McAfee Data Loss Prevention 10.x and 11.0 Guía de … · Para obtener una lista de las plataformas...

Guía de migraciónRevisión A

McAfee Data Loss Prevention 10.x and 11.0

COPYRIGHTCopyright © 2017 McAfee LLC

ATRIBUCIONES DE MARCAS COMERCIALESMcAfee y el logotipo de McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource y VirusScan son marcas comerciales de McAfee LLC o sus filiales en EE. UU. y otros países.Otros nombres y marcas pueden ser reclamados como propiedad de terceros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA ATENTAMENTE EL ACUERDO LEGAL PERTINENTE CORRESPONDIENTE A LA LICENCIA QUE HAYA ADQUIRIDO, EN EL QUE SEESTABLECEN LOS TÉRMINOS Y LAS CONDICIONES GENERALES DE APLICACIÓN AL USO DEL SOFTWARE CUYA LICENCIA SE CONCEDE. SI NO SABE QUÉ TIPO DELICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS RELATIVOS A LA VENTA, ASÍ COMO OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LALICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑEN AL PAQUETE DE SOFTWARE O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (TALESCOMO UN FOLLETO, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE HAYA DESCARGADO EL PAQUETE DESOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS ESTABLECIDOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO AMCAFEE O AL PUNTO DE VENTA PARA OBTENER EL REEMBOLSO ÍNTEGRO DE SU IMPORTE.

2 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración

Contenido

1 Introducción 5Descripción general de la migración . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Flujo de trabajo de migración . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Diferencias entre versiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Funciones no compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2 Instalación 9Migración de dispositivos físicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Instalación de appliances de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . 9

Planificación de la configuración . . . . . . . . . . . . . . . . . . . . . . . . . . 9Identificar puertos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Instalación de las extensiones . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Configuración de la información de red . . . . . . . . . . . . . . . . . . . . . . . 12Configuración del appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Instalar el appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Tareas posteriores a la instalación . . . . . . . . . . . . . . . . . . . . . . . . . 14

3 Configuración de los componentes del sistema 15Registro de un servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Cree definiciones de usuarios finales . . . . . . . . . . . . . . . . . . . . . . . . 16Usuarios, grupos y conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . . . . . 17

Creación de un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Creación de un conjunto de permisos . . . . . . . . . . . . . . . . . . . . . . . . 18Creación de un conjunto de permisos de McAfee DLP . . . . . . . . . . . . . . . . . . 18

Directiva de Ajustes generales de administración de appliances . . . . . . . . . . . . . . . . . 19Adición de un servidor de pruebas para almacenar los incidentes . . . . . . . . . . . . . . . . 19

4 Clasificación de contenido de carácter confidencial 21Crear una clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Creación de los criterios de clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . 22Creación de propiedades de documentos . . . . . . . . . . . . . . . . . . . . . . . . . 22Cargar documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23De los conceptos a las definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Definiciones de diccionario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Definiciones de patrones avanzados . . . . . . . . . . . . . . . . . . . . . . . . 26Crear una definición de clasificación general . . . . . . . . . . . . . . . . . . . . . 29

5 Protección con reglas, conjuntos de reglas y directivas 31Definiciones y reacciones de reglas de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . 32Creación de una regla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Creación de un conjunto de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Crear una definición de lista de direcciones de correo electrónico . . . . . . . . . . . . . . . . . 34Creación de un intervalo de direcciones de red . . . . . . . . . . . . . . . . . . . . . . . 34Crear una definición de lista de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Crear un nuevo intervalo de puertos de red . . . . . . . . . . . . . . . . . . . . . . . . . 36

McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 3

Creación de una directiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Asignación de una directiva a un appliance de McAfee DLP Prevent . . . . . . . . . . . . . . . . 36Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen aun dominio especificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Caso de uso: rastrear las infracciones de derechos de propiedad intelectual . . . . . . . . . . . . 38Caso práctico: Identificación por huellas digitales basada en la aplicación . . . . . . . . . . . . . . 39

6 Análisis de datos con McAfee DLP Discover 10.x 41Tipos de repositorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Creación de definiciones de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Creación de un análisis de clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . 43Creación de reglas para análisis de corrección . . . . . . . . . . . . . . . . . . . . . . . . 44Caso de uso: planificar un análisis y filtrar los resultados . . . . . . . . . . . . . . . . . . . . 45Caso de uso: crear un análisis de un solo uso que se ejecute hasta que se complete . . . . . . . . . . 45

7 Supervisión y generación de informes 47Incidentes y casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Ordenar y filtrar incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Ver detalles del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Actualizar un solo incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Actualizar varios incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Creación de notificaciones de correo electrónico . . . . . . . . . . . . . . . . . . . . 51Creación de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Asignación de un revisor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Visualización de información del caso . . . . . . . . . . . . . . . . . . . . . . . . 53Actualización de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Asignación de incidentes a un caso . . . . . . . . . . . . . . . . . . . . . . . . . 54Caso de uso: buscar infracciones de directiva por usuario . . . . . . . . . . . . . . . . 55Caso de uso: buscar incidencias de alto riesgo . . . . . . . . . . . . . . . . . . . . . 55Caso de uso: establecer las propiedades de los incidentes . . . . . . . . . . . . . . . . 56Caso de uso: filtrar incidentes por fecha, destino y usuario . . . . . . . . . . . . . . . . 56Asignación de permisos de visualización de incidentes a los usuarios en Active Directory . . . . . 57Asignación de permisos de visualización de administración de casos a un usuario . . . . . . . 57

Supervisión del mantenimiento y el estado del sistema . . . . . . . . . . . . . . . . . . . . 58Paneles de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Panel de Administración de appliances . . . . . . . . . . . . . . . . . . . . . . . 58Eventos de appliances de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . 58

8 Mantenimiento y solución de problemas 61Sugerencias para la solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . 61Administración con la consola del appliance de McAfee DLP . . . . . . . . . . . . . . . . . . 64Acceso a la consola del appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Sustitución del certificado por defecto . . . . . . . . . . . . . . . . . . . . . . . . . . 65Mensajes de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Copias de seguridad de la configuración . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Índice 69

Contenido


1 Introducción

Esta guía de migración ofrece información que le ayudará a pasar de McAfee®

Network Data Loss Prevention(McAfee Network DLP) 9.3.x a McAfee

®

Data Loss Prevention (McAfee DLP) 10.x.

Abarca las siguientes versiones de los productos de McAfee DLP:

• De McAfee® Data Loss Prevention Discover (McAfee DLP Discover) 9.3.x a las versiones 10.0.0 y posteriores

• De McAfee® Data Loss Prevention Prevent (McAfee DLP Prevent) 9.3.x a las versiones 10.0.100 y posteriores

• McAfee® Data Loss Prevention Monitor (McAfee DLP Monitor) 9.3.x a la versión 11.0

También proporciona información para ayudarle a empezar a trabajar con la nueva versión de McAfee DLP.

Para obtener más información, consulte la Guía del producto de McAfee Data Loss Prevention para la versión 11.0.

Descripción general de la migraciónNo hay ninguna ruta de ampliación automática para pasar de McAfee Network DLP 9.3.x a McAfee DLP 10.x yversiones posteriores. Esta guía le ayudará a configurar las nuevas versiones de McAfee DLP con unaconfiguración que se comporte de forma parecida a su instalación de McAfee Network DLP 9.3.x.

Flujo de trabajo de migraciónUtilice el diagrama de flujo de trabajo para instalar el appliance y, después, vuelva a establecer las opciones deconfiguración, las reglas, las directivas y la configuración de administración de incidentes y casos mediante lasherramientas de McAfee ePO.

McAfee DLP Monitor no existe en McAfee DLP 10.x.

Escenarios de instalación

Desde A Véase

McAfee Network DLP9.3.x físico

McAfee DLP 10.x o 11.0físico

McAfee DLP Hardware Migration Guide (Guía demigración de hardware de McAfee DLP)McAfee DLP Hardware Guide (Guía del hardware deMcAfee DLP)

McAfee Network DLP9.3.x físico

McAfee DLP 10.x o 11.0virtual

McAfee DLP Hardware Migration Guide (Guía demigración de hardware de McAfee DLP)Guía del producto de McAfee DLP

McAfee Network DLP9.3.x virtual

McAfee DLP 10.x o 11.0virtual

Esta guía

Para obtener una lista de las plataformas virtuales admitidas por McAfee DLP 10.x o posterior, véanse las notasde la versión correspondientes a su versión.

1


Escenario: Uso de la administración de incidentes y casos unificada o McAfee DLP Manager

Realice los pasos de este diagrama de flujo de trabajo si:

• Sus incidentes y casos existentes ya están disponibles en McAfee ePO.

• Utiliza McAfee DLP Manager para administrar los incidentes y casos.

Los incidentes y los casos de McAfee DLP Manager no se pueden migrar a las herramientas de McAfee DLP10.x y posteriores.

McAfee Network DLP 9.3.x customers and McAfee DLP Endpoint 9.4 customers who chose to retain their McAfeeDLP Manager box can keep it available until the incidents and cases are no longer needed.

Escenario: Uso de la función de búsqueda de capturas

McAfee DLP 10.x o posterior no incluye funcionalidad relacionada con las capturas.

1 IntroducciónDescripción general de la migración


Diferencias entre versionesDebido a que la arquitectura del producto en las versiones 9.3.x, 10.x y posteriores es diferente, los valores deconfiguración y los datos presentes en McAfee DLP Manager no se pueden migrar directamente a lasherramientas de McAfee DLP en McAfee ePO.

Nombres de productos

La versión 9.3.x del producto se llamaba McAfee Network Data Loss Prevention (McAfee Network DLP). En laversión 10.x y posteriores, se ha eliminado la palabra Network (Red) del nombre del producto para convertirseen McAfee Data Loss Prevention.

Administración de productos

En la versión 10.x y posteriores, los productos se administran ahora con McAfee ePO.

Las opciones de configuración, las reglas, los conceptos y las directivas utilizados en McAfee DLP Manager sedeben volver a crear en McAfee ePO.

Mantenga McAfee DLP Manager disponible hasta que los incidentes y los casos ya no sean necesarios.

Diferencias en términos

La mayoría de las funciones tienen el mismo nombre en la nueva versión, con algunas excepciones.

Tabla 1-1 Diferencias de terminología

McAfee Network DLP 9.3.x McAfee DLP 10.x y posteriores

Concepto • Definición de diccionario

• Definiciones de patrones avanzados (expresiones regulares)

Regla de acción Reacción

Plantilla • Clasificación

• Definición

Directiva Conjunto de reglas

Validador Algoritmo

Grupo Conjunto de permisos

Incidentes y casos

Los incidentes y los casos de McAfee DLP Manager no se pueden migrar a las herramientas de McAfee DLP 10.xy posteriores.

Funciones no compatiblesEstas funciones no son compatibles con McAfee DLP versión 10.x y posteriores.

• Captura de datos

• Creación de definiciones mediante los siguientes parámetros de configuración:

• Number of lines from the beginning (Número de líneas desde el principio)

• Percentage match (Coincidencia de porcentaje)

IntroducciónDescripción general de la migración 1


• Proximidad

• Number of byes from the beginning (Número de bytes desde el principio)

1 IntroducciónDescripción general de la migración


2 Instalación

Para utilizar McAfee DLP 10.x, debe realizar una instalación completa.

Para obtener instrucciones sobre la instalación de McAfee DLP Discover 10.x, véase la Guía del producto deMcAfee Data Loss Prevention.

Práctica recomendada: Antes de comenzar a instalar la nueva versión, cree una copia de seguridad completa dela instalación actual para que pueda volver a ella si fuera necesario.

Contenido Migración de dispositivos físicos Instalación de appliances de McAfee DLP Prevent

Migración de dispositivos físicosSi dispone de un appliance de los modelos 4400, 5500 o 6600, puede instalar McAfee DLP Prevent 10.x oMcAfee DLP Monitor 11.0.

Los equipos de McAfee DLP Manager pueden utilizarse para otro fin después de haber instalado McAfee DLPPrevent 10.x o McAfee DLP Monitor 11.0 en los appliances existentes. Para obtener más información, consulteMcAfee Network DLP 9.3.x to McAfee DLP 10.x Hardware Migration Guide (Guía de migración de hardware deMcAfee Network DLP 9.3.x a McAfee DLP 10.x), disponible en el sitio de descargas de McAfee.

Los appliances de los modelos 1650 y 3650 no son compatibles con McAfee DLP Prevent 10.x o McAfee DLPMonitor 11.0.

Instalación de appliances de McAfee DLP PreventPara obtener instrucciones de instalación más detalladas, véase la Guía del producto de McAfee Data LossPrevention correspondiente a su versión.

Planificación de la configuraciónUse la información sobre el despliegue contenida en la guía del producto para planificar la integración de losproductos de McAfee DLP en su red.

Procedimiento1 Familiarícese con las opciones de despliegue de McAfee DLP.

2 Complete la lista de comprobación de despliegue.

2


Identificar puertos de redBusque los puertos de red de su appliance. No se utilizan los puertos sin etiqueta.

Figura 2-1 Configuración de puerto del appliance modelo 4400

1 Puerto serie

2 Puerto OOB

3 Puerto LAN1

4 Puerto de acceso remoto (RMM)

5 Puerto Ethernet o de fibra *

• McAfee DLP Prevent: sin uso

• McAfee DLP Monitor: puerto 1 de captura

6 Puerto Ethernet: sin uso

* Si el appliance tiene una tarjeta de interfaz de red de fibra:

• En el caso de McAfee DLP Prevent, el puerto de fibra se convierte en LAN1.

• En el caso de McAfee DLP Monitor, el puerto de fibra se convierte en el puerto 1 de captura.

En algunos modelos 4400, los puertos de captura podrían estar en una tarjeta de interfaz de red con ranuras enlugar de en la placa base. En tal caso, estos dos puertos se intercambian.

Figura 2-2 Configuración de puerto del appliance modelo 5500

1 Puerto Ethernet o puerto de fibra: sin uso

2 Puerto Ethernet o de fibra *

• McAfee DLP Prevent: sin uso

• McAfee DLP Monitor: puerto 1 de captura

3 Puerto OOB

4 LAN1 *

2 InstalaciónInstalación de appliances de McAfee DLP Prevent


5 Puerto serie


* Si el appliance tiene una tarjeta de interfaz de red de fibra:

• En el caso de McAfee DLP Prevent, este puerto de fibra (llamada 2) se convierte en el puerto LAN1.

• En el caso de McAfee DLP Monitor, este puerto de fibra (llamada 2) se convierte en el puerto 1 de captura.

Figura 2-3 Configuración de puertos del appliance modelo 6600

1 LAN1

2 McAfee DLP Prevent: sin uso

McAfee DLP Monitor: puerto 1 de captura

3 Puerto OOB

4 Puerto serie


Instalación de las extensionesPrepare el servidor de McAfee ePO para su integración con Administración de appliances de McAfee DLP.

Consulte la guía del producto para obtener información sobre cómo instalar las extensiones manualmente.

ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.

1 En McAfee ePO, seleccione Menú | Software | Administrador de software.

2 En el panel izquierdo, expanda Software (por etiqueta) y seleccione Data Loss Prevention.

3 Seleccione la entrada correspondiente a McAfee Network Data Loss Prevention.

Se incluyen las extensiones siguientes:

• McAfee DLP

• Common UI

• Extensión de administración de appliances

• Administración de appliances de McAfee DLP

4 Haga clic en Incorporar.

5 Seleccione la casilla de verificación para aceptar el acuerdo y, a continuación, haga clic en Aceptar.

InstalaciónInstalación de appliances de McAfee DLP Prevent 2


Configuración de la información de redEn el caso de los appliances de McAfee DLP, configure el servidor DNS y el servidor NTP. En el caso de McAfeeDLP Prevent, también debe configurar un host inteligente.


1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.

2 En la lista desplegable Producto, seleccione Ajustes generales de administración de appliances.

3 Seleccione la directiva My Default.

4 Agregue el servidor DNS y el servidor NTP y, a continuación, haga clic en Guardar.

5 En la lista desplegable Producto, seleccione DLP Appliance Management (Administración de appliances de DLP).

6 Seleccione la directiva My Default correspondiente a McAfee DLP Prevent Email Settings (Configuración de correoelectrónico de McAfee DLP Prevent).

7 Introduzca la dirección IP del Host inteligente y, a continuación, haga clic en Guardar.

Configuración del appliancePrepare el appliance para la integración con la red.

Es posible reemplazar las unidades de fuente de alimentación y el disco duro del appliance. Las instruccionesestán disponibles en la guía del hardware.

De forma predeterminada, se configura cada appliance con estas direcciones IP tras la instalación:

• LAN1 de McAfee DLP Prevent — 10.1.1.108/24

Utilice la red LAN1 para el tráfico SMTP o ICAP. También se puede utilizar para el tráfico de administración.

• LAN1 de McAfee DLP Monitor — 10.1.1.108/24

Utilice la red LAN1 para el tráfico de administración.

• OOB — 10.1.3.108/24

(Opcional) Utilice la red fuera de banda (OOB) para el tráfico de administración, incluida la comunicación conMcAfee ePO.

El puerto 1 de captura de McAfee DLP Monitor se utiliza para el tráfico de análisis. No se configura con unadirección IP.

Si la red emplea DHCP, se utilizará en su lugar la primera dirección IP que el servidor DHCP asigne al appliance deMcAfee DLP. Puede configurar la dirección IP de forma manual con el Asistente de instalación. El appliance noadmite el uso de una configuración de DHCP continua.

El gateway predeterminado del appliance debe encontrarse en la subred LAN1. Configure cualquierenrutamiento necesario en la interfaz OOB mediante rutas estáticas.

Procedimiento1 Instale el appliance en un bastidor.

2 Conecte al appliance un monitor, un teclado y un ratón.



3 Conecte el appliance a la red.

• McAfee DLP Prevent y McAfee DLP Monitor: conecte la interfaz de LAN1 del appliance a su red.

• McAfee DLP Monitor: conecte la interfaz del puerto 1 de captura al puerto SPAN o el dispositivo dederivación de red.

4 (Opcional) Conecte la interfaz OOB a otra red.

Esto es necesario en el caso de McAfee DLP Monitor si no utiliza LAN1 para el tráfico de administración.

Instalar el applianceInstale el software y ejecute el Asistente de instalación.

Procedimiento1 Prepare el appliance para la instalación.

• Appliances 6600: encienda el appliance.

• Appliances 4400 y 5500

1 Mediante el archivo ISO de instalación, cree o configure los medios de imagen externos. Puederealizar la instalación inicial mediante los siguientes métodos:

• Unidad USB

Utilizar software de escritura de imagen, como Image Writer de Launchpad, para escribir laimagen en la unidad USB. Para obtener más información, consulte el artículo KB87321.

• Unidad de CD con USB

• (solo dispositivos 4400) Unidad de CD integrada

• Unidad de CD virtual que utiliza el módulo de administración remota (RMM)

2 Inserte o conecte el medio en el appliance.

3 Encienda el appliance.

4 Antes de que se inicie el sistema operativo, pulse F6 para acceder al menú de arranque y seleccioneel medio externo.

La contraseña del BIOS para los appliances 4400 es R3c0n3x.

2 Siga las instrucciones que aparecerán en la pantalla.

Una vez completada la instalación, se reiniciará el appliance.

3 Complete el Asistente de instalación mediante la información de la Ayuda en pantalla.

InstalaciónInstalación de appliances de McAfee DLP Prevent 2


https://kc.mcafee.com/corporate/index?page=content&id=KB87321

4 Si no se puede realizar la instalación:

1 Verifique que la conexión de red esté en funcionamiento y que las rutas estáticas configuradas seancorrectas.

2 Haga ping en el gateway predeterminado y en McAfee ePO desde la consola del appliance.

3 Si el problema persiste, póngase en contacto con el servicio de soporte técnico para obtener asistencia.No intente realizar la instalación de nuevo.

Cuando se ponga en contacto con el soporte técnico, asegúrese de que conoce el número de serieprincipal del appliance. Encontrará el número de serie en la etiqueta del nombre del producto en elembalaje de entrega, en la etiqueta situada en la parte inferior izquierda del panel superior o en laetiqueta de la bandeja extraíble del panel frontal.

El appliance de McAfee DLP se instalará y se registrará en McAfee ePO.

Tareas posteriores a la instalaciónPara obtener más información sobre estas tareas, consulte la guía del producto.

Appliances de McAfee DLP

1 Configure un servidor de pruebas para almacenar los archivos que activan una regla.

2 Configure uno o más servidores de syslog en caso necesario.

3 Active las reglas y las directivas predefinidas relevantes.

4 Cree clasificaciones, directivas y reglas adicionales para detectar posibles incidentes de fuga de datos.

5 Confirme que los incidentes se registren en el Administrador de incidentes de DLP.

Appliances de McAfee DLP Prevent

En el caso de los appliances de McAfee DLP Prevent que analizan el tráfico de correo electrónico:

1 Verifique la conectividad y el flujo de correo entre el servidor del agente de transferencia de mensajes (MTA)y el appliance de McAfee DLP Prevent.

2 Confirme que el encabezado X-RCIS-Action: Permitir se haya agregado al correo electrónico recibido.

En el caso de los appliances de McAfee DLP Prevent que analizan el tráfico web, verifique la conectividad entreel servidor proxy web y el appliance.

Appliances de McAfee DLP Monitor

• Genere algún tráfico que se pueda detectar mediante el dispositivo de derivación de red o SPANconfigurado.



3 Configuración de los componentes del sistema

Registre los servidores LDAP, defina permisos de usuarios y grupos, y especifique los servidores de pruebas enMcAfee ePO. Puede administrar los appliances con una nueva función de McAfee ePO denominadaAdministración de appliances, la cual permite especificar directivas y ver el estado de mantenimiento del sistemapara todos los appliances de McAfee DLP Prevent y McAfee DLP Monitor.

Contenido Registro de un servidor LDAP Usuarios, grupos y conjuntos de permisos Directiva de Ajustes generales de administración de appliances Adición de un servidor de pruebas para almacenar los incidentes

Registro de un servidor LDAPPara utilizar las reglas de asignación de directivas, activar los conjuntos de permisos asignados de formadinámica y activar el inicio de sesión de usuario de Active Directory, debe disponer de un servidor LDAPregistrado.


1 Seleccione Menú | Configuración | Servidores registrados y haga clic en Nuevo servidor.

2 Seleccione Servidor LDAP en el menú Tipo de servidor y, después, especifique un nombre exclusivo y unadescripción opcional y haga clic en Siguiente.

3 Seleccione un servidor de Active Directory u OpenLDAP en la lista Tipo de servidor LDAP.

4 Especifique un nombre de dominio o un nombre de servidor concreto.

Utilice nombres de dominio DNS (por ejemplo, dominiointerno.com), o bien nombres de dominio completoso direcciones IP para los servidores (por ejemplo, servidor1.dominiointerno.com o 192.168.75.101). Losservidores OpenLDAP solo pueden utilizar nombres de servidor. No pueden especificarse mediantedominios.

5 Especifique si desea usar el Catálogo global (no disponible para los servidores OpenLDAP).

Selecciónelo solo si el dominio registrado es el principal de varios dominios locales únicamente para evitarel tráfico de red potencial, lo que puede afectar al rendimiento.

6 En caso de no utilizar el Catálogo global, seleccione si desea obtener las referencias.

La obtención de referencias puede generar tráfico de red no local.

7 Elija si se debe utilizar SSL para comunicarse con este servidor.

3


8 Si va a configurar un servidor OpenLDAP, introduzca el puerto.

9 Introduzca un nombre de usuario y una contraseña de una cuenta de administrador en el servidor.

• Servidores de Active Directory: utilice el formato dominio\nombre de usuario

• Servidores OpenLDAP: utilice el formato cn=Usuario,dc=ámbito,dc=com

10 Introduzca un nombre de Sitio para el servidor y haga clic en Probar conexión a fin de comprobar la conexión;a continuación, haga clic en Guardar para completar el registro.

Procedimientos• Cree definiciones de usuarios finales en la página 16

McAfee DLP tiene acceso a los servidores de Active Directory (AD) o de protocolo ligero de acceso adirectorios (LDAP) para crear definiciones de usuarios finales.

Cree definiciones de usuarios finalesMcAfee DLP tiene acceso a los servidores de Active Directory (AD) o de protocolo ligero de acceso a directorios(LDAP) para crear definiciones de usuarios finales.

Los grupos de usuarios finales se utilizan para los permisos y asignaciones de administrador, así como en lasreglas de dispositivos y protección. Pueden componerse de usuarios, grupos de usuarios o unidadesorganizativas (OU). Por tanto, permiten al administrador elegir un modelo adecuado. Las empresas organizadascon un modelo de OU pueden continuar utilizando ese modelo, mientras otras pueden emplear grupos ousuarios individuales, según se requiera.

Los objetos LDAP se identifican por el nombre o ID de seguridad (SID). Los SID son más seguros y los permisospueden conservarse incluso si se les asigna un nuevo nombre a las cuentas. No obstante, se almacenan enformato hexadecimal y deben codificarse para convertirlos a un formato legible.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.

2 Haga clic en la ficha Definiciones.

3 Seleccione Origen/destino | Grupo de usuarios finales y, a continuación, Acciones | Nuevo.

4 En la página Nuevo grupo de usuarios finales, introduzca un nombre único y, si lo desea, una descripción.

5 Seleccione el método para identificar objetos (mediante el SID o el nombre).

6 Haga clic en uno de los botones Agregar: Agregar usuarios, Agregar grupos o Agregar OU.

La ventana de selección muestra el tipo de información seleccionado.

Si la lista es larga, es posible que tarde unos segundos en mostrarse. Si no aparece ninguna información,seleccione Contenedor y elementos secundarios en la lista desplegable Valor predefinido.

7 Seleccione los nombres y haga clic en Aceptar para agregarlos a la definición.

Repita la operación según sea necesario para agregar usuarios, grupos o usuarios organizativos.

8 Haga clic en Guardar.

3 Configuración de los componentes del sistemaRegistro de un servidor LDAP


Usuarios, grupos y conjuntos de permisosLa creación de usuarios y grupos se administra en McAfee DLP 10.x y posteriores en las secciones Usuarios yConjuntos de permisos de McAfee ePO. También puede crear grupos de usuarios LDAP en el Administrador dedirectivas de DLP de McAfee ePO.

Los conjuntos de permisos de McAfee ePO se conocen como grupos en McAfee DLP Manager.

Práctica recomendada: Cree conjuntos de permisos, usuarios y grupos específicos de McAfee DLP. Creedistintas funciones mediante la asignación de permisos de administrador y revisor diferentes para los diversosmódulos de McAfee DLP en McAfee ePO.

Para obtener más información sobre los usuarios y los conjuntos de permisos en McAfee DLP 10.x yposteriores, consulte la Guía del producto de McAfee Data Loss Prevention correspondiente a su versión.

Derechos de administrador en McAfee ePO

Cuando se instala McAfee ePO, se crea automáticamente una cuenta de administrador. Los administradorestienen permisos de lectura y escritura, así como derechos para realizar todas las operaciones. De manerapredeterminada, el nombre de usuario para esta cuenta es admin. Si se cambia el valor predeterminadodurante la instalación, esta cuenta tendrá el nombre correspondiente.

Es posible crear otras cuentas de administrador para personas que necesiten derechos de administrador. Paraello, siga las instrucciones que aparecen en Creación de un usuario.

Entre los derechos de administrador se cuentan los siguientes:

• Crear, editar y eliminar sitios de origen y de respaldo

• Cambiar la configuración del servidor

• Agregar y eliminar cuentas de usuario

• Agregar, eliminar y asignar conjuntos de permisos

• Importar eventos a las bases de datos de McAfee ePO y limitar el número de eventos almacenados

Creación de un usuarioLos usuarios de McAfee DLP 10.x se conocen como usuarios locales en McAfee Network DLP 9.3.x.


1 En McAfee ePO, seleccione Menú | Administración de usuarios | Usuarios.

2 Haga clic en Nuevo usuario y escriba un nombre de usuario.

3 Seleccione si desea activar o desactivar el estado de inicio de sesión de esta cuenta.

Práctica recomendada: Desactive esta cuenta si es para alguien que aún no forma parte de la organización.

4 Seleccione un método de autenticación para esta cuenta y proporcione las credenciales necesarias.

• Autenticación de Windows

• Autenticación basada en certificados

5 (Opcional) Proporcione el nombre completo, la dirección de correo electrónico, el número de teléfono y unadescripción del usuario en el cuadro de texto Notas.

Configuración de los componentes del sistemaUsuarios, grupos y conjuntos de permisos 3


6 Decida si el usuario será administrador o seleccione los conjuntos de permisos adecuados.

7 Haga clic en Guardar para volver a la ficha Usuarios.

El nuevo usuario aparece en la lista Usuarios de la página Administración de usuarios.

Creación de un conjunto de permisosUn conjunto de permisos en McAfee DLP es equivalente a un grupo local en McAfee Network DLP 9.3.x.


1 En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos.

2 Seleccione un conjunto de permisos predefinido o haga clic en Nuevo para crear uno.

3 Escriba un nombre, seleccione los usuarios que desee agregar y, a continuación, haga clic en Guardar.


Creación de un conjunto de permisos de McAfee DLPLos conjuntos de permisos definen diferentes funciones de administrador y revisor en el software de McAfeeDLP.



2 Seleccione un conjunto de permisos predefinido o haga clic en Nuevo para crear uno nuevo.

a Escriba un nombre para el conjunto y seleccione los usuarios.

b Haga clic en Guardar.

3 Seleccione un conjunto de permisos y haga clic en la opción Editar de la sección Data Loss Prevention.

a En el panel de la izquierda, seleccione un módulo de protección de datos.

Administración de incidentes, Eventos operativos y Administración de casos se pueden seleccionar por separado.Otras opciones crean automáticamente los grupos predefinidos.

b Edite las opciones y omita permisos según precise.

El Catálogo de directivas no dispone de opciones que se puedan editar. Si va a asignar el Catálogo dedirectivas a un conjunto de permisos, puede editar los módulos secundarios del grupo Catálogo dedirectivas.

c Haga clic en Guardar.

3 Configuración de los componentes del sistemaUsuarios, grupos y conjuntos de permisos


Directiva de Ajustes generales de administración de appliancesLa categoría de directivas Ajustes generales de administración de appliances se instala como parte de la extensión deadministración de appliances. Los ajustes generales se aplican a appliances nuevos o en los que se harestablecido la imagen inicial.

• Información sobre fecha y hora, y zona horaria

• Listas de servidores DNS

• Información de enrutamiento estático

• Configuración de inicio de sesión remoto de Secure Shell (SSH)

• Configuración de registro remoto

• Supervisión y alertas de SNMP

En la Ayuda de Administración de appliances encontrará disponible información acerca de estas opciones.

Adición de un servidor de pruebas para almacenar los incidentesAlgunos incidentes disponen de elementos de pruebas asociados. Puede almacenar las pruebas en un servidorde pruebas.

Antes de empezarEl servidor de pruebas debe ser un recurso compartido CIFS con permisos de lectura/escritura.


1 En McAfee ePO, seleccione Menú | Configuración de DLP | General.

2 Introduzca la ruta de acceso al servidor de pruebas en Almacenamiento de pruebas predeterminado para guardarla configuración y activar el software.

La ruta de almacenamiento de pruebas debe ser una ruta de red, es decir, \\[servidor]\[recursocompartido].

3 Proporcione el nombre de usuario y la contraseña para acceder al servidor y haga clic en Guardar.

Configuración de los componentes del sistemaDirectiva de Ajustes generales de administración de appliances 3


3 Configuración de los componentes del sistemaAdición de un servidor de pruebas para almacenar los incidentes


4 Clasificación de contenido de carácterconfidencial

En McAfee DLP 10.x y posteriores, el contenido se define mediante clasificaciones. Las clasificaciones utilizadaspara McAfee DLP Prevent y McAfee DLP Monitor pueden contener combinaciones de definiciones, propiedadesde documentos y documentos registrados.

Para McAfee DLP 10.x y posteriores, la clasificación de contenido se configura en dos ubicaciones de McAfeeePO.

• Menú | Clasificación | Definiciones | Diccionario: crear definiciones en función de palabras clave.

• Menú | Clasificación | Definiciones | Patrón avanzado: crear definiciones en función de expresiones regulares(regex).

Puede asociar las definiciones predefinidas tal cual para crear reglas o bien crear duplicados de las reglaspredefinidas que se pueden personalizar.

Contenido Crear una clasificación Creación de los criterios de clasificación Creación de propiedades de documentos Cargar documentos registrados De los conceptos a las definiciones

Crear una clasificaciónLas reglas de protección de datos y de descubrimiento requieren definiciones de clasificación en suconfiguración.


1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.

2 Haga clic en Nueva clasificación.

3 Introduzca un nombre y, si lo desea, una descripción.

4 Haga clic en Aceptar.

4


5 Agregue grupos de usuarios finales a la clasificación manual o documentos registrados a la clasificación,haciendo clic en Editar para el componente correspondiente.

6 Agregue criterios de identificación por huellas digitales o clasificación de contenido con el control Acciones.

Creación de los criterios de clasificaciónAplique los criterios de clasificación a los archivos en función del contenido y las propiedades del archivo.

Los criterios de clasificación de contenido se crean a partir de las definiciones de archivos y datos. Si no existeuna definición requerida, puede crearla cuando defina los criterios.



2 Seleccione la clasificación a la que quiere agregar los criterios y haga clic en Acciones | New ContentClassification Criteria (Nuevos criterios de clasificación de contenido).

3 Introduzca el nombre.

4 Seleccione las propiedades y configure las entradas de comparación y valor.

• Para eliminar una propiedad, haga clic en <.

• En el caso de algunas propiedades, tendrá que hacer clic en ... para seleccionar una propiedad existenteo crear una nueva.

• Para agregar valores adicionales a una propiedad, haga clic en +.

• Para eliminar valores, haga clic en -.


Creación de propiedades de documentosEs posible crear una clasificación basándose en las propiedades de los documentos.



2 Haga clic en Nueva clasificación y especifique un nombre exclusivo y una descripción opcional.

3 Haga clic en Acciones y seleccione Nuevo criterio de clasificación de contenido o haga clic en el vínculo Editar paracambiar un criterio de clasificación existente.

4 Haga clic en Propiedades del documento, después en ... y seleccione Nuevo elemento.

5 Seleccione la propiedad que desee y haga clic en Guardar.

4 Clasificación de contenido de carácter confidencialCreación de los criterios de clasificación


Cargar documentos registradosSeleccione y clasifique documentos para distribuir en los equipos Endpoint.

Antes de empezarLa carga de documentos registrados requiere una licencia para McAfee DLP Endpoint, McAfee DLPPrevent o McAfee DLP Monitor.



2 Haga clic en la ficha Registrar documentos.

3 Haga clic en Carga de archivo.

4 Busque el archivo, seleccione si desea sobrescribir un archivo (si ya existe el nombre de archivo) y seleccioneuna clasificación.

Carga de archivo procesa un solo archivo. Para cargar varios documentos, cree un archivo .zip.


El archivo se carga y procesa, y las estadísticas aparecen en la página.

6 Haga clic en Crear paquete cuando se haya completado la lista de archivos.

Cuando se eliminen los archivos, quítelos de la lista y cree un nuevo paquete para aplicar los cambios.

7 Puede crear un paquete solo de documentos registrados o en lista blanca dejando una lista vacía.

Se carga un paquete de firma de todos los documentos registrados y todos los documentos en lista blanca enla base de datos de McAfee ePO para la distribución en equipos endpoint. McAfee DLP Prevent y McAfee DLPMonitor pueden acceder a la base de datos de McAfee ePO para utilizar documentos registrados endefiniciones de reglas.

De los conceptos a las definicionesMcAfee Network DLP 9.3.x utiliza conceptos tomando como base expresiones de McAfee para crear criterios declasificación. Un concepto puede contener palabras clave o expresiones regulares (regex). En McAfee DLP 10.x yposteriores, los conceptos se convierten en definiciones. McAfee DLP 10.x y posteriores utilizan expresiones desintaxis RE2 de Google para crear las definiciones.

McAfee Network DLP 9.3.x contenía algunos conceptos predefinidos (por ejemplo, una selección de númerosde tarjetas de crédito, HIPAA y apuestas) que coinciden con las definiciones disponibles en McAfee DLP 10.x yposteriores. En caso de que no exista coincidencia, será necesaria la creación manual.

A fin de conseguir una funcionalidad similar con McAfee DLP 10.x y versiones posteriores, cree definicionesindependientes para las definiciones de Diccionario (palabras clave) y para las definiciones de Patrón avanzado(expresiones regulares).

Clasificación de contenido de carácter confidencialCargar documentos registrados 4


Tabla 4-1 Expresiones regulares

Expresión DLP 9.3.x DLP 10.x

\s cualquier carácter [\ \f \n \r \t < >;] carácter de espacio en blanco

\w cualquier carácter alfanumérico y subrayado cualquier carácter alfanumérico ysubrayado

. cualquier carácter

\D cualquier carácter distinto de un dígito

\c cualquier carácter alfabético [A–Z] o [a–z]

\i distinción de mayúsculas y minúsculasdesactivada

$ final de una cadena

(flecha hacia arriba) inicio de una cadena

Si desea obtener información adicional acerca de Google RE2, consulte https://support.google.com/a/answer/1371417?hl=en.

Práctica recomendada: Antes de comenzar a crear definiciones en McAfee DLP 10.x y posteriores, revise laconfiguración existente para los conceptos a fin de asegurarse de que sigan siendo relevantes para susnecesidades y de que proporcionan los resultados esperados.

Definiciones de diccionarioUn diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignada unacalificación.

Los criterios de clasificación e identificación por huellas digitales de contenido utilizan los diccionariosespecificados para clasificar un documento si se supera un umbral definido (calificación total), es decir, siaparecen en el documento suficientes palabras del diccionario. Las calificaciones asignadas pueden sernegativas o positivas, lo que permite buscar palabras o expresiones en presencia de otras palabras oexpresiones.

La diferencia entre un diccionario y una cadena en una definición de palabra clave es la calificación asignada.

• La clasificación de una palabra clave siempre marca el documento si la expresión está presente.

• Una clasificación de diccionario ofrece más flexibilidad, ya que permite establecer un umbral al aplicar ladefinición, lo que hace que la clasificación sea relativa. El umbral puede llegar hasta 1000. También puedeelegir cómo se cuentan las coincidencias: Count multiple occurrences (Contar varias repeticiones) aumenta elrecuento con cada coincidencia, mientras que Contar cada cadena coincidente una sola vez cuenta cuántasentradas del diccionario coinciden con el documento.

El software de McAfee DLP incluye varios diccionarios integrados con términos utilizados habitualmente en losámbitos de la sanidad, la banca, las finanzas y otros sectores. También puede crear sus propios diccionarios.Los diccionarios se pueden crear y editar de forma manual, o bien mediante la función de copiar y pegar desdeotros documentos.

Limitaciones

Existen ciertas limitaciones para utilizarlos. Los diccionarios se guardan en formato Unicode (UTF-8) y sepueden escribir en cualquier idioma. Las siguientes descripciones se aplican a los diccionarios escritos eninglés. Las descripciones generalmente se aplican a otros idiomas, pero pueden ocurrir problemas imprevistosen algunos.

4 Clasificación de contenido de carácter confidencialDe los conceptos a las definiciones


https://support.google.com/a/answer/1371417?hl=en

https://support.google.com/a/answer/1371417?hl=en

La coincidencia de diccionarios tiene tres características:

• Solo distingue entre mayúsculas y minúsculas cuando crea entradas de diccionario que distinguen entremayúsculas y minúsculas. Los diccionarios integrados, creados antes de que esta función estuvieradisponible, no distinguen entre mayúsculas y minúsculas.

• Puede buscar coincidencias con subcadenas o frases completas.

• Hace coincidir las frases, incluidos los espacios.

Si se especifica la coincidencia con subcadenas, tenga cuidado al introducir palabras cortas debido a la posibleaparición de falsos positivos. Por ejemplo, la entrada de "sal" en el diccionario indicaría "saltar" y "asalto". A finde evitar falsos positivos de este tipo, utilice la opción de coincidencia con toda la frase o use frases improbablesdesde el punto de vista estadístico a fin de obtener los mejores resultados. Otra fuente de falsos positivos son lasentradas similares. Por ejemplo, en algunos listados de enfermedades de HIPAA (Health Insurance Portabilityand Accountability Act), "celíaco" y "enfermedad celíaca" aparecen como entradas independientes. Si el segundotérmino aparece en un documento y se especifica la coincidencia con subcadenas, se producen dos resultados(uno para cada entrada) y se sesga la calificación total.

Crear o importar una definición de diccionarioUn diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignada unacalificación. Las calificaciones tienen en cuenta definiciones de reglas más detalladas.

Es posible crear una definición de diccionario mediante la importación de un archivo de diccionario en formatoCSV. También se pueden importar elementos con un script que contenga llamadas a API REST. El administradorque ejecute el script debe ser un usuario válido de McAfee ePO con permisos en los Conjuntos de permisos deMcAfee ePO para realizar las acciones invocadas por las API.

Práctica recomendada: Los archivos CSV de diccionario pueden emplear varias columnas. Exporte undiccionario a fin de comprender cómo se rellenan las columnas antes de crear un archivo para la importación.



2 Haga clic en la ficha Definiciones.

3 En el panel de la izquierda, seleccione Diccionario.

4 Seleccione Acciones | Nuevo.


6 Agregue entradas al diccionario.

Para importar entradas:

a Haga clic en Importar entradas.

b Introduzca palabras o expresiones, o bien cópielas y péguelas desde otro documento.

La ventana de texto está limitada a 20 000 líneas de 50 caracteres cada una.

c Haga clic en Aceptar.

Todas las entradas se asignan a una calificación predeterminada de 1.

Clasificación de contenido de carácter confidencialDe los conceptos a las definiciones 4


d Si es necesario, actualice la calificación predeterminada de 1 haciendo clic en Editar en la entrada.

e Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea necesario.

Empieza por y Termina por ofrecen coincidencia con subcadenas.

Para crear entradas manualmente:

a Introduzca la expresión o la calificación.

b Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea necesario.

c Haga clic en Agregar.


Creación de una definición de diccionario basada en palabras claveEs posible crear una definición de diccionario basada en palabras clave.

Procedimiento1 En McAfee ePO, vaya a Clasificación | Definiciones | Diccionario y haga clic en Acción | Nuevo.

2 Asigne un nombre al diccionario y una descripción opcional y, a continuación, haga clic en Acción | Agregar.

3 En Expresión, escriba la palabra seguridad y, a continuación, establezca la Calificación como 1 y seleccioneDistinción mayúsculas/minúsculas para que se produzca la coincidencia con la palabra clave cuando esté enminúsculas.

4 Haga clic en Agregar y, a continuación, en Guardar.

5 Seleccione Clasificación | Nueva clasificación. Asigne un nombre a la clasificación, agregue una descripciónopcional y haga clic en Aceptar.

6 Seleccione la clasificación recién creada y haga clic en Acción | Nuevo criterio de clasificación de contenido.

7 Seleccione el diccionario y utilice la comparación (O/Y/NO).

8 Haga clic en (…). Seleccione el diccionario recién creado, asígnele un umbral de 10 y haga clic en Aceptar.

9 Asigne la clasificación a una regla para activar la clasificación.

Definiciones de patrones avanzadosLos patrones avanzados utilizan expresiones regulares (regex) que permiten una coincidencia con patrones máscomplejos, como números de la Seguridad Social o de tarjetas de crédito. Las definiciones utilizan la sintaxis deexpresiones regulares de Google RE2.

Las definiciones de patrones avanzados incluyen una calificación (obligatoria), como con las definiciones dediccionario. Además, pueden incluir un validador opcional: un algoritmo utilizado para probar las expresionesregulares. El uso del validador adecuado también puede reducir los falsos positivos de manera significativa. Ladefinición puede incluir una sección Expresiones ignoradas opcional para continuar reduciendo los falsospositivos. Las expresiones ignoradas pueden ser expresiones regex o palabras clave. Puede importar variaspalabras clave para agilizar la creación de expresiones.



A la hora de definir un patrón avanzado, se puede elegir cómo se contarán las coincidencias: Contar variasrepeticiones aumenta el recuento con cada coincidencia, mientras que Contar cada cadena coincidente una sola vezcuenta cuántos patrones definidos tienen una coincidencia exacta en el documento.

Los patrones avanzados indican la presencia de texto confidencial. Los patrones de texto confidencial seredactan en pruebas con resaltado de coincidencias.

Si se especifica un patrón de coincidencia y otro que se ignora, tiene prioridad el patrón ignorado. De esta forma,es posible especificar una regla general y agregar excepciones sin tener que volver a escribir la regla general.

Creación de una definición basada en un patrón avanzadoLos patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón avanzado puedeincluir una expresión sencilla o una combinación de expresiones y definiciones de falsos positivos.

Los patrones avanzados se definen con expresiones regulares (regex).

No hay ningún equivalente para las opciones Percentage match (Coincidencia de porcentaje), Proximidad y Number ofbytes from the beginning (Número de bytes desde el principio) de McAfee DLP 10.x.



2 Seleccione la ficha Definiciones y, a continuación, seleccione Patrón avanzado en el panel de la izquierda.

Para ver solo los patrones avanzados definidos por el usuario, anule la selección de la casilla de verificaciónIncluir elementos incorporados. Los patrones definidos por el usuario son los únicos que pueden editarse.

Los patrones disponibles aparecerán en el panel de la derecha.



5 En Expresiones coincidentes:

a Introduzca una expresión en el cuadro de texto y agregue una descripción opcional.

b Seleccione un validador en la lista desplegable o, si la validación no es adecuada para la expresión,seleccione Sin validaciones.

Un validador es lo mismo que un algoritmo en McAfee DLP 9.3.x. Puede utilizarlo para minimizar losfalsos positivos.

c Introduzca un número en el campo Calificación para indicar la ponderación de la expresión en lacoincidencia de umbral.

d Haga clic en Agregar.

6 En Expresiones ignoradas:

a Introduzca una expresión en el cuadro de texto.

Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos en ladefinición mediante Importar entradas.



b En el campo Tipo, seleccione Regex en la lista desplegable si la cadena es una expresión regular o Palabraclave si es texto.

También se pueden agregar expresiones de palabras clave mediante Importar palabras clave, escribiendo laspalabras clave separadas por una línea nueva.

c Haga clic en Agregar.

7 Agregue el recuento al concepto:

a Asigne a todas las expresiones una calificación de 1.

b Cuando asigne el diccionario a la clasificación, proporcione al umbral el mismo valor que tuviera laconfiguración de recuento en McAfee DLP 9.3.x.

c Seleccione Contar varias repeticiones de cada cadena coincidente si la calificación debe agregarse en caso deexistir varias apariciones de una misma expresión en un documento.

d Seleccione Contar cada cadena coincidente solo una vez si la calificación no debe agregarse y debe ser únicaaunque existan varias apariciones de una misma expresión en un documento.

e Seleccione Empieza por y Termina por para ver si el documento comienza o termina con la expresión, o bienseleccione ambas opciones para buscar la expresión en cualquier parte del documento.

f Para que la coincidencia se produzca según el número de líneas desde el principio del documento,puede crear una nueva expresión regular mediante condiciones como menor que, igual a o mayor que.


Creación de una definición basada en expresiones regularesEs posible bloquear un documento que tenga un número de tarjeta de crédito con el formatoxxxx-xxxx-xxxx-xxxx, donde x es cualquier dígito (0-9), que aparezca más de diez veces.


1 En McAfee ePO, vaya a Clasificación | Definiciones | Patrón avanzado y haga clic en Acciones | Nuevo.

2 Escriba un nombre para el patrón avanzado y agregue una descripción opcional.

3 Introduzca la expresión como \d{4}(-|\s)\d{4}(-|\s)\d{4}(-|\s)\d{4}\D, seleccione Luhn10 comovalidador y asígnele una calificación de 1.

4 Especifique los números de tarjetas de crédito que desee omitir.

5 Haga clic en Agregar y, a continuación, en Guardar.

6 Seleccione Clasificación | Nueva clasificación, escriba un nombre para la clasificación y agregue una descripciónopcional; a continuación, haga clic en Aceptar.

7 Seleccione la clasificación y seleccione Acción | Nuevo criterio de clasificación de contenido; a continuación, hagaclic en Patrón avanzado y seleccione la comparación (O/Y/NO).

8 Haga clic en (…), seleccione el patrón que acaba de crear y asígnele un umbral de 10; a continuación, hagaclic en Aceptar.

9 Asigne la clasificación a una regla.



Crear una definición de clasificación generalCree y configure definiciones para su uso en las clasificaciones y las reglas.



2 Seleccione el tipo de definición que configurar y, a continuación, seleccione Acciones | Nuevo.

3 Introduzca un nombre y configure las opciones y las propiedades de la definición.

Las opciones y las propiedades disponibles varían según el tipo de definición.




5 Protección con reglas, conjuntos de reglas ydirectivas

McAfee DLP 10.x y posteriores utilizan reglas para inspeccionar los datos y el tráfico y lleva a cabo acciones deprotección cuando detecta infracciones de reglas. Las reglas se agrupan en conjuntos de reglas.

Reglas

Las condiciones de la regla definen lo que hace que la regla se active. Según el tipo de regla, las condicionesincluyen clasificaciones, definiciones de reglas y otros criterios. Por ejemplo, puede crear una regla quesupervise el hecho de que un grupo específico de usuarios envíe determinados documentos confidenciales dela empresa como datos adjuntos de correo electrónico.

Las excepciones definen los parámetros excluidos de la regla. Podría interesarle bloquear la visita por parte dela mayoría de los usuarios a un determinado sitio web, pero permitir que un grupo de usuarios determinadoacceda como una excepción.

Conjuntos de reglas

Para volver a crear las directivas utilizadas en DLP Manager, es necesario crear conjuntos de reglas en McAfee DLP10.x y posteriores. Las reglas se agrupan en los conjuntos de reglas. Si dispone de varios productos de McAfeeDLP, puede combinar todos los tipos de reglas en un único conjunto de reglas.

Directiva

Las directivas de McAfee DLP 10.x y posteriores son conjuntos de definiciones, clasificaciones y reglas quedefinen cómo los productos de McAfee DLP protegen sus datos.

Contenido Definiciones y reacciones de reglas de McAfee DLP Prevent Creación de una regla Creación de un conjunto de reglas Crear una definición de lista de direcciones de correo electrónico Creación de un intervalo de direcciones de red Crear una definición de lista de URL Crear un nuevo intervalo de puertos de red Creación de una directiva Asignación de una directiva a un appliance de McAfee DLP Prevent Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen a un

dominio especificado Caso de uso: rastrear las infracciones de derechos de propiedad intelectual Caso práctico: Identificación por huellas digitales basada en la aplicación

5


Definiciones y reacciones de reglas de McAfee DLP PreventMcAfee DLP Prevent funciona con reglas de Protección de correo electrónico y reglas de Protección web de McAfeeDLP.

Reacciones

McAfee DLP Prevent puede llevar a cabo estas acciones cuando se activan las reglas.

Tipo de regla Reacción Descripción

Cualquiera Sin acción Permite el tráfico o la acción.

Notificar incidente Genera un incidente para informar de la infracción.

Protección web Almacenar archivooriginal como prueba

Almacena el archivo que ha activado la regla en el recursocompartido de pruebas. Puede ver la prueba en los detalles delincidente.

Notificación deusuario

Se notifica al usuario la infracción.

Bloquear Impide que el usuario acceda el sitio web.

Protección de correoelectrónico

Acción AgregarencabezadoX-RCIS-Action

Estas son las acciones disponibles.• SCANFAIL: mensajes que no se pueden analizar.

• BLOCK: bloquea el mensaje.

• QUART: pone en cuarentena el mensaje.

• ENCRYPT: cifra el mensaje.

• BOUNCE: emite un mensaje Non-Delivery Receipt (NDR) para elremitente.

• REDIR: redirige el mensaje.

• NOTIFY: se notifica al personal de supervisión.

• ALLOW: se permite que pase el mensaje. El valor ALLOW seagrega automáticamente a todos los mensajes que no incluyencontenido coincidente.

Almacenar correoelectrónico originalcomo prueba

Almacena el correo electrónico que ha activado la regla en elrecurso compartido de pruebas. Puede ver la prueba en losdetalles del incidente.

La reacciones de reglas no se aplican a McAfee DLP Monitor.

Definiciones de reglas

De forma similar a las clasificaciones, las definiciones de reglas especifican una condición en la regla. McAfeeDLP Prevent utiliza estas definiciones de reglas:

• Lista de direcciones de correo electrónico • Puerto de red

• Grupo de usuarios finales • Extensión del archivo

• Lista de URL • Plantilla de aplicación

• Notificación de usuario • Lista de nombre de archivo

• Dirección de red

5 Protección con reglas, conjuntos de reglas y directivasDefiniciones y reacciones de reglas de McAfee DLP Prevent


Creación de una reglaEl proceso para crear una regla es similar para todos los tipos de regla.



2 Haga clic en la ficha Conjuntos de reglas.

3 Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la ficha apropiada para lasreglas de Protección de datos, Control de dispositivos o Descubrimiento.

4 Seleccione Acciones | Nueva regla y, a continuación, elija el tipo de regla.

5 En la ficha Condición, introduzca la información.

• En el caso de algunas condiciones, como las clasificaciones o los elementos de plantillas de dispositivo,haga clic en ... para seleccionar un elemento existente o crear uno nuevo.

• Para agregar criterios adicionales, haga clic en +.

• Para eliminar criterios, haga clic en -.

6 (Opcional) Para agregar excepciones a la regla, haga clic en la ficha Excepciones.

a Seleccione Acciones | Agregar excepción de regla.

No se muestra ningún botón Acciones para las reglas de dispositivos. Para agregar excepciones a reglasde dispositivos, seleccione una entrada de la lista que se muestra.

b Rellene los campos según proceda.

7 En la ficha Reacción, configure las opciones Acción, Notificación de usuario y Notificar incidente.

Las reglas pueden tener diferentes acciones, en función de si el equipo endpoint se encuentra en la redcorporativa o no. Algunas reglas también pueden tener una acción diferente cuando existe conexión con lared corporativa mediante VPN.


Creación de un conjunto de reglasLos conjuntos de reglas combinan la protección de varios dispositivos, la protección de datos y las reglas deanálisis de descubrimiento.




3 Seleccione Acciones | Nuevo conjunto de reglas.

4 Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar.

Protección con reglas, conjuntos de reglas y directivasCreación de una regla 5


Crear una definición de lista de direcciones de correo electrónicoLas definiciones de lista de direcciones de correo electrónico son dominios de correo electrónico predefinidos odirecciones de correo electrónico específicas que pueden incluirse en las reglas de protección de correoelectrónico.

Para conseguir granularidad en las reglas de protección de correo electrónico, incluya algunas direcciones decorreo electrónico y excluya otras. Asegúrese de crear ambos tipos de definiciones.

Práctica recomendada: Para combinaciones de operadores que utilice con frecuencia, agregue varias entradaspara una definición de lista de direcciones de correo electrónico.

Existe la posibilidad de importar listas de direcciones de correo electrónico en formato CSV. También se puedenimportar elementos con un script que contenga llamadas a API REST. El administrador que ejecute el scriptdebe ser un usuario válido de McAfee ePO con permisos en los Conjuntos de permisos de McAfee ePO pararealizar las acciones invocadas por las API.

Práctica recomendada: Los archivos CSV de lista de direcciones de correo electrónico emplean varias columnas.Exporte una lista de direcciones a fin de comprender cómo se rellenan las columnas antes de crear un archivopara la importación.

Las definiciones de valores de correo electrónico admiten caracteres comodín y pueden definir condiciones. Unejemplo de condición definida con un carácter comodín es *@intel.com. La combinación de una condición delista de direcciones con un grupo de usuarios en una regla aumenta la granularidad.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.

2 En el panel de la izquierda, seleccione Lista de direcciones de correo electrónico y, a continuación, Acciones | Nuevo.

3 Introduzca un Nombre y, si lo desea, una Descripción.

4 Seleccione un Operador en la lista desplegable.

Los operadores definidos con la opción Direcciones de correo electrónico admiten caracteres comodín en elcampo Valor.

Las reglas de protección de correo electrónico que se implementan en McAfee DLP Prevent o McAfee DLPMonitor no coinciden con los operadores Nombre para mostrar.

5 Introduzca un valor y, a continuación, haga clic en Agregar.

6 Haga clic en Guardar cuando haya acabado de agregar direcciones de correo electrónico.

Creación de un intervalo de direcciones de redLos intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección decomunicaciones de la red.

5 Protección con reglas, conjuntos de reglas y directivasCrear una definición de lista de direcciones de correo electrónico


ProcedimientoPara cada definición requerida, lleve a cabo los pasos del 1 al 4: Para obtener más información sobre funciones,uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda.


2 En el panel de la izquierda, seleccione Dirección de red (dirección IP) y, a continuación, haga clic en Acciones |Nuevo.

3 Introduzca un nombre único para la definición y, si lo desea, una descripción.

4 En el cuadro de texto, introduzca una dirección, un intervalo o una subred. Haga clic en Agregar.

En la página se mostrarán ejemplos con el formato correcto.

Se admiten únicamente direcciones IPv4. Si se introduce una dirección IPv6, aparecerá el mensaje Ladirección IP no es válida en lugar de indicarse que no se admite.

5 Cuando haya introducido todas las definiciones necesarias, haga clic en Guardar.

Crear una definición de lista de URLLas definiciones de listas de URL se utilizan para definir las reglas de protección web. Se agregan a las reglascomo condiciones de Dirección web (URL).

Es posible crear una definición de lista de URL mediante la importación de la lista en formato CSV. También sepueden importar elementos con un script que contenga llamadas a API REST. El administrador que ejecute elscript debe ser un usuario válido de McAfee ePO con permisos en los Conjuntos de permisos de McAfee ePO pararealizar las acciones invocadas por las API.

Práctica recomendada: Los archivos CSV de lista de URL pueden emplear varias columnas. Exporte una lista deURL a fin de comprender cómo se rellenan las columnas antes de crear un archivo para la importación.

ProcedimientoPara cada URL requerida, lleve a cabo los pasos del 1 al 4: Para obtener más información sobre funciones, uso yprácticas recomendadas para el producto, haga clic en ? o en Ayuda.


2 En el panel de la izquierda, seleccione Lista de URL y, a continuación, elija Acciones | Nuevo.

3 Introduzca un Nombre único y, si lo desea, una Definición.

4 Siga uno de estos procedimientos:

• Introduzca información de Protocolo, Host, Puerto y Ruta en los cuadros de texto y, a continuación, haga clicen Agregar.

• Pegue una URL en el cuadro de texto Pegar URL, haga clic en Analizar y, a continuación, en Agregar.

El software rellena los campos de URL.

5 Una vez agregadas a la definición todas las URL requeridas, haga clic en Guardar.

Protección con reglas, conjuntos de reglas y directivasCrear una definición de lista de URL 5


Crear un nuevo intervalo de puertos de redLos intervalos de puertos de red funcionan como criterios de filtrado en las reglas de protección decomunicaciones de la red.



2 En el panel de la izquierda, seleccione Puerto de red y, a continuación, haga clic en Acciones | Nuevo.

También puede editar las definiciones integradas.

3 Introduzca un nombre único y, si lo desea, una descripción.

4 Introduzca los números de puerto, separados por comas y, si lo desea, una descripción; después, haga clicen Agregar.

5 Cuando haya agregado todos los puertos necesarios, haga clic en Guardar.

Creación de una directiva


1 Haga clic en Menú | Directiva | Catálogo de directivas, seleccione la categoría Administración de appliances de DLP yhaga clic en Nueva directiva.

2 Seleccione la directiva que desee duplicar, escriba un nombre para la nueva directiva y haga clic en Aceptar.

La directiva aparecerá en el Catálogo de directivas.

3 Seleccione el nombre de la nueva directiva para abrir el asistente Configuración de directivas.

4 Edite la configuración de la directiva y haga clic en Guardar.

Asignación de una directiva a un appliance de McAfee DLP Prevent

Antes de empezar• Una regla de protección de correo electrónico o protección web implementada en McAfee DLP

Prevent

• Un conjunto de reglas

• Una directiva de McAfee DLP Prevent

asignada a un conjunto de reglas

5 Protección con reglas, conjuntos de reglas y directivasCrear un nuevo intervalo de puertos de red



1 En McAfee ePO, abra la directiva que ha creado.

2 Seleccione Acciones | Conjuntos de reglas activos y, a continuación, seleccione el conjunto de reglas en la lista yhaga clic en Aceptar.

3 Haga clic en Menú | Sistemas | Árbol de sistemas | Directivas asignadas y, a continuación, seleccione un grupo enel Árbol de sistemas.

4 Seleccione el producto Administración de appliances de DLP.

Todas las directivas asignadas, organizadas por producto, aparecerán en el panel de detalles.

5 Haga clic en el vínculo Editar asignación correspondiente a la categoría Directiva de DLP.

6 Seleccione Interrumpir herencia y asignar la directiva y la configuración a partir de este punto y cambie la directivaasignada por la directiva que ha creado.


Caso práctico: Bloqueo de mensajes salientes con contenido de carácterconfidencial a menos que se envíen a un dominio especificado

Los mensajes salientes se bloquean si contienen la palabra Confidencial, a menos que la regla no se aplique aldestinatario.

Tabla 5-1 Comportamiento esperado

Contenido del correoelectrónico

Destinatario Resultado esperado

Cuerpo: Confidencial [email protected] El mensaje está bloqueado porque contiene lapalabra "Confidencial".

Cuerpo: Confidencial [email protected] El mensaje no se bloquea porque la configuraciónde la excepción indica que se puede enviarmaterial confidencial a personas del dominio"ejemplo.com".

Cuerpo:Datos adjuntos:Confidencial

[email protected][email protected]

El mensaje se bloquea debido a que uno de losdestinatarios no tiene permiso para recibirlo.


1 Cree una definición de lista de direcciones de correo electrónico para un dominio al que no se le aplica laregla.

a En la sección Protección de datos de McAfee ePO, seleccione Administrador de directivas de DLP y haga clic enDefiniciones.

b Seleccione la definición Lista de direcciones de correo electrónico y cree otra copia de El dominio de correoelectrónico de mi organización integrado.

Protección con reglas, conjuntos de reglas y directivasCaso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen a un dominio especificado 5


c Seleccione la definición de lista de direcciones de correo electrónico que ha creado y haga clic en Editar.

d En Operador, seleccione El nombre de dominio es y defina el valor como ejemplo.com.

e Haga clic en Guardar.

2 Cree un conjunto de reglas con una regla de Protección de correo electrónico.

a Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones | Nuevo conjunto de reglas.

b Asigne al conjunto de reglas el nombre Bloquear si aparece "Confidencial" en el correoelectrónico.

c Cree una copia de la clasificación Confidencial integrada.

Aparecerá una copia editable de la clasificación.

d Haga clic en Acciones | Nueva regla | Regla de protección de correo electrónico.

e Asigne a la nueva regla el nombre Bloquear si aparece "Confidencial" y actívela.

f Aplique la regla a DLP Endpoint para Windows y DLP Prevent.

g Seleccione la clasificación que ha creado y añádala a la regla.

h Defina la opción Destinatario como cualquier destinatario (TODOS).

Deje los demás ajustes de la ficha Condición con los valores predeterminados.

3 Agregue excepciones a la regla.

a Haga clic en Excepciones y, a continuación, seleccione Acciones | Agregar excepción de regla.

b Escriba un nombre para la excepción y actívela.

c Defina la clasificación como Confidencial.

d Defina el Destinatario como al menos un destinatario pertenece a todos los grupos (Y) y, a continuación, seleccionela definición de lista de direcciones de correo electrónico que ha creado.

4 Configure la reacción a los mensajes que contengan la palabra Confidencial.

a Haga clic en Reacción.

b En DLP Endpoint, defina Acción como Bloquear para los equipos conectados y desconectados de la redcorporativa.

c En DLP Prevent, seleccione la opción Agregar encabezado X-RCIS-Action y haga clic en el valor Bloquear.

5 Guarde la directiva y aplíquela.

Caso de uso: rastrear las infracciones de derechos de propiedadintelectual

Su empresa ha perdido propiedad intelectual y sospecha que se ha filtrado mediante una persona de unaoficina específica. Puede crear parámetros de regla que busquen los documentos filtrados y el empleadosospechoso y, después, supervisar sus actividades para crear un caso legal y evitar más fugas de datos.

Antes de empezarDebe tener un servidor de Active Directory y McAfee® Logon Collector conectado a McAfee DLP.Para obtener más información, consulte la Guía del producto de McAfee Data Loss Prevention.

5 Protección con reglas, conjuntos de reglas y directivasCaso de uso: rastrear las infracciones de derechos de propiedad intelectual



1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas .

2 Puede editar una regla existente o seleccionar Acciones | Nuevo conjunto de reglas y crear una nueva.

3 Seleccione un conjunto de reglas y, a continuación, haga clic en Acciones | Nueva regla y seleccione el tipo deregla.

4 Introduzca el Nombre de la regla, un Estado y una Gravedad para la regla.

5 Agregue criterios de clasificación que describan la propiedad intelectual perdida. Seleccione unaclasificación existente o agregue una nueva.

6 Agregue criterios de clasificación que describan la propiedad intelectual perdida.

a Haga clic en Menú | Protección de datos | Clasificación.

b Seleccione la clasificación y haga clic en Acciones | Nuevo criterio de clasificación de contenido.

c Agregue condiciones que describan la propiedad intelectual perdida.

Por ejemplo, puede agregar palabras clave, una expresión exacta de los documentos filtrados, un tipo dearchivo o un concepto.

7 Vuelva al Administrador de directivas de DLP y seleccione la ficha Definiciones.

8 Abra la categoría Origen/destino y agregue un destino que pueda identificar a los destinatarios de los datos.

Por ejemplo, es posible que disponga de direcciones IP, dominios o ubicaciones geográficas que puedanayudarle a definir al destinatario.


Haga lo siguiente después de que la regla recupere los incidentes.

10 Examine la página Detalles de incidente para confirmar que la regla recupere los incidentes.

11 En la ficha Reacción, seleccione Agregar encabezado X-RCIS-Action en la lista desplegable de la sección McAfee DLPPrevent y, a continuación, seleccione Bloquear, Cuarentena, Redirigir o Notificar.

Caso práctico: Identificación por huellas digitales basada en laaplicación

Puede clasificar el contenido como confidencial según la aplicación que lo ha creado.

En algunos casos, el contenido se puede clasificar como confidencial según la aplicación que lo ha creado. Unejemplo son los mapas militares de estricta confidencialidad. Estos archivos son JPEG, normalmente, creadoscon una aplicación GIS específica de las fuerzas aéreas de un país. Al seleccionar esta aplicación en la definiciónde criterios de identificación por huellas digitales de contenido, todos los archivos JPEG generados con dichaaplicación se etiquetarán como confidenciales. Los archivos JPEG creados con otras aplicaciones no seetiquetarán.

Protección con reglas, conjuntos de reglas y directivasCaso práctico: Identificación por huellas digitales basada en la aplicación 5




2 En la ficha Definiciones, seleccione Plantilla de aplicación y, a continuación, seleccione Acciones | Nueva.

3 Introduzca un nombre, por ejemplo Aplicación GIS, y una descripción opcional.

4 Mediante una o varias propiedades de la lista Propiedades disponibles, defina la aplicación GIS y, acontinuación, haga clic en Guardar.

5 En la ficha Clasificación, haga clic en Nueva clasificación e introduzca un nombre, por ejemplo, AplicaciónGIS y, si lo desea, una descripción. Haga clic en Aceptar.

6 Seleccione Acciones | Nuevos criterios de identificación por huellas digitales de contenido | Aplicación para abrir lapágina de criterios de identificación por huellas digitales correspondiente a las aplicaciones.

7 En el campo Nombre, introduzca un nombre para la etiqueta, por ejemplo, Etiqueta GIS.

8 En el campo Aplicaciones, seleccione la aplicación GIS creada en el paso 1.

9 Desde la lista Propiedades disponibles | Condiciones del archivo, seleccione Tipo de archivo verdadero y, acontinuación, en el campo Valor, seleccione Archivos gráficos [integrado].

La definición integrada incluye JPEG, así como otros tipos de archivos gráficos. Al seleccionar una aplicación,así como un tipo de archivo, solo se incluyen en la clasificación los archivos JPEG producidos por laaplicación.

10 Haga clic en Guardar y, a continuación, seleccione Acciones | Guardar clasificación.

La clasificación está lista para utilizarse en reglas de protección.

5 Protección con reglas, conjuntos de reglas y directivasCaso práctico: Identificación por huellas digitales basada en la aplicación


6 Análisis de datos con McAfee DLP Discover10.x

Contenido Tipos de repositorios Tipos de análisis Creación de definiciones de análisis Creación de un análisis de clasificación Creación de reglas para análisis de corrección Caso de uso: planificar un análisis y filtrar los resultados Caso de uso: crear un análisis de un solo uso que se ejecute hasta que se complete

Tipos de repositoriosMcAfee DLP Discover 10.x funciona con repositorios de CIFS, SharePoint y Box.

Repositorios de CIFS

Al definir un repositorio de CIFS, la ruta UNC puede ser el nombre de dominio completo (FQDN) (\\miservidor1.midominio.com) o el nombre del equipo local (\\miservidor1). Puede agregar ambas convencionesa una única definición.

Repositorios de SharePoint

Al definir un repositorio de SharePoint, el nombre de host es la URL del servidor, a menos que se hayaconfigurado una asignación alternativa de acceso (AAM) en el servidor. Para obtener información sobre lasAAM, consulte la documentación de SharePoint de Microsoft.

Repositorios de Box

Cuando defina un repositorio de Box, obtenga el ID y la clave secreta del cliente en el sitio web de Box.

6


Tipos de análisisMcAfee DLP Discover 10.x realiza análisis de inventario, clasificación y corrección.

Análisis de inventario

• Recopila metadatos, pero no descarga ningún archivo.

• Devuelve los contadores y el inventario de datos de OLAP (lista de archivos analizados).

• Restaura la última hora de acceso de los archivos analizados.

Análisis de clasificación

• Recopila los mismos metadatos que un análisis de inventario.

• Analiza el tipo de archivo verdadero en función del contenido del archivo, en vez de la extensión.

• Recopila los datos de los archivos que coincidan con la clasificación configurada.

• Restaura la última hora de acceso de los archivos analizados.

Análisis de corrección

Los análisis de corrección aplican reglas para proteger el contenido de carácter confidencial en el repositorioanalizado. Cuando un archivo coincide con la clasificación en un análisis de corrección, McAfee DLP Discoverpuede hacer lo siguiente:

• Generar un incidente.

• Almacenar el archivo original en el servidor de pruebas.

• Copiar el archivo.

• Mover el archivo.

• Aplicar una directiva de administración de derechos al archivo.

• Modificar el recurso compartido anónimo para el inicio de sesión necesario (solo en el caso de análisis deBox).

• No llevar a cabo ninguna acción.

Análisis de registro

Creación de definiciones de análisisTodos los análisis requieren una definición para especificar el repositorio, las credenciales y la planificación.

Antes de empezarDebe contar con el nombre de usuario, la contraseña y la ruta para el repositorio.

Práctica recomendada: Las definiciones de información de archivos opcionales permiten definir filtros para elanálisis. Los filtros permiten analizar los repositorios de una manera más específica al definir qué archivos seincluyen o se excluyen.

6 Análisis de datos con McAfee DLP Discover 10.xTipos de análisis



1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover y haga clic en la ficha Definiciones.

2 Cree una definición de las credenciales.

a En el panel de la izquierda, seleccione Otros | Credenciales.

b Introduzca un nombre exclusivo para la definición.

Los campos Descripción y Nombre de dominio son opcionales. Todos los demás campos son obligatorios. Sise trata de un usuario del dominio, utilice el sufijo del dominio en el campo Nombre de dominio. Si se tratade un usuario de un grupo de trabajo, utilice el nombre del equipo local.

c En el caso de los repositorios de dominios de Windows, haga clic en Probar credenciales para comprobar elnombre de usuario y la contraseña desde McAfee ePO. Esto no permite comprobar las credencialesdesde el servidor de McAfee DLP Discover.

3 Cree una definición de repositorio.

a En el panel de la izquierda, en la sección Repositorios, seleccione el tipo de repositorio nuevo que deseecrear.

b Seleccione Acciones | Nuevo, escriba un nombre de repositorio exclusivo en el campo Nombre y rellene elresto de la información de Tipo y Definiciones.


4 Cree una definición de planificador.

a En el panel de la izquierda, seleccione Otros | Planificador.

b Seleccione Acciones | Nuevo y rellene los parámetros del planificador.


5 (Opcional) Cree una definición de información de archivo.

a En el panel de la izquierda, seleccione Datos | Información del archivo.

b Seleccione Acciones | Nuevo y sustituya el nombre predeterminado por un nombre exclusivo para ladefinición.

c Seleccione las propiedades que desee utilizar como filtros y rellene los detalles de Comparación y Valor.

d Haga clic en Guardar.

Creación de un análisis de clasificaciónLos análisis de clasificación recopilan datos de archivos en función de las clasificaciones definidas. Se utilizanpara analizar los sistemas de archivos a fin de que los datos de carácter confidencial estén protegidos con unanálisis de corrección.

Si se cambia el tipo de análisis, también se pueden crear análisis de Corrección y de Inventario.

Análisis de datos con McAfee DLP Discover 10.xCreación de un análisis de clasificación 6



1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.

2 En la ficha Servidores Discover, seleccione Acciones | Detectar servidores para actualizar la lista.

Si la lista es larga, puede definir un filtro para que se muestre una lista más corta.

3 En la ficha Operaciones de análisis, seleccione Acciones | Nuevo análisis y elija el tipo de repositorio.

4 Escriba un nombre exclusivo y seleccione Tipo de análisis: Clasificación; a continuación, seleccione unaplataforma de servidor y una planificación.

5 Los Servidores Discover deben estar previamente definidos. Puede seleccionar una planificación definida ocrear una nueva.

6 (Opcional) Defina valores para Regulación, Lista de archivos o Administración de errores en lugar de los valorespredeterminados.

7 Seleccione los repositorios que desee analizar.

a En la ficha Repositorios, haga clic en AccionesSeleccionar repositorios.

b Si fuera necesario, especifique las credenciales para cada repositorio de la lista desplegable.

c (Opcional) En la ficha Filtros, seleccione Acciones | Seleccionar filtros para especificar los archivos que incluiro excluir.

De forma predeterminada, se analizan todos los archivos.

8 Seleccione las clasificaciones para el análisis.

a En la ficha Clasificaciones, haga clic en Acciones | Seleccionar clasificaciones.

b Seleccione una o varias clasificaciones de la lista.


9 Haga clic en Aplicar directiva.

Creación de reglas para análisis de correcciónUtilice las reglas para definir la acción que aplicar cuando un análisis de corrección detecte archivos quecoincidan con las clasificaciones.




3 Si no hay conjuntos de reglas configurados, cree uno.

a Seleccione Acciones | Nuevo conjunto de reglas.

b Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar.

6 Análisis de datos con McAfee DLP Discover 10.xCreación de reglas para análisis de corrección


4 Haga clic en el nombre de un conjunto de reglas y, a continuación, si fuera necesario, haga clic en la fichaDiscover.

5 Seleccione Acciones | Nueva regla de descubrimiento de red y, a continuación, seleccione el tipo de regla.

6 En la ficha Condición, configure una o varias clasificaciones y repositorios.

• Para crear un elemento, haga clic en ....

• Para agregar criterios adicionales, haga clic en +.

• Para eliminar criterios, haga clic en -.

7 (Opcional) En la ficha Excepciones, especifique cualquier exclusión para la activación de la regla.

8 En la ficha Reacción, configure la reacción. Las reacciones disponibles dependen del tipo de repositorio.


Caso de uso: planificar un análisis y filtrar los resultadosPlanifique un análisis para que se ejecute a intervalos regulares.

Los análisis se ejecutan hasta que se completan si no se define una hora de finalización. Si el análisis sigueejecutándose cuando se alcanza el próximo intervalo planificado, se omite esa instancia y el análisis se reiniciaen el siguiente.

Por ejemplo, si un análisis diario sin hora de finalización comienza a ejecutarse el lunes a las 9 a. m. y finaliza 49horas después, se reinicia el jueves a las 9 a. m.


1 Cree una definición de análisis y seleccione el Tipo de planificación como Ejecutar inmediatamente. Utilice la opciónHorario de suspensión a fin de especificar una hora de finalización para el análisis.

2 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.

3 Haga clic en el vínculo Editar situado junto a la lista desplegable Filtro.

4 Seleccione Archivos analizados en el panel izquierdo.

5 Introduzca la comparación, el valor y el resto de parámetros, tales como Archivos estimados para analizar, Erroresde análisis y Tipo de análisis.

6 Compruebe el resultado del análisis en las fichas Análisis de datos e Inventario de datos.

Caso de uso: crear un análisis de un solo uso que se ejecute hasta que secomplete

Es posible planificar una análisis que se ejecute hasta que finalice.

Antes de empezarDetermine el tipo de repositorio, las credenciales utilizadas para acceder a él y el modo de análisisque se ajuste a la tarea.

Análisis de datos con McAfee DLP Discover 10.xCaso de uso: planificar un análisis y filtrar los resultados 6




2 Seleccione HIPAA en el panel izquierdo y haga clic en Acciones | Duplicar clasificación.

3 Especifique las credenciales, el repositorio y la planificación.

4 Cree el análisis mediante la clasificación y las definiciones que ha creado.

5 Active el análisis:

a Seleccione la casilla de verificación de los análisis que desee activar o desactivar.

El icono de la columna de estado muestra si el análisis está activado o desactivado.

• Un icono de color azul significa que el análisis está activado.

• Un icono azul y blanco significa que el análisis está desactivado.

b Seleccione Acciones | Cambiar estado y, a continuación, seleccione Activado.

c Aplique la directiva.

6 Compruebe el resultado del análisis en las fichas Análisis de datos e Inventario de datos.

6 Análisis de datos con McAfee DLP Discover 10.xCaso de uso: crear un análisis de un solo uso que se ejecute hasta que se complete


7 Supervisión y generación de informes

McAfee DLP ofrece varias funciones para la administración de los incidentes, los casos y el estado de losappliances.

• Utilice la consola del Administrador de incidentes de DLP para ver y administrar los incidentes creadoscuando se activan las reglas.

• Utilice la consola de Administración de casos de DLP para ver y administrar los incidentes asignados a loscasos.

• Utilice la consola de Operaciones de DLP para ver los errores y los eventos administrativos.

• Utilice las tarjetas de mantenimiento del sistema de Administración de appliances para supervisar el estado decada uno de sus appliances de McAfee DLP.

• Utilice los paneles de McAfee DLP en McAfee ePO para recuperar información sobre los incidentes.

Contenido Incidentes y casos Supervisión del mantenimiento y el estado del sistema

Incidentes y casosIncident and case management are handled similarly between McAfee Network DLP 9.3.x and McAfee DLP 10.xand later.

Con McAfee DLP10.x y posteriores, los incidentes se envían al Analizador de eventos de McAfee ePO y sealmacenan en una base de datos. Los incidentes contienen los detalles sobre la infracción y pueden,opcionalmente, incluir información de pruebas. Puede ver los incidentes y pruebas tal y como se reciben en laconsola Administrador de incidentes de DLP que contiene tres secciones con fichas:

• Lista de incidentes: la lista actual de eventos de infracción de directiva. Se pueden realizar las operacionessiguientes con los incidentes.

• Administración de casos: crear casos y agregar los incidentes seleccionados a un caso.

• Comentarios: agregar comentarios a los incidentes seleccionados.

• Enviar eventos por correo electrónico: enviar los eventos seleccionados.

• Exportar parámetros del dispositivo: exportar los parámetros del dispositivo a un archivo CSV (solo listade Datos en uso/movimiento).

• Etiquetas: definir una etiqueta para el filtrado.

• Liberar redacción: eliminar la redacción para ver los campos protegidos (requiere el permiso correcto).

• Definir propiedades: editar la gravedad, el estado o la solución; asignar un usuario o un grupo para larevisión de incidentes.

7


• Tareas de incidentes: use las fichas Tareas de incidentes o Tareas de eventos operativos para definir los criteriosde las tareas planificadas. La configuración de tareas en las páginas funciona mediante la función Tareasservidor de McAfee ePO para la planificación de tareas. Las tareas pueden incluir también la asignación derevisores a los incidentes, la configuración de notificaciones automáticas por correo electrónico y la purgade toda la lista o parte de ella.

• Historial de incidentes: una lista que contiene todos los incidentes históricos. La purga de la lista deincidentes no afecta al historial. Muestra los eventos o incidentes históricos en función de las seleccionesactuales. Las selecciones pueden ser Ver, Hora y Filtro.

Cuando se activa una regla, el incidente se comunica a la consola del Administrador de incidentes de DLP.Utilice esta consola para ver, ordenar y modificar incidentes. El Administrador de incidentes de DLP muestra losincidentes de todos los productos de McAfee DLP. El tipo de incidentes que se muestra depende de la selecciónrealizada en el campo Presente. La opción Datos en uso/movimiento incluye los incidentes generados por McAfeeDLP Prevent o McAfee DLP Monitor.

Práctica recomendada: Los incidentes sobre su instalación de McAfee Network DLP 9.3.x no se pueden migrar aMcAfee ePO a menos que estuviera utilizando la función de administración de incidentes unificada en McAfeeePO. Si continúa necesitando acceso a los incidentes heredados, ejecute la instalación de McAfee Network DLP9.3.x en paralelo con McAfee DLP 10.x o posterior hasta que los incidentes heredados ya no sean necesarios.

Utilice la consola de Administración de casos de DLP para agrupar los incidentes relacionados con un caso a finde continuar con el rastreo y la revisión. Los casos permiten a los administradores colaborar para llegar a lasolución de incidentes relacionados. En muchas situaciones, un solo incidente no es un evento aislado. Podríaver varios incidentes en el Administrador de incidentes de DLP que compartan propiedades comunes o queestén relacionados entre sí. Puede asignar estos incidentes relacionados a un caso. Diversos administradorespueden supervisar y administrar un caso de acuerdo con sus funciones dentro de la organización.

Ordenar y filtrar incidentesOrdene la manera en la que aparecen los incidentes basándose en atributos como el tiempo, la ubicación, elusuario o la gravedad.


1 En McAfee ePO, seleccione Administrador de incidentes de DLP.

2 Desde la lista desplegable Presente, seleccione Datos en uso/movimiento.

3 Realice una de estas tareas.

• Para ordenar por columna, haga clic en el encabezado de una columna.

• Para cambiar las columnas a una vista personalizada, en la lista desplegable Vista, seleccione una vistapersonalizada.

• Para filtrar por tiempo, en la lista desplegable Hora, seleccione un espacio de tiempo.

• Para aplicar un filtro personalizado, en la lista desplegable Filtro, seleccione un filtro personalizado.

• Para agrupar por atributo:

1 En la lista desplegable Agrupar por, seleccione un atributo.

Aparecerá una lista de opciones disponibles. La lista contiene hasta 250 de las opciones másfrecuentes.

2 En la lista desplegable, seleccione una opción. Aparecerán los incidentes que coincidan con laselección.

7 Supervisión y generación de informesIncidentes y casos


Ver detalles del incidenteConsulte la información relacionada con un incidente.



2 En la lista desplegable Presente, seleccione la opción para su producto.

3 Haga clic en un ID de incidente.

Para los incidentes de McAfee DLP Endpoint, McAfee DLP Monitor y McAfee DLP Prevent, la página muestradetalles generales e información de origen. Según el tipo de incidente, aparecen los detalles del destino o eldispositivo. Para los incidentes de McAfee DLP Discover, la página muestra detalles generales sobre elincidente.

4 Para ver información adicional, lleve a cabo una de estas tareas.

• Para ver información del usuario, en incidentes de McAfee DLP Endpoint, haga clic en el nombre delusuario en el campo Origen.

• Para ver los archivos de pruebas:

1 Haga clic en la ficha Pruebas.

2 Haga clic en el nombre de un archivo para abrirlo con un programa apropiado.

La ficha Prueba también muestra la Cadena coincidente breve, que incluye hasta tres elementos destacadoscomo única cadena.

• Para ver las reglas que desencadenaron el incidente, haga clic en la ficha Reglas.

• Para ver las clasificaciones, haga clic en la ficha Clasificaciones.

En incidentes de McAfee DLP Endpoint, la ficha Clasificaciones no aparece para algunos tipos deincidente.

• Para ver el historial de incidentes, haga clic en la ficha Registros de auditoría.

• Para ver los comentarios agregados al incidente, haga clic en la ficha Comentarios.

• Para enviar por correo electrónico los detalles de los incidentes, incluidas las pruebas descifradas y losarchivos de elementos destacados, seleccione Acciones | Enviar por correo electrónico los eventos seleccionados.

• Para volver al administrador de incidentes, haga clic en Aceptar.

Procedimientos• Cambio de la vista en la página 49

Además de utilizar los filtros para cambiar la vista, también puede personalizar los campos y elorden de visualización. Las vistas personalizadas se pueden guardar y reutilizar.

Cambio de la vistaAdemás de utilizar los filtros para cambiar la vista, también puede personalizar los campos y el orden devisualización. Las vistas personalizadas se pueden guardar y reutilizar.

Al guardar la vista, también se guarda la hora y los filtros personalizados. Es posible seleccionar las vistasguardadas en la lista desplegable situada en la parte superior de la página.

Supervisión y generación de informesIncidentes y casos 7



1 Para abrir la ventana Edit View (Editar vista), haga clic en Acciones | Ver | Elegir columnas.

2 Para mover las columnas a la izquierda o a la derecha, use los iconos de las flechas.

3 Utilice el icono x para eliminar columnas.

4 Para aplicar la vista personalizada, haga clic en Actualizar vista.

5 Si desea guardarla para su uso en el futuro, haga clic en Acciones | Ver | Guardar vista.

Actualizar un solo incidenteActualice información del incidente como la gravedad, el estado y el revisor.

La ficha Registro de auditoría informa de todas las actualizaciones y modificaciones realizadas en un incidente.




3 Haga clic en un incidente.

Se abrirá la ventana de detalles del incidente.

4 En el panel Detalles generales, realice cualquiera de estas tareas.

• Para actualizar la gravedad, el estado o la resolución:

1 En las listas desplegables Gravedad, Estado o Solución, seleccione una opción.


• Para actualizar el revisor:

1 Junto al campo Revisor, haga clic en ....

2 Seleccione el grupo o el usuario, y haga clic en Aceptar.


• Para agregar un comentario:

1 Seleccione Acciones | Agregar comentario.

2 Introduzca un comentario y, a continuación, haga clic en Aceptar.

Actualizar varios incidentesActualice varios incidentes con la misma información simultáneamente.

Ejemplo: Ha aplicado un filtro para mostrar todos los incidentes de un usuario o análisis concreto, y deseacambiar la gravedad de estos incidentes a Grave.






3 Seleccione las casillas de verificación correspondientes a los incidentes que desee actualizar.

Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.

4 Realice una de estas tareas.

• Para agregar un comentario, seleccione Acciones | Agregar comentario, introduzca un comentario y, acontinuación, haga clic en Aceptar.

• Para enviar los incidentes en un correo electrónico, seleccione Acciones | Enviar por correo electrónico loseventos seleccionados, introduzca la información y, a continuación, haga clic en Aceptar.Puede seleccionar una plantilla existente o crear una introduciendo la información y haciendo clic enGuardar.

• Para exportar los incidentes, seleccione Acciones | Exportar eventos seleccionados, introduzca la informacióny, a continuación, haga clic en Aceptar.

• Para liberar la redacción de los incidentes, seleccione Acciones | Liberar redacción, introduzca un nombrede usuario y contraseña y, a continuación, haga clic en Aceptar.

Debe tener permiso de redacción de datos para eliminar la redacción.

• Para cambiar las propiedades, seleccione Acciones | Definir propiedades, cambie las opciones y, acontinuación, haga clic en Aceptar.

Creación de notificaciones de correo electrónicoEl proceso para agregar notificaciones de correo electrónico es similar en el caso de Administrador de incidentes deDLP y de Operaciones de DLP.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección dedatos | Operaciones de DLP.

2 Seleccione Tareas de incidentes o Tareas de eventos operativos y, a continuación, seleccione Notificación de correoautomática.

Si ha elegido Tareas de incidentes, también debe seleccionar el tipo de incidente, como Datos en uso/movimiento.

3 Haga clic en Acciones | Nueva regla e introduzca un nombre y una descripción opcional.

Las reglas se activan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecuciónde la regla.



4 Seleccione los eventos que desee procesar y, a continuación, especifique la información siguiente:

• Destinatarios

• Asunto

• Cuerpo

Aparte de Cuerpo, estos campos son obligatorios. Puede insertar variables de la lista desplegable según seanecesario.

5 Agregue el texto del cuerpo del correo electrónico.

6 (Opcional para el Administrador de incidentes de DLP) Seleccione la casilla de verificación para adjuntarinformación de pruebas al correo electrónico.

7 Haga clic en Siguiente para agregar los criterios de la regla y sus parámetros de Comparación y Valor; acontinuación, haga clic en Guardar.

Creación de casosCree un caso para agrupar y examinar los incidentes relacionados.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.


3 Introduzca un nombre y configure las opciones.


Asignación de un revisorEs posible asignar revisores a incidentes y eventos operativos. Las asignaciones pueden ser por grupo derevisores o por revisor individual.

Utilice la función Conjuntos de permisos de Administración de usuarios a fin de crear revisores.

El proceso para establecer revisores es similar en el caso de Administrador de incidentes de DLP y de Operaciones deDLP.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección dedatos | Operaciones de DLP.

2 Seleccione Tareas de incidentes o Tareas de eventos operativos y, a continuación, seleccione Definir revisor.

3 Haga clic en Acciones | Nueva regla e introduzca un nombre y una descripción opcional.

Las reglas se activan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecuciónde la regla.



4 Seleccione un revisor o un grupo y, a continuación, haga clic en Siguiente.

5 Haga clic en Siguiente para agregar los criterios de la regla y sus parámetros de Comparación y Valor; acontinuación, haga clic en Guardar.

Visualización de información del casoPuede ver los registros de auditoría, los comentarios de los usuarios y los incidentes asignados a un caso.



2 Haga clic en un ID de caso.

3 Realice una de estas tareas:

• Para ver los incidentes asignados al caso, haga clic en la ficha Incidentes.

• Para ver los comentarios de los usuarios, haga clic en la ficha Comentarios.

• Para ver los registros de auditoría, haga clic en la ficha Registro de auditoría.


Actualización de casosInformación sobre la actualización de los casos, como el cambio de propietario, el envío de notificaciones o laadición de comentarios.

Las notificaciones se envían al creador y al responsable del caso, así como a los usuarios seleccionados,cuando:

• se agrega o se modifica un correo electrónico; • se modifica la prioridad;

• se agregan incidentes al caso o se eliminan; • se modifica la resolución.

• se modifica el nombre del caso; • se agregan comentarios.

• se modifican los detalles del responsable; • Se agregan datos adjuntos.

Puede desactivar las notificaciones por correo electrónico automáticas al creador y al responsable del caso enMenú | Configuración | Configuración del servidor | Data Loss Prevention.



2 Haga clic en un ID de caso.



3 Realice una de estas tareas:

• Para actualizar el nombre del caso, en el campo Título, introduzca uno nuevo y haga clic en Guardar.

• Para actualizar el responsable, realice lo siguiente:

1 Haga clic en la opción ... situada junto al campo Propietario.

2 Seleccione el grupo o el usuario.



• Para actualizar las opciones Prioridad, Estado y Solución, sírvase de las listas desplegables para seleccionarelementos y haga clic en Guardar.

• Para enviar notificaciones de correo electrónico, siga estos pasos:

1 Haga clic en la opción ... situada junto al campo Enviar notificaciones a.

2 Seleccione los usuarios a los que enviar notificaciones.

Si no se muestra ningún contacto, especifique un servidor de correo electrónico para McAfee ePO yagregue las direcciones de correo electrónico de los usuarios. Configure el servidor de correoelectrónico en Menú | Configuración | Configuración del servidor | Servidor de correo electrónico. Configure losusuarios en Menú | Administración de usuarios | Usuarios.


• Para agregar comentarios al caso, realice lo siguiente:

1 Haga clic en la ficha Comentarios.

2 Introduzca el comentario en el campo de texto.

3 Haga clic en Agregar comentario.


Asignación de incidentes a un casoAgregue incidentes relacionados a un caso nuevo o a uno existente.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP.


3 Seleccione las casillas de verificación de uno o varios incidentes.

Utilice las opciones como Filtro o Agrupar por para ver los incidentes relacionados. Para actualizar todos losincidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.



4 Asigne los incidentes a un caso.

• Para agregarlos a un caso nuevo, seleccione Acciones | Administración de casos | Agregar a un nuevo caso,introduzca un nombre y configure las opciones.

• Para agregarlos a un caso existente, seleccione Acciones | Administración de casos | Agregar a un caso existente,filtre por el nombre o el ID del caso, y seleccione dicho caso.


Caso de uso: buscar infracciones de directiva por usuarioSi tiene muchos incidentes que revisar, puede resultar difícil encontrar los incidentes relacionados con undeterminado usuario. Para buscar las infracciones de directiva relacionadas, utilice los atributos que identificanal usuario.




3 Seleccione la hora que desee.

4 Haga clic en Acciones y seleccione Filtro | Editar filtro.

5 En Propiedades disponibles, seleccione un atributo de usuario, como Nombre de usuario, Correo electrónico principaldel usuario o Ciudad del usuario.

Las siguientes condiciones se pueden seleccionar en la lista desplegable: Igual a, No es igual a, El valor está enblanco, El valor no está en blanco, Contiene, No contiene.

6 Especifique la información de usuario en el campo de texto.

Si no dispone de la información exacta de un usuario, seleccione el filtro Remitente o Destinatario, agregue unacondición Contiene o No contiene y escriba una cadena que pueda coincidir con algunos caracteres del nombrede usuario o la dirección de correo electrónico.

7 Haga clic en Nombre de directiva y, a continuación, seleccione ... para elegir la directiva en la lista.

Se mostrarán los incidentes generados a partir de la información de usuario anterior y también de ladirectiva seleccionada. Las directivas que no hayan generado incidentes coincidentes no se mostrarán.

8 Haga clic en Actualizar filtro.

Se mostrarán los incidentes que cumplan los criterios de filtrado.

9 Haga clic en el vínculo Guardar situado junto a la lista desplegable Filtro.

Este filtro se puede utilizar de nuevo posteriormente.

Caso de uso: buscar incidencias de alto riesgoPara buscar los incidentes de alto riesgo, filtre los incidentes por gravedad.





2 En la lista desplegable Presente, seleccione la opción correspondiente a su producto.

3 En Agrupar por, seleccione Gravedad en la lista desplegable.

4 Seleccione la gravedad que desee aplicar, por ejemplo, de tipo crítico o advertencia.

Se mostrarán los incidentes que cumplan los criterios de filtrado.

Caso de uso: establecer las propiedades de los incidentesEs posible cambiar las propiedades de los incidentes, tales como la gravedad, para contribuir a la búsqueda y elrastreo de determinados incidentes.

Las propiedades son Gravedad, Estado, Solución, Grupo revisor y Usuario revisor.




3 Haga clic en un incidente.

Se abrirá la ventana Detalles de incidente.

4 En el panel Detalles generales, realice cualquiera de estas tareas y, después, haga clic en Guardar.• Para actualizar la gravedad, el estado o la solución, seleccione las opciones que desee en la lista

desplegable y, a continuación, haga clic en Guardar.

• Haga clic en ... junto al campo Revisor, seleccione el grupo o el usuario y, a continuación, haga clic enAceptar.

5 Seleccione Acciones | Agregar comentario.

6 Introduzca un comentario y, a continuación, haga clic en Aceptar.

Caso de uso: filtrar incidentes por fecha, destino y usuarioCree un filtro para identificar los incidentes enviados en las últimas 24 horas por un usuario determinado.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP.

2 Seleccione Datos en uso/movimiento en Presente.

3 Seleccione Últimas 24 horas en la lista desplegable Hora.

4 En Filtros, haga clic en Editar.



5 En Destination equals (Destino es igual a), agregue el destino necesario.

6 Seleccione Username equals (Nombre de usuario es igual a) y agregue el nombre que desee buscar.

7 Seleccione Actualizar filtro.

8 En el panel izquierdo, seleccione Agrupar por y seleccione Conjunto de reglas en la lista desplegable.

Asignación de permisos de visualización de incidentes a los usuarios enActive DirectorySeleccione los usuarios de Active Directory que puedan ver los incidentes en el Administrador de incidentes de DLP.

Antes de empezarRegistre un servidor de Active Directory en McAfee ePO.



2 Seleccione la función que desee editar y, a continuación, haga clic en el vínculo Editar situado bajo Nombre yusuarios.

3 Haga clic en Agregar, seleccione los usuarios de Active Directory que desee agregar y, a continuación, hagaclic en Aceptar.


5 En Data Loss Prevention, haga clic en el vínculo Editar.

6 Seleccione Administración de incidentes y haga clic en El usuario puede ver todos los incidentes.


Asignación de permisos de visualización de administración de casos aun usuarioPuede permitir que un usuario concreto vea sus casos en Administración de casos de DLP.

Antes de empezarCree un usuario en McAfee ePO y asígnele un conjunto de permisos.


1 En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos y seleccione el conjunto depermisos al que pertenezca el usuario.

2 Haga clic en el vínculo Editar situado debajo de Nombre y usuarios.

3 Seleccione el usuario que acaba de crear y haga clic en Guardar.

4 En Data Loss Prevention, haga clic en el vínculo Editar.



5 Seleccione Administración de casos y haga clic en Los usuarios pueden ver los casos que se les han asignado.


Supervisión del mantenimiento y el estado del sistemaUtilice el panel Administración de appliances de McAfee ePO para administrar sus appliances, ver el estado demantenimiento del sistema y obtener información detallada sobre las alertas.

Para obtener información acerca del estado de los appliances de McAfee DLP Prevent o McAfee DLP Monitorindicado en las tarjetas de mantenimiento del sistema de Administración de appliances, consulte la versión másreciente de la Guía del producto de McAfee Data Loss Prevention.

Para obtener información específica sobre las opciones de Administración de appliances, consulte la Ayuda online deAdministración de appliances.

Paneles de McAfee DLPMcAfee DLP 10.x y posteriores agregan cuatro gráficos relacionados con incidentes en los paneles de McAfeeePO. Puede crear nuevos paneles que contengan alguno de los gráficos de McAfee DLP.

• DLP: Número de incidentes al día (datos en uso/movimiento) con formato de gráfico de líneas

• DLP: Número de incidentes por gravedad (datos en uso/movimiento) con formato de gráfico de sectores

• DLP: Número de incidentes por tipo (datos en uso/movimiento) con formato de gráfico de sectores

• DLP: Número de incidentes por conjunto de reglas (datos en uso/movimiento) con formato de gráfico debarras

Panel de Administración de appliancesEl panel de Administración de appliances combina la vista de árbol de los Appliances, las tarjetas de Mantenimiento delsistema, las Alertas y los paneles de Detalles.

El panel muestra la siguiente información para todos los appliances administrados.

• Una selección de información sobre cada appliance de McAfee DLP.

En un entorno de clúster de McAfee DLP Prevent, las tarjetas de mantenimiento del sistema muestran unavista en árbol del dispositivo principal del clúster y una serie de analizadores de clúster.

• Indicadores que muestran si un appliance necesita atención.

• Información detallada sobre cualquier problema detectado.

La barra de información incluye el nombre del appliance, el número de alertas notificadas actualmente y otrainformación específica del appliance sobre el que se ha informado.

Eventos de appliances de McAfee DLPLos appliances de McAfee DLP envían eventos al registro de Eventos de cliente o al registro de Operaciones de DLP.

Eventos de registro de Eventos de cliente

Algunos eventos incluyen códigos de motivo que se pueden emplear para buscar en los archivos de registro.

Práctica recomendada: Purgue periódicamente el registro de Eventos de cliente para evitar que se llene porcompleto.

7 Supervisión y generación de informesSupervisión del mantenimiento y el estado del sistema


ID deevento

Texto del evento de UI Descripción

15001 Error de consulta LDAP No se ha podido realizar la consulta. Los motivos se indican en lasdescripciones de los eventos.

15007 Sincronización deldirectorio LDAP

Estado de sincronización del directorio.

210003 El uso de recursos haalcanzado un nivel crítico

McAfee DLP Prevent no puede analizar un mensaje porque el directorioha alcanzado un nivel de tamaño crítico.

210900 Se ha logrado ampliar el ISOdel appliance

No se ha podido ampliar elISO del appliance

El appliance estáretrocediendo a una versiónanterior

Se ha actualizado la imagende instalación internacorrectamente

No se ha podido actualizarde la imagen de instalacióninterna

Eventos de ampliación del appliance:

• 983 — No se ha podido ampliar el ISO del appliance. Encontraráregistros detallados en /rescue/logs/.

• 984 — Se ha logrado ampliar el ISO del appliance. El appliance se haampliado correctamente a una versión más reciente.

• 985 — El appliance está retrocediendo a una versión anterior. Esteevento se envía cuando se inicia el intento de cambio a una versiónanterior. Los eventos de ampliación correcta o incorrecta se envían unavez que finaliza la ampliación.Si se solicita una ampliación o un cambio a una versión anteriorlimpios, el evento de éxito o fallo se envía tras el establecimiento de laconexión con McAfee ePO.

Actualizaciones de la imagen de instalación interna mediante eventosSCP:

• 986 — Se ha actualizado la imagen de instalación internacorrectamente.

• 987 — No se ha podido actualizar la imagen de instalación interna.

220000 Inicio de sesión de usuario Un usuario ha iniciado sesión en el appliance:• 354 — Se ha iniciado sesión en la GUI correctamente.

• 355 — No se ha podido iniciar sesión en la GUI.

• 424: Se ha iniciado sesión en SSH correctamente

• 425 — No se ha podido iniciar sesión en SSH.

• 426 — Se ha iniciado sesión en la consola del appliance correctamente.

• 427 — No se ha podido iniciar sesión en la consola del appliance.

• 430 — Se ha cambiado el usuario correctamente.

• 431 — No se ha podido cambiar el usuario.

Supervisión y generación de informesSupervisión del mantenimiento y el estado del sistema 7


ID deevento

Texto del evento de UI Descripción

220001 Cierre de sesión de usuario Un usuario ha cerrado sesión en el appliance:• 356 — El usuario de la GUI ha cerrado sesión.

• 357 — La sesión ha caducado.

• 428 — El usuario de SSH ha cerrado sesión.

• 429 — El usuario de la consola del appliance ha cerrado sesión.

• 432 — El usuario ha cerrado sesión.

220900 Instalación de certificado • El certificado se ha instalado correctamente

• Error en la instalación del certificado: <motivo>

No puede instalarse un certificado por uno de los motivos siguientes:• Frase de contraseña

incorrecta• Firma incorrecta

• Falta la clave privada • Certificado de CA incorrecto

• Error de cadena • Cadena demasiado larga

• Certificado incorrecto • Objetivo incorrecto

• Certificado caducado • Revocado

• Ya no es válido • CRL incorrecto o inexistente

El motivo también se notifica en el syslog. Si el motivo no coincide conninguno de los disponibles, se devuelve el evento de error de instalaciónde certificado por defecto.

Eventos de registro de Operaciones de DLP

ID de evento Texto del evento de UI Descripción

19100 Cambio de directiva Administración de appliances ha insertado una directiva alappliance correctamente.

19500 Error al insertar directiva Administración de appliances no ha podido insertar una directivaal appliance.

19105 Error de replicación de pruebas • No se ha podido cifrar un archivo de pruebas.

• No se ha podido copiar un archivo de pruebas al servidor depruebas.

19501 Error al analizar • Posible ataque de denegación de servicio.

• No se ha podido descomponer el contenido para analizarlo.

19402 DLP Prevent registrado El appliance se ha registrado correctamente con McAfee ePO.

19403 DLP Monitor registrado El appliance se ha registrado correctamente con McAfee ePO.

7 Supervisión y generación de informesSupervisión del mantenimiento y el estado del sistema


8 Mantenimiento y solución de problemas

Utilice la consola del appliance para las tareas de mantenimiento general, tales como cambiar la configuraciónde red y la realización de actualizaciones de software. Hay disponibles opciones para la solución de problemas,comprobaciones de integridad y mensajes de error para ayudarle a identificar y resolver los problemasrelacionados con los appliances de McAfee DLP Prevent o McAfee DLP Monitor.

Contenido Sugerencias para la solución de problemas Administración con la consola del appliance de McAfee DLP Acceso a la consola del appliance Sustitución del certificado por defecto Mensajes de error Copias de seguridad de la configuración

Sugerencias para la solución de problemasPara obtener más detalles sobre las tareas de mantenimiento y la solución de problemas, así como informaciónsobre los eventos operativos y de cliente de McAfee DLP Prevent o McAfee DLP Monitor, véase la Guía delproducto de McAfee Data Loss Prevention.

Fallo de registro del appliance con McAfee ePO

Compruebe que la conexión de red esté en funcionamiento y que las rutas estáticas que haya creado seancorrectas. Haga ping en el gateway predeterminado y en McAfee ePO desde la consola del appliance paraprobar la conexión de red.

Si el registro sigue dando problemas, llame al soporte técnico. No intente realizar el registro de nuevo.

Conexión perdida entre McAfee ePO y el appliance

Es posible comprobar el estado de la conexión para todos los appliances físicos y virtuales mediante la funciónAdministración de appliances de McAfee ePO.

Para restaurar una conexión que no funciona, abra el Árbol de sistemas y seleccione el appliance de McAfee DLPPrevent o McAfee DLP Monitor que haya perdido la conexión. A continuación, seleccione Acción | Agente | Activaragentes y haga clic en Aceptar.

Errores de registro de McAfee DLP Prevent o McAfee DLP Monitor

Los eventos de registro de McAfee DLP Prevent o McAfee DLP Monitor están disponibles en el registro deOperaciones de DLP en McAfee ePO.

8


ID de evento Texto del evento de UI Descripción19402 DLP Prevent registrado El appliance se ha registrado correctamente con McAfee ePO.

19403 DLP Monitor registrado El appliance se ha registrado correctamente con McAfee ePO.

No se registran eventos si el appliance de McAfee DLP Prevent o McAfee DLP Monitor no está registrado.Encontrará más información en /var/log/messages.

Problemas de entrega de correo electrónico

En caso de que el correo electrónico no se entregue, compruebe si está siendo bloqueado por un appliance deMcAfee DLP Prevent. Acceda al Administrador de incidentes de DLP en McAfee ePO para comprobar si existecualquier incidente correspondiente al mensaje.

Si se configura la notificación por correo electrónico en McAfee ePO como una Reacción, se notificará alremitente.

Compruebe si el host inteligente puede recibir correo electrónico en caso de que:

• McAfee DLP Prevent no pudiera conectar con el host inteligente para enviar el mensaje.

• Se haya interrumpido la conexión con el host inteligente durante una conversación.

Problemas de rechazo de correo electrónico

Si no hay un host inteligente configurado, McAfee DLP Prevent no puede aceptar mensajes de correoelectrónico porque no tiene ningún lugar al que enviarlos.

Problemas de Web Gateway y McAfee DLP Prevent relacionados con ICAP

Compruebe la configuración de la categoría Configuración web de McAfee DLP en Administración de appliances de DLP enel Catálogo de directivas. McAfee DLP Prevent procesa el tráfico ICAP y el tráfico ICAPs en función de los serviciosseleccionados desde ICAP seguro y sin cifrar.

Si no se selecciona ninguno, el servidor ICAP de McAfee DLP Prevent no acepta ninguna conexión.

Si solo se activa ICAP seguro, asegúrese de que el cliente ICAP sea compatible con ICAPs.

Es posible seleccionar los modos en los que McAfee DLP Prevent puede funcionar para el tráfico ICAP (REQMODy RESPMOD). Si se anula la selección de cualquiera de estos modos, el tráfico correspondiente es ignorado porel appliance de McAfee DLP Prevent y no se procesa. No es posible desactivar REQMOD y RESPMOD al mismotiempo.

Problemas relacionados con LDAP y Logon Collector

Si hay problemas de comunicación entre el appliance de McAfee DLP Prevent o McAfee DLP Monitor y ActiveDirectory al consultar la información de usuario:

• Compruebe las credenciales de Active Directory configuradas en McAfee ePO.

• Si se selecciona SSL, compruebe que Active Directory acepte las conexiones seguras.

Si ha configurado Active Directory para utilizar los puertos del Catálogo global, asegúrese de que al menos uno deestos atributos se replique en el servidor del Catálogo global desde los dominios del bosque:

• Proxy addresses

• Mail

Si un appliance de McAfee DLP Prevent o McAfee DLP Monitor necesita utilizar la autenticación NTLM para eltráfico ICAP, también deberán replicarse los siguientes atributos de LDAP:

8 Mantenimiento y solución de problemasSugerencias para la solución de problemas


• configurationNamingContext

• netbiosname

• msDS-PrincipalName

En el caso de Logon Collector, compruebe el certificado de Logon Collector en el appliance de McAfee DLPPrevent o McAfee DLP Monitor.

Errores de instalación

• Problemas de dependencia: puede haber un problema de dependencia si faltan las extensiones siguientes.

• Paquete de Common UI

• Extensión de administración de appliances

• Extensión de administración de Data Loss Prevention

• Problemas de ampliación: se produce el error siguiente si instala la misma versión o una versión anterior ala de la extensión: No se puede ampliar la extensión dlp-prevent-server-app a la <versión x.x.x.x> porque la<versión x.x.x.x> ya está instalada.

Errores de inserción de directiva

Los eventos de inserción de directiva también están disponibles en el registro de Operaciones de DLP en McAfeeePO.

Si no es posible insertar una directiva, se pueden obtener detalles mediante el appliance de McAfee DLPPrevent o McAfee DLP Monitor en el archivo /wk/mca/ame_policy_DLPPS___1000_error.log.

Mantenimiento del sistema

Utilice el panel Administración de appliances de McAfee ePO para obtener información a fin de administrar susappliances, ver el estado de mantenimiento del sistema y obtener información detallada sobre las alertas.

El mantenimiento del sistema muestra el estado de:

• Cola de pruebas

• Solicitudes web y de correo electrónico (McAfee DLP Prevent)

• Análisis de paquetes (McAfee DLP Monitor)

• Uso de la CPU

• Memoria

• Disco

• Red

Muestra errores o advertencias relacionados con:

• Mantenimiento del sistema

• Tamaño de la cola de pruebas

Mantenimiento y solución de problemasSugerencias para la solución de problemas 8


• Implementación de directivas

• Comunicación entre McAfee ePO y appliances de McAfee DLP Prevent y McAfee DLP Monitor.

Problemas relacionados con el Administrador de incidentes

Los problemas relacionados con usuarios, LDAP o la instalación de certificados se muestran en Client Events Log(Registro de eventos de cliente).

1 En McAfee ePO, acceda al Árbol de sistemas.

2 Seleccione la casilla de verificación situada junto al appliance de McAfee DLP Prevent o McAfee DLP Monitor.

3 Seleccione Acciones y acceda a Agente | Mostrar eventos de cliente.

Los incidentes no aparecen en el Administrador de incidentes de DLP

1 Utilice el protocolo de escritorio remoto (RDP) para acceder a McAfee ePO.

2 Vaya a Servicios.

3 Confirme que el Analizador de eventos de McAfee ePO se esté ejecutando. Si se ha detenido o pausado,reinícielo para resolver el problema.

McAfee DLP Prevent y McAfee DLP Monitor envían información de registro al syslog local, además de a unoo más servidores de registro remoto si los ha activado. Las entradas de syslog contienen información sobreel propio dispositivo (el proveedor, el nombre de producto y la versión), la gravedad del evento y la fecha enla que el evento se ha producido.

Utilice la configuración de la categoría General de la directiva Ajustes generales del appliance para configurar losservidores de registro remoto.

Administración con la consola del appliance de McAfee DLPUtilice credenciales de administrador para abrir la consola del appliance y editar la configuración de red quehaya introducido en el Asistente de instalación y llevar a cabo otras tareas de mantenimiento y solución deproblemas.

Puede agregar su propio texto que aparecerá en la parte superior de la consola del appliance o la pantalla deinicio de sesión SSH mediante la opción Banner de inicio de sesión personalizado en McAfee ePO (Menú | Catálogo dedirectivas | Administración de appliances de DLP | General.

Tabla 8-1 Opciones de menú de la consola del appliance

Opción Definición

Graphical configuration wizard Abre el asistente de configuración gráfica.

Si inicia sesión mediante SSH, la opción del asistente de configuración gráfica noestará disponible.

Shell Abre el shell del appliance.

Enable/Disable SSH Activa o desactiva el SSH como método de conexión al appliance.

Generate MER Crea un informe de escalación mínima (MER) que enviará al soporte técnico deMcAfee para que diagnostique los problemas del appliance.

Power down Cierra el appliance.

Reboot Reinicia el appliance.

Rescue Image Crea una imagen de rescate desde la cual se puede arrancar el appliance.

8 Mantenimiento y solución de problemasAdministración con la consola del appliance de McAfee DLP


Tabla 8-1 Opciones de menú de la consola del appliance (continuación)

Opción Definición

Reset to factory defaults Restablece los valores predeterminados de fábrica del appliance.

Change password Cambia la contraseña de la cuenta de administrador.

Logout Cierra sesión en el appliance principal.

Acceso a la consola del applianceLa consola del appliance permite realizar varias tareas de mantenimiento. Existen distintas formas de acceder ala consola según el tipo de appliance que tenga.

Tabla 8-2 Métodos de acceso a la consola

Método Appliance virtual Appliance de hardware

SSH X X

Cliente de vSphere X

KVM local (teclado, monitor y ratón) X

RMM X

Puerto serie X

Sustitución del certificado por defecto Puede sustituir el certificado autofirmado con uno emitido por una autoridad de certificación (CA, por sus siglasen inglés) para que otros hosts de la red puedan validar el certificado SSL del appliance.

Antes de empezarSSH debe estar activado.

Para sustituir el certificado, puede hacer una de estas cosas:

• Cargar un certificado y una clave privada nuevos.

• Descargar una solicitud de firma de certificado (CSR, por sus siglas en inglés) del appliance, hacer que lofirme una CA y cargar el certificado que le entregue la CA.

Procedimiento recomendado: Descargar una CSR del appliance garantiza que la clave privada del appliance nopueda quedar desprotegida involuntariamente.

Solo se permiten certificados y claves ECDSA y RSA en el archivo cargado. El certificado debe ser adecuado parasu uso como servidor TLS y como cliente TLS, y la carga debe incluir toda la cadena de certificados. Las cargasse pueden realizar en los siguientes formatos:

• PEM (Base64): cadena de certificados y clave privada o solo cadena de certificados

• PKCS#12: cadena de certificados y clave privada

• PKCS#7: solo cadena de certificados

Si el formato de la carga es PKCS#12 o PKCS#7, se deben utilizar las terminaciones de archivo correctas:

Mantenimiento y solución de problemasAcceso a la consola del appliance 8


• PKCS#12 debe tener la terminación de archivo .p12 o .pfx.

• PKCS#7 debe tener la terminación de archivo .p7b.

Es posible que el certificado no se instale si ocurre lo siguiente:

• El certificado no se puede utilizar para la función que tiene prevista.

• El certificado ha caducado.

• El archivo que se ha cargado no contiene los certificados de CA que necesita para verificarlo.

• El certificado emplea un algoritmo de clave pública no admitido, tal como DSA.

Si falla instalación, se dispone de información detallada en el syslog del appliance. Para verla, inicie sesión en laconsola del appliance, seleccione la opción Shell y escriba $ grep import_ssl_cert /var/log/messages.


1 En un navegador, vaya a https://APPLIANCE:10443/certificates/ y seleccione uno de los vínculos de CSR parala descarga.

Se dispone de dos archivos: uno contiene una clave pública RSA (la terminación del archivo es .rsa.csr),mientras que el otro contiene una clave pública ECDSA (la terminación del archivo es .ec.csr).

2 Siga las instrucciones de su CA para conseguir la firma de la solicitud.

3 Utilice un cliente SFTP, tal como winscp, para copiar el archivo al directorio /home/admin/upload/cert delappliance.

El registro de Eventos de cliente refleja si la instalación se ha realizado correctamente o ha fallado.

El archivo se instala automáticamente.

Mensajes de errorSi el appliance no está configurado correctamente, trata de identificar el problema y envía un mensaje de errortemporal o permanente.

El texto entre paréntesis del mensaje de error proporciona información adicional sobre el problema. Algunosmensajes de error retransmiten la respuesta del Host inteligente, de manera que la respuesta de McAfee DLPPrevent contiene la dirección IP, que viene indicada por x.x.x.x.

Por ejemplo, el error 442 192.168.0.1: Conexión rechazada indica que el Host inteligente con la dirección192.168.0.1 no ha aceptado la conexión SMTP.

Tabla 8-3 Mensajes de errores temporales

Texto Causa Acción recomendada

451 (el sistema no se haregistrado con unservidor de ePO)

No se ha completado la instalacióninicial.

Registre el appliance con un servidor deMcAfee ePO mediante la opción Asistentede configuración gráfica de la consola delappliance.

451 (no se haconfigurado ningúnservidor DNS)

La configuración aplicada desdeMcAfee ePO no ha especificado ningúnservidor DNS.

Configure al menos un servidor DNS en lacategoría General de la directiva Ajustesgenerales del appliance.

8 Mantenimiento y solución de problemasMensajes de error


Tabla 8-3 Mensajes de errores temporales (continuación)

Texto Causa Acción recomendada

451 (no se haconfigurado ningún hostinteligente)

La configuración aplicada desdeMcAfee ePO no ha especificado ningúnhost inteligente.

Configure un host inteligente en lacategoría de directiva Configuración decorreo electrónico de McAfee DLP Prevent.

451 (el archivo dedirectivas OPG no seencuentra en laubicación configurada)

La configuración aplicada desdeMcAfee ePO estaba incompleta.

• Asegúrese de que se instala laextensión de Data Loss Prevention.

• Configure una directiva de Data LossPrevention.

• Póngase en contacto con elrepresentante del soporte técnico. Elarchivo de configuración OPG debeaplicarse con el archivo de directivasOPG.

451 (el archivo deconfiguración OPG no seencuentra en laubicación configurada)

La configuración aplicada desdeMcAfee ePO estaba incompleta.

• Asegúrese de que se instala laextensión de Data Loss Prevention.

• Configure una directiva de Data LossPrevention.

• Póngase en contacto con elrepresentante del soporte técnico. Elarchivo de configuración OPG debeaplicarse con el archivo de directivasOPG.

451 (falta configuracióndel servidor LDAP)

Este error se produce cuando secumplen estas dos condiciones:• McAfee DLP Prevent contiene una

regla que especifica un remitentecomo miembro de un grupo deusuarios LDAP.

• McAfee DLP Prevent no estáconfigurado para recibir informaciónde grupo desde el servidor LDAP quecontiene ese grupo de usuarios.

Compruebe que el servidor LDAP estáseleccionado en la categoría de directivaUsuarios y grupos.

451 (error al resolver ladirectiva basada en elremitente)

Una directiva contiene condiciones delremitente LDAP, pero no puedeobtener la información del servidorLDAP porque:• McAfee DLP Prevent y el servidor

LDAP no se han sincronizado.

• El servidor LDAP no responde.

Compruebe que el servidor LDAP estádisponible.

451 (la prueba de FIPS hafallado)

Las pruebas criptográficas automáticasnecesarias para la conformidad conFIPS han fallado.

Póngase en contacto con surepresentante de soporte técnico.

442 x.x.x.x: Conexiónrechazada

McAfee DLP Prevent no pudoconectarse al Host inteligente paraenviar el mensaje o se pierde laconexión al Host inteligente duranteuna conversación.

Compruebe que el Host inteligente puederecibir correos electrónicos.

Mantenimiento y solución de problemasMensajes de error 8


Tabla 8-4 Mensajes de errores permanentes

Error Causa Acción

550 (el host/dominio noestá permitido)

McAfee DLP Prevent ha rechazado laconexión del MTA de origen.

Compruebe que el MTA se encuentraen la lista de hosts permitidos en lacategoría de directiva Configuración decorreo electrónico de McAfee DLP Prevent.

550 x.x.x.x: Denegado por ladirectiva. Conversación TLSrequerida

El Host inteligente no ha aceptado uncomando STARTTLS, pero McAfee DLPPrevent está configurado para enviar elcorreo electrónico en todo momento através de una conexión TLS.

Compruebe la configuración de TLSen el host.

Tabla 8-5 Mensajes de error de ICAP

Error Causa Acción

500 (falta configuracióndel servidor LDAP)

Este error se produce cuando se cumplen estas doscondiciones:• McAfee DLP Prevent contiene una regla que especifica

un usuario final como miembro de un grupo deusuarios LDAP.

• McAfee DLP Prevent no está configurado para recibirinformación de grupo desde el servidor LDAP quecontiene ese grupo de usuarios.

Compruebe que elservidor LDAP estáseleccionado en lacategoría de directivaUsuarios y grupos.

500 (error al resolver ladirectiva basada en elusuario final)

Una directiva contiene condiciones del remitente LDAP,pero no puede obtener la información del servidorLDAP porque:• McAfee DLP Prevent y el servidor LDAP no se han

sincronizado.

• El servidor LDAP no responde.

Compruebe que elservidor LDAP estádisponible.

Copias de seguridad de la configuraciónEn McAfee DLP 10.x y posteriores, es posible crear copias de seguridad de los datos de configuración que sepueden restaurar. Sin embargo, la configuración de los appliances no se incluye en la copia de seguridad. Lastareas de copia de seguridad se ejecutan según sea necesario desde el back-end y no se pueden planificar.

En una copia de seguridad de McAfee DLP 10.x y posteriores se incluyen los siguientes componentes.

• La base de datos SQL.

• Las extensiones instaladas.

• Las claves para la comunicación agente-servidor y los repositorios de McAfee ePO.

• Todos los productos incorporados al Repositorio principal.

• La configuración del servidor para Apache, los certificados SSL necesarios para autorizar el servidor a fin degestionar solicitudes de los agentes y los certificados de la consola.

Para crear una copia de seguridad de su configuración de McAfee DLP 10.x y posteriores, véase KB66616.

8 Mantenimiento y solución de problemasCopias de seguridad de la configuración


https://kc.mcafee.com/corporate/index?page=content&id=KB66616

Índice

AActive Directory 15

administracióndiferencias en las versiones 7

Administración de appliances 19, 47, 58

administración de casos 47

Administración de casos de DLP 47

Administrador de incidentes de DLP 47

Ajustes generales de administración de appliances 19

análisiscrear definiciones 42

tipos 42

análisis de Box 42

análisis de clasificación 42

análisis de corrección 42

análisis de inventario 42

análisis de registro 42

API REST 25, 34, 35

applianceestado 58

arquitecturadiferencias en las versiones 7

autenticación 17

autenticación de Windows 17

autenticación mediante certificados 17

Ccasos

actualización 53

adición de comentarios 53

asignación de incidentes 54

creación 52

envío de notificaciones 53

registros de auditoría 53

Catálogo global 15

certificados 65

clasificación 21

creación de definiciones de palabras clave 26

crear nueva 29

criterios 22

propiedades de documentos 22

definición de patrón avanzado 27

definiciones 21

clasificación 21 (continuación)expresión regular 28

opciones no admitidas 27

patrón avanzado 28

conceptosclasificación y definiciones 21

definiciones 23

definiciones de diccionario y patrón avanzado 7configuración

copias de seguridad 68

conjuntos de permisoscrear un revisor 52

conjuntos de permisos, definición 18

conjuntos de reglas 31

creación 33

control de acceso 17

control de acceso basado en funciones 18

copias de seguridadcrear 68

creación de usuarios 17

Ddatos

clasificación 24

datos de DLP, clasificación 26

definición de diccionariocrear 26

definición del servidor DNSAjustes generales de administración de appliances 19

definicionesclasificación 21

diccionarios 24

patrón de texto 26

definiciones de diccionario 21, 23

definiciones de patrón avanzado 23

definiciones de patrones avanzados 21

definiciones de redintervalo de direcciones 34

intervalo de puertos 36

definiciones de reglas 32

definiciones de usuario finalLDAP 16

diccionariosacerca de 24


diccionarios (continuación)creación 25

importación de entradas 25

direcciones de correo electrónicocreación 34

importar 34

directivas 31

asignar a McAfee DLP Prevent 36

conjunto de reglas 7documentos registrados

clasificación 21

manualmente 23

Eenrutamiento estático


especificación de zona horariaAjustes generales de administración de appliances 19

excepciones de reglas 33

expresiones regularesdefiniciones 23

Ffecha y hora


flujo de trabajo de migración 5función de administrador

conjunto de permisos 18

función de revisorconjunto de permisos 18

funcionesincompatibles 7nuevas y renombradas 7

Ggeneración de informes 47

grupoconjunto de permisos 7

grupo localconjunto de permisos 7

creación 18

conjunto de permisos de McAfee DLP Prevent 18

ver conjunto de permisos 18

Iincidentes

actualización 50

asignar un revisor 52

detalles 49

filtrado 48

gráficos 58

notificaciones de correo electrónico 51

orden 48

incidentes (continuación)servidor de pruebas 19

incidentes y casos 47

incompatibles, funciones 7inicio de sesión de Secure Shell


inicio de sesión remotoAjustes generales de administración de appliances 19

instalación 9

LLDAP, definiciones de usuario final 16

listas de URLcreación 35

MMcAfee DLP

paneles 47, 58

McAfee DLP Discover 41

crear definiciones de análisis 42

crear reglas para análisis de corrección 44

crear un análisis de clasificación 43

instalación 9planificación de un análisis de un solo uso 45

planificar un análisis 45

tipos de análisis 42

tipos de repositorios 41

McAfee DLP Preventconjuntos de permisos 18

sustituir el certificado por defecto 65

McAfee DLP Prevent y McAfee DLP Monitorsolución de problemas 61

Nnombres de productos

diferencias en las versiones 7

OOperaciones de DLP 47

Ppalabra clave

creación de definiciones 26

palabras clavedefiniciones 23

paneles 47, 58

patrón avanzadocreación 27

patrones de textoacerca de 26

planificaciónanálisis de un solo uso de McAfee DLP Discover 45

Índice


planificaranálisis de McAfee DLP Discover 45

plantillaclasificaciones y definiciones 7

propiedades de documentosclasificación 21, 22

Rreacciones 32

registro del servidor LDAP 15

registro remotoAjustes generales de administración de appliances 19

regla de protección de correo electrónicoreacciones 32

regla de protección webreacciones 32

reglas 31

crear 33

definiciones 32

excepciones 33

reacciones 32

reglas de acciónreacción 7

reglas de descubrimiento de endpoint 33

reglas de protección 33

reglas para dispositivos 33

repositorios 41

repositorios Box 41

repositorios CIFS 41

repositorios SharePoint 41

Sservidor de pruebas

adición 19

servidor OpenLDAP 15

SNMPAjustes generales de administración de appliances 19

solución de problemasMcAfee DLP Prevent y McAfee DLP Monitor 61

supervisión 47

Administración de appliances 58

Ttareas posteriores a la instalación 14

tarjetas de mantenimiento del sistema 58

terminologíadiferencias en las versiones 7

Uusuario local

véase creación de usuarios 17

Vvalidador

algoritmo 7validadores 26

Índice


McAfee Data Loss Prevention 10.x and 11.0 Guía de … · Para obtener una lista de las plataformas...

Documents

Transcript of McAfee Data Loss Prevention 10.x and 11.0 Guía de … · Para obtener una lista de las plataformas...