Guía del producto Revisión A. McAfee Data Loss Prevention Endpoint 9.3.0

Transcripción

1 Guía del producto Revisión A McAfee Data Loss Prevention Endpoint 9.3.0

2 COPYRIGHT Copyright 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo de McAfee, McAfee Active Protection, McAfee CleanBoot, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan y WaveSecure son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los nombres y las descripciones del producto y las funciones están sujetos a cambios sin previo aviso. Visite mcafee.com para obtener información sobre los productos y las funciones más recientes. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2 McAfee Data Loss Prevention Endpoint Guía del producto

3 Contenido Prefacio 7 Acerca de esta guía Destinatarios Convenciones Búsqueda de documentación de productos Introducción 9 Cómo funciona McAfee DLP Endpoint Clasificar Seguimiento Proteger Supervisar Componentes del producto y su interacción Acerca del software cliente de McAfee Data Loss Prevention Endpoint Despliegue 2 Escenarios y opciones de despliegue 19 Selección de una opción de producto de endpoint Explicación de la compatibilidad con versiones anteriores Instalación recomendada Planificación del despliegue 23 Verificación de requisitos del sistema Configuración del servidor Trabajo en un entorno de clúster Preparación del clúster Prueba del clúster Creación y configuración de carpetas de repositorio Configuración de carpetas en Windows Server Configuración de carpetas en Windows Server Lista de comprobación para la instalación Instalación 4 Instalación del software McAfee DLP Endpoint 35 Instalación de la extensión de McAfee Data Loss Prevention Endpoint Inicialización de la consola de directivas de McAfee DLP Endpoint Ampliación de la licencia Incorporación del paquete McAfee DLP Endpoint en epolicy Orchestrator Instalación de una ampliación de versión 41 Ampliación del software McAfee DLP Endpoint Ampliación por fases McAfee Data Loss Prevention Endpoint Guía del producto 3

4 Contenido Restauración de la directiva después de la ampliación Despliegue de McAfee DLP Endpoint 47 Despliegue del software cliente Definición de una regla predeterminada Despliegue del cliente de McAfee DLP Endpoint con epolicy Orchestrator Verificación de la instalación Despliegue de directivas con epolicy Orchestrator Aplicación de la directiva del sistema Asignación de una directiva o de la configuración de los agentes Importación de directivas y edición de descripciones de directivas Actualización de la directiva Configuración y uso 7 Configuración de los componentes del sistema 57 Configuración de los agentes Aplicación de la configuración global de los agentes Importación de la configuración global de los agentes Restablecimiento de los valores de configuración de los agentes Configuración de operación en modo seguro Clasificación del contenido confidencial 61 Clasificación por contenido Utilización de diccionarios para clasificar el contenido Clasificación del contenido con propiedades de documentos o extensiones de archivos Definiciones de patrones de texto Lista blanca Clasificación por ubicación de archivo Modo de funcionamiento del análisis de descubrimiento Definición de recursos compartidos de archivos de red Definición de parámetros de red Definición de repositorios de documentos registrados Clasificación por destino de archivo Cómo se controla el contenido de carácter confidencial en el correo electrónico Definición de impresoras de red y locales Control de la información cargada en sitios web Clasificación en uso Cómo categoriza las aplicaciones McAfee DLP Endpoint Aplicaciones y modo de uso Adición y eliminación de aplicaciones Definición de tipos de archivos Reglas de clasificación Vinculación de categorías a contenido mediante reglas de clasificación Creación y definición de reglas de clasificación Seguimiento de contenido con marcas y clasificaciones 107 Utilización de marcas y categorías de contenido para clasificar contenido Creación de marcas, categorías de contenido, catálogos y grupos Vinculación de marcas al contenido mediante reglas de marcado Creación y definición de reglas de marcado Marcas manuales Aplicación manual de marcas a los archivos Eliminación de marcas manuales del contenido Aplicación de la protección de McAfee DLP McAfee Data Loss Prevention Endpoint Guía del producto

5 Contenido Protección de medios extraíbles Categorización de dispositivos con clases de dispositivos Control de dispositivos con definiciones de dispositivos Reglas de dispositivos Parámetros de dispositivos Protección de archivos mediante la gestión de derechos Funcionamiento de Data Loss Prevention con gestión de derechos Usuarios de Adobe Rights Management Definición del servidor de Adobe RM y sincronización de directivas Definición de un servidor de Microsoft Rights Management Service y sincronización de plantillas Definición de un servidor Seclore y sincronización de directivas Control del contenido de carácter confidencial con reglas de protección Reglas de protección del Portapapeles mejoradas Funcionamiento de las reglas de protección Definiciones y cómo definen las reglas Eliminación de reglas, definiciones, clases de dispositivos o grupos de usuarios Utilización de definiciones predefinidas Limitación de reglas con grupos de asignación Asignación de usuarios Grupos de asignación de equipos Supervisión y generación de informes 11 Supervisión y generación de informes 171 Recopilación y administración de datos Administrador de incidentes de DLP/Eventos operativos de DLP Tareas de incidentes Edición del ejecutor de tareas Creación de informes Funcionamiento con la base de datos Documentación de eventos mediante pruebas Redacción y control de acceso según funciones Protección de la confidencialidad con la redacción Control de acceso según funciones Conjuntos de permisos y usuarios 189 Conjuntos de permisos sobre DLP Creación y definición de administradores de McAfee DLP Creación y definición de conjuntos de permisos Solución de problemas 13 Solución de problemas y operaciones no estándar 195 Herramientas del sistema Omisión de agente y funciones relacionadas Solicitud de una clave de omisión Despliegue manual de los productos de software del endpoint de McAfee Creación de un paquete de instalación Creación de un anuncio Creación del paquete de desinstalación de SMS Creación de un paquete de desinstalación de SMS para su ejecución desde una línea de comando Temas avanzados: Ejecución del robot de rastreo (crawler) de PST desde la línea de comandos. 202 McAfee Data Loss Prevention Endpoint Guía del producto 5

6 Contenido Índice McAfee Data Loss Prevention Endpoint Guía del producto

7 Prefacio Contenido Acerca de esta guía Búsqueda de documentación de productos Acerca de esta guía Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos utilizados, además de cómo está organizada. Destinatarios La documentación de McAfee se investiga y escribe cuidadosamente para sus destinatarios. La información de esta guía va dirigida principalmente a: Administradores: personas que implementan y aplican el programa de seguridad de la empresa. Responsables de seguridad: personas encargadas de determinar qué información es confidencial y definir la directiva corporativa que protege la propiedad intelectual de la empresa. Convenciones En esta guía se utilizan los siguientes iconos y convenciones tipográficas. Título de libro, término o énfasis Negrita Datos introducidos por el usuario, código, mensajes Texto de la interfaz Azul hipertexto Título de un libro, capítulo o tema; introducción de un nuevo término; énfasis. Texto que se enfatiza particularmente. Comandos u otro texto que escribe el usuario; un ejemplo de código; un mensaje que aparece en pantalla. Palabras de la interfaz del producto, como los nombres de opciones, menús, botones y cuadros de diálogo. Un vínculo a un tema o a un sitio web externo. Nota: Información adicional, como un método alternativo de acceso a una opción. Sugerencia: Sugerencias y recomendaciones. Importante/atención: Consejo importante para proteger el sistema, la instalación del software, la red, la empresa o los datos. Advertencia: Consejo especialmente importante para prevenir daños físicos cuando se usa un producto de hardware. McAfee Data Loss Prevention Endpoint Guía del producto 7

8 Prefacio Búsqueda de documentación de productos Búsqueda de documentación de productos McAfee le proporciona la información que necesita en cada fase del proceso de implementación del producto, desde la instalación al uso diario y a la solución de problemas. Tras el lanzamiento de un producto, su información se introduce en la base de datos online KnowledgeBase de McAfee. 1 Vaya a McAfee Technical Support ServicePortal en 2 En Self Service (Autoservicio), acceda al tipo de información que necesite: Para acceder a... Documentación de usuario Haga lo siguiente... 1 Haga clic en Product Documentation (Documentación del producto). 2 Seleccione un producto, después seleccione una versión. 3 Seleccione un documento del producto. KnowledgeBase Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase) para encontrar respuestas a sus preguntas sobre el producto. Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase) para ver los artículos clasificados por producto y versión. 8 McAfee Data Loss Prevention Endpoint Guía del producto

9 1 1 Introducción McAfee Data Loss Prevention (McAfee DLP) protege a las empresas frente a los riesgos asociados con la transferencia de datos sin autorización desde dentro o fuera de la organización. McAfee Data Loss Prevention Endpoint (El software McAfee DLP Endpoint) es una solución de agente basada en contenido que supervisa las acciones de los usuarios de la empresa que afectan al contenido de carácter confidencial en su propio entorno de trabajo, es decir, sus equipos. El software McAfee DLP Endpoint utiliza tecnología de descubrimiento avanzada, reconocimiento de patrón de texto y diccionarios predefinidos para la identificación de este contenido de carácter confidencial e incorpora la administración de dispositivos y el cifrado de capas adicionales de control. Funciona con software de protección de terceros como Adobe LiveCycle Rights Management, Microsoft Rights Management Service, Seclore FileSecure y Titus Message Classification para ampliar la seguridad de sus datos. Las directivas y reglas pueden configurarse de modo que se apliquen tanto dentro como fuera de la red de la empresa o en ambos sitios. Esta guía proporciona toda la información necesaria para instalar, desplegar y usar el software McAfee DLP Endpoint: configuración de los agentes, creación de las reglas de dispositivos, marcado y protección del contenido y supervisión de las directivas para evitar la pérdida de datos. El software McAfee DLP Endpoint versión 9.3 se ejecuta en McAfee epolicy Orchestrator (McAfee epo ), el administrador de directivas centralizado para sistemas y productos de seguridad. La versión 9.3 puede instalarse en epolicy Orchestrator 4.5, 4.6 o 5.0. Contenido Cómo funciona McAfee DLP Endpoint Componentes del producto y su interacción McAfee Data Loss Prevention Endpoint Guía del producto 9

10 1 Introducción Cómo funciona McAfee DLP Endpoint Cómo funciona McAfee DLP Endpoint McAfee DLP Endpoint protege la información confidencial de la empresa mediante el despliegue de directivas compuestas por reglas de clasificación, reglas de marcado, reglas de protección, reglas de dispositivos y asignaciones de grupos y usuarios. Las directivas de McAfee DLP Endpoint se supervisan y las acciones definidas mediante contenido identificado como confidencial se supervisan o se bloquean, según sea necesario. En ciertos casos, el contenido de carácter confidencial se cifra antes de permitir la acción. El contenido se almacena como prueba y se generan informes para facilitar la revisión y el control del proceso. Figura 1-1 Flujo de trabajo de McAfee DLP Endpoint Clasificar Para proteger el contenido de carácter confidencial, el McAfee DLP administrador comienza por definir y clasificar lo que debe protegerse. El contenido puede clasificarse por: Ubicación Tipo de contenido Términos específicos Patrones de texto Las ubicaciones pueden definirse de acuerdo al origen del contenido (por ejemplo, la carpeta Departamento de finanzas) o al destino donde se copia (por ejemplo, una unidad flash no cifrada). Una categoría especial es el Repositorio de documentos registrados. Entre los tipos de contenido se encuentran el contenido cifrado, el contenido con propiedades de documentos o tipos de archivos específicos, o el contenido con marcas o categorías de contenido. Los diccionarios definen listas de palabras sensibles. Por ejemplo, para proteger la información médica privada, el diccionario de HIPAA incluye términos médicos que deben conservar su confidencialidad. Para clasificar información pueden usarse cadenas definidas, como Confidencial de la empresa, o expresiones regulares que pueden usarse para identificar números de tarjeta de crédito u otros patrones regulares. 10 McAfee Data Loss Prevention Endpoint Guía del producto

11 Introducción Cómo funciona McAfee DLP Endpoint 1 El correo electrónico puede clasificarse con la popular aplicación Titus Message Classification. Las clasificaciones de Titus se reconocen como patrones de texto que se utilizan para crear reglas de protección de correo electrónico. Reglas de clasificación Las reglas de clasificación aplican categorías de contenido según el análisis del contenido y su correspondencia con patrones o palabras clave predefinidos. Existen dos tipos de reglas de clasificación: Reglas de clasificación del contenido que comparan el contenido con cadenas predefinidas y con patrones de texto o diccionarios. Reglas de clasificación de documentos registrados que clasifican todo el contenido especificado en un grupo de carpetas definido. Véase también Creación de una definición de repositorio de documentos registrados en la página 83 Seguimiento Para realizar un seguimiento del contenido de carácter confidencial, se aplica una marca o una categoría de contenido al archivo que incluye este tipo de contenido. Las marcas se almacenan en los atributos extendidos (EA) o los flujos alternativos de datos (ADS, Alternate Data Streams) de un archivo. Al acceder a estos archivos, el software McAfee DLP Endpoint realiza un seguimiento de la transformación de los datos y mantiene la clasificación del contenido de carácter confidencial de forma permanente, con independencia de cómo se utiliza. Si, por ejemplo, un usuario abre un documento de Word marcado, copia unos párrafos del documento en un archivo de texto y adjunta dicho archivo a un mensaje de correo electrónico, el mensaje saliente tendría la misma marca que el documento original. Compatibilidad con información de marcas persistente En el caso de sistemas de archivos que no sean compatibles con EA o ADS, el software McAfee DLP Endpoint almacena la información de marcas en el disco en forma de metarchivo. Los metarchivos se almacenan en una carpeta oculta cuyo nombre es ODB$ y que es creada automáticamente por el software cliente de McAfee DLP Endpoint. Reglas de marcado Las reglas de marcado y clasificación, basadas en las necesidades de la empresa, identifican la información confidencial y sus orígenes. La información se puede clasificar por: Aplicación: las reglas de marcado basadas en la aplicación aplican marcas que, por lo general, se basan en la aplicación o las aplicaciones que crean un archivo (como se especifica en las definiciones de la aplicación) o en el tipo o la extensión del archivo. Ubicación: cuando un proceso local accede o copia un archivo, se aplican reglas de marcado basadas en la ubicación del archivo de origen. Por ejemplo, cuando se copia un archivo de forma local desde un recurso compartido de un servidor de red. Puede agregar patrones de texto y diccionarios a una regla de marcado basada en la ubicación o en la aplicación combinando ambos tipos de reglas. Además de usar reglas de marcado, pueden aplicarse marcas manualmente o durante el proceso de descubrimiento McAfee Data Loss Prevention Endpoint Guía del producto 11

12 1 Introducción Cómo funciona McAfee DLP Endpoint Reglas de descubrimiento McAfee Data Loss Prevention Discover es un robot de rastreo (crawler) que se ejecuta en equipos gestionados. Las reglas de descubrimiento de almacenamiento de correo electrónico y del sistema de archivos pueden definir el contenido que se busca, ya sea para supervisarlo, ponerlo en cuarentena o marcarlo, y tanto si se deben almacenar pruebas como si no. Las reglas de descubrimiento del sistema de archivos también pueden utilizarse para cifrar archivos o aplicarles directivas de gestión de derechos. Los ajustes de la configuración global del agente determinan cuándo y dónde se efectúa la búsqueda. Proteger La protección se define con las reglas de dispositivos y de protección que pueden filtrarse por grupos de usuarios (aplicaciones). Las reglas se aplican con directivas. Las excepciones se definen con listas blancas. Reglas de protección Las reglas de protección impiden la distribución no autorizada de datos marcados. Cuando un usuario intenta copiar o adjuntar datos marcados, las reglas de protección determinan si estas acciones deben permitirse, supervisarse o bloquearse. Además de las marcas y categorías de contenido, las reglas de protección se definen con aplicaciones o grupos de aplicaciones, asignaciones de usuarios y definiciones como destinos de correo electrónico, propiedades de documento o patrones de texto. Reglas de dispositivos Las reglas de dispositivos supervisan y, en caso necesario, impiden que el sistema cargue dispositivos físicos como dispositivos de almacenamiento extraíbles, Bluetooth, Wi Fi y otros dispositivos Plug and Play. Las clases y definiciones de dispositivos se utilizan para definir las reglas de dispositivos. Grupos de asignación Los grupos de asignación aplican reglas de protección específicas a distintos grupos, usuarios y equipos de la empresa. Directivas y despliegue de directivas Una directiva es la combinación de reglas de marcado, reglas de protección, definiciones y grupos de asignación. Las directivas se despliegan mediante el software epolicy Orchestrator en los equipos gestionados de la empresa (equipos con McAfee Agent instalado). Listas blancas Las listas blancas son recopilaciones de elementos que el sistema debe ignorar. McAfee DLP Endpoint utiliza cuatro tipos de listas blancas: Aplicación: las reglas de dispositivos pueden bloquear aplicaciones ejecutadas desde dispositivos extraíbles. Para permitir las aplicaciones necesarias como el software de cifrado, se pueden crear definiciones de aplicación en lista blanca para que dichas aplicaciones se excluyan de la regla de bloqueo. Las definiciones se aplican sólo a dispositivos de almacenamiento extraíbles. Contenido: la carpeta de la lista blanca contiene archivos de texto que definen contenidos (normalmente repetitivos) que no están marcados ni restringidos. Su propósito principal es mejorar la eficiencia del proceso de marcado ignorando el contenido estándar que no necesita protección. 12 McAfee Data Loss Prevention Endpoint Guía del producto

13 Introducción Cómo funciona McAfee DLP Endpoint 1 Dispositivos Plug and Play: algunos dispositivos Plug and Play no llevan a cabo la administración de dispositivos de forma óptima. El intento de gestionarlos puede provocar una interrupción en la respuesta del sistema u otros problemas graves. Los dispositivos Plug and Play de la lista blanca se excluyen automáticamente cuando se aplica una directiva. Impresoras: para impedir la impresión de datos confidenciales, McAfee DLP Endpoint sustituye el controlador original de la impresora por un controlador proxy que intercepta las operaciones de impresión y las transfiere al controlador original. En algunos casos, los controladores de impresora no funcionan en esta arquitectura, por lo que la impresora deja de responder. Las impresoras de lista blanca están excluidas del proceso de instalación del controlador proxy. Supervisar Cuando la aplicación de una regla bloquea, supervisa o provoca otro tipo de acción, se genera un evento que se envía al Analizador de eventos de epolicy Orchestrator y se almacena en una base de datos. El evento puede contener evidencia de la infracción de la regla. Además, los eventos de sistema generan eventos administrativos como el despliegue de directivas o los análisis de descubrimiento. La función de supervisión de directivas incluye: Supervisión de incidentes: la página Administrador de incidentes de DLP en epolicy Orchestrator permite a los administradores ver los eventos de los agentes y las pruebas en el momento en el que se reciben. Supervisión de eventos administrativos: la página Eventos operativos de DLP en epolicy Orchestrator permite a los administradores ver los eventos administrativos. Recopilación de pruebas: si hay reglas de protección definidas para recopilar pruebas, se guarda una copia de los datos marcados y se vincula al evento específico. Esta información ayuda a determinar la gravedad o la exposición del evento. La prueba se cifra mediante el algoritmo AES antes de que se guarde. Subrayado de coincidencias: se puede guardar la prueba resaltando el texto que ha provocado el evento. La prueba resaltada se guarda como un archivo HTML cifrado independiente. Además, pueden aparecer tendencias de eventos en los paneles de epolicy Orchestrator. McAfee Data Loss Prevention Endpoint Guía del producto 13

14 1 Introducción Componentes del producto y su interacción Componentes del producto y su interacción McAfee DLP Endpoint consta de varios componentes. Cada uno de ellos desempeña un papel concreto en la defensa de su red frente a la fuga de datos. Figura 1-2 Software McAfee DLP Endpoint Consola de directivas La consola de directivas de McAfee DLP Endpoint es la interfaz en la que el administrador define y aplica la directiva de seguridad de la información de la empresa. Se utiliza para crear la directiva de seguridad de la información, así como para administrar los componentes del software McAfee DLP Endpoint. A la consola de directivas de McAfee DLP Endpoint se accede desde el epolicy Orchestrator al seleccionar Menú Protección de datos Directiva de DLP. Supervisión de eventos La supervisión de DLP ahora es una función nativa del epolicy Orchestrator. Los eventos generados por las directivas de DLP ahora se conocen como "incidentes" para diferenciarlos de los eventos administrativos generados por el epolicy Orchestrator. Los incidentes se muestran en la página Administrador de incidentes de DLP Lista de incidentes. Los eventos de DLP se muestran en la página Eventos operativos de DLP Lista. A estas páginas se accede desde Menú Protección de datos en epolicy Orchestrator. Todos los eventos se pueden filtrar y ordenar según criterios como reglas de protección, gravedad, fecha, hora, usuario, nombre de equipo o versión de directiva. El administrador puede etiquetar los eventos para facilitar su seguimiento. Al definir conjuntos de permisos de epolicy Orchestrator, puede configurar permisos para ver la lista de eventos o incidentes y así poder asignar revisores a los distintos conjuntos de eventos. Puede disponer de un revisor distinto encargado de revisar la información redactada. Véase también Creación y definición de conjuntos de permisos en la página McAfee Data Loss Prevention Endpoint Guía del producto

15 Introducción Componentes del producto y su interacción 1 Acerca del software cliente de McAfee Data Loss Prevention Endpoint El software cliente de McAfee DLP Endpoint se despliega como un complemento de McAfee Agent, y aplica las directivas definidas en la directiva de McAfee DLP Endpoint. El software cliente de McAfee DLP Endpoint audita las actividades de los usuarios para supervisar, controlar e impedir que los usuarios no autorizados copien o transfieran información confidencial. A continuación, genera eventos que se registran mediante el Analizador de eventos de epolicy Orchestrator. Funcionamiento con conexión/sin conexión Las reglas de dispositivos y de protección pueden supervisar o proteger información de carácter confidencial en un equipo gestionado con conexión, sin conexión o en ambos casos. Se considera que un equipo tiene conexión cuando está conectado al servidor de epolicy Orchestrator. Múltiples sesiones de usuarios El software cliente de McAfee DLP Endpoint es compatible con la función de cambio rápido de usuario (FUS) en Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 y Windows Server 2012 con múltiples sesiones de usuarios. La compatibilidad con equipos de sobremesa virtuales puede dar lugar a múltiples sesiones de usuarios desde un único equipo host. Puede ver las sesiones de usuario en la página de epolicy Orchestrator Árbol de sistemas Sesiones de usuarios de DLP. Analizador de eventos Los eventos generados por el software cliente de McAfee DLP Endpoint se envían al Analizador de eventos de epolicy Orchestrator y se registran en tablas dentro de la base de datos de epolicy Orchestrator. Estos eventos se almacenan en la base de datos para su análisis posterior y se utilizan en otros componentes del sistema. McAfee Data Loss Prevention Endpoint Guía del producto 15

16 1 Introducción Componentes del producto y su interacción 16 McAfee Data Loss Prevention Endpoint Guía del producto

17 Despliegue En este apartado se describen las opciones para planificar el despliegue de software McAfee DLP Endpoint. Trata sobre las diferencias entre los productos de McAfee Data Loss Prevention, sobre la instalación recomendada y los problemas de compatibilidad con versiones anteriores para aquellos que amplíen a una versión anterior. Ya que McAfee DLP Endpoint funciona con McAfee epolicy Orchestrator, en este apartado también se tratan los problemas de instalación de McAfee epo y Microsoft SQL, así como la configuración del servidor para los requisitos especiales del software McAfee DLP Endpoint. Una vez haya finalizado este apartado, debería estar listo para instalar la extensión del softwaremcafee DLP Endpoint en McAfee epolicy Orchestrator, activar el paquete del agente en el repositoriomcafee epo y desplegar el software cliente en sus equipos de endpoint. Capítulo 2 Capítulo 3 Escenarios y opciones de despliegue Planificación del despliegue McAfee Data Loss Prevention Endpoint Guía del producto 17

18 Despliegue 18 McAfee Data Loss Prevention Endpoint Guía del producto

19 2 Escenarios 2 y opciones de despliegue La clasificación de la información corporativa en distintas categorías de prevención de fuga de datos resulta fundamental en el despliegue y la administración del software McAfee Data Loss Prevention Endpoint. Aunque existen directrices y recomendaciones, el esquema ideal depende de los objetivos y las necesidades de la empresa, y es propio de cada instalación. Elegir entre las dos opciones de DLP, McAfee Device Control y la versión completa de McAfee DLP Endpoint, constituye el primer paso a la hora de determinar el modo en que se satisfarán dichas necesidades. Dada la dificultad de determinar con antelación y exactitud la naturaleza de sus necesidades exclusivas, recomendamos el despliegue inicial en un grupo de muestra de entre 15 y 20 usuarios durante un período de prueba de un mes. Durante este período no se clasifican datos, y se crea una directiva para supervisar, no bloquear, las transacciones. La supervisión de los datos ayuda a los responsables de seguridad a tomar las decisiones apropiadas sobre dónde y cómo clasificar los datos empresariales. Las directivas creadas a partir de esta información se deben someter a prueba en un grupo de prueba de mayor tamaño (o, en el caso de empresas muy grandes, en una serie de grupos cada vez de mayor tamaño) antes de desplegarlas en toda la empresa. Contenido Selección de una opción de producto de endpoint Explicación de la compatibilidad con versiones anteriores Instalación recomendada Selección de una opción de producto de endpoint McAfee ofrece dos opciones de prevención de fuga de datos para endpoints: McAfee Device Control y McAfee DLP Endpoint. Los dos productos utilizan el mismo software instalado y la diferencia se encuentra en sus licencias. Explicación de las opciones de DLP para endpoints de McAfee El software McAfee DLP Endpoint está disponible en dos configuraciones: una configuración sólo para control de dispositivos y una configuración completa de McAfee DLP Endpoint. Durante la instalación, se activa la configuración de McAfee Device Control de forma predeterminada. Se puede pasar a la configuración con todas las funciones ampliando la clave de licencia en el menú Ayuda. Qué es McAfee Device Control? El software McAfee Device Control impide el uso no autorizado de dispositivos multimedia extraíbles, que actualmente es la causa de fuga de datos más cara y extendida en muchas empresas. Es la configuración predeterminada en el momento de la instalación. El software McAfee Device Control proporciona: McAfee Data Loss Prevention Endpoint Guía del producto 19

20 2 Escenarios y opciones de despliegue Explicación de la compatibilidad con versiones anteriores Persistente protección de datos basada en el contenido para dispositivos que controla los datos que se pueden copiar a dispositivos extraíbles o, incluso, controla estos dispositivos y los bloquea por completo o hace que sean de solo lectura; bloquea la ejecución de aplicaciones desde unidades extraíbles. Protección para dispositivos portátiles para unidades USB, ipods, dispositivos Bluetooth, CD, DVD y otros medios extraíbles, además de para discos duros que no sean del sistema. La instalación predeterminada del software McAfee DLP Endpoint incluye una licencia para versión de prueba de 90 días del software McAfee Device Control. Amplíe a la configuración completa del software McAfee DLP Endpoint ampliando la licencia. Las opciones de licencia para cualquiera de las versiones del software son de 90 días de prueba o por tiempo ilimitado. Al realizar la ampliación no es necesario volver a instalar el software. Qué es la versión completa de McAfee DLP Endpoint? El software McAfee DLP Endpoint proporciona: Protección universal contra la fuga de datos a través del amplísimo espectro de canales en los que puede producirse: dispositivos extraíbles, discos duros que no sean del sistema, correo electrónico o datos adjuntos de correo electrónico, publicaciones web, portapapeles y capturas de pantalla, impresión, sistema de archivos, etc. Persistente protección de datos basada en el contenido frente a la fuga de datos con independencia del formato en que éstos se almacenen o manipulen; aplica la prevención de fuga de datos sin perturbar las actividades legítimas que realizan los usuarios. Protección para dispositivos portátiles que impide la transmisión de datos confidenciales desde equipos de sobremesa y desde portátiles, estén o no conectados a la red de la empresa. Qué diferencia hay entre las configuraciones? Las siguientes definiciones están desactivadas (no disponibles) en el software McAfee Device Control: Descubrimiento Impresoras Destinos de correo electrónico Gestión de derechos Servidores de archivos Destinos web Red Las siguientes funciones no están disponibles: Reglas de protección (con la excepción de las reglas de almacenamiento extraíble) Marcas y reglas de marcado Explicación de la compatibilidad con versiones anteriores Para permitir una ampliación ordenada en grandes empresas que hayan desplegado versiones anteriores de McAfee DLP Endpoint en su entorno de producción, existe la opción de desplegar directivas compatibles con versiones anteriores en equipos en los que se sigan ejecutando los agentes anteriores. El Host DLP Agent 9.1 es la versión más reciente admitida por esta función. Las empresas que ejecutan versiones anteriores deben ampliar al Host DLP Agent 9.1 o posterior antes de ampliar a McAfee DLP Endpoint 9.3. La opción de compatibilidad con versiones anteriores, que permite la comunicación tanto con agentes antiguos como nuevos, tiene tres niveles: 20 McAfee Data Loss Prevention Endpoint Guía del producto

21 Escenarios y opciones de despliegue Instalación recomendada 2 Sin compatibilidad (todos los endpoints son de la versión 9.3) McAfee DLP Endpoint Agent 9.2 y posteriores Agente de McAfee DLP Endpoint 9.1 y posterior La opción de compatibilidad con agentes se selecciona durante la inicialización de la consola de directivas de McAfee DLP Endpoint. Se puede modificar en cualquier momento en Herramientas Opciones. Instalación recomendada La instalación recomendada para la implementación simple de McAfee Data Loss Prevention Endpoint es en un único servidor junto con el software McAfee epolicy Orchestrator. Para ver las recomendaciones sobre si utilizar o no un servidor distinto para la base de datos de epolicy Orchestrator consulte la Guía sobre el uso del ancho de banda y tamaño del hardware para epolicy Orchestrator 4.5 o la Guía sobre el uso del ancho de banda y tamaño del hardware para epolicy Orchestrator 4.6. Figura 2-1 Componentes y relaciones de McAfee DLP Endpoint McAfee Data Loss Prevention Endpoint Guía del producto 21

22 2 Escenarios y opciones de despliegue Instalación recomendada La arquitectura recomendada incluye: Servidor de epolicy Orchestrator : alberga la interfaz de la consola de directivas de McAfee DLP Endpoint incrustada y se comunica con el software McAfee Agent en los equipos de endpoint. En la versión 9.3, la interfaz incrustada para McAfee DLP Monitor se ha sustituido por dos componentes de epolicy Orchestrator: Administrador de incidentes de DLP y Eventos operativos de DLP. De este modo se optimiza la seguridad ya que se elimina el vínculo de conexión del servicio WCF. Informes de McAfee epo : una lista de eventos de McAfee DLP Endpoint dentro del servicio de generación de informes de McAfee epolicy Orchestrator sustituye a los informes de DLP. Analizador de eventos de epolicy Orchestrator : se comunica con McAfee Agent y almacena información de eventos en una base de datos. Analizador de eventos de DLP: recopila eventos de McAfee DLP Endpoint procedentes del Analizador de eventos de epolicy Orchestrator y los almacena en tablas de DLP en la base de datos de SQL. Base de datos de epo: se comunica con el Distribuidor de directivas de epolicy Orchestrator para distribuir las directivas, y con el Analizador de eventos de DLP para recopilar eventos y pruebas. Estación de trabajo del administrador: accede al epolicy Orchestrator y a la consola de directivas de McAfee DLP Endpoint en un navegador. Endpoint gestionado: aplica las directivas de seguridad mediante el software siguiente: Cliente de McAfee DLP Endpoint : un complemento de McAfee Agent que proporciona los procesos y directivas de McAfee DLP. McAfee Agent : proporciona el canal de comunicación entre el servidor de epolicy Orchestrator y el software cliente de McAfee DLP Endpoint. 22 McAfee Data Loss Prevention Endpoint Guía del producto

23 3 Planificación 3 del despliegue Prepare su entorno para instalar el software McAfee DLP Endpoint en epolicy Orchestrator. Antes de instalar el software McAfee DLP Endpoint, configure el servidor de epolicy Orchestrator y cree y configure las carpetas de repositorio. Cuando instale epolicy Orchestrator, tenga en cuenta lo siguiente: En las opciones de instalación de epolicy Orchestrator, le recomendamos que seleccione la opción Instalar el servidor y la consola. El software McAfee DLP Endpoint necesita Microsoft SQL Server 2005 o posterior. Al instalar en Windows Server 2003, recomendamos utilizar el instalador de SQL Server 2005 Express incluido en el instalador de McAfee epo. Tras verificar que desea instalar el software, la instalación de SQL continúa sin intervención del usuario. Si se le pide instalar SQL Server 2005 Backward Compatibility, debe instalarlo. La opción recomendada al instalar en Windows Server 2008 consiste en crear una instancia de epolicy Orchestrator en un servidor SQL Server 2005 o 2008 existente y seleccionarla. Recomendamos utilizar una cuenta de SQL Server. Si lo prefiere, también puede utilizar una cuenta de NT. Durante la instalación, es posible que aparezca un mensaje de advertencia sobre los sitios de confianza. Anote los nombres de los sitios de confianza que se recomienda agregar a la lista correspondiente en Internet Explorer antes de hacer clic en Aceptar. Tendrá que agregarlos más adelante. Algunas secuencias de comandos de instalación requieren que la cuenta SERVICIO DE RED tenga permiso de escritura para la carpeta C:\Windows\Temp. En sistemas seguros, esta carpeta puede estar bloqueada. En ese caso, deben cambiarse temporalmente los permisos para esa carpeta. Si no se hace, la instalación no se realizará correctamente. Recomendamos llevar a cabo todas las instalaciones de software antes de restablecer los permisos. Funciones y permisos Piense en las funciones de administrador que necesita para gestionar el sistema y cree los perfiles de usuario necesarios. Es posible que se necesiten funciones tales como administradores de McAfee DLP, creadores de directivas, visores de monitores, marcadores manuales y otras, dependiendo del tamaño del sistema y de la centralización que desee para el control. El sistema se puede modificar en cualquier momento, por lo que la lista no tiene que estar completa. Consulte el capítulo 12 Conjuntos de permisos y usuarios de esta guía para obtener más información. Contenido Verificación de requisitos del sistema Configuración del servidor Trabajo en un entorno de clúster Creación y configuración de carpetas de repositorio Lista de comprobación para la instalación McAfee Data Loss Prevention Endpoint Guía del producto 23

24 3 Planificación del despliegue Verificación de requisitos del sistema Verificación de requisitos del sistema Para ejecutar el software McAfee DLP Endpoint versión 9,3, se recomienda el siguiente hardware. Tabla 3-1 Requisitos de hardware Tipo de hardware Servidores Equipos endpoint Especificaciones CPU: Intel Pentium IV 2,8 GHz o superior RAM Únicamente 1 GB como mínimo para el software McAfee Device Control (se recomiendan 2 GB). 1 GB como mínimo para el software McAfee DLP Endpoint completo (se recomiendan 2 GB) Disco duro: 80 GB como mínimo CPU: Pentium III 1 GHz o superior RAM 512 MB como mínimo para el software McAfee Device Control (se recomienda 1 GB) 1 GB como mínimo para el software McAfee DLP Endpoint completo (se recomiendan 2 GB) Cuando se use la función de descubrimiento de McAfee DLP Endpoint, recomendamos 2 GB como mínimo. Disco duro: 300 MB como mínimo de espacio libre en disco (se recomienda 500 MB) Red LAN de 100 megabits para todas las estaciones de trabajo y el servidor de McAfee epo Se admite el siguiente software de sistema operativo Microsoft. 24 McAfee Data Loss Prevention Endpoint Guía del producto

25 Planificación del despliegue Verificación de requisitos del sistema 3 Tabla 3-2 Sistemas operativos compatibles Tipo de equipo Servidores Equipos endpoint Software Windows Server 2003 Standard (SE) SP1 o posterior (32 o 64 bits) Windows Server 2003 Enterprise (EE) SP1 o posterior (32 o 64 bits) Windows Server 2008 Enterprise SP1 o posterior (32 o 64 bits) Windows Server 2012 (Win 8 Server) de 64 bits Windows XP Professional SP3 o posteriores de 32 bits Microsoft Windows Vista SP1 o posterior (sólo de 32 bits) Windows 7 o SP1 32 o 64 bits) Windows 8 de 32 o 64 bits Las reglas de DLP no se admiten en las versiones de estilo Metro de las aplicaciones como Internet Explorer. Windows Server 2003 SP2 (32 o 64 bits) Windows Server 2008 SP2 (32 bits) Windows Server 2008 R2 (64 bits) Windows Server 2012 de 64 bits El usuario que instale el software McAfee DLP Endpoint en los servidores debe ser miembro del grupo de administradores locales. Los siguientes sistemas operativos virtuales son compatibles. Tabla 3-3 Sistemas operativos virtuales compatibles Tipo de sistema Software Sistemas VDI Citrix XenDesktop 5.5 y 5.6 VMware View 4.6 y 5.0 Equipos de sobremesa remotos Citrix XenApp 6.0 y 6.5 Microsoft Remote Desktop Es necesario el siguiente software en el servidor en el que se ejecute la consola de directivas de McAfee DLP Endpoint. Tabla 3-4 Requisitos de software del servidor Software McAfee epolicy Orchestrator McAfee Agent Sistema de ayuda de McAfee epo Versión 4.5 Parche 3 o posterior 4.6 o posterior Parche 4 o posterior 4.6 Parche 2 o posterior 4.8 Descargue la extensión de ayuda de McAfee DLP Endpoint 9.3 (help_dlp_930). McAfee Data Loss Prevention Endpoint Guía del producto 25

26 3 Planificación del despliegue Configuración del servidor Tabla 3-4 Requisitos de software del servidor (continuación) Software Versión Microsoft.NET 3.5 SP1, 4.0 o 4.5 Los administradores de agentes que se encuentren en servidores remotos ya no requieren.net Framework. Microsoft SQL Server Microsoft SQL Server Management Studio 2005 o 2008, Advanced Express o Enterprise, (32 o 64 bits) 2012 Express o Enterprise, 32 o 64 bits Instale la versión que coincida con la versión de Microsoft SQL Server que usa. El paquete de software McAfee DLP Endpoint versión x incluye lo siguiente: Cliente de McAfee Data Loss Prevention Endpoint (complemento de McAfee Agent) Extensión de McAfee DLP Endpoint (contiene los componentes instalados a través de epolicy Orchestrator, incluido McAfee Help Desk 2.0 ) Configuración del servidor La configuración básica del servidor de McAfee epo incluye el establecimiento de la configuración de seguridad y la comprobación de la instalación de.net. Antes de empezar Compruebe que el servidor cumple los requisitos mínimos del sistema. 1 Instale Microsoft Windows Server 2003, Windows Server 2008 o Windows Server Instale Windows Installer 3.0 (Windows Server 2003) o 4.5 (Windows Server 2008) y reinicie el sistema. Instale los service packs de Microsoft Windows. 3 Ejecute Windows Update e instale todos los parches y actualizaciones. 4 Desactive el componente Configuración de seguridad mejorada de Microsoft Internet Explorer. En Windows Server 2003, abra el panel de control de Windows y, a continuación, seleccione Agregar o quitar componentes de Windows. En Windows Server 2008, abra el Administrador del servidor y, seguidamente, seleccione Configurar ESC de Internet Explorer en la sección Información de seguridad. Este producto de Microsoft puede dificultar la correcta instalación de los componentes de McAfee DLP Endpoint. Desactívelo antes de la instalación y, en caso necesario, vuelva a configurarlo cuando finalice. 5 Verifique que Microsoft.NET Framework 3.5 SP1, 4.0 o 4.5 esté instalado. 6 Defina el servidor en una dirección IP fija. Recomendamos que para la prueba inicial se utilice una subred distinta a la red de producción de la empresa. Si va a configurar un entorno de producción, defina la dirección IP fija del servidor dentro de ese intervalo. 26 McAfee Data Loss Prevention Endpoint Guía del producto

27 Planificación del despliegue Trabajo en un entorno de clúster 3 Véase también Verificación de requisitos del sistema en la página 24 Trabajo en un entorno de clúster El software McAfee DLP Endpoint proporciona una alta disponibilidad para entornos que ejecuten epolicy Orchestrator en un clúster. Recomendamos la instalación de clústeres en un servidor Microsoft Windows Server 2008 con función de Failover Clustering. No se ha probado, y actualmente no se admite, la instalación en otros sistemas operativos. Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clúster, asegúrese de lo siguiente: Microsoft Failover Clustering está configurado y en ejecución en un clúster de dos o más servidores. Hay configuradas dos unidades independientes para la agrupación: una unidad de quórum y una unidad de datos. Existe un servidor de base de datos compatible (SQL Server 2005 o SQL Server 2008) en la red. epolicy Orchestrator está configurado según las directrices de instalación de clústeres de McAfee epolicy Orchestrator. Puede encontrar las guías en: Para epolicy Orchestrator 4.5: product_documentation/21000/pd21842/en_us/epo_450_cluster_install_guide_en us.pdf Para epolicy Orchestrator 4.6: product_documentation/22000/pd22974/en_us/epo_460_install_guide_en us.pdf Para epolicy Orchestrator 5.0: la documentación no está disponible en el momento de escribir este documento. Busque en el sitio de Atención al cliente para obtener la guía pertinente. s Preparación del clúster en la página 27 Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clúster, asegúrese de lo siguiente. Prueba del clúster en la página 28 Conviene probar las instalaciones de clúster antes de su uso. Preparación del clúster Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clúster, asegúrese de lo siguiente. Microsoft Failover Clustering está configurado y en ejecución en un clúster de dos o más servidores. Hay configuradas dos unidades independientes para la agrupación: una unidad de quórum y una unidad de datos. Existe un servidor de bases de datos compatible (SQL Server 2005 o SQL Server 2008) en la red. McAfee Data Loss Prevention Endpoint Guía del producto 27

28 3 Planificación del despliegue Creación y configuración de carpetas de repositorio epolicy Orchestrator se ha configurado correctamente. Para epolicy Orchestrator 4.5, consulte la Guía de instalación de clúster demcafee epolicy Orchestrator 4.5. Puede encontrar la guía en: content/live/product_documentation/21000/pd21842/en_us/ epo_450_cluster_install_guide_en us.pdf. Para epolicy Orchestrator 4.6, consulte la sección de instalación de clúster de la Guía de instalación de McAfee epolicy Orchestrator 4.6. Puede encontrar la guía en: kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/22000/pd22974/ en_us/epo_460_install_guide_en us.pdf. Prueba del clúster Conviene probar las instalaciones de clúster antes de su uso. Cuando el clúster de McAfee DLP Endpoint se ha configurado y está online, utilice esta tarea para asegurarse de que funciona en una situación de conmutación en caso de error. 1 Reinicie el sistema que funcione como nodo activo. El nodo pasivo se convierte automáticamente en nodo activo. 2 Inicie sesión en McAfee epolicy Orchestrator, seleccione Protección de datos Directiva de DLP y haga clic en Aplicar para aplicar la directiva. Si la pantalla de aplicación de directivas finaliza correctamente, puede concluir que el clúster de McAfee DLP Endpoint ha seguido en funcionamiento durante la conmutación en caso de error. Creación y configuración de carpetas de repositorio Las carpetas de repositorio contienen información que el software McAfee DLP Endpoint utiliza para la creación de directivas y la generación de informes. Deben crearse dos carpetas y recursos compartidos de la red y establecer sus propiedades y la configuración de seguridad correspondiente. No es necesario que las carpetas estén en el mismo equipo que el servidor de bases de datos de McAfee DLP Endpoint, pero suele ser recomendable que así sea. Proponemos las siguientes rutas y nombres de carpetas, y los siguientes nombres de recursos compartidos, pero puede crear otros según las necesidades de su propio entorno. c:\dlp_resources\ c:\dlp_resources\pruebas c:\dlp_resources\listablanca Carpeta Pruebas: determinadas reglas de protección permiten almacenar pruebas, por lo que debe designar con antelación dónde situarlas. Por ejemplo, cuando se bloquea un mensaje de correo electrónico, se puede incluir una copia del mensaje en la carpeta Pruebas. Carpeta Lista blanca: las huellas digitales de texto que debe omitir el software del endpoint se colocan en una carpeta repositorio de la lista blanca. Un ejemplo sería el texto estandarizado, como las notas de descargo de responsabilidad o de derechos de autor. El software McAfee DLP Endpoint ahorra tiempo al omitir estos fragmentos de texto que se sabe que no incluyen contenido de carácter confidencial. 28 McAfee Data Loss Prevention Endpoint Guía del producto

29 Planificación del despliegue Creación y configuración de carpetas de repositorio 3 Configuración de carpetas en Windows Server 2008 La configuración de las carpetas de repositorio en Windows Server 2008 requiere una configuración de seguridad específica. Antes de empezar Cree las carpetas de pruebas y de la lista blanca, como se describe en Antes de instalar la extensión. Ambas carpetas se configuran del mismo modo. Repita esta tarea para cada carpeta. 1 Haga clic con el botón derecho del ratón en la carpeta de pruebas/lista blanca y seleccione Propiedades. 2 Haga clic en la ficha Uso compartido y, a continuación, haga clic en Uso compartido avanzado. Seleccione la opción Compartir esta carpeta. 3 Cambie el Nombre del recurso compartido a evidence$ / whitelist$. Haga clic en Aceptar. El símbolo $ garantiza que el recurso compartido está oculto. 4 Haga clic en la ficha Seguridad y, a continuación, haga clic en Opciones avanzadas. 5 En la ficha Permisos, anule la selección de la opción Incluir permisos heredables del ascendiente del objeto. En un mensaje de confirmación se explica el efecto que este cambio tendrá en la carpeta. 6 Haga clic en Eliminar. La ficha Permisos e la ventana Configuración de seguridad avanzada muestra todos los permisos eliminados. 7 Haga clic en Agregar para seleccionar un tipo de objeto. 8 En el campo Escriba el nombre de objeto para seleccionar, escriba Domain Computers y, a continuación, haga clic en Aceptar. Accederá al cuadro de diálogo Entrada de permiso. 9 En la columna Permitir, seleccione: Crear archivos/escribir datos y Crear carpetas/anexar datos para la carpeta de pruebas. Listar carpeta/leer datos para la carpeta de la lista blanca. Compruebe que la opción Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuación, haga clic en Aceptar. La ventana Configuración de seguridad avanzada ahora incluye Equipos del dominio. 10 Vuelva a hacer clic en Agregar para seleccionar un tipo de objeto. 11 En el campo Escriba el nombre de objeto para seleccionar, escriba Administrators y, a continuación, haga clic en Aceptar para ver el cuadro de diálogo Entrada de permiso. Establezca los permisos necesarios. Es necesario añadir administradores para la carpeta de la lista blanca. Para la carpeta de pruebas es opcional, pero pueden añadirse como medida de seguridad. También puede añadir permisos tan sólo para los administradores que desplieguen directivas. 12 Haga clic en Aceptar dos veces para cerrar el cuadro de diálogo. McAfee Data Loss Prevention Endpoint Guía del producto 29

30 3 Planificación del despliegue Creación y configuración de carpetas de repositorio Configuración de carpetas en Windows Server 2003 La configuración de las carpetas de repositorio en Windows Server 2003 requiere una configuración de seguridad específica. Antes de empezar Cree las carpetas de pruebas y de la lista blanca, como se describe en Antes de instalar la extensión. Ambas carpetas se configuran del mismo modo. Repita esta tarea para cada carpeta. 1 Haga clic con el botón derecho del ratón en el icono de la carpeta de pruebas/carpeta de la lista blanca y seleccione Uso compartido y seguridad. 2 En la ventana que aparece, seleccione Compartir esta carpeta. Cambie el Nombre del recurso compartido a evidence$ / whitelist$. Haga clic en Aceptar. El símbolo $ garantiza que el recurso compartido está oculto. 3 Haga clic en la ficha Seguridad y, a continuación, haga clic en Opciones avanzadas. 4 En la ficha Permisos del cuadro de diálogo Configuración de seguridad avanzada de pruebas, desactive Permitir permisos heredables. En un mensaje de confirmación se explica el efecto que este cambio tendrá en la carpeta. 5 Haga clic en Eliminar. La ficha Permisos del cuadro de diálogo Configuración de seguridad avanzada muestra todos los permisos eliminados excepto los de los administradores. Es necesario establecer permisos para los administradores de la carpeta de la lista blanca. Para la carpeta de pruebas es opcional, pero pueden añadirse como medida de seguridad. También puede añadir permisos tan sólo para los administradores que desplieguen directivas. 6 Haga doble clic en la entrada Administradores para abrir el cuadro de diálogo Entrada de permiso. Cambie la opción Aplicar en a Esta carpeta, subcarpetas y archivos. Haga clic en Aceptar. 7 Haga clic en Agregar para seleccionar un tipo de objeto. 8 En el campo Escriba el nombre de objeto para seleccionar, escriba Domain Computers y, a continuación, haga clic en Aceptar para ver el cuadro de diálogo Entrada de permiso. 9 En la columna Permitir, seleccione: Crear archivos/escribir datos y Crear carpetas/anexar datos para la carpeta de pruebas. Listar carpeta/leer datos para la carpeta de la lista blanca. Compruebe que la opción Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuación, haga clic en Aceptar. El cuadro de diálogo Configuración de seguridad avanzada ahora incluye Equipos del dominio. 10 Haga clic en Aceptar dos veces para cerrar el cuadro de diálogo. 30 McAfee Data Loss Prevention Endpoint Guía del producto

31 Planificación del despliegue Lista de comprobación para la instalación 3 Lista de comprobación para la instalación Revise la configuración del servidor y la instalación de epolicy Orchestrator mediante esta lista de comprobación. Tabla 3-5 Configuración del servidor Paso de flujo de trabajo Software de sistema operativo Microsoft Server instalado con versión.net compatible con McAfee DLP Endpoint. Configuración de seguridad mejorada de Microsoft Internet Explorer, si se usa, debe estar desactivada para la instalación de McAfee DLP Endpoint y luego debe de activarse de nuevo. Permisos de la cuenta SERVICIO DE RED alterados para la instalación de McAfee DLP Endpoint y luego deben volver a restaurarse. Carpetas de repositorio creadas y compartidas con los permisos correctos. Microsoft SQL Server instalado según las recomendaciones. McAfee epolicy Orchestrator instalado con las opciones recomendadas. Comprobado McAfee Data Loss Prevention Endpoint Guía del producto 31

32 3 Planificación del despliegue Lista de comprobación para la instalación 32 McAfee Data Loss Prevention Endpoint Guía del producto

33 Instalación En esta sección se describe la instalación de la extensión de McAfee DLP Endpoint en epolicy Orchestrator y el despliegue del software cliente en los equipos endpoint. Capítulo 4 Capítulo 5 Capítulo 6 Instalación del software McAfee DLP Endpoint Instalación de una ampliación de versión Despliegue de McAfee DLP Endpoint McAfee Data Loss Prevention Endpoint Guía del producto 33

34 Instalación 34 McAfee Data Loss Prevention Endpoint Guía del producto

35 4 Instalación 4 del software McAfee DLP Endpoint Contenido Instalación de la extensión de McAfee Data Loss Prevention Endpoint Incorporación del paquete McAfee DLP Endpoint en epolicy Orchestrator Instalación de la extensión de McAfee Data Loss Prevention Endpoint La extensión del software McAfee DLP Endpoint se instala en epolicy Orchestrator. Antes de empezar Descargue la extensión de McAfee DLP Endpoint desde el sitio de descargas de McAfee correspondiente al software McAfee Data Loss Prevention. El software McAfee DLP Endpoint actualmente no es compatible con la función de Administrador de software de McAfee epolicy Orchestrator 4.6 y 5.0. Compruebe que el nombre de servidor de epolicy Orchestrator aparece en la lista de sitios de confianza en la configuración de seguridad de Internet Explorer. La instalación predeterminada es una licencia de 90 días para el software McAfee Device Control. Si adquirió una licencia para la versión completa del software McAfee Data Loss Prevention Endpoint, deberá ampliar la licencia tras completar la instalación. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En epolicy Orchestrator, seleccione Menú Software Extensiones y, a continuación, haga clic en Instalar extensión. 2 Haga clic en Examinar y seleccione el archivo.zip de McAfee DLP Endpoint (.. \HDLP_Extension_9_3_0_xxx.zip). Haga clic en Abrir y, a continuación, en Aceptar. El cuadro de diálogo de instalación muestra los parámetros de archivo para verificar que está instalando la extensión correcta. 3 Haga clic en Aceptar. Se instala la extensión. McAfee Data Loss Prevention Endpoint Guía del producto 35

36 4 Instalación del software McAfee DLP Endpoint Instalación de la extensión de McAfee Data Loss Prevention Endpoint Las aplicaciones siguientes se instalan en epolicy Orchestrator: Consola de directivas de McAfee DLP Endpoint (Menú Protección de datos) Administrador de incidentes de DLP y Eventos operativos de DLP (en Menú Protección de datos) Analizador de eventos de DLP McAfee Help Desk 4 Haga clic en Aceptar. s Inicialización de la consola de directivas de McAfee DLP Endpoint en la página 36 La primera vez que abre la consola de directivas de McAfee Data Loss Prevention Endpoint, se ejecuta un asistente de primera inicialización. Ampliación de la licencia en la página 38 El software McAfee DLP Endpoint viene en dos versiones, McAfee Device Control y la versión completa de McAfee Data Loss Prevention Endpoint, con dos opciones de licencia para cada una de ellas: 90 días de prueba y por tiempo ilimitado. La instalación predeterminada es McAfee Device Control con una licencia de prueba de 90 días. Inicialización de la consola de directivas de McAfee DLP Endpoint La primera vez que abre la consola de directivas de McAfee Data Loss Prevention Endpoint, se ejecuta un asistente de primera inicialización. El asistente puede ejecutarse en cualquier momento seleccionando Asistente Inicialización en el menú Herramientas de la consola de directivas de McAfee DLP Endpoint. El instalador de Herramientas de administración de McAfee DLP Endpoint y el asistente de inicialización de la consola de directivas de McAfee DLP Endpoint utilizan tecnología ActiveX. Para evitar que el instalador sea bloqueado, verifique que esté activado lo siguiente en Internet Explorer Herramientas Opciones de Internet Seguridad Nivel personalizado: Solicitud automática de los controles de ActiveX Descargar los controles firmados para ActiveX 1 En epolicy Orchestrator, seleccione Menú Protección de datos Directiva de DLP. Se ejecuta el instalador de las herramientas de administración de McAfee DLP Endpoint y, tras una breve demora, aparecerá la ventana de Bienvenida del asistente Instalación de Herramientas de administración de DLP. Realice los pasos del asistente. 2 Una vez finalizada la instalación de las herramientas de administración de McAfee DLP Endpoint, comienza la carga de la consola de directivas de McAfee DLP Endpoint. Si ya dispone de una directiva, se le pedirá que la convierta al nuevo formato. Haga clic en Convertir y vaya al paso 4. McAfee DLP Endpoint versión 9.3 incorpora varias definiciones de patrones de texto nuevas. Estas definiciones no se agregan a la directiva durante la conversión. Para agregar estas definiciones nuevas, utilice el asistente de Sincronización de plantillas. 3 Si no existe ninguna directiva anterior, aparecerá el mensaje La directiva global de DLP no está disponible. Cargando una directiva predeterminada. Haga clic en Aceptar para continuar. 4 Cuando aparezca el mensaje Configuración de agente no disponible. Cargando un agente predeterminado, haga clic en Aceptar. 36 McAfee Data Loss Prevention Endpoint Guía del producto

37 Instalación del software McAfee DLP Endpoint Instalación de la extensión de McAfee Data Loss Prevention Endpoint 4 5 Cuando aparezca el asistente Primera inicialización de la consola de directivas de McAfee DLP Endpoint, realice los siguientes pasos: Opción Descripción 1 de 8 Haga clic en Siguiente. 2 de 8 Normalmente, las reglas de descubrimiento del sistema de archivos le ofrecen la opción de aplicar una directiva de gestión de derechos, marcar o poner en cuarentena los archivos confidenciales. A pesar de que no lo recomendamos, puede agregar una opción Eliminar si selecciona la opción Admitir borrado de descubrimientos en sistema de archivos. Esta opción no estará disponible hasta que actualice su instalación del software McAfee Data Loss Prevention Endpoint a la versión completa. Para la solución de problemas, cuando sea necesario revisar una versión de fácil lectura de la directiva, seleccione Generar directiva detallada. Para la mayoría de las instalaciones, recomendamos dejar estas casillas de verificación sin seleccionar. En organizaciones muy grandes en las que el despliegue de McAfee DLP Endpoint 9,3 se realice por fases, las versiones anteriores del complemento deben coexistir. Seleccione el Modo de compatibilidad con versiones anteriores apropiado: Sin compatibilidad (todos los endpoints son de la versión 9.3) McAfee DLP Endpoint Agent 9.2 y posteriores Agente de McAfee DLP Endpoint 9.1 y posterior Seleccione su protocolo de acceso a directorios: Microsoft Active Directory u OpenLDAP. Cuando se usa Microsoft AD en organizaciones muy grandes en las que las ocasiones de búsqueda pueden ser excesivas, seleccione Restringir búsquedas AD al dominio predeterminado. Cuando haya terminado todos los cambios, haga clic en Siguiente. 3 de 8 Este paso no está disponible al instalar McAfee Device Control Escriba nombres de usuario para la autorización para la aplicación manual de marcas o haga clic en uno de los botones para buscar nombres de usuario en Active Directory u Open LDAP (opcional). Haga clic en Siguiente. Recomendamos crear un grupo basado en funciones, como DLP Manual Tagging Users, y que dicho grupo se utilice al configurar Access Control. 4 de 8 Escriba una contraseña y confírmela (obligatorio). En el software McAfee DLP Endpoint se necesitan contraseñas seguras, es decir, con un mínimo de 8 caracteres y al menos una mayúscula, una minúscula, un dígito y un carácter especial (símbolo). En caso de ampliación, esta no se implementará hasta que cambie una contraseña o utilice una directiva nueva. Si no desea que se informe a la base de datos de los eventos de generación de clave de sistemas endpoint, desactive la casilla de verificación. Si desea utilizar cadenas de desafío/respuesta cortas (de 8 dígitos en lugar de 16), marque la casilla. Haga clic en Siguiente. 5 de 8 Desplácese al recurso compartido de almacenamiento de la lista blanca y, a continuación, haga clic en Siguiente. Es necesaria la ruta UNC de la lista blanca para aplicar la directiva a epolicy Orchestrator. Se muestran los límites de tamaño, pero no se pueden cambiar en el asistente de Inicialización. 6 de 8 Modifique las opciones del servicio de ventanas emergentes del agente (opcional). Las funciones gestionadas de ventanas emergentes del agente se muestran pero no se pueden modificar en el asistente de Inicialización. Se puede configurar la directiva de McAfee Data Loss Prevention Endpoint Guía del producto 37

38 4 Instalación del software McAfee DLP Endpoint Instalación de la extensión de McAfee Data Loss Prevention Endpoint Opción Descripción cierre manual o automático de las ventanas emergentes y de bloqueo de código de autorización. Modifique los mensajes de notificación predeterminados (opcional). Seleccione los tipos de evento de uno en uno y escriba el mensaje en el campo de texto. Haga clic en Siguiente. 7 de 8 Desplácese al recurso compartido de almacenamiento de pruebas y, a continuación, haga clic en Siguiente. Es necesaria la ruta de almacenamiento de pruebas para aplicar la directiva a epolicy Orchestrator. Seleccione una cuenta de usuario y una contraseña para la copia de pruebas (opcional). Defina la opción de Replicación de pruebas necesaria. Haga clic en Siguiente. 8 de 8 Haga clic en Finalizar. 6 Responda al mensaje Aplicar la configuración inicial?. Si no ha omitido ninguno de los pasos obligatorios, haga clic en Sí y aplique la directiva inicial. Si ha omitido alguno de los pasos obligatorios, haga clic en No para completar la inicialización. Se necesita una contraseña y el recurso compartido de almacenamiento de pruebas para completar la inicialización. Es necesario llevar a cabo los pasos marcados como obligatorios para completar la directiva. Se pueden omitir durante la inicialización y completarlos posteriormente. Si no ha aplicado la directiva, seleccione Archivo Guardar para guardar la directiva en un archivo. 7 Haga clic en Finalizar. Ampliación de la licencia El software McAfee DLP Endpoint viene en dos versiones, McAfee Device Control y la versión completa de McAfee Data Loss Prevention Endpoint, con dos opciones de licencia para cada una de ellas: 90 días de prueba y por tiempo ilimitado. La instalación predeterminada es McAfee Device Control con una licencia de prueba de 90 días. Antes de empezar Antes de comenzar esta tarea, adquiera su licencia de ampliación y consiga una clave de activación de su representante de ventas de McAfee. 1 En la barra de menús de la consola de directivas de McAfee DLP Endpoint, seleccione Ayuda Actualizar licencia. La ventana Ver y actualizar licencia muestra la clave de activación (predeterminada) actual y la fecha de caducidad. 2 Haga clic en Actualizar. 3 Escriba o pegue la clave de activación en el campo Clave de activación y haga clic en Aplicar. Aparecerá un mensaje de advertencia indicando que debe iniciar una sesión de nuevo para que surta efecto el cambio. 4 Haga clic en Aceptar para cerrar el cuadro de mensaje y en Cerrar para cerrar la ventana Ver y actualizar licencia; a continuación, cierre la sesión en epolicy Orchestrator. 5 Inicie sesión en epolicy Orchestrator para completar la ampliación. 38 McAfee Data Loss Prevention Endpoint Guía del producto

39 Instalación del software McAfee DLP Endpoint Incorporación del paquete McAfee DLP Endpoint en epolicy Orchestrator 4 6 En el menú Configuración de los agentes, seleccione Editar configuración global de los agentes. a En la ficha Prueba, configure el Recurso compartido de almacenamiento. Se necesita un recurso compartido de almacenamiento para la aplicación de la configuración en epolicy Orchestrator. b c En la ficha Seguimiento de archivos, compruebe el Modo de funcionamiento necesario. Protección de contenido completo y control de dispositivos es la opción predeterminada cuando amplia la licencia. En la ficha Varios, seleccione los módulos que necesite. No active módulos que no utilice. Aumentan el tamaño del agente de McAfee DLP Endpoint y ralentizan el funcionamiento de forma innecesaria. Puede configurar otras opciones en este momento o aceptar los valores predeterminados y modificar las opciones más adelante. 7 Haga clic en Aceptar. 8 En la barra de herramientas, haga clic en Aplicar. Los cambios de directiva se aplican a epolicy Orchestrator. 9 En epolicy Orchestrator, realice una llamada de activación para desplegar los cambios de directiva en las estaciones de trabajo. Incorporación del paquete McAfee DLP Endpoint en epolicy Orchestrator Todos los equipos de la empresa con datos protegidos por software de McAfee deben tener instalado el McAfee Agent, lo que los convierte en equipos gestionados. Para agregar protección frente a fuga de datos, debe desplegar también el complemento McAfee DLP Endpoint para McAfee Agent. La instalación puede realizarse usando la infraestructura de epolicy Orchestrator. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En McAfee epolicy Orchestrator, seleccione Menú Software Repositorio principal. 2 En el repositorio principal, seleccione Acciones Incorporar paquete. 3 Seleccione el tipo de paquete Producto o actualización (.ZIP), busque..\hdlp_agente_9_3_0_xxx.zip y haga clic en Siguiente. Aparece la página Incorporar paquete. 4 Revise los detalles de la pantalla y haga clic en Guardar. El paquete se agrega al repositorio principal. McAfee Data Loss Prevention Endpoint Guía del producto 39

40 4 Instalación del software McAfee DLP Endpoint Incorporación del paquete McAfee DLP Endpoint en epolicy Orchestrator 40 McAfee Data Loss Prevention Endpoint Guía del producto

41 5 Instalación 5 de una ampliación de versión La ampliación del software tiene consecuencias sobre la configuración de epolicy Orchestrator y del software McAfee DLP Endpoint. Analizador de eventos Tras ampliar la suite de software McAfee DLP Endpoint en epolicy Orchestrator, debe reiniciar el analizador de eventos deepolicy Orchestrator mediante Herramientas administrativas Servicios. Figura 5-1 Reinicio del analizador de eventos Compatibilidad con versiones anteriores El software McAfee DLP Endpoint versión 9.3 incluye varios cambios que convierten las directivas en incompatibles con versiones anteriores del software cliente de McAfee DLP Endpoint. En empresas de gran tamaño, la ampliación de los agentes de McAfee DLP Endpoint en todos los nodos de estaciones de trabajo puede llevar varias semanas o incluso meses. La inicialización de la consola de directivas de McAfee DLP Endpoint versión 9.3 tiene una opción de compatibilidad con versiones anteriores que, cuando se selecciona, permite la comunicación con clientes anteriores y nuevos. La compatibilidad con versiones anteriores puede establecerse como "sin compatibilidad" (solo McAfee DLP Endpoint 9.3), agente de DLP 9.1 y posterior o agente de DLP 9.2 y posterior. McAfee Data Loss Prevention Endpoint Guía del producto 41

42 5 Instalación de una ampliación de versión Elementos no admitidos Si la directiva contiene cualquiera de las opciones siguientes cuando se selecciona el modo de compatibilidad con versiones anteriores, la directiva no se podrá aplicar a epolicy Orchestrator. Estos elementos no admitidos son acumulativos, es decir, en la sección McAfee Data Loss Prevention Endpoint 9.2 y superior se muestran las funciones de la versión 9.2 no admitidas en la versión 9.1. En lo que respecta a la compatibilidad con endpoints de la versión 9.1, se aplican las dos secciones. Tabla 5-1 Elementos no admitidos en el modo de compatibilidad con versiones anteriores Modo de compatibilidad Modo de compatibilidad con versiones anteriores de McAfee Data Loss Prevention Endpoint 9,1 y superior Modo de compatibilidad con versiones anteriores de McAfee Data Loss Prevention Endpoint 9.2 y superior Elementos no admitidos Una regla de protección de acceso a archivos de la aplicación, correo electrónico, sistema de archivos, almacenamiento extraíble o publicación web contiene una definición de propiedades de documentos que contiene a su vez una propiedad de nombres de archivos. Una regla de protección de acceso a archivos de la aplicación contiene una acción Almacenar pruebas. Una regla de descubrimiento o protección contiene una categoría de contenido o un grupo de marcas. Una regla de protección de acceso a archivos de la aplicación contiene una definición del tipo de archivo. Una directiva contiene una regla de descubrimiento de almacenamiento de correo electrónico. Una regla del Portapapeles limita el pegado en todas las aplicaciones. Una directiva contiene una regla de dispositivos TrueCrypt. Una directiva contiene una definición de servidor o una directiva de Seclore FileSecure, o una regla de protección restringe una regla al cifrado de Seclore. Una directiva contiene una regla de disco duro fijo o de dispositivos Citrix. Una definición de patrón de texto contiene uno de los validadores introducidos en la versión 9.3. Una regla de protección del portapapeles contiene una definición de aplicaciones. Una regla de acceso de archivos de almacenamiento extraíble contiene una extensión de archivo. Una definición de propiedades de documentos solo contiene un parámetro de tamaño de archivo. Consultas y asignaciones de equipos Las consultas y los paneles se guardan al ampliar el software McAfee DLP Endpoint, siempre que siga el procedimiento recomendado. Si elimina la extensión existente de Data Loss Prevention antes de instalar una nueva, se perderán todas las consultas y paneles. Para personalizar una consulta de muestra, recomendamos utilizar la opción Duplicar, para cambiar el nombre de la consulta antes de modificarla. Para utilizar las nuevas consultas de muestra de Mis consultas en un panel, utilice la opción Publicar. Si existe una consulta pública con el mismo nombre, elimine o cambie el nombre de la consulta pública en primer lugar. 42 McAfee Data Loss Prevention Endpoint Guía del producto

43 Instalación de una ampliación de versión Ampliación del software McAfee DLP Endpoint 5 epolicy Orchestrator necesita que todos los nombres de las consultas sean exclusivos. La primera vez que instale el software McAfee DLP Endpoint en epolicy Orchestrator, se instalarán las consultas de muestra como Consultas públicas. Para verlas, seleccione Informes Consultas, y desplace hacia abajo las consultas que aparecen a la izquierda de la pantalla. Al ampliar McAfee DLP Endpoint, epolicy Orchestrator detecta que los nombres de las consultas de muestra ya están en uso y, en su lugar, instala las muestras en Mis consultas. No obstante, para utilizar una consulta en un panel, debe tratarse de una consulta pública. Contenido Ampliación del software McAfee DLP Endpoint Ampliación por fases Restauración de la directiva después de la ampliación Ampliación del software McAfee DLP Endpoint La ampliación de una versión anterior del software McAfee DLP Endpoint a la versión 9.3 en epolicy Orchestrator es similar a una instalación limpia. Antes de empezar Realice una copia de seguridad de la directiva. En la consola de directivas de McAfee DLP Endpoint, use el icono Guardar (o Archivo Guardar) para guardar el archivo GlobalPolicy.opg en el disco. Cierre la sesión de epolicy Orchestrator y cierre la ventana del navegador. Desinstale las herramientas de administración de McAfee DLP Endpoint desde el Panel de control de Windows. Si quiere poder ver eventos anteriores en Administrador de incidentes de DLP, no elimine la extensión de McAfee DLP Endpoint existente en epolicy Orchestrator. Al quitar la extensión, se quitan todos los eventos de la base de datos de DLP. 1 En epolicy Orchestrator, seleccione Menú Software Extensiones. 2 Haga clic en Instalar extensión y, acto seguido, haga clic en Examinar y seleccione el archivo.zip del administrador de directivas de McAfee DLP Endpoint (..\HDLP_extension_9_3_0_xxx.zip). Haga clic en Abrir y, a continuación, haga clic dos veces en Aceptar. Si está realizando la instalación sin eliminar la extensión anterior, aparecerá una advertencia para indicarle que la nueva extensión sustituirá a la existente. Haga clic en Aceptar. La extensión queda instalada y aparece en la lista de extensiones. 3 Cierre sesión en epolicy Orchestrator y, a continuación, vuelva a iniciar sesión. Si no hace esto, es posible que no funcionen las nuevas funciones no compatibles con la versión previamente instalada. 4 En Herramientas administrativas Servicios de Windows, compruebe que elmcafee epolicy Orchestrator Analizador de eventos tenga el estado Iniciado. El Analizador de eventos normalmente se inicia de forma automática (salvo en las ampliaciones), pero no es mala idea comprobarlo. McAfee Data Loss Prevention Endpoint Guía del producto 43

44 5 Instalación de una ampliación de versión Ampliación por fases Ampliación por fases Una ampliación correcta al software McAfee Data Loss Prevention Endpoint versión 9,3 desde una versión anterior requiere seguir un procedimiento por fases que tiene en cuenta muchas variables. Implica también el cumplimiento de ciertos requisitos previos. Antes de comenzar Antes de comenzar una ampliación, deberá hacer lo siguiente: Compruebe que todos los equipos estén listos para la ampliación. Puede comprobar la versión de cliente de los equipos en la red en el panel DLP: Panel Resumen de estado de McAfee epolicy Orchestrator. Busque en el informe DLP: Versión del agente para asegurarse de que todas las versiones del producto sean McAfee DLP 9.1 o posterior. Amplíe todos los clientes de McAfee DLP Endpoint a McAfee Data Loss Prevention 9.1 o posterior. No se admiten versiones de clientes anteriores. Realice una copia de seguridad de la directiva de DLP actual. La grabación de la directiva en un disco permite convertir la directiva en el nuevo formato para reutilizarla. Puede crear una copia de seguridad de la directiva desde la consola de directivas de McAfee DLP Endpoint. La opción Guardar como del menú Archivo guarda la directiva en el formato.opg. Guarde la configuración del agente y los grupos de asignación de equipos. Puede guardar la configuración del agente y los grupos de asignación de equipos desde la página Menú Directiva Catálogo de directivas de McAfee epolicy Orchestrator. Seleccione el producto (Data Loss Prevention x.x.0.0) y la categoría (Grupo de asignación de equipos o Configuración de los agentes) en las listas desplegables y edite la selección. En la página Editar, puede seleccionar Guardar en archivo y especificar un destino para el archivo de la copia de seguridad. Figura 5-2 Salvaguarda de la configuración de los agentes 44 McAfee Data Loss Prevention Endpoint Guía del producto

45 Instalación de una ampliación de versión Restauración de la directiva después de la ampliación 5 Restauración de la directiva después de la ampliación Tras ampliar el software McAfee DLP Endpoint, debe restaurar la directiva de DLP, los grupos de asignación de equipos y las configuraciones de agentes de la anterior instalación. Instale e inicialice la consola de directivas de McAfee DLP Endpoint. Consulte las secciones Ampliación del software McAfee Data Loss Prevention Endpoint e Inicialización de la consola de directivas de McAfee DLP Endpoint de este manual. Una vez finalizada la instalación básica, continúe con este procedimiento. 1 Restaure la directiva. a Inicie la consola de directivas de McAfee DLP Endpoint, seleccione Archivo Abrir, y localice el lugar donde guardó la copia de seguridad de la directiva de DLP anterior. b c d Cuando se le indique, haga clic en Convertir para convertirla. Seleccione Herramientas Opciones y verifique en la sección Modo de compatibilidad con versiones anteriores que la versión necesaria esté seleccionada. Haga clic en Aplicar para guardar la directiva en McAfee epolicy Orchestrator. 2 Restaure los grupos de asignación de equipos. a En epolicy Orchestrator, seleccione Directiva Catálogo de directivas. En la lista desplegable Producto, seleccione las directivas de Data Loss Prevention b c d En la lista desplegable Categoría, seleccione Grupo de asignación de equipos. Seleccione Acciones Nueva directiva, escriba el nombre de la directiva y cree una nueva directiva de grupo de asignación de equipos. Haga clic en Cargar de archivo y vaya al archivo de copia de seguridad del grupo de asignación de equipos. Figura 5-3 Restauración de la configuración del grupo de asignación de equipos 3 Restaurar la configuración de los agentes a En epolicy Orchestrator seleccione Sistema Catálogo de directivas. En la lista desplegable Producto, seleccione las directivas de Data Loss Prevention b En la lista desplegable Categoría, seleccione Configuración de los agentes. McAfee Data Loss Prevention Endpoint Guía del producto 45

46 5 Instalación de una ampliación de versión Restauración de la directiva después de la ampliación c d Escriba un nombre y cree una configuración de los agentes. Haga clic en Cargar desde un archivo y vaya al archivo de copia de seguridad de la configuración de los agentes. Véase también Inicialización de la consola de directivas de McAfee DLP Endpoint en la página McAfee Data Loss Prevention Endpoint Guía del producto

47 6 6 Despliegue de McAfee DLP Endpoint Las directivas de McAfee DLP Endpoint las implementa el softwaremcafee Agent en los equipos de endpoint. El primer paso es el despliegue del software cliente de McAfee DLP Endpoint, un complemento de McAfee Agent, a los endpoints. Contenido Despliegue del software cliente Despliegue de directivas con epolicy Orchestrator Despliegue del software cliente El despliegue del software cliente de McAfee DLP Endpoint es el paso final de la instalación del software y el primer paso del despliegue de directivas. s Definición de una regla predeterminada en la página 47 Para comprobar que el software McAfee DLP Endpoint se haya desplegado correctamente, recomendamos definir una regla predeterminada antes de desplegarlo en los equipos gestionados. Despliegue del cliente de McAfee DLP Endpoint con epolicy Orchestrator en la página 48 Antes de poder aplicar directivas, el cliente de McAfee DLP Endpoint debe desplegarse en los equipos de endpoint mediante epolicy Orchestrator. Verificación de la instalación en la página 50 Después de instalar el software McAfee DLP Endpoint, debe verificar la instalación en la consola de Eventos operativos de DLP. Definición de una regla predeterminada Para comprobar que el software McAfee DLP Endpoint se haya desplegado correctamente, recomendamos definir una regla predeterminada antes de desplegarlo en los equipos gestionados. La regla descrita es un ejemplo de una regla sencilla que se puede utilizar para probar el sistema. McAfee Data Loss Prevention Endpoint Guía del producto 47

48 6 Despliegue de McAfee DLP Endpoint Despliegue del software cliente Para ver las definiciones de las opciones, pulse F1. 1 Cree una regla de clasificación: a En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Protección de contenido, seleccione Reglas de clasificación. b Haga clic con el botón derecho del ratón en la ventana Reglas de clasificación y seleccione Nuevo Regla de clasificación de contenido. Cambie el nombre de la regla Regla de clasificación de correo electrónico. c d e f Haga doble clic en el icono de la regla para modificarla. En el paso 1 del asistente para la creación de reglas, seleccione cualquiera de las opciones (ANY o ALL), desplácese por los patrones de texto y seleccione Dirección de correo electrónico. Haga clic en Siguiente tres veces y omita el paso 4. En el paso 4 del asistente para la creación de reglas, haga clic en Nuevo para crear una nueva categoría. Escriba Categoría de correo electrónico como nombre, haga clic en Aceptar para validar la categoría nueva; a continuación, haga clic en Finalizar. Haga clic con el botón derecho del ratón en el icono de la regla y seleccione Activar. 2 Cree una regla de protección: a En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Protección de contenido, seleccione Reglas de protección. b c d e f Haga clic con el botón derecho del ratón en la ventana Reglas de protección y seleccione Nuevo Regla de protección de almacenamiento extraíble. Haga doble clic en el icono de la regla para modificarla. Haga clic en el paso 2 del asistente para la creación de reglas y agregue la Categoría de correo electrónico creada al crear la regla de clasificación en la columna Incluido. Haga clic en el paso 7 del asistente para la creación de reglas. Seleccione Supervisor y haga clic en Finalizar. Haga clic con el botón derecho del ratón en el icono de la regla y seleccione Activar. 3 En el menú Herramientas, seleccione Ejecutar Analizador de directivas. Debe recibir advertencias, pero no errores. Si recibe errores, probablemente sean debidos a una inicialización incorrecta, por ejemplo a no haber especificado una carpeta de pruebas o una contraseña de omisión. Puede volver a ejecutar la inicialización desde el menú Herramientas para corregir esto. 4 En la barra de herramientas, haga clic en Aplicar. La directiva se aplica a McAfee epolicy Orchestrator. Despliegue del cliente de McAfee DLP Endpoint con epolicy Orchestrator Antes de poder aplicar directivas, el cliente de McAfee DLP Endpoint debe desplegarse en los equipos de endpoint mediante epolicy Orchestrator. Antes de empezar Debe instalarse una versión actual de McAfee Agent enepolicy Orchestrator y desplegarse en los equipos de destino antes de desplegarmcafee DLP Endpoint. 48 McAfee Data Loss Prevention Endpoint Guía del producto

49 Despliegue de McAfee DLP Endpoint Despliegue del software cliente 6 Para epolicy Orchestrator 4.5, instale McAfee Agent 4.5 Parche 4 o posterior. Para epolicy Orchestrator 4.6, instale McAfee Agent 4.6 Parche 2 o posterior. Para epolicy Orchestrator 5.0, instale McAfee Agent 4.8 o posterior. Consulte la documentación de McAfee epolicy Orchestrator para obtener información acerca de cómo comprobarlo e instalarlo en caso necesario. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En epolicy Orchestrator, seleccione Menú Árbol de sistemas. 2 En el Árbol de sistemas, seleccione el nivel en el que desea desplegar McAfee DLP Endpoint. Al dejar el nivel en Mi organización, se despliega en todas las estaciones de trabajo gestionadas por McAfee epolicy Orchestrator. Si selecciona un nivel inferior a Mi organización, todas las estaciones de trabajo disponibles aparecerán en el panel derecho. También puede desplegar McAfee DLP Endpoint en las estaciones de trabajo individuales. 3 Abra el asistente de Generador de tareas cliente: En epolicy Orchestrator 4.5, haga clic en la ficha Tareas cliente. Seleccione Acciones Nueva tarea. En epolicy Orchestrator 4.6 y 5.0, haga clic en la ficha Tareas cliente asignadas. Seleccione Acciones Nueva asignación de tarea cliente. Se abre el asistente de Generador de tareas cliente. 4 Rellene los campos del generador de tareas: En epolicy Orchestrator 4.5, en el campo Tipo, seleccione Despliegues de producto. Haga clic en Siguiente. En el campo Nombre, escriba un nombre apropiado, por ejemplo, Install DLP Endpoint. Escriba una descripción (opcional). En epolicy Orchestrator 4.6 y 5.0, en el campo Producto, seleccione McAfee Agent. En el campo Tipo de tarea, seleccione Despliegue de producto. Haga clic en Crear nueva tarea. 5 En el campo Productos y componentes, seleccione Data Loss Prevention xx. El campo Acción se restablece de forma automática a Instalar. Si está instalando el cliente de McAfee DLP Endpoint para el servidor Citrix, escriba lo siguiente en la línea de comandos: SERVICE_USER=<user_name> SERVICE_PASSWORD=<password> El usuario del servicio debe definirse como Administrador Citrix (en Consola de administración de acceso Citrix Servidor de presentación Nombre del servidor Administradores ), y debe ser un administrador local en el servidor Citrix. 6 Complete el generador de tareas: En epolicy Orchestrator 4.5, haga clic en Siguiente. En epolicy Orchestrator 4.6 y 5.0, haga clic en Guardar. 7 Cambie el Tipo de planificación a Ejecutar inmediatamente. Haga clic en Siguiente. McAfee Data Loss Prevention Endpoint Guía del producto 49

50 6 Despliegue de McAfee DLP Endpoint Despliegue de directivas con epolicy Orchestrator 8 Revise el resumen de tareas. Cuando considere que todo está correcto, haga clic en Guardar. La tarea queda programada para la siguiente vez que McAfee Agent actualice la directiva. Para que la instalación se realice inmediatamente, realice una llamada de activación del agente. 9 Una vez desplegado McAfee DLP Endpoint, reinicie los equipos gestionados. Verificación de la instalación Después de instalar el software McAfee DLP Endpoint, debe verificar la instalación en la consola de Eventos operativos de DLP. 1 Seleccione Menú Protección de datos Eventos operativos de DLP. Haga clic en un evento para ver los detalles. Figura 6-1 Panel de detalles de Eventos operativos de DLP 2 Compruebe la instalación del software cliente de McAfee DLP Endpoint desde el icono de la bandeja del sistema McAfee en el equipo de endpoint seleccionando Acerca. Desplácese por la información para McAfee DLP Endpoint. Despliegue de directivas con epolicy Orchestrator Las directivas de McAfee DLP Endpoint contienen definiciones, reglas, grupos de asignación y configuración de los agentes. En primer lugar, se aplica (guarda) una directiva en el servidor de epolicy Orchestrator y, a continuación, se asigna (despliega) en los endpoints. McAfee DLP Endpoint funciona con tres directivas: Directiva DLPE Configuración de los agentes Grupo de asignación de equipos La directiva DLPE se crea en la consola de directivas de McAfee DLP Endpoint; la configuración de agentes y el grupo de asignación de equipos se crea en epolicy Orchestrator. A cada una de estas directivas se les asigna el número de revisión 1 en el momento de su creación y el número incrementa cada vez que se modifica la directiva. El número de revisión es importante para los procesos de solución de problemas de compatibilidad ya que garantiza que los cambios que se realizan en las directivas se aplican realmente en los equipos de endpoint. También se utiliza a la hora 50 McAfee Data Loss Prevention Endpoint Guía del producto

51 Despliegue de McAfee DLP Endpoint Despliegue de directivas con epolicy Orchestrator 6 de solicitar la omisión de agente o desinstalar la clave. Tanto la consola de directivas de McAfee DLP Endpoint en el epolicy Orchestrator y la consola de DLP Endpoint en el equipo cliente muestran los números de revisión de la directiva actual. Antes de aplicar una directiva, compruebe que: Todos los parámetros estén configurados correctamente. Todas las reglas estén activadas. Haya grupos de asignación de usuarios (en su caso) asignados a cada regla. La configuración de agente y los grupos de asignación de equipos se asignen a los grupos y equipos relevantes en el Catálogo de directivas de epolicy Orchestrator. s Aplicación de la directiva del sistema en la página 51 Cuando se completa una directiva, es necesario aplicarla a epolicy Orchestrator. A continuación se despliega en los equipos gestionados que aplican la directiva. Asignación de una directiva o de la configuración de los agentes en la página 52 Las directivas aplicadas a epolicy Orchestrator se deben asignar y desplegar en los equipos gestionados para poder hacer uso de ellas. Importación de directivas y edición de descripciones de directivas en la página 52 Utilice estas tareas para importar directivas desde epolicy Orchestrator o para modificar descripciones de directivas. Actualización de la directiva en la página 53 Generalmente, el despliegue de la directiva del sistema se basa en el servidor de epolicy Orchestrator, y la actualización de la directiva en el equipo gestionado se realiza según la configuración de McAfee Agent. No obstante, la actualización de la directiva puede realizarse bajo demanda. Aplicación de la directiva del sistema Cuando se completa una directiva, es necesario aplicarla a epolicy Orchestrator. A continuación se despliega en los equipos gestionados que aplican la directiva. 1 En epolicy Orchestrator, seleccione Menú Protección de datos Directiva de DLP. 2 Compruebe la directiva antes de aplicarla: seleccione Herramientas Ejecutar Analizador de directivas. Las directivas se pueden aplicar a epolicy Orchestrator con advertencias, pero no si contienen errores. Si detecta errores, resuelva los problemas que los provocan o personalice las opciones del Analizador de directivas. Si utiliza la opción de compatibilidad con versiones anteriores y una directiva contiene una función incompatible con versiones anteriores del agente, se generará un error. Consulte Problemas de ampliación en esta guía para ver una lista de funciones incompatibles. 3 En el menú Archivo de la consola de directivas de McAfee DLP Endpoint, seleccione Aplicar a epo. Aparecerá la ventana Aplicando a epo. Si ha activado la barra de estado del navegador, verá el mensaje "Validación realizada". La directiva se guarda en la base de datos de epolicy Orchestrator y se genera un evento administrativo. McAfee Data Loss Prevention Endpoint Guía del producto 51

52 6 Despliegue de McAfee DLP Endpoint Despliegue de directivas con epolicy Orchestrator Asignación de una directiva o de la configuración de los agentes Las directivas aplicadas a epolicy Orchestrator se deben asignar y desplegar en los equipos gestionados para poder hacer uso de ellas. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En epolicy Orchestrator, haga clic en Árbol de sistemas. 2 Localice el directorio que contenga los equipos a los que se vaya a asignar una directiva y selecciónelos. 3 Seleccione Acciones Agente Activar agentes. 4 Seleccione Llamada de activación del agente y defina el valor de Ejecución aleatoria en 0 minutos. Haga clic en Aceptar. 5 Cuando haya finalizado la llamada de activación del agente, volverá al árbol de sistemas. Vuelva a seleccionar los equipos a los que se asignará una directiva y haga clic en Acciones Agente Definir la directiva y la herencia. 6 En la página Asignar directiva, seleccione el Producto, la Categoría y la Directiva para su aplicación. 7 Haga clic en Guardar. Importación de directivas y edición de descripciones de directivas Utilice estas tareas para importar directivas desde epolicy Orchestrator o para modificar descripciones de directivas. s Importación de una directiva desde epolicy Orchestrator en la página 52 La última directiva aplicada a epolicy Orchestrator se puede importar a la consola de directivas de McAfee DLP Endpoint. Esto suele hacerse cuando se actualiza la consola de directivas o en cualquier momento que se desee descartar los cambios y restaurar una directiva anterior. Edición de la descripción de una directiva en la página 53 Los campos correspondientes al nombre y la descripción de una directiva se pueden editar y se accede a ellos mediante el menú Archivo de la consola. Importación de una directiva desde epolicy Orchestrator La última directiva aplicada a epolicy Orchestrator se puede importar a la consola de directivas de McAfee DLP Endpoint. Esto suele hacerse cuando se actualiza la consola de directivas o en cualquier momento que se desee descartar los cambios y restaurar una directiva anterior. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Desde el menú Archivo de la consola de directivas de McAfee DLP Endpoint, seleccione Importar directiva desde epo. 2 Haga clic en Sí en la ventana de confirmación. 52 McAfee Data Loss Prevention Endpoint Guía del producto

53 Despliegue de McAfee DLP Endpoint Despliegue de directivas con epolicy Orchestrator 6 Edición de la descripción de una directiva Los campos correspondientes al nombre y la descripción de una directiva se pueden editar y se accede a ellos mediante el menú Archivo de la consola. 1 En el menú de la consola de directivas de McAfee DLP Endpoint, seleccione Archivo Editar descripción de directiva. 2 Edite el nombre y la descripción de la directiva en la ventana Directiva de seguridad. 3 Haga clic en Aceptar. Actualización de la directiva Generalmente, el despliegue de la directiva del sistema se basa en el servidor de epolicy Orchestrator, y la actualización de la directiva en el equipo gestionado se realiza según la configuración de McAfee Agent. No obstante, la actualización de la directiva puede realizarse bajo demanda. Utilice esta tarea para actualizar una directiva en epolicy Orchestrator sin esperar a la actualización planificada. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En el árbol de sistemas de epolicy Orchestrator, seleccione el equipo o los equipos que desea actualizar. 2 Haga clic en Más acciones Activar agentes. 3 Seleccione el tipo de llamada de activación del agente y defina el valor de Ejecución aleatoria en 0 minutos. Haga clic en Aceptar. El servidor de epolicy Orchestrator actualiza las directivas de forma planificada. Los usuarios de los equipos gestionados no actualizan las directivas de forma manual a menos que se les solicite de forma expresa. McAfee Data Loss Prevention Endpoint Guía del producto 53

54 6 Despliegue de McAfee DLP Endpoint Despliegue de directivas con epolicy Orchestrator 54 McAfee Data Loss Prevention Endpoint Guía del producto

55 Configuración y uso Esta sección trata sobre la configuración del sistema y la creación de directivas. Tras la instalación, se configura el software para lograr un uso optimizado en el entorno empresarial. A continuación, se crean directivas basadas en las decisiones de gestión sobre que contenido debe protegerse y cual es el mejor modo para protegerlo. Para las nuevas instalaciones, recomendamos un período de recopilación de información durante el que las reglas se configuran en Supervisaren lugar de Bloquear, y se recopilan los datos que van a ayudar en el proceso de toma de decisiones. Capítulo 7 Capítulo 8 Capítulo 9 Capítulo 10 Configuración de los componentes del sistema Clasificación del contenido confidencial Seguimiento de contenido con marcas y clasificaciones Aplicación de la protección de McAfee DLP McAfee Data Loss Prevention Endpoint Guía del producto 55

56 Configuración y uso 56 McAfee Data Loss Prevention Endpoint Guía del producto

57 7 Configuración 7 de los componentes del sistema Los componentes del sistema se pueden personalizar para dar respuesta a las necesidades de su empresa. La configuración de las opciones del sistema y de los agentes permite optimizar el sistema para proteger la información confidencial de la empresa de forma eficaz. Puede configurar y ajustar las siguientes opciones y componentes: Configuración de los agentes: envía al software cliente de McAfee DLP Endpoint toda la información relevante sobre las ubicaciones de almacenamiento de los eventos, las notificaciones personalizadas de los usuarios, las limitaciones y ubicaciones del contenido en lista blanca, los parámetros de rastreo de archivos, la configuración de inicio de sesión en Microsoft Outlook y las selecciones de módulos de los agentes. Opciones del sistema: permite definir la configuración del Analizador de directivas, las opciones de registro del sistema y las opciones de impresión de informes del sistema. Contenido Configuración de los agentes Configuración de operación en modo seguro Configuración de los agentes El software del cliente de McAfee DLP Endpoint para McAfee Agent reside en los equipos de la empresa y ejecuta la directiva definida. Asimismo, el software supervisa las actividades del usuario que afecten a todo tipo de contenido de carácter confidencial. La configuración de los agentes se almacena en la directiva, que se despliega en los equipos gestionados. A fin de definir el comportamiento del software McAfee DLP Endpoint y otros componentes del sistema en los equipos gestionados, haga clic en Configuración de los agentes en la barra de herramientas de la consola de directivas de McAfee DLP Endpoint. La configuración se almacena en la directiva, la cual se despliega en los equipos gestionados mediante epolicy Orchestrator. Si se actualiza la configuración, es necesario volver a desplegar la directiva. Para configurar el software cliente para una protección completa en Modo seguro, defina la funcionalidad en la ficha Configuración de los agentes Configuración avanzada. Esta opción esta desactivada de forma predeterminada. Vigilancia del servicio del agente Para mantener el funcionamiento normal del software McAfee DLP Endpoint, incluso en caso de interferencia malintencionada, McAfee DLP Endpoint ejecuta un servicio de protección denominado Vigilancia del servicio del agente (ASWD). Este servicio supervisa el software McAfee DLP Endpoint y lo reinicia si interrumpe su ejecución por cualquier motivo. Vigilancia del servicio del agente está McAfee Data Loss Prevention Endpoint Guía del producto 57

58 7 Configuración de los componentes del sistema Configuración de operación en modo seguro activado de forma predeterminada. Si desea comprobar que Vigilancia del servicio del agente se está ejecutando, busque en los procesos del Administrador de tareas de Windows un servicio denominado fcagswd.exe. Aplicación de la configuración global de los agentes La configuración global de los agentes se aplica desde la consola de directivas de McAfee DLP Endpoint. Para ver las definiciones de las opciones, pulse F1. Seleccione Configuración de los agentes Aplicar configuración global de los agentes. Aparecerá la ventana Configuración de los agentes con la barra de progreso a medida que se aplica la configuración a epolicy Orchestrator. Importación de la configuración global de los agentes La importación de la configuración global de los agentes se lleva a cabo desde la consola de directivas de McAfee DLP Endpoint. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Seleccione Configuración de los agentes Importar configuración global de los agentes desde epo. 2 Haga clic en Sí para confirmar. Restablecimiento de los valores de configuración de los agentes Los valores de configuración de los agentes se configuran desde la consola de directivas de McAfee DLP Endpoint. 1 En el menú Configuración de los agentes, seleccione Restablecer valores de configuración de los agentes. 2 Haga clic en Sí para restaurar los valores predeterminados. Configuración de operación en modo seguro El software McAfee DLP Endpoint es totalmente funcional cuando se inicia el equipo en modo seguro. La funcionalidad está desactivada de manera predeterminada, pero se puede activar en la ficha Configuración de los agentes Configuración avanzada. Un evento administrativo, Usuario conectado en modo seguro, puede aparecer en la consola de Eventos operativos de DLP al seleccionar una opción en la ficha Configuración de los agentes Eventos y registro. Para ver las definiciones de las opciones, pulse F1. 1 En la consola de directivas de McAfee DLP Endpoint, seleccione Configuración de los agentes Editar configuración global de los agentes. 2 Haga clic en la ficha Configuración avanzada. 58 McAfee Data Loss Prevention Endpoint Guía del producto

59 Configuración de los componentes del sistema Configuración de operación en modo seguro 7 3 Seleccione Activar la funcionalidad completa de DLP en modo seguro y cambie la configuración a Activada. La funcionalidad completa de McAfee DLP Endpoint ahora está disponible en modo seguro, y no solo en modo vigilancia, como en las versiones anteriores. Existe un mecanismo de recuperación en caso de que McAfee DLP Endpoint sea la causa del error de inicio. 4 Haga clic en Aceptar. McAfee Data Loss Prevention Endpoint Guía del producto 59

60 7 Configuración de los componentes del sistema Configuración de operación en modo seguro 60 McAfee Data Loss Prevention Endpoint Guía del producto

61 8 Clasificación 8 del contenido confidencial McAfee DLP Endpoint proporciona distintos modos de clasificar el contenido de carácter confidencial. Las distintas clasificaciones facilitan la creación de reglas de protección y marcado diferenciadas para controlar tipos de contenido distintos mediante una diversidad de métodos. Contenido Clasificación por contenido Clasificación por ubicación de archivo Clasificación por destino de archivo Clasificación en uso Reglas de clasificación Clasificación por contenido Los documentos se pueden clasificar mediante la definición del contenido de carácter confidencial que desea proteger o según las propiedades del documento. Utilización de diccionarios para clasificar el contenido Un diccionario es una recopilación de palabras clave o de frases clave donde cada entrada tiene un peso asignado. Las reglas de clasificación del contenido utilizan diccionarios específicos para clasificar un documento si se supera el umbral definido (peso total), es decir, si un número de palabras suficiente del diccionario aparece en el documento. La diferencia entre una entrada del diccionario y una cadena en una definición de patrón de texto es el peso asignado. Una regla de marcado del patrón de texto de cadena siempre marca el documento si la frase está presente. Una regla de marcado de diccionarios ofrece más flexibilidad, ya que permite establecer un umbral, lo que hace que la regla sea relativa. Los pesos asignados pueden ser negativos o positivos. Esta característica permite buscar palabras o frases en presencia de otras palabras o frases. Además de la capacidad de crear sus propios diccionarios, McAfee DLP Endpoint incluye varios diccionarios integrados con términos que se usan con frecuencia en los sectores sanitario, bancario, financiero, etc. Los diccionarios se pueden crear (y editar) de forma manual o mediante la función de copiar y pegar desde otros documentos. Limitaciones En esta sección se describe el diseño de la función de diccionario y algunas de las limitaciones que este diseño presenta. Los diccionarios se guardan en formato Unicode (UTF 8) y, por tanto, se pueden escribir en cualquier idioma. Las siguientes descripciones son específicas para los diccionarios escritos en inglés. Los demás idiomas funcionan de manera parecida, aunque es posible que en determinados idiomas se produzcan problemas imprevistos. McAfee Data Loss Prevention Endpoint Guía del producto 61

62 8 Clasificación del contenido confidencial Clasificación por contenido La coincidencia de diccionarios tiene las siguientes características: No distingue entre mayúsculas y minúsculas. Puede buscar coincidencias con subcadenas o frases completas. Hace coincidir las frases, incluidos los espacios. Si se especifica la coincidencia con subcadenas, se recomienda tener precaución al introducir palabras cortas debido a la posible aparición de falsos positivos. Por ejemplo, la entrada de diccionario "sal" indicaría tanto "saltar" como "asalto". A fin de evitar falsos positivos de este tipo, utilice la opción de coincidencia con toda la frase o use frases improbables desde el punto de vista estadístico a fin de obtener los mejores resultados. Otra fuente de falsos positivos son las entradas parecidas. Por ejemplo, en algunos listados de enfermedades de HIPAA (Health Insurance Portability and Accountability Act), "celíaco" y "enfermedad celíaca" aparecen como entradas independientes. Si el segundo término aparece en un documento, se obtendrán dos resultados (uno para cada entrada), por lo que la calificación total estará sesgada. Creación de un diccionario Las definiciones del diccionario se pueden utilizar para definir reglas de clasificación de contenido. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadas en el contenido, seleccione Diccionarios. Los diccionarios disponibles aparecerán en el panel de la derecha. 2 En la ventana Diccionarios, haga clic con el botón derecho del ratón y seleccione Nuevo Diccionario. Aparecerá el icono del nuevo Diccionario. 3 Asigne un nombre al diccionario nuevo y haga doble clic en el icono. 4 (Opcional) Introduzca una descripción opcional. 5 Para crear una nueva entrada: Haga clic en Agregar para crear un nuevo cuadro de texto. Escriba la nueva palabra o frase en el cuadro de texto. El peso predeterminado se añade como "1". Para cambiar el peso predeterminado, seleccione el número y edítelo. 6 Si desea importar entradas de otros documentos: Una única entrada: haga clic en Importar entradas. Varias entradas: establezca un documento de origen con una entrada por línea y las líneas separadas por un único retorno de carro. Se abre una ventana de texto que permite copiar y pegar entradas. La ventana de texto está limitada a líneas de 50 caracteres cada una. 62 McAfee Data Loss Prevention Endpoint Guía del producto

63 Clasificación del contenido confidencial Clasificación por contenido 8 7 Para que se tenga en cuenta cada una de las veces que aparece un término en el texto en la calificación total, marque la casilla de verificación Número de entradas múltiples. El comportamiento predeterminado es que los términos se cuenten una sola vez, independientemente del número de veces que aparecen en el documento. 8 Anule la selección de la opción Coincidir sólo expresión completa si desea que se tengan en cuenta las subcadenas. El comportamiento predeterminado es tener en cuenta sólo las frases completas, ya que esto tiende a reducir los falsos positivos. Clasificación del contenido con propiedades de documentos o extensiones de archivos Las definiciones de propiedades de documento clasifican el contenido mediante valores de metadatos predefinidos. Las definiciones de extensiones de archivos clasifican el contenido según la extensión del nombre de archivo. Propiedades de documento Las propiedades de documento pueden recuperarse de cualquier documento de Microsoft Office. Se utilizan en reglas de protección, así como en reglas de descubrimiento. La propiedad Fecha de creación tiene opciones de fecha exacta y relativa (el documento se guarda más de X días). Para la mayoría de propiedades, se permiten coincidencias parciales. Esta función está presente en la versión McAfee Device Control del software, donde constituye un filtro opcional en las reglas de protección de almacenamiento extraíble, así como en la versión completa de McAfee DLP Endpoint. También se incluye como una ficha en el asistente de Sincronización de plantillas. Existen tres tipos de propiedades de documento. Propiedades predefinidas: propiedades estándar, como el autor y el título. Propiedades definidas por el usuario: propiedades personalizadas agregadas a los metadatos del documento admitidas por algunas aplicaciones como Microsoft Word. Una propiedad definida por el usuario puede hacer referencia a un tipo de documento estándar que no se encuentra en la lista de propiedades predefinidas, pero no puede duplicar una propiedad que aparece en la lista. Cualquier propiedad: permite la definición de una propiedad por un valor. Esta función resulta útil en los casos en los que la palabra clave se ha introducido en el parámetro de propiedad incorrecto o cuando se desconoce el nombre de la propiedad. Por ejemplo, al agregar el valor Secreta al parámetro Cualquier propiedad, se clasifican todos los documentos que tienen la palabra Secreta en al menos una propiedad. La propiedad de documento Nombre de archivo se aplica a todos los tipos de archivos, no sólo a los documentos de Microsoft Office. Se emplea la coincidencia exacta de forma predeterminada, pero se puede configurar como coincidencia parcial. Extensiones de archivos Las definiciones de extensión de archivo se utilizan en reglas de protección, descubrimiento y marcado para aumentar la granularidad. Se incluye una lista predefinida de extensiones y se pueden agregar nuevas definiciones. Los grupos de extensiones de archivos se pueden utilizar para simplificar reglas mediante la definición, por ejemplo, de todos los formatos de archivo de gráficos como una sola definición. Definiciones de patrones de texto Las reglas de marcado y las reglas de clasificación de contenido emplean patrones de texto para clasificar los datos según palabras o patrones específicos. Pueden identificar cadenas conocidas, como Información confidencial o Sólo para uso interno, o bien expresiones regulares (Regex), que permiten McAfee Data Loss Prevention Endpoint Guía del producto 63

64 8 Clasificación del contenido confidencial Clasificación por contenido una coincidencia con patrones más complejos, como números de la seguridad social o números de tarjetas de crédito. Los patrones de texto de expresiones regulares empiezan y terminan por \b de forma predeterminada. Se trata de la notación Regex estándar para la separación de palabras. Por tanto, la coincidencia con patrones es ahora, de forma predeterminada, de palabras completas (a fin de reducir los falsos positivos). Los patrones de texto pueden incluir un validador, un algoritmo utilizado para probar expresiones regulares. El uso del validador adecuado puede reducir significativamente los falsos positivos. Los patrones de texto pueden marcarse como confidenciales. Los archivos que contienen patrones confidenciales se cifran en pruebas con resaltado de coincidencias. Si se usan varios patrones de texto para buscar contenido similar, se pueden emplear grupos de patrones de texto protegidos para asociar varios patrones a un solo grupo. De esta forma, se simplifica la creación de categorías de contenido si se han definido muchos patrones de texto. Si se especifican un patrón incluido y un patrón excluido, tiene prioridad el patrón excluido. De esta forma, se puede especificar una regla general y agregar excepciones sin tener que volver a escribir la regla general. Clasificación de contenido con patrones de texto Es posible utilizar patrones de texto a modo de definiciones individuales o de grupos de patrones de texto. El software McAfee DLP Endpoint dispone de una función que comprueba la precisión de los patrones de texto antes de su uso. Utilice estas tareas para clasificar el contenido mediante patrones de texto. s Creación de un patrón de texto en la página 64 Se pueden usar patrones de texto para definir las reglas de clasificación de contenido. Una definición de patrón de texto puede constar de un único patrón o una combinación de patrones incluidos y excluidos. Comprobación de un patrón de texto en la página 66 Antes de utilizar un patrón de texto en una regla, debería comprobarlo para ver si identifica el texto deseado y no produce falsos positivos. Creación de un grupo de patrones de texto en la página 67 Es posible crear grupos de patrones de texto a partir de patrones de texto existentes. El uso de grupos de patrones de texto simplifica las reglas cuando se requieren diversos patrones de texto, a la vez que mantiene la granularidad de los patrones de texto independientes. Creación de un patrón de texto Se pueden usar patrones de texto para definir las reglas de clasificación de contenido. Una definición de patrón de texto puede constar de un único patrón o una combinación de patrones incluidos y excluidos. Muchos de los patrones de texto, aunque no todos, se definen mediante expresiones regulares (regex). La definición de las expresiones regulares queda fuera del alcance de este documento. Existe una gran cantidad de tutoriales acerca de las expresiones regulares en Internet en los que puede obtener más información acerca de este tema. 64 McAfee Data Loss Prevention Endpoint Guía del producto

65 Clasificación del contenido confidencial Clasificación por contenido 8 Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadas en el contenido, seleccione Patrones de texto. Los patrones de texto disponibles aparecerán en el panel de la derecha. 2 En la ventana Patrones de texto, haga clic con el botón derecho del ratón y seleccione Nuevo Patrón de texto. Aparecerá el icono del nuevo patrón de texto. 3 Asigne un nombre al nuevo patrón de texto y haga doble clic en el icono. Figura 8-1 Cuadro de diálogo Patrón de texto 4 Agregue una descripción (opcional). 5 En Patrones incluidos, haga lo siguiente: a Seleccione el método de reconocimiento de patrones (Todos o Cualquiera). b c Haga clic en Agregar para definir el nuevo patrón y, a continuación, introduzca la cadena de texto. Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos y pegarlos en la definición mediante Importar entradas. Seleccione Es una expresión regular si la cadena es una expresión regular. McAfee Data Loss Prevention Endpoint Guía del producto 65

66 8 Clasificación del contenido confidencial Clasificación por contenido d e Si selecciona Es una expresión regular, seleccione un validador adecuado (opcional). El valor predeterminado es Sin validaciones. En Umbral, especifique el número de veces que debe encontrarse el patrón en los datos para que se considere una coincidencia. Por ejemplo, se puede considerar aceptable encontrar una tarjeta de crédito en un mensaje de correo electrónico, pero si se agrega un umbral de 5, se necesitan como mínimo cinco coincidencias del patrón de tarjeta de crédito. 6 En Patrones excluidos, haga lo siguiente: a b c d e Haga clic en Agregar para agregar un patrón de exclusión y, a continuación, especifique las cadenas de texto que el sistema ignorará cuando las encuentre. Seleccione Es una expresión regular si la cadena es una expresión regular. Si selecciona Es una expresión regular, seleccione un validador adecuado (opcional). El valor predeterminado es Sin validaciones. En Umbral, agregue el número de veces que debe encontrarse el patrón para que se considere una coincidencia. Haga clic en Aceptar. Comprobación de un patrón de texto Antes de utilizar un patrón de texto en una regla, debería comprobarlo para ver si identifica el texto deseado y no produce falsos positivos. Antes de empezar Cree una nueva definición de patrón de texto o agregue un nuevo elemento a una definición existente. No es necesario guardar la definición antes de realizar la prueba. Para ver las definiciones de las opciones, pulse F1. 1 En la definición de patrón de texto, haga clic en el botón Editar ( ) del elemento que se va a probar. Aparecerá el cuadro de diálogo de prueba con el texto de búsqueda o la expresión regular en el cuadro de texto Modelo. 2 En caso de ser necesario, seleccione la casilla de verificación Expresión regular y seleccione un método de validación en la lista desplegable. 66 McAfee Data Loss Prevention Endpoint Guía del producto

67 Clasificación del contenido confidencial Clasificación por contenido 8 3 Escriba algunos patrones de prueba en el cuadro de texto Prueba y haga clic en Comprobar. Aparecerán las coincidencias y las coincidencias validadas. Figura 8-2 Comprobación de un patrón de tarjeta de crédito Si realiza cambios o adiciones en el texto del cuadro Prueba, debe volver a hacer clic en Comprobar para realizar la prueba de nuevo. 4 Si los resultados no son aceptables, modifique el patrón de texto y vuelva a realizar la prueba. Si hace clic en Aceptar, el patrón de texto de la definición se modifica para hacerla coincidir con el último patrón que ha probado. Creación de un grupo de patrones de texto Es posible crear grupos de patrones de texto a partir de patrones de texto existentes. El uso de grupos de patrones de texto simplifica las reglas cuando se requieren diversos patrones de texto, a la vez que mantiene la granularidad de los patrones de texto independientes. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadas en el contenido, seleccione Patrón de texto. Los grupos y patrones de texto disponibles aparecerán en el panel de la derecha. 2 En la ventana Patrones de texto, haga clic con el botón derecho del ratón y seleccione Nuevo Grupo de patrones de texto. Aparecerá el icono del nuevo Grupo de patrones de texto. McAfee Data Loss Prevention Endpoint Guía del producto 67

68 8 Clasificación del contenido confidencial Clasificación por contenido 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 Asigne un nombre al nuevo grupo de patrones de texto. 5 Escriba una descripción (opcional). 6 Seleccione los patrones de texto de la lista. 7 Haga clic en Aceptar. Integración del software de clasificación de mensajes Titus con patrones de texto Se requieren patrones de texto específicos para definir una regla de protección de correo electrónico que reconoce clasificaciones de Titus. Antes de empezar La integración se activa o desactiva en la ficha Configuración de los agentes Configuración avanzada. La clasificación de mensajes de Titus para Microsoft Outlook es una solución de correo electrónico ampliamente utilizada para garantizar que cada uno de los correos electrónicos se clasifique y se marque de manera proactiva antes de su envío. McAfee DLP Endpoint puede integrarse con Titus y bloquear correos electrónicos en base a las clasificaciones de Titus. El software cliente de McAfee DLP Endpoint determina si Titus ha clasificado un correo electrónico (para reducir los falsos positivos) y cuál es la clasificación. Puede usar estas dos cadenas para definir la regla de protección. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en la opción Patrones de texto, cree el patrón de texto TLPropertyRoot=[Organization Name]. El nombre de la organización debe coincidir con el nombre de la herramienta de administración Titus Message Classification en la página License info (Información de licencia). Esta es la cadena que se utiliza para reducir los falsos positivos. Por ejemplo, para la implementación de McAfee de la Titus Message Classification, creamos el siguiente patrón de texto: 68 McAfee Data Loss Prevention Endpoint Guía del producto

69 Clasificación del contenido confidencial Clasificación por contenido 8 2 Cree el patrón de texto Classification=[Titus classification]. Por ejemplo, si desea bloquear correos electrónicos en función de la clasificación de Titus Confidencial, cree el patrón de texto Classification=Confidential. Repita este paso y cree un patrón de texto para cada clasificación de Titus que desee agregar a la regla de protección de correo electrónico. Puede combinar los patrones de texto en un grupo de patrones de texto. 3 Defina una regla de clasificación con los patrones de texto o el grupo de patrones de texto con las cadenas de Titus. El cliente de McAfee DLP Endpoint considera a la clasificación de Titus como parte del cuerpo, por lo que puede seleccionar Scan body (Analizar cuerpo) en el paso 3 del asistente Regla de clasificación de contenido. La regla crea una categoría de contenido en base a la clasificación de Titus, si es que ya no la ha creado. 4 Incluya la categoría de contenido en la regla de protección de correo electrónico (paso 2 del asistente Regla de protección de correo electrónico). Lista blanca La lista blanca es una carpeta compartida que contiene los archivos a los que hace referencia McAfee DLP Endpoint al marcar o categorizar los datos. Los archivos definen el texto que es ignorado por el mecanismo de seguimiento de McAfee DLP Endpoint. Esto permite que los usuarios puedan distribuir contenido estándar que, de otro modo, el sistema marcaría o categorizaría y limitaría. En la lista blanca se define el texto que suele agregarse a los documentos, como una renuncia, las atribuciones de licencia y de marca comercial o las notas de copyright. Para utilizar la lista blanca, es necesario crear un recurso compartido de archivos al que tengan acceso de sólo lectura los equipos del dominio del grupo. Para obtener más instrucciones, consulte la Guía de instalación. El recurso compartido de archivos debe definirse en las opciones de configuración de los agentes. Cada uno de los archivos de la carpeta de la lista blanca debe contener un mínimo de 400 caracteres para que el sistema lo ignore. Si un archivo contiene tanto datos marcados o categorizados como datos incluidos en la lista blanca, el sistema no lo ignora. Sin embargo, todas las marcas y las categorías de contenido importantes asociadas al contenido siguen en vigor. Es posible que algunos archivos de la carpeta de la lista blanca no se agreguen a la distribución de directivas debido a la configuración. Estos archivos se muestran en la ficha Advertencia al seleccionar Herramientas Ejecutar Analizador de directivas. Adición de nuevo contenido a la lista blanca A fin de ahorrar tiempo a la hora de analizar documentos, coloque el texto estándar, como por ejemplo las renuncias de responsabilidad, en la carpeta de la lista blanca. McAfee Data Loss Prevention Endpoint Guía del producto 69

70 8 Clasificación del contenido confidencial Clasificación por ubicación de archivo Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Cree un archivo que sólo contenga el texto que desea agregar a la lista blanca y cópielo en la carpeta de la lista blanca. 2 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Lista blanca. Los archivos de lista blanca disponibles aparecerán en el panel de la derecha. 3 Haga clic con el botón derecho del ratón en la ventana Lista blanca y, a continuación, haga clic en Actualizar. La ventana se actualizará con la última lista de archivos. Eliminación de archivos de la lista blanca El contenido que ya no es relevante debe eliminarse de la carpeta de la lista blanca. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Lista blanca. Los archivos de lista blanca disponibles aparecerán en el panel de la derecha. 2 Seleccione el archivo que desee eliminar de la carpeta de la lista blanca, haga clic con el botón derecho del ratón y seleccione Eliminar. 3 Haga clic en Sí para confirmar la eliminación. 4 Haga clic en Aceptar. Clasificación por ubicación de archivo El contenido de carácter confidencial se puede definir según el lugar en que esté situado (almacenado) o según dónde se utilice (aplicación o extensión de archivo). El software McAfee DLP Endpoint usa varios métodos para ubicar y clasificar el contenido de carácter confidencial. Datos en reposo es el término utilizado para describir ubicaciones de archivos. Clasifica el contenido planteando preguntas como " dónde se encuentra en la red?" o " en qué carpeta se encuentra?" Datos en uso es el término utilizado para definir el contenido por cómo y dónde se utiliza. Clasifica el contenido planteando preguntas como " qué aplicación lo solicitó?" o " cuál es la extensión del archivo?" McAfee DLP Discover busca los datos en reposo. Puede buscar contenido de archivos de equipos de endpoint o archivos de almacenamiento de correo electrónico (PST, PST asignado y OST). Contenido Modo de funcionamiento del análisis de descubrimiento Definición de recursos compartidos de archivos de red Definición de parámetros de red Definición de repositorios de documentos registrados 70 McAfee Data Loss Prevention Endpoint Guía del producto

71 Clasificación del contenido confidencial Clasificación por ubicación de archivo 8 Modo de funcionamiento del análisis de descubrimiento Los análisis de McAfee DLP Discover se utilizan para localizar datos en reposo. Actualmente existen dos versiones de este software de descubrimiento: red y endpoint. En este documento se describe la versión de endpoint. McAfee DLP Discover es un robot de rastreo (crawler) que se ejecuta en equipos cliente. Cuando localiza el contenido predefinido, puede supervisar, poner en cuarentena, marcar o aplicar una directiva de gestión de derechos a los archivos con dicho contenido. McAfee DLP Discover puede buscar archivos de los equipos o de almacenamiento de correo electrónico (PST, PST asignado y OST). Los archivos de almacenamiento de correo electrónico se almacenan en caché de forma individual para cada usuario. Para usar McAfee DLP Discover, debe activar los módulos de descubrimiento en la ficha Configuración de los agentes Varios. Figura 8-3 Opciones de descubrimiento de la ficha Varios Al final de cada análisis de descubrimiento, el cliente de McAfee DLP Endpoint envía un evento de resumen del descubrimiento a la consola de Eventos operativos de DLP en epolicy Orchestrator para registrar los detalles del análisis. En el evento se incluye un archivo de pruebas en el que se indican los archivos que no se pudieron analizar y el motivo por el que no se analizaron dichos archivos. McAfee Data Loss Prevention Endpoint Guía del producto 71

72 8 Clasificación del contenido confidencial Clasificación por ubicación de archivo Cuándo se pueden realizar búsquedas? La planificación se establece en el cuadro de diálogo Configuración de los agentes. Puede realizar un análisis diario a una hora específica o en días determinados de la semana o del mes. Puede especificar las fechas de inicio y finalización, o realizar un análisis cuando se implemente la configuración de McAfee DLP Endpoint. Puede suspender un análisis cuando la CPU o memoria RAM del equipo supere el límite especificado. Si cambia la directiva de descubrimiento cuando se está realizando el análisis de un endpoint, las reglas y parámetros de planificación cambiarán de forma inmediata. Los cambios para los que se han activado o desactivado los parámetros surtirán efecto en el siguiente análisis. Si se ha reiniciado el equipo mientras se estaba realizando un análisis, éste continúa por donde se quedó. Qué tipo de contenido se puede descubrir? Existen dos formas de definir el contenido de carácter confidencial. Uso de marcas o categorías de contenido. Las categorías comparan los patrones de texto, diccionarios o repositorios de documentos registrados específicos con los archivos. Las marcas definen archivos en ubicaciones especificadas o los generan con aplicaciones especificadas. Si no se define ninguna marca o categoría, se requerirá una propiedad de documento. La nueva propiedad de documento nombre de archivo permite esta opción para cualquier tipo de archivo, no sólo archivos de Microsoft Office. Uso del contexto del archivo. Puede especificar los tipos de archivos, extensiones de archivo, propiedades del documento, tipo de cifrado y asignación de usuario en la regla de descubrimiento. Qué sucede con los archivos descubiertos con contenido de carácter confidencial? Puede aplicar protección de gestión de derechos (solo descubrimiento del sistema de archivos), cifrar, supervisar, poner en cuarentena o marcar los archivos. La protección de gestión de derechos, el cifrado y la puesta en cuarentena se excluyen mutuamente. La supervisión y el marcado pueden añadirse a otras acciones. Cuando supervisa, puede optar también por almacenar pruebas. Una opción de la ficha Herramientas Opciones General le permite eliminar los archivos en lugar de ponerlos en cuarentena. Esta opción la solicitó un cliente concreto. No se recomienda usar esta opción para un uso general. Búsqueda de contenido con el robot de rastreo (crawler) de McAfee DLP Discover Utilice estas tareas para configurar y ejecutar el robot de rastreo (crawler) de descubrimientos. La ejecución del robot de rastreo (crawler) de descubrimientos conlleva tres pasos. Se pueden seguir en cualquier orden. Cree y defina una regla de descubrimiento. Configure los parámetros de análisis. Defina la planificación. 72 McAfee Data Loss Prevention Endpoint Guía del producto

73 Clasificación del contenido confidencial Clasificación por ubicación de archivo 8 s Creación y definición de una regla de descubrimiento de sistema de archivos en la página 73 Las reglas de descubrimiento de sistema de archivos definen el contenido que busca el robot de rastreo (crawler) de McAfee DLP Discover y qué hacer cuando se encuentra el contenido. Creación y definición de una regla de descubrimiento de almacenamiento de correo electrónico en la página 75 McAfee DLP Discover puede buscar contenido de carácter confidencial en archivos de almacenamiento de correo electrónico (PST, PST asignado y OST). El robot de rastreo (crawler) busca en elementos de correo electrónico (cuerpo y elementos adjuntos), elementos de calendario y tareas. No busca en carpetas públicas ni notas rápidas. Las acciones se limitan a Supervisar, Cuarentena, Almacenar pruebas y Marca. Configuración de un análisis de McAfee DLP Discover en la página 76 Los análisis de McAfee DLP Discover primero se definen y después se planifican mediante el menú Configuración de los agentes. Planificación de un análisis de McAfee DLP Discover en la página 77 Los análisis de McAfee DLP Discover primero se definen y después se planifican mediante el menú Configuración de los agentes. Restauración de elementos de correo electrónico o archivos en cuarentena en la página 78 Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de carácter confidencial, mueve los archivos o los elementos de correo electrónico afectados a una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a los usuarios que sus archivos están en cuarentena. Además, los archivos y los elementos de correo electrónico en cuarentena se cifran para evitar el uso no autorizado. Creación y definición de una regla de descubrimiento de sistema de archivos Las reglas de descubrimiento de sistema de archivos definen el contenido que busca el robot de rastreo (crawler) de McAfee DLP Discover y qué hacer cuando se encuentra el contenido. Los cambios en una regla de descubrimiento se aplican en cuanto se implementa la directiva. Aunque esté en curso un análisis, la nueva regla entra en vigor inmediatamente. Puede especificar una propiedad de documento en lugar de una categoría de marca o contenido. Cualquiera de ellas es válida. Una nueva acción permite que se marquen los archivos comparados. El marcado es adicional a otras acciones seleccionadas. Cuando se excluyen marcas o categorías de contenido en reglas de descubrimiento, la regla de exclusión funciona en relación con la regla de inclusión. Se debe incluir al menos una marca o categoría de contenido para excluir cualquier otra marca o categoría de contenido. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de descubrimiento. Las reglas de descubrimiento disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de descubrimiento, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de descubrimiento de sistema de archivos. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. McAfee Data Loss Prevention Endpoint Guía del producto 73

74 8 Clasificación del contenido confidencial Clasificación por ubicación de archivo Paso 1 de 7 (opcional) 2 de 7 (opcional) Acción Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionar tipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones de archivos de la lista disponible. Las exclusiones predeterminadas son:.avi,.bmp,.exe,.gif,.jar,.jpeg,.jpg,.mkv,.ico,.mp3,.mpeg,.png,.mov,.tif y.tiff. Haga clic en Siguiente. 3 de 7 (obligatorio*) 4 de 7 (obligatorio*) Seleccione las marcas, las categorías de contenido y los grupos que se van a incluir o excluir de la regla. Haga clic en Agregar elemento para crear una nueva marca o categoría de contenido. Haga clic en Agregar grupo para crear un nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente. Seleccione un grupo o una definición de propiedades de documentos existente; para ello, marque una de las casillas de verificación para indicar si la definición se incluye o excluye. Haga clic en Agregar elemento para crear una nueva definición de propiedades de documentos o en Agregar grupo para crear un nuevo grupo. Haga clic en Siguiente. 5 de 7 (opcional) 6 de 7 (obligatorio) Marque la opción Seleccionar de la lista y, a continuación, seleccione un tipo de cifrado. Seleccione acciones de la lista de acciones disponibles. Aplicar directiva de gestión de derechos. Haga clic en Seleccionar directiva de gestión de derechos para seleccionar una directiva de gestión de derechos y el servidor en la que se encuentra. Cifrar. Haga clic en Seleccionar una clave de cifrado para seleccionar una clave de cifrado o añadir una nueva. Supervisar. Haga clic en Gravedad para modificar el valor. Cuarentena Almacenar pruebas: Vinculado a Monitor (si no ha seleccionado Monitor, se selecciona automáticamente). Informar en consola de DLP Endpoint Marca. Haga clic en Seleccione una marca. La marca que utilice debe estar predefinida. No hay ninguna opción para agregar una marca. Aplicar directiva de gestión de derechos, Cuarentena y Cifrar son acciones excluyentes entre sí; al seleccionar una se cancela la selección de las otras. Otras acciones son adicionales. Si selecciona Aplicar directiva de gestión de derechos y no se puede aplicar la directiva de gestión de derechos, el contenido se supervisa. Si selecciona Cifrar y McAfee Endpoint Encryption for Files and Folders no está instalado, el contenido pasa a estar en cuarentena. Si selecciona la opción Admitir borrado de descubrimientos en sistema de archivos en Herramientas Opciones, aparecerá la acción Eliminar, la cual se puede utilizar en lugar de Cifrar o Cuarentena. No se recomienda activar la opción de borrado de descubrimientos. Haga clic en Siguiente. 74 McAfee Data Loss Prevention Endpoint Guía del producto

75 Clasificación del contenido confidencial Clasificación por ubicación de archivo 8 Paso 7 de 7 (opcional) Acción Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. (obligatorio*) significa que como mínimo debe definirse una de las propiedades. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de descubrimiento y seleccione Activar. Creación y definición de una regla de descubrimiento de almacenamiento de correo electrónico McAfee DLP Discover puede buscar contenido de carácter confidencial en archivos de almacenamiento de correo electrónico (PST, PST asignado y OST). El robot de rastreo (crawler) busca en elementos de correo electrónico (cuerpo y elementos adjuntos), elementos de calendario y tareas. No busca en carpetas públicas ni notas rápidas. Las acciones se limitan a Supervisar, Cuarentena, Almacenar pruebas y Marca. McAfee DLP Endpoint versión 9.3 admite el análisis del almacenamiento de correo electrónico de Microsoft Outlook de 32 bits (OST y PST) en sistemas operativos Windows de 64 bits. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de descubrimiento. Las reglas de descubrimiento disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de descubrimiento, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de descubrimiento de almacenamiento de correo electrónico. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 7 (opcional) Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionar tipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente. 2 de 7 (opcional) Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones de archivos de la lista disponible. Haga clic en Siguiente. 3 de 7 (obligatorio*) 4 de 7 (obligatorio*) Seleccione las marcas, las categorías de contenido y los grupos que se van a incluir o excluir de la regla. Haga clic en Agregar elemento para crear una nueva marca o categoría de contenido. Haga clic en Agregar grupo para crear un nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente. Seleccione un grupo o una definición de propiedades de documentos existente marcando una de las casillas de verificación para indicar si la definición se incluye o excluye. Haga clic en Agregar elemento para crear una nueva definición de propiedades de documentos o en Agregar grupo para crear un nuevo grupo. Haga clic en Siguiente. 5 de 7 (opcional) Marque la opción Seleccionar de la lista y, a continuación, seleccione un tipo de cifrado. McAfee Data Loss Prevention Endpoint Guía del producto 75

76 8 Clasificación del contenido confidencial Clasificación por ubicación de archivo Paso Acción 6 de 7 (obligatorio) Seleccione acciones de la lista de acciones disponibles. Supervisar. Haga clic en Gravedad para modificar el valor. Cuarentena Informar en consola de DLP Endpoint Almacenar pruebas: Vinculado a Monitor (si no ha seleccionado Monitor, se selecciona automáticamente). Marca. Haga clic en Seleccione una marca. La marca que utilice debe estar predefinida. No hay ninguna opción para agregar una marca. Haga clic en Siguiente. 7 de 7 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. (obligatorio*) significa que como mínimo debe definirse una de las propiedades. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de descubrimiento y seleccione Activar. Si deja una regla desactivada, aplica la regla a la base de datos y la despliega en los agentes, el estado desactivado interrumpirá cualquier regla de descubrimiento de correo electrónico que se esté ejecutando. Configuración de un análisis de McAfee DLP Discover Los análisis de McAfee DLP Discover primero se definen y después se planifican mediante el menú Configuración de los agentes. Los cambios de parámetros de configuración de descubrimientos tienen efecto en el siguiente análisis. No se aplican a análisis que ya estén en curso. Para ver las definiciones de las opciones, pulse F1. 1 En la ficha Configuración de los agentes Configuración de descubrimientos, configure los parámetros de rendimiento. Utilice los controles de pausa para reducir al mínimo el impacto del análisis sobre el rendimiento del sistema. Las opciones son las siguientes: Interrumpir el análisis cuando la CPU del sistema supere (%) Interrumpir el análisis cuando la RAM utilizada del sistema supere (%) No analizar los archivos mayores de (MB) La mayor parte de los archivos de interés son pequeños. Omitir archivos de gran tamaño puede reducir significativamente el tiempo de análisis. 76 McAfee Data Loss Prevention Endpoint Guía del producto

77 Clasificación del contenido confidencial Clasificación por ubicación de archivo 8 2 Defina los detalles de notificación. Los detalles de la notificación de almacenamiento de archivos y correo electrónico se configuran aparte. Si se selecciona la acción Cuarentena en una regla de descubrimiento, esta elimina los archivos con contenido de carácter confidencial y los pasa a la carpeta de cuarentena. Si no se definen notificaciones, los usuarios podrían preguntarse la razón por la que han desaparecido sus archivos. La función de notificación reemplaza archivos con archivos de sustitución con el mismo nombre y que contienen el texto de notificación. Si la regla de descubrimiento se define para cifrar archivos, no se necesita notificación, porque los archivos permanecen en su lugar. Para retirar los archivos del estado de cuarentena, los usuarios deben solicitar al administrador una clave de desbloqueo de cuarentena. Algo parecido sucede con la clave para omitir agente. Para abrir archivos cifrados, los usuarios deben tener la clave de cifrado que se detalla en la regla de descubrimiento. La ruta de acceso predeterminada de la carpeta de cuarentena es ahora %USERPROFILE%\Archivos en cuarentena de McAfee DLP. Recomendamos utilizar sólo esta carpeta predeterminada, ya que se han dado casos de eliminación accidental de archivos en otras situaciones. Si selecciona la acción Cifrar y McAfee Endpoint Encryption for Files and Folders no está instalado, los archivos se supervisan. Si selecciona la acción Aplicar directiva de gestión de derechos y el proveedor de gestión de derechos no está disponible, los archivos se supervisan. 3 Seleccione las carpetas que desee analizar y las carpetas que omitir. a Haga clic en Editar ( ) en la sección Carpetas. b c d Utilice el Explorador de Windows para navegar hasta una carpeta. Copie y pegue la dirección en el cuadro de texto Especifique la carpeta. Utilice el icono del signo más para agregar la carpeta a la lista de análisis, y el del signo menos para eliminar carpetas. Si no especifica ninguna carpeta para analizar u omitir, se analizarán todas las carpetas del equipo excepto las de C:\Windows, C:\Archivos de programa y la carpeta de cuarentena de McAfee DLP Endpoint. Los siguientes tipos de archivos se omitirán siempre, independientemente de la carpeta en que se encuentren: Archivos específicos ntldr, boot.ini y.cekey Archivos ejecutables (*.com, *.exe y *.sys) 4 Seleccione los tipos de almacenamiento de correo electrónico que desee analizar. Seleccione las carpetas de correo electrónico que desee analizar y las carpetas que omitir. Cuando Microsoft Outlook se ejecuta en modo de no intercambio en caché, los archivos OST no están presentes y no se pueden analizar. Si crea un buzón de correo compartido al ejecutarse en modo de no intercambio en caché (buzón de correo OST), McAfee DLP Endpoint lo reconoce como un buzón de correo PST asignado. Por lo tanto, debe especificar el PST asignado como un tipo de almacenamiento en la regla de descubrimiento para poder analizar el buzón de correo. Planificación de un análisis de McAfee DLP Discover Los análisis de McAfee DLP Discover primero se definen y después se planifican mediante el menú Configuración de los agentes. El planificador de análisis de descubrimiento se encuentra en el cuadro de diálogo Configuración de los agentes Configuración de descubrimientos. McAfee Data Loss Prevention Endpoint Guía del producto 77

78 8 Clasificación del contenido confidencial Clasificación por ubicación de archivo Para ver las definiciones de las opciones, pulse F1. 1 En la ficha Configuración de los agentes Configuración de descubrimientos, haga clic en el botón Planificación de análisis del sistema de archivos ( ). También puede planificar un análisis del almacenamiento de correo haciendo clic en el icono Planificación de análisis de PST y OST. Aparece una ventana emergente. 2 Defina la hora de inicio del análisis mediante la rueda. 3 Defina la frecuencia del análisis mediante los botones de opción y las casillas de verificación. 4 Si desea ejecutar un análisis de descubrimiento inmediatamente, seleccione Ejecutar ahora. 5 Si desea impedir que se omitan las ejecuciones debido a que el usuario se haya desconectado, seleccione Reanudar las ejecuciones de descubrimiento que falten tras iniciar sesión. 6 Defina la fechas de inicio y fin para los análisis de descubrimiento. Restauración de elementos de correo electrónico o archivos en cuarentena Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de carácter confidencial, mueve los archivos o los elementos de correo electrónico afectados a una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a los usuarios que sus archivos están en cuarentena. Además, los archivos y los elementos de correo electrónico en cuarentena se cifran para evitar el uso no autorizado. Antes de empezar Para mostrar el icono de McAfee DLP en Microsoft Outlook, se debe activar la opción Mostrar controles para levantar la cuarentena en Outlook en Configuración de los agentes Varios. Cuando se configura una regla de descubrimiento del sistema de archivos con la acción Cuarentena y el robot de rastreo (crawler) encuentra contenido de carácter confidencial, mueve los archivos implicados a una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a los usuarios que sus archivos están en cuarentena. Los archivos en cuarentena se cifran para evitar el uso no autorizado. En el caso de los elementos de correo electrónico en cuarentena, el software McAfee DLP Discover adjunta un prefijo al Asunto en Outlook para indicar a los usuarios que sus mensajes de correo electrónico están en cuarentena. Los mensajes pueden tener el cuerpo del correo electrónico o los datos adjuntos en cuarentena, o bien ambos. Si el cuerpo del mensaje está en cuarentena, el texto de sustitución aparecerá en el cuerpo y el texto del cuerpo aparecerá como datos adjuntos cifrados. Las tareas y los elementos del calendario de Microsoft Outlook también se pueden poner en cuarentena. Figura 8-4 Ejemplo de correo electrónico en cuarentena 78 McAfee Data Loss Prevention Endpoint Guía del producto

79 Clasificación del contenido confidencial Clasificación por ubicación de archivo 8 1 Para restaurar los archivos en cuarentena: a En la bandeja del sistema del equipo gestionado, haga clic en el icono de McAfee Agent y seleccione Administrar funciones Consola de DLP Endpoint. Se abre la consola de DLP Endpoint. b En la ficha Tareas, seleccione Abrir carpeta de cuarentena. Se abre la carpeta de cuarentena. c Seleccione los archivos que se van a restaurar. Haga clic con el botón derecho del ratón y seleccione Liberar de la cuarentena. El elemento del menú contextual Liberar de la cuarentena solo aparece cuando se seleccionan archivos de tipo *.dlpenc (cifrado con DLP). Aparece la ventana emergente Código de autorización. 2 Para restaurar elementos de correo electrónico en cuarentena: Haga clic en el icono de McAfee DLP o haga clic con el botón derecho del ratón y seleccione Descifrado manual. a En Microsoft Outlook, seleccione los mensajes de correo electrónico (u otros elementos) que desee restaurar. b Haga clic en el icono de McAfee DLP. Aparece la ventana emergente Código de autorización. 3 Copie el código del ID de desafío de la ventana emergente y envíelo al administrador de DLP 4 El administrador genera un código de respuesta y lo envía al usuario. (también se envía un evento al Eventos operativos de DLP que registra todos los detalles). 5 El usuario introduce el código de autorización en la ventana emergente Código de autorización y hace clic en Aceptar. Los archivos descifrados se restauran a su ubicación original. Si está activada la directiva de bloqueo de código de autorización (en la ficha Configuración de los agentes Servicio de notificación) e introduce un código incorrecto tres veces, la ventana emergente deja de aparecer durante 30 minutos (configuración predeterminada). En el caso de los archivos, si se ha cambiado o eliminado la ruta de acceso, se restaura la ruta original. Si ya existe un archivo con el mismo nombre en la ubicación, el archivo se restaura como xxx copy.abc. Definición de recursos compartidos de archivos de red La lista de servidores de archivos es una lista de recursos compartidos de archivos que se emplea para las reglas de marcado basadas en la ubicación. La lista de servidores de archivos se crea mediante una consulta LDAP o un análisis de la red. Defina los servidores de red que se utilizan en las reglas de marcado basadas en ubicación. Si un servidor no contiene un archivo compartido utilizado en una regla de marcado basada en la ubicación, no es necesario incluirlo en esta lista. Creación de una lista de servidores de archivos La lista de servidores de archivos es una lista de los recursos compartidos de archivos utilizados para las reglas de marcado basadas en la ubicación. McAfee Data Loss Prevention Endpoint Guía del producto 79

80 8 Clasificación del contenido confidencial Clasificación por ubicación de archivo Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Servidores de archivos. Los servidores de archivos disponibles aparecerán en el panel de la derecha. 2 En la ventana Servidores de archivos, haga clic con el botón derecho del ratón y seleccione Buscar para ver las siguientes opciones de búsqueda. No es posible buscar los servidores de red en OpenLDAP. Todos los servidores de red Por unidades organizativas: seleccione la unidad organizativa en la que desea buscar y haga clic en Aceptar. Todos los servidores de red Por vista Red: busca todos los servidores de archivos disponibles en la red local. Servidores de red por selección LDAP: seleccione los servidores de archivos apropiados y haga clic en Aceptar. Adición de un solo servidor a una lista La lista de servidores de archivos es una lista de recursos compartidos de archivos que se emplea para las reglas de marcado basadas en la ubicación. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Servidores de archivos. Los servidores de archivos disponibles aparecerán en el panel de la derecha. 2 En la ventana Servidores de archivos, haga clic con el botón derecho del ratón y seleccione Nuevo Servidor. Aparecerá el icono del nuevo Servidor. 3 Escriba el nombre del servidor. Definición de parámetros de red Las definiciones de red funcionan como criterios de filtrado en las reglas de protección relacionadas con la red. El Intervalo de puertos de red permite utilizar intervalos de puertos de red para implementar reglas relacionadas con la red en un servicio específico. El Intervalo de direcciones de red supervisa las conexiones de red entre un origen externo y un equipo gestionado. El Grupo de intervalos de direcciones de red permite utilizar varios intervalos de red para las reglas relacionadas con la red. Creación de un intervalo de direcciones de red Los intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección relacionadas con la red. 80 McAfee Data Loss Prevention Endpoint Guía del producto

81 Clasificación del contenido confidencial Clasificación por ubicación de archivo 8 Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Red. En el panel de la derecha aparecerán los intervalos de direcciones de red disponibles. 2 Haga clic con el botón derecho del ratón en la ventana Red y seleccione Nuevo Intervalo de direcciones de red. Aparecerá el icono del nuevo Intervalo de direcciones de red. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 Especifique el nombre del intervalo de direcciones de red. 5 Escriba una descripción (opcional). 6 Introduzca el intervalo de direcciones IP mediante uno de los métodos siguientes: Definir mediante un intervalo de direcciones Definir con una máscara de red Definir con la especificación CIDR 7 Haga clic en Aceptar. Creación de un grupo de intervalos de direcciones de red Los intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección relacionadas con la red. Los grupos intervalos de direcciones de red simplifican las reglas a la vez que mantienen la granularidad al combinar diversas definiciones de intervalos de direcciones en un grupo. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Red. En el panel de la derecha aparecerán los grupos de intervalos de direcciones de red disponibles. 2 En la ventana Red, haga clic con el botón derecho del ratón y seleccione Nuevo Grupo de intervalos de direcciones de red. Aparecerá el icono del nuevo Grupo de intervalos de direcciones de red. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 Especifique el nombre del grupo de direcciones de red. 5 Escriba una descripción (opcional). 6 Seleccione los intervalos de direcciones de red de la lista disponible. 7 Haga clic en Aceptar. McAfee Data Loss Prevention Endpoint Guía del producto 81

82 8 Clasificación del contenido confidencial Clasificación por ubicación de archivo Creación de un nuevo intervalo de puertos de red Los intervalos de puertos de red funcionan como criterios de filtrado en las reglas de protección relacionadas con la red. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Red. En el panel de la derecha aparecerán los intervalos de puertos de red disponibles. 2 Haga clic con el botón derecho del ratón en la ventana Red y seleccione Nuevo Intervalo de puertos de red. Aparecerá el icono correspondiente al nuevo Intervalo de puertos de red. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 Especifique el nombre del intervalo de puertos de red. 5 Escriba una descripción (opcional). 6 Especifique el intervalo de puertos (un único puerto, varios puertos, intervalo). 7 Seleccione el tipo de protocolo correspondiente (UDP, TCP o ambos). 8 Haga clic en Aceptar. Definición de repositorios de documentos registrados La función de documentos registrados es una extensión del marcado basado en la ubicación. Proporciona a los administradores otro modo de definir la ubicación de la información importante y evitar que ésta se distribuya de formas no autorizadas. Para usar los repositorios de documentos registrados, el administrador selecciona una lista de carpetas compartidas para registrarlas. La definición se puede limitar a extensiones de archivos específicas en dichas carpetas, así como a un tamaño máximo de archivo. El contenido de estas carpetas se clasifica, se identifica por huellas digitales y se distribuye a todas las estaciones de trabajo endpoint. El software McAfee DLP Endpoint de los equipos gestionados bloquea la distribución fuera de la empresa de documentos que contengan fragmentos de contenido registrado. Cuando se configuren repositorios de documentos registrados, recomendamos definir permisos de recursos compartidos y de seguridad para las carpetas del repositorio y conceder un permiso total al SISTEMA. Ventajas de registrar los documentos Las dos ventajas de los documentos registrados frente al marcado tradicional basado en la ubicación son las siguientes: 82 McAfee Data Loss Prevention Endpoint Guía del producto

83 Clasificación del contenido confidencial Clasificación por ubicación de archivo 8 Los documentos que existían antes de que se definiera el marcado basado en la ubicación no se detectan mediante las reglas de marcado basadas en la ubicación a excepción de que el usuario abra o copie el archivo original desde su ubicación de red. Las reglas de clasificación de los documentos registrados detectan todos los archivos en las carpetas definidas. Si varios documentos incluyen el mismo contenido de carácter confidencial, deberá clasificarlo una única vez mediante un repositorio de documentos registrados. Si utiliza el marcado basado en la ubicación, deberá identificar cada uno de los recursos compartidos de red donde se encuentra el contenido de carácter confidencial y marcarlos de forma individual. Registro de documentos en equipos gestionados Las dos ventajas que conlleva el registro de documentos frente al marcado tradicional basado en la ubicación son las siguientes: Los documentos que existían antes de que se definiera el marcado basado en la ubicación no se detectan mediante las reglas de marcado basadas en la ubicación a excepción de que el usuario abra o copie el archivo original desde su ubicación de red. Las reglas de clasificación de los documentos registrados detectan todos los archivos en las carpetas definidas. Si varios documentos incluyen el mismo contenido de carácter confidencial, deberá clasificarlo una única vez mediante un repositorio de documentos registrados. Si utiliza el marcado basado en la ubicación, deberá identificar cada uno de los recursos compartidos de red donde se encuentra el contenido de carácter confidencial y marcarlos de forma individual. Indexación de repositorios de documentos registrados Los repositorios de documentos registrados se indexan de forma periódica mediante las tareas servidor de epolicy Orchestrator. El proceso de indexación crea un paquete (reg_docs9300_x.zip) que se agrega al repositorio de epolicy Orchestrator y se despliega en los equipos gestionados. El contenido de las carpetas de documentos registrados se protege con reglas de clasificación de documentos registrados. La regla de clasificación asocia una categoría de contenido específico con los archivos del repositorio de documentos registrados. La separación de definiciones, grupos y categorías aumenta la modularidad y permite la creación de nuevas reglas de clasificación, así como la modificación de reglas existentes sin necesidad de volver a realizar la indexación y el despliegue. Una vez que haya definido una regla de clasificación de documentos registrados, agregue las categorías asociadas a una regla de protección que acepte categorías de contenido. Cuando se hayan desplegado en un equipo gestionado la indexación, la regla de clasificación de documentos registrados y la regla de protección que especifica la categoría, todo el contenido que salga del equipo gestionado se cotejará con las huellas digitales de los documentos registrados, y el contenido se bloquea o se supervisa conforme a la regla de protección. El contenido incluido en la lista blanca se elimina de la base de datos del repositorio de documentos registrados. Las reglas de clasificación de documentos registrados se aplican únicamente al contenido del repositorio que no esté incluido en una lista blanca. Creación de una definición de repositorio de documentos registrados Los repositorios de documentos registrados se usan para definir las reglas de clasificación de documentos registrados. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadas en el contenido, seleccione Repositorios de documentos registrados. Los documentos registrados disponibles aparecerán en el panel de la derecha. McAfee Data Loss Prevention Endpoint Guía del producto 83

84 8 Clasificación del contenido confidencial Clasificación por destino de archivo 2 En la ventana Repositorios de documentos registrados, haga clic con el botón derecho del ratón y seleccione Nuevo Repositorio de documentos registrados. Aparecerá el icono del nuevo Repositorio de documentos registrados. 3 Asigne un nombre al nuevo repositorio de documentos registrados y haga doble clic en el icono. 4 Agregue una descripción (opcional). 5 Escriba la ruta de acceso UNC en la carpeta que va a definir o haga clic en Examinar para colocar la carpeta. 6 Si se le solicita, introduzca un nombre de usuario para acceder a la carpeta y una contraseña. 7 Especifique las extensiones del documento que se van a incluir o excluir (opcional). Puede Agregar una nueva extensión o, si es necesario, Editar una existente. 8 Especifique el tamaño máximo de archivo (opcional) y haga clic en Aceptar. Creación de un grupo de repositorios de documentos registrados Los grupos de repositorios de documentos registrados se usan para definir las reglas de clasificación de documentos registrados. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadas en el contenido, seleccione Repositorios de documentos registrados. Los grupos y repositorios de documentos registrados disponibles aparecerán en el panel de la derecha. 2 En la ventana Repositorios de documentos registrados, haga clic con el botón derecho del ratón y seleccione Nuevo Grupo de repositorios de documentos registrados. Aparecerá el icono del nuevo Grupo de repositorios de documentos registrados. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 Asigne el nombre al nuevo grupo de documentos registrados. 5 Escriba una descripción (opcional). 6 Seleccione las definiciones de documentos registrados de la lista disponible. 7 Haga clic en Aceptar. Clasificación por destino de archivo Además de clasificar el contenido por su ubicación de procedencia, puede clasificar y controlar su destino. En la jerga de prevención de fuga de datos, esto se conoce como datos en tránsito. En este capítulo se describen los destinos que puede controlar, así como la creación de las definiciones que le permiten ejercer tal control. Contenido Cómo se controla el contenido de carácter confidencial en el correo electrónico Definición de impresoras de red y locales Control de la información cargada en sitios web 84 McAfee Data Loss Prevention Endpoint Guía del producto

85 Clasificación del contenido confidencial Clasificación por destino de archivo 8 Cómo se controla el contenido de carácter confidencial en el correo electrónico Los objetos de destino de correo electrónico son dominios de correo electrónico predefinidos o direcciones de correo electrónico específicas que pueden incluirse en las reglas de protección del correo electrónico. La regla de protección del correo electrónico puede bloquear los datos marcados de forma que no se envíen a los dominios especificados o impedir que se envíen a dominios no definidos. Generalmente, la sección de destinos de correo electrónico define los dominios internos y externos en los que se admite el envío por correo electrónico de datos marcados. Los grupos de destino de correo electrónico permiten crear reglas de protección que hacen referencia a una única entidad que define varios destinos. Esta función se utiliza habitualmente para crear un grupo de destinos de correo electrónico en todos los dominios internos. El correo electrónico saliente lo gestiona tanto el Outlook Object Model (OOM) como la interfaz de programación de aplicaciones de mensajería (MAPI, por sus siglas en inglés). OOM es la API predeterminada, aunque algunas configuraciones requieren MAPI. La opción se configura en la ficha Configuración de los agentes Sonda de correo electrónico. La opción MAPI solo es compatible con los clientes de McAfee DLP Endpoint 9.1 Parche 2, 9.2 Parches 1 y 2 y 9.3. Se puede seleccionar un nuevo evento administrativo, El agente supera el límite de memoria al cargar, en la ficha Configuración de los agentes Eventos y registro para registrar cuándo el proceso del agente (fcag.exe) supera la memoria configurada después de haber reiniciado el software cliente. Creación de destinos de correo electrónico Los objetos de destino de correo electrónico son dominios de correo electrónico predefinidos o direcciones de correo electrónico específicas que pueden incluirse en las reglas de protección del correo electrónico. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Destinos de correo electrónico. Los grupos y destinos de correo electrónico disponibles aparecerán en el panel de la derecha. 2 Haga clic con el botón derecho en la ventana Destinos de correo electrónico y seleccione Nuevo Destino de correo electrónico. Aparece el icono del nuevo Destino de correo electrónico. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. McAfee Data Loss Prevention Endpoint Guía del producto 85

86 8 Clasificación del contenido confidencial Clasificación por destino de archivo 4 Agregue el nombre del destino de correo electrónico. En Direcciones de correo electrónico, introduzca el nombre del dominio y haga clic en Agregar. Para crear un destino de correo electrónico de dominios externos, agregue una entrada de dominio para cada dominio interno y, a continuación, anule la selección de todos los dominios y seleccione Otro dominio de correo electrónico. Figura 8-5 Cuadro de diálogo de edición de destino de correo electrónico Para agregar una dirección de correo electrónico concreta desde este dominio, haga clic con el botón derecho del ratón en el nombre del dominio y seleccione Agregar Usuario de correo electrónico. A continuación, escriba el nombre de usuario y haga clic en Aceptar. Para excluir del dominio una dirección de correo electrónico concreta, agregue el usuario al dominio, haga clic con el botón derecho del ratón en el nombre del dominio, seleccione Agregar Otro usuario de correo electrónico y anule la selección del usuario. 5 Haga clic en Aceptar. Creación de un grupo de correo electrónico Los grupos de correo electrónico simplifican las reglas a la vez que mantienen la granularidad al combinar diversas definiciones de correo electrónico en un grupo. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Destinos de correo electrónico. Los grupos y destinos de correo electrónico disponibles aparecerán en el panel de la derecha. 2 Haga clic con el botón derecho del ratón en la ventana Destinos de correo electrónico y seleccione Nuevo Grupo de correo electrónico. Aparecerá el icono del nuevo Grupo de correo electrónico. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 Introduzca el nombre del grupo de correo electrónico. 86 McAfee Data Loss Prevention Endpoint Guía del producto

87 Clasificación del contenido confidencial Clasificación por destino de archivo 8 5 Escriba una descripción (opcional). 6 Seleccione las definiciones de destino de correo electrónico de la lista disponible. 7 Haga clic en Aceptar. Definición de impresoras de red y locales Las definiciones de impresoras se utilizan para definir reglas de protección contra impresión. Las reglas de protección contra impresión se utilizan para gestionar tanto impresoras locales como de red y bloquear o supervisar la impresión de material confidencial. Existen dos tipos de definiciones de impresora: impresoras de red e impresoras no gestionadas (impresoras de lista blanca). Las impresoras de red se pueden agregar de forma manual mediante la creación de una definición que especifica la ruta de acceso UNC a la impresora o, de forma automática, desde una lista de impresoras. La lista de impresoras se crea mediante una consulta LDAP o un análisis en la red. A continuación, se seleccionan las impresoras de la lista de análisis para agregarlas a las definiciones de impresora. Las impresoras de lista blanca son impresoras que no funcionan con la arquitectura del controlador proxy necesaria para la administración de Data Loss Prevention. Para evitar problemas de funcionamiento, estas impresoras se definen como no gestionadas. Las definiciones de impresoras no gestionadas se crean de forma manual utilizando la información del modelo de impresora que se encuentra en las propiedades de impresora del sistema operativo. Para la generación de informes, existe una tercera categoría de impresoras. Cuando una impresora está conectada a un equipo gestionado y McAfee DLP Endpoint no puede instalar el controlador de impresora correspondiente, se informa de que se trata de una impresora no admitida. Tras investigar la causa del error y si no se encuentra otra solución, estas impresoras se colocan en la lista blanca. Creación de una lista de impresoras e incorporación de impresoras a la lista Las listas de impresoras se utilizan para gestionar el contenido de carácter confidencial enviado a las impresoras. Utilice estas tareas para crear una lista de impresoras y agregar impresoras. s Creación de una lista de impresoras en la página 88 Las listas de impresoras se utilizan para gestionar el contenido de carácter confidencial enviado a las impresoras. Adición de una impresora a la lista de impresoras en la página 88 Para poder definir impresoras de red en las reglas de protección de impresoras, es necesario agregarlas a la lista de impresoras. Adición de una impresora no gestionada a la lista de impresoras en la página 89 Algunas impresoras dejan de responder cuando el software McAfee DLP Endpoint les asigna un controlador proxy. Estas impresoras no se pueden gestionar y deben estar exentas de las reglas de impresora para evitar problemas. En otros casos, es posible que tenga que eximir una impresora de estas reglas, por ejemplo, una que pertenezca a un ejecutivo. De todas formas, defina estas impresoras como no gestionadas y colóquelas en la lista blanca de impresoras. Adición de una impresora existente a la lista blanca de impresoras en la página 90 Cuando una impresora de red existente falla, es posible agregarla a la lista blanca de impresoras de forma temporal hasta que se aclare el problema. En este proceso, la impresora permanece en la lista de impresoras de red, pero también en la lista blanca, lo que evita que las reglas de protección de impresoras se le apliquen. Cuando el problema se soluciona, la definición se elimina. McAfee Data Loss Prevention Endpoint Guía del producto 87

88 8 Clasificación del contenido confidencial Clasificación por destino de archivo Creación de una lista de impresoras Las listas de impresoras se utilizan para gestionar el contenido de carácter confidencial enviado a las impresoras. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Impresoras. Las impresoras disponibles aparecerán en el panel de la derecha. 2 Haga clic con el botón derecho del ratón en la ventana Impresoras, seleccione Buscar y, a continuación, una opción de búsqueda: No es posible buscar impresoras en OpenLDAP. Impresoras de red por unidades organizativas Impresoras de red por selección LDAP Buscar impresoras compartidas 3 Edite los parámetros de búsqueda (opcional), agregue un filtro (opcional) y, a continuación, haga clic en Buscar. Tras editar los parámetros o agregar un filtro, puede volver a realizar la búsqueda haciendo clic en Actualizar. Aparecerá una lista de impresoras en la ventana de visualización. 4 Seleccione las impresoras que desee agregar a la lista de impresoras y haga clic en Aceptar. Adición de una impresora a la lista de impresoras Para poder definir impresoras de red en las reglas de protección de impresoras, es necesario agregarlas a la lista de impresoras. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Impresoras. Las impresoras que ya se hayan agregado aparecerán en el panel de la derecha. 2 Haga clic con el botón derecho del ratón en la ventana Impresoras y seleccione Nuevo Impresora de red. Aparecerá el icono de la nueva Impresora de red. 3 Haga doble clic en el icono Impresora de red. Aparecerá la ventana de edición. 4 Escriba el nombre de la impresora de red. 5 Introduzca la ruta de acceso UNC de la impresora de red. 6 Haga clic en Aceptar. 88 McAfee Data Loss Prevention Endpoint Guía del producto

89 Clasificación del contenido confidencial Clasificación por destino de archivo 8 Adición de una impresora no gestionada a la lista de impresoras Algunas impresoras dejan de responder cuando el software McAfee DLP Endpoint les asigna un controlador proxy. Estas impresoras no se pueden gestionar y deben estar exentas de las reglas de impresora para evitar problemas. En otros casos, es posible que tenga que eximir una impresora de estas reglas, por ejemplo, una que pertenezca a un ejecutivo. De todas formas, defina estas impresoras como no gestionadas y colóquelas en la lista blanca de impresoras. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Impresoras. Las impresoras que ya se hayan agregado aparecerán en el panel de la derecha. 2 Haga clic con el botón derecho del ratón en la ventana Impresoras y seleccione Nuevo Modelo de impresora no gestionado. Escriba un nombre en el cuadro de texto. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 Introduzca el modelo de impresora. Puede copiar y pegar la información usando la información del Modelo que se encuentra en las propiedades de impresora: a b c En el menú Inicio de Microsoft Windows, seleccione Impresoras y faxes. Haga clic con el botón derecho del ratón en la impresora que desee agregar a la lista blanca y seleccione Propiedades. En la ficha General, copie la información del Modelo (debajo del cuadro de texto Comentario). Figura 8-6 Copia de la información del modelo de impresora McAfee Data Loss Prevention Endpoint Guía del producto 89

90 8 Clasificación del contenido confidencial Clasificación por destino de archivo 5 Pegue la información del modelo en el cuadro de texto Modelo del cuadro de diálogo Modelo de impresora no gestionada. 6 Agregue una definición (opcional). 7 Haga clic en Aceptar. Adición de una impresora existente a la lista blanca de impresoras Cuando una impresora de red existente falla, es posible agregarla a la lista blanca de impresoras de forma temporal hasta que se aclare el problema. En este proceso, la impresora permanece en la lista de impresoras de red, pero también en la lista blanca, lo que evita que las reglas de protección de impresoras se le apliquen. Cuando el problema se soluciona, la definición se elimina. Haga clic con el botón derecho del ratón en la definición de la impresora de red existente y, a continuación, haga clic en Agregar como impresora no gestionada. La impresora aparecerá en la sección Modelo de impresora no gestionada del panel Impresoras. Control de la información cargada en sitios web Los objetos de destino web son direcciones web predefinidas que pueden incluirse en reglas de protección de la publicación web. Puede utilizar las definiciones de destinos web para evitar que los datos marcados se publiquen en destinos web definidos (sitios web o páginas concretas de un sitio web), o bien para impedir que se publiquen en sitios web no definidos. Generalmente, la sección de destinos web define los sitios web internos y externos en los que se admite la publicación de datos marcados. Si ha definido muchos destinos web, puede crear grupos de destinos web para que las reglas de protección hagan referencia a una única entidad. Esta función se utiliza habitualmente para crear un grupo de destinos web en todos los sitios web internos. Creación de un destino web Los objetos de destino web son direcciones web predefinidas que pueden incluirse en reglas de protección de la publicación web. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Servidores Web. Los servidores web disponibles aparecerán en el panel principal. 2 En la ventana Servidores Web, haga clic con el botón derecho del ratón y seleccione Nuevo Servidor Web. Aparecerá el icono del nuevo Servidor web. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 En el cuadro de texto que aparece en la parte inferior de la ventana, especifique la dirección URL del servidor web y haga clic en Agregar para agregar una dirección de servidor web. 5 Para agregar una ruta de acceso de recursos, haga clic con el botón derecho del ratón en la dirección del servidor web y seleccione Agregar Ruta de recursos. Escriba la ruta de acceso y haga clic en Aceptar. 6 Escriba una descripción (opcional). 7 Haga clic en Aceptar. 90 McAfee Data Loss Prevention Endpoint Guía del producto

91 Clasificación del contenido confidencial Clasificación en uso 8 Creación de un grupo de destinos web Los grupos de destinos web simplifican las reglas a la vez que mantienen la granularidad al combinar diversas definiciones de destinos web en un grupo. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Servidores Web. Los grupos de servidores web disponibles aparecerán en el panel de la derecha. 2 En la ventana Servidores Web, haga clic con el botón derecho del ratón y seleccione Nuevo Grupo de servidores Web. Aparecerá el icono del nuevo Grupo de servidores web. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 Especifique el nombre del grupo de servidores web. 5 Escriba una descripción (opcional). 6 Seleccione los servidores web de la lista disponible. 7 Haga clic en Aceptar. Clasificación en uso Datos en uso es el término utilizado para definir el contenido por cómo y dónde se utiliza. Las definiciones y reglas de McAfee DLP Endpoint clasifican los datos en uso. Estas definiciones proporcionan detalles para ayudar a proteger sólo los archivos que necesitan protección. Contenido Cómo categoriza las aplicaciones McAfee DLP Endpoint Aplicaciones y modo de uso Adición y eliminación de aplicaciones Definición de tipos de archivos McAfee Data Loss Prevention Endpoint Guía del producto 91

92 8 Clasificación del contenido confidencial Clasificación en uso Cómo categoriza las aplicaciones McAfee DLP Endpoint Antes de que cree reglas mediante aplicaciones, debe comprender de qué modo McAfee DLP Endpoint las categoriza, y el efecto que ello tiene en el rendimiento del sistema. El software McAfee DLP Endpoint divide las aplicaciones en cuatro categorías o estrategias. Estas categorías o estrategias afectan el modo en el que el software trabaja con las diferentes aplicaciones. Puede cambiar la estrategia para conseguir un equilibrio entre la seguridad y el rendimiento del equipo. Figura 8-7 Estrategias que aparecen en la ventana Definiciones de aplicaciones Las estrategias, en orden decreciente de seguridad, son las que se indican a continuación. Editor: cualquier aplicación que pueda modificar el contenido del archivo. En esta categoría se engloban los editores clásicos, como Microsoft Word y Microsoft Excel, así como navegadores, software de edición de gráficos, software de contabilidad, etc. La mayor parte de las aplicaciones son editores. Explorador: una aplicación empleada para copiar o mover archivos sin modificarlos; por ejemplo, el Explorador de Microsoft Windows o determinadas aplicaciones shell. De confianza: una aplicación que necesita acceso ilimitado a los archivos para realizar análisis. Por ejemplo, McAfee VirusScan Enterprise, software de creación de copias de seguridad y software de búsqueda de escritorio, como Google Desktop. Archivador : una aplicación que puede reprocesar archivos. Algunos ejemplos son el software de compresión como WinZip y las aplicaciones de cifrado como McAfee Endpoint Encryption for Files and Folders o PGP. Cómo trabajar con estrategias de DLP Cambie la estrategia según sus necesidades para optimizar el rendimiento. Por ejemplo, una aplicación con estrategia Editor está sometida a un alto nivel de observación, que no resulta apropiado para una aplicación de búsqueda de escritorio, cuya función es realizar constantes operaciones de indexación. Los efectos sobre el rendimiento son notables y, sin embargo, el riesgo de fuga de datos desde este tipo de aplicaciones es bajo. Por lo tanto, para este tipo de aplicaciones, se recomienda utilizar la estrategia de confianza. 92 McAfee Data Loss Prevention Endpoint Guía del producto

93 Clasificación del contenido confidencial Clasificación en uso 8 Aplicaciones y modo de uso Las aplicaciones se pueden especificar en reglas de marcado y protección mediante la creación de definiciones de aplicaciones. La importación de una lista de aplicaciones y la creación de definiciones de aplicaciones permiten gestionar de forma más eficaz todas las reglas de marcado y protección relacionadas con aplicaciones. Los administradores del sistema pueden importar una lista de todas las aplicaciones relevantes disponibles en la empresa, crear definiciones de aplicaciones distintas en función de sus necesidades e implementar estas definiciones con las reglas correspondientes para mantener las directivas. Lista de aplicaciones empresariales: lista completa de las aplicaciones que utiliza la empresa. Puede realizar un análisis de nuevas aplicaciones y fusionarlas en la lista actual, editar la lista y agrupar las aplicaciones por columna. Definiciones de aplicaciones: detalles que definen las plantillas que se utilizan para personalizar las reglas relativas a aplicaciones específicas. Puede añadir aplicaciones a las definiciones de aplicaciones de la Lista de aplicaciones empresariales, o bien crearlas directamente. Las reglas de marcado y protección hacen siempre referencia a definiciones de aplicaciones en lugar de aplicaciones individuales. Cuando un usuario abre archivos con una aplicación definida en una regla mediante una definición de aplicación, produce un evento en Administrador de incidentes de DLP por sesión de aplicación, no por cada archivo confidencial abierto. El evento incluye todos los archivos que coinciden con las condiciones especificadas en esa sesión de la aplicación. Si se ha seleccionado la acción Almacenar pruebas, sólo se almacenarán los archivos de la sesión de la aplicación que coincidan con las condiciones. Lista de aplicaciones empresariales La lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos se desea controlar. Las reglas de marcado basadas en aplicaciones y la mayoría de las reglas de protección utilizan las definiciones de las aplicaciones. Por ejemplo, para controlar los datos de los archivos de Excel, puede agregar Excel a la Lista de aplicaciones empresariales y, a continuación, crear una regla que defina si este tipo de archivos o su contenido se puede imprimir o copiar. La información de las cinco primeras columnas de la lista de aplicaciones de la empresa se lee desde la lista de propiedades de cada archivo de aplicación. En los casos en los que la propiedad no tenga un valor, aparece como desconocido. Antes de que se pueda hacer referencia a las aplicaciones en una regla, las aplicaciones deben definirse en la lista de aplicaciones empresariales. Si las aplicaciones que desea controlar no aparecen en la lista, debe agregarlas. Definiciones de aplicaciones y modos de clasificación Las definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades como el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana. Las definiciones de aplicaciones sustituyen los grupos de aplicaciones usados en versiones anteriores de McAfee DLP Endpoint. Puesto que se han definido de forma parecida a las definiciones de dispositivos, son más intuitivas, minuciosas, escalables y configurables. Además, reducen el tamaño de la directiva mediante el uso de un modelo de datos distinto. Una nueva subcategoría, definiciones de aplicaciones web, crea una plantilla basada en la dirección URL. Los archivos, las capturas de pantalla o el contenido del portapapeles guardados en un navegador se pueden marcar y bloquear en función de la dirección URL. Las definiciones de aplicaciones se pueden identificar mediante cualquiera de los siguientes parámetros. McAfee Data Loss Prevention Endpoint Guía del producto 93

94 8 Clasificación del contenido confidencial Clasificación en uso Línea de comandos: admite argumentos de línea de comandos, como por ejemplo: java jar, que permite controlar aplicaciones anteriormente incontrolables. Hash de archivo ejecutable: nombre de visualización de la aplicación con hash SHA2 identificativo. Nombre del archivo ejecutable: por lo general, suele ser el mismo que el nombre de visualización (menos el hash SHA2), pero puede ser distinto si se cambia el nombre del archivo. Nombre del archivo ejecutable original: idéntico al nombre del archivo ejecutable, a menos que se haya cambiado el nombre del archivo. Nombre del producto: nombre genérico del producto (por ejemplo Microsoft Office 2003) si se incluye en las propiedades del archivo ejecutable. Nombre del proveedor: nombre de la empresa, si se incluye en la lista de propiedades del archivo ejecutable. Título de ventana: valor dinámico que cambia en tiempo de ejecución para incluir el nombre del archivo activo. Directorio de trabajo: directorio en el que se encuentra el archivo ejecutable. Un uso de este parámetro es controlar las aplicaciones U3. A excepción del directorio de trabajo y del nombre de la aplicación SHA2, todos los parámetros aceptan las coincidencias de subcadenas. Como resultado de este modelo de datos, la estrategia de aplicaciones queda definida en las definiciones de aplicaciones, no en la Lista de aplicaciones empresariales, como en versiones anteriores. Una consecuencia de esto es que la misma aplicación se puede incluir en varias definiciones de aplicaciones y, por tanto, se pueden asignar varias estrategias. McAfee DLP Endpoint soluciona los posibles conflictos en función de la siguiente jerarquía: archivador > de confianza > explorador > editor; es decir, el editor se encuentra en la posición inferior. Si una aplicación es un editor en una definición y otro elemento distinto en otra, McAfee DLP Endpoint no trata la aplicación como editor. 94 McAfee Data Loss Prevention Endpoint Guía del producto

95 Clasificación del contenido confidencial Clasificación en uso 8 Hay una nueva opción que permite el análisis de los archivos asignados a la memoria. Esta opción se ha añadido para ofrecer compatibilidad con los archivos gráficos de Autodesk 3ds Max. A pesar de que esta opción está disponible en todas las ventanas de definiciones, se selecciona automáticamente solo en la definición de aplicaciones de 3ds Max. Debido a la carga de procesamiento, no se recomienda usar esta opción a menos que sea específicamente necesario. Figura 8-8 Ventana Definición de aplicaciones Creación de definiciones de la aplicación Utilice estas tareas para crear definiciones de aplicaciones. McAfee Data Loss Prevention Endpoint Guía del producto 95

96 8 Clasificación del contenido confidencial Clasificación en uso s Creación de una definición de aplicaciones en la página 96 Las definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades como el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana. Creación de una definición de aplicaciones en la lista de aplicaciones empresariales en la página 97 Las definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades como el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana. Creación de una definición de aplicaciones web en la página 97 Las definiciones de aplicaciones web se usan para crear reglas de protección y marcado para archivos guardados en los navegadores, en función de la dirección URL examinada. Creación de una definición de aplicaciones Las definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades como el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana. Utilice esta tarea para crear una definición de aplicaciones directamente. Además, puede crear una definición de aplicaciones en la lista de aplicaciones empresariales. Las definiciones de aplicaciones sustituyen a los grupos de aplicaciones usados en versiones anteriores de McAfee DLP Endpoint. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Definiciones de aplicaciones. Las definiciones disponibles aparecerán en el panel de la derecha. 2 En la ventana Definiciones de aplicaciones, haga clic con el botón derecho del ratón y seleccione Nuevo Definición de la aplicación. Aparecerá el icono de la nueva definición de aplicaciones. 3 Asigne un nombre a la nueva definición de aplicaciones y haga doble clic en el icono. Aparecerá la ventana de edición. 4 Escriba una descripción (opcional). 5 Seleccione los parámetros. Al seleccionar cada uno de los parámetros, aparecerá la ventana de edición. 6 Haga clic en Nuevo y especifique un valor y una descripción opcional. Algunos parámetros permiten la coincidencia parcial. Seleccione la opción que desee utilizar. Si selecciona la coincidencia parcial, el valor especificado coincide como subcadena. 7 Haga clic en Nuevo para agregar más valores. Una vez que haya terminado, haga clic en Aceptar para cerrar la ventana de edición de parámetros. 96 McAfee Data Loss Prevention Endpoint Guía del producto

97 Clasificación del contenido confidencial Clasificación en uso 8 8 Una vez que haya terminado de agregar parámetros, haga clic en Aceptar para guardar la definición editada. 9 De forma predeterminada, las nuevas definiciones de aplicaciones se crean con la estrategia Editor. Para cambiar la estrategia, haga clic con el botón derecho del ratón en el nombre de la definición y seleccione Estrategia de proceso. Dado que la estrategia elegida afecta al nivel de observación del sistema, puede afectar considerablemente al rendimiento. Creación de una definición de aplicaciones en la lista de aplicaciones empresariales Las definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades como el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana. Utilice esta tarea para crear una definición de aplicaciones de la lista de aplicaciones empresariales. También es posible crear definiciones de aplicaciones directamente. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Aplicaciones, seleccione Lista de aplicaciones empresariales. La lista de aplicaciones disponibles aparecerá en el panel de la derecha. 2 Haga clic con el botón derecho del ratón en una aplicación y seleccione Crear definición de la aplicación. La ventana de edición aparecerá con varios parámetros seleccionados, según la información disponible. Puede modificar la definición ahora o tras su creación. Además, es posible agregar varias aplicaciones a una definición. Selecciónelas mediante las reglas de selección habituales (Mayús + clic y Ctrl + clic) antes de hacer clic con el botón derecho del ratón. Si ya existen definiciones de aplicaciones que incluyen la aplicación seleccionada, se activará la opción Ir a. Al hacer clic en la opción Ir a se abre Definiciones de aplicaciones en el panel principal y se selecciona la aplicación. 3 Escriba una descripción (opcional). 4 Haga clic en Aceptar. En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Definiciones de aplicaciones para ver la nueva definición. 5 De forma predeterminada, las nuevas definiciones de aplicaciones se crean con la estrategia Editor. Para cambiar la estrategia, haga clic con el botón derecho del ratón en el nombre de la definición y seleccione Estrategia de proceso. Dado que la estrategia elegida afecta al nivel de observación del sistema, puede afectar considerablemente al rendimiento. Creación de una definición de aplicaciones web Las definiciones de aplicaciones web se usan para crear reglas de protección y marcado para archivos guardados en los navegadores, en función de la dirección URL examinada. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Definiciones de aplicaciones. Las definiciones disponibles aparecerán en el panel de la derecha. McAfee Data Loss Prevention Endpoint Guía del producto 97

98 8 Clasificación del contenido confidencial Clasificación en uso 2 En la ventana Definiciones de aplicaciones, haga clic con el botón derecho del ratón y seleccione Nuevo Definición de la aplicación Web. Aparecerá el icono de la nueva definición de aplicaciones web. 3 Asigne un nombre a la nueva definición de aplicaciones web y haga doble clic en el icono. Aparecerá la ventana de edición. La ventana contiene un parámetro: Dirección URL del navegador. 4 Escriba una descripción (opcional). 5 Seleccione el parámetro de la dirección URL del navegador para abrir la ventana de edición. 6 Haga clic en Nuevo y especifique un valor y una descripción opcional. Seleccione la coincidencia parcial si desea que el valor especificado se utilice como subcadena. 7 Haga clic en Nuevo para agregar más valores de URL. Una vez que haya terminado, haga clic en Aceptar para cerrar la ventana de edición de parámetros. 8 Haga clic en Aceptar para guardar la definición editada. Adición y eliminación de aplicaciones Utilice estas tareas para agregar o quitar aplicaciones de la Lista de aplicaciones empresariales. s Importación manual de una aplicación en la página 98 La Lista de aplicaciones de la empresa es una lista completa de las aplicaciones cuyos datos desea controlar. Importación de nuevas aplicaciones mediante un análisis en la página 99 La lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos se desea controlar. Eliminación de aplicaciones de la lista en la página 99 La lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos se desea controlar. Importación manual de una aplicación La Lista de aplicaciones de la empresa es una lista completa de las aplicaciones cuyos datos desea controlar. 1 En la ventana Lista de aplicaciones empresariales, haga clic con el botón derecho y seleccione Agregar. Aparecerá la ventana Agregar ejecutable. 2 Haga clic en Examinar y seleccione el archivo.exe de la aplicación. 3 Seleccione una aplicación y haga clic en Abrir. Aparecen los detalles de la aplicación. 4 Haga clic en Agregar para importar la aplicación a la lista. Para agregar una aplicación, también puede seleccionar el ejecutable y arrastrarlo con el ratón a la ventana Lista de aplicaciones de la empresa. 98 McAfee Data Loss Prevention Endpoint Guía del producto

99 Clasificación del contenido confidencial Clasificación en uso 8 Importación de nuevas aplicaciones mediante un análisis La lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos se desea controlar. Puede agregar grupos de aplicaciones a la Lista de aplicaciones de la empresa desde unidades o carpetas concretas. Debe utilizar la opción Fusionar. 1 En la ventana Lista de aplicaciones empresariales, haga clic con el botón derecho y seleccione Buscar aplicaciones. Aparecerá la ventana Buscar aplicaciones. 2 Haga clic en el botón Inicio y seleccione las unidades y las carpetas donde desee buscar aplicaciones. Aparecerán todas las aplicaciones disponibles. 3 Seleccione la acción correspondiente en la lista: El botón Borrar elimina la lista actual. El botón Fusionar agrega las aplicaciones en la Lista de aplicaciones de la empresa. 4 Cierre la ventana Buscar aplicaciones. Las aplicaciones fusionadas aparecen en la Lista de aplicaciones de la empresa. Eliminación de aplicaciones de la lista La lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos se desea controlar. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Aplicaciones, seleccione Lista de aplicaciones empresariales. Las aplicaciones disponibles aparecen en el panel derecho. 2 Haga clic con el botón derecho del ratón en el archivo ejecutable principal (.exe) de la aplicación y seleccione Eliminar. 3 Haga clic en Sí para confirmar la eliminación. Se elimina la aplicación completa, es decir, el archivo ejecutable y todos los archivos asociados. No se puede eliminar una aplicación si está incluida en una definición de aplicaciones. Haga clic con el botón derecho del ratón y seleccione Definiciones de aplicaciones Ir a para ver si la aplicación está incluida en alguna definición antes de eliminarla. Definición de tipos de archivos Las definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de protección a determinados tipos de archivo. El software incluye una lista de extensiones de archivo predeterminadas que se utilizan en las reglas de marcado y de protección. Es posible agregar manualmente extensiones de archivo en función del entorno. McAfee Data Loss Prevention Endpoint Guía del producto 99

100 8 Clasificación del contenido confidencial Clasificación en uso s Creación de extensiones de archivos en la página 100 Las definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de protección a determinados tipos de archivo. Creación de grupos de extensiones de archivos en la página 100 Las definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de protección a determinados tipos de archivo. Los grupos de correo electrónico simplifican las reglas a la vez que mantienen la granularidad al combinar diversas definiciones de extensiones en un grupo. Creación de extensiones de archivos Las definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de protección a determinados tipos de archivo. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Extensiones de archivos. Las extensiones de archivos disponibles aparecerán en el panel de la derecha. 2 En la ventana Extensiones de archivos, haga clic con el botón derecho y seleccione Nuevo Extensión de archivo. Aparecerá el icono de la nueva Extensión de archivo. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 Escriba el nombre de la nueva extensión de archivo y haga doble clic en el icono. Aparecerá la ventana de edición. 5 En el cuadro de texto Extensión, escriba la extensión precedida por un punto; por ejemplo,.gif. 6 Introduzca una descripción para la extensión de archivo (opcional). 7 Haga clic en Aceptar. Creación de grupos de extensiones de archivos Las definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de protección a determinados tipos de archivo. Los grupos de correo electrónico simplifican las reglas a la vez que mantienen la granularidad al combinar diversas definiciones de extensiones en un grupo. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Extensiones de archivos. Los grupos de extensiones de archivos disponibles aparecerán en el panel de la derecha. 100 McAfee Data Loss Prevention Endpoint Guía del producto

101 Clasificación del contenido confidencial Reglas de clasificación 8 2 Haga clic en Nuevo Grupo de extensiones de archivos en la barra de herramientas de la consola de directivas de McAfee DLP Endpoint o tras hacer clic con el botón derecho del ratón en la ventana Extensiones de archivos. Aparecerá el icono del nuevo Grupo de extensiones de archivos. 3 Haga doble clic en el icono. Aparecerá la ventana de edición. 4 Especifique el nombre del grupo de extensiones de archivos. 5 Agregue una descripción para este grupo (opcional). 6 Seleccione las extensiones de archivos de la lista de extensiones disponibles. 7 Haga clic en Aceptar. Reglas de clasificación Las reglas de clasificación asignan categorías de contenido a las definiciones de repositorio de documentos registrados o archivos. Las reglas se pueden filtrar por patrones de texto y diccionarios o se pueden aplicar a partes específicas de los documentos (encabezado, pie de página y cuerpo). Contenido Vinculación de categorías a contenido mediante reglas de clasificación Creación y definición de reglas de clasificación Vinculación de categorías a contenido mediante reglas de clasificación Las reglas de clasificación asocian los archivos y los datos a las categorías de contenido apropiadas. Categorías de contenido Las definiciones de categoría de contenido se crean en el panel de definiciones Marcas y categorías. Las categorías se pueden agrupar para simplificar la creación de reglas. Una definición de categoría de contenido está formada por un nombre apropiado, una descripción opcional y un GUID asignado por el sistema. Reglas de clasificación del contenido Las reglas de clasificación del contenido asocian definiciones de diccionario y patrón de texto con categorías de contenido. Cuando estas categorías se agregan a las reglas de protección, se supervisa o se bloquea el texto determinado de ese contenido. Las reglas pueden contener cualquier combinación de patrones de texto y de diccionarios. En el caso de archivos de Microsoft Word, puede especificar también en qué lugar del documento (encabezado/cuerpo/pie de página) se encuentra el contenido especificado. Extractor de texto El extractor de texto analiza el contenido cuando se abren o se copian archivos y los compara con patrones de texto y definiciones de diccionarios en las reglas de clasificación. Cuando se produce una coincidencia, se aplica una categoría de contenido adecuada. McAfee Data Loss Prevention Endpoint Guía del producto 101

102 8 Clasificación del contenido confidencial Reglas de clasificación El extractor de texto puede ejecutar varios procesos, de acuerdo a la cantidad de núcleos del procesador: con un procesador de un solo núcleo solo se ejecuta un proceso; los procesadores de doble núcleo ejecutan hasta dos procesos, y los procesadores de varios núcleos ejecutan hasta tres procesos simultáneos. Si varios usuarios inician sesión, cada usuario dispone de su propio conjunto de procesos, de modo que el número de extractores de texto depende del número de núcleos y del número de sesiones de usuario. Los diversos procesos se pueden observar en el Administrador de tareas de Windows. El uso de memoria por parte del extractor de texto se puede configurar en la página Configuración de los agentes Configuración avanzada. Si se supera el máximo de memoria, el extractor de texto se reinicia. El valor predeterminado es 75 MB. Esta opción de configuración está disponible solo para los clientes de la versión 9.2 Parche 1 y superiores. El software McAfee DLP Endpoint es compatible con caracteres acentuados. Cuando un archivo de texto ASCII contiene una mezcla de caracteres acentuados, como los que existen en francés y español, además de otros caracteres latinos estándar, es posible que el extractor de texto no identifique correctamente el conjunto de caracteres. Esto no es un defecto, sino un problema conocido de todos los programas de extracción de texto. En estos casos, no existe un método o una técnica conocida para identificar la página de código ANSI. Cuando el extractor de texto no puede identificar la página de código, no se reconocen los patrones de texto y las firmas de etiquetas, no puede clasificarse correctamente el documento y no puede tomarse la acción de bloqueo o supervisión correcta. Para resolver este problema, cuando no puede determinarse la página de código, el software del cliente de McAfee DLP Endpoint usa una página de código de respaldo. El respaldo se configura en la ficha Configuración de los agentes Seguimiento de archivos, y es el idioma predeterminado del equipo o un idioma diferente configurado por el administrador. Reglas de clasificación de documentos registrados Las reglas de clasificación de documentos registrados asocian todo el contenido que coincide con una definición específica del repositorio de documentos registrados con una categoría de contenido. En cuanto a las reglas de clasificación del contenido, cuando se agregan categorías a las reglas de protección, se supervisa o se bloquea el texto determinado de ese contenido. Creación y definición de reglas de clasificación Las reglas de clasificación asocian el contenido con las categorías de contenido apropiadas. Existen dos tipos: reglas de contenido y reglas de documentos registrados. Utilice estas tareas para crear y definir reglas de clasificación. s Creación y definición de una regla de clasificación de contenido en la página 102 Las reglas de clasificación de contenido vinculan los patrones de texto o los diccionarios con las clasificaciones de contenido. En versiones anteriores de McAfee DLP Endpoint, se conocían como reglas de marcado basadas en contenido. Creación y definición de una regla de clasificación de documentos registrados en la página 103 Las reglas de clasificación de documentos registrados aplican definiciones del repositorio y categorías de contenido a los archivos. Creación y definición de una regla de clasificación de contenido Las reglas de clasificación de contenido vinculan los patrones de texto o los diccionarios con las clasificaciones de contenido. En versiones anteriores de McAfee DLP Endpoint, se conocían como reglas de marcado basadas en contenido. 102 McAfee Data Loss Prevention Endpoint Guía del producto

103 Clasificación del contenido confidencial Reglas de clasificación 8 Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de clasificación. Las reglas de clasificación disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de clasificación, haga clic con el botón derecho y seleccione Nuevo Regla de clasificación de contenido. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 4 Seleccione una de las opciones de patrón de texto, ALGUNO (O lógico) o TODO (Y lógico) y, a continuación, seleccione uno o más patrones de texto o grupos de patrones de texto de la lista disponible. Haga clic en la opción Agregar elemento para crear un nuevo patrón de texto, o bien haga clic en Agregar grupo para crear un nuevo grupo de patrones de texto. Haga clic en Editar para modificar un grupo o un patrón de texto existentes. Haga clic en Siguiente. 2 de 4 Seleccione una de las opciones de diccionario. 3 de 4 (opcional) Seleccione la parte del documento donde tendrá lugar la comparación con el patrón de texto o el diccionario. Esta opción se ha diseñado principalmente para su uso con archivos de Microsoft Word, pero se aplica a cualquier tipo de archivo que tenga un encabezado/pie de página. 4 de 4 Seleccione una categoría de contenido o cree una nueva haciendo clic en Nuevo. Haga clic en Finalizar. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de clasificación y seleccione Activar. Creación y definición de una regla de clasificación de documentos registrados Las reglas de clasificación de documentos registrados aplican definiciones del repositorio y categorías de contenido a los archivos. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de clasificación. Las reglas de clasificación disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de clasificación, haga clic con el botón derecho y seleccione Nuevo Regla de clasificación de documentos registrados. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. McAfee Data Loss Prevention Endpoint Guía del producto 103

104 8 Clasificación del contenido confidencial Reglas de clasificación 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 2 Seleccione una o varias definiciones o grupos de repositorios de documentos registrados de la lista disponible. Haga clic en Agregar elemento para crear una nueva definición de repositorio de documentos registrados o en Agregar grupo para crear un nuevo grupo de repositorios de documentos registrados. Haga clic en Siguiente. 2 de 2 Seleccione una categoría de contenido o cree una nueva haciendo clic en Nuevo. Haga clic en Finalizar. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de clasificación y seleccione Activar. s Indexación de repositorios de documentos registrados en la página 104 La indexación de repositorios de documentos registrados se planifica mediante las tareas de servidor de epolicy Orchestrator. Despliegue de un paquete de documentos registrados en los equipos cliente en la página 104 Los paquetes del repositorio de documentos registrados indexados se distribuyen entre los equipos gestionados como si se tratara de un despliegue de productos. Indexación de repositorios de documentos registrados La indexación de repositorios de documentos registrados se planifica mediante las tareas de servidor de epolicy Orchestrator. Antes de empezar Cree una definición de repositorio de documentos registrados. A continuación, cree y active una regla de clasificación de documentos registrados y una regla de protección mediante la categoría de contenido especificada en la regla de clasificación. Aplique la directiva a epolicy Orchestrator. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En epolicy Orchestrator seleccione Menú Automatización Tareas servidor. 2 Haga clic en Nueva tarea. 3 En el Generador de tareas servidor, asigne un nombre a la nueva tarea y haga clic en Siguiente. 4 En la página Acciones, seleccione Analizador de documentos registrados de DLP de la lista desplegable. Haga clic en Siguiente para planificar el análisis. Revise la tarea y haga clic en Guardar. La tarea aparecerá entonces en la lista Tareas servidor. Selecciónela y haga clic en Ejecutar para ejecutar el análisis inmediatamente. Despliegue de un paquete de documentos registrados en los equipos cliente Los paquetes del repositorio de documentos registrados indexados se distribuyen entre los equipos gestionados como si se tratara de un despliegue de productos. Antes de empezar El paquete de documentos registrados debe estar indexado en epolicy Orchestrator. 104 McAfee Data Loss Prevention Endpoint Guía del producto

105 Clasificación del contenido confidencial Reglas de clasificación 8 Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En epolicy Orchestrator seleccione Menú Árbol de sistemas. 2 En el árbol de sistemas, seleccione el nivel en el que se vaya a desplegar el paquete de documentos registrados. Al definir el nivel en Mi organización, se despliega en todas las estaciones de trabajo gestionadas por epolicy Orchestrator. Si selecciona un nivel inferior a Mi organización, todas las estaciones de trabajo disponibles aparecerán en el panel derecho. Asimismo, puede desplegar el paquete de documentos registrados en estaciones de trabajo individuales. 3 Abra el asistente de Generador de tareas cliente: En epolicy Orchestrator 4.5, haga clic en la ficha Tareas cliente. En Acciones, seleccione Nueva tarea. En epolicy Orchestrator 4.6 y 5.0, haga clic en la ficha Tareas cliente asignadas. En Acciones, seleccione Nueva asignación de tarea cliente. 4 Seleccione el tipo de despliegue: En epolicy Orchestrator 4.5, en el campo Tipo, seleccione Despliegues de producto. Haga clic en Siguiente. En epolicy Orchestrator 4.6 y 5.0, en el campo Producto seleccione McAfee Agent. En el campo Tipo de tarea, seleccione Despliegue de productos. Haga clic en Crear nueva tarea. 5 En el campo Nombre, escriba un nombre apropiado; por ejemplo, Instalar documentos registrados de DLP. Escriba una descripción (opcional). 6 En el campo Productos y componentes, seleccione Documentos registrados de DLP o Documentos registrados de DLP Deje el campo Acción en Instalar. Seleccione la versión de los documentos registrados en función de los clientes de McAfee DLP Endpoint en los que se realice el despliegue. Los paquetes de documentos registrados no son compatibles entre versiones, por lo tanto, si tiene dos versiones de cliente deberá hacer dos paquetes distintos. En epolicy Orchestrator 4.5, haga clic en Siguiente. En epolicy Orchestrator 4.6 y 5.0, haga clic en Guardar. 7 Seleccione un Tipo de planificación adecuado y defina las Opciones, la fecha y los parámetros de Planificación. Haga clic en Siguiente. 8 Revise el resumen de tareas. Cuando considere que todo está correcto, haga clic en Guardar. McAfee Data Loss Prevention Endpoint Guía del producto 105

106 8 Clasificación del contenido confidencial Reglas de clasificación 106 McAfee Data Loss Prevention Endpoint Guía del producto

107 9 Seguimiento 9 de contenido con marcas y clasificaciones El software McAfee DLP Endpoint lleva a cabo un seguimiento de la información confidencial y la controla mediante dos mecanismos similares: marcas y categorías de contenido. Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas. Las reglas de clasificación asocian los archivos y los datos a categorías de contenido. En ambos casos, se etiqueta la información confidencial y dicha etiqueta permanece con el contenido incluso si se copia en otro documento o se guarda con un formato diferente. Contenido Utilización de marcas y categorías de contenido para clasificar contenido Vinculación de marcas al contenido mediante reglas de marcado Marcas manuales Utilización de marcas y categorías de contenido para clasificar contenido Las marcas ofrecen un método para clasificar el contenido y permiten aprovechar esa clasificación en otras ocasiones. Las reglas de marcado asignan marcas al contenido de determinadas aplicaciones o ubicaciones. Una vez asignada una marca, ésta permanece con el contenido cuando se cambia a otra ubicación o se copia, o bien cuando se incluye o adjunta a otros archivos o tipos de archivos. Categorías de contenido Las categorías de contenido, llamadas marcas de contenido en versiones anteriores de McAfee DLP Endpoint, son otra forma de clasificar contenido. Las categorías de contenido se utilizan con las reglas de clasificación para clasificar contenido y grupos de documentos registrados. También se pueden especificar directamente en la mayoría de reglas de protección. En McAfee Device Control sólo hay disponibles categorías de contenido, no marcas. Para proteger los datos, siga este proceso: 1 Clasifique la información que debe protegerse. 2 Cree marcas o categorías de contenido para cada clasificación de datos. McAfee Data Loss Prevention Endpoint Guía del producto 107

108 9 Seguimiento de contenido con marcas y clasificaciones Utilización de marcas y categorías de contenido para clasificar contenido 3 Cree reglas de marcado y reglas de clasificación que asocien información confidencial con las marcas y categorías de contenido apropiadas. 4 Defina las reglas de protección que incluyen las marcas y categorías de contenido que bloquean, supervisan o cifran la información confidencial que los usuarios envían a dispositivos portátiles o a determinadas ubicaciones de red. Catálogos de categorías Los catálogos de categorías son conjuntos de categorías de contenido y reglas de clasificación predefinidas asociadas que pueden usarse como bloques constitutivos preestablecidos para la confección de directivas. Cuando selecciona de un catálogo una categoría de contenido, automáticamente añade a la directiva la categoría de contenido y las reglas de clasificación relacionadas. Si ya ha creado una categoría con ese nombre, sólo se agregan las reglas. Creación de marcas, categorías de contenido, catálogos y grupos Utilice estas tareas para crear marcas, categorías de contenido y grupos de categorías y marcas que posteriormente se adjuntan a los archivos mediante las reglas de marcado o de clasificación. O bien cree catálogos de contenido, los cuales agregan de forma simultánea una categoría de contenido y las reglas de clasificación relacionadas. Decida cómo va a distinguir los distintos tipos de contenido y cree una marca o una categoría de contenido para cada tipo. s Creación de una marca en la página 108 Las marcas ofrecen un método para clasificar el contenido y permiten aprovechar esa clasificación en otras ocasiones. Creación de una categoría de contenido en la página 109 Una definición de categoría de contenido está formada por un nombre apropiado, una descripción opcional y un GUID asignado por el sistema. Importación de un catálogo de categorías en la página 109 Los catálogos de categorías son conjuntos de categorías de contenido y reglas de clasificación predefinidas asociadas. Una vez que se importa un catálogo de categorías en la directiva, las reglas de clasificación pueden utilizarse tal cual o modificarse según sea necesario. Si ya existe una categoría de contenido con el mismo nombre, se importarán sólo las reglas de clasificación. Creación de un grupo de categorías y marcas en la página 110 Los grupos de categorías y marcas se utilizan para incluir varias marcas y categorías de contenido en los archivos de forma más eficaz. Creación de una marca Las marcas ofrecen un método para clasificar el contenido y permiten aprovechar esa clasificación en otras ocasiones. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Marcas y categorías. Las marcas, categorías de contenido y grupos disponibles aparecerán en el panel derecho. 108 McAfee Data Loss Prevention Endpoint Guía del producto

109 Seguimiento de contenido con marcas y clasificaciones Utilización de marcas y categorías de contenido para clasificar contenido 9 2 En la ventana Marcas y categorías, haga clic con el botón derecho del ratón y seleccione Nuevo Marca. El icono de la nueva marca aparecerá con el nombre seleccionado. 3 Introduzca un nombre y, a continuación, haga doble clic en el icono. 4 Agregue una descripción (opcional). 5 Haga clic en Aceptar. También se puede crear una nueva marca mientras se crea una regla de marcado o de protección. Creación de una categoría de contenido Una definición de categoría de contenido está formada por un nombre apropiado, una descripción opcional y un GUID asignado por el sistema. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Marcas y categorías. Las marcas, categorías de contenido y grupos disponibles aparecen en el panel derecho. 2 En la ventana Marcas y categorías, haga clic con el botón derecho del ratón y seleccione Nuevo Categoría de contenido. El icono de la nueva categoría de contenido aparece con el nombre seleccionado. 3 Introduzca un nombre y, a continuación, haga doble clic en el icono. 4 Agregue una descripción (opcional). 5 Haga clic en Aceptar. También se puede crear una nueva categoría de contenido mientras se crea una regla de clasificación o de protección. Importación de un catálogo de categorías Los catálogos de categorías son conjuntos de categorías de contenido y reglas de clasificación predefinidas asociadas. Una vez que se importa un catálogo de categorías en la directiva, las reglas de clasificación pueden utilizarse tal cual o modificarse según sea necesario. Si ya existe una categoría de contenido con el mismo nombre, se importarán sólo las reglas de clasificación. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Marcas y categorías. Las marcas, categorías de contenido y grupos disponibles aparecerán en el panel derecho. 2 En la ventana Marcas y categorías, haga clic con el botón derecho y seleccione Importar categorías. Tras unos segundos, se abrirá la ventana Catálogo de categorías. 3 Seleccione las categorías que desee importar y haga clic en Aceptar. Se importarán las categorías y las reglas de clasificación relacionadas. McAfee Data Loss Prevention Endpoint Guía del producto 109

110 9 Seguimiento de contenido con marcas y clasificaciones Vinculación de marcas al contenido mediante reglas de marcado Creación de un grupo de categorías y marcas Los grupos de categorías y marcas se utilizan para incluir varias marcas y categorías de contenido en los archivos de forma más eficaz. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones, seleccione Marcas y categorías. Las marcas, categorías de contenido y grupos disponibles aparecerán en el panel derecho. 2 En la ventana Marcas y categorías, haga clic con el botón derecho del ratón y seleccione Nuevo Grupo de categorías y marcas. Aparecerá el icono del nuevo grupo de categorías y marcas. 3 Asigne un nombre al nuevo grupo y haga doble clic en el icono. Aparecerá la ventana de edición. 4 Agregue una descripción (opcional). 5 Seleccione las categorías de contenido y marcas para el grupo. 6 Haga clic en Aceptar. Cuando se utiliza un grupo de marcas de reglas de protección, todas las marcas del grupo seleccionado deben estar disponibles en el contenido específico de la regla de protección que se va a activar. Vinculación de marcas al contenido mediante reglas de marcado Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas. Marcas Las definiciones de las marcas se crean en el panel de definiciones Marcas y categorías. Las marcas se pueden agrupar para simplificar la creación de reglas. Una definición de marca está formada por un nombre apropiado, una descripción opcional y un GUID asignado por el sistema. Reglas de marcado Unas sencillas reglas de marcado basadas en aplicaciones supervisan o bloquean todos los archivos creados por la aplicación o las aplicaciones designadas en una definición de aplicaciones. Asimismo, las reglas de marcado basadas en la ubicación supervisan o bloquean todos los archivos de la ubicación especificada. Si se agregan condiciones a una regla sencilla, ésta se limita mediante operadores Y lógicos. Las extensiones de archivo y los tipos de archivos están predefinidos en el sistema y el administrador no puede modificarlos. Al agregar un tipo de archivo o una extensión determinados a una regla de marcado basada en la aplicación o en la ubicación, sólo se aplica una marca a los archivos creados por una aplicación específica o en una ubicación determinada y con el tipo de archivo o la extensión seleccionada. 110 McAfee Data Loss Prevention Endpoint Guía del producto

111 Seguimiento de contenido con marcas y clasificaciones Vinculación de marcas al contenido mediante reglas de marcado 9 Si se utiliza la restricción de patrón de texto o diccionario en reglas de marcado basadas en la aplicación o en la ubicación, o creadas en una aplicación específica, y que además contienen un patrón o umbral de diccionario concreto, se aplican marcas únicamente a los archivos de una ubicación determinada. Esta opción le permite combinar funciones de categorías de contenido con el marcado. Pueden seleccionarse varios patrones de texto o diccionarios, especificados como ALGUNO de los siguientes o TODOS los siguientes. En el caso de archivos de Microsoft Word, puede especificar también en qué lugar del documento (encabezado/cuerpo/pie de página) se encuentra el contenido especificado. Una vez que se ha adjuntado una marca a un archivo, ésta permanecerá con el contenido, aunque éste se copie en un archivo de otro tipo o situado en otra ubicación. Una marca puede usarse en más de una regla de marcado. Por ejemplo, una regla de marcado basada en la aplicación puede aplicar una marca denominada Información financiera a determinados tipos de archivo, sin tener en cuenta su ubicación. Una regla de marcado basada en la ubicación puede aplicar dicha marca Información financiera a los archivos de una ubicación concreta sin tener en cuenta su tipo. Creación y definición de reglas de marcado La creación de reglas de marcado se realiza en tres pasos. En primer lugar, se debe crear una regla de marcado; a continuación, se debe definir esta regla y, por último, activarla antes de que se pueda utilizar. Utilice estas tareas para crear y definir reglas de marcado. s Creación y definición de una regla de marcado basada en aplicaciones en la página 111 Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas. Creación y definición de una regla de marcado basada en la ubicación en la página 112 Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas. Creación y definición de una regla de marcado basada en aplicaciones Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de marcado. Las reglas de marcado disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de marcado, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de marcado basada en aplicaciones. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. McAfee Data Loss Prevention Endpoint Guía del producto 111

112 9 Seguimiento de contenido con marcas y clasificaciones Vinculación de marcas al contenido mediante reglas de marcado 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 7 Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de aplicaciones. Haga clic en Siguiente. 2 de 7 (opcional) 3 de 7 (opcional) 4 de 7 (opcional) 5 de 7 (opcional) 6 de 7 (opcional) Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionar tipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones de archivos de la lista disponible. Haga clic en Siguiente. Seleccione una de las opciones de patrón de texto, ALGUNO (O lógico) o TODO (Y lógico) y, a continuación, seleccione uno o más patrones de texto o grupos de patrones de texto de la lista disponible. Haga clic en la opción Agregar elemento para crear un nuevo patrón de texto, o bien haga clic en Agregar grupo para crear un nuevo grupo de patrones de texto. Haga clic en Editar para modificar un grupo o un patrón de texto existentes. Haga clic en Siguiente. Seleccione una de las opciones de diccionario, ALGUNO (O lógico) o TODO (Y lógico) y, a continuación, seleccione uno o más diccionarios. Haga clic en Agregar para crear un diccionario nuevo o en Editar para modificar un diccionario existente. Haga clic en Siguiente. Seleccione la parte del documento donde tendrá lugar la comparación con el patrón de texto o el diccionario. Esta opción está diseñada para su uso con archivos de Microsoft Word. 7 de 7 Seleccione una marca disponible para esta regla o cree una nueva haciendo clic en Nuevo. Haga clic en Finalizar. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. Al crear una regla de marcado de definición de aplicaciones con varias aplicaciones, todas las aplicaciones incluidas se agregan en una línea de la regla con operadores O lógicos y todas las aplicaciones excluidas se agregan a una segunda línea con operadores O lógicos. Las dos líneas son operadores Y lógicos. Por ejemplo:...definición es "Aplicaciones de cliente de correo electrónico" O "Aplicaciones de Microsoft Office" Y la definición no es "Aplicaciones de grabador multimedia" Si no incluye una definición de aplicaciones como mínimo, la regla se aplica a todas las aplicaciones que no se excluyen de forma específica. Creación y definición de una regla de marcado basada en la ubicación Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de marcado. Las reglas de marcado disponibles aparecerán en el panel de la derecha. 112 McAfee Data Loss Prevention Endpoint Guía del producto

113 Seguimiento de contenido con marcas y clasificaciones Marcas manuales 9 2 En el panel Reglas de marcado, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de marcado basada en ubicación. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 7 Seleccione una o más ubicaciones de la lista disponible. Si selecciona un Servidor de archivos de red, se abrirá el cuadro de diálogo Configurar selección. Introduzca una nueva ubicación de red o haga clic en Explorar y ubique el servidor. Si lo prefiere, puede seleccionar Cualquier servidor de archivos de red. Haga clic en Aceptar. Cuando haya terminado la selección, haga clic en Siguiente. 2 de 7 (opcional) 3 de 7 (opcional) 4 de 7 (opcional) 5 de 7 (opcional) 6 de 7 (opcional) Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionar tipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones de archivos de la lista disponible. Haga clic en Siguiente. Seleccione una de las opciones de patrón de texto, ALGUNO (O lógico) o TODO (Y lógico) y, a continuación, seleccione uno o más patrones de texto de la lista disponible. Haga clic en la opción Agregar elemento para crear un nuevo patrón de texto, o bien haga clic en Agregar grupo para crear un nuevo grupo de patrones de texto. Haga clic en Editar para modificar un grupo o un patrón de texto existentes. Haga clic en Siguiente. Seleccione una de las opciones de diccionario, ALGUNO (O lógico) o TODO (Y lógico) y, a continuación, seleccione uno o más diccionarios. Haga clic en Agregar para crear un diccionario nuevo o en Editar para modificar un diccionario existente. Haga clic en Siguiente. Seleccione la parte del documento donde tendrá lugar la comparación con el patrón de texto o el diccionario. Esta opción está diseñada para su uso con archivos de Microsoft Word. 7 de 7 Seleccione una marca disponible para esta regla o cree una nueva haciendo clic en Nuevo. Haga clic en Finalizar. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. Marcas manuales La opción Aplicación manual de marcas permite a los usuarios autorizados agregar o eliminar marcas de los archivos sin utilizar reglas de marcado. A esta opción se accede desde el equipo gestionado. La aplicación manual de marcas ofrece la posibilidad de mantener la directiva de clasificación de su empresa incluso en los casos especiales de información confidencial o exclusiva que el sistema no marca de forma automática. Para aplicar o eliminar marcas manualmente, un usuario debe estar autorizado. Esta autorización se establece en la ficha Seguridad de la Configuración de los agentes mediante Microsoft Active Directory u OpenLDAP. Las marcas que se aplican a los archivos de forma manual afectan a las opciones de transmisión del contenido de forma inmediata, según las reglas de protección correspondientes. McAfee Data Loss Prevention Endpoint Guía del producto 113

114 9 Seguimiento de contenido con marcas y clasificaciones Marcas manuales Contenido Aplicación manual de marcas a los archivos Eliminación de marcas manuales del contenido Aplicación manual de marcas a los archivos Si es necesario, los usuarios autorizados pueden aplicar marcas a los archivos manualmente. Para utilizar la aplicación manual de marcas, los usuarios deben estar autorizados. El permiso para la aplicación manual de marcas se define en la consola de directivas de McAfee DLP Endpoint, en la ficha Configuración de los agentes Editar configuración global de los agentes Seguridad. 1 En un equipo gestionado, abra el Explorador de Windows. 2 Haga clic con el botón derecho en el archivo y seleccione Aplicación manual de marcas. Aparecerá la ventana Aplicación manual de marcas con las marcas disponibles. 3 Seleccione las marcas apropiadas para el archivo. 4 Haga clic en Aceptar. Eliminación de marcas manuales del contenido Las marcas aplicadas manualmente deben ser eliminadas manualmente. Para utilizar la aplicación manual de marcas, los usuarios deben estar autorizados. El permiso para la aplicación manual de marcas se define en la consola de directivas de McAfee DLP Endpoint, en la ficha Configuración de los agentes Editar configuración global de los agentes Seguridad, mediante Microsoft Active Directory u OpenLDAP. 1 En un equipo gestionado, abra el Explorador de Windows. 2 Haga clic con el botón derecho del ratón en el archivo con marcas que desee eliminar y seleccione Aplicación manual de marcas. Aparece la ventana Aplicación manual de marcas con todas las marcas asignadas. 3 Seleccione las marcas que desee eliminar de estos archivos. 4 Haga clic en Aceptar. Si se seleccionan varios archivos con diversas marcas asignadas, sólo se eliminarán las que estén asignadas a todos los archivos seleccionados. 114 McAfee Data Loss Prevention Endpoint Guía del producto

115 10 Aplicación de la protección de McAfee DLP McAfee DLP Endpoint protege el contenido de carácter confidencial mediante una combinación de reglas de dispositivos y de protección. Las reglas se aplican con directivas que se distribuyen entre los equipos gestionados. Contenido Protección de medios extraíbles Protección de archivos mediante la gestión de derechos Control del contenido de carácter confidencial con reglas de protección Limitación de reglas con grupos de asignación Protección de medios extraíbles El control del dispositivo es el modo de prevenir el uso no autorizado de dispositivos multimedia extraíbles para evitar la fuga de datos. El software McAfee Data Loss Prevention puede supervisar o bloquear los dispositivos, como smartphones, dispositivos de almacenamiento extraíbles, dispositivos Bluetooth, reproductores de MP3 o dispositivos Plug and Play, conectados a los equipos gestionados de la empresa, de modo que pueda supervisar y controlar su uso en la distribución de la información confidencial. En el software McAfee DLP Endpoint versión 9.3, esta protección se amplía con el fin de incluir los discos duros que no sean del sistema. Para muchas organizaciones, este nivel de prevención de fuga de datos es el objetivo principal. Este es el nivel de protección ofrecido por el software McAfee Device Control, y que es la implementación predeterminada del software McAfee DLP Endpoint al instalarlo por primera vez. El comportamiento del software McAfee Data Loss Prevention al bloquear la copia de archivos a los dispositivos extraíbles se ha optimizado en la versión 9.3. En las versiones anteriores, el análisis del archivo para las infracciones de directivas se llevaba a cabo simultáneamente con la función de copia de Windows. El archivo se copiaba y en caso de que se infringiera una directiva se eliminaba inmediatamente. Este mecanismo se usaba para optimizar el rendimiento, pero había una pequeña oportunidad para desconectar el dispositivo con el archivo "bloqueado" intacto. En la versión 9.3, la función de copia se interrumpe hasta que finaliza el análisis. Si tras tres segundos el archivo sigue analizándose, una ventana emergente informará al usuario de que el archivo se está analizando. Una segunda ventana emergente informará al usuario si el archivo está bloqueado o supervisado. La función se activa con la opción Controlador de copia de archivos en la ficha Configuración de los agentes Varios. Si la opcióncontrolador de copia de archivos está desactivada o si el archivo se creó en USB con una función de copia que no es de Windows, se aplica el mecanismo de bloqueo heredado. McAfee Device Control se construye en tres capas: McAfee Data Loss Prevention Endpoint Guía del producto 115

116 10 Aplicación de la protección de McAfee DLP Protección de medios extraíbles Clases de dispositivos: recopilaciones de dispositivos que tienen características parecidas y que se pueden gestionar de modo similar. Definiciones de dispositivos: para identificar y agrupar los dispositivos en función de las propiedades que tienen en común. Reglas de dispositivos: para controlar el comportamiento de los dispositivos. La clase de dispositivos es uno de los varios parámetros que se pueden especificar en la definición de un dispositivo. Una regla de dispositivos se compone de una lista de las definiciones de dispositivos incluidas o excluidas de la regla, y las acciones realizadas cuando se activa la regla mediante el envío de contenido desde los dispositivos con nombre o a ellos. Además, puede especificar usuarios o grupos de usuarios incluidos o excluidos de la regla. Categorización de dispositivos con clases de dispositivos Las clases de dispositivos asignan un nombre e identifican los dispositivos usados por el sistema. Cada clase de dispositivo se identifica con un nombre, una descripción (opcional) y uno o varios identificadores únicos globales (GUID). La Clase de dispositivos es una recopilación de dispositivos que tienen características parecidas y que se pueden gestionar de modo similar. Por ejemplo, "Intel PRO/1000 PL Network Connection" y "Dell wireless 1490 Dual Band WLAN Mini Card" son dos dispositivos que pertenecen a la clase de dispositivos Adaptador de red. Al instalar el software McAfee DLP Endpoint, encontrará una lista de clases de dispositivos integrados en Administración de dispositivos Clases de dispositivos. Los dispositivos se clasifican por estado: Gestionado: dispositivos Plug and Play o de almacenamiento extraíbles específicos, definidos por clase de dispositivos, que puede gestionar el software McAfee DLP Endpoint. No gestionado: clases de dispositivos no gestionadas por el software McAfee DLP Endpoint pero cuyo estado puede cambiar a Gestionado por el administrador del sistema. No gestionable: clases de dispositivos que el software McAfee DLP Endpoint no puede gestionar debido a que los intentos para gestionarlas pueden afectar al equipo gestionado, al mantenimiento del sistema o a su eficacia. No se pueden agregar nuevas clases de dispositivos a esta lista. El administrador del sistema no debe modificar la lista de clases de dispositivos como parte de las tareas rutinarias, ya que un uso inapropiado (por ejemplo, bloquear el controlador de disco duro del sistema gestionado) puede provocar un funcionamiento anormal del sistema o del sistema operativo. En lugar de editar un elemento existente para que se adapte a las necesidades de la regla de protección del dispositivo, agregue una nueva clase definida por el usuario a la lista. 116 McAfee Data Loss Prevention Endpoint Guía del producto

117 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 10 Caso práctico: cambio del estado de una clase de dispositivos Al solucionar los problemas relacionados con la clase de dispositivos, es posible que desee cambiar temporalmente el estado de una clase de dispositivos específica a "no gestionado". Para alternar el estado de una clase de dispositivos entre "gestionado" y "no gestionado", haga clic con el botón derecho del ratón en el icono de clase y seleccione la opción de cambio de estado adecuada. Definición de una clase de dispositivo Si en la lista predefinida no existe una clase de dispositivo adecuada o si no se crea automáticamente al instalar hardware nuevo, puede crearse una nueva clase de dispositivo en el software McAfee DLP Endpoint Administrador de directivas. s Obtención de un GUID en la página 117 Las definiciones de la clase de dispositivos requieren un nombre y uno o varios identificadores únicos globales (GUID). Creación de una nueva clase de dispositivos en la página 118 Las clases de dispositivos asignan un nombre e identifican los dispositivos usados por el sistema. Cada clase de dispositivo se identifica con un nombre, una descripción (opcional) y uno o varios identificadores únicos globales (GUID). Obtención de un GUID Las definiciones de la clase de dispositivos requieren un nombre y uno o varios identificadores únicos globales (GUID). Algunos dispositivos de hardware instalan su propia clase de dispositivos nueva. Para controlar el comportamiento de los dispositivos de hardware Plug and Play que definen su propia clase de dispositivos, primero debe agregar una nueva clase de dispositivos en el estado Gestionado en la lista Clases de dispositivos. La clase de dispositivos se define con dos propiedades: un nombre y un GUID. El nombre del nuevo dispositivo se muestra en el administrador de dispositivos, pero el GUID solo se muestra en el registro de Windows y no es fácil obtenerlo. Con el fin de facilitar la recuperación de los GUID y nombres de los nuevos dispositivos, el cliente de McAfee DLP Endpoint informa del evento Nueva clase de dispositivos encontradaal Administrador de incidentes de DLP cuando un dispositivo de hardware que no pertenece a una clase de dispositivos reconocida se conecta al equipo host. McAfee Data Loss Prevention Endpoint Guía del producto 117

118 10 Aplicación de la protección de McAfee DLP Protección de medios extraíbles Para ver las definiciones de las opciones, pulse F1. 1 En epolicy Orchestrator, abraadministrador de incidentes de DLP (Menú Protección de datos Administrador de incidentes de DLP). 2 Haga clic en Editar junto a la lista desplegable Filtro para editar los criterios de filtrado. 3 En la lista Propiedades disponibles, seleccione Tipo de evento. 4 Deje la lista desplegable Comparación con el valor predeterminado Igual a. En la lista desplegable Valores, seleccione Dispositivos: Nueva clase de dispositivos encontrada Figura 10-1 Configuración de los criterios de filtrado 5 Haga clic en Actualizar filtro. En la Lista de incidentes aparecen las nuevas clases de dispositivos encontradas en los equipos de endpoint. Para ver el nombre y el GUID de un dispositivo determinado, haga doble clic en el elemento para mostrar los detalles del incidente. Creación de una nueva clase de dispositivos Las clases de dispositivos asignan un nombre e identifican los dispositivos usados por el sistema. Cada clase de dispositivo se identifica con un nombre, una descripción (opcional) y uno o varios identificadores únicos globales (GUID). Antes de empezar Obtenga el identificador único global (GUID) del dispositivo antes de empezar la tarea. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de dispositivos, seleccione Clases de dispositivos. Los dispositivos disponibles aparecerán en el panel de la derecha. 2 Haga clic con el botón derecho del ratón en el panel Clases de dispositivos y seleccione Nuevo Clase de dispositivos. Aparece el icono de una nueva Clase de dispositivos (nombre predeterminado Clase de dispositivos) en la sección de clases de dispositivos no gestionados. 118 McAfee Data Loss Prevention Endpoint Guía del producto

119 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 10 3 Haga doble clic en el icono. Aparecerá el cuadro de diálogo de edición. 4 Escriba un nombre, una descripción (opcional) y el identificador único global (GUID) del dispositivo en los cuadros de texto correspondientes. Debe utilizar un GUID con formato correcto. El botón Aceptar no estará disponible hasta que se introduzca un GUID con el formato correcto. 5 Para cambiar el estado de la clase de dispositivos a Gestionada, active la casilla de verificación. 6 Haga clic en Aceptar. Control de dispositivos con definiciones de dispositivos Las definiciones de dispositivos actúan como criterios de filtrado para controlar los dispositivos, lo que ofrece la ventaja de utilizar dispositivos portátiles a la vez que se mantienen la directivas empresarial sobre el tratamiento de la información confidencial. Las definiciones integradas para McAfee Endpoint Encryption for Files and Folders y McAfee Endpoint Encryption for Removable Media facilitan el uso de estos productos. Las definiciones de dispositivos controlan los dispositivos específicos mediante la configuración de las propiedades del dispositivo como la clase de dispositivo, el ID de producto e ID de proveedor (ID prod./id prov.) o el código de clase USB. Los grupos de definiciones de dispositivos se pueden crear de un modo flexible y sencillo para conservar el nivel de seguridad necesario. Éstos combinan un conjunto distinto de propiedades para cada dispositivo que el sistema debe bloquear o supervisar. Las definiciones y los grupos de dispositivos están disponibles para tres tipos de dispositivos: Dispositivos Plug and Play: pueden agregarse al equipo gestionado sin necesidad de realizar configuraciones ni instalar DLL o controladores de forma manual. Los dispositivos Plug and Play incluyen la mayoría de los dispositivos de Microsoft Windows. Las definiciones de dispositivos Plug and Play permiten gestionar y controlar la mayoría de dispositivos disponibles, por ejemplo, Bluetooth, Wi Fi y PCMCIA, así como evitar la carga de dichos dispositivos por parte del sistema. Dispositivos de almacenamiento extraíbles: son dispositivos externos con un sistema de archivos que aparecen en el equipo gestionado como unidades. Dispositivos de disco duro fijo: unidades de disco fijas conectadas al equipo y que el sistema operativo no marca como almacenamiento extraíble. Cada tipo de definición de dispositivos se corresponde con un tipo de regla de dispositivos. Las definiciones y las reglas de dispositivos Plug and Play incluyen propiedades generales de los dispositivos. Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles e incluyen propiedades adicionales relacionadas con los dispositivos de almacenamiento extraíbles. Se recomienda utilizar las reglas y las definiciones de dispositivos de almacenamiento extraíbles para controlar los dispositivos que se pueden clasificar de cualquiera de las dos formas, como pueden ser los dispositivos de almacenamiento masivo USB. McAfee Data Loss Prevention Endpoint Guía del producto 119

120 10 Aplicación de la protección de McAfee DLP Protección de medios extraíbles Dispositivos de almacenamiento extraíbles Además de los dispositivos de almacenamiento extraíbles definidos por el usuario, se incluyen tres definiciones de dispositivos predefinidas: Todos los dispositivos de almacenamiento extraíbles, Contenido cifrado por McAfee Endpoint Encryption y McAfee Dispositivos Encrypted USB. Estas definiciones se pueden usar en las reglas de dispositivos de almacenamiento extraíbles y de acceso a archivos de dispositivos de almacenamiento extraíbles si se seleccionan los parámetros necesarios. No se recomienda la modificación de las definiciones de los parámetros de las definiciones de dispositivos predefinidas. Dispositivos Plug and Play de la lista blanca El objetivo de incluir dispositivos Plug and Play en la lista blanca es gestionar aquellos que no llevan a cabo la administración de dispositivos de forma óptima y que pueden provocar que el sistema deje de responder y otros problemas de gravedad. Se recomienda agregar estos dispositivos a la lista de dispositivos de la lista blanca a fin de evitar problemas de compatibilidad. Las definiciones de dispositivos Plug and Play de la lista blanca se agregan de forma automática a la lista de dispositivos "excluidos" en todas las reglas de dispositivos Plug and Play. Nunca serán dispositivos gestionados, aunque la clase de dispositivos a la que pertenecen sea gestionada. si se examinan las reglas de dispositivos, no verá la definición de la lista blanca, ya que ésta no se agrega a la regla hasta que se aplica la directiva. No es necesario que vuelva a escribir las reglas existentes para incluir nuevos dispositivos de la lista blanca. Importación de parámetros de dispositivo Los parámetros de dispositivo se pueden introducir a partir de listas guardadas en formato CSV. Puede crearse una lista de parámetros de dispositivo seleccionando varios eventos en la pantalla de Administrador de incidentes de DLP y, a continuación, seleccionando Exportar parámetros de incidentes de dispositivos del menú Acciones. Las listas también se pueden crear manualmente. Consulte la Ayuda online para ver información sobre el formato del archivo CSV. Creación de definiciones de dispositivos Al crear una definición de dispositivos con varios parámetros, los parámetros definidos en cada nombre de parámetro se agregan a la definición como operadores O lógicos y varios nombres de parámetros se agregan como operadores Y lógicos. Por ejemplo, la siguiente selección de parámetros crea la definición de dispositivos que se muestra a continuación: Tabla 10-1 Ejemplo de definición de dispositivos Definición de dispositivos Tipo de bus Clase de dispositivos Parámetros seleccionados Firewire; USB Dispositivos de memoria; dispositivos portátiles de Windows El tipo de bus es uno de los siguientes: Firewire (IEEE 1394) O USB Y la clase de dispositivos es uno de los dispositivos de memoria O dispositivos portátiles de Windows 120 McAfee Data Loss Prevention Endpoint Guía del producto

121 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 10 s Creación de una definición de dispositivos Plug and Play en la página 121 Un dispositivo Plug and Play es un dispositivo que se puede agregar al equipo gestionado sin necesidad de realizar configuraciones ni instalar DLL o controladores de forma manual. Las definiciones de dispositivos Plug and Play permiten gestionar y controlar la mayoría de dispositivos disponibles. Creación de una definición de dispositivos Plug and Play de la lista blanca en la página 122 El objetivo de incluir dispositivos Plug and Play en la lista blanca es gestionar aquellos que no llevan a cabo la administración de dispositivos de forma óptima y que pueden provocar que el sistema deje de responder y otros problemas de gravedad. Se recomienda agregar estos dispositivos a la lista de dispositivos de la lista blanca a fin de evitar problemas de compatibilidad. Creación de una definición de dispositivos de almacenamiento extraíbles en la página 122 Un dispositivo de almacenamiento extraíble es un dispositivo externo que contiene un sistema de archivos que aparece en el equipo gestionado como una unidad. Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles que las definiciones de dispositivos Plug and Play e incluyen propiedades adicionales relacionadas con los dispositivos. Importación de definiciones de dispositivos en la página 123 Es posible crear una definición de dispositivos mediante la importación de parámetros de listas guardadas en formato CSV. Puede importar una nueva definición de un archivo o importar un parámetro a una definición existente. Importación de un parámetro a una definición de dispositivos existente en la página 123 Los parámetros de dispositivo se pueden importar de listas guardadas en formato CSV. Puede importar una nueva definición de un archivo o importar un parámetro a una definición existente. Creación de un grupo de definiciones de dispositivos en la página 124 Los grupos de definiciones de dispositivos simplifican las reglas a la vez que mantienen la granularidad al combinar diversas definiciones de dispositivos en un grupo. Creación de una definición de dispositivos Plug and Play Un dispositivo Plug and Play es un dispositivo que se puede agregar al equipo gestionado sin necesidad de realizar configuraciones ni instalar DLL o controladores de forma manual. Las definiciones de dispositivos Plug and Play permiten gestionar y controlar la mayoría de dispositivos disponibles. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de dispositivos, seleccione Definiciones de dispositivos. Las definiciones de dispositivos y los grupos de definiciones de dispositivos disponibles aparecen en el panel derecho. 2 En el panel Definiciones de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo Definición de dispositivos Plug and Play. Aparece el icono de la nueva Definición de dispositivos Plug and Play. 3 Asigne un nombre a la nueva definición de dispositivos y haga doble clic en el icono. Aparecerá el cuadro de diálogo de edición. 4 Escriba una descripción (opcional). McAfee Data Loss Prevention Endpoint Guía del producto 121

122 10 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 5 Seleccione los parámetros del dispositivo de la lista disponible. 6 Haga clic en Aceptar. Creación de una definición de dispositivos Plug and Play de la lista blanca El objetivo de incluir dispositivos Plug and Play en la lista blanca es gestionar aquellos que no llevan a cabo la administración de dispositivos de forma óptima y que pueden provocar que el sistema deje de responder y otros problemas de gravedad. Se recomienda agregar estos dispositivos a la lista de dispositivos de la lista blanca a fin de evitar problemas de compatibilidad. Los dispositivos Plug and Play de la lista blanca se agregan de forma automática a la lista de dispositivos excluidos en todas las reglas de dispositivos Plug and Play cuando se aplica la directiva. Nunca serán dispositivos gestionados, aunque la clase de dispositivos a la que pertenecen sea gestionada. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de dispositivos, seleccione Definiciones de dispositivos. Las definiciones de dispositivos y los grupos de definiciones de dispositivos disponibles aparecen en el panel derecho. 2 En el panel Definiciones de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo Definición de dispositivos Plug and Play de la lista blanca. Aparece el icono de la nueva Definición de dispositivos Plug and Play de la lista blanca. 3 Asigne un nombre a la nueva definición de dispositivos y haga doble clic en el icono. Aparecerá el cuadro de diálogo de edición. 4 Escriba una descripción (opcional). 5 Seleccione el Nombre de parámetro de la lista de parámetros disponibles. Se abre el cuadro de diálogo Editar el parámetro de definición de dispositivos. 6 Haga clic en Nuevo y escriba la información del parámetro. 7 Haga doble clic en Aceptar. Creación de una definición de dispositivos de almacenamiento extraíbles Un dispositivo de almacenamiento extraíble es un dispositivo externo que contiene un sistema de archivos que aparece en el equipo gestionado como una unidad. Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles que las definiciones de dispositivos Plug and Play e incluyen propiedades adicionales relacionadas con los dispositivos. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de dispositivos, seleccione Definiciones de dispositivos. Las definiciones de dispositivos y los grupos de definiciones de dispositivos disponibles aparecen en el panel derecho. 122 McAfee Data Loss Prevention Endpoint Guía del producto

123 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 10 2 En el panel Definiciones de dispositivos, haga clic con el botón derecho y seleccione Nuevo Definición del dispositivo de almacenamiento extraíble. Aparece el icono de la nueva Definición de dispositivo de almacenamiento extraíble. 3 Asigne un nombre a la nueva definición de dispositivos y haga doble clic en el icono. Aparecerá el cuadro de diálogo de edición. 4 Escriba una descripción (opcional). 5 Seleccione los parámetros del dispositivo de la lista disponible. 6 Haga clic en Aceptar. Importación de definiciones de dispositivos Es posible crear una definición de dispositivos mediante la importación de parámetros de listas guardadas en formato CSV. Puede importar una nueva definición de un archivo o importar un parámetro a una definición existente. Antes de empezar Cree una lista de parámetros de dispositivo, una fila separada por comas y guárdela en formato CSV. La lista se puede configurar seleccionando varios eventos en la pantalla de Administrador de incidentes de DLP y seleccionando Acciones Exportar parámetros de incidentes de dispositivos en el menú contextual. También puede utilizar bibliotecas CSV de código abierto o de terceros para crear el archivo. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de dispositivos, seleccione Definiciones de dispositivos. Las definiciones de dispositivos y los grupos de definiciones de dispositivos disponibles aparecen en el panel de la derecha. 2 En el panel Definiciones de dispositivos, haga clic con el botón derecho y seleccione Importar desde archivo. Seleccione el tipo de definición: Plug and Play Almacenamiento extraíble 3 En el cuadro de diálogo Importar de, localice el archivo CSV y haga clic en Abrir. Los parámetros se importan a la nueva definición de dispositivos. Si el archivo contiene parámetros que no coinciden con el tipo de definición de dispositivo seleccionado, por ejemplo un número serie de volumen de archivo importado en una definición de Plug and Play, se ignora la definición y se continúa con la importación. Si el formato no es correcto, se produce un fallo en la importación. 4 Asigne un nombre a la nueva definición de dispositivos y haga clic en Aceptar para crearla. Importación de un parámetro a una definición de dispositivos existente Los parámetros de dispositivo se pueden importar de listas guardadas en formato CSV. Puede importar una nueva definición de un archivo o importar un parámetro a una definición existente. Antes de empezar Cree un archivo que contenga el parámetro de definición de dispositivos que se va a importar. McAfee Data Loss Prevention Endpoint Guía del producto 123

124 10 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 1 Abra una definición de dispositivos existente haciendo doble clic en ella. 2 Seleccione un parámetro para editar. En el cuadro de diálogo de edición de definición de parámetros, haga clic en Importar. 3 En el cuadro de diálogo Importar de, busque un archivo y haga clic en Abrir. Los valores de parámetro se importan a la definición de parámetros. 4 Haga clic en Aceptar para aceptar los cambios a la definición de dispositivos. Creación de un grupo de definiciones de dispositivos Los grupos de definiciones de dispositivos simplifican las reglas a la vez que mantienen la granularidad al combinar diversas definiciones de dispositivos en un grupo. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de dispositivos, seleccione Definiciones de dispositivos. Las definiciones de dispositivos y los grupos de definiciones de dispositivos disponibles aparecen en el panel derecho. 2 En el panel Definiciones de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo Grupo de definiciones de dispositivos Plug and Play o Nuevo Grupo de definiciones de dispositivos de almacenamiento extraíbles. Aparecerá el icono del nuevo Grupo de definiciones de dispositivos. 3 Asigne un nombre al nuevo grupo de definiciones de dispositivos y haga doble clic en el icono. Aparecerá el cuadro de diálogo de edición. 4 Escriba una descripción (opcional). 5 Seleccione en la lista las definiciones de dispositivos Plug and Play o de dispositivos de almacenamiento extraíbles correspondientes. 6 Haga clic en Aceptar. Reglas de dispositivos Las reglas de dispositivos definen la acción realizada cuando se utilizan determinados dispositivos. Existen seis tipos de reglas de dispositivos de endpoint: Regla de dispositivos Plug and Play: se usa para bloquear o supervisar los dispositivos Plug and Play. Se puede notificar al usuario de la acción realizada. Regla para dispositivos de almacenamiento extraíbles: se usa para bloquear o supervisar los dispositivos de almacenamiento extraíbles o configurarlos como solo lectura. Se puede notificar al usuario de la acción realizada. Regla de acceso a archivos en dispositivos de almacenamiento extraíbles: se usa para bloquear la ejecución de archivos ejecutables en dispositivos de complemento. Regla de disco duro fijo: se usa para bloquear o supervisar los discos duros fijos o configurarlos como solo lectura. Se puede notificar al usuario de la acción realizada. Las reglas de dispositivos de disco duro fijo no protegen la partición del sistema ni el arranque. 124 McAfee Data Loss Prevention Endpoint Guía del producto

125 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 10 Regla de dispositivos Citrix: se usa para bloquear los dispositivos Citrix asignados a sesiones de escritorio compartidas. Regla de dispositivos TrueCrypt: se usa para proteger a los dispositivos TrueCrypt. Se puede utilizar para bloquear, supervisar o configurar como solo lectura. Se puede notificar al usuario de la acción realizada. Reglas de dispositivos Plug and Play Para que las reglas de dispositivos Plug and Play puedan controlar los dispositivos de hardware, las clases del dispositivo especificadas en las definiciones del dispositivo que usa la regla deben estar configuradas con el estado Gestionado. Caso práctico: bloqueo de los adaptadores Bluetooth mediante una regla de dispositivos Plug and Play Hay tres pasos para crear una regla de dispositivos Plug and Play simple para el uso de los dispositivos Bluetooth: McAfee Data Loss Prevention Endpoint Guía del producto 125

126 10 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 1 Compruebe que la clase de dispositivos para los adaptadores Bluetooth es la Clase de dispositivos gestionada. 2 Cree una definición de dispositivos que coincida con las propiedades de los dispositivos Bluetooth específicos que desee controlar. 3 Cree una regla de dispositivos que coincida con la definición de dispositivos y configure la acción en Bloquear. 126 McAfee Data Loss Prevention Endpoint Guía del producto

127 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 10 Reglas de dispositivos de almacenamiento extraíbles Las reglas de dispositivos de almacenamiento extraíbles no requieren una clase de dispositivos gestionada. El motivo está relacionado con las diferencias en el modo en que los dos tipos de reglas de dispositivos utilizan las clases de dispositivos: Las reglas de dispositivos Plug and Play se activan en el momento en que el dispositivo de hardware se conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, es necesario gestionar la clase de dispositivos con el fin de poder reconocer el dispositivo. Las reglas de dispositivos de almacenamiento extraíbles se activan al montar un nuevo sistema de archivos. Al montar el sistema de archivos, el software McAfee DLP Endpoint asocia la letra de unidad con el dispositivo de hardware específico y comprueba las propiedades del dispositivo. Debido a que la reacción es al funcionamiento de un sistema de archivos, y no a un controlador de dispositivo, no es necesario gestionar la clase de dispositivos. Caso práctico: permitir un reproductor de MP3 como solo lectura Debido a que no se precisa de una clase de dispositivos gestionada, las reglas de dispositivos de almacenamiento extraíbles cuentan con dos pasos básicos: 1 Crear la definición de dispositivos. 2 Crear la regla de dispositivos. Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles impiden a los dispositivos de almacenamiento extraíbles ejecutar las aplicaciones. Debido a que debe permitirse la ejecución de algunos ejecutables, como aplicaciones de cifrado en dispositivos cifrado, las definiciones de aplicaciones en lista blanca pueden incluirse en la regla para excluir archivos con nombre específicos de la regla de bloqueo. McAfee Data Loss Prevention Endpoint Guía del producto 127

128 10 Aplicación de la protección de McAfee DLP Protección de medios extraíbles Las reglas de acceso a archivos determinan si un archivo es un ejecutable mediante su extensión. Las siguientes extensiones están bloqueadas:.bat,.cgi,.cmd,.com,.cpl,.dll,.exe,.jar,.msi,.py,.pyc,.scr,.vb,.vbs,.ws y.wsf. Además, para bloquear archivos que se podrían ejecutar desde archivos, también se bloquean los archivos.cab,.rar y.zip. Las reglas de acceso a archivos también impiden que los archivos ejecutables se copien en dispositivos de almacenamiento extraíbles, ya que el controlador del filtro de archivo no puede diferenciar entre la apertura y la creación de un ejecutable. Reglas de dispositivos Citrix El software McAfee DLP Endpoint puede bloquear los dispositivos Citrix asignados a sesiones de escritorio compartidas. Se pueden bloquear todas las unidades de disquetes, fijas, CD, extraíbles y de red, así como la redirección a impresoras y portapapeles. Se puede filtrar la regla añadiendo grupos de asignación de usuarios. Las reglas se asignan mediante grupos de asignación de usuarios (Menú Sistemas Árbol de sistemas Directivas asignadas) en los servidores Citrix. En el Árbol de sistemas, se ha añadido la nueva ficha Sesiones de usuario de DLP en la página Información del sistema para poder ver las sesiones de usuario y las reglas que se aplican en cada sesión. Reglas de dispositivos TrueCrypt Las reglas de dispositivos TrueCrypt se usan para bloquear o supervisar los dispositivos de cifrado virtuales TrueCrypt o configurarlos como solo lectura. Las reglas TrueCrypt son un subconjunto de las reglas de dispositivos de almacenamiento extraíbles. Los dispositivos TrueCrypt también se pueden proteger mediante reglas de protección de almacenamiento extraíble. Consulte Control del contenido de carácter confidencial con reglas de protección en esta guía para el uso de las reglas de protección con los dispositivos TrueCrypt. El software cliente de McAfee DLP Endpoint trata todos los montajes TrueCrypt como de almacenamiento extraíble, incluso cuando la aplicación TrueCrypt está escribiendo al disco local. Creación y definición de reglas de dispositivos Las reglas de dispositivos asignan acciones a definiciones de dispositivos. Utilice estas tareas para crear y definir reglas de dispositivos. 128 McAfee Data Loss Prevention Endpoint Guía del producto

129 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 10 s Creación y definición de una regla de dispositivos Plug and Play en la página 129 Las definiciones de dispositivos Plug and Play se incorporan en las reglas de los dispositivos Plug and Play a fin de controlarlos. Creación y definición de una regla para dispositivos de almacenamiento extraíbles en la página 130 Las reglas de dispositivos de almacenamiento extraíbles son la forma recomendada de bloquear dispositivos USB. Creación y definición de una regla de acceso a archivos de dispositivos de almacenamiento extraíbles en la página 131 Las reglas de acceso a archivos impiden a los soportes de almacenamiento extraíbles ejecutar las aplicaciones. Las definiciones de aplicaciones en lista blanca especificadas en el paso 2 proporcionan listas de archivos específicos exentos de la regla de bloqueo. Creación y definición de una regla de dispositivos de disco duro fijo en la página 132 Las reglas de dispositivos de disco duro fijo controlan la copia de la información confidencial en las unidades fijas locales, y permiten configurar a modo de solo lectura las unidades fijas. Las unidades dinámicas no son compatibles. Creación y definición de una regla de dispositivos Citrix en la página 133 Las reglas de dispositivos Citrix bloquean el funcionamiento de unidades de disquetes, CD, fijas o de red en las sesiones de escritorio de Citrix. Creación de una definición de aplicaciones en lista blanca en la página 133 Las definiciones de aplicaciones en lista blanca se utilizan en reglas de acceso a archivos de dispositivo de almacenamiento extraíbles para excluir específicamente del bloqueo los archivos con nombre. Creación y definición de una regla de dispositivos Plug and Play Las definiciones de dispositivos Plug and Play se incorporan en las reglas de los dispositivos Plug and Play a fin de controlarlos. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Administración de dispositivos Reglas de dispositivos. Las reglas administración de dispositivos disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de dispositivos Plug and Play. Aunque se puede utilizar la regla de bloqueo de dispositivos Plug and Play para bloquear los dispositivos USB, se recomienda utilizar la regla de bloqueo de dispositivos de almacenamiento extraíbles. El uso de la regla de bloqueo de dispositivos Plug and Play puede provocar el bloqueo total del concentrador o controlador USB. La regla de bloqueo de dispositivos de almacenamiento extraíbles permite que el dispositivo se inicialice y se registre en el sistema operativo. Además, permite definir el dispositivo como de sólo lectura. McAfee Data Loss Prevention Endpoint Guía del producto 129

130 10 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 3 Cambie el nombre de la nueva regla de dispositivos y haga doble clic en el icono. Siga los pasos que se facilitan en el asistente. Paso Acción 1 de 3 En la lista disponible, seleccione una o varias definiciones o un grupo de definiciones de dispositivos Plug and Play. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de Plug and Play. Haga clic en Agregar grupo para crear un nuevo grupo de Plug and Play. Al finalizar, haga clic en Siguiente. 2 de 3 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del vínculo. 3 de 3 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. 4 Para activar la regla, haga clic con el botón derecho del ratón en el icono de la regla y elija Activar. Creación y definición de una regla para dispositivos de almacenamiento extraíbles Las reglas de dispositivos de almacenamiento extraíbles son la forma recomendada de bloquear dispositivos USB. Las reglas de dispositivos TrueCrypt son esencialmente un subconjunto de reglas de dispositivos de almacenamiento extraíbles que tienen la definición de dispositivos predefinida en la regla, de modo que solo se precisen dos pasos para definir la regla. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Administración de dispositivos Reglas de dispositivos. Las reglas administración de dispositivos disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo Regla para dispositivos de almacenamiento extraíbles. Se recomienda el uso de la regla de bloqueo de dispositivos de almacenamiento extraíbles para bloquear los dispositivos USB. Aunque es posible usar la regla de bloqueo de dispositivos Plug and Play, esto puede provocar el bloqueo total del concentrador o controlador USB. La regla de bloqueo de dispositivos de almacenamiento extraíbles permite que el dispositivo se inicialice y se registre en el sistema operativo. Además, permite definir el dispositivo como de sólo lectura. 130 McAfee Data Loss Prevention Endpoint Guía del producto

131 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 10 3 Cambie el nombre de la nueva regla de dispositivos y haga doble clic en el icono. Siga los pasos que se facilitan en el asistente. Paso Acción 1 de 3 Seleccione una definición, varias definiciones o un grupo de dispositivos de almacenamiento extraíbles de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de dispositivos de almacenamiento extraíbles. Haga clic en Agregar grupo para crear un nuevo grupo de dispositivos de almacenamiento extraíbles. Al finalizar, haga clic en Siguiente. 2 de 3 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del vínculo. Haga clic en Siguiente. 3 de 3 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. 4 Para activar la regla, haga clic con el botón derecho del ratón en el icono de la regla y seleccione Activar. Creación y definición de una regla de acceso a archivos de dispositivos de almacenamiento extraíbles Las reglas de acceso a archivos impiden a los soportes de almacenamiento extraíbles ejecutar las aplicaciones. Las definiciones de aplicaciones en lista blanca especificadas en el paso 2 proporcionan listas de archivos específicos exentos de la regla de bloqueo. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de dispositivos, seleccione Reglas de dispositivos. Las reglas administración de dispositivos disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de acceso a archivos en dispositivos de almacenamiento extraíble. McAfee Data Loss Prevention Endpoint Guía del producto 131

132 10 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 3 Cambie el nombre de la nueva regla de dispositivos y haga doble clic en el icono. Siga los pasos que se facilitan en el asistente. Paso Acción Paso 1 de 4 Seleccione una definición, varias definiciones o un grupo de dispositivos de almacenamiento extraíbles de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de dispositivos de almacenamiento extraíbles. Haga clic en Agregar grupo para crear un nuevo grupo de dispositivos de almacenamiento extraíbles. Al finalizar, haga clic en Siguiente. Paso 2 de 4 Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones de archivos de la lista disponible. Haga clic en Siguiente. Paso 3 de 4 Seleccione una o varias aplicaciones en lista blanca de la lista disponible. Haga clic en Agregar para crear una nueva definición de aplicaciones en lista blanca o en Editar para modificar una definición existente. Al finalizar, haga clic en Siguiente. Paso 4 de 4 Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. 4 Para activar la regla, haga clic con el botón derecho del ratón en el icono de la regla y elija Activar. Creación y definición de una regla de dispositivos de disco duro fijo Las reglas de dispositivos de disco duro fijo controlan la copia de la información confidencial en las unidades fijas locales, y permiten configurar a modo de solo lectura las unidades fijas. Las unidades dinámicas no son compatibles. Las unidades de arranque y del sistema siempre quedan excluidas de las reglas de dispositivos de disco duro fijo. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Administración de dispositivos Reglas de dispositivos. Las reglas administración de dispositivos disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de disco duro fijo. 3 Cambie el nombre de la nueva regla de dispositivos y haga doble clic en el icono. Siga los pasos que se facilitan en el asistente. Paso Acción 1 de 3 Seleccione una definición, varias definiciones o un grupo de dispositivos de disco duro fijo de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición. Haga clic en Agregar grupo para crear un nuevo grupo. Al finalizar, haga clic en Siguiente. 2 de 3 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del vínculo. 3 de 3 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. 132 McAfee Data Loss Prevention Endpoint Guía del producto

133 Aplicación de la protección de McAfee DLP Protección de medios extraíbles 10 4 Para activar la regla, haga clic con el botón derecho del ratón en el icono de la regla y elija Activar. Creación y definición de una regla de dispositivos Citrix Las reglas de dispositivos Citrix bloquean el funcionamiento de unidades de disquetes, CD, fijas o de red en las sesiones de escritorio de Citrix. Las reglas de dispositivos Citrix no se pueden utilizar con unidades organizativas (OU). Si se selecciona un grupo de asignación de usuarios (UAG) que contenga una OU, la regla no se activará. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Administración de dispositivos Reglas de dispositivos. Las reglas administración de dispositivos disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de dispositivos Citrix. 3 Cambie el nombre de la nueva regla de dispositivos (opcional) y haga doble clic en el icono. Siga los pasos que se facilitan en el asistente. Paso Acción 1 de 2 Seleccione los dispositivos de almacenamiento que desee bloquear. Al finalizar, haga clic en Siguiente. 2 de 2 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. 4 Para activar la regla, haga clic con el botón derecho del ratón en el icono de la regla y elija Activar. Creación de una definición de aplicaciones en lista blanca Las definiciones de aplicaciones en lista blanca se utilizan en reglas de acceso a archivos de dispositivo de almacenamiento extraíbles para excluir específicamente del bloqueo los archivos con nombre. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de dispositivos, seleccione Aplicaciones en lista blanca. Las aplicaciones de la lista blanca disponibles aparecerán en el panel de la derecha. 2 Haga clic con el botón derecho del ratón en el panel Aplicaciones en lista blanca y seleccione Nuevo Aplicación en lista blanca. Aparece el icono de la nueva aplicación en lista blanca. 3 Haga doble clic en el icono. Aparecerá el cuadro de diálogo de edición. 4 Introduzca un nombre, una descripción (opcional) y el nombre de archivo del ejecutable que desea permitir ejecutar en los cuadros de texto adecuados. 5 Haga clic en Agregar para agregar el nombre de archivo a la lista. Repita la introducción y adición de nombres de archivo según sea necesario. 6 Cuando haya terminado de agregar nombres de archivo, haga clic en Guardar. McAfee Data Loss Prevention Endpoint Guía del producto 133

134 10 Aplicación de la protección de McAfee DLP Protección de medios extraíbles Parámetros de dispositivos Los parámetros de dispositivos se usan para definir las definiciones de dispositivos. En la tabla siguiente se proporcionan definiciones para todos los parámetros utilizados en las definiciones de dispositivos. Indica en qué tipo de dispositivo se encuentra el parámetro y si se puede importar como una lista desde un archivo (consulte Administración de parámetros de definición de dispositivos). Tabla 10-2 Definiciones de dispositivos para dispositivos Plug and Play y dispositivos de almacenamiento extraíbles Nombre del parámetro Encontrado en... Importar parámetros Descripción Tipo de bus Todos Sí Selecciona el tipo de BUS del dispositivo de la lista disponible (Bluetooth, Firewire (IEEE1394), IDE/ SATA, PCI, PCMIA, SCSI, USB). Unidades de CD/DVD Contenido cifrado por McAfee Endpoint Encryption for Files and Folders Clase de dispositivos ID compatibles con dispositivos ID de instancia del dispositivo (Microsoft Windows XP/ Windows 2000) Ruta de acceso a la instancia del dispositivo (Microsoft Windows Vista/ Windows 7) Solo almacenamiento extraíble Sólo almacenamiento extraíble No No Se selecciona para indicar cualquier unidad de CD o DVD. Permite indicar un dispositivo protegido por McAfee Endpoint Encryption for Files and Folders. Sólo PnP No Selecciona la clase de dispositivo de la lista gestionada disponible. Todos Sí Una lista de descripciones de dispositivos físicos. Resulta especialmente útil con tipos de dispositivos que no son USB ni PCI, ya que éstos últimos se identifican más fácilmente mediante los ID de proveedor o de dispositivo de PCI o el ID prov./id prod. de USB. Todos Sí Cadena generada por Windows que identifica de forma exclusiva el dispositivo en el sistema. Por ejemplo, USB\VID_0930&PID_6533\5&26450FC&0&6. Nombre de dispositivo Tipo de sistema de archivos Todos Sí El nombre asociado a un dispositivo de hardware, que representa su dirección física. Almacenamiento extraíble y disco duro No El tipo de sistema de archivos. Para discos duros, seleccione uno de exfat, FAT16, FAT32 o NTFS. Para los dispositivos de almacenamiento extraíbles, cualquiera de los anteriores además de CDFS o UDFS. 134 McAfee Data Loss Prevention Endpoint Guía del producto

135 Aplicación de la protección de McAfee DLP Protección de archivos mediante la gestión de derechos 10 Tabla 10-2 Definiciones de dispositivos para dispositivos Plug and Play y dispositivos de almacenamiento extraíbles (continuación) Nombre del parámetro Acceso al sistema de archivos Etiqueta de volumen del sistema de archivos Número de serie del volumen del sistema de archivos ID de proveedor e ID de dispositivo PCI Dispositivos TrueCrypt Código de clase USB Número de serie del dispositivo USB ID de proveedor e ID de producto USB Encontrado en... Sólo almacenamiento extraíble Almacenamiento extraíble y disco duro Almacenamiento extraíble y disco duro Importar parámetros No Sí Sí Descripción Acceso al sistema de archivos: sólo lectura o lectura escritura. Etiqueta de volumen definida por el usuario que se muestra en el Explorador de Windows. Se permite la coincidencia parcial. Número de 32 bits generado automáticamente cuando se crea un sistema de archivos en el dispositivo. Se puede ver si se ejecuta el comando en la línea de comandos dir x:, donde x: es la letra de unidad. Todos Sí El ID de proveedor y el ID de dispositivo asociados al dispositivo PCI. Estos parámetros se pueden obtener de la cadena de ID de hardware de los dispositivos físicos, por ejemplo, PCI \VEN_8086&DEV_2580&SUBSYS_ &REV_04. Solo almacenamiento extraíble No Se selecciona para especificar un dispositivo TrueCrypt. Sólo PnP No Identifica un dispositivo USB físico por su funcionalidad general. Seleccione el código de clase en la lista disponible. Almacenamiento extraíble y PnP Almacenamiento extraíble y PnP Sí Sí Una cadena alfanumérica exclusiva asignada por el fabricante del dispositivo USB, generalmente para dispositivos de almacenamiento extraíbles. El número de serie es la últtima parte del ID de instancia; por ejemplo, USB\VID_3538&PID_0042\ CD8. Un número de serie válido debe tener al menos 5 caracteres alfanuméricos y no debe incluir ámpersands (&). Si la última parte del ID de instancia no se ajusta a estos requisitos, no es un número de serie. El ID de proveedor y el ID de producto asociados al dispositivo USB. Estos parámetros se pueden obtener de la cadena de ID de hardware de los dispositivos físicos, por ejemplo: USB\Vid_3538&Pid_0042. Protección de archivos mediante la gestión de derechos El software McAfee DLP Endpoint es compatible con Adobe LiveCycle Rights Management, Microsoft Windows Rights Management Services y Seclore FileSecure information rights management (IRM). Actualmente se admiten dos opciones de uso de la gestión de derechos (RM): McAfee Data Loss Prevention Endpoint Guía del producto 135

136 10 Aplicación de la protección de McAfee DLP Protección de archivos mediante la gestión de derechos El descubrimiento del sistema de archivos de McAfee DLP Endpoint puede aplicar directivas de RM a los archivos detectados en los análisis de descubrimiento. Las reglas de protección de correo electrónico, almacenamiento extraíble, sistema de archivos y publicación web pueden reconocer archivos protegidos de gestión de derechos. Estos archivos se pueden incluir en la regla o excluir de ella. Adobe RM McAfee DLP Endpoint admite Adobe LiveCycle Rights Management ES2 y and la extensión para Microsoft Office. Puede aplicar protección de gestión de derechos a los siguientes tipos de documentos: Documentos PDF Documentos de Microsoft Word 2003, Word 2007 o Word 2010 Documentos de Microsoft Excel 2003, Excel 2007 o Excel 2010 Documentos de Microsoft PowerPoint 2003, PowerPoint 2007 o PowerPoint 2010 Microsoft Windows Rights Management Services McAfee DLP Endpoint admite Rights Management Services en Windows Server 2003 y Active Directory RMS (AD RMS) en Windows Server Es posible aplicar la protección de Windows Rights Management Services a: Documentos de Microsoft Word 2003, Word 2007 o Word 2010 Documentos de Microsoft Excel 2003, Excel 2007 o Excel 2010 Documentos de Microsoft PowerPoint 2003, PowerPoint 2007 o PowerPoint 2010 Documentos de SharePoint 2007 Documentos de Exchange Server 2007 Seclore IRM McAfee DLP Endpoint es compatible con Seclore FileSecure RM, que admite más de 140 formatos de archivo, entre ellos los formatos de documento más usados: Documentos de Microsoft Office Documentos de Open Office PDF Formatos de texto y basados en texto, incluidos: CSV, XML y HTML Formatos de imagen, incluidos: JPEG, BMP, GIF, etc. Formato de diseño de ingeniería, incluidos: DWG, DXF y DWF El cliente de McAfee DLP Endpoint funciona con el cliente de escritorio FileSecure para proporcionar integración con DLP tanto online como offline. Para obtener más información sobre Adobe LiveCycle Rights Management, vaya a Para obtener más información sobre Microsoft RMS, vaya a us/library/cc aspx. Para obtener más información sobre Seclore IRM, vaya a McAfee Data Loss Prevention Endpoint Guía del producto

137 Aplicación de la protección de McAfee DLP Protección de archivos mediante la gestión de derechos 10 Funcionamiento de Data Loss Prevention con gestión de derechos La gestión de derechos (RM) en McAfee DLP Endpoint se gestiona desde la sección RM y cifrado del panel de navegación. En esta sección, se define el servidor de gestión de derechos y se gestionan las directivas de gestión de derechos que utilizan las reglas de descubrimiento del sistema de archivos y las reglas de protección de correo electrónico, almacenamiento extraíble y publicación web. Al seleccionar la acción Aplicar directiva de gestión de derechos en una regla de descubrimiento del sistema de archivos, deberá especificar la directiva y el servidor de gesión de derechos como propiedades. Flujo de trabajo de Adobe LiveCycle Rights Management Cuando el software McAfee DLP Endpoint que aplica la regla de descubrimiento del sistema de archivos encuentra un archivo que proteger, lo envía al servidor de gestión de derechos. La protección se aplica en función de la directiva seleccionada y el archivo se envía de nuevo al equipo gestionado. Si la operación falla en el servidor de gestión de derechos (debido a que no puede conectarse al servidor por algún motivo) el archivo se supervisa y el evento (error de gestión de derechos) se envía a la consola de Administrador de incidentes de DLP. Si la operación falla en el McAfee DLP Endpoint (por ejemplo, intenta proteger un tipo de archivo no compatible), el archivo se supervisa; sin embargo, no aparece ningún evento de error en la pantalla de Administrador de incidentes de DLP. Debe activar el evento Error al aplicar la directiva de gestión de derechos en Configuración de los agentes Eventos y registro para que el evento se registre. Figura 10-2 Diagrama de flujo de la protección de Adobe LiveCycle Rights Management Se recomienda crear un conjunto de directivas en Adobe LiveCycle Rights Management Server exclusivamente para las directivas empleadas con McAfee DLP Endpoint. Al menos una directiva del conjunto de directivas debe estar activada para que el conjunto aparezca en el cuadro de diálogo de sincronización de directivas. Si desactiva una directiva en el servidor de gestión de derechos, ésta se elimina de la página de directivas de gestión de derechos cuando se vuelve a realizar la sincronización. Si la directiva desactivada se utiliza en una regla de descubrimiento del sistema de archivos, no se elimina sino que pasa a estar Inactiva (con un icono diferente) y crea un error en el Analizador de directivas de DLP. Si una directiva está desactivada en el servidor de gestión de derechos pero no vuelve a realizar la sincronización, la directiva permanece activa. Cuando el software McAfee DLP Endpoint intenta aplicar la directiva, se envía el evento Fallo de protección administrativa de gestión de derechos al Administrador de incidentes de DLP. McAfee Data Loss Prevention Endpoint Guía del producto 137

138 10 Aplicación de la protección de McAfee DLP Protección de archivos mediante la gestión de derechos Limitaciones McAfee DLP Endpoint no inspecciona los archivos protegidos mediante la gestión de derechos en relación con el contenido. Cuando un archivo marcado está protegido por gestión de derechos, sólo se mantienen las marcas estáticas (ubicación y aplicación). Si un usuario modifica el archivo, todas las marcas se pierden al guardar el archivo. Flujo de trabajo de Windows Rights Management Services Cuando el software McAfee DLP Endpoint que aplica la regla de descubrimiento del sistema de archivos encuentra un archivo que proteger, utiliza el GUID de la plantilla como identificador exclusivo para localizar la plantilla y aplicar la protección. Figura 10-3 Diagrama de flujo de la protección de Windows Rights Management Services Con Windows Rights Management Services, McAfee DLP Endpoint puede inspeccionar el contenido de los archivos protegidos si el usuario actual dispone de permisos de visualización. Usuarios de Adobe Rights Management McAfee Data Loss Prevention requiere dos tipos de usuarios de Adobe LiveCycle Rights Management. Los usuarios de Adobe LiveCycle Rights Management se mencionan en la definición de servidor de Rights Management. Para que se puedan utilizar en McAfee DLP Endpoint, deben crearse y, asimismo, deben definirse sus funciones en la sección Configuración Admin. de usuarios del servidor ES2 de Adobe LiveCycle Rights Management. En todos los casos, los usuarios de McAfee DLP Endpoint deben estar incluidos en la lista Editor del documento para el conjunto de directivas de DLP y deben tener la función de usuario de servicios. Se establecen en el servidor de gestión de derechos por parte del administrador de Adobe LiveCycle Rights Management. 138 McAfee Data Loss Prevention Endpoint Guía del producto

139 Aplicación de la protección de McAfee DLP Protección de archivos mediante la gestión de derechos 10 McAfee DLP Endpoint McAfee DLP Endpoint: inicia sesión en el servidor de Adobe y sincroniza las directivas. McAfee DLP Endpoint Endpoint: aplica directivas de RM a los archivos del equipo gestionado. Hay dos modos de configurar este usuario. Mediante autenticación de Windows: el usuario debe tener las credenciales de Kerberos (nombre principal del servicio: SPN) definidas en el servidor de Adobe LiveCycle. Para obtener información detallada, consulte la Ayuda de Adobe LiveCycle. Mediante autenticación de Adobe LiveCycle: el usuario debe estar incluido en la lista Editor del documento para el conjunto de directivas de DLP y debe tener la función de Usuario de servicios. Definición del servidor de Adobe RM y sincronización de directivas Configure los usuarios en Adobe LiveCycle Rights Management Server con las funciones y los permisos adecuados. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Gestión de derechos y cifrado Servidores de gestión de derechos. 2 En el panel Servidores de gestión de derechos, haga clic con el botón derecho del ratón y seleccione Nuevo Adobe LiveCycle Rights Management Server. 3 Haga doble clic en el icono de regla. Aparecerá el cuadro de diálogo de Adobe LiveCycle Rights Management Server. 4 Introduzca la ruta de acceso URL del servidor de gestión de derechos de Adobe, así como el nombre de usuario y la contraseña de gestión de derechos de Adobe, y, a continuación, pruebe la conexión. Se recomienda crear un único conjunto de directivas para todas las directivas relacionadas con DLP. El usuario nombrado debe ser un Editor del documento para este conjunto de directivas. 5 Introduzca las credenciales del usuario del agente de DLP. 6 Seleccione la casilla de verificación Importar directivas de RM en caso de aceptar para sincronizar inmediatamente y, a continuación, haga clic en Aceptar. Si no selecciona la casilla de verificación, puede realizar la sincronización en cualquier momento desde el menú contextual. Deberá sincronizar directivas para utilizar directivas de gestión de derechos en las reglas de descubrimiento de DLP. Al realizar la sincronización, aparece el cuadro de diálogo Adobe LiveCycle Rights Management Server con una lista de todos los conjuntos de directivas disponibles para el usuario conectado. 7 Seleccione los conjuntos de directivas para importar. Todas las directivas activadas en el conjunto se importan y se pueden ver en el panel Directivas de gestión de derechos. Definición de un servidor de Microsoft Rights Management Service y sincronización de plantillas Configure los usuarios en el servidor de Microsoft Rights Management Service con las funciones y los permisos adecuados. McAfee Data Loss Prevention Endpoint Guía del producto 139

140 10 Aplicación de la protección de McAfee DLP Protección de archivos mediante la gestión de derechos Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Gestión de derechos y cifrado Servidores de gestión de derechos. 2 En el panel Servidores de gestión de derechos, haga clic con el botón derecho del ratón y seleccione Nuevo Servidor Microsoft RMS. 3 Haga doble clic en el icono de regla. Aparecerá el cuadro de diálogo del Servidor Microsoft RMS. 4 Haga clic en Editar para configurar el origen de las plantillas RMS. Introduzca la ruta de acceso y la contraseña, en caso necesario. Haga clic en Aceptar. Puede recuperar plantillas desde un recurso compartido de red o desde un servicio web. 5 Especifique la URL del servidor RMS o seleccione Usando el descubrimiento de servicios automático para localizar el servidor. 6 Introduzca un ID de usuario para especificar un usuario concreto, o bien seleccione la opción Usar usuario que ha iniciado sesión de endpoint. 7 Seleccione la casilla de verificación Importar plantillas RMS en caso de aceptar para sincronizar directivas inmediatamente y, a continuación, haga clic en Aceptar. Si no selecciona la casilla de verificación, puede realizar la sincronización en cualquier momento desde el menú contextual. Deberá sincronizar las directivas para utilizar plantillas RMS en las reglas de descubrimiento de sistema de McAfee DLP Endpoint. Existe una opción de configuración en las plantillas RMS mediante la que permitir navegadores de confianza, como la actualización de Rights Management para Internet Explorer, a fin de ver el contenido de documentos protegidos de RMS. Esta opción NO es compatible con el software McAfee DLP Endpoint. Si una regla de descubrimiento de sistema de McAfee DLP Endpoint aplica una plantilla de ese tipo, los archivos protegidos no podrán verse en navegadores de confianza. 8 Seleccione Directivas de gestión de derechos en el panel de navegación para ver las plantillas importadas. Definición de un servidor Seclore y sincronización de directivas El cliente de McAfee DLP Endpoint se integra con el cliente de escritorio Seclore FileSecure para el descubrimiento del sistema de archivos y la creación de reglas de protección. Antes de empezar Configure un servidor Seclore FileSecure y cree usuarios y directivas. Para poder configurar la integración con McAfee DLP Endpoint deberá conocer las direcciones URL de servidor para todos los servidores disponibles, el ID de archivo CAB de Hot Folder y la frase de contraseña. La sincronización de servidor Seclore es compatible en epolicy Orchestrator. No puede configurar la integración con Seclore desde una extensión independiente de McAfee DLP Endpoint. 140 McAfee Data Loss Prevention Endpoint Guía del producto

141 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Gestión de derechos y cifrado Servidores de gestión de derechos. 2 En el panel Servidores de gestión de derechos, haga clic con el botón derecho del ratón y seleccione Nuevo Servidor Seclore FileSecure. 3 Haga doble clic en el icono de regla. Aparece el cuadro de diálogo Seclore Fileserver. 4 Edite el Nombre si es necesario, y escriba la Descripción (opcional). 5 Escriba una dirección URL de servidor de directivas Seclore y haga clic en Agregar para añadirla a la lista. Repita el procedimiento hasta que aparezcan en la lista todos los servidores disponibles. Seclore admite varios servidores. La API de Seclore elige el servidor al que se va a conectar. 6 Escriba el ID de archivo CAB de Hot Folder de Seclore y la frase de contraseña y haga clic en Probar conexión para comprobar que puede conectarse al servidor. El botón Probar conexión no está disponible si está ejecutando una versión independiente de la consola de directivas de McAfee DLP Endpoint. Es posible que la conexión falle si está ejecutando una versión de evaluación de FileSecure. En caso de que esto ocurra, póngase en contacto con el representante del servicio de atención al cliente de McAfee para encontrar una solución provisional. 7 Selecciones los tipos de licencia aplicables. 8 Seleccione Importar Hot Folders en caso de aceptar (opcional). Haga clic en Aceptar. Si no elige importar en el momento en que crea la definición, siempre puede importar en cualquier momento al seleccionar Sincronizar en el menú del botón derecho. También debería sincronizar cuando se actualizan las directivas del servidor. Los Hot folders y las descripciones del servidor aparecen en el panel Gestión de derechos y cifrado Directivas de gestión de derechos. Utilice estas directivas para definir las reglas de protección y descubrimiento. Control del contenido de carácter confidencial con reglas de protección Las reglas de protección controlan el flujo de datos mediante la definición de la acción realizada cuando se intenta transferir o transmitir información confidencial. Esto se lleva a cabo mediante la vinculación de acciones con definiciones, marcas y categorías de contenido, así como con grupos de asignación de usuarios. Puede definir reglas de protección para incluir o excluir marcas, extensiones de archivo o propiedades de documento específicas. También puede especificar tipos de archivo, usuarios y cifrado (incluida la protección mediante contraseñas). (No todas las opciones están disponibles para todas las reglas.) Estas opciones permiten la creación de reglas con considerable granularidad. Cuando se excluyen marcas o categorías de contenido en reglas de protección, la regla de exclusión funciona en relación con la regla de inclusión. Se debe incluir al menos una marca o categoría de contenido para excluir cualquier otra marca o categoría de contenido. McAfee Data Loss Prevention Endpoint Guía del producto 141

142 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección Funcionamiento con TrueCrypt Los dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas de dispositivos TrueCrypt o con reglas de protección de almacenamiento extraíble. Utilice una regla de dispositivos si desea bloquear o supervisar un volumen TrueCrypt o para que solo sea de lectura. Utilice una regla de protección si desea una protección basada en el contenido para los volúmenes TrueCrypt. Debe activar la opción TrueCrypt en la marca Configuración de los agentes Configuración avanzada para poder usar las reglas de protección de almacenamiento extraíble con el fin de proteger los volúmenes TrueCrypt. Los volúmenes TrueCrypt no son compatibles con los atributos extendidos de un archivo, lo que provoca que el contenido marcado que se copie en los volúmenes TrueCrypt pierda sus marcas. Sin embargo, puede especificar los tipos de archivos, extensiones de archivo, propiedades del documento, tipos de cifrado o grupos de asignación de usuario para definir la regla de protección. Reglas de protección del Portapapeles mejoradas Las reglas de protección del Portapapeles bloquean el uso del Portapapeles para copiar datos confidenciales. Las reglas de protección del Portapapeles controlan el uso del Portapapeles. El contenido bloqueado se puede limitar a los datos copiados desde sitios web o aplicaciones especificados, que tengan marcas específicas o categorías de contenido o que los hayan copiado determinados usuarios o grupos de usuarios. Es posible permitir la operación de pegado en la misma aplicación desde la que se copió el contenido, únicamente el mismo documento o en aplicaciones específicas, con el resto de posibilidades bloqueadas. Ciertas aplicaciones se pueden incluir o excluir (permitir o bloquear) y pueden incluir tipos de aplicaciones ICQ, IM y Skype que no se podían bloquear en las versiones anteriores del software McAfee DLP Endpoint. Comportamiento Pegar en La opción predeterminada es bloquear el pegado que ocurra fuera de la aplicación actual. Esta opción permite pegar en el documento o entre documentos que haya abierto la misma aplicación. La otra opción consiste en especificar, mediante las casillas de verificación Incluir y Excluir, que aplicaciones están permitidas y cuales bloqueadas. Al usar esta opción, siempre está permitido pegar en el documento actual, pero la función de pegar entre documentos en la aplicación actual está bloqueada a menos que la aplicación se excluya de forma específica de la regla. Acciones Las acciones de la regla de protección del Portapapeles incluyen Bloquear, Supervisar, Almacenar pruebas y Notificar al usuario. Si se van a almacenar pruebas, también se debe seleccionar la acción Supervisar. Al seleccionar la acción Notificación al usuario se activa la ventana emergente de notificación al usuario (el Mensaje de notificación de los agentes del portapapeles en la ficha Configuración de los agentes Servicio de interfaz de usuario ya no aparece atenuado y se puede editar). El texto del portapapeles no se sustituye con una notificación, como en la versiones anteriores del softwaremcafee DLP Endpoint. La acción Bloquear ya no es obligatoria, como en la versiones anteriores del software McAfee DLP Endpoint; la acción Supervisar (independiente) también es una opción. Limitaciones El hecho de abrir un nuevo documento en el menú Archivo no se reconoce como un nuevo documento, y sigue estando permitido copiar en él. Funcionamiento de las reglas de protección Las reglas de protección especifican el método de transferencia, las marcas con nombre y cómo debe reaccionar el sistema cuando se transfieren datos. A cada evento se le asigna un nivel de gravedad y 142 McAfee Data Loss Prevention Endpoint Guía del producto

143 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 las opciones para responder al evento. Hay casos en los que las reglas de protección simplemente registran el evento. En otros, pueden impedir la transferencia de datos y comunicar al usuario la infracción. Las reglas de protección se aplican, opcionalmente, a los grupos de asignación. Esto permite que una regla se aplique sólo a determinados grupos de usuarios. Las reglas de protección definen la acción realizada cuando se produce un intento de transferir o transmitir datos marcados. En las tablas siguientes se describen las acciones disponibles para cada regla, los tipos de contenido asociados con las reglas y si la alerta predeterminada que aparece cuando se activa la regla es o no personalizable. Al seleccionar Notificar al usuario y se activan varios eventos, la ventana emergente muestra el mensaje: Hay nuevos eventos DLP en su consola de DLP en lugar de mostrar múltiples ventanas emergentes. Tabla 10-3 Matriz de acciones o reglas Acciones Reglas Reglas de dispositivos Regla de dispositivos Citrix Regla de dispositivos de disco duro fijo Reglas de dispositivos Plug and Play Reglas de dispositivos de almacenamiento extraíbles (incluye las reglas de los dispositivos TrueCrypt) Reglas de dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles Reglas de protección Reglas de protección de acceso a archivos por aplicaciones Reglas de protección del Portapapeles Reglas de protección de correo electrónico Reglas de protección del sistema de archivos Reglas de protección de comunicaciones de la red Reglas de protección de escritor de PDF/imágenes Reglas de protección contra impresión Pr D/A D/A D/A D/A D/A D/A D/A D/A D/A Pr P 1 D/A D/A D/A Pr D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A McAfee Data Loss Prevention Endpoint Guía del producto 143

144 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección Tabla 10-3 Matriz de acciones o reglas (continuación) Acciones Reglas Reglas de protección de almacenamiento extraíble Reglas de protección contra capturas de pantalla Reglas de protección de la publicación web Reglas de descubrimiento Reglas de descubrimiento del sistema de archivos Reglas de descubrimiento de correo electrónico D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A 2 D/A D/A D/A D/A D/A D/A D/A D/A D/A Tabla 10-4 Matriz de contenido o reglas Reglas Marcas Tipos de contenido Categorías de contenido Propiedades de documento Tipos de cifrado Cambiar alerta predeterminada Reglas de dispositivos Regla de dispositivos Citrix Regla de dispositivos de disco duro fijo D/A Reglas de dispositivos Plug and Play D/A Reglas de dispositivos de almacenamiento extraíbles D/A Reglas de dispositivos de acceso a archivos en dispositivos de almacenamiento extraíbles Reglas de marcado Reglas de marcado basadas en aplicaciones D/A Reglas de marcado basadas en ubicación D/A Reglas de clasificación Reglas de clasificación del contenido D/A Reglas de marcado de documentos registrados D/A Reglas de protección 144 McAfee Data Loss Prevention Endpoint Guía del producto

145 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 Tabla 10-4 Matriz de contenido o reglas (continuación) Reglas Reglas de protección de acceso a archivos por aplicaciones Reglas de protección del Portapapeles Reglas de protección de correo electrónico Reglas de protección del sistema de archivos Reglas de protección de comunicaciones de la red Reglas de protección de escritor de PDF/ imágenes Reglas de protección contra impresión Reglas de protección de almacenamiento extraíble Reglas de protección contra capturas de pantalla Reglas de protección de la publicación Web Reglas de descubrimiento Reglas de descubrimiento del sistema de archivos Reglas de descubrimiento de correo electrónico Marcas Tipos de contenido Categorías de contenido Propiedades de documento Tipos de cifrado Cambiar alerta predeterminada D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A D/A Leyenda (para ambas tablas) D/A disponible (para acciones) asociado (para tipos de contenido) Notas 1 Windows muestra un mensaje. McAfee DLP Endpoint no muestra un mensaje. Pr predeterminado P parcial 2 Como alternativa, Eliminar (no se recomienda) debe activarse en Herramientas Opciones. McAfee Data Loss Prevention Endpoint Guía del producto 145

146 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección Definiciones y cómo definen las reglas Las definiciones son los bloques de construcción principales para crear reglas. Debe crear una definición para cada categoría que desee controlar. Cuando se modifica una definición, ésta se propaga automáticamente por todas las reglas que la utilizan. Las definiciones permiten personalizar el sistema con el fin de implementar la directiva de seguridad de la empresa, así como otros requisitos, como son los asuntos relacionados con la conformidad y la legislación sobre la privacidad. La personalización de estas definiciones supone un método eficaz de mantener las directivas de la empresa. Las definiciones se pueden asignar a cualquier regla nueva o existente. Los cambios surten efecto inmediato al volver a desplegar la directiva del sistema en los agentes. Las definiciones se crean en dos pasos: en primer lugar, se crea la definición (haga clic con el botón derecho del ratón y seleccione Nuevo) y, a continuación, se define (haga doble clic en la nueva definición). Estos dos pasos deben realizarse siempre uno a continuación del otro. Si deja una definición vacía (sin definir) se generará, en la mayoría de los casos, un error al intentar aplicar la directiva a epolicy Orchestrator. Como mínimo, generará una advertencia. Tabla 10-5 Definiciones y las reglas de marcado y protección que las utilizan Definición Reglas de marcado/ clasificación asociadas Reglas de protección asociadas Aplicación Marcado basado en la aplicación Acceso a archivos por aplicaciones, Portapapeles, Sistema de archivos, Comunicaciones de la red, Impresión, Dispositivos de almacenamiento extraíbles, Capturas de pantalla Diccionario Clasificación del contenido No aplicable Destino de correo electrónico Extensión de archivo No aplicable Se basa en aplicación, se basa en ubicación Correo electrónico Protección de acceso a archivo de aplicación, Protección del correo electrónico, Protección del sistema de archivos, Protección de comunicaciones de la red, Protección de almacenamiento extraíble, Protección de la publicación Web Servidor de archivos No aplicable Protección del sistema de archivos Red No aplicable Protección de comunicaciones de la red Impresora No aplicable Protección contra impresión Repositorio de documentos registrados Categoría de marca/ contenido Patrón de texto Clasificación de documento registrado Marcado basado en la aplicación, Marcado basado en la ubicación, Clasificación del contenido, Clasificación de documento registrado Clasificación del contenido, Marcado basado en la aplicación, Marcado basado en la ubicación No aplicable Todas las reglas de protección No aplicable 146 McAfee Data Loss Prevention Endpoint Guía del producto

147 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 Tabla 10-5 Definiciones y las reglas de marcado y protección que las utilizan Definición Reglas de marcado/ clasificación asociadas Reglas de protección asociadas Destino web No aplicable Protección de la publicación Web Lista blanca No aplicable No aplicable Si también trabaja con McAfee Endpoint Encryption for Files and Folders, tenga en cuenta que la inclusión de procesos de McAfee DLP Endpoint en una lista de Procesos bloqueados de McAfee Endpoint Encryption for Files and Folders impedirá que se activen las reglas de protección con definiciones cifrado y puede provocar un mal funcionamiento de McAfee DLP Endpoint. Creación y definición de una regla de protección de acceso a archivos de la aplicación Las reglas de protección de acceso a archivos de la aplicación supervisan o bloquean los archivos en función de la aplicación o aplicaciones que los han creado. Gracias a la posibilidad de seleccionar distintas combinaciones de definiciones de aplicaciones y extensiones de archivo, cuenta con formas muy específicas de determinar qué archivos se deben bloquear. Es posible especificar categorías de contenido y marcas para filtrar la regla. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de protección. Las reglas de protección disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de protección de acceso a archivos de la aplicación. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. McAfee Data Loss Prevention Endpoint Guía del producto 147

148 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 7 Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de aplicaciones. Haga clic en Siguiente. Es necesario seleccionar al menos una definición de aplicación, la cual no debe tener las estrategias Explorador o De confianza. Se genera un mensaje de error si se infringe esta regla. 2 de 7 Seleccione las categorías de contenido o las marcas disponibles que se van a incluir o excluir de la regla. Debe incluir al menos una marca o categoría de contenido para usar la opción de exclusión de marcas. Haga clic en Agregar elemento para crear una marca. Haga clic en Siguiente. 3 de 7 (opcional) 4 de 7 (opcional) Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionar tipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones de archivos de la lista disponible. Haga clic en Siguiente. Las extensiones.dll y.exe están preseleccionadas como Excluir. Esto se debe a que ciertas aplicaciones abren muchos archivos de este tipo y su inclusión puede provocar una disminución de rendimiento importante. Es posible anular la selección de la exclusión para aumentar la protección, pero tenga en cuenta el efecto potencial en el rendimiento. 5 de 7 (opcional) Seleccione una definición o un grupo de definiciones de propiedades de documentos de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de propiedades de documentos o en Agregar grupo para crear un nuevo grupo de propiedades de documentos. Haga clic en Siguiente. 6 de 6 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Las únicas opciones para las reglas de acceso a archivos de la aplicación son Supervisar, Notificar al usuario y Almacenar pruebas. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. 7 de 7 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. Se pueden incluir o excluir marcas y extensiones de archivo, así como definiciones de aplicaciones. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. Creación y definición de una regla de protección del Portapapeles Las reglas de protección del Portapapeles bloquean el uso del Portapapeles para copiar datos confidenciales. La protección del Portapapeles se ha mejorado para incluir los siguientes elementos: 148 McAfee Data Loss Prevention Endpoint Guía del producto

149 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 Bloqueo de las operaciones de copia y pegado desde cualquier aplicación a ICQ o mensajería instantánea Bloqueo de las operaciones de copia y pegado de cualquier dato a Skype Bloqueo de las operaciones de copia y pegado desde las aplicaciones de Microsoft Office (Word, Excel y PowerPoint) a Microsoft Office Communicator Estas mejoras se añaden a las funciones anteriores de: Bloqueo de las operaciones de copia y pegado desde Microsoft Word, Excel y PowerPoint a cualquier otra aplicación (es decir, solo se permiten las operaciones de copia y pegado de Word a Word, de Excel a Excel y de PowerPoint a PowerPoint) Bloqueo de las operaciones de copia y pegado desde un documento de Word a otro Los procesos de confianza no forman parte de la lógica de las reglas del Portapapeles. Las reglas del Portapapeles pueden bloquear las aplicaciones con una estrategia De confianza. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de protección. Las reglas de protección disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de protección del Portapapeles. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. McAfee Data Loss Prevention Endpoint Guía del producto 149

150 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 6 (opcional) 2 de 6 (opcional) 3 de 6 (opcional) Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de aplicaciones. Haga clic en Siguiente. Introduzca el título de una determinada ventana de aplicaciones y haga clic en Agregar. Repita la acción según corresponda. Haga clic en Siguiente. Seleccione las marcas, las categorías de contenido y los grupos que se van a incluir o excluir de la regla. Debe incluir al menos una marca, categoría de contenido o grupo para usar la opción de exclusión. Haga clic en Agregar elemento para crear una nueva marca o categoría de contenido. Haga clic en Agregar grupo para crear un nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente. 4 de 6 Seleccione la limitación de pegado. De forma predeterminada, la regla bloqueará las opciones de pegado fuera de la aplicación actual. La segunda opción consiste en restringir las operaciones de pegado en distintos documentos en la aplicación actual. Esta regla más restrictiva también bloquea las operaciones de pegado en el cuadro de diálogo de búsqueda y sustitución, pero evita que se copie información confidencial de documentos marcados a documentos sin marca en la misma aplicación. La tercera opción consiste en bloquear las operaciones de pegado en las aplicaciones especificadas, ya sea mediante la inclusión o la exclusión de las aplicaciones seleccionadas. 5 de 6 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta. Haga clic en Siguiente. 6 de 6 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. Se pueden incluir o excluir marcas, así como definiciones de aplicaciones. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. Creación y definición de una regla de protección de correo electrónico Las reglas de protección del correo electrónico supervisan o bloquean los mensajes de correo electrónico que se envían a determinados destinos o usuarios. Antes de empezar A fin de activar la compatibilidad con Lotus Notes, seleccione el Administrador de Lotus Notes en la ficha Configuración de los agentes Varios. Se recomienda desactivar los administradores que no se utilicen. En los sistemas en que están disponibles tanto Microsoft Exchange como Lotus Notes, las reglas de correo electrónico no funcionarán si el nombre del servidor de correo electrónico saliente (SMTP) no está configurado en ambos. Para usar Titus Message Classifications como categorías de contenido, consulte la sección sobre la configuración de la integración y compruebe que las opciones de configuración de los agentes que se especifican en dicha sección sean correctos. 150 McAfee Data Loss Prevention Endpoint Guía del producto

151 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de protección. Las reglas de protección disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de protección de correo electrónico. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. McAfee Data Loss Prevention Endpoint Guía del producto 151

152 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 9 (opcional) 2 de 9 (opcional) 3 de 9 (opcional) 4 de 9 (opcional) 5 de 9 (opcional) 6 de 9 (opcional) 7 de 9 (opcional) Seleccione la opción Seleccionar de la lista y seleccione una o más definiciones de destino de correo electrónico. Haga clic en Agregar elemento para crear una definición de destino de correo electrónico o en Agregar grupo para crear un grupo de destino. Haga clic en Siguiente. Seleccione las marcas, las categorías de contenido y los grupos que se van a incluir o excluir de la regla. Debe incluir al menos una marca para usar la opción de exclusión de marcas. Haga clic en Agregar elemento para crear una nueva marca o categoría de contenido. Haga clic en Agregar grupo para crear un nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionar tipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones de archivos de la lista disponible. Haga clic en Siguiente. Puede incluir o excluir extensiones de archivo. Seleccione una definición o un grupo de definiciones de propiedades de documentos de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de propiedades de documentos o en Agregar grupo para crear un nuevo grupo de propiedades de documentos. Haga clic en Siguiente. Para aplicar la regla a datos adjuntos de tipos de cifrado específicos, seleccione la opción Seleccionar de la lista y seleccione uno o más tipos de cifrado de archivos adjuntos. Función de omisión de correo electrónico: para excluir un correo electrónico en función de su línea de asunto, seleccione No aplicar esta regla si el asunto de los correos electrónicos contiene este patrón y seleccione un patrón. Los patrones de texto deben estar predefinidos y sólo puede usarse uno por regla. 8 de 9 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del vínculo. Si desea que Solicitar justificación bloquee el correo electrónico cuando no se proporcione justificación, deberá seleccionar también Bloquear. Haga clic en Siguiente. 9 de 9 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. Véase también Cómo se controla el contenido de carácter confidencial en el correo electrónico en la página McAfee Data Loss Prevention Endpoint Guía del producto

153 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 Creación y definición de una regla de protección del sistema de archivos Las reglas de protección del sistema de archivos protegen los archivos de determinados servidores de archivos o dispositivos de almacenamiento masivo. Los archivos pueden supervisarse, pero no bloquearse. Se pueden guardar pruebas y avisar al usuario de que se están supervisando archivos. Pueden especificarse aplicaciones, tipos de archivos, extensiones de archivos o marcas para limitar la regla. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de protección. Las reglas de protección disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de protección del sistema de archivos. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. McAfee Data Loss Prevention Endpoint Guía del producto 153

154 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 9 Seleccione un destino o destinos donde enviar los archivos. Si selecciona Servidores de archivos, se abrirá la ventana Configurar selección. Introduzca una ruta de red y haga clic en Agregar o haga clic en Examinar para seleccionar un nuevo destino de red y, a continuación, haga clic en Agregar para agregarlo a la lista. Haga clic en Siguiente. 2 de 9 (opcional) 3 de 9 (opcional) 4 de 9 (opcional) 5 de 9 (opcional) 6 de 9 (opcional) 7 de 9 (opcional) Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de aplicaciones. Haga clic en Siguiente. Seleccione las marcas, las categorías de contenido y los grupos que se van a incluir o excluir de la regla. Debe incluir al menos una marca, categoría de contenido o grupo para usar la opción de exclusión. Haga clic en Agregar elemento para crear una nueva marca o categoría de contenido. Haga clic en Agregar grupo para crear un nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionar tipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones de archivos de la lista disponible. Haga clic en Siguiente. Seleccione una definición o un grupo de definiciones de propiedades de documentos de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de propiedades de documentos o en Agregar grupo para crear un nuevo grupo de propiedades de documentos. Haga clic en Siguiente. Para aplicar la regla a archivos con tipos de cifrado específicos, seleccione la opción Seleccionar de la lista, y seleccione uno o más tipos de cifrado. 8 de 9 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si desea que Solicitar justificación cifre archivos cuando no se proporcione justificación, deberá seleccionar también Cifrar. Haga clic en Siguiente. 9 de 9 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. Se pueden incluir o excluir marcas y extensiones de archivo, así como definiciones de aplicaciones. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. 154 McAfee Data Loss Prevention Endpoint Guía del producto

155 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 Creación y definición de una regla de protección de comunicaciones de la red Las reglas de protección de comunicaciones de la red supervisan o bloquean los datos que entran o salen de su red. Puede limitar la regla con aplicaciones o marcas específicas. McAfee DLP Endpoint versión 9.3 usa un nuevo controlador de red (McAfee FireCore, una infraestructura de interceptación de red compartida con otros productos individuales de McAfee). Como resultado de este cambio, las reglas de protección de comunicaciones de la red solo son compatibles con sistemas operativos Windows que no son servidores. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de protección. Las reglas de protección disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de protección de comunicaciones de la red. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. McAfee Data Loss Prevention Endpoint Guía del producto 155

156 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 7 (opcional) 2 de 7 (opcional) Seleccione la opción Seleccionar de la lista y, a continuación, seleccione uno o varios intervalos de direcciones de red disponibles. Puede proteger o excluir definiciones del intervalo. Haga clic en Agregar elemento para crear una definición de intervalo de direcciones de red. Haga clic en Agregar grupo para crear un grupo de intervalos de direcciones de red. Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione uno o varios intervalos de puertos de red disponibles. Puede proteger o excluir definiciones del intervalo. Haga clic en Agregar elemento para crear una definición de intervalo de puertos de red. Haga clic en Agregar grupo para crear un grupo de intervalos de puertos de red. Haga clic en Siguiente. 3 de 7 Seleccione la dirección de conexión de red. Puede proteger las conexiones salientes o las entrantes, o ambas. Haga clic en Siguiente. 4 de 7 (opcional) 5 de 7 (opcional) Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de aplicaciones. Haga clic en Siguiente. Seleccione las marcas que se van a incluir o excluir de la regla. Debe incluir al menos una marca para usar la opción de exclusión de marcas. Haga clic en Agregar elemento para crear una marca. Haga clic en Siguiente. 6 de 7 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del vínculo. Haga clic en Siguiente. 7 de 7 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. Se pueden incluir o excluir marcas, así como definiciones de aplicaciones. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. Creación y definición de una regla de protección de escritor de PDF/ imágenes El software McAfee DLP Endpoint puede bloquear los controladores de impresión de escritor de PDF e imágenes que imprimen en archivos. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de protección. Las reglas de protección disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de protección de escritura de PDF/imágenes. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. 156 McAfee Data Loss Prevention Endpoint Guía del producto

157 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 2 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del vínculo. Si desea que Solicitar justificación bloquee la impresión cuando no se proporcione justificación, deberá seleccionar también Bloquear. Haga clic en Siguiente. 2 de 2 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. Creación y definición de una regla de protección contra impresión Las reglas de protección contra impresión supervisan o bloquean la impresión de los archivos. Puede limitar la regla a determinadas aplicaciones o marcas. Los complementos de impresora, que se activan en la ficha Configuración de los agentes Varios, pueden mejorar el rendimiento de la impresora cuando se utilizan determinadas aplicaciones comunes. Los complementos sólo se instalan cuando está activada una regla de protección contra impresión en el equipo gestionado. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de protección. Las reglas de protección disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de protección contra impresión. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. McAfee Data Loss Prevention Endpoint Guía del producto 157

158 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 6 (opcional) 2 de 6 (opcional) Seleccione la opción Seleccionar de la lista y, a continuación, seleccione una impresora de red disponible. Seleccione Otra impresora de red para proteger todas las impresoras de red que no se han definido, incluidos los controladores de impresoras de escritura de PDF e imágenes. Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione Cualquier impresora local para proteger la impresión de las impresoras locales. Haga clic en Siguiente. Sólo uno de los dos primeros pasos es opcional. Debe seleccionar una impresora de red, una local o ambas. 3 de 6 (opcional) 4 de 6 (opcional) Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de aplicaciones. Haga clic en Siguiente. Seleccione las marcas, las categorías de contenido y los grupos que se van a incluir o excluir de la regla. Debe incluir al menos una marca, categoría de contenido o grupo para usar la opción de exclusión. Haga clic en Agregar elemento para crear una nueva marca o categoría de contenido. Haga clic en Agregar grupo para crear un nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente. 5 de 6 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del vínculo. Si desea que Solicitar justificación bloquee la impresión cuando no se proporcione justificación, deberá seleccionar también Bloquear. Haga clic en Siguiente. 6 de 6 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. Se pueden incluir o excluir marcas, así como definiciones de aplicaciones. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. Creación y definición de una regla de protección de almacenamiento extraíble Las reglas de protección de almacenamiento extraíble supervisan o bloquean las operaciones de escritura en dispositivos de almacenamiento extraíbles. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de protección. Las reglas de protección disponibles aparecerán en el panel de la derecha. 158 McAfee Data Loss Prevention Endpoint Guía del producto

159 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de protección de almacenamiento extraíble. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 8 (opcional) 2 de 8 (opcional) 3 de 8 (opcional) 4 de 8 (opcional) 5 de 8 (opcional) 6 de 8 (opcional) Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de aplicaciones. Haga clic en Siguiente. Seleccione las marcas, las categorías de contenido y los grupos que se van a incluir o excluir de la regla. Debe incluir al menos una marca, categoría de contenido o grupo para usar la opción de exclusión. Haga clic en Agregar elemento para crear una nueva marca o categoría de contenido. Haga clic en Agregar grupo para crear un nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionar tipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones de archivos de la lista disponible. Haga clic en Siguiente. Seleccione una definición o un grupo de definiciones de propiedades de documentos de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de propiedades de documentos o en Agregar grupo para crear un nuevo grupo de propiedades de documentos. Haga clic en Siguiente. Para aplicar la regla a tipos de cifrado específicos, seleccione la opción Seleccionar de la lista y, después, seleccione uno o más tipos de cifrado. 7 de 8 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Cifrar, haga clic en Seleccionar una clave de cifrado para seleccionar una clave de cifrado o agregar una nueva. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del vínculo. Si desea que Solicitar justificación bloquee archivos cuando no se proporcione justificación, deberá seleccionar también Bloquear. Si desea que Solicitar justificación cifre archivos cuando no se proporcione justificación, deberá seleccionar también Cifrar. Haga clic en Siguiente. 8 de 8 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. Se pueden incluir o excluir marcas y extensiones de archivo, así como definiciones de aplicaciones. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. McAfee Data Loss Prevention Endpoint Guía del producto 159

160 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección Creación y definición de una regla de protección contra capturas de pantalla Las reglas de protección contra capturas de pantalla controlan los datos que se copian y pegan de una pantalla. Antes de empezar El módulo de capturas de pantalla debe activarse en la configuración del agente. En la ficha Varios, seleccione Captura de pantalla y como mínimo una de las opciones: La opción Controlador de la tecla Imprimir pantalla permite el bloqueo de capturas de pantalla con el teclado; la opción Controlador de aplicaciones permite el bloqueo de programas de capturas de pantalla de terceros. Si selecciona la opción Administrador de aplicaciones, especifique qué aplicaciones están bloqueadas en la ficha Configuración avanzada con Aplicaciones de capturas de pantalla Configuración. La función de capturas de pantalla solo es compatible con el bloqueo de API de interfaces de dispositivo gráfico (GDI). Las aplicaciones que realizan capturas de pantalla mediante DirectX o la API del Reproductor de Windows Media no se bloquean. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de protección. Las reglas de protección disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de protección contra capturas de pantalla. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. 160 McAfee Data Loss Prevention Endpoint Guía del producto

161 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 5 (opcional) Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de aplicaciones. Haga clic en Siguiente. Los procesos de confianza no forman parte de la lógica de las reglas de capturas de pantalla. Las aplicaciones con estrategia De confianza no están, por lo tanto, exentas de las reglas de capturas de pantalla y se bloquearán como cualquier otra aplicación. 2 de 5 Introduzca el título de una determinada ventana de aplicaciones y haga clic en Agregar. Repita la acción según corresponda. Haga clic en Siguiente. 3 de 5 (opcional) Seleccione las marcas que se van a incluir o excluir de la regla. Debe incluir al menos una marca para usar la opción de exclusión de marcas. Haga clic en Agregar elemento para crear una marca. Haga clic en Siguiente. 4 de 5 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del vínculo. Haga clic en Siguiente. 5 de 5 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. Se pueden incluir o excluir marcas, así como definiciones de aplicaciones. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. Creación y definición de una regla de protección de la publicación web Las reglas de protección de la publicación web supervisan o bloquean la publicación de los datos en sitios web, incluidos los sitios de correo electrónico web. La regla de protección de la publicación web es compatible con Microsoft Internet Explorer 6 y posterior y Firefox 3.6 y posterior. Con otros navegadores, utilice las reglas de protección de comunicaciones de la red. Las reglas de protección de la publicación web pueden bloquear o supervisar el contenido cargado en sitios web basados en las tecnologías AJAX o Flash. Esto incluye los sitios siguientes: Microsoft Outlook Web Access Yahoo Gmail Hotmail Google Docs Cuando una regla de protección de la publicación web está activada, las cargas de archivo de publicación web continúan ejecutándose en segundo plano a pesar de que la barra de carga indica que la carga ha terminado. McAfee Data Loss Prevention Endpoint Guía del producto 161

162 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección de contenido Reglas de protección. Las reglas de protección disponibles aparecerán en el panel de la derecha. 2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo Regla de protección de la publicación web. 3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica. 162 McAfee Data Loss Prevention Endpoint Guía del producto

163 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección 10 4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente. Paso Acción 1 de 8 (opcional) Seleccione la opción Seleccionar de la lista y, a continuación, seleccione un destino web o un grupo de destinos web disponible para esta regla. Haga clic en Agregar elemento para crear una definición de destino web. Haga clic en Agregar grupo para crear un grupo de destinos web. Haga clic en Siguiente. Si no se define ningún destino web determinado, se bloqueará todo el contenido HTTP saliente. 2 de 8 (opcional) 3 de 8 (opcional) 4 de 8 (opcional) 5 de 8 (opcional) 6 de 8 (opcional) Seleccione las marcas, las categorías de contenido y los grupos que se van a incluir o excluir de la regla. Debe incluir al menos una marca, categoría de contenido o grupo para usar la opción de exclusión. Haga clic en Agregar elemento para crear una nueva marca o categoría de contenido. Haga clic en Agregar grupo para crear un nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionar tipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente. Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensiones de archivos de la lista disponible. Haga clic en Siguiente. Seleccione una definición o un grupo de definiciones de propiedades de documentos de la lista disponible. Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear una nueva definición de propiedades de documentos o en Agregar grupo para crear un nuevo grupo de propiedades de documentos. Haga clic en Siguiente. Para aplicar la regla a tipos de cifrado específicos, seleccione la opción Seleccionar de la lista y, después, seleccione uno o más tipos de cifrado. 7 de 8 Seleccione acciones de la lista de acciones disponibles. De forma predeterminada, al elegir una acción se seleccionan Online y Offline. Desactive la opción que no necesite. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje de alerta, la dirección URL o el texto del vínculo. Si desea que Solicitar justificación bloquee las publicaciones web cuando no se proporcione justificación, deberá seleccionar también Bloquear. Haga clic en Siguiente. 8 de 8 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo al hacer clic en Agregar. Haga clic en Finalizar. Se pueden incluir o excluir marcas y extensiones de archivo. 5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección y seleccione Activar. McAfee Data Loss Prevention Endpoint Guía del producto 163

164 10 Aplicación de la protección de McAfee DLP Control del contenido de carácter confidencial con reglas de protección Eliminación de reglas, definiciones, clases de dispositivos o grupos de usuarios Se pueden eliminar reglas, clases de dispositivos o definiciones de las directivas, siempre que no estén en uso. No puede eliminar una definición o una clase de dispositivos que se esté utilizando. Antes de proceder a la eliminación, debe anular su selección en todas las reglas y grupos en los que se encuentre. Para eliminar las marcas, debe eliminar las reglas que las usan o bien eliminar las marcas de las reglas antes de continuar. Si no sabe si se está utilizando ese elemento o dónde se está utilizando, intente eliminarlo. Si se está utilizando, un mensaje indica las reglas o los grupos en los que se encuentra. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione la categoría (por ejemplo, definición de red) del elemento que desee eliminar. Los grupos y elementos disponibles aparecen en el panel principal. 2 Seleccione el elemento o el grupo que desee eliminar, haga clic con el botón derecho del ratón y seleccione Eliminar. 3 Haga clic en Sí para confirmar la eliminación. Utilización de definiciones predefinidas Las plantillas son definiciones del sistema preestablecidas, como definiciones de aplicaciones o patrones de texto. Mediante el asistente Sincronizador de plantillas, puede copiar plantillas en una directiva existente o crear plantillas a partir de las definiciones creadas para la directiva del sistema actual. Las definiciones de directivas almacenadas en el directorio de plantillas se pueden compartir o utilizar más tarde. Cuando distribuya una plantilla para crear una definición de dispositivos Plug and Play, asegúrese de que todas las clases de dispositivos utilizadas en las definiciones se incluyan en los valores predeterminados del sistema. Si utiliza una clase de dispositivo que no está en la configuración predeterminada del sistema, la definición se elimina y se muestra un mensaje de notificación. Sincronización de plantillas Las plantillas son definiciones del sistema preestablecidas, como definiciones de aplicaciones o patrones de texto. Utilice esta tarea para sincronizar plantillas con la directiva actual. Para ver las definiciones de las opciones, pulse F1. 1 En la consola de directivas de McAfee DLP Endpoint, en el menú Archivo, seleccione Sincronizar plantillas. Aparecerá el asistente Sincronización de plantillas. 164 McAfee Data Loss Prevention Endpoint Guía del producto

165 Aplicación de la protección de McAfee DLP Limitación de reglas con grupos de asignación 10 2 Seleccione el tipo de plantilla correspondiente en las fichas. Si no hay correspondencia entre la carpeta de plantillas y la directiva del sistema actual, la definición aparecerá como Falta. Figura 10-4 Asistente Sincronización de plantillas 3 Para ver las propiedades de la definición seleccionada, haga clic en Vista ( ). Para eliminar la definición seleccionada, haga clic en Eliminar ( ). 4 Para copiar una plantilla en la directiva actual o crear una plantilla nueva a partir de una definición de directiva actual, seleccione la definición y haga clic en uno de los iconos de desplazamiento, o. La entrada de la definición cambia de Falta al nombre de la definición. 5 Haga clic en Aceptar. Limitación de reglas con grupos de asignación A excepción de que la regla especifique lo contrario, las reglas de dispositivos y de protección se aplican por igual a todos los equipos y usuarios que reciben una directiva. Sin embargo, cuando es necesario, las reglas se pueden aplicar a usuarios, grupos, unidades organizativas o equipos concretos. La definición de grupos de asignación se puede realizar con Microsoft Active Directory o con OpenLDAP. La flexibilidad para definir usuarios o grupos específicos permite a los administradores aplicar reglas apropiadas para la función de un usuario. Las personas o los equipos que no deben tener acceso a la información confidencial tendrán grupos de reglas restrictivas, mientras que el conjunto de reglas de un administrador será mucho más amplio. Cuando se crean reglas de protección, se pueden aplicar a un usuario o a un grupo específicos a través del grupo de asignación, o bien a determinados equipos mediante un despliegue con epolicy Orchestrator. Contenido Asignación de usuarios Grupos de asignación de equipos McAfee Data Loss Prevention Endpoint Guía del producto 165

166 10 Aplicación de la protección de McAfee DLP Limitación de reglas con grupos de asignación Asignación de usuarios A excepción de que la regla especifique lo contrario, las reglas de dispositivos y de protección se aplican por igual a todos los equipos y usuarios que reciben una directiva. Sin embargo, cuando es necesario, las reglas se pueden aplicar a usuarios, grupos, unidades organizativas o equipos concretos. Se puede utilizar la opción Usuarios con permisos para omitir la aplicación de las reglas de bloqueo o de supervisión a determinados usuarios. Hay dos estrategias disponibles para los usuarios con permisos: Sólo supervisar y Reemplazar todo. El procedimiento para crear la lista es similar al utilizado para crear los grupos de asignación: se analiza la lista de usuarios y se seleccionan los nombres. Además, se puede incluir o excluir usuarios de la regla a la que está asignado el grupo o agregar usuarios locales a un grupo de asignación. Los usuarios excluidos son similares a los usuarios con permisos, ya que están exentos de determinadas reglas. La diferencia entre ellos radica en que los usuarios excluidos se definen en el grupo de asignación, por lo que sólo es necesario asignar ese grupo a una regla. Por otro lado, no podrá supervisar a esos usuarios si el grupo es bloqueado. La elección entre utilizar usuarios excluidos o usuarios con permisos ofrece al administrador una considerable flexibilidad a la hora de determinar cómo aplicar las reglas. Los usuarios locales se definen como usuarios que han iniciado sesión de forma remota con autenticación local. Creación de un grupo de asignación de usuarios Los grupos de asignación de usuarios definen grupos de usuarios que se van a incluir o excluir de las reglas. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Asignación de directivas, seleccione Grupos de asignación de usuarios. Los grupos de asignación disponibles aparecerán el panel de la derecha. 2 En el panel Grupos de asignación de usuarios, haga clic con el botón derecho y seleccione Nuevo Grupo de asignación de usuarios. Aparecerá el icono del nuevo Grupo de asignación de usuarios. 3 Asigne un nombre al nuevo grupo de asignación de usuarios y haga doble clic en el icono. Aparecerá la ventana de edición con la ficha Asignación de directiva. 4 Haga clic en Agregar para seleccionar los objetos de este grupo (dominios, unidades organizativas, grupos y usuarios). Aparecerá una ventana de búsqueda. 5 Seleccione los Tipos de objeto que vaya a buscar y especifique un filtro; a continuación, haga clic en Buscar para buscar usuarios y grupos. 6 Seleccione los usuarios y grupos que vaya a agregar al grupo de asignación y haga clic en Aceptar. 166 McAfee Data Loss Prevention Endpoint Guía del producto

167 Aplicación de la protección de McAfee DLP Limitación de reglas con grupos de asignación 10 7 Los usuarios y grupos se incluyen de forma predeterminada. Para excluir uno de ellos de las reglas del grupo al que está asignado, debe seleccionarlo. Figura 10-5 Inclusión y exclusión de usuarios 8 Para agregar usuarios locales al grupo, haga clic en Agregar usuarios locales. 9 Si ha creado reglas a las que desea asignar el grupo, haga clic en la ficha Reglas de protección a fin de seleccionar las reglas de protección para este grupo de asignación. Cuando haya terminado de seleccionar las opciones necesarias, haga clic en Aceptar. El orden no importa. Puede crear las reglas primero y asignárselas a un grupo en este paso, o bien crear antes los grupos y asignárselos a las reglas una vez que las haya creado. Creación de un grupo de usuarios con permisos Se puede utilizar la configuración de Usuarios con permisos para omitir la aplicación de las reglas de bloqueo o de supervisión para determinados usuarios. Para ver las definiciones de las opciones, pulse F1. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Asignación de directivas, seleccione Usuarios con permisos. Los grupos disponibles aparecerán en el panel de la derecha. 2 En el panel Usuarios con permisos, haga clic con el botón derecho y seleccione Buscar usuarios y grupos. Se abrirá una ventana de búsqueda. 3 Seleccione los Tipos de objeto que vaya a buscar y especifique un filtro; a continuación, haga clic en Buscar para buscar usuarios y grupos. McAfee Data Loss Prevention Endpoint Guía del producto 167

168 10 Aplicación de la protección de McAfee DLP Limitación de reglas con grupos de asignación 4 Seleccione los usuarios y grupos que vaya a agregar al grupo de usuarios con permisos y haga clic en Aceptar. El nuevo icono de Usuarios con permisos aparecerá en la ventana. 5 La estrategia predeterminada para los usuarios con permisos es Reemplazar todo. Para cambiarla, haga clic con el botón derecho en el icono del grupo y seleccione Definir estrategia Sólo supervisar. Grupos de asignación de equipos Los grupos de asignación de equipos especifican las directivas que se asignan a cada equipo. Puede utilizar esta función para aplicar diferentes directivas a los grupos de equipos de la red. Cuando se asignan directivas específicas a un grupo de equipos, estas directivas se aplican en dichos equipos y los grupos de asignación del usuario de las reglas de McAfee DLP Endpoint se pierden. Los grupos de asignación de equipos constituyen una función de epolicy Orchestrator. Se describen aquí por el efecto que tienen en las reglas de McAfee DLP Endpoint. A los grupos de asignación de equipos se accede a partir del catálogo de directivas especificando la categoría del grupo de asignación de equipos. Asignación de directivas con grupos de asignación de equipos La función de grupo de asignación de equipos permite elegir las reglas de McAfee DLP Endpoint que desea asignar a un grupo concreto de equipos. Figura 10-6 Asignación de reglas con grupos de asignación de equipos de epo Si, por ejemplo, ha asignado equipos de marketing a un grupo y después selecciona una regla de protección del correo electrónico y una regla de protección de la publicación web en la definición del grupo de asignación de equipos, estas reglas de DLP se aplicarán a todos los usuarios del grupo de equipos de marketing, no de acuerdo al grupo de asignación de usuarios definido en la regla de protección de DLP. Todas las reglas que no estén incluidas en el grupo de asignación del equipo (por ejemplo, una regla de protección de almacenamiento extraíble) se aplicarán de acuerdo a la definición del grupo de asignación de usuarios de la regla. 168 McAfee Data Loss Prevention Endpoint Guía del producto

169 Supervisión y generación de informes En esta sección se describe el Administrador de incidentes de DLP y cómo debe usarlo para realizar un seguimiento de las infracciones de directivas y revisarlas, y Eventos operativos de DLP, que se utiliza para realizar un seguimiento de los eventos administrativos como, por ejemplo, el despliegue de agentes, la actualización de directivas, etc. Capítulo 11 Capítulo 12 Supervisión y generación de informes Conjuntos de permisos y usuarios McAfee Data Loss Prevention Endpoint Guía del producto 169

170 Supervisión y generación de informes 170 McAfee Data Loss Prevention Endpoint Guía del producto

171 11 Supervisión y generación de informes Los administradores pueden ver los eventos de seguridad en Administrador de incidentes de DLP. McAfee DLP Endpoint versión 9.3 divide los eventos en dos clases: incidentes (es decir, infracciones de directivas) y eventos administrativos. Dichos eventos se ven en las dos consolas, Administrador de incidentes de DLP y Eventos operativos de DLP. Cuando el software McAfee DLP Endpoint de un equipo gestionado determina que se ha producido una infracción de directiva, genera un evento y lo envía al Analizador de eventos de epolicy Orchestrator. Estos eventos se pueden ver, filtrar y clasificar en la consola de Administrador de incidentes de DLP, lo que permite a los responsables de la seguridad o a los administradores ver los eventos y responder inmediatamente. En caso necesario, se adjunta el contenido sospechoso como prueba del evento. Ya que McAfee DLP Endpoint es fundamental en la estrategia de una empresa para cumplir las normativas y la legislación que protege los datos confidenciales, Administrador de incidentes de DLP presenta la información sobre la transmisión de datos confidenciales de forma precisa y flexible. Los auditores, responsables de firmas, administradores de información confidencial y otros empleados relevantes pueden utilizar el Administrador de incidentes de DLP para observar actividades sospechosas o no autorizadas y actuar conforme a la política de privacidad de la empresa, a la normativa correspondiente y a otras leyes aplicables. El administrador del sistema o el responsable de la seguridad pueden seguir los eventos administrativos relativos a los agentes y al estado de distribución de directivas. La consola de Eventos operativos de DLP muestra detalles sobre el despliegue del cliente, cambios en las directivas, despliegue de directivas, inicios de sesión en modo seguro, omisiones de agentes y otros eventos administrativos. Contenido Recopilación y administración de datos Redacción y control de acceso según funciones Recopilación y administración de datos Los datos de las tablas DLP en la base de datos de epolicy Orchestrator se pueden ver en las páginas Administrador de incidentes de DLP y Eventos operativos de DLP o se pueden intercalar en los informes y paneles. La supervisión del sistema consiste en la recopilación y revisión de pruebas y eventos, así como en la generación de informes. Puede utilizar las herramientas de administración de la base de datos para gestionarla y ver sus estadísticas. La revisión de los eventos y las pruebas registradas permite a los administradores determinar si las reglas son demasiado restrictivas, lo que provoca retrasos innecesarios en el trabajo, o si son poco estrictas, lo que facilita la fuga de datos. McAfee Data Loss Prevention Endpoint Guía del producto 171

172 11 Supervisión y generación de informes Recopilación y administración de datos Contenido Administrador de incidentes de DLP/Eventos operativos de DLP Tareas de incidentes Edición del ejecutor de tareas Creación de informes Funcionamiento con la base de datos Documentación de eventos mediante pruebas Administrador de incidentes de DLP/Eventos operativos de DLP Los administradores usan la página Administrador de incidentes de DLP en epolicy Orchestrator para ver los eventos de seguridad de las infracciones de directivas, junto con las pruebas y el resaltado de coincidencias especificado en la configuración de los agentes, así como los recuentos de referencias y otros detalles. también define las Tareas de incidentes. Los administradores usan la página Eventos operativos de DLP para ver los eventos administrativos como, por ejemplo, los despliegues de agentes. Con el fin de mejorar la seguridad, el software McAfee DLP Endpoint versión 9.3 ha eliminado el vínculo de conexión del servicio WCF que previamente se usaba para conectar la base de datos de epolicy Orchestrator al McAfee DLP Monitor. La nueva interfaz del supervisor forma parte integral de epolicy Orchestrator y consta de dos páginas de epolicy Orchestrator: Administrador de incidentes de DLP: para mostrar eventos de seguridad Eventos operativos de DLP: para mostrar eventos administrativos Se incluye la nueva función Tareas de incidentes como una ficha en el Administrador de incidentes. En la versión 9.3, hay tres tareas disponibles: notificaciones por correo electrónico sobre infracciones de directivas, purgado según los criterios predeterminados y definición de un revisor. Cómo funciona La ficha Lista de incidentes del Administrador de incidentes de DLP dispone de toda la funcionalidad del anterior McAfee DLP Monitor. Los detalles del evento se pueden ver al hacer clic en el evento en cuestión. Puede crear y guardar filtros para modificar la vista. También puede modificar la vista al seleccionar y ordenar las columnas. Puede etiquetar eventos individuales (para el filtrado por etiqueta) y configurar propiedades para el estado, resolución y revisor asignado. La página Eventos operativos de DLP funciona del mismo modo con los eventos administrativos. Figura 11-1 Administrador de incidentes de DLP Use la ficha Tareas de incidentes para configurar los criterios de las tareas planificadas. Para las tareas de correo electrónico debe configurar el correo electrónico (destinatarios, asunto, cuerpo) y definir los criterios que las activarán al ser enviados. 172 McAfee Data Loss Prevention Endpoint Guía del producto

173 Supervisión y generación de informes Recopilación y administración de datos 11 La pestaña Tareas de incidentes funciona con las tareas servidor de epolicy Orchestrator para planificar las tareas. Se instala una nueva tarea servidor, Ejecutor de tareas de DLP, con el softwaremcafee DLP Endpoint para este propósito. La pestaña Lista de incidentes funciona con las consultas e informes de epolicy Orchestrator para crear informes y mostrar los datos en los paneles de epolicy Orchestrator. Caso práctico: configuración de propiedades Las propiedades son datos que se añaden a un incidente que requiere un seguimiento. Puede agregar las propiedades desde Acciones Definir propiedades o desde el panel Detalles del incidente. Las propiedades son: Gravedad, Estado, Solución y Revisor. El revisor puede ser cualquier usuario de epolicy Orchestrator. El motivo por el cual es posible cambiar la gravedad es porque, en caso de que el administrador determine que el estado es un falso positivo, la gravedad original dejará de ser importante. Caso práctico: cambio de la vista Además de utilizar los filtros para modificar la vista, también puede personalizar los campos y el orden de visualización. Las vistas personalizadas se pueden guardar y utilizar de nuevo. Crear un filtro implica las siguientes tareas: 1 Haga clic en Acciones Vista Elegir columnas para abrir la ventana de edición de la vista. 2 Utilice el icono x para eliminar columnas y los iconos de flechas para desplazar las columnas desde la izquierda hacia la derecha. 3 Haga clic en Actualizar vista para aplicar la vista personalizada y Acciones Vista Guardar vista para guardar y usar en un futuro. Al guardar la vista también puede guardar la hora y los filtros personalizados. En el menú desplegable de la parte superior de la página puede seleccionar las vistas guardadas. Visualización de los detalles del evento Puede ver los detalles del evento y las pruebas en la página Administrador de incidentes de DLP. También puede asignar un revisor, así como editar la gravedad, el estado y la solución del incidente. 1 Dentro deen epolicy Orchestrator, seleccione Menú Protección de datos Administrador de incidentes de DLP. 2 En el panel Lista de incidentes, ordene la lista haciendo clic en cualquier columna. Puede ordenar por gravedad, hora, usuario, etc. 3 Haga clic en un evento de la lista para ver todos los detalles. La información del evento aparece en el panel Información sobre incidentes de DLP. McAfee Data Loss Prevention Endpoint Guía del producto 173

174 11 Supervisión y generación de informes Recopilación y administración de datos 4 Para ver los campos redactados, seleccione Acciones Publicar redacción. En el cuadro de diálogo que aparece, introduzca el nombre de usuario y la contraseña de un administrador con permiso para acceder a información confidencial. La prueba redactada se visualiza de modo similar. Según como estén configurados los permisos basados en funciones, podrán ser necesarios dos administradores: uno con permiso para ver la pantalla Administrador de incidentes de DLP (excepto texto confidencial) y otro con permiso para ver el texto confidencial. Consulte Creación y definición de conjuntos de permisos en esta guía para obtener información sobre la configuración de conjuntos de permisos. 5 Si la opción Almacenar pruebas forma parte de la regla de protección o descubrimiento que provoca el evento, el número de archivos de pruebas se mostrará en la ficha Pruebas en la sección inferior del panel Información sobre incidentes de DLP. Para ver el archivo de pruebas, seleccione la ficha para mostrar la lista de archivos. Haga clic en un vínculo para mostrar el archivo de pruebas. Figura 11-2 Detalles de la Lista de incidentes Definición de filtros Cuando se visualizan eventos en las páginas Administrador de incidentes de DLP o Eventos operativos de DLP, es posible que sea conveniente reducir la cantidad de información visible de forma que pueda concentrarse rápidamente en los detalles relevantes. Puede aplicar un filtro con el fin de definir criterios específicos que reduzcan la lista de eventos a los datos que le interesan. Puede utilizar un filtro de tiempo predefinido (por ejemplo las últimas 24 horas) o crear un filtro personalizado. Las funciones de supervisión de McAfee DLP Endpoint versión 9.3 (Administrador de incidentes de DLP y Eventos operativos de DLP) no disponen de filtros predefinidos (excepto filtros temporales), solo filtros definidos por el usuario. Para Administrador de incidentes de DLP, los filtros se crean a partir de una lista de propiedades en la que se incluyen propiedades de epolicy Orchestrator y del equipo, además de propiedades de DLP. Con la excepción de las marcas de epolicy Orchestrator y de la ruta de acceso del árbol de sistemas de epolicy Orchestrator, estas propiedades adicionales no son relevantes para los filtros de Administrador de incidentes de DLP. Para Eventos operativos de DLP, solamente las propiedades de eventos operativos de DLP y las etiquetas de DLP se muestran como opciones de filtro. Cuando crea un filtro nuevo, se muestra como unsaved en la ventana Filtro y se guarda para esa sesión de usuario. Es decir, puede alternar entre unsaved y no custom filter sin perder el filtro. Debe guardar el filtro antes de cerrar la sesión de usuario (es decir, cerrar la sesión de epolicy Orchestrator) o si desea trabajar con más de un filtro. 174 McAfee Data Loss Prevention Endpoint Guía del producto

175 Supervisión y generación de informes Recopilación y administración de datos 11 Los parámetros del filtro pueden definir eventos (ID de evento, tipo de evento), aspectos de la directiva (tipos de archivo, reacciones), o propiedades (resolución, estado). Si ha creado Etiquetas de DLP, puede utilizarlas para definir filtros. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 Seleccione la lista de eventos que desee filtrar: Seleccione Menú Protección de datos Administrador de incidentes de DLP para la página Lista de incidentes. Seleccione Menú Protección de datos Eventos operativos de DLP para la página Lista de eventos operativos. 2 Seleccione Acciones Filtro Editar Filtro o haga clic en Editar al lado de la ventana Filtro.. Aparece la página Editar criterios de filtrado. 3 Agregue propiedades de la lista Propiedades disponibles; para ello, haga clic en la flecha situada a la derecha del nombre de la propiedad. Rellene los campos Comparación y Valor mediante las listas desplegables o, cuando el campo sea un cuadro de texto, escriba el valor. Puede eliminar una propiedad; para ello, haga clic en la flecha situada a la izquierda del campo Propiedad. También puede agregar más valores a una propiedad si hace clic en +. Use la propiedad Producido (UTC) para agregar horas y Producido (Endpoint) para agregar fechas. La propiedad Producido hace referencia al estado online/offline. 4 Haga clic en Actualizar filtro para aplicar el filtro. El mensaje (sin guardar) aparece en la ventana de la lista desplegable Filtro. Los filtros que no se hayan guardado permanecerán disponibles hasta que cierre la sesión de epolicy Orchestrator. 5 Para guardar el filtro para usarlo en el futuro, seleccione Acciones Filtro Guardar filtro. Se le solicitará un nombre y que defina el filtro como Privado o Público. Haga clic en Aceptar cuando haya terminado. 6 Para eliminar un filtro, selecciónelo en la lista desplegable Filtro y, a continuación, seleccione Acciones Filtro Eliminar filtro. Ejemplo: filtrar por versión de agente Si utiliza McAfee DLP Endpoint en modo de compatibilidad con versiones anteriores y ha desplegado varias versiones de cliente, quizá le interese examinar los resultados correspondientes a una versión de cliente en particular. Para ello, haga lo siguiente: 1 En la sección Incidentes de DLP de la lista de propiedades, seleccione Versión del agente. Esta propiedad hace referencia a la versión del cliente de McAfee DLP Endpoint, no a la versión de McAfee Agent. Esa propiedad se muestra como Versión del producto (agente). 2 Seleccione la Comparación para incluir o excluir la versión del agente que se desee. El Valor se debe introducir desde una lista. El software analiza todos los incidentes y solo muestra los valores existentes. Véase también Utilización de etiquetas para marcar eventos en la página 176 McAfee Data Loss Prevention Endpoint Guía del producto 175

176 11 Supervisión y generación de informes Recopilación y administración de datos Utilización de etiquetas para marcar eventos Las etiquetas personalizadas permiten asignar a los eventos una marca exclusiva. Gracias al uso de estas etiquetas personalizadas, los eventos se pueden clasificar y personalizar fácilmente. 1 En epolicy Orchestrator, seleccione Menú Protección de datos Administrador de incidentes de DLP. Las etiquetas también se pueden usar con Eventos operativos de DLP de forma similar. 2 Para agregar una etiqueta, seleccione uno o varios eventos. Seleccione Acciones Administrar etiquetas Definir. Seleccione Agregar y escriba el nombre de la etiqueta nueva. Haga clic en Aceptar. Seleccione Sustituir todo y, a continuación, seleccione una o varias etiquetas existentes. Haga clic en Aceptar. La(s) etiqueta(s) se asocian a los eventos. Ahora ya puede usar estas etiquetas para filtrar u ordenar la lista. 3 Para eliminar una etiqueta de eventos específicos, seleccione el evento o eventos y, acto seguido, seleccione Acciones Administrar etiquetas Separar. En el cuadro de diálogo, seleccione la(s) etiqueta(s) que desee eliminar del evento. Haga clic en Aceptar. 4 Para eliminar una etiqueta de todos los eventos, seleccione Acciones Administrar etiquetas Eliminar. En el cuadro de diálogo, seleccione la(s) etiqueta(s) que desee eliminar de la lista. Haga clic en Aceptar. Véase también Definición de filtros en la página 174 Tareas de incidentes La ficha Tareas de incidentes de Administrador de incidentes de DLP usa las Tareas servidorde epolicy Orchestrator para llevar a cabo operaciones cuando se cumplen determinados criterios. En la versión actual, se admiten tres tareas de incidentes: Notificación por correo electrónico: se usa para informar a usuarios, administradores u otras personas en función de los criterios especificados. Definir revisor: se utiliza para limitar el acceso de visualización al asignar incidentes a un revisor o grupo. Purga: se usa para purgar los incidentes de la base de datos. Los criterios pueden incluir cualquier campo de incidentes, así como las marcas de epolicy Orchestrator o la ruta de acceso del árbol de sistemas. La tarea servidor de ejecutor de tareas de DLP ejecuta las tareas. Caso práctico: creación de una nueva tarea de incidentes Haga clic en Acciones Nuevo y seleccione uno de los tres tipos de tareas. Rellene los campos obligatorios y opcionales en el panel Propiedades de tarea. Agregue y defina las propiedades en el panel de propiedades de incidentes. Guarde la tarea. Los valores de las propiedades de incidentes solo se pueden agregar a partir de los valores que ya existen en la base de datos. No puede crear una tarea basándose en los resultados esperados teóricos. 176 McAfee Data Loss Prevention Endpoint Guía del producto

177 Supervisión y generación de informes Recopilación y administración de datos 11 Caso práctico: cambio de la vista La vista Tareas de incidentes es personalizable. Seleccione Acciones Elegir columnas para ver la página Seleccionar las columnas que se van a mostrar. Puede agregar o eliminar columnas y cambiar el orden. Haga clic en Guardar para activar la vista personalizado o Usar predeterminada para volver a la vista estándar. Caso práctico: activación/desactivación, edición y eliminación En la vista predeterminada se muestra la columna Acciones, lo que le permite poder Editar, Activar/Desactivar o Eliminar la tarea directamente en la página Tareas de incidentes. Si no se muestra la columna, seleccione Acciones Establecer para activar/desactivar, Acciones Editar para editar o Acciones Eliminar para eliminar la tarea. Edición del ejecutor de tareas La tarea servidor de ejecutor de tareas de DLP de epolicy Orchestrator planifica y ejecuta las tareas definidas en Tareas de incidentes de Administrador de incidentes de DLP. Antes de empezar Defina una o más tareas en Tareas de incidentes de Administrador de incidentes de DLP. La planificación predeterminada del ejecutor de tareas de DLP es de una vez al día, sin embargo, las tareas no se activan de forma predeterminada. Debe editar los parámetros predeterminados para poder ejecutar cualquier tarea o crear un nuevo ejecutor de tareas. Para ver las definiciones de las opciones, pulse F1. 1 En la página Tareas servidor de epolicy Orchestrator, haga clic en Nueva tarea. Aparece el Generador de tareas servidor. 2 En la página Descripción, escriba el nombre de la tarea. Haga clic en Siguiente. 3 En la página Acciones, seleccione Ejecutor de tareas de incidentes de DLP de la lista desplegable Acciones. Haga clic en Seleccionar tareas y seleccione las tareas de la lista. Figura 11-3 Edición del ejecutor de tareas Las tareas se muestran en la página Acciones. McAfee Data Loss Prevention Endpoint Guía del producto 177

178 11 Supervisión y generación de informes Recopilación y administración de datos 4 Use las flechas para establecer el orden de las tareas o para borrar aquellas que no desee ejecutar, para ello haga clic en X. 5 En la página Planificación, ajuste la planificación según sea necesario. Haga clic en Siguiente. 6 Revise los parámetros y haga clic en Guardar. Creación de informes El software McAfee DLP Endpoint utiliza funciones de generación de informes de epolicy Orchestrator. hay disponibles varios informes preprogramados, así como la opción para diseñar informes personalizados. Consulte el capítulo Consultas de la base de datos de la Guía del producto de McAfee epolicy Orchestrator para obtener más información. Se admiten dos tipos de informes: Informes de propiedades de DLP Informes de eventos de DLP Nueve informes de propiedades de DLP se muestran en los paneles DLP: Resumen de estado. Se facilitan doce consultas de eventos predefinidas. Las veintiuna consultas se encuentran en la consola de epolicy Orchestrator en Menú Informes Consultas e informes Grupos compartidos. epolicy Orchestrator incluye una función de datos acumulados, la cual ejecuta consultas que informan sobre datos de resumen de varias bases de datos de epolicy Orchestrator. Todos los informes de McAfee DLP Endpoint están configurados para admitir consultas de datos acumulados. Opciones de informes El software McAfee DLP Endpoint utiliza los informes de epolicy Orchestrator para revisar los eventos. Asimismo, puede ver información sobre las propiedades del producto en el panel de epolicy Orchestrator. Informes de epolicy Orchestrator El software McAfee DLP Endpoint integra las funciones de generación de informes con el servicio de generación de informes de epolicy Orchestrator. Para obtener información sobre el uso del servicio de generación de informes de epolicy Orchestrator, consulte la Guía del producto de McAfee epolicy Orchestrator. Se admiten las consultas y los informes de datos acumulados de epolicy Orchestrator, que resumen los datos procedentes de varias bases de datos de McAfee epo. Se admiten las notificaciones de epolicy Orchestrator. Consulte el tema Envío de notificaciones de la Guía del producto demcafee epolicy Orchestrator para obtener más información. Panel de epo/informes de epo Puede ver información sobre las propiedades del producto DLP en la página Menú Generación de informes Paneles de epolicy Orchestrator. Seleccione DLP: Resumen de estado para ver los paneles de McAfee DLP Endpoint. En McAfee epolicy Orchestrator 4.5, seleccione la ficha DLP: Resumen de estado de la consola de paneles de epo. En McAfee epolicy Orchestrator 4.6 y 5.0, seleccione la ficha DLP: Resumen de estado en la lista desplegable Panel. 178 McAfee Data Loss Prevention Endpoint Guía del producto

179 Supervisión y generación de informes Recopilación y administración de datos 11 Se muestran nueve supervisores predefinidos. Los supervisores se pueden editar y personalizar. Asimismo, se pueden crear nuevos supervisores. Consulte la documentación de McAfee epolicy Orchestrator para obtener instrucciones. Los nueve informes de panel y los doce otros informes predefinidos están disponibles en Menú Informes Consultas e informes. Aparecen bajo Grupos compartidos Data Loss Prevention. Los seis informes estándar también disponibles como informes de datos acumulados se indican en las tablas. Paneles predefinidos En la siguiente tabla se detallan los paneles predefinidos de McAfee DLP Endpoint. Tabla 11-1 Paneles predefinidos de DLP (Consultas públicas) Nombre modo de operación de agente Estado del agente Versión del agente Agentes omitidos Reglas implementadas Distribución de las directivas Descripción Muestra un gráfico circular de agentes por modos de funcionamiento de DLP. Los modos de funcionamiento son: Modo de solo control de dispositivos Modo de protección de contenido completo y control de dispositivos Modo de protección de almacenamiento extraíble basada en contenido y control de dispositivos Desconocido Muestra todos los agentes y su estado. Muestra la distribución de los endpoints en la empresa. Se utiliza para supervisar el progreso del despliegue de los agentes. Muestra el número de nodos de DLP que están en modo de omisión de la directiva. Se trata de una visualización en tiempo real que se actualiza cuando empieza o caduca una omisión. Muestra el número de sesiones de usuario que implementan de cada regla, agrupadas por tipo de regla. Este panel sustituye a los paneles separados de reglas implementadas de dispositivo, protección y descubrimiento de versiones anteriores. Muestra la distribución de las directivas de DLP en la empresa. Se utiliza para supervisar el progreso al desplegar una nueva directiva. Informes de eventos predefinidos En la siguiente tabla se detallan los informes de eventos predefinidos de McAfee DLP Endpoint. Tabla 11-2 Informes de eventos de DLP predefinidos (Mis consultas) Nombre modo de operación de agente Estado del agente (también informe de datos acumulados) Descripción Muestra los agentes por modo de funcionamiento. Muestra todos los agentes y su estado. Este informe cuenta con valores nuevos para los clientes de la versión 9.3: Error al instalar el controlador Agente instalado: pendiente de reiniciar Agente activo: no hay directiva Agente no instalado Error al instalar el agente El agente se está ejecutando El agente no se está ejecutando McAfee Data Loss Prevention Endpoint Guía del producto 179

180 11 Supervisión y generación de informes Recopilación y administración de datos Tabla 11-2 Informes de eventos de DLP predefinidos (Mis consultas) (continuación) Nombre Distribución de comunicación del agente a epo (también informe de datos acumulados) Versión del agente (también informe de datos acumulados) Eventos de dispositivos de bloqueo de escritura y bloqueo Agentes omitidos (también informe de datos acumulados) Distribución de eventos diarios según gravedad Reglas implementadas (también informe de datos acumulados) Eventos según tipo de evento (también informe de datos acumulados) Eventos por regla de protección Eventos según regla de protección/descubrimiento por fecha Eventos según gravedad (también informe de datos acumulados) Eventos por marca y categoría (también informe de datos acumulados) Distribución de las rutas de las pruebas Distribución de las directivas (también informe de datos acumulados) Permisos con privilegios Clases de dispositivos no definidas Descripción Muestra los endpoints conforme a la fecha de su última comunicación con epolicy Orchestrator. Muestra la distribución de los endpoints en la empresa. Se utiliza para supervisar el progreso del despliegue de los agentes. Muestra los eventos del dispositivo que se han bloqueado o que se han bloqueado contra escritura. Muestra el número de nodos de DLP que están en modo de omisión de la directiva. Se trata de una visualización en tiempo real que se actualiza cuando empieza o caduca una omisión. Muestra los eventos de un día ordenados por gravedad. Muestra el número de sesiones de usuario que implementan de cada regla, agrupadas por tipo de regla. Muestra el número de eventos de cada tipo de evento. Muestra el número de eventos de cada regla. Muestra el número de eventos de cada regla en distintas fechas. Muestra el número de eventos para cada nivel de gravedad. Muestra el número de eventos de cada marca y la categoría de contenido que reconocen. Muestra los distintos recursos compartidos de prueba que utilizan los agentes. Resulta útil cuando hay varias configuraciones de agente diferentes. Muestra la distribución de las directivas de DLP en la empresa. Se utiliza para supervisar el progreso al desplegar una nueva directiva. Muestra los usuarios de DLP con privilegios actualmente. Le permite desglosar la información para ver los usuarios de DLP normales, así como los usuarios con permisos sólo supervisar y los usuarios a los que se les permite omitir todos los eventos de DLP. Presenta una lista y un gráfico de barras de aquellos dispositivos cuya clase no puede ser determinada. 180 McAfee Data Loss Prevention Endpoint Guía del producto

181 Supervisión y generación de informes Recopilación y administración de datos 11 Tabla 11-2 Informes de eventos de DLP predefinidos (Mis consultas) (continuación) Nombre Impresoras no gestionadas Impresoras no admitidas Descripción Presenta una lista y un gráfico de barras de las impresoras no gestionadas (en lista blanca) y del número de nodos asociados a cada una de ellas. Si hace clic en una impresora de la lista o en una barra del gráfico, se desglosará una lista de los equipos conectados a ella. Si hace clic en un equipo, se desglosan las propiedades del equipo. Presenta una lista y un gráfico de barras de las impresoras no admitidas (es decir, impresoras detectadas por DLP Endpoint que no estaban en la lista blanca pero que no pudieron instalar un controlador proxy de DLP), así como el número de nodos asociados a cada una. Si hace clic en una impresora de la lista o en una barra del gráfico, se desglosará una lista de los equipos conectados a ella. Si hace clic en una estación de trabajo, se desglosan las propiedades del equipo. Compatibilidad con los paneles e informes de los clientes de versiones anteriores a la 9.3 Los clientes de McAfee DLP Endpoint de la versión anterior a la 9.3 no admiten sesiones de varios usuarios. Los clientes más antiguos siguen proporcionando información sobre las propiedades como lo hacían anteriormente, y dichas propiedades se muestran en la página Detalles del producto del árbol de sistemas de epolicy Orchestrator. Estos clientes se marcan para indicar que no admiten sesiones de varios usuarios. Para hacer que la tarea de generación de informes de propiedades DLP MA sea compatible con versiones anteriores, algunas propiedades (Estado del agente, Distribución de comunicaciones del agente a epo, Agentes omitidos y Distribución de las directivas) se han hecho obsoletas, es decir, hay una versión de la propiedad para los clientes nuevos y otra versión para los clientes antiguos. En una ampliación, en las consultas definidas y modificadas por el usuario se agregar la nota "Obsoleto, consulte las notas de la versión". Los informes que no se han modificado se sustituyen por la nueva funcionalidad. Configuración de informes de datos acumulados de Data Loss Prevention Los informes de datos acumulados son una función de epolicy Orchestrator que se puede utilizar con datos de McAfee DLP Endpoint. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En epolicy Orchestrator seleccione Menú Automatización Tareas servidor. 2 Seleccione Nueva tarea (o Acciones Nueva Tarea). 3 Escriba un nombre para la tarea y notas (opcionales) y, acto seguido, haga clic en Siguiente. 4 En la lista desplegable Acciones, seleccione Acumular datos. En la lista desplegable Tipo de datos, seleccione uno de los tipos de informe de McAfee DLP Endpoint: Reglas implementadas de DLP, Eventos de DLP, Propiedades DLP MA o Contraseñas de DLP. 5 Continúe con la configuración según sea necesario. Haga clic en Siguiente. 6 Defina el tipo de planificación, la fecha y la hora. Haga clic en Siguiente. 7 Revise la información de configuración y haga clic en Guardar. McAfee Data Loss Prevention Endpoint Guía del producto 181

182 11 Supervisión y generación de informes Recopilación y administración de datos Funcionamiento con la base de datos El software McAfee DLP Endpoint incluye dos herramientas para trabajar con la base de datos. Administración de la base de datos Es posible eliminar los eventos no deseados de la base de datos de eventos. Antes de empezar Al eliminar eventos de la base de datos, asegúrese de que se haya informado de ellos y se hayan analizado debidamente. Se recomienda crear una copia de seguridad de la base de datos antes de eliminar eventos. La eliminación de todos los eventos del sistema podría eliminar las infracciones antes de que los responsables de seguridad o los administradores las hayan detectado. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de la base de datos, seleccione Administración de la base de datos. Las acciones administrativas aparecerán en el panel de la derecha. 2 Seleccione una acción de la lista disponible. Aparecerá la ventana de confirmación. Preste atención a la descripción de cada opción. En particular, la opción Fecha elimina los eventos anteriores a la fecha especificada. 3 Haga clic en Ejecutar para continuar con la operación o en Cerrar para cancelarla. Aparecerá la ventana de la barra de progreso. Visualización de las estadísticas de la base de datos Las estadísticas de la base de datos se pueden ver directamente en la consola de directivas. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de la base de datos, seleccione Estadísticas de la base de datos. La lista de valores estadísticos disponibles aparece en el panel derecho. 2 En la barra de herramientas, seleccione Actualizar estadísticas de la base de datos para actualizar la información. 3 Seleccione cualquier valor de la lista disponible para ver los detalles. Documentación de eventos mediante pruebas La prueba es una copia del archivo o del correo electrónico que ha provocado la publicación de un evento de seguridad enadministrador de incidentes de DLP. Algunas reglas permiten la opción de almacenar pruebas. Cuando esta opción está seleccionada, se almacena una copia cifrada del contenido bloqueado o supervisado en la carpeta de pruebas predefinida en el equipo del endpoint. Cuando McAfee DLP Endpoint pasa información al servidor, la 182 McAfee Data Loss Prevention Endpoint Guía del producto

183 Supervisión y generación de informes Recopilación y administración de datos 11 carpeta se purga y la prueba se almacena en la carpeta de pruebas del servidor. Las opciones de la ficha Prueba de Configuración de los agentes pueden usarse para controlar el tamaño y la antigüedad máximos del almacenamiento de pruebas local cuando el equipo está sin conexión. Requisitos previos para almacenamiento de pruebas Debe habilitarse el almacenamiento de pruebas antes de poder usarse. Éste es el estado predeterminado de McAfee Data Loss Prevention. Si no desea guardar pruebas, puede aumentar el rendimiento deshabilitando el servicio de pruebas. A continuación se indican las opciones obligatorias o los valores predeterminados a la hora de configurar el software: Carpeta de almacenamiento de pruebas: la especificación de la ruta UNC a la carpeta de almacenamiento de pruebas es un requisito para aplicar una directiva a McAfee epolicy Orchestrator. Consulte Creación y configuración de carpetas de repositorio en esta guía para obtener información sobre la configuración de la carpeta y de los permisos de acceso (también se conoce comorecurso compartido de red de pruebas). Servicio de pruebas: el servicio de pruebas se activa en la ficha Configuración de los agentes Varios. Es una entrada secundaria situada debajo de Servicio de generación de informes, que también debe estar activado para la recopilación de pruebas. Configuración de replicación de pruebas: una opción de la ficha Configuración de los agentes Prueba le permite seleccionar la recopilación de pruebas, el resaltado de coincidencias o ambas. Almacenamiento de pruebas y memoria El número de archivos de pruebas almacenados por evento tiene sus implicaciones en cuanto a volumen de almacenamiento, rendimiento del analizador de eventos y la generación en pantalla (y, por tanto, la experiencia de usuario) de las páginas Administrador de incidentes de DLP y Eventos operativos de DLP. Para gestionar los distintos requisitos en materia de pruebas, el software McAfee DLP Endpoint hace lo siguiente: El número máximo de archivos de pruebas que se debe almacenar por evento se define en la ficha Configuración de los agentes Prueba. El valor predeterminado es 1000; las entradas permitidas oscilan entre 1 y Cuando un gran número de archivos de pruebas se vinculan a un solo evento, solo los primeros 100 nombres de archivo se almacenan en la base de datos y se muestran en la página de detalles deadministrador de incidentes de DLP. Los archivos de pruebas restantes (hasta el máximo definido) se almacenan en recurso compartido de almacenamiento de pruebas, pero no se asocian al evento. Los informes y consultas que filtren las pruebas en función del nombre de archivo solo tienen acceso a estos 100 primeros nombres de archivo. En el campo Recuento de pruebas original de Administrador de incidentes de DLP se muestra el número total de pruebas. Para todos los eventos que almacenan pruebas y los eventos de liberación de la cuarentena, el software cliente de McAfee DLP Endpoint crea un archivo all_evidences.csv que se almacena en la base de datos con las pruebas. El archivo se puede enviar a los usuarios finales para la autocorrección. Esto se puede hacer automáticamente si selecciona la opción Adjuntar CSV de pruebas en una tarea de notificación por correo electrónico. El archivo CSV está codificado en UTF 16 para permitir los nombres de archivos localizados y contiene el nombre de archivo, la ubicación de la ruta de acceso completa de la carpeta que contiene el archivo, el tamaño, el número de coincidencias y vínculos a las pruebas y al resaltado de coincidencias en la base de datos. Cuando trabaje en modo de compatibilidad con versiones anteriores con versiones anteriores del cliente, los archivos de pruebas por encima de los 100 almacenados en la base de datos no se pueden mostrar porque los clientes anteriores no crean el archivo all_evidences.csv. McAfee Data Loss Prevention Endpoint Guía del producto 183

184 11 Supervisión y generación de informes Recopilación y administración de datos Subrayado de coincidencias La opción de subrayado de coincidencias permite a los administradores identificar exactamente el contenido de carácter confidencial que ha provocado un evento. Cuando se selecciona, guarda un archivo HTML cifrado que contiene el texto extraído. Para marcas y categorías de contenido, el texto consta de una palabra o frase resaltada que va precedida y seguida de cien caracteres (como referencia de contexto) que organiza la marca o la categoría de contenido desencadenante del evento y que incluye el número de eventos que contiene cada marca o categoría de contenido. Para patrones de texto protegido y diccionarios, se extrae el texto exacto. Las palabras clave de expresiones regulares y coincidencias exactas muestran hasta 100 coincidencias por expresión; los diccionarios pueden mostrar un máximo de 250 coincidencias por entrada de diccionario. Las opciones de visualización se configuran en la ficha Configuración de los agentes Prueba: Mostrar coincidencias abreviadas (opción predeterminada): se muestran caracteres (5 7 coincidencias) por sección. Mostrar todas las coincidencias: se muestran todas las coincidencias, con las limitaciones descritas anteriormente. Reglas que permiten almacenamiento de pruebas Las siguientes reglas tienen la opción de almacenamiento de pruebas. Tabla 11-3 Pruebas guardadas por las reglas Regla Reglas de protección de correo electrónico Reglas de protección del sistema de archivos Reglas de protección contra impresión Reglas de protección de almacenamiento extraíble Reglas de protección contra capturas de pantalla Reglas de protección de la publicación web Reglas de descubrimiento del sistema de archivos Reglas de descubrimiento de almacenamiento de correo electrónico Qué guarda Copia del correo electrónico Copia del archivo Copia del archivo Copia del archivo JPEG de la pantalla Copia de la publicación web Copia del archivo Copia del archivo.msg Supervisión de la actividad mediante recuentos de referencias Un recuento de referencias es el número de marcas y categorías de contenido que activa un evento. Un único evento puede generar varias referencias. El Administrador de incidentes de DLP mantiene recuento de referencias, es decir, el número de categorías de contenido y marcas que activaron cada evento. En el panel de detalles de evento, el número total de referencias está concatenado con cada ruta de archivo de pruebas. Los recuentos de referencias se registran en dos campos de McAfee DLP Monitor: Número de referencias: la suma de referencias de categoría de contenido. Las múltiples referencias de diccionario se agregan al total. Las marcas no se cuentan. Número de marcas y categorías: la suma de todas las categorías de contenido y marcas encontradas. Tamaño del contenido: tamaño total del archivo en KB. Un único evento puede generar varias referencias. Por ejemplo, si se bloquea un mensaje de correo electrónico con dos archivos de datos adjuntos, el primero porque activó un diccionario y el segundo porque activó un patrón de texto y contenía contenido marcado, esta circunstancia aparecería en forma de dos referencias y tres marcas y categorías. 184 McAfee Data Loss Prevention Endpoint Guía del producto

185 Supervisión y generación de informes Redacción y control de acceso según funciones 11 Redacción y control de acceso según funciones El software McAfee DLP Endpoint limita la visualización de los incidentes de dos modos. Para cumplir las exigencias legales de algunos mercados y proteger la información confidencial en todas las circunstancias, el software, McAfee DLP Endpoint ofrece una función de redacción de datos. Al utilizar la redacción de datos, los campos específicos en las pantallas Administrador de incidentes de DLP y Eventos operativos de DLP que contienen información confidencial, se cifran para evitar la visualización no autorizada y se ocultan los vínculos a las pruebas. Además de poder designar determinados campos como confidenciales, también se puede limitar a los revisores de modo que solo puedan ver los incidentes asignados a ellos o a los grupos de usuarios específicos. Protección de la confidencialidad con la redacción La redacción de datos consiste en el cifrado de la información confidencial para impedir visualizaciones no autorizadas. Algunos países requieren aplicar prácticas de redacción y se considera una práctica recomendada (incluso cuando no es un requisito legal) separar los permisos de revisión de los eventos operativos e incidentes y bloquear los datos confidenciales de aquellas personas que no precisen verlos. La información redactada está cifrada en: la pantalla Administrador de incidentes de DLP la pantalla Eventos operativos de DLP Actualmente, los campos nombre del equipo y nombre de usuario están predefinidos como confidenciales. Hay dos modos de ver los datos confidenciales: Otorgar a los administradores permisos para ver todos los campos de los incidentes que están autorizados a ver. Crear un "revisor de redacción", un revisor que no puede ver los incidentes pero que puede acceder a los campos cifrados cuando otro revisor ve dicho incidente. (Este es el modelo de doble revisión y era la única opción en las versiones anteriores de McAfee DLP Endpoint.) Permisos de DLP en epolicy Orchestrator La tabla siguiente muestra de qué modo los permisos de DLP afectan al acceso a las funciones e informes de epolicy Orchestrator: McAfee Data Loss Prevention Endpoint Guía del producto 185

186 11 Supervisión y generación de informes Redacción y control de acceso según funciones Tabla 11-4 Resumen de los permisos de los eventos operativos e incidentes de DLP y sus efectos Sección Permiso Descripción Efecto en el Administrador de directivas de DLP Directiva Control de acceso de incidentes Redacción de datos de incidentes El usuario no puede ver directivas. El usuario solo puede ver directivas. El usuario puede ver y guardar directivas. El usuario no puede ver los incidentes de DLP. El usuario puede ver los incidentes que se le han asignado. El usuario puede ver los incidentes asignados a los miembros de los siguientes conjuntos de permisos: El usuario puede ver todos los incidentes. Los datos confidenciales están redactados. El usuario no está autorizado a ver o crear directivas de DLP. El usuario está autorizado a ver las directivas pero no puede crearlas ni editarlas. El usuario está autorizado a crear y editar directivas. El usuario no está autorizado a ver el Administrador de incidentes de DLP. Los usuarios pueden ver todos los datos de los incidentes de DLP asignados personalmente. El usuario puede ver los incidentes de DLP asignados a los grupos de los cuales es miembro así como los incidentes asignados a cualquier miembro de dichos grupos. El usuario puede ver todos los datos de incidentes de DLP. El usuario no está autorizado a ver los campos confidenciales. La ficha Administrador de directivas de DLP no está disponible. La ficha Administrador de directivas de DLP está disponible. No es importante. Depende de los permisos de acceso a directivas. No es importante. Depende de los Efecto en Administrador de incidentes de DLP No es importante. Depende de los permisos de acceso a incidentes. La ficha Administrador de incidentes de DLP no está disponible. La ficha Administrador de incidentes de DLP está disponible. Efecto en Eventos operativos de DLP No es importante. Depende de los permisos de acceso a eventos operativos. No es importante. Depende de los permisos de acceso a eventos operativos. Efecto en informes de epo No es importante. Se filtran todos los incidentes de DLP para que no se muestren. Los incidentes se filtran por los derechos de acceso del usuario. Se muestran todos los incidentes. La pantalla está disponible pero los campos confidenciales están redactados. Las pruebas no son accesibles. 186 McAfee Data Loss Prevention Endpoint Guía del producto

187 Supervisión y generación de informes Redacción y control de acceso según funciones 11 Tabla 11-4 Resumen de los permisos de los eventos operativos e incidentes de DLP y sus efectos (continuación) Sección Permiso Descripción Efecto en el Administrador de directivas de DLP Creación de tarea de incidente Eventos operativos Los datos confidenciales aparecen en texto no cifrado. El usuario puede acceder a los datos confidenciales redactados. El usuario puede crear una tarea de notificación de correo electrónico. El usuario puede crear una tarea de purga. El usuario puede crear una tarea de definición de revisor. El usuario no puede ver los eventos operativos. El usuario puede ver todos los eventos operativos. El usuario puede ver todos los campos. El usuario no está autorizado a ver incidentes de DLP, pero puede descifrar campos confidenciales en presencia de un usuario que sí puede ver incidentes de DLP. El usuario puede crear las tareas seleccionadas. El usuario no está autorizado a ver la pantalla Eventos operativos de DLP. El usuario puede ver todos los datos de eventos operativos de DLP. permisos de acceso a directivas. No es importante. Depende de los permisos de acceso a directivas. No es importante. Depende de los permisos de acceso a directivas. Véase también Creación y definición de conjuntos de permisos en la página 191 Efecto en Administrador de incidentes de DLP Efecto en Eventos operativos de DLP Efecto en informes de epo Se muestran todos los campos y las pruebas son accesibles. No es importante. Solo disponible para los usuarios con acceso parcial como mínimo. No es importante. Depende de los permisos de acceso a incidentes. No es importante. No es importante. Depende de los permisos de acceso a incidentes. La ficha Eventos operativos de DLP no está disponible. La ficha Eventos operativos de DLP está disponible. Ningún informe de DLP está autorizado. No es importante. Los eventos operativos se filtran por los derechos de acceso del usuario. Se muestran todos los eventos operativos. McAfee Data Loss Prevention Endpoint Guía del producto 187

188 11 Supervisión y generación de informes Redacción y control de acceso según funciones Control de acceso según funciones Los incidentes de las consolas de Administrador de incidentes de DLP o Eventos operativos de DLP se pueden asignar a usuarios o a grupos de usuarios específicos. El control de acceso según funciones ofrece un control pormenorizado de la visualización de los datos de Administrador de incidentes de DLP y Eventos operativos de DLP. Mediante la asignación de incidentes a administradores o grupos específicos y la definición de permisos en los conjuntos de permisos de epolicy Orchestrator, puede controlar los incidentes que puede ver cada revisor. Flujo de trabajo Para usar la función de control de acceso según funciones, utilice el flujo de trabajo siguiente: Crear un revisor: puede utilizar un usuario o un grupo de usuarios existente, o crear un usuario nuevo en epolicy Orchestrator Menú Administración de usuarios Usuarios. Crear un conjunto de permisos: en epolicy Orchestrator Menú Administración de usuarios Conjuntos de permisos, cree un conjunto de permisos nuevo y, a continuación, asigne el permiso de Data Loss Prevention a su usuario. Cree una tarea Definir revisor en Administrador de incidentes de DLP Tareas de incidentes para asignar revisores según las condiciones predefinidas. Caso práctico: reglas de protección de correo electrónico Como ejemplo, imaginemos que desea asignar un administrador para que revise todas las infracciones de reglas de protección de correo electrónico. El orden exacto no es importante, pero debe realizar las acciones siguientes: 1 Crear un revisor de directivas de correo electrónico de DLP. En epolicy Orchestrator, en Administración de usuarios Usuarios, cree un usuario con un nombre adecuado, por ejemplo "DLP reviewer". 2 Cree un nuevo conjunto de permisos, que podemos denominar "Review DLP ", asígnele el nuevo revisor y defina los permisos de Data Loss Prevention. Para activar los permisos basados en funciones, debe permitir que su usuario "vea" o "vea parcialmente" los incidentes y eventos. Si selecciona "ver parcialmente", el revisor no podrá ver los campos privados (redactados). 3 Puede asignar a revisores de forma manual (desde el panel de detalles de los incidentes) o automática. Para asignar todos los incidentes de correo electrónico automáticamente a su revisor, vaya a Administrador de incidentes de DLP Tareas de incidentes y cree una nueva tarea de definición de revisor. Seleccione la propiedad Producto del proceso y configúrela como en Microsoft Outlook. Si es posible que vea incidentes de Lotus Notes, agregue también dicha propiedad. El nuevo revisor se asignará la próxima vez que se ejecute la tarea servidor de epolicy Orchestrator Ejecutor de tareas de incidentes de DLP. 188 McAfee Data Loss Prevention Endpoint Guía del producto

189 12 Conjuntos de permisos y usuarios Recomendamos crear funciones y permisos de administrador específicos en epolicy Orchestrator para la consola de directivas de McAfee DLP Endpoint y Administrador de incidentes de DLP. Entre estas funciones se incluye la creación y el almacenamiento de directivas; la visualización de las directivas (sin opción de cambiarlas); la creación de claves de desbloqueo para omisión, desinstalación y puesta en cuarentena; la visualización de Administrador de incidentes de DLP; y la revelación de campos confidenciales. Redacción de datos confidenciales y los conjuntos de permisos de epolicy Orchestrator Para cumplir las exigencias legales de algunos mercados sobre la protección de información confidencial bajo cualquier circunstancia, el software McAfee DLP Endpoint ofrece una función de redacción de datos. Los campos de Administrador de incidentes de DLP y Eventos operativos de DLP que contienen información confidencial se cifran para impedir visualizaciones no autorizadas y se ocultan los vínculos a pruebas confidenciales. La función se ha diseñado con una "clave doble" de desbloqueo. Esto quiere decir que, para utilizar la función, debe crear dos conjuntos de permisos: uno para ver los incidentes y los eventos y otro para ver los campos cifrados. Para utilizar la característica, son necesarias ambas funciones. Contenido Conjuntos de permisos sobre DLP Creación y definición de administradores de McAfee DLP Creación y definición de conjuntos de permisos Conjuntos de permisos sobre DLP Los conjuntos de permisos sobre DLP asignan permisos para ver y guardar las directivas y para ver los campos redactados. También se utilizan para asignar el control de acceso según funciones (RBAC, role based access control). Los conjuntos de permisos de Data Loss Prevention se dividen en cinco secciones: Directiva Creación de tarea de incidente Control de acceso de incidentes Eventos operativos Redacción de datos de incidentes McAfee Data Loss Prevention Endpoint Guía del producto 189

190 12 Conjuntos de permisos y usuarios Creación y definición de administradores de McAfee DLP Ello le permite diferenciar entre los administradores de directivas de DLP, los administradores de incidentes y eventos operativos, y los revisores de incidentes. La opción El usuario no puede ver los incidentes de DLP de la sección Control de acceso de incidentes hace que las demás secciones de incidentes no estén disponibles (con la excepción de la opción de acceso a datos redactados). Por lo demás, las opciones son independientes y las funciones administrativas y de revisión se pueden asignar como se desee. Los permisos para configurar las claves de desbloqueo de omisión y desinstalación del agente y para desbloquear correos electrónicos y archivos en cuarentena se han trasladado al conjunto de permisos Acciones del servicio de asistencia. Caso práctico: administrador de DLP Utilice las selecciones siguientes para un administrador de DLP que solo cree directivas y que no tenga responsabilidades de revisión de eventos. En la sección Directiva, seleccione El usuario puede ver y guardar directivas. En la sección Control de acceso de incidentes, seleccione El usuario no puede ver los incidentes de DLP. De forma opcional, se puede permitir que el administrador de DLP vea eventos operativos. Caso práctico: revisor de campos redactados En este ejemplo es necesario configurar permisos para dos revisores: uno que revisa los eventos e incidentes y otro que visualiza los campos redactados. Suponiendo que las funciones del revisor estén separadas de las funciones del administrador de directivas, realice las selecciones siguientes: Para ambos revisores: en la sección Directiva, seleccione El usuario no puede ver y guardar directivas. Para el revisor de incidentes: en la sección Control de acceso de incidentes, seleccione una de las opciones de vista parcial: El usuario puede ver los incidentes asignados a él o El usuario puede ver los incidentes asignados a los miembros de los siguientes conjuntos de permisos:. En la sección Redacción de datos de incidentes, seleccione Los datos confidenciales están redactados. Para el revisor de redacción: en la sección Control de acceso de incidentes, seleccione El usuario no puede ver los incidentes de DLP. En la sección Redacción de datos de incidentes, seleccione El usuario puede acceder a datos confidenciales redactados (principio de doble revisión). Creación y definición de administradores de McAfee DLP Pueden crearse usuarios administrativos antes o después de los conjuntos de permisos asignados a ellos. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En McAfee epolicy Orchestrator, seleccione Menú Administración de usuarios Usuarios. 2 Haga clic en Nuevo usuario. 190 McAfee Data Loss Prevention Endpoint Guía del producto

191 Conjuntos de permisos y usuarios Creación y definición de conjuntos de permisos 12 3 Escriba un nombre de usuario y especifique el estado de inicio de sesión, el tipo de autenticación y los conjuntos de permisos. Recomendamos crear grupos de usuarios relacionados con la función, por ejemplo Administrador de cuarentena de DLP. El orden de creación de los conjuntos de permisos y usuarios no es crítico. Si crea primero usuarios, los nombres de usuario aparecen en el formulario de conjuntos de permisos y puede adjuntarlos al conjunto. Si crea primero conjuntos de permisos, los nombres de los conjuntos de permisos aparecen en el formulario de usuario y puede adjuntar el usuario. 4 Haga clic en Guardar. Creación y definición de conjuntos de permisos Los conjuntos de permisos resultan útiles para definir distintas funciones administrativas en el software McAfee DLP Endpoint. Para ver las definiciones de las opciones, haga clic en? en la interfaz. 1 En McAfee epolicy Orchestrator, seleccione Menú Administración de usuarios Conjuntos de permisos. 2 Seleccione un conjunto de permisos predefinido o haga clic en Acciones Nuevo conjunto de permisos para crear un nuevo conjunto. a Escriba un nombre para el conjunto y seleccione los usuarios. El orden de creación de los conjuntos de permisos y usuarios no es crítico. Si crea primero usuarios, los nombres de usuario aparecen en el formulario de conjuntos de permisos y puede adjuntarlos al conjunto. Si crea primero conjuntos de permisos, los nombres de los conjuntos de permisos aparecen en el formulario de usuario y puede adjuntar el usuario. b Haga clic en Guardar. 3 En el campo Data Loss Prevention (Prevención de fuga de datos) del conjunto de permisos, haga clic en Editar. 4 Para definir el control de acceso según funciones (RBAC, role based access control) para este usuario o grupo, seleccione los permisos deseados y, a continuación, haga clic en Guardar. McAfee Data Loss Prevention Endpoint Guía del producto 191

192 12 Conjuntos de permisos y usuarios Creación y definición de conjuntos de permisos Los permisos se pueden configurar por separado para cinco categorías: directivas creación de tarea de incidente control de acceso de incidente eventos operativos redacción de datos de incidentes Figura 12-1 Edición de un conjunto de permisos para McAfee DLP Endpoint 192 McAfee Data Loss Prevention Endpoint Guía del producto

193 Solución de problemas En este apartado se tratan los procedimientos operativos no estándar como la omisión del agente. Capítulo 13 Solución de problemas y operaciones no estándar McAfee Data Loss Prevention Endpoint Guía del producto 193

194 Solución de problemas 194 McAfee Data Loss Prevention Endpoint Guía del producto

195 13 Solución de problemas y operaciones no estándar Durante el funcionamiento normal, epolicy Orchestrator se utiliza para realizar todos los cambios en el sistema. No obstante, se pueden producir situaciones en la que sea necesario llevar a cabo determinadas acciones, como ampliar las directivas o desinstalar el software cliente, de forma manual. Contenido Herramientas del sistema Omisión de agente y funciones relacionadas Despliegue manual de los productos de software del endpoint de McAfee Temas avanzados: Ejecución del robot de rastreo (crawler) de PST desde la línea de comandos Herramientas del sistema Las herramientas del sistema del software McAfee DLP Endpoint permiten rastrear las alertas sobre el mantenimiento del sistema y configurar las funciones avanzadas. Las herramientas del sistema están concebidas para ser el primer paso en la solución de problemas. A ellas se accede mediante el menú Herramientas. Existen herramientas para: Análisis de la directiva Visualización del registro del sistema Nueva ejecución del asistente de Inicialización Configuración de las opciones de herramientas Caso práctico: análisis de una directiva Las directivas que contienen errores no pueden aplicarse a la base de datos de epolicy Orchestrator. Antes de intentar aplicar una nueva directiva, compruebe la directiva con el analizador de directivas y corrija los errores. El analizador de directivas también muestra advertencias que indican si una regla o definición están incompletas o desactivadas. Las directivas incompletas se pueden aplicar a la base de datos, lo que le permite probar directivas parciales durante la creación de nuevas directivas. Para ver el analizador de directivas, seleccione Herramientas Ejecutar Analizador de directivas en la consola de directivas de McAfee DLP Endpoint (o pulse F8). Las entradas del analizador de directivas se muestran en la parte inferior de la ventana. McAfee Data Loss Prevention Endpoint Guía del producto 195

196 13 Solución de problemas y operaciones no estándar Omisión de agente y funciones relacionadas Caso práctico: visualización del registro del sistema Utilice el registro del sistema para observar y recibir alertas sobre el mantenimiento del sistema y otros eventos relacionados. El registro del sistema es fundamental para la solución de problemas. Para ver el registro del sistema, seleccione Herramientas Ver registro en la consola de directivas demcafee DLP Endpoint (o pulse F7). Las entradas del registro del sistema se muestran en la parte inferior de la ventana. Omisión de agente y funciones relacionadas La omisión de agente es una suspensión temporal de las reglas de bloqueo. Se aplica cuando un usuario necesita un permiso temporal para enviar información que normalmente se considera confidencial. El modo de omisión de agente suspende de forma temporal el bloqueo que realiza el software del endpoint durante un tiempo determinado. En este modo, el software del endpoint sigue recopilando y enviando información sobre eventos al Analizador de eventos de epolicy Orchestrator. Los eventos se marcan con la etiqueta de omisión. El usuario no recibe notificaciones visuales de los eventos mientras está activo el modo de omisión. El mecanismo de omisión se conoce como "desafío/respuesta". El usuario abre una ventana emergente del cliente McAfee DLP Endpoint que muestra un Código de identificación y un ID de revisión. El código y el ID se envían al administrador de DLP para solicitar un código de autorización. El administrador acepta la solicitud mediante la creación de un código de autorización que enviará al usuario y, quien a su vez, lo introducirá en el cuadro de texto emergente Código de autorización. Por motivos de seguridad, cada vez que abre la ventana emergente, se genera un nuevo código ID a partir del cual se genera el código de autorización. Por lo tanto, el usuario debe dejar la ventana emergente abierta hasta que se introduzca el correspondiente código de autorización. La omisión de agente ya no finaliza al cerrar la sesión o al reiniciar el equipo sino que permanece activa durante todo el período de tiempo establecido en la directiva (el intervalo de duración de la omisión puede ser de 5 minutos a 30 días). Para crear el código de autorización de omisión de agente se requiere la utilidad McAfee Help Desk, que está incluida en el instalador de McAfee DLP Endpoint. Consulte la documentación de McAfee Help Desk si desea más información sobre los códigos de autorización. Funciones relacionadas Desinstalación del agente El software cliente de McAfee DLP Endpoint está protegido frente a la eliminación no autorizada. Existen dos métodos de eliminación autorizada: La desinstalación en red desde epolicy Orchestrator, realizada por el administrador de McAfee epo. La desinstalación local mediante la función Agregar o quitar programas de Windows. Este método utiliza el mecanismo de desafío/respuesta. Liberar de la cuarentena Cuando el robot de rastreo (crawler) de McAfee DLP Discover pone en cuarentena mensajes de correo electrónico o archivos de carácter confidencial, se utiliza el mecanismo de desafío/respuesta para liberar la información de la cuarentena. Para liberar de la cuarentena solo se utiliza el Código de autorización y no el ID de revisión. 196 McAfee Data Loss Prevention Endpoint Guía del producto

197 Solución de problemas y operaciones no estándar Omisión de agente y funciones relacionadas 13 Caso práctico: códigos de autorización maestros Normalmente, los códigos de autorización se generan a partir de códigos de identificación y son exclusivos para los usuarios que los solicitan. Sin embargo, en algunos casos, el administrador puede desear publicar un código de autorización para varios equipos. El típico caso es cuando ocurre un problema con una compilación específica del software cliente de McAfee DLP Endpoint y se debe desinstalar desde varios endpoints. En dicho caso, el administrador crea un código de autorización maestro que se puede usar en cualquier cliente demcafee DLP Endpoint. El código maestro está basado en el tiempo y caduca tras un tiempo especificado. Para obtener más información acerca de los códigos de autorización maestros, consulte la Guía del producto de McAfee Help Desk. Solicitud de una clave de omisión En algunas ocasiones el usuario necesita copiar algo que está bloqueado por una regla. En estos casos, el usuario solicita una clave de omisión que omite las acciones normales de McAfee DLP Endpoint durante un período de tiempo preestablecido. Antes de empezar La opción Mostrar la tarea "Solicitar omisión de DLP" en la consola de DLP Endpoint debe seleccionarse en la ficha Configuración de los agentes Servicio de interfaz de usuario. Cuando está en modo de omisión, el software de endpoints sigue recopilando y enviando información al Analizador de eventos de epolicy Orchestrator y los marca con una etiqueta de omisión. El usuario no recibe notificaciones visuales de los eventos mientras está activo el modo de omisión. 1 En la bandeja del sistema del equipo gestionado, haga clic en el icono de McAfee Agent y, a continuación, seleccione Administrar funciones Consola de DLP Endpoint. Aparece la consola de DLP Endpoint. McAfee Data Loss Prevention Endpoint Guía del producto 197

198 13 Solución de problemas y operaciones no estándar Despliegue manual de los productos de software del endpoint de McAfee 2 Haga clic en la ficha Tareas. Figura 13-1 Solicitud de omisión de la consola de DLP Endpoint 3 Envíe el Código de identificación y el ID de revisión al administrador, junto con el nombre de usuario y la dirección de correo electrónico. También puede incluir como información opcional el nombre del equipo y la justificación empresarial para la omisión. Cuando está aprobado, el administrador genera el Código de autorización y se lo envía al usuario. El administrador del sistema define durante cuánto tiempo se aplicará la omisión antes de la generación del código. Cada vez que se selecciona la opción Solicitar omisión de agente en el menú, se genera un nuevo código de identificación. Debe dejar la ventana de solicitud de omisión abierta hasta que reciba el correspondiente código de autorización. 4 Introduzca o pegue el Código de autorización en el cuadro de texto y haga clic en Aceptar. El código de autorización es un código alfanumérico de 8 o 16 dígitos. Si el código contiene guiones (para facilitar su lectura), debe eliminarlos antes de copiar el número en el cuadro de texto. Si introduce un código incorrecto tres veces y la directiva de bloqueo de código de autorización se ha activado en la ficha Configuración de los agentes Servicio de notificación, la ventana emergente deja de aparecer durante 30 minutos (configuración predeterminada). La ventana emergente del agente muestra una verificación. Despliegue manual de los productos de software del endpoint de McAfee El método preferido de despliegue de los productos de software del endpoint de McAfee es mediante el epolicy Orchestrator. Sin embargo, existen varios métodos de despliegue manual para aquellos casos en que no sea posible o no se desee realizar el despliegue con epolicy Orchestrator. El despliegue manual se puede usar para desplegar el software cliente de McAfee DLP Endpoint o para actualizar las directivas en equipos offline. Cuando se utiliza para actualizar las directivas, este método se conoce como inyección de directivas. 198 McAfee Data Loss Prevention Endpoint Guía del producto

199 Solución de problemas y operaciones no estándar Despliegue manual de los productos de software del endpoint de McAfee 13 Como ejemplo, en este apartado se describe el despliegue con Microsoft Systems Management Server (SMS) SMS ofrece una solución integral para desplegar y gestionar aplicaciones y sistemas operativos en servidores y equipos basados en Windows. Cuando utilice SMS para el despliegue en lugar del epolicy Orchestrator, también deberá instalar manualmente el archivo(.opg) de la directiva. En los sistemas Windows Vista, Windows 7 y Windows Server 2008, si se ejecuta el instalador del software cliente de McAfee DLP Endpoint independiente mientras que el UAC (Control de cuentas de usuario) está activo, deberá usar la opción Ejecutar como administrador. Creación de un paquete de instalación Cree un paquete para instalar un producto de software del endpoint de McAfee con Microsoft Systems Management Server. En este procedimiento no se requiere epolicy Orchestrator. Instale Microsoft Visual C SP1 Redistributable Package (x86). El paquete se puede descargar en: familyid=200b2fd9 AE1A 4A14 984D 389C36F En la consola de Systems Management Server, haga clic con el botón derecho en Paquetes y seleccione Nuevo Paquete. 2 En la ficha General, escriba el Nombre del paquete (obligatorio), así como la Versión, el Editor y el Idioma (opcional). 3 En la ficha Origen de datos, seleccione Este paquete contiene archivos de origen y, a continuación, haga clic en Establecer. 4 En la ventana Establecer directorio de origen de Ubicación del directorio de origen, seleccione el tipo de conexión con los archivos de instalación en el directorio de origen. Escriba la ruta del directorio de origen en el campo y haga clic en Aceptar. 5 En la ficha Configuración de distribución, seleccione Alta en la lista desplegable Prioridad de envío, y haga clic en Aceptar. El paquete aparece en el nodo Paquetes del árbol del sitio. 6 Expanda el nuevo paquete en el nodo Paquetes. 7 Haga clic con el botón derecho en Puntos de distribución y seleccione Nuevo Punto de distribución. Seleccione el servidor o los servidores que desee convertir en puntos de distribución para este paquete y haga clic en Finalizar. 8 Haga clic con el botón derecho del ratón en Programas y seleccione Nuevo Programa. Escriba el nombre de la aplicación. McAfee Data Loss Prevention Endpoint Guía del producto 199

200 13 Solución de problemas y operaciones no estándar Despliegue manual de los productos de software del endpoint de McAfee 9 En el campo Línea de comandos, escriba el ejecutable de línea de comandos de McAfee DLP, por ejemplo: msiexec /I DLPAgentInstaller.msi /qn /forcerestart El nombre del archivo.msi se extrae manualmente del archivo DLPAgentInstaller.x86.exe. Recomendamos reiniciar el equipo gestionado después de instalar el paquete del endpoint. Para activar esta opción, use el parámetro /forcerestart. Para activar el registro de instalación, use /log <LogFile> 10 En la ficha Entorno, seleccione Si un usuario ha iniciado sesión o no en la lista desplegable El programa se puede ejecutar. Haga clic en Aceptar. Compruebe que la opción Ejecutar con derechos de administrador esté seleccionada. La configuración del software McAfee Data Loss Prevention Endpoint requiere derechos de administrador para que la instalación se lleve a cabo correctamente. Creación de un anuncio Los paquetes de SMS se deben "anunciar". Así se crea el anuncio de un paquete de SMS. 1 En la consola de Systems Management Server, haga clic con el botón derecho del ratón en Anuncios y seleccione Nuevo Anuncio. Escriba el nombre para el anuncio. 2 En la lista desplegable Paquete, seleccione el nombre del paquete de McAfee DLP. 3 En la lista desplegable Programa, seleccione el nombre de la aplicación de McAfee DLP. 4 Haga clic en Examinar y seleccione la colección a la que se debe aplicar el paquete de instalación de McAfee DLP; a continuación, haga clic en Aceptar. 5 En la ficha Planificación, confirme la hora a la que se debe ofrecer el anuncio y especifique si el anuncio debe caducar y cuándo. Haga clic en Aceptar. Creación del paquete de desinstalación de SMS Cree un paquete para desinstalar el software McAfee Data Loss Prevention Endpoint con Microsoft Systems Management Server. En este procedimiento no se requiere epolicy Orchestrator. 1 En la consola de Systems Management Server, haga clic con el botón derecho en Paquetes y seleccione Nuevo Paquete. 2 En la ficha General, escriba el Nombre del paquete (obligatorio), así como la Versión, el Editor y el Idioma (opcional). 3 En la ficha Origen de datos, seleccione Este paquete contiene archivos de origen y, a continuación, haga clic en Establecer. 200 McAfee Data Loss Prevention Endpoint Guía del producto