incidentes de
DLP. Para obtener más información, consulte Configuración de atributos personalizados.
2. Recupere todos los ID de incidentes a los que desee asignar valores de atributos personalizados mediante la llamada a API
GET incidents/ids. Consulte Recuperar ID de incidentes.

3. Ejecute la llamada a la API GET customAttribute/list para ver la lista de atributos personalizados configurados y el ID
asignado a cada atributo personalizado. Los ID de atributos personalizados son necesarios cuando se asigna un incidente
con valores de atributos personalizados, ya que la llamada a la API espera un par valor-clave. Consulte Recuperar la lista de
atributos personalizados configurados.
4. Ejecute la llamada a la API PUT customAttribute/{incidentId} para asignar valores de atributos personalizados. Consulte
Asignación de atributos personalizados a un incidente.
5. Recupere la información de los atributos personalizados junto con los detalles predeterminados del incidente mediante
la llamada a la API GET incidents/{incidentId}. Consulte Recuperación de detalles de incidentes descifrados mediante la API
REST.
Vectores de datos admitidos con atributos personalizados

Puede asignar atributos personalizados a los incidentes generados para varios vectores de datos como se muestra a
continuación:
Parámetro de entrada para la

Vector de datos Productos API REST
Datos en uso McAfee DLP Endpoint incidentNature=1

McAfee Device Control
Datos en movimiento McAfee DLP Prevent incidentNature=1

McAfee DLP Monitor
Datos en reposo - Endpoint Descubrimiento de McAfee DLP incidentNature=2

Endpoint Reservado para datos en reposo
- incidentes de descubrimiento
de endpoints; se puede utilizar
cuando se añade compatibilidad
con atributos personalizados de
descubrimiento de endpoints en
el producto.
Datos en reposo - Red McAfee DLP Discover incidentNature=3
Conjuntos de permisos necesarios para ejecutar las llamadas a la API

de incidentes
Habilite estos conjuntos de permisos antes de empezar a ejecutar las llamadas a la API REST de incidentes.
Antes de empezar, habilite las API REST en McAfee ePO. Vaya a Menú → Protección de datos → Ajustes de DLP → Avanzada y
seleccione Habilitar API REST.

Necesita estos conjuntos de permisos específicos para editar o ver los detalles del incidente y los archivos de pruebas
consultados mediante las llamadas a la API REST. Para asignar estos permisos, vaya a Menú → Gestión de usuarios → Conjuntos
de permisos y cree un nuevo conjunto de permisos o edite un conjunto de permisos existente para la Gestión de incidentes; a
continuación, seleccione estos permisos. Los permisos están habilitados de manera predeterminada.
• Acceso al archivo de pruebas

El usuario puede ver los archivos de pruebas
El usuario puede ver los archivos de la cadena coincidente
• Redacción de datos de incidentes

• Atributos personalizados de los incidentes
Los usuarios pueden ver y editar los atributos personalizados
• API REST
El usuario puede ver el contenido de los archivos de pruebas mediante la API REST
El usuario puede ver los detalles del incidente a través de la API REST
El usuario puede actualizar los valores de los atributos personalizados del incidente a través de la API REST
Configurar atributos personalizados

Como usuario con los permisos necesarios, puede crear, editar o eliminar atributos personalizados relacionados con el usuario
o el incidente. Algunos ejemplos de atributos personalizados son la información del gestor del usuario, el ID de empleado, la
ciudad, el país, la información relacionada con la corrección, el estado de la corrección y las notas.
Para crear o actualizar las propiedades de un atributo personalizado:
Procedimiento
1. En McAfee ePO, vaya a Menú → Protección de datos → Gestor de incidentes de DLP → Atributos personalizados.
2. Haga clic en Acciones → Nuevo elemento para crear un atributo personalizado. En la página Atributos personalizados,
introduzca el nombre del atributo personalizado. Seleccione la categoría del atributo personalizado como Incidente o
Usuario.
También puede actualizar un atributo personalizado existente. Haga clic en el vínculo Editar o Eliminar para modificar
el atributo personalizado existente. Al eliminar un atributo personalizado, se eliminan los valores asignados de todos los
incidentes; en lugar de eso, puede desactivar el atributo para un incidente concreto.
Resultados
Utilice estos atributos para asignar atributos personalizados a todos los incidentes. La prioridad de los atributos personalizados
aparece en orden descendente. Haga clic en la flecha hacia arriba y hacia abajo para cambiar la prioridad. Los ID de atributos
personalizados no se muestran en la tabla Atributos personalizados, pero están disponibles cuando se ejecuta la llamada
customAttribute/list.

Recuperar ID de incidentes
Devuelve una lista de ID de incidentes a partir del parámetro especificado.
URL de solicitud GET

https://<epo_server_name:port>/rest/dlp/incidents/ids?startTime={epochmillis}&incidentNature={n}
Donde:
• epo_server_name:port es la dirección IP y el número de puerto del servidor.

• startTime={epochmillis} es el tiempo especificado en milisegundos Epoch. Es la hora de inicio del incidente a partir de la
que se debe recuperar la lista de ID de incidentes.
• incidentNature={n} en función del valor de n especificado, se recuperan los incidentes generados para diferentes vectores
de datos.
Nombre del
parámetro Descripción Obligatorio Valores
Autorización Credenciales de usuario Obligatorio

de McAfee ePO.
startTime= Hora de inicio del Obligatorio Número

{epochmillis} incidente a partir de la
que se debe recuperar
la lista de ID de
incidentes.
incidentNature={n} Recuperar incidentes Obligatorio Número

para diferentes
vectores de datos.
Donde {n} puede ser:
• 1 = Recuperar
incidentes generados
para datos en uso/
movimiento
• 2 = Reservado para
recuperar datos en
reposo - incidentes
de descubrimiento de
endpoints; se puede
utilizar cuando se
añade compatibilidad

Nombre del
con atributos
personalizados de
descubrimiento de
endpoints en el
producto
• 3 = Recuperar
incidentes generados
para datos en reposo
- red
URL de solicitud GET de muestra
https://172.27.108.53:8443/rest/dlp/incidents/ids?startTime=1625204620000&incidentNature=1
Ejemplo de comando cURL
curl -k -v -X GET 'https://ePO-url:ePO-port/rest/dlp/incidents/ids?startTime=1625204620000&incidentNature=1' -u '<user>:<password>'
Se devuelven estos parámetros para la solicitud de la API. La respuesta a esta llamada a la API devuelve una lista de ID de
incidentes basada en la hora de inicio establecida y puede devolver como máximo 1000 ID de incidentes.
Elemento Descripción Tipo de datos
incidentIds ID asignados a cadena

incidentes en el Gestor
de incidentes de DLP.
endTime endTime corresponde cadena

a la hora en la que
se produjo el último
incidente en la lista
de ID de incidentes.
Si el valor es "null",
no hay más incidentes
que obtener. Cuando
hay más de 1000
incidentes, el valor de la
hora de finalización es

un valor Epoch. Puede

utilizar este valor como
hora de inicio para
obtener el siguiente
lote de ID de incidentes
hasta que endTime
devuelva "null".
Ejemplo de respuesta
{
"incidentIds": [
"18",
"17",
"14",
"15",
"16",
"11",
"12",
"13",
"8",
"9",
"10",
"5",
"6",
"7",
"3",
"4",
"1",
"2"
],
"endTime": "null"
}
Códigos de estado y error

Lista de códigos de estado HTTP devueltos para la consulta.
200 OK La respuesta devuelve una lista de ID de incidentes

y una hora de finalización que corresponde a la
hora máxima en la que se produjo el incidente en
la lista de ID de incidentes. Si el valor de la hora
de finalización es "null", no hay más incidentes que
obtener. Si el valor de la hora de finalización es un

Epoch, utilícelo como hora de inicio para obtener el

siguiente lote de ID de incidentes.
400: solicitud incorrecta

• Si falta startTime o tiene un valor de Epoch no
numérico
• Si falta incidentNature o tiene un valor no
numérico
404: no encontrado URL de McAfee ePO incorrecta.
500: error de servidor interno Un error en el servidor que ha causado un fallo en

la solicitud. Consulte el archivo orion.log de McAfee
ePO para obtener más detalles sobre el error.
Recuperar la lista de atributos personalizados configurados

Ejecute la API customAttribute/list para acceder a la lista de atributos personalizados configurados en McAfee ePO.

https://<epo_server_name:port>/rest/dlp/incidents/customAttribute/list
Donde:

• customAttribute/list muestra la lista de atributos personalizados configurados.
Utilice los parámetros de consulta para devolver la lista de atributos personalizados configurados.
Nombre del

de McAfee ePO
https://172.27.108.53:8443/rest/dlp/incidents/customAttribute/list

curl -k -v -X GET 'https://ePO-url:ePO-port/rest/dlp/incidents/customAttribute/list' -u '<user>:<password>'
La respuesta devuelve una lista de atributos personalizados donde cada atributo es un objeto con el nombre del atributo, su ID y
el tipo de atributo. Devuelve una lista vacía si no hay atributos personalizados.
id Devuelve el ID del cadena

atributo personalizado
nombre Devuelve el nombre del cadena

atributo personalizado.
type Devuelve el tipo de cadena

atributo personalizado,
incidente o usuario
[
{
"id": "5",
"name": "Owner"
"type": "User"
},
{
"id": "6",
"name": "Reviewer"
"type": "User"
},
{
"id": "7",
"name": "Modifier"
"type": "User"
}
]

Lista de códigos de estado HTTP devueltos para una consulta.

200 OK Devuelve la lista de atributos personalizados

configurados.
404: no encontrado URL de McAfee ePO incorrecta.


Asigne atributos personalizados a un incidente mediante la llamada a la API PUT customAttribute/{incidentId}.
URL de solicitud PUT

https://<epo_server_name:port>/rest/dlp/incidents/customAttribute/{incidentId}?incidentNature={n}
Donde:

• customAttribute/{incidentId} es el ID del incidente al que desea asignar atributos personalizados.
• incidentNature={n} los incidentes generados para datos en uso/movimiento y datos en reposo pueden tener los mismos
ID de incidentes; especifique el valor de n para diferenciar el tipo de incidente.
Esta llamada asigna atributos personalizados al incidente especificado. Puede utilizar un script de automatización definido por el
usuario para asignar atributos personalizados a todos los incidentes en lotes.
Utilice los parámetros de consulta para recuperar los detalles del incidente.
Nombre del

de McAfee ePO
Cuerpo (sin procesar) Una matriz de objetos Obligatorio application/JSON

JSON que tiene "id" y
"value" como par valor-
clave. "id" es el valor

Nombre del
devuelto por la llamada

customAttribute/list y
"value" es el valor del
atributo personalizado
para el ID de incidente
especificado.
Ejemplo:
[{"id":"5","value":"David"},
{"id":"6","value":"John"}]
incidentNature={n} Los incidentes Obligatorio Número

generados para datos
en uso/movimiento
y datos en reposo
pueden tener los
mismos ID de
incidentes; especifique
el valor de n
para diferenciar
la naturaleza del
incidente.
• 1 = Asignar atributos
a un incidente
generado para datos
en uso/movimiento
asignar atributos a
datos en reposo
- incidentes de
descubrimiento de
endpoints; se puede
utilizar cuando se
con atributos
personalizados de
descubrimiento de
endpoints en el
producto

Nombre del
• 3 = Asignar atributos
a un incidente
generado para datos
en reposo - red
URL de solicitud PUT de muestra
https://172.27.108.53:8443/rest/dlp/incidents/customAttribute/18?incidentNature=1
curl -k -v -X PUT 'https://ePO-url:ePO-port/rest/dlp/incidents/customAttribute/18?incidentNature=1' -u '<user>:<password>' --header

'Content-Type: application/json' --data-raw '[{"id":"5","value":"David"},{"id":"6","value":"John"}]'
id ID de atributo cadena
personalizado. Este ID
es el valor recuperado
mediante la llamada
customAttribute/list.
value Es el valor que se cadena

asigna a los atributos
personalizados.
Los atributos
personalizados esperan
una asignación de
valores uno a uno,
y el mismo atributo
personalizado asignado
a distintos incidentes
puede tener valores
distintos.

Si Body es:
[{"id":"5","value":"David"},{"id":"6","value":"John"}]
El ejemplo de respuesta es el siguiente:
Los atributos personalizados se han actualizado correctamente con la carga útil [

{
"id": "5",
"value": "David"
},
{
"id": "6",
"value": "John"
}
]

200 OK Devuelve la lista de atributos personalizados

actualizados para el incidente especificado.
400: solicitud incorrecta

• Falta el ID del incidente o no es válido
• Falta el atributo en la carga útil de JSON (ID o valor)
• JSON con formato incorrecto en la carga útil
• ID no numérico en la carga útil
• Falta el valor incidentNature o no es válido
404: no encontrado
• URL de McAfee ePO incorrecta
• El ID de incidente o atributo no existe


Recuperación de detalles de incidentes mediante la API REST

Puede utilizar la API de incidentes para consultar los detalles de los incidentes y, en función de la autorización del usuario, puede
ver las cadenas descifradas en lugar de verlas en McAfee ePO → Gestor de incidentes de DLP.

https://<epo_server_name:port>/rest/dlp/incidents/{incident id}?incidentNature={n}
Donde:

• incident id es el número asignado al incidente.
• incidentNature={n} son los incidentes generados para datos en uso/movimiento y datos en reposo y pueden tener los
mismos ID de incidentes; en función del valor de n especificado, se recuperan incidentes generados por diferentes
vectores de datos.
Utilice los parámetros de consulta para recuperar los detalles del incidente.
Encabezados
Nombre del

de McAfee ePO.
Accept Formato de los datos Opcional El valor

que se deben devolver. predeterminado es
application/json.
incidentNature={n} Los incidentes Obligatorio Número

en uso/movimiento
y datos en reposo
pueden tener los
mismos ID de
incidentes; especifique
el valor de n
para diferenciar
la naturaleza del
incidente.

Nombre del
• 1 = Recuperar
detalles de incidentes
en uso/movimiento
recuperar datos en
reposo - incidentes
de descubrimiento de
endpoints; se puede
utilizar cuando se
con atributos
personalizados de
descubrimiento de
endpoints en el
producto
• 3 = Recuperar
detalles del incidente
en reposo - red
https://172.27.108.53:8443/rest/dlp/incidents/18?incidentNature=1
curl -k -v -X GET 'https://ePO-url:ePO-port/rest/dlp/incidents/18?incidentNature=1' -u '<user>:<password>'
Se devuelven estos parámetros para una solicitud de la API de incidentes.

generalDetails Nivel superior de Objeto de datos de

detalles del incidente detalles generales del
incidente
incidentID El ID asignado para un cadena

incidente en el Gestor
de incidentes.
occurred_UTC Hora en la que se cadena

produjo el incidente en
UTC.
occurred_Endpoint Hora en la que se cadena

produjo el incidente en
el endpoint.
incidentType Tipo de incidente. cadena
actualAction La acción realizada para cadena

el incidente.
expectedAction La acción prevista para cadena

el incidente.
severity La gravedad del cadena

incidente.
status El estado del incidente. cadena
resolution El estado actual del cadena

incidente.
reviewer El revisor asignado al cadena

incidente.

labels Las etiquetas para el cadena

incidente.
endpointDetails Nivel superior de Objeto de datos de

detalles del incidente detalles del incidente
de los endpoints. del endpoint
computerName Nombre del host del cadena

endpoint donde se
produjo el incidente.
computerIP La dirección IP del cadena

endpoint.
connectivityState Indica si el endpoint cadena

está online u offline.
sourceApplication La aplicación que cadena

provocó el incidente.
userDetails userPrincipalName El nombre principal del cadena

usuario.
userAccount La cuenta del usuario. cadena
userEmail La cuenta de correo cadena

electrónico del usuario.
userOU La unidad organizativa cadena

del usuario.
userGroups El grupo de usuarios.
reportingProduct Nivel superior de Objeto de datos de

detalles a nivel de producto
producto

reportingProduct El producto que cadena

informó del incidente.
productVersion La versión del cadena

producto.
policyName La directiva que cadena

desencadenó el
incidente.
totalMatchCount El número total cadena

de coincidencias del
incidente consultado.
totalContentSize_KB El tamaño total del cadena

contenido.
additionalInformation Nivel superior de objeto de datos

información del adicional
incidente. Los detalles
mostrados varían en
función del tipo de
incidente.
Sender La dirección de cadena

correo electrónico
del remitente o el
endpoint.
To La dirección de cadena
correo electrónico del
destinatario.
CC La dirección de cadena
destinatario.

CCO La dirección de cadena

destinatario.
EmailSubject El asunto del correo cadena

electrónico.
MatchRecipients La lista de destinatarios cadena

que coinciden con la
consulta.
AllRecipients La lista de todos los cadena

destinatarios que han
recibido el mensaje de
incidente.
customAttributes Nivel superior de los Asignación de atributos

detalles de los atributos personalizados (pares
personalizados. de clave-valor)
evidences Nivel superior de Lista de elementos de

detalles de las pruebas. pruebas
evidenceName El nombre del archivo cadena

de pruebas.
itemType El tipo de pruebas. cadena
fileSize_KB El tamaño del archivo cadena

de pruebas.
matchCount El número de cadena

coincidencias de la
consulta de incidentes.

uniqueMatchCount El número de cadena

coincidencias únicas.
shortMatchString La cadena breve cadena

utilizada en la consulta.
uniqueMatchStrings El número de cadenas cadena

coincidentes únicas.
classifications Las clasificaciones cadena

relacionadas con el
incidente.
path La ubicación del archivo cadena

de pruebas.
sHA1 La firma del archivo de cadena

pruebas.
rules Nivel superior de Lista de reglas

reglas.
ruleSetName El nombre del conjunto cadena

de reglas.
ruleName El nombre de la regla. cadena
configurationAction La acción especificada cadena

en la regla.
severity La gravedad asignada al cadena

incidente.
modificationDate La fecha de cadena

modificación del
incidente.

classifications Los detalles de la Lista de coincidencias

clasificación. de clasificación
classificationName El nombre de la cadena

clasificación.
matchCount El número de cadena

coincidencias.
uniqueMatchCount El número de cadena

coincidencias únicas.
uniqueMatchStrings El número de cadena

coincidencias únicas de
las cadenas.
stakeholders La lista de partes Lista de partes

interesadas del interesadas
incidente.
auditLogs Nivel superior de Lista de detalles del

detalles del registro de registro de auditoría
auditoría.
details Los detalles sobre el cadena

incidente.
modifier El nombre del usuario cadena

que ha modificado los
detalles.
modificationDateUTC La hora en que se cadena

modificaron los detalles
del incidente por última
vez.

comments Nivel superior de Lista de comentarios

detalles del comentario.
comment El comentario cadena

proporcionado para el
incidente.
owner El propietario del cadena

incidente.
insertionDateUTC La fecha en la que se cadena

añadió el comentario.
cases Lista de casos
title El título del caso. cadena
status El estado del caso. cadena
resolution El proceso actual por el cadena

que pasa el caso.
owner El propietario del caso. cadena
caseId El ID del caso. cadena
Consulte la respuesta de ejemplo de una consulta de incidente.
{
"generalDetails":{
"incidentID":"18",
"occurred_UTC":"November 16, 2021 9:35:04 AM",
"occurred_Endpoint":"November 16, 2021 9:35:04 AM UTC",
"incidentType":"Email Protection",
"actualAction":"Block",
"expectedAction":"Block",
"severity":"Major",
"status":"New",
"resolution":"None",

"reviewer":"Unassigned",
"labels":"None"
},
"endpointDetails":{
"computerName":"",
"computerIP":"",
"connectivityState":"null",
"sourceApplication":"null"
},
"userDetails":{
"userPrincipalName":"user1@std.dom",
"userAccount":"",
"userEmail":"",
"userOU":"",
"userGroups":""
},
"reportingProduct":{
"reportingProduct":"DLP Prevent",
"productVersion":"11.6.0",
"policyName":"My Default DLP Policy (2)",
"applianceIP":"192.168.1.135",
"applianceHostName":"ps"
},
"totalMatchCount":"1",
"totalContentSize_KB":"0.95",
"additionalInformation":{
"Sender":"sender@client.std.dom<sender@client.std.dom>",
"To":"rcpt@client.std.dom",
"CC":"",
"BCC":"",
"EmailSubject":"test Tue, 16 Nov 2021 09:35:04 +0000",
"SourceProxyIP":"192.168.1.1",
"DestinationProxyIP":"192.168.1.1",
"MatchRecipients":"[rcpt@client.std.dom <rcpt@client.std.dom>]",
"AllRecipients":"[rcpt@client.std.dom <rcpt@client.std.dom>]"
},
"customAttributes":{
"Owner":"John",
"Reviewer":"David",
"Modifier": "Rob"
},
"evidences":[
{
"evidenceName":"test Tue, 16 Nov 2021 09:35:04 +0000.rtf",
"itemType":"Email Body",
"fileSize_KB":"1",
"matchCount":"0",
"uniqueMatchCount":"0",
"shortMatchString":"",
"uniqueMatchStrings":"<unique-match-string count=\"0\" total=\"0\"></unique-match-string>",
"classifications":"",
"path":"",
"sHA1":""
},
{
"evidenceName":"confidential.txt",
"itemType":"Email Attachment",
"fileSize_KB":"1",
"matchCount":"1",
"shortMatchString":"This is extremely <match>confidential</match> data to be checked",
"uniqueMatchStrings":"<unique-match-string count=\"1\" total=\"1\"><match>confidential</match></
unique-match-string>",
"classifications":"Confidential (1)",

"path":"",
"sHA1":"aeaeb39e0348ce58a03b8cb138b9c2bd5a89b8e7"
},
{
"evidenceName":"test Tue, 16 Nov 2021 09:35:04 +0000.eml",
"itemType":"Email",
"fileSize_KB":"1",
"matchCount":"1",
"shortMatchString":"",
"uniqueMatchStrings":"",
"classifications":"",
"path":"",
"sHA1":""
}
],
"rules":[
{
"ruleSetName":"email-ruleset",
"ruleName":"email-rule",
"configuredAction":"Block",
"severity":"Major",
"modificationDate":"November 15, 2021 9:29:53 AM"
}
],
"classifications":[
{
"classificationName":"Confidential",
"matchCount":"1",
"uniqueMatchStrings":"<unique-match-string count=\"1\" total=\"1\"><match>confidential</match></
unique-match-string>"
}
],
"stakeholders":[
],
"auditLogs":[
{
"details":"export",
"modifier":"admin",
"modificationDateUTC":"November 19, 2021 2:28:23 PM"
},
{
"details":"export",
"modifier":"admin",
"modificationDateUTC":"November 19, 2021 2:18:08 PM"
},
{
"details":"Event was opened for viewing",
"modifier":"testuser",
"modificationDateUTC":"November 17, 2021 6:37:18 AM"
},
{
"details":"Event was opened for viewing",
"modifier":"admin",
"modificationDateUTC":"November 17, 2021 6:34:11 AM"
}
],
"comments":[
],
"cases":[

]
}
200 OK Devuelve los detalles del incidente.
404: no encontrado La consulta de incidentes no ha devuelto ningún

resultado debido a un ID de incidente incorrecto o
a un error interno del servidor.
• La URL es incorrecta
• La URL no tiene un ID de incidente
• El ID de incidente no existe en la base de datos de
McAfee ePO
400: solicitud incorrecta Solo se permiten entradas numéricas:
• Falta un ID de incidente o no es numérico

• Falta incidentNature o no es numérico
500: error de servidor interno Error interno del servidor debido a que la API no
puede devolver detalles. Por ejemplo, cuando el
servidor de base de datos no está disponible.

14| Supervisión de appliances
Supervisión de appliances
Supervisión de los appliances de McAfee DLP desde McAfee ePO
Puede supervisar sus appliances de McAfee DLP Prevent y McAfee DLP Monitor en McAfee ePO mediante la función Gestión de
appliances.
Los paneles Vista de árbol, Mantenimiento del sistema, Alertas y Detalles proporcionan conjuntamente el estado de sus
appliances en la página Gestión de appliances. Puede buscar las alertas y el estado de todos sus appliances y clústeres
gestionados por la función Gestión de appliances en McAfee ePO. El tipo de información mostrada varía según el tipo de
appliance y el modo en que se haya configurado cada uno de ellos.
Tarjetas de mantenimiento del sistema
El estado se muestra en verde, ámbar o rojo. El color del estado depende de si se han sobrepasado los valores de umbral de
advertencia y crítico, o de si hay un error. En los paneles Alertas y Detalles se proporciona más información.
Áreas de la tarjeta Mantenimiento del sistema

La barra de información aparece en la parte superior de cada tarjeta Mantenimiento del sistema. Esta barra de información
incluye el nombre de appliance, el número de alertas notificadas hasta el momento y otra información específica del appliance
notificado.
Las estadísticas principales se muestran bajo el nombre del appliance. Estas estadísticas corresponden a los dos elementos de
información que se consideran de mayor importancia para el tipo de appliance.
A la derecha de las estadísticas principales se encuentra el resto de las estadísticas de mantenimiento del appliance. Estas
estadísticas varían en función del tipo de appliance con el que estén relacionadas.
Cinta de paginación de la tarjeta de Estado del sistema

La información de mantenimiento de sistema de sus appliances y clústeres se muestra en el panel Estado del sistema. Puede
ver esta información de Estado del sistema de una en una página con la cinta de paginación de la parte inferior del panel
Estado del sistema. Esta cinta incluye resúmenes del número de appliances o clústeres que se muestran en el panel Estado del
sistema, y los controles para desplazarse por las páginas disponibles.
Cinta de paginación de la tarjeta de Estado del sistema

Note
Para ver la información relativa a un grupo de appliances o clústeres, utilice la vista de árbol de Appliances para filtrar los
sistemas que se muestran. A continuación, utilice los controles de paginación para ver la información de Estado del sistema
relativa al sistema de interés.
Panel Alertas
El panel Alertas muestra información sobre los errores o las advertencias que se relacionan con sus appliances gestionados. Si
actualmente no hay errores ni advertencias, este panel aparece vacío.
La información mostrada en el panel Alertas refleja el appliance o grupo de estos que están seleccionados actualmente en la
vista de árbol. Cuando navega a un appliance o grupo de estos distinto, las alertas que se muestran cambian para mostrar solo
las que son relevantes para su selección.
Vista de árbol de Appliances y panel Alertas
Las alertas se agrupan por categoría. De manera predeterminada, las alertas se muestran plegadas, excepto si tienen que ver
con actualizaciones o DNS. Entre los ejemplos de los tipos de categorías, se incluyen los siguientes:
• CPU
• Memoria
• Disco
• Red
• Actualizaciones
• DNS

Note
Las categorías mostradas dependen de los productos de McAfee que se estén gestionando desde McAfee ePO, así como de
los tipos de alertas que se emitan.
Para ver los mensajes de alerta individuales, haga clic en , a la izquierda de la categoría.
Panel Alertas con categoría de alertas expandida
Todas las alertas de la categoría elegida se muestran anidadas debajo de la etiqueta de la categoría. Con cada alerta también se
incluye una marca de tiempo, el nombre del appliance y una breve descripción de la alerta. Para resumir las alertas, haga clic en
.
Panel Detalles
La página Detalles muestra información detallada sobre la alerta seleccionada en el panel Alertas.
Note
El tipo de información que se muestra en el panel Detalles varía en función del tipo de advertencia o error del que se
informa.

Panel Detalles
Los contadores de alertas se muestran en la parte inferior del panel Detalles. Estos contadores muestran el número de alertas
relacionadas con el appliance o grupo de appliances seleccionado actualmente. También se muestra el número total de alertas
indicadas actualmente para todos los appliances administrados.
Visualización del estado de un appliance
Puede averiguar si un appliance funciona correctamente o requiere su atención consultando la información de Gestión de
appliances.
Procedimiento
1. Inicie sesión en McAfee ePO.
2. En el menú, seleccione Sistemas → Gestión de appliances.
3. En la vista de árbol de Appliances, expanda la lista de appliances hasta que encuentre el appliance que desea ver.
Eliminación de appliances del árbol de Appliances
Puede eliminar appliances del árbol de Appliances cuando ya no sean necesarios.
La vista del árbol de Appliances en Gestión de appliances es una vista filtrada del Árbol de sistemas. Utilice el Árbol de
sistemas para eliminar un appliance anulado que aparece en el árbol de Appliances.
Note
No puede anular el registro de McAfee Agent de un appliance ni de McAfee ePO.
Procedimiento
1. En McAfee ePO, haga clic en Árbol de sistemas de la barra de icono superior.

2. Busque y seleccione el appliance que se va a eliminar.

3. Haga clic en Acciones y seleccione Gestión de directorios → Eliminar.

Note
Si el appliance seleccionado sigue funcionado y conectado a la red, McAfee ePO lo vuelve a añadir al Árbol de sistemas
después de la siguiente comunicación agente-servidor.
El panel Gestión de appliances

El panel Gestión de appliances muestra información sobre cada appliance de McAfee DLP Prevent y McAfee DLP Monitor de su
red.
• En un entorno de clúster de McAfee DLP Prevent, la tarjeta de mantenimiento del sistema muestra una vista de árbol
del appliance principal del clúster y los analizadores de clúster.
• En un entorno de clúster de McAfee DLP Monitor, la tarjeta de mantenimiento del sistema muestra una vista de árbol
del único dispositivo de adquisición de paquetes, el appliance principal del clúster y dos o más analizadores específicos.
• Indicadores que muestran si un appliance requiere su atención.
• Información detallada sobre cualquier problema detectado.
La barra de información incluye el nombre de appliance, el número de alertas notificadas hasta el momento y otra información
específica del appliance notificado.
Visualización de la información del estado de los appliances de

McAfee DLP Prevent en McAfee ePO
Las tarjetas de mantenimiento del sistema de McAfee DLP Prevent muestran información sobre el tipo de appliance, el
mantenimiento del sistema, las estadísticas de correo electrónico y web y la cola de pruebas.
Las tarjetas de mantenimiento del sistema muestran los appliances de McAfee DLP Prevent como Servidor de prevención, y
cada appliance en funcionamiento se muestra como Activo. Un appliance puede corresponder a uno de los siguientes tipos,
dependiendo de si es autónomo o si forma parte de un clúster:
• Servidor de prevención autónomo

• Appliance principal del clúster del servidor de prevención
• Analizador de clústeres del servidor de prevención
El estado se muestra en verde, ámbar o rojo. Si el estado aparece en gris, significa que el parámetro no se aplica al appliance. El
color del estado depende de si se han sobrepasado los valores de umbral de advertencia y crítico, o de si hay un error. El valor
de estado (como 0, 1, % de uso, Aceptar o Deshabilitado) que aparece al final del gráfico es el estado más reciente. Los paneles
Alertas y Detalles incluyen más información para analizar los errores y solucionarlos en consecuencia.

Note
Los gráficos de líneas muestran el estado de salud de las últimas 24 horas. Puede ver la última hora de actualización en la
parte superior de la tarjeta Mantenimiento del sistema. Para ver el estado más reciente, actualice el navegador. Para un
rendimiento óptimo del sistema, el intervalo entre los puntos de datos es de cuatro minutos.
Estadísticas de McAfee DLP Prevent

Además de la información estándar sobre el mantenimiento del sistema relativa a cada appliance o clúster de appliances, puede
ver la siguiente información:
• Cola de pruebas: muestra el número de archivos de pruebas a la espera de ser copiados en el almacenamiento de
pruebas. Si el servidor de pruebas no está disponible porque, por ejemplo, no se puede contactar con él, la prueba
se pone en cola hasta que el servidor vuelve a estar disponible. Si el tamaño combinado total de los elementos de la
cola sobrepasa un umbral, se emite una alerta. El límite de almacenamiento de la cola de pruebas varía en función de
la plataforma y la disponibilidad del almacenamiento oscila entre 20 y 200 GB. Cuando el almacenamiento alcanza su
umbral, no se generan más incidentes. Se rechaza cualquier otro tráfico y se emite un mensaje de error.
• Correos electrónicos (por minuto): muestra el número total de mensajes que se procesan; incluye los mensajes
entregados y los rechazados temporal o permanentemente.
Por ejemplo, es posible que se rechace un mensaje de manera temporal si el host inteligente no está disponible.
Por ejemplo, es posible que se rechace un mensaje de manera permanente si la dirección del destinatario no es
correcta o el host inteligente ha bloqueado el mensaje.
• Solicitudes web (por minuto): muestra el número total de solicitudes web que ha procesado el appliance de McAfee
DLP Prevent en un minuto y cuántas no ha podido analizar.
• Captura (opcional): las estadísticas de Captura son visibles cuando la función Captura de DLP está habilitada en el
appliance. Las estadísticas de Captura incluyen:
El número estimado de días restantes antes de que el almacenamiento de capturas alcance su capacidad.
La antigüedad del elemento capturado más antiguo que se conserva en el almacenamiento.
El número de búsquedas en curso actualmente.
• CPU: muestra información sobre el uso de la CPU: % ocupado, % sistema, % usuario, % inactivo.
• Memoria: muestra información sobre la memoria utilizada, el uso de intercambios y la velocidad de intercambio.
• Disco: muestra la información sobre las particiones de disco y su uso.
• Análisis de OCR: cuando se habilita el análisis de OCR, las imágenes que deben analizarse se mantienen en una cola.
Cuando el tamaño de la cola supera el límite de umbral, el appliance de McAfee DLP Prevent ignora las imágenes
adicionales hasta que el número de análisis de OCR pendientes caiga por debajo del tamaño máximo de la cola. Esto se
lleva a cabo para evitar interrupciones en el tráfico de correo electrónico y web. Cuando se produce esta situación, se
muestra una alerta y sus detalles en el panel Gestión de appliances.
Estados de procesos: ayuda a identificar el estado de mantenimiento de los procesos o servicios que se están ejecutando en el
appliance. Indica si un proceso se está ejecutando correctamente, si está desactivado o si no funciona.
• Estados de procesos comunes

mca: muestra el estado de los procesos de McAfee Common Appliance (MCA). MCA es el agente de ajustes
generales del appliance responsable del intercambio de información entre el appliance de McAfee DLP y McAfee
ePO. Si MCA no está disponible, la comunicación entre el appliance y McAfee ePO da error.
cma: muestra el estado de Common Management Agent (CMA), también conocido como McAfee Agent. Si CMA
no está disponible, la comunicación entre el appliance y McAfee ePO da error.
crond: muestra el estado del proceso crond. crond es un proceso en segundo plano que ejecuta programas
especificados a una hora programada.c Si el proceso crond deja de funcionar o se desactiva en el appliance, la
ejecución de los trabajos cron se ve afectada.
incrond: muestra el estado del proceso incrond. incrond es un proceso en segundo plano que supervisa
cualquier cambio en el sistema de archivos. Si este proceso deja de funcionar o se desactiva en el appliance, la
ejecución de los trabajos se ve afectada cuando hay un cambio en el sistema de archivos.
tmgr (disponible solo cuando se habilita DLP Capture en los appliances): muestra el estado del servicio de
gestión de tareas (tmgr). tmgr es un servicio que recibe las solicitudes de búsqueda de captura, las procesa y
devuelve el estado de finalización de la búsqueda de captura.
postgres (disponible solo cuando se habilita DLP Capture en los appliances): muestra el estado de Postgres.
Postgres es un servicio de base de datos que se utiliza para almacenar metadatos procesados por el servicio
tmgr.
ntp: muestra el estado del servicio Network Time Protocol. Se utiliza para la sincronización del reloj.
named: muestra el estado del servicio con nombre. Named es el nombre de un servicio que se utiliza para las
búsquedas de DNS (Dynamic Name Service) que se ejecutan en segundo plano.
mlcdaemon: muestra el estado del proceso de McAfee Logon Collector que se ejecuta en segundo plano.
redis: estado de Redis. Redis es una base de datos en memoria que contiene datos y que se utiliza mediante
el servicio de análisis para determinar si el contenido no se puede analizar y devuelve SCANFAIL. También
almacena los datos de inicio de sesión de usuario procesados por McAfee Logon Collector.
evthandler: muestra el estado del controlador de eventos.
• Estado de stunnel
stunnel (aplicable a un clúster de appliances): muestra el estado de stunnel. stunnel convierte las conexiones
TCP no seguras en conexiones seguras.
• Impedir solo estados de procesos

smtp: muestra el estado del servicio SMTP que se está ejecutando en el appliance.
icap: muestra el estado del servicio ICAP que se está ejecutando en el appliance.
• Otros estados de procesos

evidenceservice: muestra el estado del servicio de pruebas.
scanningservice: muestra el estado del servicio de análisis.
evdmonitor: muestra el estado del monitor de pruebas.
Consulte la información sobre los mensajes de error para saber qué ocurre si se bloquea un mensaje o una solicitud web. Aparte
del contador de la cola de pruebas, los contadores no son acumulativos.

Alertas de McAfee DLP Prevent

Si un estado de mantenimiento del sistema o proceso aparece en ámbar o rojo, se proporciona más información en los paneles
Alertas y Detalles. McAfee DLP Prevent también proporciona información mediante alertas en las siguientes circunstancias.
• La cola de pruebas ha sobrepasado el umbral predeterminado.

• McAfee DLP Prevent no ha podido implementar una directiva.
• La dirección IP virtual que ha asignado no se encuentra en la misma subred o red que el appliance de McAfee DLP
Prevent.
• McAfee ePO no ha podido ponerse en contacto con el appliance de McAfee DLP Prevent (por ejemplo, si se ha
interrumpido el suministro eléctrico). No se genera una alerta si el appliance se ha apagado manualmente.
• Si la función Captura de DLP está habilitada, se emiten alertas cuando:
La partición de Capture está dañada.
Es necesario cambiar la contraseña para proteger los datos cifrados.
• Los procesos o servicios que se ejecutan en el appliance no funcionan.
Visualización de la información del estado de los appliances de

McAfee DLP Monitor en McAfee ePO
Las tarjetas de mantenimiento del sistema de McAfee DLP Monitor muestran información sobre el tipo de appliance, el
mantenimiento del sistema y las estadísticas de análisis.
Las tarjetas de mantenimiento del sistema muestran los appliances de McAfee DLP Monitor como Servidor de supervisión.
Cada uno de los appliances en funcionamiento se muestra como Activo. Un appliance puede corresponder a uno de los
siguientes tipos, en función de si está configurado como un appliance autónomo o como miembro de un clúster:
• Servidor de supervisión autónomo

• Dispositivo de adquisición de paquetes de clúster de supervisión
• Appliance principal del clúster de supervisión
• Analizador de clústeres de supervisión
El estado se muestra en verde, ámbar o rojo. Si el estado aparece en gris, significa que el parámetro no se aplica al appliance. El
color del estado depende de si se han sobrepasado los valores de umbral de advertencia y crítico, o de si hay un error. El valor
de estado (como 0, 1, % de uso, Aceptar o Deshabilitado) que aparece al final del gráfico es el estado más reciente. Los paneles
Alertas y Detalles incluyen más información para analizar los errores y solucionarlos en consecuencia.
Note
Los gráficos de líneas muestran el estado de salud de las últimas 24 horas. Puede ver la última hora de actualización en la
parte superior de la tarjeta Mantenimiento del sistema. Para ver el estado más reciente, actualice el navegador. Para un
rendimiento óptimo del sistema, el intervalo entre los puntos de datos es de cuatro minutos.

Estadísticas de McAfee DLP Monitor

Además de la información estándar sobre el mantenimiento del sistema relativa a cada appliance o clúster de appliances, puede
ver la siguiente información:
• Cola de pruebas: muestra el número de archivos de pruebas a la espera de ser copiados en el almacenamiento de
pruebas. Si el servidor de pruebas no está disponible porque, por ejemplo, no se puede contactar con él, la prueba
se pone en cola hasta que el servidor vuelve a estar disponible. Si el tamaño combinado total de los elementos de la
cola sobrepasa un umbral, se emite una alerta. El límite de almacenamiento de la cola de pruebas varía en función de
la plataforma y la disponibilidad del almacenamiento oscila entre 20 y 200 GB. Cuando el almacenamiento alcanza su
umbral, no se generan más incidentes. Se rechaza cualquier otro tráfico y se emite un mensaje de error. Esta estadística
no se aplica a los dispositivos de adquisición de paquetes.
• CPU: muestra información sobre el uso de la CPU (% ocupado, % sistema, % usuario, % inactivo).
• Memoria: muestra información sobre la memoria utilizada, el uso de intercambios y la velocidad de intercambio.
• Disco: muestra la información sobre las particiones de disco y su uso.
• Red: muestra información sobre los datos recibidos y transmitidos a través del puerto capture1. En el caso del puerto
capture1, se muestran los detalles siguientes:
Paquetes por segundo: número de paquetes procesados por el appliance autónomo o un dispositivo de
adquisición de paquetes del clúster de McAfee DLP Monitor cada segundo.
Descartes de paquetes: número de paquetes descartados en la interfaz de red.
• Supervisar: supervisa la información siguiente (estas estadísticas se aplican a los appliances autónomos y a los
dispositivos de adquisición de paquetes de clúster).
Flujos activos: el número actual de conversaciones de la red rastreadas por el appliance de McAfee DLP
Monitor.
Flujos filtrados: el número actual de conversaciones que no se analizan según las reglas de filtrado.
Cargas útiles analizadas: muestra el número de cargas útiles analizadas por McAfee DLP Monitor para cada
protocolo.
Error de análisis de carga útil: muestra el número de cargas útiles que no se pueden analizar si, por ejemplo, un
mensaje de correo electrónico está dañado o el tiempo para analizar la carga útil supera el límite de tiempo de
espera.
Exceso de tamaño de cargas útiles: muestra el número de cargas útiles que superan el límite configurado.
McAfee DLP Monitor no puede analizar los archivos .zip extraídos parcialmente.
• Captura: (opcional) las estadísticas de Captura están visibles cuando la función Captura de DLP está habilitada en el
appliance. Las estadísticas de Captura incluyen:
El número estimado de días restantes antes de que el almacenamiento de capturas alcance su capacidad.
La antigüedad del elemento capturado más antiguo que se conserva en el almacenamiento.
El número de búsquedas en curso actualmente.
• Análisis de OCR: cuando se habilita el análisis de OCR, las imágenes que deben analizarse se mantienen en una cola.
Cuando se supera el límite de tamaño de la cola, el appliance de McAfee DLP Monitor omite las imágenes adicionales
hasta que el número de análisis de OCR pendientes caiga por debajo del tamaño máximo de la cola. Esto se lleva a cabo
para evitar interrupciones en el tráfico de correo electrónico y web. Cuando se produce esta situación, se muestra una
alerta y sus detalles en el panel Gestión de appliances.

Estados de procesos: ayuda a identificar el estado de mantenimiento de los procesos o servicios que se están ejecutando en el
appliance. Indica si un proceso se está ejecutando correctamente, si está desactivado o si no funciona.
• Estados de procesos comunes

mca: muestra el estado de los procesos de McAfee Common Appliance (MCA). MCA es el agente de ajustes
generales del appliance responsable del intercambio de información entre el appliance de McAfee DLP y McAfee
ePO. Si MCA no está disponible, la comunicación entre el appliance y McAfee ePO da error.
cma: muestra el estado de Common Management Agent (CMA), también conocido como McAfee Agent. Si CMA
no está disponible, la comunicación entre el appliance y McAfee ePO da error.
crond: muestra el estado del proceso crond. crond es un proceso en segundo plano que ejecuta programas
especificados a una hora programada.c Si el proceso crond deja de funcionar o se desactiva en el appliance, la
ejecución de los trabajos cron se ve afectada.
incrond: muestra el estado del proceso incrond. incrond es un proceso en segundo plano que supervisa
cualquier cambio en el sistema de archivos. Si este proceso deja de funcionar o se desactiva en el appliance, la
ejecución de los trabajos se ve afectada cuando hay cambio en el sistema de archivos.
tmgr (disponible solo cuando se habilita DLP Capture en los appliances): muestra el estado del servicio de
gestión de tareas (tmgr). tmgr es un servicio que recibe las solicitudes de búsqueda de captura, las procesa y
devuelve el estado de finalización de la búsqueda de captura.
postgres (disponible solo cuando se habilita DLP Capture en los appliances): muestra el estado de Postgres.
Postgres es un servicio de base de datos que se utiliza para almacenar metadatos procesados por el servicio
tmgr.
ntp: muestra el estado del servicio Network Time Protocol. Se utiliza para la sincronización del reloj.
named: muestra el estado del servicio con nombre. Named es el nombre de un servicio que se utiliza para las
búsquedas de DNS (Dynamic Name Service) que se ejecutan en segundo plano.
mlcdaemon: muestra el estado del proceso de McAfee Logon Collector que se ejecuta en segundo plano.
redis: muestra el estado de Redis. Redis es una base de datos en memoria que contiene datos y que se utiliza
mediante el servicio de análisis para determinar si el contenido no se puede analizar y devuelve SCANFAIL.
También almacena los datos de inicio de sesión de usuario procesados por McAfee Logon Collector.
evthandler: muestra el estado del controlador de eventos.
• Estado de stunnel
stunnel (aplicable a un clúster de appliances): muestra el estado de stunnel. stunnel convierte las conexiones
TCP no seguras en conexiones seguras.
• Estados de procesos de solo supervisión

dpi: muestra el estado del servicio de inspección profunda de paquetes (Deep Packet Inspection, DPI). DPI es un
servicio que se utiliza para inspeccionar los paquetes de datos en redes IP.
• Otros estados de procesos

evidenceservice: muestra el estado del servicio de pruebas.
scanningservice: muestra el estado del servicio de análisis.
evdmonitor: muestra el estado del monitor de pruebas.

Los contadores se actualizan en el appliance cada 60 segundos. Aparte del contador de la cola de pruebas, los contadores no
son acumulativos.
Alertas de McAfee DLP Monitor

Si un estado de mantenimiento del sistema o proceso aparece en ámbar o rojo, se proporciona más información en los paneles
Alertas y Detalles. McAfee DLP Monitor también proporciona información mediante alertas en las siguientes circunstancias.
• La cola de pruebas ha sobrepasado el umbral predeterminado.

• No se ha podido analizar la carga útil.
• McAfee DLP Monitor no ha podido implementar una directiva.
• La dirección IP virtual que ha asignado no se encuentra en la misma subred o red que el appliance de McAfee DLP
Monitor.
• McAfee ePO no ha podido ponerse en contacto con el appliance de McAfee DLP Monitor (por ejemplo, si se ha
interrumpido el suministro eléctrico). No se genera una alerta si el appliance se ha apagado manualmente.
• Si la función Captura de DLP está habilitada, se emiten alertas cuando:
La partición de Capture está dañada.
Es necesario cambiar la contraseña para proteger los datos cifrados.
• Los procesos o servicios que se ejecutan en el appliance no funcionan.

15| Notificación de eventos de appliances
Notificación de eventos de appliances

Generación de informes de eventos de appliances de McAfee DLP
Hay una serie de eventos de appliances de McAfee DLP disponibles en la página Eventos de cliente y la página Operaciones de
DLP en McAfee ePO. Puede obtener información adicional desde el syslog local y desde un servidor de registro remoto, en caso
de tener uno habilitado. En la página Eventos de cliente también se muestran los eventos de Gestión de appliances.
Eventos de cliente
Vaya al Árbol de sistemas y seleccione el appliance cuyos eventos desee ver. Seleccione Acciones y, a continuación, vaya a
Agente → Mostrar eventos de cliente. Algunos eventos incluyen códigos de motivo que se pueden utilizar para buscar archivos
de registro.
Tip
Purgue periódicamente el registro de Eventos de cliente para evitar que se llene por completo.
ID de evento Texto del evento de UI Descripción
15001 Error de consulta LDAP No se ha podido realizar la

consulta. Los motivos se indican
en las descripciones de los
eventos.
15007 Sincronización del directorio Estado de sincronización del

LDAP directorio.
185001 Directiva de análisis de DLP Eventos de análisis de directiva

con códigos de motivo:
• 197: no se puede cargar la

directiva.
• 258: no se pueden cargar las
reglas.
• 982: No se puede cargar la
configuración.
210003 El uso de recursos ha alcanzado McAfee DLP Prevent no puede

un nivel crítico analizar un mensaje porque el

directorio ha alcanzado un nivel

de tamaño crítico.
210900 Se ha logrado ampliar el ISO del Eventos de actualización de

appliance appliances con códigos de
No se ha podido ampliar el ISO motivo:
del appliance
• 983 — No se ha podido
El appliance está retrocediendo actualizar el ISO del appliance.
a una versión anterior Encontrará registros detallados
Se ha actualizado la en /rescue/logs/.
imagen de instalación interna
• 984 — Appliance ISO upgrade
correctamente success. El appliance se ha
No se ha podido actualizar la ampliado correctamente a una
imagen de instalación interna versión más reciente.
• 985 — El appliance está
volviendo a una versión
anterior. Este evento se envía
cuando se inicia el intento de
cambio a una versión anterior.
Los eventos de actualización
correcta o incorrecta se envían
una vez que finaliza la
actualización.
Si se solicita una ampliación
o un cambio a una versión
anterior limpios, el evento de
éxito o fallo se envía después
de que se haya establecido la
conexión con McAfee ePO.
Actualizaciones de la imagen
de instalación interna mediante
eventos SCP:
• 986 — Se ha actualizado la
imagen de instalación interna
correctamente.
actualizar la imagen de
instalación interna.

220000 Inicio de sesión de usuario Eventos de inicio de sesión de

usuario con códigos de motivo:
• 354 — Se ha iniciado sesión en

la GUI correctamente.
• 355 — No se ha podido iniciar
sesión en la GUI.
• 424 — Se ha iniciado sesión en
SSH correctamente.
• 425 — No se ha podido iniciar
sesión en SSH.
• 426 — Se ha iniciado sesión
en la consola del appliance
correctamente.
iniciar sesión en la consola del
appliance.
• 430 — Se ha cambiado el
usuario correctamente.
• 431 — No se ha podido cambiar
el usuario.
220001 Cierre de sesión de usuario Eventos de cierre de sesión de

usuario con códigos de motivo:
• 356 — El usuario de la GUI ha

cerrado sesión.
• 357 — La sesión ha caducado.
• 428 — El usuario de SSH ha
cerrado sesión.
• 429 — El usuario de la consola
del appliance ha cerrado
sesión.
• 432 — El usuario ha cerrado
sesión.
220900 Instalación de certificado

• El certificado se ha instalado
correctamente
• Error al instalar el certificado:
<motivo>

Un certificado podría no
instalarse por uno de los motivos
siguientes:
• Frase de contraseña incorrecta

• Falta la clave privada
• Error de cadena
• Certificado incorrecto
• Certificado caducado
• Ya no es válido
• Firma incorrecta
• Certificado de CA incorrecto
• Cadena demasiado larga
• Objetivo incorrecto
• Revocado
• CRL incorrecto o inexistente
El motivo también se notifica en

el syslog. Si el motivo no coincide
con ninguno de los disponibles,
se devuelve el evento de error
de instalación de certificado
predeterminado.
240155 Captura de la eliminación de PII La eliminación de datos

personales se ha realizado
correctamente.
244005 Error de configuración de La configuración de McAfee

McAfee Logon Collector Logon Collector no es válida.
244006 Certificado rechazado por el Certificado rechazado por

servidor de MLC McAfee Logon Collector.
244007 Se ha iniciado el cliente de MLC Se ha iniciado el cliente de

244008 Se ha detenido el cliente de MLC Se ha detenido el cliente de


244009 Se ha reiniciado el cliente de Se ha reiniciado el cliente de

MLC McAfee Logon Collector.
244010 Datos BER/DER de certificado de El certificado no tiene

MLC no válidos codificación Base64.
244011 Pie de página de certificado de El pie de página del certificado no

MLC Ilegal es válido.
244012 Encabezado de certificado de El encabezado del certificado no

MLC ilegal es válido.
244013 Datos adicionales Error de SSL al usar un archivo de

proporcionados al constructor certificado.
de DerValue
244014 MLC Se ha completado la

sincronización de McAfee Logon
Collector.
300000 Evento de canal Enviar un señal de latido a todos

los canales.
Eventos de Operaciones de DLP
19100 Cambio de directiva Gestión de appliances ha

insertado una directiva al
appliance correctamente.
19105 Error de replicación de pruebas

• No se ha podido cifrar un
archivo de pruebas.
• No se ha podido copiar un
archivo de pruebas al servidor
de pruebas.

19400 Error al insertar directiva Gestión de appliances no ha

podido insertar una directiva al
appliance.
19401 Error al analizar

• Posible ataque de denegación
de servicio.
• No se ha podido descomponer
el contenido para analizarlo.
19402 DLP Prevent registrado El appliance se ha registrado

correctamente con McAfee ePO.
19403 Monitor de DLP registrado El appliance se ha registrado

Uso de entradas de syslog para rastrear y analizar mensajes

McAfee DLP envían información de registro de protocolos y hardware al syslog local, además de a uno o más servidores de
registro remoto si los ha habilitado. Algunos ejemplos de información que se envía a syslog son eventos ICAP y de estado de
instalación de certificados.
Note
Utiliza los ajustes en la categoría General de la directiva Ajustes generales del appliance para configurar servidores de
registro remoto. Utilice el protocolo TCP para enviar los datos de eventos de los appliances de McAfee DLP a un servidor de
registro remoto. UDP tiene un límite de 1024 bytes por paquete, de modo que los eventos que superan esta cantidad quedan
truncados.
Los appliances de McAfee DLP envían información a syslog en el formato de evento común (CEF). CEF es un estándar de gestión
de registros abierto que mejora la interoperabilidad de la información sobre seguridad de distintos dispositivos y aplicaciones de
seguridad y red. Para simplificar la integración, se utiliza syslog como mecanismo de transporte. Esto aplica un prefijo común a
todos los mensajes que contiene la fecha y el nombre de host.
Las entradas de syslog contienen información sobre el propio dispositivo (el proveedor, el nombre de producto y la versión), la
gravedad del evento y la fecha en la que el evento se ha producido.

Note
Los eventos de mensajes SMTP pueden incluir el remitente y el destinatario, el asunto y las direcciones IP de origen y destino.
Cada intento de enviar un mensaje genera al menos una entrada en el registro. Si el mensaje incluye contenido que infringe
una directiva de prevención de fuga de datos, se añade otra entrada al registro. Cuando se añaden dos entradas al registro,
ambas contienen el número de TrellixDLPOriginalMessageID correspondiente.
Para obtener información sobre la descripción de los campos que aparecen en entradas de syslog e ID de eventos, consulta el
artículo KB93612.

16| Administración de datos
Administración de datos
Recopilar y administrar datos
La supervisión del sistema consiste en la recopilación y revisión de pruebas y eventos, así como en la generación de informes.
Los datos sobre incidentes y eventos de las tablas de DLP incluidos en la base de datos de McAfee ePO se pueden ver en las
páginas Administrador de incidentes de DLP y Operaciones de DLP, o bien se pueden intercalar en informes y paneles. La
información de usuario se intercala en la ficha Información de usuario del módulo Operaciones de DLP, y se puede exportar a
un archivo .csv.
Los administradores revisan los eventos y pruebas guardados para determinar cuándo las reglas son demasiado restrictivas y
provocan retrasos en el trabajo innecesarios, o cuándo son demasiado laxas y permiten la fuga de datos.
Edición de tareas servidor

McAfee DLP utiliza las tareas de servidor de McAfee ePO a fin de ejecutar tareas para los appliances de McAfee DLP Discover y
McAfee DLP, Gestor de incidentes de DLP, Operaciones de DLP y Gestión de casos de DLP.
Todas las tareas de incidentes y eventos operativos están predefinidas en la lista de tareas servidor. Las únicas opciones
disponibles son habilitarlas o deshabilitarlas o cambiar la programación. Las tareas del servidor de McAfee DLP disponibles para
incidentes y eventos son las siguientes:
• Eliminar sistemas DLP que se han quitado del árbol de sistemas de ePO
• Conversión de eventos de DLP 9.4 y versiones superiores
• Eventos de MVision Cloud de importación de DLP
• Migración de incidentes de DLP de la versión 9.3.x a la 9.4.1 y posteriores
• Migración de eventos operativos de DLP de la versión 9.3.x a la 9.4.1 y posteriores
• Conversión de la directiva de DLP de la versión 9.3.x a la 9.4.100 y posteriores
• Purgar pruebas de DLP
• Purga del historial de eventos e incidentes operativos de DLP
• Envío de correo electrónico para eventos e incidentes operativos de DLP
• Definición de revisor para eventos e incidentes operativos de DLP
Las tareas servidor de McAfee DLP para McAfee DLP Discover y McAfee DLP son:
• Detectar servidores de descubrimiento

• LDAPSync: sincronizar los usuarios de LDAP
Además, la tarea Acumular datos (servidor de ePO local) puede utilizarse para acumular incidentes, eventos operativos o datos
de descubrimiento de endpoints de McAfee DLP desde los servidores de McAfee ePO seleccionados para generar un único
informe.
Consulte la guía del producto para obtener información acerca de estas tareas.

Procedimiento
1. En McAfee ePO, seleccione Menú → Automatización → Tareas del servidor.
2. Seleccione la tarea que desea editar.
Tip
Introduzca DLP en el campo Búsqueda rápida para filtrar la lista.
3. Seleccione Acciones → Editar y, a continuación, haga clic en Planificación.

4. Modifique la planificación según sea necesario y, a continuación, haga clic en Guardar.
Cree una tarea Purgar eventos
Cree tareas de purga de incidentes y eventos para eliminar de la base de datos la información que ya no es necesaria.
Puede crear tareas de purga para la Lista de incidentes, los incidentes de datos en uso en la lista Historial o la Lista de eventos
operativos.
Note
Para optimizar el rendimiento del sistema, McAfee DLP purga automáticamente incidentes de la tabla de la lista de
incidentes en vivo cuando se alcanza un millón de incidentes, comenzando por los incidentes más antiguos.
Procedimiento
2. Haga clic en las pestañas Tareas de incidentes o Tareas de eventos operativos.
3. Seleccione un tipo de incidente en la lista desplegable (soloTareas de incidentes), seleccione Purgar eventos en el panel
Tipo de tarea y, a continuación, haz clic en Acciones → Nueva regla.
La opción Datos en uso/movimiento (archivo) permite purgar eventos del historial.
4. Introduzca un nombre y una descripción opcional y, a continuación, haga clic en Siguiente.
Las reglas se habilitan de forma predeterminada. Puede cambiar este ajuste para retrasar la ejecución de la regla.
Resultados
La tarea se ejecuta a diario en el caso de los datos actuales y cada viernes a las 22:00 en el de los datos históricos.
Crear una tarea de notificación automática por correo
Puede establecer notificaciones por correo electrónico automáticas de incidentes y eventos operativos para los administradores,
gestores o usuarios.

Procedimiento
1. En McAfee ePO, en Menú → Protección de datos, seleccione Administrador de incidentes de DLP u Operaciones de DLP.
2. Haga clic en las fichas Tareas de incidentes o Tareas de eventos operativos.
3. Seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija Notificación de correo
automática en el panel Tipo de tarea y, a continuación, haga clic en Acciones → Nueva regla.
4. Introduzca un nombre y, si lo desea, una descripción.
Las reglas se habilitan de forma predeterminada. Puede cambiar este ajuste para retrasar la ejecución de la regla.
5. Seleccione los eventos que desea procesar.
• Procese todos los incidentes/eventos (del tipo de incidente seleccionado).

• Procese los incidentes/eventos desde la última notificación de correo ejecutada.
6. (Opcional) Siga uno de estos procedimientos:
• Si ha guardado una plantilla, selecciónela de la lista desplegable.

• Si no ha guardado ninguna plantilla, introduzca un nombre para la plantilla en el cuadro de texto Guardar como.
Cuando haya rellenado todos los campos relevantes (es decir, todos aquellos que quiera guardar como plantilla)
7. Seleccione Destinatarios.
Note
Este campo es obligatorio. Debe seleccionar al menos un destinatario.
8. (Opcional) Seleccione los destinatarios que quiera poner en CC.

9. Introduzca un asunto para el correo electrónico.
Note
Puede introducir variables de la lista desplegable según sea necesario.

10. Introduzca el texto del cuerpo del correo electrónico.
Puede introducir variables de la lista desplegable según sea necesario.
11. (Opcional) Seleccione la información de pruebas que se debe adjuntar en el correo electrónico.
Puede seleccionar cualesquiera, todas o ninguna de las opciones.
• Adjuntar archivo CSV con información de la lista de pruebas

• Adjuntar archivos de pruebas descifrados, archivos HTML de cadena coincidente y página de detalles del incidente
página de detalles del incidente (página HTML)
archivos de pruebas descifrados
archivos HTML de cadena coincidente descifrados

12. Seleccione una limitación de tamaño para el correo electrónico o acepte la predeterminada (5 MB). Haga clic en
Siguiente.
13. Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación y Valor. Cuando haya
Resultados
Creación de una tarea de definición de revisor
Puede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir la carga de trabajo en organizaciones
de gran tamaño.
Antes de empezar
En McAfee ePO Gestión de usuarios → Conjuntos de permisos, cree un revisor o designe un revisor de grupo con permisos
Definir revisor para Gestor de incidentes de DLP y Operaciones de DLP.
La tarea Definir revisor asigna un revisor a los incidentes o eventos según los criterios de la regla. La tarea solo se ejecuta en los
incidentes donde no se ha asignado un revisor. No puede utilizarla para reasignar incidentes a otro revisor.
Procedimiento
2. Haga clic en las pestañas Tareas de incidentes o Tareas de evento operativo.
• Para McAfee DLP Endpoint: seleccione un tipo de incidente en la lista desplegable (solo Tareas de incidentes), elija
Definir revisor en el panel Tipo de tarea y, a continuación, haga clic en Acciones → Nueva regla.
• En McAfee DLP Discover: seleccione en la lista desplegable la opción Datos en reposo (red).
4. Introduzca un nombre y, si lo desea, una descripción. Seleccione un revisor o un grupo y, a continuación, haga clic en
Siguiente.
Las reglas se habilitan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecución de la regla.
Tip
Si hay varias reglas de Definir revisor, puede volver a ordenarlas en la lista.
Resultados
Note
No puede omitir el revisor mediante una tarea de Definir revisor una vez que se ha establecido el revisor.

Supervisar resultados de la tarea

Supervise los resultados de las tareas de incidentes y de eventos operativos.
Procedimiento
1. En McAfee ePO, seleccione Menú → Automatización → Registro de tareas servidor.
2. Localice las tareas de McAfee DLP completadas.
Tip
Introduzca DLP en el campo Búsqueda rápida o defina un filtro personalizado.
3. Haga clic en el nombre de la tarea.

Aparecen los detalles de la tarea, incluidos todos los errores si la tarea falló.
Creación de informes
Tipos de informes
Utilice las funciones de generación de informes de McAfee ePO para supervisar el rendimiento.
Se admiten cuatro tipos de informes en los paneles de McAfee ePO:
• Resumen de incidentes de DLP

• Resumen de descubrimiento de DLP Endpoint
• Resumen de directivas de DLP
• Resumen de operaciones de DLP
Los paneles proporcionan un total de 22 informes, basándose en las 28 consultas encontradas en Menú → Informes →
Consultas e informes → Grupos de McAfee → Data Loss Prevention en la consola de McAfee ePO.
Opciones del informe
(Este tema trata sobre el uso de McAfee DLP Endpoint con MVISION ePO) Los productos McAfee DLP utilizan los informes
de McAfee ePO para revisar eventos. Asimismo, puede ver información sobre las propiedades del producto en el panel de
McAfee ePO.
Informes de McAfee ePO

El software McAfee DLP Endpoint integra la generación de informes con el servicio de generación de informes de McAfee ePO.
Se admiten las consultas y los informes de datos acumulados de McAfee ePO, que resumen los datos procedentes de varias
bases de datos de McAfee ePO.
Se admiten las notificaciones de McAfee ePO.

Paneles de ePO
Puede ver información sobre las propiedades del producto de McAfee DLP en la páginaMcAfee ePO Menú → Paneles. Estos son
los cuatro paneles predefinidos:
• Resumen de incidentes de DLP

• Resumen de descubrimiento de DLP Endpoint
• Resumen de directivas de DLP
• Resumen de operaciones de DLP
Puede editar y personalizar los paneles y crear monitores.
Las consultas predefinidas resumidas en los paneles están disponibles al seleccionar Menú → Consultas e informes. Se
enumeran en Grupos de McAfee.
Creación de una tarea servidor de acumulación de datos
Las tareas de acumulación de McAfee ePO extraen datos de varios servidores para generar un único informe. Puede crear
informes de acumulación para los eventos e incidentes operativos de McAfee DLP.
Procedimiento
1. En McAfee ePO, seleccione Menú → Automatización → Tareas servidor.
2. Haga clic en Nueva tarea.
3. En el Generador de tareas servidor, introduzca un nombre y una nota opcional; a continuación, haga clic en Siguiente.
4. En la lista desplegable Acciones, seleccione Acumular datos.
Aparece el formulario de datos acumulados.
5. (Opcional) Seleccione servidores en el campo Acumular los datos de la tabla desde.
6. En la lista desplegable Tipos de datos, seleccione Incidentes de DLP, Eventos operativos de DLP o McAfee DLP Endpoint
Discovery, según sea necesario.
7. (Opcional) Configure las opciones Purgar, Filtro o Método de acumulación. Haga clic en Siguiente.
8. Introduzca el tipo de planificación, la fecha de inicio, la fecha de finalización y la hora de planificación. Haga clic en
Siguiente.
9. Revise la información de Resumen y haga clic en Guardar.

17| DLP Help Desk
DLP Help Desk

¿Qué es DLP Help Desk?
DLP Help Desk genera omisiones que permiten a los usuarios realizar funciones que normalmente no están permitidas.
Liberación de la cuarentena
El descubrimiento de McAfee DLP Endpoint puede poner en cuarentena el sistema de archivos local (Windows y Mac) o
los archivos de almacenamiento de correo electrónico con contenido de carácter confidencial. Para liberar los archivos en
cuarentena, el usuario debe solicitar un código de liberación de la cuarentena al administrador.
Omisión de la directiva
Cuando se produce un caso empresarial legítimo, un usuario puede solicitar el permiso para acceder o transferir información
de carácter confidencial. El administrador, a continuación, puede conceder permiso durante un tiempo limitado. Cuando esto
sucede, toda la información de carácter confidencial se supervisa, en lugar de bloquearse, de acuerdo con las reglas existentes.
Tanto el usuario como el administrador del sistema reciben mensajes sobre el estado de omisión cuando están activados
y desactivados. El usuario ve un mensaje emergente. El administrador ve una entrada de evento en la Lista de eventos
operativos.
Desinstalación del cliente

El cliente de McAfee DLP Endpoint está protegido frente a la eliminación no autorizada. Aunque un administrador suele
desinstalarlo mediante McAfee ePO, existen situaciones en las que es necesario desinstalarlo en el campo. Cuando un
administrador emite un código de liberación (también conocido como clave de comprobación-respuesta), puede eliminar el cliente
mediante las funciones estándar de Microsoft Windows o macOS o desinstaladores de terceros.
Cómo omitir el funcionamiento de las claves

DLP Help Desk permite a los administradores crear claves de liberación para situaciones que se encuentran fuera del flujo de
trabajo normal.
McAfee DLP Endpoint utiliza un mecanismo de desafío-respuesta para omitir la seguridad en casos especiales. Cuando una
situación afecta a varios usuarios, se aplica otro mecanismo.
Claves de liberación individuales

Algunos ejemplos de situaciones que requieren una clave de liberación individual son:
• Un usuario debe liberar correos electrónicos en cuarentena para eliminar la información de carácter confidencial.
• El cliente de McAfee DLP Endpoint debe desinstalarse, pero no se puede usar McAfee ePO porque el equipo está fuera
de la red corporativa.
• Un usuario tiene una razón empresarial válida para realizar una operación puntual que una directiva de seguridad
bloquea.

17| DLP Help Desk
Protocolo desafío-respuesta
El usuario de endpoint abre la pestaña Tareas en la consola de McAfee DLP Endpoint donde se muestran un código de
identificación (el desafío) y la información de revisión de la directiva. Esta información es específica del equipo cliente de McAfee
DLP Endpoint que solicita la omisión.
1. El usuario envía el código de ID y el número de revisión de directiva a un administrador, por lo general mediante un
mensaje de texto, una llamada telefónica o un correo electrónico.
2. El administrador introduce la información proporcionada en la consola de Help Desk de DLP y genera un código de
liberación (la respuesta) y lo envía al usuario.
3. El usuario introduce el código de liberación en el cuadro de texto correspondiente y continúa con la tarea de liberación,
omisión o desinstalación.
Claves de liberación para varios usuarios

Las claves de liberación generadas con un código de liberación global no se introducen en la entrada de un código de desafío
generado por un cliente de McAfee DLP Endpoint específico. En lugar de ello, cualquier equipo de la red puede utilizarlas.
Para evitar un uso indebido, su validez es de tiempo limitado y deben aplicarse en un plazo de 60 minutos tras haber sido
generadas. Se pueden generar claves de liberación globales con seguridad estándar o reforzada. El administrador selecciona
el nivel de seguridad en la página Ajustes de DLP → Avanzado. Las versiones más recientes de McAfee DLP Endpoint son las
únicas compatibles con el código de liberación global seguro. No se debe usar con versiones no compatibles. Consulta el artículo
KB90417 para obtener información sobre las versiones compatibles.
Comprender los números de revisión

Los números de revisión se asignan automáticamente a las directivas y se utilizan para solucionar problemas y crear claves de
omisión de DLP Help Desk.

17| DLP Help Desk
Todas las funciones de DLP Help Desk crean códigos de liberación utilizando los números de revisión, mencionados en la
interfaz de usuario como ID de revisión. Para los códigos de liberación de omisión, la configuración predeterminada es el uso de
números de revisión, lo cual es opcional.
Cuando un administrador crea una directiva en McAfee DLP se asigna el número de revisión 1 a la directiva. Este número se
incrementa cada vez que se cambia la directiva. Además de su uso para solicitar una clave de omisión o desinstalación, el
número de revisión es importante para respaldar los procesos de solución de problemas, lo cual garantiza que los cambios en
las directivas se aplican realmente en los endpoints.
Localizar el número de revisión
Localización de la información sobre el número

de versión
McAfee ePO Administrador de directivas de DLP, en la ficha

Asignación de directivas
en el endpoint
• McAfee DLP Endpoint para Windows: consola de
endpoint, ficha Tareas
• McAfee DLP Endpoint for Mac: consola endpoint
en la página Prevención de fuga de datos
Creación de claves de omisión

Un administrador genera una clave de omisión para cada solicitud de clave de desafío. También puede generar un código de
liberación global cuando hay varios equipos involucrados.
Todas las claves de omisión requieren entradas similares. Se deben tener en cuenta las siguientes diferencias:
Procedimiento
1. En McAfee ePO, seleccione Menú → Protección de datos → DLP Help Desk.
2. Seleccione un tipo de clave.
3. Rellene los campos obligatorios (y opcionales).
Cuando se rellenan todos los campos obligatorios, se activa el botón Generar clave.
4. Generar el código de liberación y enviarlo al usuario.

18| Diagnóstico
Diagnóstico
Herramienta de diagnóstico
Herramienta de diagnóstico
La herramienta de diagnóstico está diseñada para facilitar la resolución de problemas de McAfee DLP Endpoint en equipos
endpoint de Microsoft Windows. No se admite en equipos OS X.
La herramienta de diagnóstico recopila información sobre el rendimiento del software cliente. El equipo de TI utiliza esta
información para solucionar problemas y ajustar directivas. Cuando existen problemas graves, se puede utilizar para recopilar
datos para que los analice el equipo de desarrollo de McAfee DLP.
La herramienta se instala con el paquete de software cliente de McAfee DLP Endpoint. Busque hdlpDiag.exe en la carpeta
C:\Archivos de programa\McAfee\DLP\Agent\Tools. Haga doble clic en hdlpDiag.exe e introduzca el código de validación para
abrir la utilidad de la herramienta de diagnóstico. Consta de siete páginas con pestañas, cada una destinada a un aspecto
diferente del funcionamiento del software de McAfee DLP Endpoint.
Note
En las páginas que muestran información en tablas, que son todas excepto Información general y Herramientas, puede
ordenar las tablas por cualquier columna si hace clic en el encabezado de la columna deseada.
Información general Recopila datos como, por ejemplo, si se están

ejecutando los procesos y controladores del agente,
así como la directiva general, el agente e información
de registro. Cuando se detecta un error, se muestra
información sobre este.
Módulos de DLPE Muestra la configuración del agente (como en la

consola de directivas de McAfee DLP Endpoint, igual
que en la página Configuración de los agentes
→ Varios). Muestra el ajuste de configuración y el
estado de cada módulo, complemento y controlador.
Al seleccionar un módulo, se muestran detalles que
pueden ayudarle a determinar los problemas.
Flujo de datos Muestra el número de eventos y la memoria

utilizada por el cliente de McAfee DLP Endpoint,

18| Diagnóstico
así como información de los eventos cuando se

selecciona uno específico.
Herramientas Permite llevar a cabo varias pruebas y muestra los

resultados. En caso de ser necesario, se realiza un
volcado de datos para su posterior análisis.
Lista de procesos Muestra todos los procesos que se están ejecutando

actualmente en el equipo. Al seleccionar un proceso,
se muestran detalles y los títulos de ventana y las
definiciones de aplicaciones relacionados.
Dispositivos Muestra todos los dispositivos Plug and Play y

extraíbles que están conectados actualmente al
equipo. Al seleccionar un dispositivo, se muestran
los detalles del dispositivo y las definiciones de
dispositivo relacionados.
Muestra todas las reglas de control de dispositivos
activos y las definiciones relevantes de las
definiciones de dispositivos.
Directiva activa Muestra todas las reglas incluidas en la directiva

activa y las definiciones de directiva relevantes. Al
seleccionar una regla o definición, se muestran los
detalles.
Comprobación del estado del agente
Utilice la ficha Información general para obtener una descripción general del estado del agente.
La información de la ficha Información general está diseñada para confirmar las expectativas y responder a preguntas básicas.
¿Están en ejecución los procesos y los controladores del agente? ¿Qué versiones de producto están instaladas? ¿Cuál es la
directiva y el modo de operación actuales?
Procesos y controladores del agente

Una de las preguntas más importantes en la solución de problemas es: "¿se está ejecutando todo según lo esperado?" Las
secciones Procesos del agente y Controladores lo muestran de un vistazo. Las casillas de verificación muestran si el proceso
está activado; el punto de color muestra si está ejecutándose. Si el proceso o el controlador están desactivados, el cuadro de
texto proporciona información sobre lo que no funciona.
La memoria máxima predeterminada es de 150 MB. Un valor alto de este parámetro puede indicar problemas.

18| Diagnóstico
Procesos del agente
Término Proceso Estado esperado
Fcag Agente (cliente) de McAfee DLP activado; en ejecución

Endpoint
Fcags Servicio de agente de McAfee activado; en ejecución

DLP Endpoint
Fcagte Extractor de texto de McAfee activado; en ejecución

DLP Endpoint
Fcagwd Vigilancia de McAfee DLP activado; en ejecución

Endpoint
Fcagd Agente con volcado automático solo se ha activado para la

de McAfee DLP Endpoint solución de problemas.
Controladores
Término Proceso Estado esperado
Hdlpflt Controlador de minifiltros activado; en ejecución

de McAfee DLP Endpoint
(implementa las reglas de
dispositivo de almacenamiento
extraíble)
Hdlpevnt Evento de McAfee DLP Endpoint activado; en ejecución
Hdlpdbk Controlador de filtro de se puede desactivar en la

dispositivo de McAfee DLP configuración
Endpoint (implementa las reglas
de Plug and Play del dispositivo)
Hdlpctrl Control de McAfee DLP Endpoint activado; en ejecución
Hdlhook Controlador de interceptación de activado; en ejecución

McAfee DLP Endpoint

18| Diagnóstico
Sección de información de agente

Se espera que Modo de operación y Estado del agente coincidan. La indicación Conectividad del agent, junto con la dirección
EPO puede ser de utilidad en la solución de problemas.
Note
Conectividad del agente tiene tres opciones: en línea, sin conexión o conectada por VPN.
Ejecutar la herramienta de diagnóstico
La herramienta de diagnóstico proporciona a los equipos de TI información detallada sobre el estado del agente.
Antes de empezar
La herramienta de diagnóstico requiere autenticación con McAfee® Help Desk.
Procedimiento
1. Vaya a C:\Archivos de programa\McAfee\DLP\Agent\Tools y haga doble clic en el archivo hdlpDiag.exe.
Se abre una ventana de autenticación.
2. Copie el código de identificación en el cuadro de texto Código de identificación de Help Desk en la página Generar clave
de omisión de cliente de DLP. Complete el resto de la información y cree un código de liberación.
3. Copie el código de liberación en el cuadro de texto Código de validación de la ventana de autenticación y haga clic en
Aceptar.
Se abre la herramienta de diagnóstico.

Note
Las pestañas Información general, Módulos DLPE y Lista de procesos disponen del botón Actualizar en la esquina inferior
derecha. Los cambios que se producen cuando hay una pestaña abierta no actualizan la información de dichas pestañas
automáticamente. Haga clic en el botón Actualizar con frecuencia para asegurarse de que está visualizando los datos más
actuales.
Ajuste de directivas
La herramienta de diagnóstico se puede utilizar para solucionar problemas o ajustar directivas.
Caso práctico: uso alto de la CPU
En ocasiones, los usuarios pueden verse afectados por un rendimiento lento cuando se implementa una directiva nueva. Una
causa podría ser el alto uso de la CPU. Para averiguarlo, vaya a la pestaña Lista de procesos. Si ve más eventos de lo normal
para un proceso, ese podría ser el problema. Por ejemplo, una comprobación reciente detectó que taskmgr.exe estaba clasificado
como Editor y tenía el segundo mayor número de eventos totales. Es muy poco probable que esta aplicación esté perdiendo
datos, por lo que el cliente de McAfee DLP Endpoint no la tiene que supervisar tan de cerca.

18| Diagnóstico
Para probar esta teoría, cree una plantilla de aplicación. En el Catálogo de directivas, vaya a Directiva de DLP → Ajustes y
establezca una omisión en De confianza. Aplique la directiva y pruebe si el rendimiento ha mejorado.
Caso práctico: creación de criterios efectivos de clasificación de contenido y de identificación por

huellas digitales de contenido.
El marcado de datos confidenciales constituye el aspecto central de una directiva de protección de datos. La herramienta de
diagnóstico muestra información que le ayudará a diseñar criterios efectivos de clasificación de contenido y de identificación
por huellas digitales de contenido. Las etiquetas pueden ser demasiado estrictas y provocar que se omitan datos que también
deberían etiquetarse, o demasiado dispersas y dar lugar a falsos positivos.
En la página Directiva activa se muestran las clasificaciones, así como los criterios de clasificación de contenido y de
identificación por huellas digitales de contenido. En la página Flujo de datos se muestran todas las etiquetas aplicadas por
la directiva y el recuento de cada una de ellas. Cuando los recuentos son superiores a lo esperado, puede que existan
falsos positivos. En un caso particular, un recuento extremadamente alto permitió descubrir que el texto de renuncia había
desencadenado la clasificación. Al añadir el aviso de renuncia a la lista de ignorados se eliminaron los falsos positivos. En la
misma línea, si un recuento es muy inferior a lo esperado, se puede deducir que existe una clasificación demasiado estricta.
Si se etiqueta un nuevo archivo mientras la herramienta de diagnóstico está en ejecución, la ruta del archivo se muestra en el
panel de detalles. Utilice esta información para localizar archivos para pruebas.
Solucionar problemas de uso de la CPU elevado

Determine el origen del uso elevado de la CPU.
Un análisis de los informes de cliente sobre el uso de la CPU elevado por parte del cliente de McAfee DLP Endpoint (fcag.exe) ha
demostrado que, en muchos casos, este comportamiento se debe a uno de los dos siguientes problemas raíz:
• Detección de URL de la barra de direcciones del navegador.

• Aplicaciones específicas que abren un gran número de archivos para su lectura.
Procedimiento
1. En el Catálogo de directivas, cree una nueva configuración de cliente de Windows.
Duplique una directiva que tenga un problema con el uso de la CPU.
2. En la sección Navegadores de la página Módulos y modos de funcionamiento, quite la selección de la protección web
para el navegador que desee probar.
3. Aplique la directiva a un pequeño número de equipos.
Si se resuelve el problema, aplique la configuración del cliente a los otros sistemas.
Resultados
Desactivar la detección de URL de la barra de direcciones del navegador no afecta a la protección web y ni a la detección de
aplicaciones web en las reglas de protección de la publicación web, pero sí afecta a la detección de aplicaciones web en las reglas
siguientes:
• Protección del Portapapeles: no puede crear reglas que bloqueen la acción de copiar o pegar texto desde una página de
aplicación web específica.

18| Diagnóstico
• Protección de recursos compartidos de red: no puede crear reglas que bloqueen la acción de guardar un archivo o una
página web desde una página de aplicación web específica a un recurso compartido de red.
• Protección contra impresión: no puede bloquear la impresión desde aplicaciones web específicas.
• Protección de almacenamiento extraíble: no puede bloquear la acción de guardar archivos desde una página de
aplicación web específica.
• Protección contra capturas de pantalla: no puede bloquear las capturas de pantalla cuando una página de aplicación
web específica está visible en pantalla.
• Identificación por huellas digitales de contenido de aplicación web: no puede configurar criterios de identificación por
huellas digitales para los archivos de identificación por huellas digitales descargados desde una página de aplicación
web específica.
En todos estos casos, se necesita la URL de la barra de direcciones del navegador para identificar la aplicación web específica.

19| Mantenimiento y solución de problemas de appliances
Mantenimiento y solución de problemas de appliances

Supervisión de paquetes descartados en un appliance virtual
Los paquetes descartados no se notifican en las tarjetas de Mantenimiento del sistema del panel Gestión de appliances. En su
lugar, puede obtener información al respecto desde la aplicación virtual.
Procedimiento
1. Inicie sesión en el host de VMware ESXi o VMware ESX, o bien en vCenter Server mediante vSphere Client.
2. Seleccione el host de VMware ESXi o ESX en la lista de inventario.
3. Seleccione el appliance virtual y haga clic en la pestaña Rendimiento.
4. Haga clic en Avanzado → Opciones de gráfico.
5. Seleccione Red → En tiempo real.
6. Habilite los contadores de Transmitir paquetes descartados y Recibir paquetes descartados y haga clic en Aplicar.
El appliance de McAfee DLP Prevent no acepta correo electrónico

Si no hay un host inteligente configurado, el appliance de McAfee DLP Prevent no puede aceptar mensajes de correo electrónico
porque no tiene ningún lugar al que enviarlos.
McAfee DLP Prevent presenta el error Problema del sistema 451: vuelva a intentarlo más tarde. (No se ha configurado ningún host
inteligente) y cierra la conexión.
Tip
Puede comprobar si McAfee DLP Prevent puede aceptar correo electrónico usando telnet. Si el appliance está configurado
correctamente, aparece un mensaje de bienvenida 220:
220 host.dominio.ejemplo PVA/SMTP listo
Para resolver un problema de conexión, debe realizar lo siguiente:
Procedimiento
1. Instale las extensiones necesarias en McAfee ePO.
2. Registre el appliance con un McAfee ePO.
Siga los pasos de la Ayuda del Asistente de instalación.
3. Configure al menos un servidor DNS en la directiva Ajustes generales de gestión de appliances.
4. Configure un host inteligente en la categoría de directiva Ajustes de correo electrónico de McAfee DLP Prevent.
5. Aplique una directiva de McAfee Data Loss Prevention.
Consulte la sección de asignación de directivas de la Guía del producto de McAfee ePolicy Orchestrator .

Purga de los datos de appliance de la base de datos de McAfee ePO

Para permitir el funcionamiento correcto de sus appliances de McAfee, debería realizar periódicamente algunas tareas de
mantenimiento.
Los appliances gestionados por la extensión de gestión de appliances envían información de uso y del sistema guardada en la
base de datos de McAfee ePO.
Tip
Permita que la tarea Purgar datos históricos de Gestión de appliances se ejecute tal como se ha definido, a fin de evitar que
la base de datos se haga demasiado grande.
Sustitución del certificado predeterminado

Puede sustituir el certificado autofirmado del appliance de McAfee DLP predeterminado por el certificado emitido por una
autoridad de certificación (CA, por sus siglas en inglés) o una CA intermedia para que otros hosts de la red puedan validar el
certificado SSL del appliance.
Antes de empezar
SSH debe estar activado.
Para sustituir el certificado, puede hacer una de estas cosas:
• Cargar un certificado y una clave privada nuevos.

• Descargue una solicitud de firma de certificado (CSR, por sus siglas en inglés) del appliance, haga que lo firme una CA y
cargue el certificado que le entregue la CA.
Tip
Descargar una CSR del appliance garantiza que la clave privada del appliance no pueda quedar desprotegida
involuntariamente.
Solo se permiten certificados y claves ECDSA y RSA en el archivo cargado. El certificado debe ser adecuado para su uso como
servidor TLS y como cliente TLS, y la carga debe incluir toda la cadena de certificados. Las cargas se pueden realizar en los
siguientes formatos:
• PEM (Base64): cadena de certificados y clave privada o solo cadena de certificados

• PKCS#12: cadena de certificados y clave privada
• PKCS#7: solo cadena de certificados
Si el formato de la carga es PKCS#12 o PKCS#7, se deben utilizar las terminaciones de archivo correctas:
• PKCS#12 debe tener la terminación de archivo .p12 o .pfx.

• PKCS#7 debe tener la terminación de archivo .p7b.

Es posible que el certificado no se pueda instalar si ocurre lo siguiente:
• El certificado no se puede usar para el rol previsto.

• El certificado ha caducado.
• El archivo que se ha cargado no contiene los certificados de CA que necesita para verificarlo.
• El certificado emplea un algoritmo de clave pública no admitido, tal como DSA.
Si falla la instalación, se dispone de información detallada en el syslog del appliance. Para verla, inicie sesión en la consola del
appliance, seleccione la opción Shell y escriba $ grep import_ssl_cert /var/log/messages.
Procedimiento
1. En un navegador, vaya a https://APPLIANCE:10443/certificates/ y seleccione uno de los vínculos de CSR para la
descarga.
Se dispone de dos archivos: uno contiene una clave pública RSA (la terminación del archivo es .rsa.csr), mientras que el otro
contiene una clave pública ECDSA (la terminación del archivo es .ec.csr).
2. Siga las instrucciones de su CA para obtener la firma de la solicitud.
3. Utilice un cliente de SCP, como winscp, para copiar la CA raíz y cualquier certificado de CA intermedia que se haya
usado para firmar el certificado del appliance en el directorio /home/admin/upload/cacert del appliance.
Puede ver si la instalación se ha realizado con éxito o se ha producido un error en la página Eventos de cliente.
Note
El certificado de CA y los certificados de CA intermedia deben importarse antes de importar el certificado del appliance.
4. Utilice un cliente SCP, como WinSCP, para copiar el certificado firmado del appliance en el directorio /home/admin/
upload/cert del appliance.
Note
El archivo transferido a la carpeta /home/admin/upload/cert desaparece tras la ingesta correcta, lo que significa que
la utilidad de ingesta ha seleccionado el archivo y lo ha procesado para su uso posterior. Normalmente, el archivo
desaparece incluso antes de acceder a la carpeta para comprobar la carga. Sin embargo, si el archivo se encuentra en
esta carpeta después de completarse la carga, es indicativo de un error. También puede comprobar si la instalación se
ha realizado correctamente o se ha producido un error desde /var/log/messages o la página Eventos de cliente.
Resultados
El archivo se instala automáticamente.
Volver a generar la clave privada del appliance
Puede volver a generar la clave privada si esta se ha visto comprometida, o bien si necesita renovar un certificado que se firmó
externamente.

Procedimiento
1. Inicie sesión en la consola del appliance.
2. Seleccione la opción Shell.
3. Escriba sudo /opt/NETAwss/mgmt/make_ssl_cert.
Se renovarán la clave privada, el certificado autofirmado y las solicitudes de firma de certificado del appliance.
Si el appliance estaba utilizando un certificado que se firmó externamente, se debe volver a cargar un certificado firmado.
Copias de seguridad de la configuración

En McAfee DLP, es posible crear copias de seguridad de los datos de configuración que se pueden restaurar. Las tareas de copia
de seguridad se ejecutan según sea necesario desde el back-end y no se pueden planificar.
En una copia de seguridad de McAfee DLP se incluyen los siguientes componentes.
• La base de datos SQL

• Las extensiones instaladas
• Las claves para la comunicación agente-servidor y los repositorios de McAfee ePO
• Todos los productos incorporados al repositorio principal
• Los ajustes de configuración del servidor para Apache, los certificados SSL necesarios para autorizar el servidor a fin de
gestionar solicitudes de los agentes y los certificados de la consola
Para crear una copia de seguridad de su configuración y servidor de McAfee ePO, véase KB66616.
Copias de seguridad de la configuración del appliance de McAfee DLP
Puede crear copias de seguridad de los ajustes de configuración de su appliance de McAfee DLP si necesita consultar los ajustes
de configuración en el futuro.
Procedimiento
1. En el menú de McAfee ePO, seleccione Directiva → Catálogo de directivas.
2. En la página Catálogo de directivas, seleccione Gestión de appliances de DLP <versión> en la lista desplegable
Productos.
3. En McAfee ePO 5.9 y versiones anteriores, seleccione Todo en la lista desplegable Categoría.
a. Haga clic en Exportar en Directivas de producto para crear una copia de seguridad de las opciones de
configuración. O BIEN
4. En McAfee ePO 5.10, seleccione Nueva directiva → Exportar.
5. En la página Exportar, descargue y guarde cada archivo.
6. En la página Catálogo de directivas, seleccione Ajustes generales de administración de appliances <versión> de la lista
desplegable Producto.
7. Repita los pasos del 3 al 5 para crear una copia de seguridad de los Ajustes generales de gestión de appliances.


Al reinstalar el appliance, use la opción Importar para reutilizar los ajustes de configuración del appliance de McAfee DLP.
• En McAfee ePO 5.10, seleccione Nueva directiva → Importar.

• En McAfee ePO 5.10 y versiones anteriores, seleccione Directivas de producto → Importar.
Mensajes de error
Si el appliance no está configurado correctamente, trata de identificar el problema y envía un mensaje de error temporal o
permanente.
El texto entre paréntesis del mensaje de error proporciona información adicional sobre el problema.
Algunos mensajes de error retransmiten la respuesta del host inteligente, de manera que la respuesta de McAfee DLP Prevent
contiene la dirección IP, que viene indicada por x.x.x.x.
Por ejemplo, el error 442 192.168.0.1: Conexión rechazada indica que el host inteligente con la dirección 192.168.0.1 no ha
aceptado la conexión SMTP.
Mensajes de errores temporales
Texto Causa Acción recomendada
451 The system has not been No se ha completado la Registre el appliance con
registered with an ePO server (El instalación inicial. un servidor de McAfee ePO
sistema no se ha registrado con mediante la opción Asistente
un servidor de ePO) de configuración gráfico de la
consola del appliance.
451 (No se ha configurado La configuración aplicada desde Configure al menos un servidor

ningún servidor DNS) McAfee ePO no ha especificado DNS en la categoría General de
ningún servidor DNS. la directiva Ajustes generales del
appliance.
451 (No se ha configurado La configuración aplicada desde Configure un host inteligente en

ningún host inteligente) McAfee ePO no ha especificado la categoría de directiva Ajustes
ningún host inteligente. de correo electrónico de McAfee
DLP Prevent.
451 (El archivo de directivas OPG La configuración de directivas

• Confirme que se ha instalado
no se encuentra en la ubicación aplicada desde McAfee ePO la extensión de Data Loss
configurada) estaba incompleta. Prevention.

• Configure una directiva de Data

Loss Prevention.
• Póngase en contacto con el
soporte técnico. El archivo
de configuración OPG debe
aplicarse con el archivo de
directivas OPG.
451 (El archivo de configuración La configuración de directivas de

• Asegúrese de que se ha
OPG no se encuentra en la McAfee ePO estaba incompleta. instalado la extensión de Data
ubicación configurada) Loss Prevention.
• Configure una directiva de Data
Loss Prevention.
• Póngase en contacto con el
servicio de soporte técnico. El
archivo de configuración OPG
debe aplicarse con el archivo de
directivas OPG.
451 (Falta la configuración del Este error se produce cuando se Compruebe que el servidor LDAP
servidor LDAP) cumplen estas dos condiciones: esté seleccionado en la categoría
de directiva Usuarios y grupos.
• McAfee DLP Prevent contiene
una regla que especifica un
emisor como miembro de un
grupo de usuarios LDAP.
• McAfee DLP Prevent no
está configurado para recibir
información del servidor LDAP
que contiene ese grupo de
usuarios.
451 (Error al resolver la directiva Una directiva contiene Compruebe que el servidor LDAP
basada en el emisor) condiciones del emisor LDAP, esté disponible.
pero no puede obtener la
porque:

• McAfee DLP Prevent y el

servidor LDAP no se han
sincronizado.
• El servidor LDAP no responde.
451 (No se ha podido llevar a Las pruebas criptográficas Póngase en contacto con el
cabo la prueba de FIPS) automáticas necesarias para soporte técnico.
la conformidad con FIPS han
fallado.
451 (No se han podido verificar El servidor de documentos Compruebe la configuración para
los datos con respecto al servidor registrados no está disponible. confirmar que el servidor esté
de documentos registrados) disponible y que la información
introducida sea correcta.
442 x.x.x.x: conexión rechazada McAfee DLP Prevent no ha Compruebe que el host
podido conectarse al host inteligente puede recibir correos
inteligente para enviar el electrónicos.
mensaje o se ha perdido la
conexión al host inteligente
durante una conversación.
Mensajes de errores permanentes
Error Causa Acción
Autenticación 530 requerida El MTA no envía credenciales de Configure el MTA para enviar
autenticación. credenciales de inicio de sesión
de autenticación.
Autenticación 530 requerida: la El host inteligente no presenta Configure el host inteligente para
conversación AUTH es necesaria AUTH como parte de su enviar credenciales de AUTH
para la entrega de enlace respuesta a la solicitud de EHLO LOGIN.
del appliance de McAfee DLP
Prevent.
Error 504: mecanismo de El host inteligente no es El host inteligente debe ser

autenticación compatible no compatible con el mecanismo compatible con el mecanismo

Error Causa Acción
disponible para la entrega de de inicio de sesión para la de inicio de sesión para la

enlace autenticación. autenticación.
550 El host/dominio no está McAfee DLP Prevent ha Compruebe que el MTA se

permitido rechazado la conexión del MTA encuentra en la lista de hosts
de origen. permitidos en la categoría de
directiva Ajustes de correo
electrónico de McAfee DLP
Prevent.
550 x.x.x.x: denegado por El host inteligente no ha Compruebe la configuración de

la directiva. Conversación TLS aceptado un comando STARTTLS, TLS en el host.
requerida pero McAfee DLP Prevent está
configurado para enviar el correo
electrónico en todo momento a
través de una conexión TLS.
Mensajes de error de ICAP
Error Causa Acción
500 Unable to verify data against El servidor de documentos Compruebe la configuración para
the registered document server registrados no está disponible. confirmar que el servidor esté
(No se han podido verificar los disponible y que la información
datos con respecto al servidor de introducida sea correcta.
documentos registrados)
500 (Falta la configuración del Este error se produce cuando se Compruebe que el servidor LDAP
servidor LDAP) cumplen estas dos condiciones: esté seleccionado en la categoría
de directiva Usuarios y grupos.
• McAfee DLP Prevent contiene
una regla que especifica un
usuario final como miembro de
un grupo de usuarios LDAP.
• McAfee DLP Prevent no
está configurado para recibir

Error Causa Acción
que contiene ese grupo de

usuarios.
500 (Error al resolver la directiva Una directiva contiene Compruebe que el servidor LDAP
basada en el usuario final) condiciones del remitente LDAP, esté disponible.
pero no puede obtener la
porque:
• McAfee DLP Prevent y el

servidor LDAP no se han
sincronizado.
• El servidor LDAP no responde.
Solución de problemas de errores de copia de pruebas

La copia de pruebas puede fallar a causa de una configuración incorrecta, por falta de espacio de almacenamiento o por una
interrupción de la conectividad de red.
• Causa 1: recurso compartido de pruebas no especificado correctamente: el recurso compartido de pruebas no se ha

especificado correctamente en el campo Almacenamiento compartido de los Ajustes generales de McAfee DLP. Si la
ubicación compartida (UNC) está mal configurada, el agente no podrá cargar archivos de pruebas.
• Causa 2: el recurso compartido de pruebas se ha quedado sin espacio en disco: el recurso compartido de pruebas del
servidor de McAfee ePO se ha quedado sin espacio en disco.
• Causa 3: interrupción de la conectividad de red: a causa de una interrupción de la conectividad de red entre el appliance
y el recurso compartido o entre ePO y el recurso compartido.
Causa 1: recurso compartido de pruebas no especificado correctamente
Solución: compruebe la configuración del recurso compartido de pruebas
Para comprobar la configuración del recurso compartido de pruebas en el Catálogo de directivas:
1. Inicie sesión en McAfee ePO

2. Seleccione Catálogo de directivas → Data Loss Prevention <versión> → Configuración del servidor → Configuración de
mi servidor predeterminado.
3. Haga clic en Almacenamiento compartido y prueba y compruebe la configuración.
Para comprobar la configuración del recurso compartido de pruebas en Ajustes de DLP:
1. Inicie sesión en McAfee ePO.

2. Seleccione Protección de datos → Ajustes de DLP.

3. En la sección Almacenamiento compartido de la página Ajustes generales, compruebe la ruta proporcionada para
Ubicación de almacenamiento compartido (UNC).
Para comprobar la ruta de pruebas con el recurso compartido del servidor de McAfee ePO, consulte las propiedades del
directorio y haga clic en la pestaña Recurso compartido. La ruta de UNC para el recurso compartido es la visualización correcta
para Ruta de red.
Causa 2: el recurso compartido de pruebas se ha quedado sin espacio en disco

Solución: libere espacio en el disco de la unidad donde se ha creado el recurso compartido de pruebas.
Causa 3: interrupción de la conectividad de red

Solución: asegúrese de que se puede acceder al recurso compartido desde McAfee ePO y el appliance.
Para comprobar si se puede acceder al recurso compartido desde McAfee ePO:
1. Seleccione Protección de datos → Ajustes de DLP → General.

2. En la sección Almacenamiento compartido, añada la ruta correcta de Ubicación de almacenamiento compartido (UNC).
3. Haga clic en Probar credenciales.
Para probar la conectividad desde el appliance:
1. Inicie sesión en el appliance ssh <appliance>.

2. Ejecute scm mash
3. Vaya a MER and Diagnostic tests.
4. Haga clic en Evidence share tests.
5. Seleccione la prueba correspondiente para ver si la conexión se realiza correctamente.
Solución de problemas y mantenimiento

Utilice la consola del appliance para las tareas de mantenimiento general, como cambiar los ajustes de red y realizar
actualizaciones de software.
Hay disponibles opciones para la solución de problemas, comprobaciones de integridad y mensajes de error para ayudarle a
identificar y resolver los problemas relacionados con los appliances.
Sugerencias para la solución de problemas
Utilice esta información para identificar y solucionar problemas con la instalación, el registro, el uso y el mantenimiento de
McAfee DLP.
Fallo de registro del appliance en McAfee ePO

Compruebe que la conexión de red esté en funcionamiento y que las rutas estáticas que haya creado sean correctas. Haga ping
en el gateway predeterminado y en McAfee ePO desde la consola del appliance para probar la conexión de red.

Important
Si el registro sigue dando problemas, llame al soporte técnico. No intente volver a registrarse.
Conexión perdida entre McAfee ePO y el appliance

Es posible verificar el estado de la conexión para todos los appliances físicos y virtuales mediante la función Gestión de
appliances en McAfee ePO.
Para restaurar una conexión fallida, abra el Árbol de sistemas y seleccione el appliance que haya perdido la conexión. A
continuación, seleccione Acción → Agente → Activar agentes y haga clic en Aceptar.
Errores de registro
Los eventos de registro están disponibles en el registro Operaciones de DLP en McAfee ePO.
ID del evento Texto del evento de UI Descripción
19402 DLP Prevent registrado El appliance se ha registrado

ID del evento Texto del evento de UI Descripción
19403 Monitor de DLP registrado El appliance se ha registrado

correctamente en McAfee ePO.
Si el appliance no se registra, no se envía ningún evento. Encontrará más información en /var/log/messages.
Problemas de entrega de correo electrónico

Si un correo electrónico no se entrega, verifique si una instancia de McAfee DLP Prevent lo ha bloqueado. Acceda al Gestor de
incidentes de DLP en McAfee ePO para comprobar si existe algún incidente correspondiente al mensaje.
Si se configura la notificación por correo electrónico en McAfee ePO como una Reacción, se notificará al remitente.
Compruebe si el host inteligente puede recibir correo electrónico en caso de que:
• El appliance de McAfee DLP Prevent no pudiera conectar con el host inteligente para enviar el mensaje.
• Se haya interrumpido la conexión con el host inteligente durante una conversación.
Problemas de rechazo de correo electrónico
Si no hay un host inteligente configurado, el appliance de McAfee DLP Prevent no puede aceptar mensajes de correo electrónico
porque no tiene ningún lugar al que enviarlos.

Problemas de Web Gateway y McAfee DLP Prevent relacionados con ICAP

Verifique los ajustes de la categoría Ajustes web de McAfee DLP en Gestión de appliances de DLP en el Catálogo de directivas.
McAfee DLP Prevent procesa los ICAP y su tráfico en función de los servicios seleccionados de ICAP seguro, sin cifrar.
Si no se selecciona ninguno, el servidor ICAP del appliance de McAfee DLP Prevent no acepta ninguna conexión.
Si solo se habilita el ICAP seguro, asegúrese de que el cliente ICAP sea compatible con ICAP.
Es posible seleccionar los modos en los que el appliance de McAfee DLP Prevent puede funcionar para el tráfico ICAP desde
REQMOD y RESPMOD. Si se anula la selección de cualquiera de estos modos, el appliance de McAfee DLP Prevent ignora el
tráfico correspondiente y no lo procesa. No es posible deshabilitar REQMOD y RESPMOD al mismo tiempo.
Problemas relacionados con LDAP y Logon Collector

Si hay problemas de comunicación entre el appliance y Active Directory al consultar la información de usuario:
• Compruebe las credenciales de Active Directory configuradas en McAfee ePO.

• Si se selecciona SSL, compruebe que Active Directory acepte las conexiones seguras.
Si ha configurado Active Directory para utilizar los puertos del Catálogo global, compruebe que al menos uno de estos atributos
se replique en el servidor del Catálogo global desde los dominios del bosque:
• Direcciones de proxy
• Mail
Si un appliance necesita utilizar la autenticación NTLM para el tráfico ICAP, también deberán replicarse los siguientes atributos de
LDAP:
• configurationNamingContext
• netbiosname
• msDS-PrincipalName
En el caso de Logon Collector, compruebe el certificado de Logon Collector en el appliance.
Errores de instalación de extensiones

• Problemas de dependencia: puede haber un problema de dependencia si faltan las extensiones siguientes:
Paquete de Common UI
Extensión de gestión de appliances
Extensión de gestión de Data Loss Prevention
• Problemas de ampliación: se produce el error siguiente si instala la misma versión o una versión anterior a la de la
extensión: No se puede ampliar la extensión dlp-prevent-server-app a la <versión x.x.x.x> porque la <versión x.x.x.x> ya
está instalada.
Errores de inserción de directiva
Los eventos de inserción de directiva también están disponibles en el registro de Operaciones de DLP en McAfee ePO.

Si no es posible insertar una directiva, se pueden obtener detalles del appliance en el archivo /wk/mca/
ame_policy_DLPPS___1000_error.log.
Mantenimiento del sistema

El panel Gestión de appliances de McAfee ePO proporciona información para gestionar los dispositivos, ver el estado de
mantenimiento del sistema y obtener información detallada sobre las alertas.
El mantenimiento del sistema muestra el estado de:
• Cola de pruebas
• Solicitudes web y de correo electrónico (McAfee DLP Prevent)
• Análisis de paquetes (McAfee DLP Monitor)
• Uso de la CPU
• Memoria
• Disco
• Red
Muestra errores o advertencias relacionados con:
• Mantenimiento del sistema

• Tamaño de la cola de pruebas
• Implementación de directivas
• Comunicación entre McAfee ePO y los appliances.
Visualización de eventos de cliente
Los problemas relacionados con usuarios, LDAP o la instalación de certificados se muestran en la página Eventos de cliente.
1. En McAfee ePO, acceda al Árbol de sistemas.

2. Seleccione la casilla de verificación situada junto al appliance.
3. Seleccione Acciones y acceda a Agente → Mostrar eventos de cliente.
Los incidentes no se muestran en el Gestor de incidentes de DLP
1. Utilice el protocolo de escritorio remoto (RDP) para acceder a McAfee ePO.

2. Vaya a Servicios.
3. Confirme que el Analizador de eventos de McAfee ePO se esté ejecutando. Si se ha detenido o pausado, reinícielo para
resolver el problema.
Configuración de servidores de registro remotos

Se envía información de registro al syslog local y a uno o varios servidores de registro remoto, si se han habilitado. Las entradas
de syslog contienen información sobre el propio dispositivo (el proveedor, el nombre de producto y la versión), la gravedad del
evento y la fecha en la que el evento se ha producido. Utilice los ajustes de Registro en la categoría General de la directiva
Catálogo de directivas → Ajustes generales de gestión de appliances para configurar servidores de registro remoto.

Creación de un informe de escalación mínima (MER)

Cree un informe de escalación mínima para proporcionar al Soporte técnico la información necesaria para diagnosticar un
problema con McAfee DLP.
Es posible descargar el Informe de escalación mínima. Pueden estar disponibles hasta cinco informes al mismo tiempo. Cada
uno de ellos se eliminará transcurridas 24 horas. Si se genera otro informe, se elimina el informe más antiguo. La generación de
un Informe de escalación mínima puede tardar varios minutos y su tamaño será de varios megabytes.
El informe contiene información como registros de hardware, versiones de software, uso de memoria y espacio en disco,
información del sistema y la red, archivos abiertos, procesos activos, procesos de E/S, IPC, archivos de registro, contadores de
estado, generación de informes, detalles de imágenes de instalación interna y los resultados de diversas pruebas del sistema.
También proporciona información sobre DLP Capture y los metadatos relacionados con sus tareas de búsqueda.
Note
El informe no contiene información de la prueba ni del resaltado de coincidencias.
Procedimiento
1. Inicie sesión en el appliance con credenciales de administrador.
Se abrirá el menú general de la consola.
2. Utilice la tecla de la flecha hacia abajo para seleccionar Generate MER (Generar MER).
3. Escriba una contraseña que puede utilizar el servicio de soporte técnico de McAfee para abrir el MER y utilice la tecla de
la flecha para pasar al campo de confirmación de la contraseña.
4. Pulse INTRO para empezar a generar el informe.
Cuando el informe esté listo, recibirá una notificación con la dirección URL (https://<APPLIANCE>:10443/mer) desde la que
se podrá descargar el informe.
5. Vaya a la dirección URL y seleccione el Informe de escalación mínima que desee descargar.
6. Siga las instrucciones del servicio de soporte técnico de McAfee para enviar el informe.
Important
Cuando cree un informe de escalación mínima, especifique una contraseña para proteger el informe. No olvide incluir la
contraseña cuando envíe el informe al Soporte de McAfee, si la estableció.

20| Apéndice
Apéndice
Glosario
Terminología de McAfee DLP
Término Definición
Acción Lo que hace una regla cuando el contenido coincide

con la definición de la regla. Algunos ejemplos
comunes de acciones son bloquear, cifrar o poner
en cuarentena.
Rastreo Recuperación de archivos e información de los

repositorios, de los sistemas de archivos y del
correo electrónico. Aplicable a McAfee DLP Endpoint
(descubrimiento)
Clasificación Se utiliza para identificar y rastrear archivos y

contenido de carácter confidencial. Puede incluir
clasificaciones de contenido, huellas digitales
de contenido, documentos registrados y texto
ignorado.
Clasificación del contenido Mecanismo para identificar contenido de carácter

confidencial a partir de condiciones de datos, como
diccionarios y patrones de texto, y condiciones
de archivos como propiedades de documentos o
extensiones de archivos.
Identificación por huellas digitales de contenido Mecanismo para clasificar y rastrear contenido de
carácter confidencial. Los criterios de identificación
por huellas digitales de contenido especifican
aplicaciones o ubicaciones y pueden incluir
condiciones de archivos y datos. Las firmas de
huella digital mantienen el contenido de carácter
confidencial cuando este se copia o mueve.
Vector de datos Definición del uso o del estado del contenido.

McAfee DLP protege los datos confidenciales
cuando se almacenan (datos en reposo), cuando se

20| Apéndice
utilizan (datos en uso) y cuando se transfieren (datos

en movimiento).
Definición Un componente de configuración que crea una

clasificación.
Servidor Discover El servidor Windows donde se instala el software de

McAfee DLP Discover.
Puede instalar varios servidores Discover en su red.
Servidor de DLP Un servidor de McAfee DLP Discover que tiene

la función de servidor establecida en el servidor
de DLP. Los servidores de DLP se utilizan para
almacenar la base de datos de documentos
registrados.
También puede configurar el servidor de DLP
como un servidor proxy para copiar los archivos
de pruebas en el recurso compartido de archivos
de pruebas en escenarios donde el appliance de
McAfee DLP no tenga acceso directo al recurso
compartido de archivos de pruebas.
Clase de dispositivo Recopilación de dispositivos con características

parecidas que se pueden gestionar de un modo
similar. Las clases de dispositivos se aplican
únicamente en equipos con Windows y su estado
puede ser Gestionado, No gestionado o Excluido.
Información del archivo Una definición que puede incluir el nombre del
archivo, el propietario, el tamaño, la extensión y las
fechas de creación, modificación o acceso.
Utilice las definiciones de información de archivo
de los filtros para incluir o excluir los archivos que
analizar.
Identificación por huellas digitales Procedimiento de extracción de texto que utiliza un

algoritmo para asignar un documento a las firmas.
Se utiliza para crear documentos registrados y para
la identificación por huellas digitales de contenido.

20| Apéndice
Conformidad con FIPS El software criptográfico se configura y se utiliza de

una manera conforme con el estándar federal de
procesamiento de información 140-2.
Dispositivos gestionados Estado de una clase de dispositivos que indica que

los dispositivos de dicha clase son gestionados por
Device Control.
Cadena coincidente Contenido encontrado que coincide con una regla.
MTA Agente de transferencia de mensajes o Agente de

software de transferencia de correo que transfiere
los mensajes de correo electrónico de un equipo
a otro mediante una arquitectura de aplicación de
cliente y servidor.
Ruta Un nombre UNC, una dirección IP o una dirección

web. McAfee DLP Endpoint (descubrimiento)
Directiva Un conjunto de definiciones, clasificaciones y reglas

que definen cómo el software de McAfee DLP
protege los datos.
Revisor de redacción Permite redactar información de carácter

confidencial en las consolas Gestor de incidentes
de DLP y Operaciones de DLP para impedir
visualizaciones no autorizadas.
Paquete de RegDoc Un paquete de datos de huellas digitales producidos

por un análisis de registro de McAfee DLP Discover.
Los paquetes de RegDoc se almacenan en una base
de datos de un servidor de registro (servidor de
DLP) y pueden llamarse desde análisis de McAfee
DLP Discover o directivas de McAfee DLP Monitor
y McAfee DLP Prevent mediante llamadas a la API
REST.

20| Apéndice
Documentos registrados Archivos analizados previamente de repositorios

especificados. Consulte Identificación por huellas
digitales.
Registro manual: las firmas de los archivos se
cargan en la base de datos de McAfee ePO
desde McAfee DLP al cargar los archivos y crear
un paquete de forma manual. Estas firmas están
disponibles para su descarga por parte de los
endpoints y appliances desde el depósito de S3 y
se utilizan para rastrear y clasificar el contenido.
Repositorio Carpeta, servidor o cuenta que contiene archivos

compartidos.
La definición de repositorio incluye las rutas y las
credenciales para analizar los datos.
Descubrimiento de McAfee DLP Endpoint.
Regla Define la acción que se lleva a cabo cuando se

intenta transferir o transmitir datos de carácter
confidencial.
Conjunto de reglas Combinación de las reglas.
Planificador Una definición que especifica los detalles de análisis

y el tipo de planificación (por ejemplo, diaria,
semanal, mensual, una vez o inmediata). Aplicable
a McAfee DLP Endpoint (descubrimiento)
Estrategia McAfee DLP Endpoint divide las aplicaciones en

cuatro categorías, denominadas estrategias, que
afectan al modo en el que funciona el software
con distintas aplicaciones. Por orden de seguridad
descendente, las estrategias son Editor, Explorador,
De confianza y Archivador.
Dispositivos no gestionados Estado de una clase de dispositivos que indica que

los dispositivos de dicha clase no son gestionados
por Device Control. Algunos equipos endpoint
utilizan dispositivos que tienen problemas de

20| Apéndice
compatibilidad con los controladores de dispositivos

de McAfee DLP Endpoint. Para evitar problemas
operativos, estos dispositivos se establecen como No
gestionados.
Dispositivos excluidos Estado de una clase de dispositivos que indica

que Device Control no intenta controlar los
dispositivos de dicha clase. Algunos ejemplos son los
procesadores y los dispositivos de la batería.
General
Puertos predeterminados
McAfee DLP utiliza varios puertos para la comunicación de red. Configure cualquier firewall intermediario o dispositivo de
implementación de directivas para permitir estos puertos cuando sea necesario.
Todos los protocolos que aparecen en la lista utilizan solo TCP, a menos que se indique lo contrario.
Para obtener información acerca de los puertos que se comunican con McAfee ePO, consulte el artículo KB66797.
Puertos predeterminados de McAfee DLP Discover
Puerto, protocolo Uso
Análisis SMB/CIFS
• 137, 138, 139 — NetBIOS
• 445 — SMB
Cualquier puerto NFS estándar. Análisis de NFS
• 80 — HTTP • Análisis de Box y SharePoint

• 443 — SSL • Servicio de almacenamiento de pruebas
• API REST del servidor de DLP para la coincidencia
con la huella digital de documentos registrados
Los servidores de SharePoint y el servicio

de almacenamiento de pruebas pueden estar
configurados para utilizar puertos SSL o HTTP no
estándar. Si es necesario, configura los firewalls para
permitir los puertos no estándar.

20| Apéndice
Puerto, protocolo Uso
53 — DNS (UDP) Consultas DNS
80, 443 — HTTP y HTTPS Comunicación con el servidor de McAfee ePO,

operaciones de copia de pruebas a través de DLP
Server y consultas a los servicios de documentos
registrados.
Microsoft Message Queuing (MSMQ)

• 1801 — TCP
• 135, 2101*, 2103*, 2105 — RPC
• 1801, 3527 — UDP
* Indica que los números de puerto pueden
incrementarse en 11 en función de los puertos
disponibles en la inicialización.
Para obtener más información, consulte el artículo
de la Base de conocimiento de Microsoft 178517.
1433 Microsoft SQL
1521 Oracle
3306 MySQL
50000 DB2
Puerto predeterminado de McAfee DLP Endpoint
Puerto Uso Dirección
514 Syslog Saliente
Puertos predeterminados de McAfee DLP Prevent y McAfee DLP Monitor
Puerto Uso Dirección desde el appliance
22: SSH SSH (si está activado) Entrante

20| Apéndice
Puerto Uso Dirección desde el appliance
161 (UDP) SNMP (si está activado) Entrante
162 (UDP) Capturas SNMP (si se han Saliente

activado)
445: SMB, 137, 138, 139: NetBIOS Copia de pruebas Saliente
8081 — McAfee ePO Servicio de agente de McAfee Entrante

ePO
10443: HTTPS Tráfico HTTPS para descargar, Entrante

por ejemplo, el informe de
escalación mínima (MER) y los
archivos MIB
53 — DNS (UDP) Consultas DNS Saliente
123: NTP (UDP) Solicitudes NTP Entrante y saliente
389 — LDAP Obtención de grupos para la Saliente

636 — LDAP mediante SSL evaluación de reglas
3268 — (LDAP) Catálogo global
de Active Directory
3269 — (LDAP) Catálogo global
de Active Directory sobre SSL
80, 443 — HTTP y HTTPS Comunicación con el servidor Saliente

de McAfee ePO, operaciones de
copia de pruebas a través de DLP
Server y consultas a los servicios
de documentos registrados
61613 McAfee Logon Collector Saliente
514 Syslog Saliente

20| Apéndice
Puertos predeterminados de McAfee DLP Prevent
25: SMTP Tráfico SMTP con el MTA Entrante y saliente
587: autenticación SMTP Tráfico de autenticación SMTP Entrante y saliente

con el MTA
1344, 11344 — ICAP e ICAP Tráfico ICAP con el proxy web Entrante
mediante SSL
Puerto predeterminado de McAfee DLP Monitor
941 — mediante SSL Recibe solicitudes de análisis Entrante

desde el dispositivo de
adquisición de paquetes
Componentes compartidos de las directivas
Los productos de McAfee DLP comparten muchos componentes de configuración de directivas.
McAfee DLP
McAfee DLP McAfee DLP Prevent y
Device Endpoint for Endpoint for McAfee DLP McAfee DLP
Componente Control Windows Mac Discover Monitor
Definiciones X X X X X
Clasificacione X* X X X X
s
Criterios de X* X X X X
clasificación
de contenido

20| Apéndice
McAfee DLP
McAfee DLP McAfee DLP Prevent y
Device Endpoint for Endpoint for McAfee DLP McAfee DLP
Componente Control Windows Mac Discover Monitor
Criterios de X
identificación
por huellas
digitales de
contenido
Clasificacione X X X** X**

s manuales
Documentos Solo registro Solo registro Registro

registrados manual automático manual y
automático
Texto X X
ignorado
Reglas y X X X X X
conjuntos de
reglas
Configuración X X X
del cliente
Configuración X X
del servidor
Pruebas X* X X X X
Gestión de X*** X X
derechos
* Device Control utiliza clasificaciones, criterios de clasificación de contenido y pruebas únicamente en las reglas de protección
de almacenamiento extraíble.

20| Apéndice
** McAfee DLP DiscoverMcAfee DLP Monitor, y McAfee DLP Prevent pueden analizar archivos para las clasificaciones
manuales, pero estos productos no pueden asignar clasificaciones manuales.
*** La gestión de derechos es compatible solamente con la regla de protección de almacenamiento extraíble.
Paneles predefinidos de DLP
La siguiente tabla describe los paneles predefinidos de McAfee DLP.
Paneles de DLP predefinidos
Categoría Opción Descripción
DLP: Resumen de incidentes Número de incidentes al día Estos gráficos muestran el

número de incidentes totales
Número de incidentes por y proporcionan diferentes
gravedad desgloses con el fin de ayudar a

analizar problemas específicos.
Número de incidentes por tipo
Número de incidentes por

conjunto de reglas
DLP: Resumen de operaciones Número de eventos operativos Muestra todos los eventos
(Todos los productos) al día administrativos.
DLP: Resumen de operaciones Versión del agente Muestra la distribución de

(Estas opciones son aplicables a los endpoints en la empresa.
McAfee DLP Endpoint) Se utiliza para supervisar el
progreso del despliegue de
agentes.
Distribución de productos DLP Muestra un gráfico circular que

en equipos endpoint representa el número de equipos
endpoint de Windows y Mac,
así como el número de equipos
endpoint donde no hay instalado
ningún cliente.
Descubrimiento de DLP Muestra un gráfico circular

(endpoint): Estado de análisis que muestra el número de
del sistema de archivos local propiedades de análisis de
descubrimiento del sistema de

20| Apéndice
archivos local y sus estados

(completada, en funcionamiento,
sin definir).

(endpoint): Estado de los que muestra el número de
análisis de correo electrónico propiedades de análisis de
local descubrimiento del correo
electrónico local y sus estados
sin definir).
Estado del agente Muestra todos los agentes y su

estado.
Modo de funcionamiento del Muestra un gráfico circular

agente de agentes por modos de
funcionamiento de DLP. Los
modos de funcionamiento son:
• Modo de solo control de

dispositivos
• Modo de protección de
contenido completo y control
de dispositivos
• Modo de protección de
almacenamiento extraíble
basada en contenido y control
de dispositivos
• Desconocido

(endpoint): Estado de análisis que muestra el número
de almacenamiento de correo de propiedades de análisis
electrónico local de descubrimiento del
almacenamiento de correo
electrónico local y sus estados
sin definir).

20| Apéndice
DLP: Resumen de directivas Distribución de directivas Muestra la distribución de

(Todos los productos) directivas de DLP en la empresa.
Se utiliza para supervisar el
progreso al desplegar una nueva
directiva.
Usuarios con privilegios Muestra las propiedades de

nombre del sistema/nombre de
usuario y el número de sesión del
usuario.
Distribución de revisión de Similar a la distribución

directivas de directivas, pero muestra
revisiones, es decir,
actualizaciones de una versión
existente.
DLP: Resumen de directivas Conjuntos de reglas Muestra un gráfico de barras

(Estas opciones son aplicables a implementados por equipos con el nombre del conjunto de
McAfee DLP Endpoint) Endpoint reglas y el número de directivas
implementadas.
Usuarios omitidos Muestra las propiedades de

nombre del sistema/nombre de
usuario y el número de sesión del
usuario.
Clases de dispositivos no Muestra las clases de dispositivo

definidas (para dispositivos no definidas para dispositivos
Windows) Windows.
DLP: Resumen de Descubrimiento de DLP Muestra un gráfico circular con el

descubrimiento de Endpoint (endpoint): Estado de análisis estado de ejecución de todos los
(Estas opciones son aplicables a más reciente del sistema de análisis del sistema de archivos
McAfee DLP Endpoint) archivos local local.
Descubrimiento de DLP Muestra un gráfico de barras

(endpoint): Archivos con el intervalo de archivos

20| Apéndice
confidenciales más recientes del confidenciales encontrados en

análisis del sistema de archivos los archivos del sistema.

(endpoint): Errores más con el intervalo de errores
recientes de análisis del sistema encontrados en los archivos del
de archivos local sistema.
Descubrimiento de DLP Muestra un gráfico de barras con

(endpoint): Clasificaciones más las clasificaciones aplicadas a los
recientes de análisis del sistema archivos del sistema.
de archivos local
Descubrimiento de DLP Muestra un gráfico circular con

(endpoint): Estado más reciente el estado de ejecución de todas
de los análisis de correo las carpetas de correo electrónico
electrónico local local.
Descubrimiento de DLP Muestra un gráfico de

(endpoint): Correos electrónicos barras con el intervalo de
confidenciales más recientes del correos electrónicos de carácter
análisis del correo electrónico confidencial encontrados en las
local carpetas de correo electrónico
local.

(endpoint): Últimos errores de con el intervalo de errores
análisis de correo electrónico encontrados en las carpetas de
local correo electrónico local.
Descubrimiento de DLP Muestra un gráfico de barras con

(endpoint): Clasificaciones más las clasificaciones aplicadas a los
recientes del análisis de correo correos electrónicos locales.
electrónico local

20| Apéndice
Reglas
Asistencia para la configuración de cliente con reglas de protección de datos
Las reglas de protección de datos trabajan con los ajustes de configuración de cliente. Aplicable a McAfee DLP Endpoint.
Tip
Para optimizar las reglas de protección de datos, cree configuraciones de cliente para que coincidan con los requisitos de
distintos conjuntos de reglas.
La siguiente tabla muestra las reglas de protección de datos y las opciones específicas de la configuración de cliente que les
afectan. En la mayoría de los casos, puede aceptar la configuración predeterminada.
Reglas de protección de datos y opciones de configuración del cliente
Regla de protección de datos Opciones y página de configuración de cliente
Protección de acceso a archivos de la aplicación Rastreo del contenido: añadir o editar procesos
ignorados.
Protección del Portapapeles

• Módulos y modo de funcionamiento: activar el
servicio de Portapapeles.
• Protección del Portapapeles: añadir o editar los
procesos ignorados. Habilitar o deshabilitar el
Portapapeles de Microsoft Office.
Note: El Portapapeles de Microsoft Office

está activado de forma predeterminada. Cuando
se activa, no se puede impedir la copia de una
aplicación de Office a otra.
Protección en la nube Módulos y modo de funcionamiento: seleccionar

los administradores para la protección en la nube.
Protección de correo electrónico

• Módulos y modo de funcionamiento: activar
el software de correo electrónico disponible
(Lotus Notes, Microsoft Outlook...). Para Microsoft
Outlook, seleccione los complementos necesarios.

20| Apéndice
Note: En aquellos sistemas en los que están

disponibles tanto Microsoft Exchange como
Lotus Notes, las reglas de correo electrónico
no funcionarán si el nombre del servidor de
correo saliente (SMTP) no está configurado
para ambos.
• Protección de correo electrónico: seleccione el

complemento de terceros para Microsoft Outlook
(Titus o Boldon James). Establezca la estrategia de
tiempo de espera, el almacenamiento en caché, las
API y las notificaciones de usuario
Note: Cuando se instala el complemento

de terceros y este se encuentra activo, el
complemento para Outlook de McAfee DLP
Endpoint se establece automáticamente en el
modo de omisión.
Protección de comunicaciones de la red

• Conectividad corporativa: añadir o editar
servidores VPN corporativos.
• Módulos y modo de funcionamiento: activar o
desactivar el controlador de comunicaciones de la
red (activado de forma predeterminada).
Protección de recurso compartido de red Sin ajustes
Protección contra impresión

• Conectividad corporativa: añadir o editar
servidores VPN corporativos.
• Módulos y modo de funcionamiento: seleccionar
los complementos para la aplicación de la
impresora.
• Protección contra impresión: añadir o editar
procesos ignorados.

20| Apéndice
Note: Los complementos para la aplicación

de la impresora pueden mejorar el rendimiento
de la impresora cuando se utilizan determinadas
aplicaciones comunes. Los complementos solo
se instalan cuando se activa una regla de
protección de la impresora en el equipo
gestionado.
Protección de almacenamiento extraíble

• Módulos y modo de funcionamiento: activar las
opciones avanzadas.
• Protección de almacenamiento extraíble:
establecer el modo de eliminación. El modo
normal elimina el archivo; el modo agresivo hace
que el archivo eliminado no se pueda recuperar.
Protección contra capturas de pantalla

• Módulos y modo de funcionamiento: activar el
servicio de capturas de pantalla. El servicio consiste
en el controlador de la aplicación y en el de la tecla
Imprimir pantalla, que pueden activarse de forma
independiente.
• Protección contra capturas de pantalla: agregar,
editar o eliminar aplicaciones de capturas de
pantalla protegidas por las reglas de protección
contra capturas de pantalla.
Note: Al desactivar el controlador de la

aplicación o el servicio de capturas de pantalla,
se desactivan todas las aplicaciones que
aparecen en la página de protección contra
capturas de pantalla.
Protección web
• Módulos y modo de funcionamiento: habilitar los
navegadores admitidos para la protección web.
• Protección web: añadir o editar las direcciones
URL en lista de ignorados, habilitar el
procesamiento de solicitudes HTTP GET
(deshabilitado de forma predeterminada porque

20| Apéndice
consume muchos recursos) y establecer la

estrategia de tiempo de espera de web.
Información sobre las opciones avanzadas de protección de almacenamiento extraíble

En las siguientes secciones, se describe la Configuración de cliente de Windows → Módulos y modo de funcionamiento →
Opciones avanzadas de protección de almacenamiento extraíble.
Protección de montajes de discos locales TrueCrypt
Los dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas para dispositivos TrueCrypt o con reglas de
protección de almacenamiento extraíble. La protección TrueCrypt no se admite en McAfee DLP Endpoint for Mac .
• Use una regla de dispositivos si quiere bloquear o supervisar un volumen TrueCrypt o hacerlo de solo lectura.
• Utilice una regla de protección si desea una protección basada en el contenido para los volúmenes TrueCrypt.
Note
Las firmas se pierden cuando el contenido identificado por huellas digitales se copia en los volúmenes de TrueCrypt porque
estos no admiten los atributos extendidos de un archivo. Utilice las propiedades de documentos, el cifrado de archivos o las
definiciones de grupos de tipos de archivo en la definición de la clasificación para identificar el contenido.
Controlador de dispositivos portátiles (MTP)
El protocolo de transferencia multimedia (MTP) se utiliza para transferir archivos y metadatos asociados de equipos
a dispositivos móviles como los smartphones. Los dispositivos MTP no son dispositivos extraíbles tradicionales porque
implementan el sistema de archivos, no el equipo al que se conectan. Cuando el cliente se configura para admitir dispositivos
MTP, la regla de protección de almacenamiento extraíble permite interceptar las transferencias MTP y aplicar directivas de
seguridad. Actualmente, solo se admiten las conexiones USB.
El controlador funciona con todas las transferencias de datos realizadas por el Explorador de Windows. No funciona con los
dispositivos iOS, que utilizan iTunes para gestionar las transferencias de datos. Una estrategia alternativa con dispositivos iOS es
utilizar una regla para dispositivos de almacenamiento extraíbles para configurar los dispositivos como de solo lectura.
La protección de copia de archivos avanzada intercepta las operaciones de copia del Explorador de Windows y permite que el
cliente de McAfee DLP Endpoint inspeccione el archivo en origen antes de copiarlo al dispositivo extraíble. Está habilitada de
forma predeterminada y solo debería deshabilitarse cuando se deben solucionar problemas.

20| Apéndice
Note
Hay casos en los que la protección de copia avanzada no resulta pertinente. Por ejemplo, un archivo abierto por una
aplicación y guardado en un dispositivo extraíble con Guardar como vuelve a la protección de copia normal. El archivo se
copia en el dispositivo y, a continuación, se inspecciona. Si se encuentra contenido de carácter confidencial, el archivo se
elimina inmediatamente.
Reacciones disponibles para los tipos de reglas
Las reacciones disponibles para una regla varían en función del tipo de regla.
• Todas las reglas de protección de datos están disponibles para McAfee DLP Endpoint. Algunas reglas de protección de
datos están disponibles para McAfee DLP Prevent y McAfee DLP Monitor.
• Las reglas de Device Control están disponibles para McAfee DLP Endpoint y Device Control.
• Algunas reglas de descubrimiento están disponibles para McAfee DLP Endpoint, y otras para McAfee DLP Discover.
Reacciones de las reglas
Reacción Se aplica a las reglas: Resultado
Sin acción Todas Permite la acción.
Bloquear y devolver correo Protección de correo electrónico Bloquea el mensaje de correo

electrónico al remitente (solo McAfee DLP Prevent) electrónico cuando se produce
una infracción de directivas. El
correo electrónico se envía de
vuelta al remitente como datos
adjuntos con una notificación.
Puede personalizar la notificación
y especificar por qué se ha
enviado de vuelta el correo
electrónico.
Añadir encabezado X-RCIS- Protección de correo electrónico Añade un valor de acción al

Action (solo McAfee DLP Prevent) encabezado X-RCIS-Action.
Añadir encabezado Protección de correo electrónico Añade encabezados

personalizado (solo McAfee DLP Prevent) personalizados en el mensaje de
correo electrónico entregado. El
encabezado personalizado puede
informar del número de reglas y
calificación acumulativa de todas
las reglas que han infringido una
directiva, y también se puede

20| Apéndice
usar cualquier otro encabezado

personalizado definido.
Aplicar directiva de Aplica una directiva de gestión de

• Protección de datos
administración de derechos derechos al archivo. La directiva
• Protección de
almacenamiento extraíble de administración de derechos
puede aplicarse a Microsoft RMS
• Descubrimiento de red
local, Azure RMS y Seclore.
No es compatible con McAfee
DLP Endpoint for Mac
Bloquear Bloquea la acción.

• Control de dispositivos
Clasificar archivo Aplica clasificaciones automáticas

• Descubrimiento de endpoints
e incorpora el ID de la etiqueta
de clasificación en el formato de
archivo.
Copiar Descubrimiento de red Copia el archivo a la ubicación

UNC especificada.
Crear huellas digitales en Descubrimiento de endpoints Aplica identificación por huellas

contenido digitales de contenido al archivo.
Cifrar Se cifra el archivo. El cifrado se

puede realizar mediante FRP o el
software de cifrado StormShield
Data Security.
DLP Endpoint for Mac .
Es preciso modificar el recurso Protección de Box de Elimina recursos compartidos

compartido anónimo para el descubrimiento de red anónimos para el archivo.
inicio de sesión
Mover Descubrimiento de red Mueve el archivo a la ubicación

UNC especificada. Permite la
creación de un archivo marcador
de posición (opcional) para

20| Apéndice
notificar al usuario que el

archivo se ha movido. El archivo
de marcadores de posición se
especifica seleccionando una
definición de notificación de
usuario.
Cuarentena Descubrimiento de endpoints Pone en cuarentena el archivo.
Solo lectura Control de dispositivos Fuerza el acceso de solo lectura.
Eliminar la clasificación Descubrimiento de red Elimina el ID de clasificación

automática incrustado de la propiedad de
archivo.
Notificar incidente Todas Genera una entrada del incidente

de la infracción en el Gestor de
incidentes de DLP.
Solicitar justificación Protección de datos Genera una ventana emergente

en el equipo del usuario
final. El usuario selecciona
una justificación (con entrada
opcional del usuario) o una
acción opcional.
Mostrar archivo en la consola de Descubrimiento de endpoints Muestra Nombre de archivo y

DLP Endpoint Ruta en la consola del endpoint.
Nombre de archivo es un
vínculo para abrir el archivo,
excepto cuando el archivo está
en cuarentena. Ruta abre la
carpeta en la que se encuentra el
archivo.
Almacenar correo electrónico Almacena el mensaje original

original como prueba en el recurso compartido de
pruebas. Solo se aplica a las
DLP Endpoint for Mac .
reglas de protección de correo

20| Apéndice
electrónico de McAfee DLP

Endpoint y McAfee DLP Prevent.
Note: Requiere una

carpeta de pruebas
especificada y la activación
del servicio de copia de
pruebas.
Almacenar archivo original Guarda el archivo para su

como prueba visualización a través del Gestor
de incidentes de DLP.
Note: Requiere una

carpeta de pruebas
especificada y la activación
del servicio de copia de
pruebas.
Notificación de usuario Envía un mensaje al endpoint

para informar al usuario de la
• Control de dispositivos
infracción de una directiva.
• Protección web para Prevent
Note: Cuando se
selecciona Notificación de
usuario y se desencadenan
varios eventos, aparece un
mensaje emergente que
indica Hay nuevos eventos de
DLP en la consola de DLP
en lugar de mostrar varios
mensajes.
Vuelva a configurar las reglas de acción para contenido web.
Debe volver a configurar las reglas de acción de McAfee DLP Prevent para su uso en servidores proxy.

20| Apéndice
Note
Los servidores proxy solo pueden PERMITIR o BLOQUEAR contenido web.
Reacciones de la regla de protección de datos de McAfee DLP Prevent
Reacciones
Almacenar
Aplicar archivo
directiva original
de (correo
administración electrónico) Notificación
Sin de Notificar Solicitar como de
Reglas acción derechos Bloquear Cifrar incidente justificaciónprueba usuario
Protecci X X X X X X
ón de
correo
electró
nico
ón web
Reacciones de la regla de protección de datos de McAfee DLP Endpoint
Reacciones
Almacenar
Aplicar archivo
directiva original
de (correo
Protecci X X X X X
ón de
acceso
a
archivo

20| Apéndice
Reacciones
Almacenar
Aplicar archivo
directiva original
de (correo
s de la
aplicaci
ón
ón del
Portapa
peles
Protecci X X X X X X X X
ón en
la nube
ón de
correo
electró
nico
Protecci X X X X X
ón de
comuni
cacione
s de la
red
ón de
recurso
compar

20| Apéndice
Reacciones
Almacenar
Aplicar archivo
directiva original
de (correo
tido de
red
ón
contra
impresi
ón
Protecci X X X X X X X X
ón de
almace
namien
to
extraíbl
e
Protecci X X X X X
ón
contra
captura
s de
pantall
a
ón web

20| Apéndice
Reacciones de la regla de control de dispositivos
Reacciones
Reglas Sin acción Bloquear Solo lectura
Dispositivo X
Citrix XenApp
Disco duro X X X
fijo
Dispositivo X X
Plug and Play
Dispositivo de X X X
almacenamie
nto extraíble
Acceso a X X
archivos en
dispositivos
de
almacenamie
nto extraíbles
Dispositivo X X X
TrueCrypt

20| Apéndice
Reacciones de la regla de descubrimiento de McAfee DLP Endpoint
Reacciones
Crear
Aplicar huellas
directiva de digitales
administración de Clasificar
Reglas Sin acción Cifrar de derechos Cuarentena
contenido
archivo
Sis X X X X X X
te
m
a
de
ar
ch
iv
os
de
l
en
dp
oi
nt
Pr X X X
ot
ec
ci
ón
de
al
m
ac
en
a
mi
en
to
de
co

20| Apéndice
Reacciones
Crear
Aplicar huellas
directiva de digitales
administración de Clasificar
Reglas Sin acción Cifrar de derechos Cuarentena
contenido
archivo
rr
eo
de
En
dp
oi
nt
Reacciones de la regla de descubrimiento de McAfee DLP Discover
Reacciones
Almacenar
Aplicar archivo Eliminar
Es necesario modificar
directiva de original
Clasificar
la el recurso compartido
administración como archivo
clasificación
anónimo para iniciar
ReglasSin acción CopiarMover de derechos prueba
como automática
sesión
P X X X¹ X X X X X²
r ¹
o
t
e
c
c
i
ó
n
d
e
B
o
x

20| Apéndice
Reacciones
Almacenar
Clasificar
clasificación
como automática
sesión
P X X X¹ X X X X
r ¹
o
t
e
c
c
i
ó
n
d
e
l
s
e
r
v
i
d
o
r
d
e
a
r
c
h
i
v
o
s
P X X X¹³ X³ X X X
r ¹

20| Apéndice
Reacciones
Almacenar
Clasificar
clasificación
como automática
sesión
o
t
e
c
c
i
ó
n
d
e
S
h
a
r
e
P
o
i
n
t
P X X
r
o
t
e
c
c
i
ó
n
d
e
b
a

20| Apéndice
Reacciones
Almacenar
Clasificar
clasificación
como automática
sesión
s
e
d
e
d
a
t
o
s
¹ Los análisis de Box, del servidor de archivos y de SharePoint permiten copiar y mover archivos solo a recursos compartidos de
SMB/CIFS.
² McAfee DLP Discover no puede evitar que los usuarios de Box vuelvan a habilitar el recurso compartido externo en sus
archivos.
³ Compatible con archivos adjuntos a listas de SharePoint o almacenados en bibliotecas de documentos. No es compatible con
las listas de SharePoint.
Acciones de las reglas de protección de datos
La acción realizada por las reglas de protección de datos se introduce en la pestaña Reacción.
De forma predeterminada, la acción para todas las reglas de protección de datos es Sin acción. Cuando se combina con la
opción Notificar incidente, se crea una acción de supervisión que se puede utilizar para ajustar las reglas antes de aplicarlas
como reglas de bloqueo. Además de generar un informe, la mayoría de las reglas permiten almacenar el archivo original que
activó la regla como prueba. Almacenar pruebas es opcional cuando se notifica un incidente.
Tip
Establezca el valor predeterminado de todas las reglas para informar de incidentes en Ajustes de DLP. Esto impide errores
accidentales al no especificar ninguna reacción. Puede cambiar el ajuste predeterminado cuando sea necesario.
La opción de notificación al usuario activa la ventana emergente de notificación al usuario en el endpoint. Seleccione una
definición de notificación de usuario para activar la opción.

20| Apéndice
Se pueden aplicar diferentes acciones cuando el equipo no está conectado a la red corporativa. Algunas reglas también pueden
permitir acciones diferentes cuando está conectado a la red corporativa mediante VPN.
La tabla enumera las acciones disponibles distintas a Sin acción, Notificar incidente, Notificación de usuario y Almacenar
archivo original como prueba.
Acciones disponibles para las reglas de protección de datos
Regla de protección de datos Reacciones Información adicional
Protección de acceso a archivos Bloquear Cuando el campo de clasificación

de la aplicación está establecido en es cualquier
dato (TODO), no se permite
la acción de bloqueo. Si trata
de guardar la regla con estas
condiciones, se genera un error.
Protección del Portapapeles Bloquear
Protección en la nube El cifrado se admite en Box,

• Bloquear
Dropbox, Google Drive, iCloud,
• Solicitar justificación
OneDrive Personal, OneDrive
• Aplicar directiva de
administración de derechos para la Empresa y Syncplicity.
Si se intenta cargar archivos
• Cifrar
cifrados en otras aplicaciones en
la nube, se produce un error al
guardar el archivo.
Protección de correo electrónico Acciones McAfee DLP Endpoint: Actualmente, McAfee DLP
Endpoint for Mac admite
• Bloquear
solamente la supervisión de
correos electrónicos (Notificar
incidente).
Admite varias acciones para
McAfee DLP Endpoint cuando el
equipo está desconectado de la
red corporativa.
Para McAfee DLP Prevent, las

reacciones son:

20| Apéndice
• Bloquear y devolver correo

electrónico al remitente
• Añadir encabezado X-RCIS-
Action
• Añadir encabezados
personalizados
• Sin acción
Para McAfee DLP Monitor, la

única reacción es Sin acción.
Protección de comunicaciones Bloquear (para McAfee DLP La opción de almacenamiento de

de la red Endpoint) pruebas no está disponible para
Para McAfee DLP Monitor, la McAfee DLP Endpoint.
única reacción es Sin acción. McAfee DLP Endpoint admite
varias acciones cuando el
equipo está conectado a la red
corporativa mediante VPN.
Protección de recurso Las opciones de cifrado son las

compartido de red siguientes: McAfee® File and
• Cifrar
Removable Media Protection
(FRP) y el software de cifrado
StormShield Data Security.
La acción de cifrado no se admite
en McAfee DLP Endpoint for
Mac .
Protección contra impresión Admite varias acciones cuando el

• Bloquear
equipo está conectado a la red
corporativa mediante VPN.
Protección de almacenamiento La acción Cifrar no se admite en

• Bloquear
extraíble McAfee DLP Endpoint for Mac .
• Cifrar
Protección contra capturas de Bloquear

pantalla

20| Apéndice
Protección web Reacciones de McAfee DLP La acción Solicitar justificación no

Endpoint: está disponible en McAfee DLP
Prevent.
• Bloquear
Reacciones de McAfee DLP
Prevent
• Sin acción
• Bloquear
Para McAfee DLP Monitor, la
única reacción es Sin acción.
Propiedades del dispositivo
Las propiedades del dispositivo indican sus características, como el nombre de dispositivo, el tipo de bus o el tipo de sistema de
archivos.
La tabla proporciona definiciones de las propiedades del dispositivo, los tipos de definición que utiliza la propiedad y el sistema
operativo al que se aplican.
Tipos de propiedades del dispositivo
Definición del Se aplica a los

Nombre de propiedad dispositivo sistemas operativos Descripción
Tipo de bus Todo Selecciona el tipo de

• Windows: Bluetooth,
Firewire (IEEE1394), BUS del dispositivo en
IDE/SATA, PCI, PCMIA, la lista disponible.
SCSI, USB
• macOS: Firewire Note: Para
(IEEE1394), IDE/SATA, las reglas de
SD, Thunderbolt, USB dispositivos Plug
and Play, McAfee
DLP Endpoint for
Mac solo admite el
tipo de bus USB.

20| Apéndice

Unidades de CD/DVD Almacenamiento Seleccione esta opción

• Windows
extraíble para indicar una unidad
• macOS
de CD o DVD.
Contenido cifrado por Almacenamiento Windows Dispositivos protegidos

Endpoint Encryption extraíble con Endpoint
Encryption.
Clase de dispositivos Plug and Play Windows Permite seleccionar la

clase de dispositivo
en la lista gestionada
disponible.
ID compatibles con Todo Windows Lista de descripciones

dispositivos de dispositivos físicos.
Resulta especialmente
útil con tipos de
dispositivos que no son
USB ni PCI, ya que
estos se identifican más
fácilmente mediante los
ID de proveedor o de
dispositivo de PCI o el
ID prov./ID prod. de
USB.
ID de instancia del Todo Windows Cadena generada por

dispositivo (Microsoft Windows que identifica
Windows XP) de forma única el
Ruta de instancia del dispositivo en el
dispositivo (Windows sistema.
Vista y sistemas Ejemplo:
operativos posteriores USB\VID_0930&PID_6533\
de Microsoft Windows, 5&26450FC&0&6.
incluidos los servidores)

20| Apéndice

Nombre descriptivo del Todo Nombre asociado a un

• Windows
dispositivo dispositivo de hardware
• macOS
que representa su
dirección física.
Tipo de sistema de El tipo de sistema de

• Disco duro fijo • Windows: CDFS,
archivos archivos.
• Almacenamiento exFAT, FAT16, FAT32,
extraíble NTFS, UDFS • Para discos duros,
• macOS: CDFS, exFAT, seleccione exFAT,
FAT16, FAT32, HFS/ FAT16, FAT32 o NTFS.
HFS+, NTFS, UDFS • Para los dispositivos
macOS solo admite de almacenamiento
FAT en los discos que extraíbles, seleccione
no son el disco de cualquiera de las
arranque. Mac OS X opciones anteriores
admite NTFS como solo además de CDFS o
lectura. UDFS.
Acceso al sistema de Almacenamiento El acceso al sistema de

• Windows
archivos extraíble archivos: puede ser de
• macOS
solo lectura o de lectura
y escritura.
Etiqueta de volumen Etiqueta de volumen

• Disco duro fijo • Windows
del sistema de archivos definida por el usuario
• Almacenamiento • macOS
extraíble que puede verse
en el Explorador de
Windows. Se permite la
coincidencia parcial.
Número de serie del Windows Número de 32

• Disco duro fijo
volumen del sistema de bits que se genera
• Almacenamiento
archivos extraíble automáticamente
cuando se crea un
sistema de archivos
en el dispositivo. Se
puede ver si se ejecuta
el comando dir x: en

20| Apéndice

la línea de comandos,
donde "x:" es la letra de
la unidad.
ID de proveedor e ID de Todo Windows El ID de proveedor y

dispositivo PCI el ID de dispositivo PCI
están incrustados en el
dispositivo PCI. Estos
parámetros se pueden
obtener de la cadena
de ID de hardware de
los dispositivos físicos.
Ejemplo:
PCI\VEN_8086&DEV_2580
&SUBSYS_00000000
&REV_04
Dispositivos TrueCrypt Almacenamiento Windows Seleccione esta opción

extraíble para especificar un
dispositivo TrueCrypt.
Código de clase USB Plug and Play Windows Identifica un dispositivo

USB físico por
su función general.
Seleccione el código
de clase en la lista
disponible.
Número de serie del Cadena alfanumérica

• Plug and Play • Windows
dispositivo USB única asignada
extraíble por el fabricante
del dispositivo
USB, generalmente
para dispositivos
de almacenamiento
extraíbles. El número
de serie es la última
parte del ID de
instancia.

20| Apéndice

Ejemplo:
USB\VID_3538&PID_0042\
00000000002CD8
Un número de serie
válido debe tener un
mínimo de 5 caracteres
alfanuméricos y no
debe contener signos
&. Si la última parte
del ID de instancia
no se ajusta a estos
requisitos, no es un
número de serie.
Puede introducir un
número de serie
parcial utilizando la
comparación Contiene
en lugar de Igual a.
ID de proveedor/ID de El ID de proveedor y el
• Plug and Play • Windows
producto USB ID de dispositivo USB
extraíble están incrustados en el
dispositivo USB. Estos
parámetros se pueden
obtener de la cadena
de ID de hardware de
los dispositivos físicos.
Ejemplo:
USB\Vid_3538&Pid_0042
Clasificaciones
Definiciones y criterios de clasificación
Las definiciones y criterios de clasificación contienen una o varias condiciones que describen el contenido o las propiedades del
archivo.

20| Apéndice
Condiciones disponibles
Productos
Propiedad Se aplica a: Definición compatibles
Patrón avanzado Definiciones, criterios Expresiones o frases Todos los productos

regulares utilizadas
para la coincidencia
de datos, tales como
fechas o números de
tarjetas de crédito.
Diccionario Definiciones, criterios Recopilaciones de

palabras clave y frases
relacionadas, tales
como obscenidades o
terminología médica.
Palabra clave Criterios Un valor de cadena.

Puede añadir varias
palabras clave
separadas por punto y
coma (;) a los criterios
de clasificación de
contenido o de huellas
digitales de contenido.
El valor booleano
predeterminado para
varias palabras clave es
O (OR), pero se puede
cambiar a Y (AND).
Proximidad Criterios Define una conjunción

entre dos propiedades
según su ubicación una
respecto a la otra.
Los patrones,
diccionarios o palabras
clave avanzados se
pueden utilizar para
cualquiera de las

20| Apéndice
Productos
propiedades. Puede
añadir varias palabras
clave separadas por
comas (,).
El parámetro de
Cercanía se define
como "menos de x
caracteres", donde el
valor predeterminado
es 1. También
puede especificar un
parámetro de Número
de correspondencias
para determinar el
número mínimo de
coincidencias para
desencadenar un
acierto.
Propiedades del Definiciones, criterios Contiene estas

documento opciones:
• Cualquier propiedad
• Autor
• Categoría
• Comentarios
• Empresa
• Palabras clave
• Guardado por última
vez por
• Nombre del gestor
• Seguridad
• Asunto
• Plantilla
• Título
Cualquier propiedad es
una propiedad definida
por el usuario.

20| Apéndice
Productos
Cifrado del archivo Criterios Contiene estas

opciones: for Windows (se
• Sin cifrar* admiten todas las
• Autoextractor cifrado opciones)
de McAfee
• McAfee Endpoint Note: El
Encryption
cifrado de
• Cifrado de Microsoft archivos no es
Rights Management* compatible con
• Cifrado de Azure McAfee DLP
Rights Management* Endpoint for Mac.
• Cifrado de gestión de
derechos de Seclore • McAfee DLP Discover,
• Tipos de cifrado McAfee DLP Prevent
no compatibles o y McAfee DLP
archivo protegido con Monitor solo
contraseña* admiten las opciones

marcadas con *
Extensión del archivo Definiciones, criterios Grupos de tipos de Todos los productos
archivos compatibles,
tales como MP3 y PDF.
Información del Definiciones, criterios Contiene estas

• Todos los productos
archivo opciones:
• Fecha de acceso y McAfee DLP
• Fecha de creación Monitor solo
• Fecha de admiten las opciones
modificación marcadas con *
• Extensión del
archivo*
• Nombre del archivo*
• Propietario del
archivo
• Tamaño del archivo*
Ubicación en el archivo Criterios La sección del archivo

en la que se encuentran

20| Apéndice
Productos
los datos; puede ser

el encabezado, pie de
página, cuerpo o los
primeros caracteres. Al
especificar el número
de caracteres para
la opción en los
primeros (caracteres)
de una clasificación, se
busca el contenido de
carácter confidencial en
el encabezado, es decir,
en la primera parte de
la primera página de un
documento.
• Documentos de
Microsoft Word: el
motor de clasificación
puede identificar
Encabezado, Cuerpo
y Pie de página.
• Documentos de
PowerPoint: WordArt
se considera
Encabezado; todo lo
demás se identifica
como Cuerpo.
• Otros documentos:
Encabezado y Pie
de página no
son aplicables.
Los criterios de
clasificación no
coinciden con el
documento si se
seleccionan.
Etiquetas de terceros Criterios Se utiliza para

especificar los nombres for Windows

20| Apéndice
Productos
de campo y los valores • McAfee DLP Prevent

de Titus. • McAfee DLP Monitor
Tipo de archivo Definiciones, criterios Grupos de tipos de Todos los productos

verdadero archivos.
Por ejemplo, el
grupo de Microsoft
Excel integrado incluye
archivos de Excel XLS,
XLSX y XML, así como
archivos de Lotus WK1
y FM3, archivos CSV y
DIF, archivos de iWork
de Apple, etc.
Plantilla de aplicación Definiciones La aplicación o el

ejecutable que accede for Windows
al archivo.
for Mac
Grupo de usuarios Definiciones Se utiliza para definir
finales los permisos de
clasificación manual.
Recurso compartido de Definiciones El recurso compartido McAfee DLP Endpoint

red de red en el que se for Windows
almacena el archivo.
Lista de URL Definiciones La URL desde la que se

accede al archivo.
Expresiones regulares para patrones avanzados
Los patrones avanzados de McAfee DLP utilizan expresiones regulares (regex) para permitir la coincidencia de patrones
complejos.
Las definiciones de patrones avanzados utilizan la sintaxis de expresiones regulares RE2 de Google. Distinguen entre mayúsculas
y minúsculas de manera predeterminada. Aunque una descripción completa de la sintaxis RE2 está fuera del ámbito de este
documento, en la tabla siguiente se incluyen algunos de los términos utilizados con mayor frecuencia.

20| Apéndice
[abc] Coincide con un único carácter a, b o c.
[^abc] Coincide con un único carácter distinto de a, b o c.
[0-9] Coincide con un único carácter en el intervalo entre

0 y 9.
[^0-9] Coincide con un solo carácter no incluido en el

intervalo entre 0 y 9.
(ab|cd) Coincide con ab o cd.
\d Coincide con cualquier dígito ASCII.
\D Coincide con cualquier carácter no numérico.
\s Coincide con cualquier carácter de espacio en

blanco.
\S Coincide con cualquier carácter que no sea un

espacio en blanco.
\w Coincide con cualquier carácter alfanumérico.
\W Coincide con cualquier carácter no alfanumérico.
\b Límite de palabra ASCII
\ (cuando se utiliza con un signo de puntuación, por Coincide con ] (aplica un escape al carácter siguiente,
ejemplo, \] es decir, elimina su significado especial).
. Cualquier carácter único
* Modifica el token anterior para que se produzcan

cero o más coincidencias.

20| Apéndice
+ Modifica el token anterior para que se produzcan

una o más coincidencias.
{3,4} Modifica el token anterior para que se produzcan 3 o

4 coincidencias.
? Modifica el token anterior para que se produzcan

cero coincidencias o una (lo convierte en opcional).
(?i) Establece la coincidencia para que no distinga

entre mayúsculas y minúsculas hasta el siguiente
paréntesis de cierre; tiene en cuenta los paréntesis
anidados, por ejemplo: ((?i)insensitive)sensitive.
(?-i) Establece la coincidencia para que distinga entre

mayúsculas y minúsculas hasta el siguiente
paréntesis de cierre.
Convertir directivas y migrar datos

La ampliación a McAfee DLP 10.0 o posterior desde versiones anteriores a la 9.4.100 requiere la migración o conversión de los
incidentes, los eventos operativos o las directivas. Para la conversión/migración, se emplean tareas servidor de McAfee ePO.
Esta tarea describe la ampliación desde McAfee DLP Endpoint 9.3.x.
Amplíe la extensión de McAfee DLP Endpoint a la versión 9.3.600 (9.3 parche 6) o posterior y, después, instale la extensión de
McAfee DLP 9.4.100 o posterior en McAfee ePO.
La tarea de conversión de directivas solo convierte las reglas que están activadas y aplicadas a la base de datos. Para comprobar
el estado de las reglas que desea convertir, revise su directiva de McAfee DLP Endpoint 9.3 antes de la conversión.
Procedimiento
1. En McAfee ePO, seleccione Menú → Automatización → Tareas servidor.
2. Seleccione Conversión de directivas de DLP y, a continuación, haga clic en Acciones → Ejecutar.
Se abrirá la página Registro de tareas servidor, donde podrá verificar si la tarea se está ejecutando. La directiva convertida
es compatible con la versión 9.4.100 y con directivas posteriores.

20| Apéndice
Note
La tarea falla si se ha ejecutado con anterioridad. Si hace cambios en la directiva McAfee DLP 9.3 y desea volver
a ejecutar la conversión, edite la tarea servidor eliminando la selección de la opción No ejecutar la conversión de
directivas si existe el 'Conjunto de reglas de conversión de directivas [9.3]' en la página Acciones. El conjunto de
reglas anterior se elimina y se sustituye.
3. Vuelva a la página Tareas servidor, seleccione Migración de incidentes de DLP de la versión 9.3.x a la 9.4.1 y superiores
y, a continuación, haga clic en Acciones → Editar.
El mismo procedimiento se aplica a Migración de eventos operativos de DLP de la versión 9.3.x a la 9.4.1 y superiores.
4. Seleccione Estado de planificación → Activado y, a continuación, haga clic en Siguiente dos veces.
Note
La migración está preprogramada, por lo que puede saltar la página Acciones.
5. Seleccione un tipo de planificación y su repetición.
Tip
Planifique las tareas de migración para que se realicen los fines de semana o en horario no laborable debido a la carga
que suponen para el procesador.
a. Establezca la fecha de inicio y fecha de fin para definir un período de tiempo y programar la tarea para cada hora.
b. Planifique la repetición de la tarea según el tamaño de la base de datos de incidentes que vaya a migrar.
Los incidentes se migran en grupos de 200 000.
6. Haga clic en Siguiente para revisar los valores de configuración y luego en Guardar.
Comportamiento de análisis
Cambiar las propiedades de un análisis en curso puede afectar al comportamiento de este.
Efecto de cambiar propiedades durante un análisis
Cambio Efecto
Desactivar análisis El análisis se detiene.
Eliminar análisis El análisis se detiene y se elimina.
Cambiar el nombre de análisis Solo afecta a los registros en la siguiente ejecución

de análisis.

20| Apéndice
Cambio Efecto
Cambiar planificación Solo afecta a la siguiente ejecución de análisis.
Cambiar la regulación Solo afecta a la siguiente ejecución de análisis*.
Cambiar la lista del archivo Solo afecta a la siguiente ejecución de análisis*.
Cambiar el repositorio Solo afecta a la siguiente ejecución de análisis.
Cambiar los filtros Solo afecta a la siguiente ejecución de análisis.
Cambiar las reglas Solo afecta a la siguiente ejecución de análisis*.
Cambiar la clasificación Solo afecta a la siguiente ejecución de análisis*.
Cambiar el recurso compartido de prueba Afecta al análisis actual*.
Cambiar las credenciales de usuario de prueba Afecta al análisis actual*.
Cambiar las credenciales de usuario de corrección Solo afecta a la siguiente ejecución de análisis*.
Ampliación o desinstalación del servidor de El análisis se detiene.

descubrimiento
Note: * El efecto se produce después de que ocurra un intervalo de comunicación agente-servidor

(ASCI).
Compatibilidad con lectores de pantalla

McAfee DLP Endpoint for Windows es compatible con Job Access With Sound (JAWS).
JAWS, el software de lector de pantalla muy utilizado por invidentes, es compatible con los endpoints. Se admiten las siguientes
funciones de McAfee DLP Endpoint:

20| Apéndice
• Ventana emergente de notificación al usuario final: si el cuadro de diálogo emergente está establecido para que se
cierre manualmente (en Gestor de directivas de DLP), el texto del cuadro se lee permitiendo a las personas invidentes
navegar por los botones y enlaces.
• Cuadro de diálogo de justificación de usuario final: es posible acceder al cuadro combinado con la tecla de tabulación y
seleccionar la justificación con las teclas de flecha.
• Pestaña Historial de notificaciones de la consola de usuario final: cuando se selecciona la pestaña, JAWS lee lo
siguiente: "Se ha seleccionado la pestaña Historial de notificaciones". No hay contenido que permita realizar acciones. Se
lee toda la información del panel de la derecha.
• Pestaña Descubrimiento de la consola de usuario final: cuando se selecciona la pestaña, JAWS lee lo siguiente: "Se ha
seleccionado la pestaña Descubrimiento". No hay contenido que permita realizar acciones. Se lee toda la información del
panel de la derecha.
• Pestaña Tareas de la consola de usuario final: cuando se selecciona la pestaña, JAWS lee lo siguiente: "Se ha
seleccionado la pestaña Tareas". Se puede acceder a todos los pasos con la tecla de tabulación y se leen las instrucciones
adecuadas.
• Pestaña Acerca de de la consola de usuario final: cuando se selecciona la pestaña, JAWS lee lo siguiente: "Se ha
seleccionado la pestaña Acerca de". No hay contenido que permita realizar acciones. Se lee toda la información del panel
de la derecha.
Identificación de usuarios remotos con McAfee Logon Collector

McAfee DLP Prevent y McAfee DLP Monitor utilizan servidores de McAfee Logon Collector (MLC) para identificar a usuarios
remotos cuando realizan solicitudes web. Con McAfee Logon Collector, los appliances de McAfee DLP pueden asignar una
dirección IP a un nombre de usuario de Windows si no hay más información de autenticación disponible.
Con McAfee Logon Collector, se identifica a los usuarios remotos mediante Identificadores de seguridad (SID) en lugar de
direcciones IP, nombres de host u otros parámetros de usuario sujetos a cambios.
Para obtener más información sobre McAfee Logon Collector, consulte la Guía de administración de McAfee Logon Collector.
El certificado utilizado entre McAfee Logon Collector y los appliances de McAfee DLP debe ser válido; de lo contrario no podrá
añadir un servidor de Logon Collector.
Siga estos temas para obtener más información sobre la configuración de McAfee Logon Collector con appliances de McAfee
DLP:
• Descarga y acceso al software McAfee Logon Collector

• Adición de un controlador de dominio y un monitor de inicio de sesión a McAfee Logon Collector
• Adición de un certificado y un servidor de McAfee Logon Collector a un appliance de McAfee DLP
• Cómo funciona McAfee Logon Collector con los appliances de McAfee DLP
Descarga y acceso al software McAfee Logon Collector
Para que McAfee DLP recupere la información del usuario y los datos de inicio de sesión de McAfee Logon Collector, primero
debe instalar y configurar McAfee Logon Collector.

20| Apéndice
Puede descargar McAfee Logon Collector del portal de descargas de productos de McAfee (https://www.mcafee.com/
enterprise/en-in/downloads/my-products.html).
McAfee Logon Collector requiere Windows 2008 R2 o una versión posterior de Windows Server. Para obtener más información
sobre la instalación de McAfee Logon Collector, consulte la Guía de administración de McAfee Logon Collector.
Acceso a la interfaz de McAfee Logon Collector

McAfee Logon Collector dispone de una interfaz de usuario basada en web para la configuración y la gestión. Una vez instalado
McAfee Logon Collector, puede acceder a su interfaz de usuario mediante esta dirección URL:
https://mlc.host.name:8443
¿Qué es el monitor de inicio de sesión?

El monitor de inicio de sesión es el componente de McAfee Logon Collector que supervisa y recibe los eventos de seguridad.
McAfee Logon Collector tiene un monitor de inicio de sesión integrado.
Puede instalar monitores de inicio de sesión por separado y elegirlos según sea necesario para supervisar los eventos de
seguridad al añadir dominios a los Dominios gestionados.
Para obtener más información sobre la instalación de monitores de inicio de sesión, consulte la Guía de administración de
Adición de un controlador de dominio y monitor de inicio de sesión a McAfee Logon Collector
McAfee Logon Collector puede funcionar con varios dominios y bosques. Cada dominio desde el que McAfee Logon Collector
recibe eventos de seguridad debe añadirse a los dominios supervisados de McAfee Logon Collector.
Antes de empezar
Debe tener instalado McAfee Logon Collector.
Procedimiento
1. Seleccione Menú → Configuración → Dominios supervisados.
2. Haga clic en Nuevo dominio.
3. En la pestaña Nombre de dominio, especifique las credenciales del usuario administrador del dominio.
El nombre de dominio debe ser el nombre de dominio completo y no el nombre NetBIOS.
4. En la pestaña Controlador de dominio, seleccione una opción en la lista de controladores de dominio de los que McAfee
Logon Collector obtiene información para ese dominio.
5. Seleccione el monitor de inicio de sesión que se va a utilizar. Puede ser el localhost. Por ejemplo, McAfee Logon
Collector puede ser el monitor de inicio de sesión.
Resultados
Estos pasos deben repetirse para cada dominio integrado con McAfee Logon Collector.

20| Apéndice
Cómo funciona McAfee Logon Collector con los appliances de McAfee DLP
McAfee Logon Collector (MLC) comunica los eventos de inicio de sesión de usuarios de Windows a los appliances de McAfee
DLP. Los appliances de McAfee DLP pueden asignar una dirección IP a un nombre de usuario de Windows si no hay más
información de autenticación disponible.
1. Cuando un usuario inicia sesión en la red, el controlador de dominio crea un evento en el registro de eventos de seguridad.
Se trata de un archivo de registro protegido especial al que se puede acceder mediante la interfaz de gestión de Windows
(WMI). McAfee Logon Collector utiliza esta interfaz para recibir eventos de inicio de sesión y almacena una asignación del
IP de dispositivo del usuario a la información del usuario.
2. Cuando McAfee Logon Collector se integra con los appliances de McAfee DLP, los appliances sincronizan la dirección IP del
cliente y el SID del usuario de McAfee Logon Collector con una caché local disponible en cada appliance.

21| Página Ajustes de DLP
Página Ajustes de DLP

Página Ajustes generales
En esta página, puede especificar la licencia y otros parámetros específicos de McAfee DLP.
Última modificación Muestra la marca de fecha y hora

de los últimos cambios realizados
en los ajustes.
Claves de licencia Se utiliza para introducir las

claves de licencia de los
productos adquiridos. Puede
introducir las siguientes claves de
licencia:
• McAfee DLP Endpoint: para

Device Control o McAfee DLP
Endpoint
• McAfee DLP Discover
• McAfee Legacy Network DLP
(v9.3.x): para utilizar directivas
unificadas con Network DLP
• McAfee DLP Monitor
Añadir Utilice este botón para cada clave

de licencia que desee añadir.
Para obtener más información... Vínculo a la página de preguntas

haga clic aquí frecuentes de McAfee DLP.
Almacenamiento compartido Ubicación de almacenamiento Especifica la ruta UNC

compartido correspondiente a la carpeta de
almacenamiento de pruebas.
Especifique esta ruta para
almacenar:

• Archivos de pruebas
• Archivo con coincidencias de
clasificación
• Huellas digitales de
documentos registrados.
automáticamente, el servidor
Discover copia la huella
digital en la ubicación del
recurso compartido de pruebas
definida en la configuración del
servidor. Luego, el servidor de
DLP carga las huellas digitales
del recurso compartido de
todas las pruebas de los
servidores Discover y las pone
a disposición a través de la API
REST.
manual, las huellas digitales
se copian en el recurso
compartido de todas las
pruebas disponibles.
• Paquete que contiene textos
ignorados
• Resumen de análisis de
descubrimiento de endpoints
en formato de archivo CSV
• Coincidencias exactas de la
base de datos para McAfee DLP
Prevent, McAfee DLP Monitor y
McAfee DLP Discover
• Resultados de búsqueda de
McAfee DLP Prevent y McAfee
DLP Monitor
Copiar con las siguientes Puede especificar un nombre de

credenciales usuario y una contraseña para

copiar las pruebas mediante el

botón de opción.
Para entornos exclusivos de Es posible utilizar la cuenta

Windows: use la cuenta del del sistema local para copiar
sistema Windows local. pruebas. No admite McAfee DLP
Endpoint for Mac ni McAfee DLP
Prevent.
Probar credenciales Prueba la conexión con

el recurso compartido de
almacenamiento. Puede guardar
la configuración, incluso si la
prueba no se ha completado
correctamente.
Contraseña compartida Especifica la contraseña de

omisión para desinstalar el
software, liberar archivos de
la cuarentena, cifrar pruebas y
omitir el cliente temporal.
Como requisito de
seguridad obligatorio, restablezca
la contraseña compartida
predeterminada. Para obtener
más información, consulte
la sección "Restablecer la
contraseña compartida".
Note: En McAfee DLP

Discover, la contraseña solo
se utiliza para el cifrado de
pruebas.
Compatibilidad con versiones Define la compatibilidad con el

anteriores cliente. Utilice este ajuste para la
compatibilidad de directivas en

redes con más de una versión del

cliente de McAfee DLP Endpoint.
Validación de directivas Establece el modo de validación

de directivas:
• Modo estricto: las directivas

con errores no se pueden
aplicar
• Modo no estricto: el
administrador puede forzar la
aplicación de una directiva con
errores
• Sin validaciones
Página Ajustes avanzados

Utiliza esta página para establecer los ajustes avanzados de McAfee DLP.
Opción Definición
Última modificación Muestra la marca de fecha y hora de los últimos

cambios realizados en los ajustes.
Clave desafío/respuesta Especifica si la clave debe ser larga (16 dígitos) o

corta (8 dígitos) a la hora de solicitar claves de DLP
Help Desk de liberación de cuarentena u omisión del
cliente.
Código de liberación global protegido: si esta
opción está seleccionada, se generan y se
distribuyen las claves de liberación y globales con
seguridad reforzada.

Opción Definición
Note: El código de liberación y global

protegido solo es compatible con versiones
específicas de otros productos de McAfee DLP.
No selecciones esta casilla de verificación si
sigues utilizando productos no compatibles.
Consulta KB90417 para obtener información
sobre las versiones compatibles.
Implementar permisos del árbol de sistemas Especifica si se utilizan u omiten los permisos del
Árbol de sistemas. Los permisos del Árbol de
sistemas pueden utilizarse para filtrar incidentes en
las consolas Gestor de incidentes de DLP y Eventos
operativos de DLP.
Zona horaria de eventos personalizada Define la zona horaria personalizada del Gestor de
incidentes de DLP y Operaciones de DLP.
Esta opción permite a los administradores ordenar
los eventos según su zona horaria local. El ajuste es
el desfase con respecto a la hora UTC.
Gestor de directivas Establece el estado de las reglas predeterminado y la

reacción predeterminada del Gestor de directivas de
DLP.
API REST Habilita o deshabilita la API REST de McAfee DLP,

un conjunto de acciones utilizadas para crear
definiciones, controlar directivas, importar usuarios,
etc.
El uso de una API REST de McAfee DLP requiere un
usuario de McAfee ePO válido.
Página de configuración de Clasificación

Utilice esta página para especificar los ajustes de Clasificación.

Categoría Definición

cambios en los ajustes.
Documentos registrados Establece el número máximo de firmas que se

pueden almacenar en la base de datos principal de
firmas de documentos registrados.
Página de configuración del administrador de incidentes

Utilice esta página para especificar la configuración del Administrador de incidentes.
Opción Definición

cambios en la configuración.
Notificaciones de correo electrónico automáticas Cuando se selecciona, todos los interesados reciben
una notificación por correo electrónico cuando
se cambia un incidente. Utilice las casillas de
verificación de los Interesados para añadir revisores
o usuarios a la lista de interesados.
Cadena coincidente breve Configura el almacenamiento de los datos de la

cadena coincidente breve en la base de datos de
McAfee ePO como texto cifrado o claro.
Administración de incidentes Utilice los botones de radio para determinar si los

vectores de producto se muestran en la lista de
incidentes.
Campos de redacción Elija campos específicos para la redacción (esto es

relevante cuando se activa el permiso Ocultar datos
confidenciales de incidentes).

Opción Definición
Estado Active o desactive las designaciones de estado en la

lista de incidentes. El estado integrado puede ser:
• Nuevo
• Pendiente
• Visto
• En investigación
• Escalado
• Solucionado
• Falso positivo
Solución Active o desactive las designaciones de solución en

la lista de incidentes. La solución integrada puede
ser:
• Ninguna
• Caso abierto
• Resuelta: notificación a RR. HH.
• Resuelto: Notificación al responsable
• Resuelta: notificación al usuario
• Cerrada: autorizado
• Cerrado: Flujo de trabajo empresarial
• Cerrada: falso positivo
• Cerrado: Prueba
Acciones → Agregar estado Cree una definición de estado personalizado.
Acciones → Agregar solución Cree una definición de solución personalizada.
Página de configuración del Centro de operaciones

Utilice esta página para especificar la configuración del Centro de operaciones.
Opción Definición


Opción Definición
Notificaciones de correo electrónico automáticas Seleccione la casilla de verificación para enviar

notificaciones por correo electrónico a todos
los interesados cuando se modifique un evento.
Agregue revisores o usuarios a la lista de interesados
mediante la selección de la casilla de verificación
correspondiente.

• Nuevo
• Pendiente
• Visto
• Escalado
• Resuelto
• Falso positivo

ser:
• Ninguno
• Caso abierto
• Resuelto: Notificación a RR. HH.
• Resuelto: Notificación al administrador
• Resuelto: Notificación al usuario
• Cerrado: Autorizado
• Cerrado: Flujo de trabajo empresarial
• Cerrado: Falso positivo
• Cerrado: Prueba
Página de configuración de Administración de casos

Utilice esta página para especificar la configuración de administración de casos.

Opción Definición

Notificaciones de correo electrónico automáticas Seleccione la casilla de verificación para enviar

notificaciones por correo electrónico a todos los
interesados cuando se modifique un caso. Agregue
revisores o usuarios a la lista de interesados
mediante la selección de la casilla de verificación
correspondiente.

• Nuevo
• En curso
• Escalado
• Resuelto
• Cerrado

ser:
• Notificación a usuario
• Notificación a responsable
• Falso positivo
• Cerrado
Página del servidor de MVISION Cloud

Utilice esta página para configurar el servidor de MVISION Cloud.

Última modificación Muestra la marca de fecha y

hora de los últimos cambios en
la configuración.
Conexión de MVision Cloud Conectarse a McAfee MVISION Cuando se selecciona, activa la

Cloud comunicación con el servidor de
MVISION Cloud.
Servidor de MVision Cloud Especifica la ruta UNC al servidor

de MVISION Cloud, el nombre de
usuario y la contraseña.
Probar conectividad Comprueba la conexión.
Note: La conectividad
también se comprueba al
hacer clic en Guardar.
El nombre de usuario
y la contraseña son los
del inquilino servidor de
MVISION Cloud McAfee ePO.
Eliminar directiva de DLP Utilice esta opción para eliminar

una directiva de McAfee DLP del
servidor de MVISION Cloud.
Note: Solo se puede

eliminar una directiva que
no está en uso en MVISION
Cloud.
Módulos Extraer incidentes de MVISION Cuando se selecciona, informa de

Cloud los incidentes de MVISION Cloud
en el Administrador de incidentes
de DLP.

Insertar la directiva de DLP en Cuando se selecciona, activa

MVISION Cloud la directiva de McAfee DLP
seleccionada para que cargue en
el servidor de MVISION Cloud.
Nombre de la directiva de DLP Seleccione la directiva a insertar

de la lista desplegable.
Estado Informa sobre el estado del

sistema. No hay opciones de
usuario en este campo.
Guardar Cierra y guarda la configuración.
Página Configuración de seguridad y restauración

Utilice esta página para realizar una copia de seguridad de la configuración de McAfee DLP o restaurar la configuración de un
archivo guardado.
Última copia de seguridad Incluir objeto de directiva de Seleccione la casilla de

inyección (OPG) (OPG se aplica verificación para guardar el
a McAfee DLP Endpoint, McAfee objeto de inyección de políticas
DLP Prevent y McAfee DLP (OPG) en la copia de seguridad.
Monitor).
Copia de seguridad en archivo Realiza una copia de seguridad

de la configuración. Las opciones
permiten seleccionar la ruta de
la copia de seguridad y abrir el
archivo, así como guardarlo. Se
muestra la fecha y la hora de la
última copia de seguridad y el
número de revisión.

Última restauración Restaurar desde archivo Restaura la configuración del

archivo seleccionado. Se muestra
la fecha y la hora de la última
restauración y el número de
revisión.

COPYRIGHT
Copyright © 2023 Musarubra US LLC.
Trellix y FireEye son marcas comerciales o marcas comerciales registradas de Musarubra US LLC, FireEye Security Holdings US LLC y sus afiliados
de EE. UU. u otros países. McAfee es una marca comercial o una marca comercial registrada de McAfee LLC o sus filiales de EE. UU. u otros
países. Skyhigh Security es una marca comercial de Skyhigh Security LLC y sus afiliados de EE. UU. u otros países. La propiedad de otros nombres
y marcas corresponde a estas empresas o es posible que correspondan a terceros.

Guia Del Producto de Mcafee Data Loss Prevention 11.8.x 7-21-2023

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Del Producto de Mcafee Data Loss Prevention 11.8.x 7-21-2023

Cargado por

Copyright:

Formatos disponibles

Guía del producto de McAfee Data

Loss Prevention 11.8.x

Descripción general del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Cómo protegen DLP Endpoint y Device Control el contenido de carácter confidencial. . . . . . . . . . . . . . . 22

Ventajas de la protección de los endpoints de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Ventajas de la protección de los endpoints de Mac. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Cómo funciona el descubrimiento de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Cómo protegen los datos los distintos tipos de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Cómo protege McAfee DLP Prevent el tráfico de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Cómo protege McAfee DLP Prevent el tráfico web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Cómo McAfee DLP Monitor inspecciona el tráfico de red activo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

McAfee DLP y los vectores de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Cómo interactúa DLP con otros productos McAfee. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Funcionamiento de la protección de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Clasificación de los datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Rastrear cómo y cuándo se utiliza contenido de carácter confidencial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Protección de datos de carácter confidencial mediante reglas y directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Revisión y gestión de incidentes para ajustar las directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Flujo de trabajo de directivas para proteger los datos confidenciales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Configuración de los componentes del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Habilitar Product Improvement Program en McAfee ePO para recopilar datos. . . . . . . . . . . . . . . . . . . . . . . . . . 44

Configuraciones y directivas en el Catálogo de directivas para McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Configuración de cliente de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Configurar el tiempo de procesamiento en segundo plano de Outlook para la protección de correo

Compatibilidad con los parámetros de configuración de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Configuración de los ajustes del cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Configuración de los ajustes del servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Restablecer la contraseña compartida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Protección de archivos mediante la gestión de derechos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Funcionamiento de McAfee DLP con la gestión de derechos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Servidores de gestión de derechos compatibles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Documentación de eventos mediante pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Uso de pruebas y del almacenamiento de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Memoria y almacenamiento de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Reglas que permiten el almacenamiento de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Creación de carpetas de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Administrativos y usuarios finales de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Crear definiciones de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Control de asignaciones a usuarios y conjuntos de permisos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

API REST para importar definiciones y aplicar directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Asignación de conjuntos de permisos de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Creación de un conjunto de permisos de McAfee DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Caso práctico: permisos de administrador de DLP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Creación de un conjunto de permisos de DLP Help Desk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Restricción de la visualización de appliances en el Árbol de sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Permitir que los usuarios editen las directivas de Gestión de appliances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Control de acceso a las funciones de Gestión de appliances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Permitir que los usuarios vean las estadísticas de Gestión de appliances. . . . . . . . . . . . . . . . . . . . . . . . . 77

Funciones de McAfee ePO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Clasificación de contenido de carácter confidencial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Identificación y rastreo de contenido con clasificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Cómo se categorizan las aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Clasificación en función del destino de los archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Supervisar o bloquear mensajes de correo electrónico confidenciales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Definir parámetros de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Uso con impresoras. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Control de la información cargada en sitios web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Clasificación por ubicación de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Clasificación del contenido con definiciones de diccionario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Clasificación del contenido con las definiciones de patrones avanzados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Clasificación de contenido con propiedades de documento o información de archivo. . . . . . . . . . . . . . . . . . . . . . . . 89

Clasificación manual de los archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90